Introducción

 

El pasado sábado 5 de septiembre se supo que un software malicioso penetró en los sistemas operativos del Banco Estado con el objetivo de secuestrar datos mediante un método de cifrado de archivos. La finalidad de este tipo de actividades suele ser recibir un pago a cambio de la devolución de la información sustraída. Este ciberataque es una muestra más de lo que en los últimos años ha venido sucediendo en Chile y en el resto del mundo en donde, junto al desarrollo tecnológico y al avance digital, han aumentado exponencialmente los ataques y delitos que afectan a la ciberseguridad.

Durante el año 2018, Chile fue el tercer país de Latinoamérica más vulnerable a los ataques de phising (método que consiste en engañar a los destinatarios de emails sobre todo, para que compartan información confidencial como contraseñas y números de tarjetas de crédito). También en 2018, Chile sufrió un aumento del 55 % respecto al año anterior de ataques de ransomware (software malicioso que roba información para pedir dinero a cambo del rescate), situándose además como décimo país a nivel global[1].

Aunque la reacción del Banco Estado al ciberataque fue bastante rápida y se activaron los protocolos de seguridad previstos para estos casos, minimizando así los efectos negativos y evitando daños al patrimonio de la estatal y a los fondos de sus clientes, se habla de que fueron alrededor de quince mil los computadores de la entidad los que se vieron afectados, sin contar con la paralización de actividades debido al cierre de las cuatrocientas diez sucursales que tienen en el país. Esto supone una llamada de atención más y habla de la importancia de que en Chile el desarrollo en ciberseguridad y de la normativa relacionada, lo que incluye la protección de datos, vaya a la par o al menos se aproxime al nivel del proceso de transformación digital del país. El objetivo final debe ser que tanto ciudadanos y empresas, así como la actividad económica no se vean afectados por estos ciberataques, que suelen producirse en su mayoría desde el extranjero.

 

Adaptación normativa y proyectos de ley en Chile

En este contexto, se viene produciendo desde hace tiempo cierta presión, tanto desde lo público como desde lo privado, para que el país se adapte normativamente en este ámbito lo antes posible. De acuerdo a las opiniones de senadores expertos en la materia, como son Keneth Pugh y Felipe Harboe, es urgente actualizar el marco legal chileno a la realidad imperante para proteger a todos los agentes. Por esta razón existen ya varios proyectos de ley dirigidos a mejorar la regulación, sufriendo eso sí en su mayoría retrasos debido al impacto económico y social que ha tenido la contingencia nacional y la pandemia mundial y que ha hecho que el Gobierno centre sus esfuerzos en paliar sus efectos.

El pasado mes de julio, el Comité Interministerial de Ciberseguridad, presidido por el Subsecretario del Interior Juan Francisco Galli, dio a conocer los ejes sobre los que fijar el objetivo de promocionar el desarrollo de la industria nacional en ciberseguridad, como son el contar con plataformas de información robustas y seguras para proteger la información de los ciudadanos; velar por los derechos de las personas en el ciberespacio; vincular a Chile con países más desarrollados en ciberseguridad; y concienciar sobre los riesgos que existen en el uso de nuevas tecnologías e internet.

 

¿Cuáles son los principales proyectos de ley que se encuentran actualmente en trámite o van a estarlo próximamente y que tienen relación con la ciberseguridad? Son sobre todo tres:

 

  • Proyecto de ley del Gobierno que regula la protección y el tratamiento  de  los  datos  personales y crea la Agencia de Protección de Datos Personales.

 

Este proyecto se encuentra actualmente en la Comisión de Hacienda del Senado después de haber concluido su tramitación en general y en particular en la Comisión de Constitución. Una vez que se apruebe en la Sala del Senado, el proyecto iniciaría su segundo trámite constitucional en la Cámara de Diputados.

Las principales medidas que se proyecta aprobar con esta ley supondrían un acercamiento de la normativa de protección de datos chilena al Reglamento General de Datos de la Unión Europea, que hoy es la norma más estricta y completa a nivel internacional y que se aplica desde el año 2018. Algunas de estas medidas son:

  • Creación de una Agencia de Protección de Datos con facultades interpretativas de fiscalización, tanto para recibir reclamaciones de ciudadanos como para establecer sanciones.
  • Establecimiento de un sistema de multas y sanciones por incumplimiento de la normativa.
  • Ampliación del universo de fuentes de licitud que permitan el tratamiento de datos personales.
  • Incorporación de nuevos derechos en favor del titular de los datos, como el derecho de portabilidad que permite solicitar el traslado de los mismos de un responsable del tratamiento a otro.

 

  • Proyecto de ley del Gobierno que adecua los delitos informáticos al Convenio de Budapest suscrito por Chile.

 El texto fue aprobado el pasado mes de marzo por la Sala del Senado, despachándolo a la Cámara de Diputados para iniciar su segundo trámite constitucional. En este momento está a la espera de iniciarse el segundo trámite constitucional en la Comisión de Constitución, Legislación, Justicia y Reglamento de la Cámara de Diputados.

El objeto de este proyecto es adecuar la legislación chilena en materia de delitos informáticos a la Convención sobre Cibercrimen. El Convenio de Budapest es un acuerdo internacional que busca equiparar en todos los países miembros los tipos penales para los delitos informáticos. La finalidad es lograr que los ciberdelincuentes, que suelen operar desde un país tercero, pueden ser perseguidos a nivel transnacional.

 

  • Ante proyecto ley marco de ciberseguridad e infraestructura crítica.

Esta iniciativa se encuentra hoy en desarrollo por parte del Ministerio del Interior y se está a la espera de que el Gobierno presente el proyecto de ley. Desde fuentes del Ministerio se explica que los principales objetivos de esta norma serán definir las infraestructuras críticas de la información, establecer el deber de informar sobre los incidentes y las sanciones, o la creación de instituciones como la Agencia Nacional de Ciberseguridad, el Equipo de Respuesta ante Emergencias Informáticas (CSIRT) Nacional, los CSIRT sectoriales y un Consejo de Expertos.

Esperando a que avancen lo más rápido posible, tanto los dos proyectos que ya se encuentran en trámite como el proyecto de ley que aún no comienza, para las empresas chilenas se hace cada vez más imprescindible anticiparse en lo posible y adaptarse cuanto antes a los estándares nacionales e internacionales en materia de ciberseguridad y de protección de datos.

A nivel nacional existe ya una Norma técnica sobre ciberseguridad en Servicios de Telecomunicaciones que está dirigida a prevenir o reducir las posibilidades de que los servicios de telecomunicaciones sean interrumpidos o afectados por incidentes de seguridad informática. A nivel internacional, y en materia de protección de datos, destaca el antes citado Reglamento Europeo de Protección de Datos, que no solo sirve de parámetro para lo que será la futura ley chilena en la materia, sino que también es ya de obligatorio cumplimiento para cualquier empresa de cualquier país que trate datos de personas que se encuentren en la Unión Europea (por ejemplo, si desde Chile una empresa realiza una campaña de marketing en Europa para captar clientes). Las multas y sanciones que impone el Reglamento por su incumplimiento son muy grandes por lo que conviene estar al tanto de estas implicancias.

 

 

Javier Sabido.: jsabido@ecija.com

[1]Fuentes: efe, KasperskyLab, NovaRed, Symantec

 

download-pdf DESCARGA PDF 

Socios relacionados

Javier Sabido | ECIJA

Javier Sabido

ver perfil