Con Chile que suma una nueva ley, la región busca robustecer su estrategia de ciberseguridad con regulación específica

La región avanza con regulaciones sobre ciberseguridad: para entenderla, acotarla, definirla y prever qué acciones desarrollar ante incidentes. Por estas horas, Gabriel Boric, presidente de Chile, anunció que promulgó la Ley Marco de Ciberseguridad y dio un paso adelante en un trabajo que acumula años de debates en el país. Quizá, lo más destacado de esta legislación sea que interpreta que las redes de telecomunicaciones son activos de la infraestructura crítica a proteger. La iniciativa regulatoria se suma a los pasos que ya dieron otros países de la región, como es el caso de Brasil, Costa Rica y Colombia, aunque con diferencias en sus enfoques.

“Hoy Chile avanza un paso más en la urgente tarea de proteger los derechos digitales de las personas: Promulgamos la Ley Marco de Ciberseguridad, fruto de un consenso en ambas cámaras del Congreso Nacional. Con esta ley, mediante la Agencia Nacional de Ciberseguridad, se regulará a servicios públicos y privados para prevenir y resolver incidentes en el ciberespacio”, dijo Boric en el discurso que ofreció en el Palacio de La Moneda. Agregó que “con estas medidas, Chile será el primer país de América Latina y el Caribe en tener una agencia de este tipo y un marco regulatorio de vanguardia en este campo”.

“Hagámonos cargo con unidad de los desafíos de nuestro tiempo para forjar una comunidad que use la tecnología de manera responsable, en su propio beneficio y en el beneficio general en pos de un bien común”, sostuvo el presidente del país en la réplica que hizo del discurso oficial en su cuenta personal de la red social W (ex Twitter), para presentar la promulgación de la legislación en la que diferentes sectores del país trabajaron.

Hace cuatro meses, y tras otros tantos de debate y negociación, el Ministerio del Interior y Seguridad Pública de Chile aprobó la “Política nacional de ciberseguridad 2023-2028”, con foco en el cuidado de su infraestructura crítica y que protocolariza la respuesta ante incidentes, iniciativa que resume la mirada de los sectores público y privado del país.

Con esta legislación, se crea la Agencia Nacional de Ciberseguridad (ANCI), que tendrá facultades regulatorias, fiscalizadoras y sancionatorias y que dependerá del Ministerio de Defensa. También, se creará un Consejo Multisectorial en ciberseguridad y un Comité Interministerial que integrarán subsecretarios y directores, y que tendrá por objetivo asesorar al Presidente.

Además, se prevé la creación del Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional), con dependencias sectoriales y otro para la Defensa Nacional; todo en el camino estratégico que recorre el país para convertirse en un hub digital regional.

Inclusive, en diciembre, el CSIRT publicó su Política Nacional de Ciberseguridad hasta 2028 que -disponible aquí– se estructura en cinco objetivos: garantizar una infraestructura resiliente, proteger los derechos de las personas, generar una cultura de ciberseguridad, cooperar y coordinar acciones nacionales e internacionales, y fomentar la industria de ciberseguridad.

Esta noticia se inscribe en un contexto de esfuerzos regionales. Hace una semana, un hospital de Colombia se vio afectado por una vulnerabilidad a sus bases de datos y la vunlerabilidad recordó a la comunidad internacional cómo los procesos de transformación digital requieren de estrategias de seguridad informática sólidas.

Sobre aquel evento, TeleSemana.com conversó con miembros del Despacho Viceministerio de Transformación Digital, pertenecientes al Equipo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT) y ellos aseguraron que “la estrategia y gobernanza en ciberseguridad se enmarca dentro del Decreto 338 de 2022, que  define las funciones de cada una de las instancias creadas para la prevención, la detección y la contención de amenazas cibernéticas” . Fue justamente por ese motivo por el que los notificaron del ataque ransomware en la infraestructura del Hospital Universitario de Caldas cuyos “detalles se encuentran reservados por la criticidad de la información” pero que “se encuentra contenido y controlado por el equipo de tecnología del Hospital”. A la par que confirmaron que los servicios fueron restablecidos en su totalidad.

Si de vulnerabilidades a los sistemas de información y sus legislaciones ad hoc se trata, Costa Rica es uno de los casos más emblemáticos de la región, luego que entre marzo y abril de 2022, un ataque informático dejara inoperativo durante semanas al país al inhibir las bases de datos de los ministerios de Hacienda; de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt); de Trabajo y Seguridad Social, como también del Instituto Meteorológico Nacional (IMN), de la Caja Costarricense de Seguro Social (CCSS) y del Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF).

La acción, que impidió la labor de 45.335 funcionarios y la realización de 49 trámites virtuales, fue proclamada por un grupo llamado CONTI, cuyo pedido de rescate por la información secuestrada, sólo de la cartera de Hacienda , ascendió a los 10 millones de dólares. El rescate no se pagó y el caso fue considerado tema de prioridad nacional.

A partir de esta experiencia y al calor de la subasta de espectro para 5G, el país desarrolló una estrategia nacional hasta 2027 y el Reglamento Sobre Medidas de Ciberseguridad Aplicables a los Servicios de Telecomunicaciones Basados en la Tecnología de Quinta Generación Móvil (5G) y Superiores, pero que fue cuestionado por muchos sectores por limitar qué empresas podrían instalar equipos de infraestructura en el país. Hoy, la subasta de espectro en Costa Rica está judicialmente paralizada desde hace dos meses.

Brasil, a su vez, estrenó una legislación afin tres meses atrás. En este caso, se trató de la Política Nacional de Ciberseguridad y de la creación de un Comité que la garantizara, tal como lo determinó el Decreto 11.856; en el que también se hace un llamado a la sociedad en general a debatir sobre las urgencias y los pasos a seguir, al tiempo que fomenta la cooperación internacional.