Chile: cómo es la primera ley de ciberseguridad de América Latina y qué tiene para enseñarle a la región
Empresas y entidades estatales tienen 3 horas para reportar incidentes desde que los descubren. Cómo impacta en otros países y más, de la mano de un especialista.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
Esta edición y la siguiente están programadas por vacaciones.
⚡ TL;DR
IMPORTANTE: estoy de vacaciones. Esta entrada está programada y trata sobre un tema “de parrilla”, como decimos los periodistas. Cualquier noticia importante que haya pasado esta semana en materia de privacidad, ciberseguridad, hackeos o filtraciones, no la van a encontrar acá.
Si pasa algo grande en Argentina, recomiendo revisar el trabajo de Emilse Garzón,
(que está acá en Substack), Sebastián Davidovsky, Mariana Segulin y Rodrigo Álvarez, Ellos seguro cubran el tema. Dark News vuelve el 31 de mayo.Leer este correo te va a llevar 9 minutos
A fines del año pasado pude conversar con un especialista en materia de políticas públicas digitales en el sector público. El tema sobre el que conversamos fue la aprobación y entrada en vigencia de la primera ley de ciberseguridad de la región, en Chile.
El SSD externo Kingston XS1000 es una solución de respaldo de archivos que cuenta con velocidades de hasta 1.050MB/seg y altas capacidades de hasta 2TB, lo que proporciona una gran velocidad y espacio para almacenar los datos más valiosos. Viene con cable USB Type-C a Type-A para ofrecer una comodidad inigualable y una impresionante capacidad de almacenamiento.
🏛 Chile le marca el norte a América Latina: primera ley nacional de ciberseguridad de la región
Chile avanzó a principios de diciembre del año pasado sobre la tramitación legislativa del proyecto de Ley Marco sobre Ciberseguridad e Infraestructura crítica de la información. Fue aprobada con 134 votos a favor y ninguno en contra. A fines de marzo de este año, la ley quedó promulgada.
El proyecto crea la Agencia Nacional de Ciberseguridad (ANCI), organismo con facultades regulatorias, fiscalizadoras y sancionatorias frente a la seguridad informática. Además, define a la ciberseguridad como la preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes informáticos.
La ley destaca 5 ejes:
Chile contará con una "infraestructura de la información robusta y resiliente"
"Protegerá y promoverá la protección de los derechos de las personas en Internet"
Se desarrollará una cultura de ciberseguridad en torno a la "educación, buenas prácticas, responsabilidad en el manejo de tecnologías digitales, y promoción y garantía de los derechos de las personas".
El Estado creará una gobernanza pública para la “coordinación -a través de cooperación mutua entre los organismos públicos y privados- de las acciones necesarias en ciberseguridad”.
Como quinto objetivo, se promoverá el desarrollo de una industria de la ciberseguridad.
Para entender mejor qué implica esta normativa en la región, Dark News charló con
(X), jefe de Investigación de SmC+, consultora especializada en asuntos públicos del sector digital, sobre las implicancias de esta ley.─¿Cómo es la ley que se aprobó en Chile? ¿Qué estándares mínimos va a establecer la agencia?
─La norma aprobada en Chile es de carácter general ya que se ocupa del diseño institucional de la Agencia Nacional de Ciberseguridad (ANCI) por crearse, del también flamante CSIRT de la Defensa Nacional, su relación con el resto de las entidades del sector público y privado, definir servicios esenciales y operadores de importancia vital que tendrán mayores responsabilidades, y establecer las funciones, obligaciones y sanciones de cada actor. Dispone para los operadores de importancia vital el deber de reportar incidentes, la evaluación periódica, la designación de un delegado de ciberseguridad, y la implementación de programas de capacitación. Los detalles específicos, como protocolos y estándares, o las certificaciones obligatorias, quedan por definirse a posteriori con la reglamentación de la ley.
─¿Cuánto tiempo llevó, cómo se debatió?
─El proyecto fue enviado al Senado a principios de marzo de 2022 por el entonces Presidente Sebastián Piñera en los últimos días de su mandato, pero tardó más de un año en tener la media sanción en la Cámara (abril de 2023). En el medio, la ciberseguridad tomó estado público en el país tras el hackeo masivo al Estado Mayor Conjunto de Chile como parte de los llamados “Guacamaya Leaks”, que filtró documentos sensibles de Defensa (por ello también la importancia que tiene en el texto el CSIRT de la Defensa Nacional por crearse). Luego de varios meses de debates sobre aspectos puntuales pero en un marco de acuerdo interpartidario sobre la necesidad de la ley, la sanción final se dio en diciembre, en un mismo día donde Diputados aprobó el texto con modificaciones, y lo mismo hizo de nuevo el Senado.
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
─¿En qué sentido es un avance para América Latina?
─Por lo pronto, se trata de la primera ley de ciberseguridad en la región. Es un reconocimiento del grado de relevancia que la ciberseguridad tomó sobre todo tras la acelerada digitalización a raíz de la pandemia, y la repercusión en el debate público de casos de incidentes. Hay varios desafíos por delante, entre los cuáles se puede mencionar la efectividad del diseño institucional a crearse y si puede existir superposición de funciones con otras entidades (por ejemplo, en Chile se discute una norma de protección de datos que crearía una autoridad específica), las restricciones presupuestarias (un tema relevante de discusión durante el tratamiento de la ley), y la capacidad de la ANCI de enforcement de la normativa y que no quede como un cúmulo de buenas intenciones.
─¿Qué impacto tiene en la notificación de incidentes de empresas y entidades gubernamentales?
─La ley aplica a los servicios esenciales (los provistos por organismos de la Administración del Estado, y por el Coordinador Eléctrico Nacional, además de privados vinculados con servicios públicos o actividades de rubros como salud o servicios financieros), y dentro de ellos a un subsegmento de operadores de importancia vital cuando “la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar”. Es decir, no alcanza a todo el universo del sector privado.
─¿Tienen un lapso para hacerlo?
─Efectivamente, se establece la obligatoriedad de reportar incidentes y plazos para cada caso. Las instituciones alcanzadas tienen un máximo de tres horas desde que se tiene conocimiento del ciberataque o incidente con impactos significativos para enviar una alerta temprana sobre la ocurrencia del evento; luego hasta 72 horas para actualizar la información con una evaluación inicial del incidente, su gravedad e impacto, así como indicadores de compromiso, aunque reducida a 24 horas para los operadores de importancia vital si la prestación de sus servicios esenciales se viera afectada. A los 15 días desde la alerta temprana, además, deben realizar un informe final sobre el incidente, qué lo causó y qué medidas de mitigación se aplicaron. El desafío regulatorio aquí es cómo contabilizar el momento de tener conocimiento del hecho.
─¿Qué pasa si no reportan? ¿Hay sanciones?
─La norma establece un sistema de sanciones divididos en tres niveles: leves, graves y gravísimas. Las multas van desde aproximadamente los USD 368,000 (por sanciones leves), a los USD 736,000 (graves) y USD 1,472,000 (gravísimas), pero que se duplican en todos los casos si se trata de operadores de importancia vital, llegando entonces a los casi 3 millones de dólares.
─¿Qué protocolo o parámetros va a seguir el registro de incidentes que manda a crear la Agencia?
─Así como en otros aspectos, la forma final quedará a cargo de la reglamentación de la norma.
─¿Hay algún proyecto de 2FA obligatorio? Una enorme cantidad de casos vinieron por phishing sin segundo factor.
─No hemos visto foco en volver el doble factor de autenticación obligatorio, una opción de seguridad que surgió y promueven más las empresas del sector digital que los reguladores. La norma chilena solo menciona como principio de seguridad informática que “toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado”. Vale la pena también pensar en la concientización de la ciudadanía ya que si bien el 2FA es muy útil en prevenir un gran porcentaje de estafas es posible que algunos actores busquen formas alternativas de generar hechos delictivos.
─Ustedes comparan con México, Costa Rica y Colombia. ¿Cómo es la situación en Argentina?
─Desde SmC+ venimos siguiendo los debates regulatorios en materia de ciberseguridad en todo América Latina y el Caribe. Entre ellos, Costa Rica cuenta con un proyecto que avanza en el Congreso, mientras las iniciativas en Colombia y México parecen más demoradas. En Colombia por ejemplo la propuesta crea una agencia encargada de temas de ciberseguridad y también de cuestiones espaciales, lo que parece una combinación extraña. En la Argentina se aprobó en septiembre 2023 la Segunda Estrategia Nacional de Ciberseguridad, que establece principios y objetivos generales y donde se habla de desarrollar el marco normativo. También se convirtió en Ley la adhesión al Convenio 108+ de tratamiento de datos personales. Sin embargo, no existe ningún proyecto de ley avanzado específico en ciberseguridad.
─Pero hubo dinero e inversión pensado para ciberseguridad en Argentina.
─Sí, se puede destacar que en 2023 el país recibió un préstamo por USD 30 millones del Banco Interamericano de Desarrollo (BID) para financiar el Programa de Ciberseguridad para Infraestructuras Críticas de Información que incluye tres componentes: (1) fortalecimiento de las capacidades institucionales y tecnológicas de la Secretaria de Información Pública; (2) Consolidación del talento humano en ciberseguridad; (3) Mejoramiento de la protección del ecosistema GDE. También hay un préstamo del Banco Mundial por USD 120 millones para el Fortalecimiento de la Infraestructura de datos para cerrar la brecha digital en Argentina, que incluye un componente de Infraestructura de Datos Resilientes, para apoyar el desarrollo de una red descentralizada de centros de datos y una plataforma de computación de alto rendimiento (HPC).
─¿Cómo analizan la actual gestión de Argentina en materia de ciberseguridad?
─El tema ciberseguridad no apareció durante la campaña electoral y por el momento no pareciera una prioridad de la nueva gestión. Recién a finales de abril se publicó en el Boletín Oficial la designación del Director Nacional de Ciberseguridad. En un contexto de reducción del déficit público, además, parece improbable que se destinen grandes sumas de presupuesto a actualizar la infraestructura y equipos de ciberseguridad del Estado.
Telecom ofrece servicios de Firewall para Empresas y Pymes, orientados a resolver las principales necesidades de seguridad dentro de una red.