Por Rosario Alonso*
En las últimas semanas se han registrado diversos incidentes de ciberseguridad que han afectado a empresas de distintos sectores, generando impactos relevantes tanto a nivel operativo como reputacional y legal.
Un caso que ha llamado especialmente la atención es el de Copec, empresa que fue víctima de un ciberataque atribuido a un grupo de ransomware denominado Anubis. De acuerdo con la información conocida, el ataque habría permitido el robo de una gran cantidad de información interna, parte de la cual fue posteriormente publicada en la dark web. Entre los datos comprometidos se encontrarían documentos financieros y administrativos, correos electrónicos, información de socios comerciales, antecedentes laborales de trabajadores, incluyendo copias de cédulas de identidad, y también información médica, como certificados y otros documentos sensibles.
A este episodio se suma el incidente que afectó a Clínica Dávila, donde el ciberataque habría involucrado información clínica de pacientes, como fichas médicas, diagnósticos y resultados de exámenes, los cuales también habrían sido expuestos públicamente. Asimismo, se ha reportado un ataque similar contra una reconocida empresa del rubro energético en España, en donde se expusieron DNI, datos bancarios, datos de contacto, entre otros. Lo que evidencia que este tipo de incidentes no es aislado ni local, sino transversal y creciente a nivel global.
Estos hechos evidencian la necesidad de que las empresas estén adecuadamente preparadas frente a eventuales ataques que puedan comprometer la seguridad de los datos personales. En este sentido, la Ley N°19.628 sobre protección de los datos personales, modificada por la Ley N°21.719, exige que los responsables del tratamiento adopten las medidas técnicas y organizativas necesarias para resguardar la información de los titulares.
En este contexto, adquiere especial relevancia que las organizaciones adopten, entre otras, las siguientes prácticas:
- Evaluación periódica: Las organizaciones deben revisar de forma regular sus riesgos, identificando qué sistemas, procesos y tipos de información son más críticos, así como las principales amenazas a las que están expuestas.
- Actualización sistemas: Mantener los sistemas operativos, aplicaciones y plataformas actualizadas es clave para evitar vulnerabilidades.
- Implementar y robustecer las medidas de seguridad técnicas: La organización debe fortalecer sus controles técnicos para prevenir y mitigar ciberataques, considerando el estado de la técnica y los riesgos asociados al tratamiento de datos.
- Controlar accesos a la información: Limitar los accesos a la información solo a quienes realmente lo necesitan, definiendo perfiles de usuario claros y revisándolos periódicamente para evitar accesos indebidos.
- Implementación de plan de respuesta de incidentes: Contar con un plan previamente definido que permita actuar de manera rápida y ordenada ante un ataque, estableciendo responsables, pasos a seguir y mecanismos de comunicación interna y externa.
- Capacitar a equipos: Muchas brechas se originan por errores humanos. Por ello, es clave capacitar a los equipos en buenas prácticas de seguridad, detección de correos maliciosos y uso seguro de sistemas.
- Asesorarse por expertos: Apoyarse en expertos en ciberseguridad y protección de datos permite a las organizaciones evaluar mejor sus brechas, fortalecer sus controles y cumplir adecuadamente con sus obligaciones.
De esta manera, la adopción de medidas preventivas permite a las organizaciones fortalecer la confianza de los titulares respecto del tratamiento de sus datos personales. Al mismo tiempo, estas acciones contribuyen a cumplir con las exigencias legales y a reducir el riesgo de eventuales sanciones y multas por parte de la futura Agencia de Protección de Datos Personales, consolidando la seguridad de la información como un elemento clave de la responsabilidad y gestión empresarial.
*Rosario Alonso es Asociada ECIJA Chile
