¿Cuáles son las grandes deudas en materia de ciberseguridad?

Por Marco Correa P.

Para nadie es un misterio que la agenda en materia de derecho y tecnologías estuvo dominada en 2018 por la ciberseguridad. Fue considerada como tema prioritario por el Ejecutivo, mediante la progresiva ejecución de los compromisos establecidos por la Política Nacional de Ciberseguridad 2017-2022, entre ellos, la dictación de un instructivo presidencial y el anuncio y presentación de varios proyectos de ley en la materia. Esta fue una de las principales razones para que Chile subiera del puesto 54° al 33° en el National Cyber Security Index (NCSI), quedando como el país de Latinoamérica mejor preparado para los ciberataques, y tercero en América tras Estados Unidos (23°) y Canadá (32°).

Paradójicamente, fuimos el décimo país del mundo con más ataques por ransomware de acuerdo al Informe sobre las amenazas para la seguridad en Internet (ISTR) 2019 elaborado por Symantec, lo cual nos dice que durante 2018 hubo mucho más ciberataques de los que fueron informados al público. Los análisis de los expertos en ciberseguridad no son mucho más alentadores, pues estos ataques irán en aumento, tanto en frecuencia como en intensidad, lo cual será causado en gran medida por el crecimiento del cibercrimen organizado de alcance transnacional.

Con la creciente digitalización de los procesos económicos, en un futuro no muy lejano podríamos enfrentarnos a una virtual paralización del país, provocada por ataques que afecten al Estado y al sistema financiero, como ocurrió en el ciberataque perpetrado contra Estonia en 2007, o a infraestructuras críticas, como el ciberataque Stuxnet realizado contra instalaciones nucleares iraníes en 2010.

Ante este escenario, la lucha contra el cibercrimen parece ser una de las cuestiones más importantes a la hora de reforzar la seguridad cibernética de nuestro país. En efecto, existe un consenso mayoritario en que la adopción por Chile del Convenio de Budapest y la actualización de la añeja Ley 19.223 de Delitos Informáticos son pasos fundamentales para combatir los ciberataques de manera más efectiva.

Sin embargo, sería un error pensar que la regulación penal es la solución al problema. En primer lugar, porque el carácter internacional de los ciberdelitos implica que su persecución sea compleja, ya que depende de la existencia de tratados de extradición con los Estados donde se originen los ciberataques, de la regulación interna de los ciberdelitos que tengan esos países, y de la cooperación que en la práctica presten las policías y autoridades locales a la investigación y captura de los cibercriminales. Esto último podría ser aún más difícil (o en algunos casos, casi imposible) si se considera que hay cada vez más ataques perpetrados con el beneplácito –o incluso el patrocinio– de esos mismos Estados, como  ocurrió con los ataques a Estonia e Irán, los cuales habrían sido ejecutados por los gobiernos de Rusia y Estados Unidos, respectivamente, de acuerdo a información proveída por exfuncionarios de esos países y la filtración de cables diplomáticos.

En segundo lugar, una estrategia enfocada únicamente en perseguir penalmente estas acciones puede considerarse una técnica más bien reactiva que preventiva. De ahí que resulte de máxima urgencia que los distintos actores interesados de nuestro país –Estado, empresas y la academia– evalúen e implementen las medidas técnicas y legales que ayudarán a disminuir los riesgos y mitigar ex ante los efectos de los ciberataques a instituciones públicas y privadas.

Si nos vamos a lo concreto, ¿cuál es la tarea del Estado en esta materia? A mi entender es fomentar (como hasta ahora) una regulación orientada a la reducción de los riesgos, que se vea materializada, por ejemplo, en políticas de notificación de los ciberataques, que permitan una mejor gestión de estas contingencias. En Chile, la Superintendencia de Bancos e Instituciones Financieras (SBIF) incorporó a las normas que rigen a los bancos la obligación de comunicar los incidentes operacionales, lo cual podría ser extendido a otros sectores de importancia, como por ejemplo, las AFP y las empresas distribuidoras de electricidad, cuyos sistemas informáticos han sufrido recientemente de accesos no autorizados e infecciones por malware, respectivamente.

En cualquier caso, es importante que los ciberataques no sólo sean notificados a las compañías de un mismo rubro o a la autoridad, sino que también dicha información sea compartida con el público. Ello permitirá a los consumidores tomar a tiempo las medidas necesarias para proteger su patrimonio, con acciones tan simples como el cambio de la contraseña a sus servicios comprometidos o el bloqueo de cuentas y tarjetas.

Por su parte, la principal misión del sector privado es implementar las medidas técnicas requeridas para enfrentar esta tendencia al alza en los ciberataques, no sólo para defender sus propios intereses, sino también el de sus consumidores. Si bien las empresas chilenas ya han experimentado un aumento significativo en la inversión en este tipo de medidas (USD 156 millones en 2018, un 9,85% más que 2017), las cifras aún son bajas en relación al resto de Latinoamérica (0,07% del PIB, siendo el promedio latinoamericano un 0,12% del PIB).

Sin embargo, una inversión técnica será inútil sin una adecuada inversión en capital humano. Las empresas no sólo necesitan contratar a expertos en ciberseguridad –quienes serán más los profesionales demandados durante este año, según el reclutador internacional Robert Half Technology– sino que también deben invertir en capacitación a todos sus trabajadores que interactúen con equipos e infraestructuras conectadas a Internet, con el objetivo de concientizarlos sobre los riesgos a los que se exponen en su trabajo diario (como el phishing) e instruirlos respecto a las medidas para evitar dichos riesgos.

Por último, la  tarea de la academia y de los abogados es desarrollar el estudio y aplicación de la responsabilidad civil por ciberataques, ante la aún escasa jurisprudencia que existe en la materia. En general, las causas más frecuentes por materias de ciberseguridad han sido las acciones en sede civil y de protección ejercidas en contra de los bancos por los clientes afectados por fraudes en sus cuentas.

En el futuro inmediato, este tipo de responsabilidad civil podría extenderse a empresas cuyo giro no sea el bancario o financiero, tal como sucedió con la empresa de retail estadounidense Target, que se vio afectada por ciberataques en 2013, provocando una fuga masiva de datos (relativos a 41 millones de tarjetas y 60 millones de consumidores), y que en 2017 llegó a un acuerdo multiestatal para indemnizar a sus clientes afectados por una suma de USD 18,5 millones.

Un ataque de este tipo no sólo tendría consecuencias por las pérdidas económicas provocadas en forma directa, sino que también por la responsabilidad de las empresas en el tratamiento de los datos personales de sus clientes, lo cual cobra especial relevancia con la reforma a la Ley 19.628 de Protección de Datos, que debería ser aprobada por el Congreso Nacional durante este año.

De ahí que resulte necesario un desarrollo de los ciberseguros en el mercado nacional, que permita a las empresas mitigar por sí mismas las pérdidas económicas que podría provocar un ciberataque. Los ciberseguros serán especialmente necesarios para las pequeñas y medianas empresas, cuya existencia podría verse amenazada de forma más grave en la eventualidad de tener que enfrentar una indemnización de perjuicios proporcional a la del caso Target.

Estas son las tareas que consideramos prioritarias en el corto y mediano plazo, pues sólo con un esfuerzo mancomunado entre el sector público, el sector privado y la academia, se podrá enfrentar de mejor forma los desafíos que el ciberespacio ha impuesto a las diferentes áreas productivas.

*Marco Correa P. es abogado del área de Propiedad Intelectual y Protección de Datos de Morales & Besa.