Opinión
Hemos presenciado estos últimos días vulneraciones a dos instituciones chilenas que velan por la seguridad nacional en distintos niveles: el Estado Mayor Conjunto (EMCO) de las Fuerzas Armadas de Chile y el Poder Judicial. Uno afectado por fuga de datos y el otro de ramsomware o “secuestro de información”.
La filtración, sin precedentes, de más de 400 mil correos electrónicos del Estado Mayor Conjunto, acción de hackeo atribuida por el mismo grupo Guacamaya, afectó a fuerzas armadas y policías de al menos cinco países latinoamericanos, incluyendo a Chile.
Se ha revelado en la prensa que el EMCO habría sufrido anteriormente –al menos– dos episodios de amenazas que sus autoridades pasaron por alto, específicamente alertas por fallas de seguridad ocurridas tan solo un año antes del ciberataque.
En una de ellas hubo incluso advertencias provenientes del mismo Gobierno, donde diferentes instituciones advirtieron de una vulnerabilidad en los servidores de correos que emplea el EMCO para alojar sus comunicaciones, y ante lo cual recomendaban la instalación de “parches” o actualizaciones de seguridad.
Respecto al hackeo del Poder Judicial, particularmente el ramsomware o “secuestro” de datos vinculados a sus tareas administrativas de causas judiciales en curso, este ha sido relacionado a que sus equipos tendrían un sistema operativo antiguo sin presupuesto para ser actualizado, lo que abre un flanco a futuros ataques.
Más allá que los dos episodios afectaron a reparticiones públicas vinculadas a distintos niveles en la salvaguarda de la seguridad pública, lo que aquí llama la atención es que justamente organismos que lidian con información confidencial crítica, no tomen los resguardos necesarios para no exponer sus datos ni la vulnerabilidad de quienes finalmente deben proteger.
La evidente fragilidad de los ciberdatos en estas instituciones, y las muestras de descuido institucional, preocupan, ya que dejan de manifiesto prácticas o comportamientos organizacionales que evidencian finalmente un menosprecio por el poder de la ciberamenazas.
La ausencia de concientización entre los funcionarios –a todo nivel dentro de la organización– en la forma de campañas y ejercicios de evaluación constantes. Esto se suma a la escasa verificación del verdadero estado de la seguridad tecnológica, mediante ejercicios de simulación de ciberataques.
También se observa un insuficiente análisis y evaluación de riesgos periódicos, que conlleva a la larga la nula ponderación económica, legal y política que implica no tomar acciones preventivas.
Y, por último pero no menos relevante a la hora de enfrentar un hackeo, se encuentra el desestimar la adopción de buenas prácticas, que todos los fabricantes ponen a disposición gratuita para todos los usuarios.
Se observa que son prácticas o comportamientos organizacionales en contraposición a la intención inicial de contratar servicios y productos de ciberseguridad. Conductas que debiesen haber sido internalizadas previo a dar este paso tecnológico en una organización.
Las herramientas para evitar y combatir ataques cibernéticos por sí solas no son la garantía absoluta de seguridad institucional invencible, pero sí lo logran en sincronía con una conciencia colectiva de salvaguarda en todos los estamentos de una organización.
