Opinión
Así como la tecnología evoluciona a pasos agigantados, también lo hace la sofisticación de los delitos asociados a ella. Más bien, los gobiernos corporativos de las compañías, sus directores, gerentes y expertos informáticos, deberían preguntarse día a día qué están haciendo para evitar ser víctimas de estos ataques y que Chile, con el esfuerzo de todos, no vuelva a ocupar un lugar en ese insólito ranking en el que nos ubicaron este año.
La reciente promulgación de la Ley de Delitos Económicos y contra el Medioambiente generó múltiples comentarios y dudas en diversos sectores productivos, no solo por el endurecimiento de las multas y sanciones que conlleva, sino también por la gran cantidad de delitos que la nueva norma agrupó bajo su manto. Pero entre los 237 delitos que engloba, ha pasado desapercibidos un grupo de ellos que, sin embargo, son de primera importancia en el mundo actual: los de tipo informático.
En una sociedad eminentemente digital e hiperconectada, en la que todo está a un clic de distancia y nuestra vida entera está contenida en dispositivos electrónicos, los ciberataques de todo tipo se han convertido en una de las mayores amenazas que enfrentamos. Países poderosos y Estados pequeños; agencias gubernamentales y empresas privadas; ONG y ciudadanos de a pie, todos somos potenciales blancos de quienes perpetran estos ataques y da lo mismo en qué rincón del planeta nos encontremos. Nadie está a salvo, tampoco Chile.
Hace unos meses, la empresa de seguridad informática israelí Check Point informaba que los intentos de ciberataques en nuestro país se habían cuadruplicado en tan solo un par de semanas y –por increíble que parezca– Chile se ubicaba entre las cinco naciones que más acciones de este tipo sufría en el mundo, solo por detrás de Mongolia, Nepal, Indonesia y Taiwán.
Ser el único país del hemisferio occidental en ese “selecto” ranking debiese haber sido noticia de primera plana y motivo de preocupación nacional. Porque en el último año, desde bancos y empresas a organismos como el Sernac y la Corporación Administrativa del Poder Judicial, llegando incluso hasta instituciones de la Defensa Nacional como el Estado Mayor Conjunto, han visto vulnerados sus sistemas informáticos, con la consiguiente retención de datos, hackeo de información sensible y filtración de correos electrónicos.
Pese a contar con una política de Estado en ciberseguridad desde la década pasada, la acumulación de casos solo evidenció que en esta carrera íbamos varios pasos detrás de los ciberdelincuentes y la enorme vulnerabilidad en la que nos encontrábamos.
La promulgación a fines del año pasado de la Ley de Delitos Informáticos (Ley 21.459) fue un primer paso para recuperar terreno y acercarnos al estándar internacional. Sanciona acciones delictivas como el acceso ilícito (por ejemplo, el uso de credenciales de acceso obtenidas sin autorización); el ataque a la integridad de los sistemas (a través del phishing, malware, ransomware y otros); la interceptación ilícita (interrupción o interferencia de un sistema informático desde fuentes externas); falsificación y fraude informáticos (robo de identidades, conexión a redes no autorizadas, uso de spyware), y la receptación de este tipo de datos (comercializar, transferir o almacenar información obtenida ilegalmente). Estos delitos ya estaban contenidos en la Ley de Responsabilidad de las Personas Jurídicas y ahora forman parte de esta nueva normativa.
Un segundo avance fue la presentación, en mayo pasado, de la nueva Política Nacional de Ciberseguridad por parte del Gobierno, que entre sus cinco ejes plantea crear una gobernanza pública para coordinar las acciones necesarias en ciberseguridad, tanto en el sector público como en el privado.
Y ahora último, como decía al comienzo de esta columna, la nueva Ley de Delitos Económicos y contra el Medioambiente incorporó la Ley 21.459 sobre delitos informáticos al largo catálogo de infracciones que busca armonizar las normas destinadas a proteger el orden económico y el establecimiento de un nuevo sistema de determinación de sanciones.
Así, nos hemos ido poniendo al día por el lado del orden normativo, pero está demostrado que no es suficiente para tomar la delantera frente a hackers y piratas informáticos. La ley debe ir acompañada de la adopción de medidas de compliance por parte de empresas e instituciones, que permitan reforzar su capacidad de enfrentar preventivamente la ocurrencia de estos ciberdelitos, gestionando sus respectivos riesgos a través de los controles que sean necesarios de acuerdo a la realidad que cada una enfrenta.
Cualquier compliance en el área informática, además, debe considerar aspectos importantes, independientemente de que estén o no normados. Por ejemplo, el proyecto de ley sobre protección de datos personales aún está en tramitación en el Congreso, pero para cualquier compañía que quiera hacer negocios en Europa o Estados Unidos es parte del estándar internacional que se les exige.
Deben ser las propias empresas las más interesadas en minimizar proactivamente amenazas que pueden paralizar su normal funcionamiento, exponer datos personales de miles de personas, provocar la pérdida de confianza de clientes, generar consecuencias legales e infligir un daño que puede ser irreparable a su imagen.
No esperen a ser víctimas de un hackeo masivo para actuar. Tampoco sirve dejar las políticas de compliance olvidadas en algún cajón del escritorio: tener un conjunto actualizado de normas y regulaciones no nos protegerá por sí solo, si las propias organizaciones no velan por que estas se cumplan de manera efectiva.
Recordemos que, así como la tecnología evoluciona a pasos agigantados, también lo hace la sofisticación de los delitos asociados a ella. Más bien, los gobiernos corporativos de las compañías, sus directores, gerentes y expertos informáticos, deberían preguntarse día a día qué están haciendo para evitar ser víctimas de estos ataques y que Chile, con el esfuerzo de todos, no vuelva a ocupar un lugar en ese insólito ranking en el que nos ubicaron este año.
