El primer gran hackeo a una gran empresa lo reconoció Banco de Chile en 2018. En lo que va de este año, en menos de dos meses, supimos de dos instituciones que sufrieron la intervención de sus servidores. El primero fue Banco Estado en septiembre y que produjo la paralización de sus operaciones por varios días. Esta semana la noticia fue el ataque a los servidores de la división de Gobierno Digital donde están almacenadas las claves únicas y que depende del ministerio Secretaría General de la Presidencia.
El cibercrimen es algo que conoce bien el ingeniero electrónico Jorge Atton. Por muchos años encabezó la empresa Telefónica del Sur, después asumió como subsecretarío de Telecomunicaciones en el primer gobierno de Sebastián Piñera, fue director de Enel Generación Chile, director de TVN y en la segunda administración del Piñera fue anunciado con mucha publicidad como el nuevo asesor presidencial de ciberseguridad y que, algunos medios, lo bautizaron como el primer zar de la ciberseguridad, a la cabeza de una institución dependiente del ministerio del Interior y donde le tocó liderar la implementación de la agenda nacional del área, ingresando el proyecto de ley para actualizar la ley de Delitos Informáticos a los nuevos estándares del Convenio de Budapest de 2004.
Además de confeccionar una serie de instuctivos presidenciales con normas y estándares de ciberseguridad para las instituciones del Estado. Estaba en eso, cuando el gobierno le pidió en noviembre del 2018 volver al lugar donde nació, para asumir como intendente de la Región de la Araucanía después de la muerte del comunero mapuche Camilo Catrillanca (ver recuadro).
En esta entrevista, Atton es insistente en decir que es urgente acelerar el trámite de aprobación de la ley de Delitos Informáticos que lleva dos años en el Congreso porque "hoy no es delito hackear, sale gratis, no existe una legislación que tipifique los delitos informáticos como el hackeo o el uso de información personal".
-¿Qué es lo más urgente?
-Subirse al Convenio de Budapest de 2004, que Chile lo ratificó hace cerca de cinco años para adecuar la legislación chilena a una ley de Delitos Informáticos.
-¿Cuál es la importancia de una ley de delitos informáticos?
-Es el cuerpo legal que tipifica los delitos, le entrega más atribuciones, recursos y herramientas investigativas al Ministerio Público y a las policías en estos temas.
-¿Por qué no ha se ha tramitado?
-Lleva dos años en discusión y ahora tiene suma urgencia, espero salga luego. El otro cuerpo legal importante es la legislación sobre datos personales que es muy relevante y compleja porque determina las obligaciones que deben cumplir los privados y el Estado en el manejo de toda tu información personal. Implica medidas de seguridad, de protección, multas y sanciones.
-¿Hoy no hay multas o sanciones?
-No, y un elemento importante de la entrada en vigencia de estas leyes es que todas las instituciones van a subir los estándares de sus sistemas de vigilancia y protección para evitar que los sancionen.
-¿Esa estructura legal detiene estos delitos?
-También necesitamos una ley Marco de Ciberseguridad que debe establecer cuál será la agencia o ministerio responsable de instalar los centros de respuesta encargados de los testeos permanentes del sistema público y privado. Esta institución será central para evitar los ataques computacionales a la infraestructura crítica, aquella que si falla puede afectar a gran parte de la población y es el caso del sector energético, sistema financiero, Estado, entre otros.
-¿Actualmente cada uno se maneja solo?
-Cada uno funciona de manera independiente, con sus sistemas y esconden cualquier falla porque afecta su reputación. Lo que hay son normativas realizadas por el mercado financiero, el sector energía. Esta semana...
-¿Qué pasó con el caso de la clave única que conocimos esta semana?
-Que efectivamente hackearon la página web de Gobierno Digital que depende del ministerio Secretaría General de la Presidencia. Trataron de meterse y encontraron una brecha para entrar.
-¿Qué consecuencia tuvo para el servicio?
-No produjo mucho daño porque las claves están encriptadas y están localizadas en departamentos estancos distintos.
-¿Por qué es tan difícil vincular ambos?
-Porque están en archivos diferentes y lograr vincular un nombre con una clave es casi imposible.
-¿Que es un código encriptado?
-Es la manera en que protegen los nombres y claves, son códigos de 16 dígitos alfanuméricos que se usan para ocultar el nombre o clave. Se hacen con software especiales que realizan ese cambio para que sean ilegibles.
-¿En el caso de la clave única se dijo que habían robado las huellas digitales?
-Eso no es tan claro, es materia de investigación del Ministerio Público, pero también es muy dificil hacer la vinculación entre la huella y datos personales.
-¿Y cuál es el valor de obtener los archivos de clave única?
-Sacaron información sin valor. Sacaron fotos de esos datos, pero no están vinculados, es información inútil.
-¿Qué va a pasar ahora con Banco Estado?
-No va a pasar mucho porque no hubo robo de información, ni de dinero. El costo fue más operativo. El banco reaccionó rápido y aplicó el plan que hicimos en 2018, avisó a la Comisión para el Mercado Financiero (CMF), al centro de respuesta del ministerio del Interior y procedió a desconectarse de la red.
-¿Por qué se desconecta y deja de funcionar?
-Porque así el banco queda aislado de la red y todo lo que podían hacer los hackers adentro no pueden sacarlo. En el caso del Banco de Chile no se desconectaron y los hackers entraron al sistema de pagos internacionales. Esto explica por qué Banco de Chile siguió operando y Banco de Estado cerró por algunos días.
-Pero Banco Estado ha seguido teniendo problemas.
-Pero no por el hackeo, son temas operativos. Ellos actualizaron todos los programas y mejoraron todo lo que era necesario.
El nuevo peligro
-¿Van a ser cada día más comunes estos casos de intervención en bases de datos y servidores? -Este año el tema de la ciberseguridad explotó y me preocupa que las víctimas están empezando a ser empresas medianas y pequeñas.-¿Cómo?
He sabido de empresas medianas y chicas en que entran los hackers y le encriptan o bloquean toda la información el mismo día que tienen que pagar IVA o facturar, por ejemplo, impidiéndoles operar en un día clave para la empresa. Es ahí donde aparece un tipo que le exige dinero para desbloquearlo. Hay hackers que están extorsionando a pequeñas y medianas empresas.
-¿Qué pueden hacer esos dueños de empresas medianas o pequeñas para evitar estas extorsiones?
-Implementar políticas de resguardo como grabar todos los días la información crítica. Tienes que tener sistemas de respaldo independientes, que no estén conectados a la red.
-¿Qué se logra con eso?
-Si se produce la amenaza apagas el computador con que estabas operando, lo reinicias y recargas con la información de respaldo. Puede que pierdas información de las últimas horas, pero no todo.
-¿Quiénes son los responsables de estos hackeos?
-Pueden ser de otros países pero hay mucho a nivel local. Ha habido algunos casos de disputas entre grupos encargados de seguridad dentro de una empresa, dentro del Estado o entre equipos técnicos encargados de ciber seguridad que filtran las fallas y perjudican a competidores. Por eso es tan importante que estos delitos no queden impunes y tengan sanciones.
-La implementación de todo esto implica un aumento del costo para el Estado y las empresas.
-Este no es un tema de costos, es un tema cultural. Todos los incidentes que se han producido en el último tiempo son por errores de seguridad de información. En el caso del Banco Estado el presidente del banco dijo que fue porque un empleado se llevó el computador a la casa para el teletrabajo y seguramente ahí los hackers le ingresaron un ransonware que activaron cuando se volvió a incorporar a la red del banco.
-¿Existe poca conciencia de los riesgos?
-Es como el tema de los pendrives, antes los usuarios colocaban sus pendrives en el computador de la oficina, la casa, de los amigos, sin pensar que estaban comprometiendo la seguridad de esos computadores. Lo clave aquí es implementar una legislación que aumente los controles, sea muy estricta en seguridad informática. Hoy en el mundo informático puedes pasear por donde quieras y nadie te controla. Hay que cambiar esa cultura.