El Boom de la Ciberseguridad llega a Chile: Semana de Seminarios y Conversatorios

El término ciberseguridad se ha vuelto viral y tiene más presencia que nunca en los medios chilenos. Esto ha instalado el tema en varios sectores del país. Hay legisladores que vienen trabajando en áreas relacionadas desde hace un buen tiempo, y este boom reciente propone un escenario ideal para dar a conocer su trabajo. Durante la primera semana de julio se realizaron tres eventos que contaron con la participación de diversos expertos en seguridad informática, legislación y protección de datos personales. Estuvimos en ellos para entender cuál es la situación actual en el país.

Por Daniela Carmona, Security Researcher Nivel4.

Seminario Internacional de Innovación en Ciberseguridad – SOFOFA

El 3 de julio se realizó el Seminario Internacional de Innovación en Ciberseguridad, organizado por la SOFOFA y la Embajada y misión comercial de Israel en Chile, y contó con una multitudinaria asistencia, principalmente del mundo empresarial, retail, banca y servicios. El evento nos permitió tener una visión acerca del estado actual de la ciberseguridad en Chile y conocer cómo hizo Israel para convertirse en el país líder en la industria de la Infosec, además de conocer la visión de negocios de algunas empresas que, junto a charlas informativas, aprovecharon de promocionar sus productos.

La jornada comenzó con la introducción de Raúl Ciudad de la Cruz, presidente de la ACTI y miembro del Consejo directivo de la SOFOFA, quien aseguró algo lógico, “la mejor seguridad es no ponernos en peligro”. Luego Eldad Hayet, embajador de Israel en Chile, nos contó que uno de los principales pilares para que Israel se convirtiera en la potencia que es en ciberseguridad, fue la educación. Además, el país contó tempranamente con una política pública de ciberseguridad, que abarcó el asunto de manera holística, y en el cual el estado se convirtió en un agente articulador entre los diferentes actores involucrados. Israel presenta un permanente desafío para las organizaciones de defensa, lo cual se ha traducido en incubación y desarrollo de soluciones en torno a la tecnología y ciberseguridad. Además, fundamental ha sido la cooperación internacional. Por otro lado, destacó la disposición a trabajar con el gobierno y el ambiente de desarrollo de la ciberseguridad en Chile, lo cual es un gran punto a favor para Chile que debemos aprovechar.

Posteriormente, Carlos Landeros, de la Subsecretaría de Defensa de Chile, expuso sobre Estrategia de Ciberseguridad, explicándonos que ésta, en Chile posee una visión de Estado, no de gobierno y es un trabajo multisectorial, en el cual están involucrados los sectores legislativos, privado, la academia y la ciudadanía. Nos habló de la Política Nacional de Ciberseguridad, de sus 5 grandes objetivos: sobre la infraestructura, legislativos, difusión, colaboración internacional y desarrollo de la industria. Para alcanzar el correcto desarrollo de estos 5 grandes objetivos, la Política Nacional de Ciberseguridad contempla 41 medidas específicas.

Prosiguió con la jornada la charla de Ami Shafran, director del Centro de Tecnologías de la Universidad de Ariel y ex jefe del Departamento de I&D en la Dirección de Inteligencia de Israel, y en su charla “Enfrentando las Amenazas Cibernéticas a través de la Innovación”, nos explicó cómo fue que Israel se convirtió en el líder en materias de ciberseguridad. Ami explicó que esto ocurrió sobre la base de la necesidad, puesto que Israel está bajo constante amenaza. Israel fue el primer país en definir el campo cibernético como un campo de guerra y el impulso que el gobierno le otorga constantemente al desarrollo de la ciberseguridad en el país ha sido fundamental para la industria. El ecosistema del sector de la ciberseguridad en Israel está plasmado en una relación triangular entre la academia, la milicia y la industria, y el estado actúa como articulador entre estos 3 sectores. La inversión en Investigación y Desarrollo se aborda como política de estado. Actualmente la industria israelita de ciberseguridad está compuesta por más de 400 compañías, totalizando exportaciones por 3.5 billones de dólares, lo cual corresponde a un 5% del mercado global en ciberseguridad. Como consejos a nivel país en torno al desarrollo de un ambiente ciberseguro, Ami nos deja la frase “sean conscientes, estén preparados, cooperen”.

Después fue el turno de Danic Maldonado, comisario de la Brigada del Cibercrimen de la PDI, quien expuso sobre la “Situación actual del País en cuanto a Amenazas Cibernéticas y Posicionamiento de la Institución”. En Chile existen tres brigadas del cibercrimen: una en Valparaíso, otra en Concepción y en Santiago, donde también se encuentra en Laboratorio Central. Explicó que una de las grandes y primeras problemáticas para la institución radica en que las personas no informan a ella los ciberataques que sufren, por lo cual las estadísticas en Chile son absolutamente inciertas. Además, subrayó que la PDI necesita capacitación a nivel nacional e institucional, de manera de saber cómo actual frente a casos de ciberdelitos.

Luego expusieron expertos de Checkpoint (La próxima generación de la Ciberseguridad), ELBIT (Ciberprotección de Infraestructuras Críticas, Retos y Amenazas) y Grupo MER (Desafíos y Soluciones de Ciberseguridad en el siglo XXI).

En general la jornada estuvo enfocada a una audiencia de negocios, y por ende, se abordó el tema de la ciberseguridad de forma bastante general, se promocionó una feria de ciberseguridad en Israel, se promocionaron soluciones y productos de empresas israelitas y se explicó la situación del país a esa audiencia.

Protección de los Datos Personales en la Economía Digital

El día siguiente (5 de julio), se celebró el seminario “Protección de los Datos Personales en la Economía Digital”, organizado por Chamber and Partners en asociación con Philippi Prietocarrizosa Ferrero DU & Uría. Este seminario contó con la participación del Senador y exministro Felipe Harboe en su calidad de experto, creador del proyecto de ley de Protección de Datos Personales, y evangelizador sobre la importancia de protegerlos. Al principio de su exposición nos comenta que estamos en un cambio de era casi paralelo a la creación de la imprenta. No estamos en una época de cambios, sino en un cambio de época. En este tiempo de cookies y geolocalización, es imprescindible el consentimiento informado: La ciudadanía debe estar consciente de la responsabilidad de la entrega de sus datos. En materia de adopción de tecnología, Chile lleva unos 30 años de retraso. Y en este contexto, con las nuevas tecnologías de automatización e inteligencia artificial, la pérdida de trabajos será una problemática cada vez mayor. Cada vez será menos importante el “de qué colegio saliste?”, y cada vez más necesario que los infantes aprendan a programar.

En torno a la protección de datos personales, ésta siempre ha estado supeditada al desarrollo legal. En Chile, el primer gran hito ocurrió en 2018, con la modificación de la Ley sobre Protección de la Vida Privada (Ley 19.628), donde en su artículo 4º se autonomiza el derecho a la protección de datos personales como un derecho autónomo, independiente al derecho de la privacidad. El segundo gran hito fue la puesta en vigencia de la GDPR, que crea un reglamento general y externaliza las particularidades a directivas particulares, valga la redundancia. La importancia de esto es que hace mucho más fácil adaptar las normas particulares de acuerdo al avance de la tecnología (que es rapidísimo), sin la necesidad de modificar el reglamento general (con toda la problemática que esto implica). Este es un muy buen ejemplo para Chile (y el mundo) de cómo se deben abordar estos procesos legislativos en torno a la protección de datos y a la adaptación a las nuevas tecnologías.

Harboe finalizó su charla indicándonos la importancia de legislar en torno a esto temas:

“Si Chile no tiene una ley de protección de datos personales, quedaremos fuera del derecho digital”.

La jornada prosiguió con un panel integrado por representantes de Falabella, Dupont, Wallmart y el mismo Felipe Harboe, en donde se discutieron temas relacionados a las propias empresas y sus políticas de datos personales. Luego expuso Leticia López respecto de la GDPR y su impacto extraterritorial, en donde nos explicó que el derecho a la protección de datos es un derecho autónomo, hacia el dato mismo y no hacia la intimidad, es un derecho que prevalece ante los intereses comerciales, nos contó que a las empresas les ha costado mucho adaptarse al GDPR, e incluso las empresas más diligentes han tenido apuros, todo esto en el contexto en el que la GDPR implementa el principio de Accountability y dado que las infracciones a la GDPR se publican, las empresas hoy en día se preocupan más de cuidar su reputación que de las posibles multas que el incumplimiento les podría traer, puesto que el daño en términos de imagen es mucho mayor que la multa a la que estarían sujetas. Concluyó su presentación explicándonos que si no alcanzamos estándares globalizados, tendremos problemas en términos comerciales, puesto que no podremos efectuar transferencias de datos de forma que éstas cumplan con los diferentes estándares que se creen.

Continuamos con otro panel, esta vez integrado por representantes de WOM, de Libertad y Desarrollo y de la Comisión Nacional de Productividad, en donde se expusieron diferentes puntos de vista frente a los datos personales.

Conversatorio Ciberseguridad en Chile: ¿Estamos Preparados?

La súper jornada de ciberseguridad finalizó el viernes 6 de julio con el Conversatorio Ciberseguridad en Chile: ¿Estamos Preparados?, actividad que fue organizada por el Senador Harboe, y que contó con la participación de destacados expertos de diferentes sectores y en diferentes temas ligados a la Ciberseguridad.

El director del programa Red Conectividad del Ministerio del Interior, Carlos Landeros, expuso sobre las Acciones del Gobierno para mejorar los Estándares de Ciberseguridad. Dentro de ellas, están implementar la Estrategia de Ciberseguridad y ejecutar la Política Nacional de Ciberseguridad con sus 5 grandes objetivos (Infraestrusctura, Legislativo, Difusión, Colaboración Internacional y Desarrollo de la Industria).

Luego abogada del equipo de tecnologías y protección de datos de Carey y Cía, Javiera Sepúlveda nos otorgó una perspectiva legal y abordó el proyecto de ley sobre Protección a los Datos Personales en su presentación “Obligación de notificar ataques de cibercrimen”.

Continuó con la jornada el Senador Kenneth Pugh, en su calidad de experto en inteligencia, ciberguerra y ciberdefensa con su presentación “Preparación de Infraestructura Crítica”. Pugh habló de un panorama más bien pesimista en cuanto a la situación actual de Chile en materias de ciberseguridad. Para la ciberdefensa, explica que ésta es la tarea de proteger la infraestructura crítica de nuestra información. Nos indica la importancia de tener definiciones adecuadas, y de tener niveles de alerta en materia de cyberwarfare y la importancia de estudiar y comprender cómo funcionan los grupos de ataques dirigidos (APT), de modo de poder, como nación, enfrentarlos. El Senador nos cuenta que existen diferentes modelos a nivel nación que han sido exitosos en cuanto a implementar un país ciberseguro: España, Estonia y el Reino Unido, son ejemplos en esta materia. Dos de los pilares para lograr un ecosistema a nivel nación más seguro son, por un lado, la Ley de Protección de Datos Personales y por otro lado, la Ley de Protección a la Infraestructura Crítica de Información.

Luego tuvimos la fortuna de contar con un miembro de la academia, Alejandro Hevia, Ph.D. y profesor de la Universidad de Chile, con su exposición “El Camino hacia la Votación Electrónica Segura en Chile”. En su presentación nos explicó diferentes conceptos relacionados a la votación electrónica (VE): hizo la distinción entre la votación electrónica presencial y la remota, comentando que ésta última es extremadamente riesgosa. Luego discutió los beneficios de la VE: Ahorros, usabilidad y aumento en la participación son beneficios, por decir lo menos, discutibles. En cuanto a los contras, éstos guardan relación a que los sistemas sean hacheados, lo cual en una elección es una tremenda amenaza a la democracia. Nos explica que el camino hacia un sistema electrónico para Chile consistiría en estudiar y entender el sistema actual, identificar las mejoras parciales potenciales, identificar y construir la infraestructura necesaria y testear prototipos locales y construir desde lo mas chico a lo más grande. Si seguimos ese camino, eventualmente, y sólo si existen antecedentes bien entendidos y confiables que justifiquen los nuevos sistemas, habremos construido sistemas de votación electrónica útiles y seguros.

Finalizó la ronda de exposiciones el profesor Daniel Álvarez, abogado especialista en derecho y tecnología, y consultor internacional en ciberseguridad y ciberdefensa, con su charla “Propuestas normativas sobre ciberseguridad”. En cuanto a esto, existen dos vías para avanzar en ciberseguridad en materia normativa: La administrativa, con las medidas a trabajar con la Política Nacional de CiberSeguridad (y aquí destacó la importancia de crear matrices regulatorias) y la vía Legislativa, en donde destacan la nueva Ley de Protección a los Datos Personales, la nueva Ley de Delitos Informáticos, las obligaciones de ciberseguridad en mercados regulados (como el bancario, con la Ley General de Bancos, sectores sanitarios, eléctricos, de salud y transporte, telecomunicaciones), lo ideal de una autoridad nacional de ciberseguridad e infraestructura crítica y la creación de una Ley de Ciberseguridad e Infraestructura crítica. Daniel explica que el camino para lograr esto implica un arduo trabajo técnico, consenso político y planificación legislativa. Para esto, la inversión en Investigación y Desarrollo son fundamentales, así como lo es la importancia de la capacitación en estos temas. En general, la charla de Daniel tuvo un corte marcadamente optimista, lo cual se agradece y felicita, pues nos estimula a continuar en nuestros esfuerzos por crear un entorno más seguro.

Prosiguió una ronda de preguntas y respuestas, la cual aprovechamos para aportar, a propósito de una pregunta hecha por un miembro de la audiencia: ¿Como privados, qué podemos hacer, cómo podemos aportar? Pues bien, como privados, desde Nivel4 lo que hemos hecho y cómo hemos aportado (y esperamos que pueda ser un ejemplo a seguir por otras compañías) es invertir en Investigación y Desarrollo, realizar fiscalización técnica ciudadana reportando vulnerabilidades que afectan a todos los chilenos mediante Responsible Disclosure, compartir nuestro conocimiento acumulado por ya décadas de investigación y aprendizaje, y concientizar a la población en materias de ciberseguridad.

En Nivel4 celebramos la realización de instancias como ésta, en donde converge el mundo legislativo, la academia y el público relacionado a la ciberseguridad. Podríamos sugerir involucrar también a hackers chilenos en los conversatorios, y a miembros de la industria de la ciberseguridad en Chile, sin que esto se convirtiese en un mercadillo de productos. Desde este  sector existen visiones bastante amplias, globales, expertas y tremendamente dispuestas a colaborar en la creación de un ecosistema más seguro, en el desarrollo de una industria de la ciberseguridad más robusta, y en la colaboración, desde ésta, a un país digital y moderno, a un verdadero Chile del Futuro.