La constante vigilancia por la ciberseguridad
Los ataques exitosos son el resultado de una mezcla de muchas malas prácticas, pero también de una falta de cultura de protección, pobre o mala higiene digital y falta de capacitación de empleados técnicos y no técnicos y de directivos de todo nivel.
Desde 2018, y bajo la Ley Nº 21.113, durante octubre se conmemora el Mes Nacional de la Ciberseguridad, que busca promover la concienciación en ciberseguridad entre la ciudadanía y las organizaciones, a través de la educación y el intercambio de buenas prácticas. Cada vez más necesarias, por cierto.
En un escenario actual caracterizado por la hiperconectividad, con cada vez más servicios en Internet o directamente en la nube, con vulnerabilidades descubiertas a diario, con exploits de día cero desarrollados, publicados y distribuidos en foros y por comunidades de hacktivismo, cada vez más especializadas y osadas, el riesgo de que una amenaza se concrete es cada vez mayor, como también lo es el impacto que esto pueda tener en cualquier organización, ya sea pública o privada.
Ya no basta con tener plataformas certificadas, con cajas y software de protección en el borde de la red o en el equipo final. Hoy los vectores de ataque son muchos e incluso hay algunos no visibles e imprevisibles; por lo tanto, la superficie de ataque se amplía más allá del hardware y software, abarcando también a las personas, los procesos y la cultura organizacional. En este contexto, el querer defenderse de los ataques aplicando parches y controles, no es suficiente, se debe ir mucho más allá, donde la Gestión y Mitigación de Riesgos son fundamentales para prevenir ataques, recurriendo a procedimientos y estándares establecidos por la organización con tecnologías avanzadas que ayuden a gestionar los diferentes tipos de riesgos detectados. Tomar conciencia en la organización es la clave, pero en algunos casos no ocurre, ya sea por desconocimiento, burocracia, directivos no involucrados o capacitados, lentitud en la toma de decisiones, bajo presupuesto y/o equipos de respuesta no preparados, y todo lo anterior implica no poder hacer frente a los vectores de ataque en constante evolución.
Por ello, los ataques exitosos son el resultado de una mezcla de muchas malas prácticas, pero también de una falta de cultura de protección, pobre o mala higiene digital y falta de capacitación de empleados técnicos y no técnicos y de directivos de todo nivel.
Las últimas brechas y ataques a instituciones en Chile, como al Sernac, el Estado Mayor Conjunto, la Comisión Nacional de Acreditación, el Poder Judicial y el intento de ataque a la Defensoría Penal Pública, entre otros, han resultado en filtraciones de datos sensibles de las instituciones afectadas y de todos los chilenos, y en secuestro de información con ransomware; pero, además, han evidenciado lo vulnerable que estamos como país, lo que podría terminar en un ciberataque a gran escala o a la infraestructura crítica. Esta es la razón del porque todo el ecosistema relacionado a la ciberseguridad trabaja en generar conciencia de lo importante que es la inversión en tecnologías, la gestión de riesgos, la capacitación, la concientización, el desarrollo de la cultura digital. Además, la necesidad de la inversión en investigación en distintos ámbitos, para la identificación temprana de vectores de ataque.
Si bien el panorama no es auspicioso, tenemos la oportunidad como país de tomar conciencia acerca de la importancia de proteger los bienes y servicios críticos de los ataques digitales, así como de mejorar el nivel de seguridad, de invertir en protección, y capacitación. Hay buenas intenciones, como la Ley Marco de Ciberseguridad y la nueva ley 21.459 (quizás con algunas modificaciones) y políticos y empresarios hablando del tema, pero no basta con eso. Se necesita más acción.
Como vemos, a nivel legislativo hay avances. Por otro lado, las instituciones formadoras están fortaleciendo el desarrollo de competencias en ciberseguridad, tanto a nivel de Formación Técnica Profesional, Universitaria, Postgrado y Educación Continua, con asignaturas y programas de estudio especialmente dedicados a esta disciplina. Por otro lado, desde el año 2019 existe oficialmente la Alianza Chilena de Ciberseguridad – Organización sin fines de lucro, fundada por 11 organizaciones, gremios, instituciones formadoras y organismos estatales, también sin fines de lucro– dedicada a impulsar estos temas en la agenda nacional, así como cooperar con las autoridades en esta materia, generar nuevas redes de contactos y alianzas internacionales. Inacap es una de las instituciones co-fundadora de la Alianza Chilena de Ciberseguridad.
Cuando ocurren ataques como los mencionados, la primera respuesta es buscar las fallas y sus responsables, pero debemos ir más allá de eso. Debemos aportar positivamente, difundir a la comunidad y concientizar a nuestros jóvenes y adultos mayores, reforzando la “capa humana”, pero siempre con el apoyo del Estado, las empresas y la academia. Aunque siempre se dice que las fallas, debilidades o ataques se producen por la interacción de las personas, también es cierto que eso, en la mayoría de los casos, es porque la organización no ha tomado acciones para evitar o disminuir ese riesgo, capacitando, entrenando o concientizando al personal.
Si movilizamos las voluntades en esa dirección, no solo podremos llegar a ser un país altamente digitalizado, sino también ciberseguro y resiliente.
Nicolás Contador,
profesor Área Tecnologías de Información & Ciberseguridad
Inacap Sede Valparaíso