En conversación con el programa Palabras Sacan Palabras, el ex subsecretario de Telecomunicaciones, Pedro Huichalaf, habló sobre los ataques de hackeo que están ocurriendo en el país durante el último tiempo hacia diferentes entidades y organizaciones.
¿Le sorprendieron los hackeos o es algo que se podía prever?
Con la transformación digital es necesario la protección de los datos, que son los más importantes de una organización. Siempre se ha dicho que han aumentado los ciberataques, pero me ha impresionado la facilidad con la que han ingresado al sistema y me sorprende lo que dice la vocera del sistema judicial. Estamos ocupando un sistema operativo que ya no tiene más soporte, el Windows 7. Mis conclusiones es que hay más de 3550 computadores disponibles para posibles ataques.
Pareciera que pudiera hacerse lo que quieren ¿no debería haber una organización central que determine los lineamientos?
En materia de ciberseguridad los estándares de ciberseguridad no son exigidos en términos estrictos. Por ejemplo el EMCO o el poder judicial tienen los mismos estándares que se le pueden pedir a una pyme con un negocio. Si nosotros nos comparamos con otros países con sanciones y lineamientos, acá no hay. No hay organizaciones que regulen. Hay una discusión en el congreso que fue presentada el último día del gobierno de Piñera que crea esta institucionalidad, pero está en trámite y le queda mucho por avanzar.
Vimos los del comando conjunto, lo del poder judicial, lo del banco Falabella, antes lo del Sernac…¿Todo es parte de lo mismo?
Tal como los delincuentes en la vida real, los delincuentes se especializan. Con el EMCO fueron hacktivistas, a ellos les interesaba revelar información, en cambio en el caso del Sernac y poder judicial, tienen como objetivo un tema de dinero. Ellos encriptan información, extorsionan y las dinámicas son distintas, pero el ataque de ciberseguridad está siempre permanente. Lo que hace una ciberseguridad correcta es prevenir estos eventos y minimizarlos. En el caso de las fuerzas armadas fue una falla tan básica que no se actualizo un parche de seguridad que estaba de julio del 2021, sólo había que actualizarlo. Estas son cosas bastante básicas en instituciones muy importantes, no es un tema de recursos, sino que de capital humano. De jefaturas que tengas la conciencia que la ciberseguridad forma parte de un modelo de negocios.
Leímos que teníamos una ley que databa de 1992, que luego fue actualizada ¿Es suficiente para los desafíos nuevos?
Esta ley de delitos informáticos creó nuevas figuras penales, que no estaban informadas y dio más atribuciones al ministerio público, pero esto ataca un problema, pero repito, que pasa con los administradores, no hay una responsabilidad mayor con respecto a los administradores. En otros países no solo hay fallas por los hackers, también hay multas para quienes no apliquen los protocolos. Tiene que haber un trabajo de política pública de ciberseguridad, que existe en chile desde 2017, luego del convenio de Budapest, sólo que hace 4 años no se actualiza y entendemos que en 4 años hay un mar de actualizaciones tecnológicas.
Lo que me queda claro es que el error es sumamente básico…
Pasa lo mismo con el poder judicial. Hay 2 ítems de ciberseguridad, uno relacionado con la seguridad pública, pero otra arista es la «ciberdefensa», la cual está radicada en las fuerzas armadas. En la guerra entre Rusia y Ucrania nos encontramos una guerra híbrida, entre ejército y capital humano y guerra de ciberataques. En el caso del poder judicial están juego el acceso a la justicia y el común denominador es el factor humano, porque el factor más débil no son los equipos, son las personas.