Amenudo se suele destacar el avance de Chile en ciertas materias y su abierto rezago en otras. Algunas de esas carencias revelan un retraso cultural en áreas clave para el desarrollo económico e institucional del país, como es el caso de la ciberseguridad. La falta de políticas preventivas y de protocolos de actualización permanente, la ausencia de una legislación que proteja los datos de las personas y la escasez de profesionales especializados, así como el vacío curricular que se observa en todo el sistema escolar, dan sustento al lapidario diagnóstico que realizan los expertos: tanto las empresas como las instituciones públicas no logran entender que la ciberseguridad es fundamental en la eficiencia de sus procesos.

“Hay una falta de concientización”, sostiene Xavier Bonnaire, Doctor en Informática y académico de la Universidad Técnica Federico Santa María. “Muchas empresas y organizaciones no están bien protegidas o no tienen ningún tipo de protección frente a los ataques. Actualmente la pregunta para una empresa no es si va a tener un ataque o no, sino cómo y cuándo. Es cosa de ver lo que ocurrió recientemente en el sector bancario”, agrega.

Un juicio similar mantiene Nicolás Boettcher, académico de la Escuela de Informática y Telecomunicaciones de la Facultad de Ingeniería de la Universidad Diego Portales. “En Chile la ciberseguridad es vista como un gasto y no como una inversión. Somos un país especialista en elegir soluciones de bajo costo, donde es común ver sitios desarrollados por alumnos aún sin titularse o sin conocimientos en seguridad”, declara.

Por su parte, Ricardo Seguel, Doctor en Informática y Director Académico del Magíster en Ciberseguridad de la Universidad Adolfo Ibáñez, ofrece un matiz al respecto: “Al menos, las grandes empresas invierten en seguridad desde hace más de 20 años. El cuadro empeora en las Pymes y en las instituciones que no piensan en los costos que implica el robo y exposición de sus datos”.

Xavier Bonnaire, Universidad Técnica Federico Santa María.

Nicolás Boettcher, Universidad Diego Portales.

Ricardo Seguel, Universidad Adolfo Ibáñez.

El problema es que la indiferencia tarda en retroceder, mientras los riesgos de un incidente vinculado a la ciberseguridad se diversifi can. “Las amenazas pueden ser externas debido a acciones de la competencia o de ciberdelincuentes que operan, por ejemplo, a través del ransomware, o de ciudadanos o consumidores ávidos de difundir información para desprestigiar a la empresa o la institución. Pero, también, hay amenazas latentes provocadas por un trabajador descontento”, señala Boettcher.

En tanto, Seguel recuerda que “en 2016 un estudio de IBM determinó que más del 60% de los ataques provienen de personas que trabajan o están subcontratadas, ya sea por error, omisión o mala intención. El mayor riesgo se genera cuando el atacante interno está allí infi ltrado por una organización de cibercriminales”.

En último término, los perjuicios también se traspasan a las personas naturales. “Vemos cómo se exponen datos personales en los servicios online del retail y de servicios públicos, o la fi ltración de datos personales a través de las redes sociales”, señala el académico de la UDP. Las debilidades de Chile son evidentes incluso para observadores extranjeros, lo que puede impactar negativamente las decisiones que toman los inversionistas. “La International Telecommunications Union, organismo de Naciones Unidas, ubica a Chile en la posición 83 a nivel mundial”, añade Bonnaire.

Puede ser una causa o su consecuencia, o un poco de las dos cosas, pero la ausencia de profesionales y técnicos especializados en Ciberseguridad es otro elemento que refl eja nuestra “adolescencia” digital. “Un ingeniero no es un especialista por el solo hecho de egresar de la universidad. Un especialista se forma en base a la experiencia práctica, con certifi caciones específi cas y con estudios de postgrado”, indica Seguel.

El problema, agrega Bonnaire, es que “las estimaciones dicen que deberíamos generar entre 6 mil y 10 mil expertos de aquí a 2025 y nuestro sistema de educación superior no tiene la capacidad de formar esta cantidad. Entonces, tendremos que ‘importar’ una gran cantidad de personal califi cado”. Pero hay otra dimensión de la que rara vez se habla, según Boettcher: “La ciberseguridad abarca la informática y las telecomunicaciones. La carencia de expertos se torna aún más acuciante en lo que respecta a seguridad en las telecomunicaciones, sobre todo si consideramos la gran cantidad de nuevos protocolos que están proliferando gracias al Internet de las Cosas (IoT)”.

Ricardo Seguel afi rma que también debemos formar expertos en gestión con claros atributos de liderazgo. “Chile requiere de gerentes y jefes en ciberseguridad. Asimismo, necesitamos formar arquitectos de ciberseguridad que diseñen la infraestructura y participen en el desarrollo de aplicaciones seguras. Existen también los especialistas en ciberdefensa que evalúan vulnerabilidades e implementan mecanismos de defensa y contención de ataques. Necesitamos especialistas en análisis forense y auditoría, así como ingenieros en ciberinteligencia, quienes analizan grandes volúmenes de eventos histó- ricos para detectar amenazas y nuevos tipos de ataques”, destaca.

Que el nivel de conciencia sobre la importancia de la ciberseguridad todavía sea bajo no quiere decir que no evolucione positivamente en los próximos años. “Las grandes empresas en Chile han invertido en ciberseguridad unos 200 millones de dólares al 2017, y se espera que se incremente en un 4,7% al 2021, según la consultora BCG”, afirma el Director Académico del Magíster en Ciberseguridad de la Universidad Adolfo Ibáñez. Tan dinámica se ha vuelto esta área que ya hay países que han optado por especializarse como proveedores de soluciones en ciberseguridad. “Tal es el caso de Estados Unidos, Israel, Francia y Espa- ña”, señala Bonnaire.

Las tendencias actuales en cuanto a tecnologías y productos arrojan señales interesantes que pueden guiar la provisión de servicios: técnicas de inteligencia artificial para la detección y respuestas a ataques; técnicas de Machine Learning, técnicas de autenticación de doble o triple factores para mitigar la filtración de contraseñas, sistemas biométricos para la autenticación de usuarios, tokenización de datos con el objetivo de no almacenar, por ejemplo, los números de tarjetas de crédito.

“También es clave la formación y capacitación de los usuarios”, añade Bonnaire. Nicolás Boettcher coincide, añadiendo que “se puede disponer de la mejor infraestructura y los mejores servicios, pero siempre el eslabón más débil en todo sistema es el usuario”.

La nueva institucionalidad

Se espera que la nueva Ley de Protección de Datos que se tramita en el Congreso puede ayudar a generar cambios culturales en la sociedad chilena respecto a esta materia. Al menos, ha abierto un debate que, con toda seguridad, según Seguel, irá permeando al resto de la población conforme sus integrantes comprendan el valor de la privacidad de sus datos. “Todas las personas exigirán que sus datos sean tratados con cuidado de no exponerlos al público o que sean utilizados para otros fines”, aclara.

“La ley sobre los delitos informáticos es del año 1993, lo que en el tema de la ciberseguridad corresponde casi a la prehistoria”, sostiene Bonnaire, a lo que Boettcher agrega que “es cosa de ver cómo en Chile se vocea libremente el RUT en el comercio”.

Al menos las empresas que disponen de esta información estarán obligadas a ser más cautelosas en su manejo, añade Boettcher. “Hoy vemos muchos sitios que hablan de seguridad, pero limitan al usuario a generar contraseñas numéricas y de extensión limitada que no debiesen estar permitidas. Basta con llamar al servicio al cliente para ‘suplantar’ a un usuario”.

No obstante, el académico de la UTFSM afirma que la ley es insuficiente. “Es necesario crear una Agencia de Protección de Datos Personales que sea independiente, así como una Agencia Nacional de Ciberseguridad cuyo rol sea generar políticas nacionales en la materia. Además, Chile requiere una Agencia de Protección de las Infraestructuras Críticas y un Instituto Nacional de Ciberseguridad, como el que existe en España, a efectos de articular esfuerzos entre el mundo privado y estatal destinados a estimular la innovación y educar a la ciudadanía”, concluye.