Los Equipos de Respuesta ante Incidentes de Seguridad Computacional (CSIRT, por sus siglas en inglés) corresponden al equipo humano que, mediante tecnologías y procesos, ofrece servicios y soporte a una comunidad particular de usuarios con la finalidad de responder, aprender y prevenir frente a incidentes de ciberseguridad al interior de su organización, pero también colaborar con empresas de su sector para abordar riesgos cibernéticos comunes.

Todo comenzó en 1988 cuando el gusano “Morris”, primer malware autorreplicable, se propagó en más de 6.000 servidores en ARPANET (precursora de Internet). Este hecho decretó la creación del primer Centro de Respuesta ante Emergencias Computacionales (CERT), dependiente de la Universidad Carnegie Mellon. Hoy es CERT/CC (Coordination Center), el referente mundial de metodologías y modelos para la gestión de CSIRTs. Así, hace ya 32 años, la necesidad creó este órgano de respuesta y coordinación para incidentes inter-empresas.

En la actualidad, existen varias agrupaciones globales de CSIRT, como FIRST (Forum of Incident Response and Security Teams), focalizada en promover la cooperación y coordinación internacional en la prevención de incidentes. La misma OEA publicó en 2016 un manual de “Buenas Prácticas para establecer un CSIRT nacional”, donde se plantea la importante función de CSIRT Sectoriales e incluso de un CSIRT para Infraestructuras Críticas Nacionales.

Localmente, la Política Nacional de Ciberseguridad de 2017 dice: “Chile contará con un CSIRT nacional que recopile y sistematice información proveniente de otros CSIRT (nacionales y extranjeros), promoverá la coordinación de acciones entre CSIRT sectoriales y tendrá la autoridad necesaria para coordinar la respuesta técnica frente a incidentes que comprometan la seguridad del país… Por otra parte, deberá evaluarse la pertinencia de crear un CSIRT de infraestructuras críticas. Se promoverá la creación de CSIRT sectoriales, por diversos actores públicos, privados, académicos y de la sociedad civil”.

A su vez, la Política de Ciberdefensa, de marzo de 2018, mandata la creación del CSIRT de la Defensa Nacional y señala que “la colaboración en el trabajo y acción en materias de ciberdefensa se materializará de forma integral con otros sectores del país, con entidades privadas, y con la sociedad civil”.

Ahora, el CSIRT de Gobierno y el de Defensa ya son una realidad; de hecho, el primero ha firmado variados convenios de colaboración con el sector privado y recientemente se hizo miembro de FIRST. Por su parte, la banca también ya está trabajando más integrada como sector y tienen obligación de reporte de incidentes a la Comisión para el Mercado Financiero (ex SBIF). También hemos conocido iniciativas muy preliminares de un CSIRT Sector Salud.

La mejor manera de entenderlo, sería aplicando casos concretos. Veamos algunos ejemplos para este CSIRT, que por ahora llamaremos CSIRT SE/CC:

a) Para apoyar el cambio cultural e integrar nuevos estándares y metodologías. Ahora se requiere más que nunca aprender a colaborar para, por ejemplo, entender la forma de responder y cumplir los requerimientos del nuevo estándar internacional NERC CIP homologado al Sector Eléctrico Nacional (en adelante, NERC CIP SEN) y que formaliza mecanismos y formatos de reporte frente a Incidentes de Ciberseguridad Reportables (ICR), los que deberán ser notificados al CEN y la SEC en un plazo de una hora. Esto requiere saber cómo declarar cuándo se trata de un ICR, y conocer además los requisitos R1, R2 y R3 del Estándar CIP-008 “Reporte de Incidentes y Planes de Respuesta”, en el sentido de:

• (R1) Formalizar un plan con la respectiva normativa, proceso, gobierno y gestión de respuesta ante incidentes de ciberseguridad.

• (R2) Documentar y operativizar la implementación del plan, evidenciado mediante sus registros de su operación, además de efectuar pruebas y ejercitación para el personal sobre al plan generado.

• (R3) Revisar, actualizar y comunicar el plan generado y probado.


El dar a conocer, nivelar conocimientos para comprender qué son cada uno de estos requerimientos y sus respectivas Medidas de Control (M1, M2 y M3), por ejemplo, sería una labor preventiva, de difusión, capacitación y colaboración del CSIRT SE/CC.


b) Para prepararse de manera colaborativa en la respuesta de los incidentes. Tan simple como establecer equipos de trabajo colaborativo para generar documentación homologada con los requerimientos señalados y que puedan ser “personalizadas” por cada organización, o, mejor aún, en la realización conjunta y coordinada de las pruebas que requiere NERC CIP SEN, en el requerimiento CIP-08.R2/M2-Ítem 2.1-c) “Probar cada Plan de respuesta a incidentes de ciberseguridad, al menos una vez cada 15 meses calendario… con una simulación o ejercicio operacional de un ICR”.

En tal sentido, el Senador Kenneth Pugh señaló: “La organización y entrenamiento sectorial, para enfrentar riesgos de ciberseguridad, es fundamental en una sociedad híper conectada. El sector eléctrico nacional es el mejor referente de esta transición digital”.

Otro ejemplo sería el uso de MISP (Malware Information Sharing Platform), como plataforma de inteligencia de amenazas utilizada para compartir información.


c) Para reaccionar como bloque frente a la detección de amenazas de día cero. Bastaría que alguna de las empresas identificara y notificara al CSIRT SE/CC la detección de un nuevo tipo de ataque o amenaza y su forma de contenerlo o mitigarlo, para generar una respuesta en bloque como sector, “cerrando” todas las “puertas” (vulnerabilidades) a dichas amenazas, sin siquiera haberlo detectado en sus propios perímetros. Esta capacidad de colaboración y sincronía generaría una respuesta masiva con una destacada sinergia.

En tal sentido, Samuel Mujica Fernández, Coronel de Aviación (BA) en Retiro de la Fuerza Aérea de Chile, a quien se le asignó la responsabilidad de formar el CSIRT de la institución entre 2009 y 2015, explicó que “la protección de la información digital de los distintos sectores del país -como ser Gobierno, Defensa, Eléctrico, privados y públicos- pasa por relacionar los eventos de los diferentes CSIRTs. Por analogía de conflictos bélicos, el éxito para anular las actividades de ciberdelincuentes pasa por tener el control del espacio virtual propio y cercano con la implementación integrada del CSIRT con sus pares del sector”.

Por esta razón, estaremos promoviendo y analizando las bases de un CSIRT Sector Eléctrico/CC en el IV Seminario Virtual de Ciberseguridad para el Sector Eléctrico Nacional, a realizarse el miércoles 9 septiembre a partir de las 10:00 horas. Este evento contará con la participación de Juan Carlos Jobet, Ministro de Energía; Carlos Landeros, Director del CSIRT de Gobierno; el Senador Kenneth Pugh y otros invitados con quienes conoceremos experiencias en la creación de un CSIRT, de miradas metodológicas y mejores prácticas, así como una visión sectorial y de empresas eléctricas.

Si pertenece al sector eléctrico y le interesa participar de este IV seminario, inscríbase en https://my.demio.com/ref/ DTAZJLbW7yMqDTKA o solicite mayor información al email jorge_olivares@ businesscontinuity.cl