Desafíos en ciberseguridad para el próximo gobierno

Cristian "Tama" Bravo Lillo -

En noviembre de 2018, Yoshitaka Sakurada, el ministro de ciberseguridad de Japón, dijo en una sesión de la Cámara Baja de su país que “no sabía usar un computador” y que desde los 25 años, si necesitaba algo relacionado con computadores “se lo pedía a sus empleados”.

No hay que ser médico para administrar un hospital, o profesor para administrar un colegio. Pero para ser un administrador efectivo, es necesario tener un conocimiento mínimo de lo que se está administrando. Al ministro Sakurada (que está a favor de que Japón vuelva a utilizar energía nuclear) le preguntaron entonces si las plantas nucleares deberían permitir el uso de pendrives USB, a lo que respondió que no conocía bien los detalles; a continuación, dijo “¿qué tal si un experto responde su pregunta, si es necesario?”.

En 2007, un operativo conjunto entre los gobiernos de Estados Unidos e Israel logró infectar computadores del personal de la central nuclear de Natanz, en Irán, que estaba aislada de Internet para evitar ciberataques (una forma de defensa en ciberseguridad conocida como air-gap). Una vez infectados, los computadores infectaron a su vez los controladores de las centrífugas enriquecedoras de uranio, lo que generó una serie de accidentes y de fallas en la instalación. Este fue el famoso caso de Stuxnet, el malware desarrollado por Estados Unidos desde 2005 con un solo propósito: demorar la estrategia de desarrollo nuclear del gobierno iraní. Y todo con pendrives USB infectados.

Air-gap: Técnica de defensa de ciberseguridad en donde se aísla cierto establecimiento de internet. En Natanz, los computadores estaban a 8 metros bajo tierra, protegidos por dos paredes de concreto de 2,5 metros de espesor, y sin ninguna conexión a Internet.

Prioridad a la ciberseguridad

En políticas públicas es crucial que ministros y subsecretarios tengan no solo conocimientos básicos de sus respectivas áreas, sino que también sean capaces de administrar recursos relacionados con sus respectivas carteras. Este es solo uno de los desafíos que enfrenta el nuevo presidente electo, Gabriel Boric.

Boric, que en su plan dice que dará “prioridad especial a la ciberseguridad” enfocándose en la protección de los derechos fundamentales y evitando la vigilancia estatal de los ciudadanos, deberá decidir si apoya o no alguna de las iniciativas que el presidente Piñera anunció en su última cuenta pública, como la creación de una Agencia Nacional de Ciberseguridad y de una Agencia de Protección de Datos Personales. Ambas iniciativas, largamente esperadas por la comunidad de expertos en ciberseguridad, son cruciales para proteger nuestra infraestructura crítica, nuestra información y nuestro quehacer diario. ¿Qué significa esto?

Protección de la infraestructura crítica

Infraestructura crítica es aquella cuya destrucción o mal funcionamiento podría poner en riesgo la vida o el bienestar de los chilenos, como la red eléctrica o de distribución de agua potable.

Hoy la mayor parte de la infraestructura crítica es privada y depende de computadores conectados a Internet, que pueden ser vulnerados de forma relativamente sencilla. Sin una norma que concrete qué se considerará infraestructura crítica en Chile y sin medidas de ciberseguridad que las empresas estén obligadas a tomar, la infraestructura crítica (y por tanto el bienestar de las personas) siempre estará menos protegido de lo que debiera.

En 2021, nuestro país estuvo en el lugar 45 en el National Cyber Security Index (un índice que rankea a 160 países en ciberseguridad), por delante de todo el resto de Latinoamérica, pero detrás del resto de los países de la OCDE. Una realidad que se repite en muchas otras áreas, como en la efectividad del gasto público en educación y en inversión en ciencia y tecnología.

En ciberseguridad, tal como en inflación, salud, cambio climático y otros problemas globales, tenemos que saber como país "caminar y masticar chicle al mismo tiempo".

Una ley efectiva de Protección de Datos Personales nos permitirá proteger mejor los derechos de niñas y niños, y (ojalá) prevenir casos tristemente famosos como el de “Wena Naty” en 2007. Una regulación sobre ciberseguridad que incluya protección de la infraestructura crítica evitará (con esfuerzo, educación y un poco de suerte) que nos corten la luz como ocurrió en Ucrania en 2016, nos hipercloren el agua como pasó en Estados Unidos en 2021, o afecten gravemente la producción y distribución de alimentos, como sucedió en Australia, Canadá y Estados Unidos en mayo del año pasado.

Si te gustó este artículo y tienes un comentario o algo para complementarlo, escríbenos a cartas@fintual.com. Publicamos las más destacadas.