Ataque de virus: empresas locales no tienen la obligación de reportar incidentes

"En Estados Unidos si cotizas en la Bolsa y te atacan, y te roban una cierta cantidad de registros estás obligado a rendir cuentas de eso a un organismo público, acá en Chile no, todavía estamos muy atrás", dice Hugo Saavedra, subgerente de Innovación de la firma tecnológica Neosecure, sobre lo complejo que es tener un balance sobre los ciberataques del día viernes (ver nota principal).

Por ejemplo, en España el Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio de Energía, Turismo y Agenda Digital, entrega a diario los reportes de los incidentes que afectan a este país.

Saavedra dice que en Chile incluso sería complejo para alguien revelar una vulnerabilidad de alguna empresa. "Eventualmente te podrían demandar de vuelta", señala.

A juicio de este experto, uno de los pasos interesantes que se han dado para revertir el escenario actual, es la publicación de la Política Nacional de Ciberseguridad al 2022 por parte de la Presidenta Michelle Bachelet hace algunas semanas.

El subsecretario de Defensa, Marcos Robledo, secretario Ejecutivo del Comité Interministerial sobre Ciberseguridad, organismo a cargo de la elaboración del documento, indica que es efectivo que las empresas no tienen la obligación de reportar sus ciberataques ni menos existe un estándar para informar.

"En Chile no existe obligación legal por parte de empresas del sector privado de informar algún incidente. Entonces es muy difícil para la autoridad pública hacer un reporte completo en la medida que la información que entreguen las empresas sea voluntaria", dice Robledo.

Para revertir el escenario, el subsecretario señala que el documento establece 41 medidas para implementar en el período 2017-2018. La primera es el envío de un proyecto de ley de ciberseguridad, mientras que hay otras que apuntan a la creación de un Centro de Monitoreo Nacional o un Computer Security Incident Response Team, (CSIRT) a nivel país.

"Hoy no existe una sala de situación para que tengas la imagen o un panorama de todo el país. Hoy día hay centros de respuestas parcelados", explica.

Robledo añade que hoy tampoco no está estandarizado cómo se tiene que informar este tipo incidentes, así como tampoco no hay una norma que describa el mecanismo de cómo enfrentar una crisis de carácter nacional.

La política de ciberseguridad señala que a nivel regional, los países que han registrado el mayor número de ciberataques en Latinoamérica han sido Brasil, Argentina, Colombia, México y Chile, de ahí la importancia de contar con una estrategia de este tipo, que solo poseen 40 países en el planeta.

En términos estadísticos el documentos dice que los ataques o los intentos de vulnerar los sistemas en Chile son una realidad. Solo entre 2014 y 2015 la Red de Conectividad del Estado registró más de 100 millones de ataques, mientras que en el periodo 2010 y 2015 la PDI realizó 3.370 investigaciones relacionadas con ciberdelitos.