Un fuerte incremento en el gasto de servicios de asesorías, mantenciones de equipos y capacitaciones en ciberseguridad develó una revisión realizada por Pulso a reparticiones del Estado a través de la plataforma de Mercado Público.

Entre el 1 de agosto y el 5 de octubre de 2022, 14 estamentos públicos destinaron $102 millones a cursos y programas vinculados a la seguridad cibernética. En igual período del año pasado, siete organismos hicieron órdenes de compra por $ 20 millones.

La filtración de documentos del Estado Mayor Conjunto (EMCO) se conoció el 19 de septiembre, pero el ataque realizado por el grupo Guacamaya, fue alertado en agosto por una empresa de ciberseguridad, según la agrupación hacktivista. A ese ataque vinieron otras amenazas al poder judicial y varios ministerios.

Según la revisión realizada por Pulso al portal Mercadopublico.cl entre el 19 de enero y el 28 de septiembre de 2022 las distintas reparticiones del Estado han efectuado 43 ordenes de compra en materias de ciberseguridad, destinando fondos en total por $582 millones. Mientras que para todo 2021, el gasto por dicho concepto alcanzó $273 millones en 62 transacciones, lo que equivale a un alza del 113% en el último año.

Entre 2016 y fines de septiembre de 2022, el Estado ha destinado $2.275 millones a la adquisición de programas y capacitaciones en seguridad informática.

En los últimos dos meses y medio, la mayor orden de compra en ciberseguridad la realizó la Dirección de Compras y Contratación Pública el pasado 28 de septiembre y tuvo un costo total de $ 34 millones. La operación encomendada a Emergya Ingenieria Sl Agencia en Chile consideró la mantención de sistemas informáticos de la plataforma de Compras Públicas.

La segunda compra más costosa la registró Sercotec, con un desembolso de $15 millones. Se trató de un contrato en la que la entidad dependiente del Ministerio de Economía firmó un contrato de prestación de servicios de TI administración de infraestructura, gestión de la ciberseguridad y monitoreo con Santana Red de Negocios SpA, sociedad representada por Jaime Santana López, ingeniero civil informático.

En una tercera posición se ubica la consultoría informática de proyectos de ciberseguridad que encomendó la Comisión para el Mercado Financiero (CMF) el 28 de agosto por $14 millones. El 22 de julio, el jefe responsable del departamento de TI de la CMF, Christian Metcalfe, firmó una resolución en la que originalmente el valor del contrato sería de $16,5 millones, pero posteriormente dicho monto se reduciría debido a que el acuerdo se realizó por medio de un “convenio marco” con Servicios Informáticos Actis Limitada.

La compra más cara

Sin embargo, todos estos montos no se comparan con la orden de compra que efectuó la misma entidad a cargo de regular el mercado de valores el 29 de julio de 2022, cuando encomendó la adquisición de “herramienta y servicios de ciberseguridad, y respuesta a incidentes” a ITSEC S.A. en un contrato que tuvo un valor total de $348 millones.

Se trata de la orden de compa en servicios de ciberseguridad más cuantiosa que haya encomendado un estamento público desde que tiene registro el portal de Mercado Público. Es una operación histórica, que sólo es comparable con la que efectuó el 9 de noviembre de 2017, el Servicio Agrícola Ganadero (SAG) con un desembolso de $197 millones.

ITSEC fundada en 2007 cuenta con reconocidos clientes, como BancoEstado, Banco Central de Chile, Banco Consorcio, LATAM, Transbank y Cencosud, según detalla en su página web corporativa.

Entre los servicios que contrató durante 12 meses la CMF están el servicio de monitoreo en ciberseguridad (threat hunting) y ciberinteligencia por un período ($146 millones); servicios de reporte de incidente ($59 millones) y 1.000 horas de capacitación al personal de la CMF en Ethical Hacking.

Recomendaciones

Juan Pablo Beltrán, socio de CyberTrust SpA explicó a Pulso que las necesidades en ciberseguridad que poseen los servicios del Estado son diversas. Por ejemplo, los requerimientos de entidades regulatorias como la Superintendencia de Pensiones y la Comisión para el Mercado Financiero (CMF) son altamente complejas en comparación a los que plantea Sercotec o INDAP.

La dificultad surge debido a que todos los planes de acción en cibernética son medidos a través de una misma vara. Se trata de la circular de ciberseguridad que dictó la Presidencia de La República y que establece los controles mínimos para los servicios públicos.

“Son 34 controles de los 114, dependiendo de la madurez de la organización, y en muchas ocasiones los servicios públicos terminan cumpliendo el nivel básico. En este nivel, comienzas a reportar los incidentes al Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) y también a elaborar servicios de gestión propia para establecer las bases, y análisis de vulnerabilidad”, añadió.

Desde Genetec -empresa que se dedica a servicios de seguridad informática- explicaron que “uno de los principales errores es pensar que los ataques cibernéticos a los sistemas de seguridad electrónica solo se limitan a daños o robos de información de estos sistemas en particular, pero en gran parte estos ataques se dirigen a aplicaciones, archivos y datos de otras soluciones administrados por el departamento de TI de una organización”.

En este sentido, la compañía destacó que se debe concientizar a los colaboradores sobre los peligros informáticos es uno de los principales desafíos actuales de las empresas. Por eso es clave capacitar de manera permanente a los equipos para mantenerlos actualizados sobre las nuevas formas y técnicas de ciberataques a los que están expuestos, tanto ellos como la empresa.