La propuesta:
¿Eres abogado y deseas aprender nociones fundamentales del Derecho a la Ciberseguridad, para tener una panorámica general de los aspectos que involucra y criterios de diálogo y discusión al respecto?
Te ofrezco esa posibilidad, a través de la lectura de seis columnas/lecciones que iré publicando. Una cada 10 días, más o menos. Y sólo por tu cara bonita.
Cada una de ellas sintetizará un tema general y te la presentaré de la forma más didáctica que me sea posible.
¿Qué te pediré a cambio? Dos cosas: que formules comentarios y observaciones a cada columna (pues eso me permite corregir, mejorar los contenidos y me incentiva a seguir explicando) y que la difundas a través de tus redes sociales, pues necesitamos que los profesionales del Derecho, en materia de ciberseguridad, tengamos una base de diálogo común, de forma de estar en condiciones de opinar y evaluar sobre si podemos dar (o no) ciertos servicios a los clientes y, sobre todo, olfatear cuando estamos frente a un riesgo. O a sofisticados vendedores de humo.
Debes tener claro que leer 6 largas columnas no te convertirás en especialista en el área, pero sí te entregará nociones y criterios para tomar decisiones informadas.
¿Tienes que tener conocimientos especializados de tecnologías? Aunque no es un conocimiento despreciable, más bien necesitas saber bastante de Derecho. Y, sobre todo, tener ánimo y disposición de seguir aprendiendo e investigando.
Entonces, si estás de acuerdo con todo lo anterior, empecemos.
A. ¿QUÉ ES LA CIBERSEGURIDAD?
Partiremos diciendo que las personas, las empresas y las instituciones, para funcionar en el día a día, poseen activos de información, que simplificadamente es cualquier dato que tiene valor (el registro de notas de un colegio o las nóminas de teléfonos de los clientes, por ejemplo).
Entonces, nuestro rol como abogados es contribuir desde el ámbito jurídico a la protección de esos activos de información, pero también velar por el respeto de los derechos fundamentales de las personas y por el bienestar de las mismas.
En ese sentido, nuestro trabajo es más amplio que el apoyar la protección de los activos, sino que debemos contribuir a una ciberseguridad fortalecida, entendiendo ciberseguridad como el conjunto de herramientas, políticas, conceptos, salvaguardas, directrices, métodos de gestión de riesgos, formación de personal, prácticas estandarizadas, seguros y tecnologías necesarias para proteger tanto a los activos de una organización como a sus usuarios.
Sí, los activos de información son importantes, pero las personas no son menos dignas de nuestros esfuerzos.
Ahora bien, en materia de ciberseguridad hay una triada que encontraremos en todas partes y que debemos recordar: la ciberseguridad existe para garantizar las propiedades de seguridad de los activos de la organización, que son la disponibilidad, la integridad y la confidencialidad.
La disponibilidad se refiere a asegurar que los activos de información estén disponibles y operativos cuando sean necesarios, evitando interrupciones no planificadas.
Si, por ejemplo, la gente se atiende en un hospital, necesitamos que la ficha médica electrónica de cada persona esté disponible para el médico cada vez que se requiera.
La integridad es el concepto que se refiere a la garantía de que la información y los datos no serán alterados en forma no autorizada, y que sólo las personas o entidades autorizadas tengas acceso a los recursos de información (a esto en particular se le llama autentificación) y que quien tenga acceso a los mismos o los modifiquen no pueda negarlo, pues existe evidencia (a esto se le llama garantía de no repudio).
En el ejemplo reciente, sólo un médico tratante debería acceder a la ficha médica electrónica y tendría que quedar registro de ese acceso, así como de las modificaciones introducidas.
Por último, para completar la triada, está la confidencialidad, que tiene dos dimensiones: por una parte la protección del contenido de los activos de información, de forma de asegurarnos que nadie que no esté autorizado husmee dentro de los mismos y, por otra, es el deber de no divulgar la información o los activos por parte de quienes accedieron a ellos.
Es decir, el médico, no por emplearse en otra parte o por haber abandonado la profesión, está liberado del deber de confidencialidad de la información sanitaria que conoció con ocasión de su trabajo (¿ven que esta parte es tan jurídica como técnica?).
Y en todo esto, ¿dónde estamos los abogados?
En múltiples partes, pues somos un apoyo fundamental para una estrategia de ciberseguridad exitosa de cualquier empresa o institución.
Entonces, estamos en la elaboración de políticas de seguridad, en la creación de protocolos de actuación, en la revisión de contratos con proveedores, en la redacción de acuerdos de confidencialidad, en los reglamentos de seguridad e higiene, en las políticas de uso legítimo de recursos (como el correo electrónico), en la redacción de cláusulas de los contratos de trabajo, en la revisión global de los sistemas generales de seguridad de la información (los SGSI, que merecen una columna aparte) y, en general, de toda actividad que nos permita cautelar de mejor forma los activos de información de una empresa o institución y a las personas que trabajan o se relacionan con ellas.
Sé que acabo de mencionarles muchas cosas aparentemente distintas, pero todas ellas están entrelazadas o vinculadas con la ciberseguridad, que es el conjunto de procedimientos dirigidos a prevenir y gestionar incidentes de seguridad.
¡Atención! Seguridad de la Información y Ciberseguridad no son exactamente lo mismo, sino que tienen una relación de género a especie. Así, ciberseguridad se refiere a la protección de sistemas informáticos, redes, dispositivos y datos contra ataques cibernéticos; a su turno, la seguridad de la información es un concepto más amplio que abarca la protección de toda la información, tanto en formato digital como en papel y en múltiples escenarios.
A ver si lo explico mejor con un ejemplo.
La desaparecida profesora Marcela Larenas fue, por muchos años, Directora de Tecnologías de la Información en la Universidad de Chile, y se ocupó de que existiera el software y el hardware necesario para proteger los servidores frente a ataques a través de las redes. Y eso es ciberseguridad.
Pero, a la vez, hizo desaparecer el piso del edificio en que se encontraban los servidores. Si subías en ascensor, por ejemplo, pasabas del piso 8 al 9 sin enterarte que entre ellos estaba, precisamente, el piso protegido. Y cuando en una protesta los estudiantes se tomaron el edificio, la Universidad pudo seguir funcionando normalmente, pues no descubrieron dónde estaba el corazón tecnológico. Y eso es gestión de la seguridad de la información. Es más amplio que la ciberseguridad.
¿Perseguir penalmente a los ciberdelincuentes es parte de la ciberseguridad?
En esto quiero ser muy claro: que estemos en un procedimiento penal no es bueno. Significa que todo fracasó, que el daño se ha producido, los platos ya se quebraron y no hay forma de recomponerlos.
En el procedimiento penal perseguiremos a un fantasma o a alguien que nunca podrá resarcir el daño que ha provocado. Y, como consecuencia del proceso judicial, el cliente irá perdiendo cada vez más dinero, con escasas expectativas de retorno.
¿Mi consejo? Cuando aborden estas temáticas, apuéstenlo todo a la prevención. Nadie gana nada llorando sobre la leche derramada.
B. MARCO JURÍDICO DE REFERENCIA
Es un tópico que cuando se pregunta por la regulación normativa de la ciberseguridad, se diga que casi no hay regulación. Eso es absolutamente falso.
No sólo porque hay decenas de normas generales y clásicas del Derecho aplicables a las distintas situaciones, sino también porque desde hace algún tiempo a la fecha se ha ido dictando una generosa normativa sectorial, usualmente alimentadas por su correspondiente escándalo, como ocurrió reiteradamente en el ámbito bancario, años atrás.
Aquí no pretendo hacerles un detalle, sino sólo las normas y directrices generales a tomar en consideración.
Convenio de Budapest de 2001.
El Convenio de Budapest contra el Cibercrimen es el primer tratado internacional que busca abordar los delitos informáticos y la cibercriminalidad de manera global.
Su objetivo es armonizar las leyes nacionales, mejorar las técnicas de investigación, y aumentar la cooperación entre los países miembros para combatir delitos como el fraude y la piratería informática, la pornografía infantil, y la violación de derechos de autor en el entorno digital. El Convenio establece procedimientos para la recopilación de evidencia electrónica y fomenta la creación de puntos de contacto nacionales para asegurar una rápida cooperación internacional. Chile adhirió el 27 de abril de 2017
Atención: El Convenio obliga a Chile como Estado, pero no es de aplicación directa a los ciudadanos.
Política Nacional de Ciberseguridad 2023-2028
La Presidente Bachelet dictó para el 2017-2022 una primera política nacional, con un conjunto de objetivos que finalmente o se cumplieron pobremente o, derechamente, no se cumplieron: contar con una infraestructura de la información robusta y resiliente, velar por los derechos de las personas en el ciberespacio, desarrollar una cultura de la ciberseguridad en torno a la educación y la responsabilidad, establecer relaciones de cooperación en ciberseguridad con otros actores y promover el desarrollo de una industria de la ciberseguridad.
El 4 de diciembre de 2023 se publicó la segunda Política, que esencialmente renueva las promesas anteriores.
Política de Ciberdefensa
Publicada en marzo de 2018, es un instrumento creado para el ámbito militar, que pretende hacerse cargo de la creciente incorporación de tecnologías de la información y las comunicaciones en la Defensa Nacional, analizando la aplicabilidad al ciberespacio de los principios tradicionales que guían la actuación de las fuerzas militares en las operaciones convencionales.
Esencialmente adapta al ciberespacio conceptos ligados al uso de la fuerza, la legítima defensa y el respeto a la soberanía, estableciendo una organización y estructura para darle sustento.
Ley marco sobre sobre ciberseguridad e infraestructura crítica de la información
Esta ley establece la institucionalidad, los principios y la normativa general que permite estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares.
Es especialmente relevante si nuestro cliente es una empresa o institución que presta un servicio esencial (una generadora eléctrica, por ejemplo) o es un operador de importancia vital, por todo el conjunto de obligaciones y responsabilidades que les cae encima y de las que hay que hacerse cargo.
Ley Nº21.459, que establece normas sobre delitos informáticos, deroga la Ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de Budapest
Esta ley se dictó recién el año 2022 y tiene por objetivo actualizar la tipificación de los delitos informáticos, adaptándolos a los estándares del Convenio de Budapest sobre Ciberdelincuencia. Introduce modificaciones en la definición de delitos, como el acceso ilícito a sistemas informáticos, la interceptación ilegal de datos, la interferencia en sistemas, la utilización indebida de dispositivos y la falsificación y el fraude informático.
¿Su defecto? El Convenio de Budapest es de 2001, asi que nos hemos adecuado a la realidad tecnológica y jurídica de esa época. Y en ese momento, por ejemplo, no existía el acoso digital no sexual (stalking) ni el famoso phishing.
Ley Nº19.628, sobre protección de la vida privada.
Esta ley es de 1999 y regula el mercado de los datos personales (a pesar de su nombre no se hace cargo de la vida privada); establece principios básicos como la finalidad, calidad, seguridad, y consentimiento para el tratamiento de datos personales, además de derechos específicos para los titulares de los datos, como el acceso, rectificación, cancelación, y oposición al uso de sus datos personales. También contempla la creación de un registro de bancos de datos en el Registro Civil.
Ahora, desde la perspectiva que no establece sanciones ni autoridades que se encarguen de su cumplimiento, es una ley prácticamente irrelevante, salvo por el daño reputacional que puede causarte la infracción de sus disposiciones cuando llega al conocimiento de la opinión pública.
Pero hoy los hados han cambiado y ya está en última fase de la tramitación parlamentaria una reforma global, que hará que Chile cumpla con los estándares internacionales en la materia, en particular el Reglamento General de Datos Personales de Europa.
Y como trae durísimas sanciones, ya ha abierto todo un nuevo mercado de servicios para empresas.
Y poco más. Pero, recuerden, estas son las normas generales. Las sectoriales, como las aplicables al sector eléctrico o al sistema financiero, son abundantes y pueden buscarlas por sí mismos.
C. ¿CUÁLES SON LOS OBJETIVOS DE LOS CIBERATAQUES?
Los ciberataques pueden clasificarse de acuerdo a distintos tipos de criterios, pero yo me centraré en una tipología que resalta el hecho de que los abogados no somos ajenos a estas materias, pues ella atiende a bienes jurídicos protegidos que conocemos.
a. Ciberataques contra la propiedad:
Aquí tenemos casi todos los casos de extracción no autorizada de información confidencial, como datos financieros, datos personales, secretos comerciales o propiedad intelectual.
También es la situación del ransomware, que es un tipo de ataque en el que los ciberdelincuentes cifran los datos de la víctima y luego le exigen un rescate en dinero para desbloquearlos.
En general, también es el caso de todos los fraudes en línea que se traducen en transferencias no autorizadas de fondos, manipulación de transacciones bancarias y el acceso ilegal a cuentas financieras.
b. Ciberataques contra la identidad de las personas:
Tampoco nos es desconocido. Aquí tenemos los casos de suplantación de identidad en los cuales el atacante pretende hacerse pasar por otra persona, ya sea en redes sociales, correos electrónicos u otros medios, con el fin de engañar a la víctima y hacerle creer, por ejemplo, que está contratando con determinada empresa, cuando ello no es efectivo.
c. Ciberataques contra el honor y el buen nombre:
El derecho a la honra y sus inmortales enemigas, la injuria y la calumnia, hacen su aparición. Y aquí aparecen todos los casos de publicación de información falsa respecto de una persona o empresa con el propósito de dañar su reputación. O también están las personas que, de múltiples formas, se ocupan que determinada información negativa nunca desaparezca de la red Internet. Y las funas por Internet, desde luego.
d. Ciberataques contra la seguridad y la integridad de sistemas:
Tal vez el más novedoso en lo que a bienes jurídicos se refiere. Abarca la intrusión en sistemas informáticos con el fin de “robar” información, causar daños o interrumpir el funcionamiento normal de una plataforma.
En casos más extremos, buscan la alteración de sistemas informáticos que controlan infraestructuras críticas como el suministro de energía, el transporte o la atención médica.
¿Ven? Nada del otro mundo. Aunque es una simplificación, podríamos decir que lo que cambia respecto de las áreas tradicionales del Derecho es que existen nuevas formas de afectación a bienes jurídicos protegidos que ya conocíamos.
D. ¿PODEMOS CLASIFICAR LOS CIBERATAQUES?
Aunque nunca he sido fanático de las clasificaciones de los ciberataques, la verdad es que existen muchas, pero nosotros atenderemos sólo a una de ellas, pues nos sirve por motivos pedagógicos: es la que distingue qué tipo de objeto fue el atacado para explotar su vulnerabilidad.
Las vulnerabilidades son las debilidades o lagunas que pueden ser explotadas para causar daño o acceder a la información. En ese contexto, el ataque es precisamente una acción que busca explorar una vulnerabilidad y comprometer la seguridad de los activos de información.
Y de esa acción puede resultar un verdadero incidente de ciberseguridad, esto es, un evento en que resulta comprometida la integridad, la disponibilidad o la confidencialidad de los activos información. Vamos, el desastre que se quería evitar.
Las vulnerabilidades son, entonces, una especie de puertas semiabiertas que siempre son un riesgo, pues pueden provocar su uso como vector de ataque. Y las hay del siguiente tipo:
a) Vulnerabilidades de software, originadas en los defectos o descuidos dejados en el código fuente en que fueron programadas las aplicaciones.
b) Vulnerabilidades de hardware, que no por ser menos comunes son críticos y suelen presentarse en routers.
c) Vulnerabilidades de red, que son el resultado de las deficiencias en el diseño y configuración de la arquitectura de red.
d) Vulnerabilidades de configuración, que son el resultado de configuraciones de seguridad inadecuadas, como sería el caso de aquellas organizaciones en los nombres de usuario son los números de RUT y la contraseña por defecto es el mismo número.
e) Vulnerabilidades humanas, que son la suma del descuido, la negligencia o la falta de información, como ocurre con quienes anotan sus contraseñas en papelitos amarillos que pegan en la pantalla.
f) Vulnerabilidades de “día cero”, que son aquellas que originalmente nadie conoce, ni siquiera el fabricante, hasta que un día son descubiertas y, durante algún tiempo, no hay parches de seguridad que solucionen el problema.
Todo lo que son los diversos tipos de ataques que existen (del estilo de SQL injection, DDoS, Phishing, Ransomware, etcétera), que son tantos como la imaginación humana pueda inventar, se los dejo a vuestra capacidad de investigar siglas y acrónimos, pero personalmente, yo optaría por preguntarle al eventual cliente qué es exactamente lo que ocurrió y si tiene a su disposición personal técnico para que te lo explique como si tuvieras 5 años.
E. PERO, ¿QUIÉNES SON LOS CIBERATACANTES?
Sáquese de la cabeza la idea de que estamos enfrentando sólo a chicos de lentes, con escasas habilidades sociales, de curiosidad insaciable y habilidades técnicas excepcionales llamados usualmente hackers.
Hoy en día, dentro de los infractores, tenemos una muy diversa fauna que va desde los ciberdelincuentes de profesión, dedicados a cometer actos de naturaleza ilícita para ganarse la vida; también a los hacktivistas, que utilizan sus ataques para entregar mensajes de protesta o de reivindicación de derechos; a organizaciones criminales en toda regla, que se coordinan para distribuirse roles y cometer delitos en Internet; a menores de edad que tratan de hackear redes y plataformas para demostrar sus habilidades (“script kiddies”, les llaman), pero que muchas veces se limitan a descargar de Internet herramientas automatizadas de ataque; tenemos sistemas de Inteligencia Artificial que van saltando de plataforma en plataforma probando sus vulnerabilidades, alimentando su base de datos de conocimientos y creando nuevas formas de ataque; servicios de inteligencia de los Estados, que tienen interés en obtener algún tipo de información confidencial o de vulnerar alguna institución estratégica; y los ciberterroristas, que buscan crear confusión y miedo en la población con finalidades políticas o ideológicas.
Pero, curiosamente, las amenazas más importantes suelen estar dentro de la propia empresa o institución, y son los empleados que buscan su particular ajuste de cuentas ante situaciones que consideran injustas. Y por ello es fundamental desplegar el fino arte de los abogados para desincentivar este tipo de situaciones.
Lección 3 de 6, «La construcción del derecho fundamental a la ciberseguridad».
Lección 4 de 6, «Ciberseguridad y protección de datos personales».
Lección 5 de 6, «Gobernanza de datos y ciberseguridad».
Lección 6 de 6, «La nueva ley marco de ciberseguridad e infraestructura crítica».
Buena introducción para comprender la temática de la ciberseguridad para los profesionales del derecho y gente en general que quiera comenzar a insertarse en la materia.
Que buena explicación ha realizado en terminos simplificados para comprender el mundo de la ciberseguridad. De verdad agredezco mucho su iniciativa porque se trata de una rama que para mi es un poco difícil comprender y, por ende, dificulta una debida atención, pero con esta exposicion ejemplificativa y teniendo en cuenta que en la actualidad los activos de informacion mueven nuestra sociedad, es necesario estar pendiente.
¿En qué consiste “el fino arte de los abogados” para desincentivar el que empleados (o ex empleados) busquen un ajuste de cuentas?
Los contratos suelen incluir cláusulas de confidencialidad de la información, pero se generan acciones que son difíciles de probar o de cautelar con redacciones contractuales.
Otras medidas se refieren a la definición de procesos que pongan una serie de “muros chinos” y se acoten las acciones posibles en “islas de riesgo”, pero eso no es sólo de abogados (según entiendo), sino una interfaz entre abogados, auditores y de manera central los encargados del área de negocio.
Quedo atento a los desincentivos de los artistas finos.