3 de agosto 2020

Chile aún no cuenta con una definición de infraestructura crítica, pero crecen las iniciativas sectoriales

Si bien hay interés de autoridades y expertos para establecer claramente cuáles sectores de la actividad nacional serán considerados como infraestructura crítica y cómo protegerlos desde un punto de vista de seguridad digital, la discusión se ha visto retrasada por efecto de la revuelta de octubre y la pandemia.

Primero que nada, ¿qué es infraestructura crítica? 'Se trata de aquellas organizaciones fundamentales para la operación y bienestar del país. Cualquier amenaza contra su operación normal tiene impactos fuertes sobre la población', explica Nicolás Corrado, socio de Risk Advisory de Deloitte.

'En general, en el mundo se consideran los servicios de transporte, salud, alimentación, energía, agua, gas y electricidad', detalla Marco Zúñiga, director en la Alianza Chilena de Ciberseguridad (ACC) y director ejecutivo de Chiletec, quien agrega que se ha empezado a discutir qué corresponde como infraestructura crítica en nuestro país, si bien este proceso se ha visto retrasado desde octubre pasado.

La definición depende de cada nación. 'Por ejemplo, la industria minera lo es en Chile. ¿Qué pasaría si atacan los sistemas informáticos de control de la molienda o el chancado en Codelco?', ilustra Zúñiga.

Sobre las amenazas enfrentadas por la infraestructura crítica, Corrado indica que estas siempre han buscado 'la interrupción del servicio, el espionaje y la ventaja competitiva o financiera a través del robo de información sensible', pero cada vez más intentan también 'hacer explotar equipos industriales, como un motor o un reactor. Buscan que un ataque digital tenga impacto directo en el mundo físico, lo que se llama destrucción de un servicio (DeOS)'.

'Hoy es mucho más viable realizar un ataque cibernético que uno físico sobre la infraestructura crítica', asegura Katherina Canales, directora operacional del Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) del Gobierno, quien agrega a los ataques que recibe la infraestructura crítica los de ingeniería social —'el phishing en particular, mismas técnicas que se aplican a las personas', dice—, el ransomware y los ataques de denegación de servicio (DOS).

Dmitry Bestuzhev, director del equipo de Investigación y Análisis para América Latina en Kaspersky, advierte que 'dependiendo del alcance del ataque, por ejemplo, si son atacados varios sistemas críticos de una vez, esto podría provocar incluso pérdidas de vidas humanas'. Por eso, para Bestuzhev, 'la infraestructura crítica tiene que ser considerada parte de la seguridad nacional', lo que debe reflejarse en sus presupuestos de seguridad informática.

Un ejemplo de ataque DeOS, señala el socio de Deloitte, fue 'cuando con un hackeo se intentó la explosión de una planta de la petrolera Aramco. No solo para causar daño físico, sino también golpear a la empresa antes de salir a la bolsa'.

El senador Kenneth Pugh (ind. cercano a RN) recuerda que los expertos del Global Risk Report —presentado en enero por el Foro Económico Mundial— ponen a los ciberataques contra la infraestructura crítica como el quinto mayor riesgo en 2020. Según el mismo reporte, un 76% de los consultados cree que el riesgo cibernético sobre la infraestructura se incrementaría este año.

Definiciones sectoriales

'Para nosotros todo el Estado es crítico', acota Canales. El CSIRT del Gobierno, explica, defiende toda la información que pasa por la Red de Conectividad del Estado, 44 nodos a través de los cuales los ministerios se conectan a internet. Pero para cuidar de la infraestructura crítica no basta velar por la seguridad del Estado: 'La mayor parte de la infraestructura está en manos de privados, en consecuencia, si queremos reducir el riesgo, tenemos que coordinarnos con ellos', señala.

Pese a lo anterior, aún falta avanzar en materia legislativa. El senador Pugh busca acelerar la discusión de proyectos como la Ley Marco de Ciberseguridad, que espera sea presentado este segundo semestre, y que consideraría 'la protección de la infraestructura crítica y la creación de las capacidades nacionales para proteger tanto su seguridad física como su ciberseguridad'.

'Nos faltan dos cosas. Primero, un liderazgo claro en temas de ciberseguridad', asegura el líder de Chiletec, quien recuerda que aún no se reemplaza a Mario Farren, quien renunció a su cargo como asesor presidencial en ciberseguridad en marzo. 'Y lo segundo', continúa, 'es avanzar en un modelo de institucionalidad'. En este contexto, algunas industrias clave se han coordinado en materia de ciberseguridad, como el sector financiero —a través de la CMF—, destaca.

Del mismo modo, el senador Pugh considera que 'cada sector debe tener un CSIRT, para enfrentar todo ataque que supere la capacidad de ser manejado por una sola institución'. Más aún, añade, 'las empresas de infraestructura crítica deberían tener en sus directorios un experto en ciberseguridad'.

Un ejemplo es el sector eléctrico. Javier Bustos, director de Estudios y Regulación de Empresas Eléctricas, indica que 'trabajamos hace tiempo con nuestros asociados, compartiendo las mejores prácticas y promoviendo el desarrollo e implementación de un plan sectorial'. Bustos explica que 'los riesgos en términos de ciberseguridad para el sector eléctrico solo pueden ser abordados en forma sistémica', ya que un ataque a una de las empresas de la red 'puede afectar a todo el sistema. Somos tan fuertes como lo es nuestro eslabón más débil'. Asegura, además, que 'por ello no solo es necesario que exista una política de ciberseguridad, sino que se manifieste en regulaciones sectoriales como la eléctrica, que permitan contemplar la ciberseguridad desde el diseño de las redes'.

En telecomunicaciones, Jozsef Markovits, jefe de la División Jurídica de la subsecretaría del ramo (Subtel), informa que hasta el momento, es cada compañía la que define su infraestructura crítica —centrada en la red celular—, a la espera de la legislación en trámite que permitiría a la Subtel realizar esta definición, además de designar las medidas para protegerla. Markovits también cita un decreto en trámite, que incorporará la fibra óptica a la infraestructura que puede ser definida como crítica en el sector.

Colaboración público-privada

'No tenemos Ley Marco ni Ley de Infraestructura Crítica que genere la obligación de reportar. El CSIRT está generando relaciones de confianza para que terceros nos reporten sus incidentes, porque las amenazas a la infraestructura crítica no van a esperar a que salga una ley', indica Canales. 'Porque lo que amenaza a un banco, por ejemplo, también va a atacar a los demás', añade.

Así, hoy el CSIRT comparte información sobre amenazas y ataques con empresas como Aguas Andinas, Cencosud, CCU, IBM, Cisco y Mercado Libre, señala Canales. 'También firmamos convenios con miembros del Sistema de Empresas Públicas (SEP), como Metro, la Casa de Moneda y Correos. Todo esto es para nosotros considerado infraestructura crítica', acota la funcionaria.

Canales agrega que 'muchas veces en las instituciones no hay equipos que puedan hacer el análisis forense o la investigación de incidentes', por lo que estas tareas las lleva a cabo el CSIRT. 'A las empresas SEP les prestamos el servicio de monitoreo, por ejemplo, ante defacement, que son los sitios clonados y dominios fraudulentos para realizar estafas', explica.

Clave es la compartición de información, añade, y por eso se trabaja para generar una plataforma de tipo MISP (por Plataforma de Compartición de Información de Malware), que debería estar en funcionamiento a fines de agosto. Cuenta también que el CSIRT ya mantiene un MISP donde comparte información de amenazas con Estonia, Israel, Reino Unido, la Alianza del Pacífico y EE.UU., entre otros.

Puedes revisar la noticia completa aquí

Fuente: El Mercurio

Artículos relacionados

Conversemos

Conoce mis ideas y permíteme conocer las tuyas