Daniel Álvarez, Coordinador Nacional de Ciberseguridad:
Cristian Bravo, Jefe CSIRT de Gobierno:
“Esperamos cerrar este 2023 con dos grandes procesos esenciales que nos permitirán incrementar las capacidades de nuestro país en materia de seguridad digital”
“En el CSIRT de Gobierno ya nos estamos preparando para cuando esté promulgada la nueva Ley Marco de Ciberseguridad”
TRENDTIC.CL AÑO 2023
43
EDICIÓN ESPECIAL
ESPECIAL 2023
CIBERSEGURIDAD www.trendTIC.cl
Edición 43 - Especial Ciberseguridad 2023
1
Open More with HID Mobile Access®
Open More with HID Mobile Access by using your smartphone or wearable as a credential to access doors, networks, services and more. From banking and finance, educational institutions, global corporate entities and more - we provide the solutions for a mobile-first world, giving you unrivaled convenience, enhanced security and privacy protection, and operational efficiency. 2 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023 hidglobal.com
© 2023 HID Global Corporation/ASSA ABLOY AB. All rights reserved.
Ya terminado el mes de octubre, en donde pudimos recabar toda la información del mes, desarrollamos nuestro tradicional especial de ciberseguridad que hacemos todos los años, y que en esta ocasión especial, realizamos un gran trabajo para llevar a cabo una versión impresa, lo que le entrega, un sabor especial, tanto a nosotros como equipo, como también a todos nuestros lectores. Este mes de octubre, recién finalizado, se presentó como es habitual, el mes de la ciberseguridad en Chile, lo que se tradujo en mucho trabajo y actividades, y es por eso, que en esta edición nos dedicamos a destacar y dearrollar algunas de estas temáticas, destacando especialemnte el lanzamiento del Foro Nacional de Ciberseguridad, evento que congregó a representantes de todo el ecosistema de ciberseguridad nacional. Por otro lado, también nos enfocamos en desarrollar las diversas variables en las cuales la ciberseguridad obtiene un rol protagónico, y para ello, nuestros contenidos abarcan el estado del arte de la ciberseguridad en el sector salud, la realidad de la ciberseguridad en la infraestructura critica, como también en el desarrollo de aplicaciones y para finalizar en la educación. En esta edición, como es nuestra costumbre, incluimos una mirada de género sumamanete importante en estos días y para ello aprovechaamos el informe de Ciberseguridad y Género recientemente presentado en la Universidad de Chile, como resultado de un apopiado entendmiento que requiere el sinotinizarse socialmente a los movimientos de la industria, y reconociendo a la vez, la importante labor que realizan las mujeres que se desenvuleven profesionalmente en el negocio de la ciberseguridad Por otro lado, nos resulta interesante también el destacar la columna sobre Hacking ético, considerando la discusión legal sobre su regulación, situación que está sujeta a constantes evaluaciones y como consecuencia, genera un especial interés para todos los actores de este negocio. Y como señalé en un principio, el factor educación no podía estar ausente en este especial, y para ello, hemos destacado a los alumnos de ciberseguridad de Talca que desarrollaron una aplicación para cosmetología, lo cual nos demuestra las posibilidades de fortalecer y ampliar la cadena de valor en todo el quehacer nacioanl
EDITORIAL Por Isabel Morell Directora trendTIC
Entendiendo el importante rol que tienen las autoridades, no podía estar ausente en esta edición la visión del Estado de Chile, por esta razón entrevistamos a Daniel Álvarez, Coordinador Nacional de Ciberseguridad y Cristian Bravo, Jefe CSIRT de Gobierno, considerando la inminente aprobación de la Ley Marco de Ciberseguridad y la instauración de la Agencia Nacional de Ciberseguridad Y como siempre, cabe destacar en esta edición la nota central, ya que profundizamos, por una parte, en la gestión del riesgo, como también considerando los recientes acontecimientos, abordamos la gestión de incidentes en el caso de ser afectado por un ciberataque. Por último, destacar la participación de los distintos sectores del ecosistema de ciberseguridad, tanto público como privado, líderes en el Estado, la academia, la industria y clientes. Porque como se ha escuchado con frecuencia en este recién finalizado octubre,es importante destacar que la ciberseguridad es colaborativa. Me despido, invitándoles a leer y disrutar de esta edición especial impresa, que compartan con nosotros sus opiniones y que también nos sigan a través de las diversas plataformas que trendTIC dispone; y así se mantendrán al tanto de todas las tendencias de la industria. t
Consejo Editorial
Periodistas
Fotografías
Imágenes
Isabel Morell
Karina Espinoza
Alejandro Soler
Pablo Silva
Ricardo Zuñiga POCDAY: Daniel Trincado
Diseño
Pablo Antillanca
123RF Carlos González
Si deseas comentar algún articulo y/o compartir con nosotros tus dudas o sugerencias, ingresa a nuestra página web: www.trendtic.cl o escríbenos a contacto@trendtic.com y nos contactaremos contigo a la brevedad. Es muy importante para nosotros conocer tu opinión. TrendTIC - Avda. Nueva Providencia 1881, oficina 1620. Providencia. Santiago. e-mail: contacto@trendtic.com
www.trendTIC.cl 3
Edición 43 - Especial Ciberseguridad 2023
ÍNDICE
DESDE PÁGINA 8 ESPECIAL DE
CIBERSEGURIDAD
Con la participación de: Daniel Álvarez, Jocelyn Arteaga, Soledad Bastías, Eduardo Bouillet, Cristian Bravo, Katherina Canales, Milagro Gutiérrez, Alejandro Hevia, Sergio Hume, José Lagos, Diego Muñoz, Mauricio Ramírez, Ximena Sepúlveda, Carlos Serrano, Daniel Soto, Fabián Vega, Nicolás Zalaquett y Pablo Antillanca.
PÁG. 20 Alejandro Hevia
Alianza Chilena Ciberseguridad
PÁG. 23 Diego Muñoz
Universidad Mayor
4 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
PÁG. 30 Jocelyn Arteaga CISO BUPA CHILE
PÁG. 38 Daniel Álvarez
Coordinador Nac. Ciberseguridad
PÁG. 44 Cristian Bravo CSIRT de Gobierno
PÁG. 56 Daniel Soto
Subgerente Ciberseguridad CGE
Chile fue sede de la Primera Cumbre Ministerial y de Altas Autoridades sobre la Ética de la Inteligencia Artificial de América Latina y el Caribe Durante los días 23 y 24 de octubre de 2023 se realizó en Santiago el Foro de Altas Autoridades sobre la Ética de la Inteligencia Artificial de América Latina y el Caribe, cuyo objetivo fue intercambiar y elaborar propuestas, desde un espacio político y técnico, respecto al desarrollo ético de la IA en nuestra región. El encuentro que duró dos días, contó
con la presencia de dieciocho países de Latinoamérica y el Caribe, además de la industria, la academia, parlamentarios y sociedad civil. La instancia, permitió a las distintas naciones describir las políticas públicas que están impulsando en esta materia, compartir sus preocupaciones respecto de los usos de la Inteligencia Artificial (IA)
y definir políticas regionales para abordar este desafío. “El objetivo principal es conformar una instancia que nos permita tener una voz común respecto a la Inteligencia Artificial -explicó la ministra de Ciencia, Tecnología, Conocimiento e Innovación, Aisén Etcheverry-. Hoy esta tecnología es un tema de preocupación de todos los países
www.trendTIC.cl 5
Edición 43 - Especial Ciberseguridad 2023
del mundo, no solo por cómo se desarrolla sino porque es necesario pensar cómo nos ponemos de acuerdo para que su uso sea en beneficio de la humanidad y para avanzar en bienestar. Esa discusión, que se está dando en la OCDE, en Naciones Unidas y que ha propiciado también UNESCO, es una en que Latinoamérica tiene mucho que decir. Por eso nos reunimos en Santiago hoy para acordar una visión común y coordinar cómo podemos representar, ojalá desde Chile, a Latinoamérica en estas conversaciones globales”. Por su parte, Gabriela Ramos, directora general adjunta de Ciencias Sociales y Humanas de UNESCO, institución co-organizadora, señaló que “la región de América Latina y el Caribe (LAC) es un jugador relevante en la conversación de IA a nivel mundial. Este evento marca un hito histórico y nos complace que se esté dando con base en la Recomendación sobre la ética de la IA de UNESCO, que ya adoptaron los 193 (ahora 194 con USA) estados miembros de UNESCO. Agradecemos especialmente a Chile, a través de su Ministerio de Ciencia, Tecnología, Conocimiento e Innovación, por todo el liderazgo que han tenido en esta iniciativa”. Sergio Díaz-Granados, presidente ejecutivo de CAF -Banco de Desarrollo de América Latina y el Caribe-, destacó que “una Inteligencia Artificial ética presenta para nuestra región enormes retos y oportunidades. Desde CAF estamos listos para acompañar este proceso, mediante un liderazgo ético que dimensione las oportunidades y los riesgos de la IA, con el objetivo de aumentar el impacto positivo en los países de América Latina y el Caribe en conjunto con los gobiernos nacionales y subnacionales, el sector privado y la sociedad civil”. Argentina, Brasil, Chile, Colombia, Costa Rica, El Salvador, Guatemala, Honduras, Jamaica, México, Perú, Paraguay, República Dominicana, Santa Lucía, San Vicente y las Granadinas, Surinam, Uruguay y Venezuela fueron los países presentes en el encuentro. Declaración de Santiago Con la firma de la “Declaración de Santiago para promover una Inteligencia Artificial (IA) ética en América Latina y el Caribe”, culminó el Foro de Altas Autoridades en esta materia, convocado por el Gobierno de Chile, la UNESCO y CAF. La Declaración firmada por los 20 países recoge la Recomendación sobre la Ética de la Inteligencia Artificial de la UNESCO y subraya, como punto de partida de las políticas públicas sobre IA, la necesidad de elaborar y adoptar medidas de política pública y normas jurídicas que tengan como marco todas las normas y principios transversales de derechos humanos, incluyendo la proporcionalidad e inocuidad, la seguridad y protección, la equidad y la no discriminación, la igual-
6 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
dad de género, la accesibilidad, la sostenibilidad –social, cultural, económica y ambiental–, el derecho a la intimidad y la protección de datos personales, la supervisión y decisión humana, la seguridad de la información, la transparencia y la explicabilidad, la responsabilidad y la rendición de cuentas, la sensibilización y educación, y la gobernanza y colaboración adaptativas y de múltiples partes interesadas, entre otros. Con el fin de profundizar el diálogo regional respecto al desarrollo y al despliegue de la IA en la región, desde un punto de vista que refleje las necesidades e intereses de América Latina y el Caribe, los países aprobaron “el establecimiento de un Grupo de Trabajo con miras a la constitución de un Consejo intergubernamental de Inteligencia Artificial para América Latina y el Caribe, en el marco de la Recomendación sobre la Ética de la IA de la UNESCO, con el propósito de fortalecer las capacidades regionales en la materia”. Los convocados decidieron -según consta en el escrito- “elegir a la República de Chile para encabezar el Grupo de Trabajo y se le solicita convocar a una reunión de trabajo en el transcurso del primer semestre de 2024”. t
Mira el documento de Declaración de Santiago para promover una Inteligencia Artificial ética en América Latina y el Caribe
www.trendTIC.cl 7
Edición 43 - Especial Ciberseguridad 2023
ESPECIAL 2023
CIBERSEGURIDAD Cada vez nos enteramos de nuevos incidentes, de nuevos ciberataques a nivel global y Chile no es la excepción, por lo que en este escenario, administrar el riesgo y saber cómo gestionar de manera eficiente un incidente, son desafíos que abordamos en esta edición con distintos especialistas del ecosistema de ciberseguridad nacional, que aportan su mirada diversa. 8 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Antes de navegar por las aguas profundas de la ciberseguridad, es importante visitar primero el océano que puede llegar a significar los riesgos ¿qué tanta aversión o aceptación del riesgo puede considerar nuestra organización? Es una pregunta que debe hacerse cada empresa o institución. Evitar, reducir, transferir, aceptar, compartir, explotar, monitorear o diversificar, son algunos de los enfoques que podemos tener en la gestión del riesgo, dependiendo su naturaleza, de la industria y la cultura de la organización. Ya en el 2012 el NIST en el Guide for Conducting Risk Assessments (NIST SP 800-30 Revision 1) define el riesgo como una medida del grado en que una entidad se ve amenazada por una circunstancia o evento potencial. Se describe en términos de los efectos potenciales que resultarían de la materialización del evento y la posibilidad de que dicho evento tenga lugar. En esos años hablar de gestión del riesgo cibernético en Chile, era algo que se realizaba en pocas organizaciones y de manera muy secundaría en otras. Los años han pasado, los incidentes se han presentado y la realidad actual ha cambiado. Tanto que según Kaspersky, en el periodo de junio 2022 a julio 2023, en Chile se realizaron 27 ataques con algún malware por minuto. Si bien falta por avanzar aún más, no cabe duda que en la actualidad roles como el CISO, están cada vez más posicionados dentro de las organizaciones, como una muestra de la mayor importancia que se le está dando a la ciberseguridad. De esta manera, con una mayor conciencia, con empresas más preparadas y con tecnología cada vez más accesible, ¿Cuáles son los principales retos a los que se enfrentan las organizaciones al gestionar el riesgo en la actualidad? Katherina Canales, Gerente General de NIVEL4, responde señalando que “estar protegidos, por un lado, y contar con las capacidades suficientes para enfrentar un incidente de ciberseguridad, por el otro, dependen de muchos factores en un entorno que cambia con especial dinamismo”. Enfatizando que “el principal desafío es la evolución y sofisticación de los tipos y técnicas de amenazas. En la medida que se van desarrollando nuevas tecnologías, los desafíos para la ciberseguridad se van haciendo cada vez más complejos, porque los ciberdelincuentes siempre están a la vanguardia y son de los primeros que intentan incorporar los avances en sus “modelos de negocios criminales”. Como consecuencia, las organizaciones están en la obligación de, por un lado, estar al tanto de las innovaciones tecnológicas, y por otro, evaluar muy bien cómo se integran de manera cibersegura cualquier nueva herramienta a sus procesos. Esto va de la mano de otros retos a nivel interno, como lo son la inversión de recursos en ciberseguridad y la priorización de esos recursos. Las organizaciones necesitan recursos para enfrentar los riesgos y amenazas de ciberseguridad, pero estos se hacen escasos cuando el escenario de amenazas y riesgos se expande sistemáticamente, ya sea por factores internos como exógenos. Cuando existe un número limitado de recursos, las organizaciones deben tomar decisiones estratégicas que permitan sacar el mayor provecho de estos, siempre cuidando la protección de sus activos críticos. Es por eso que se deben concentrar en tener presupuestos que visualicen el potencial crecimiento de la organización en contextos de acelerados cambios en las tecnologías. La adopción de tecnologías y prácticas laborales híbridas que están haciendo más eficiente el trabajo implican de por sí otros riesgos. Las organizaciones están creciendo dentro de las oficinas, pero también lo hacen más allá de esos límites. Ahí hay dos desafíos importantes. Por un lado, tener conocimiento de todos los dispositivos que están conectados en una red, de por sí, es complejo. Pero, además, con la adopción del trabajo remoto las organizaciones deben asegurarse que los colaboradores que acceden a distancia a los sistemas de la compañía tengan la capacitación y la tecnología adecuada para proteger la información.
“Uno de los elementos clave corresponde a que el riesgo de ciberseguridad sea considerado un riesgo de negocio, y no sólo un riesgo tecnológico. Además, es esencial que sea entendido por todos los estamentos de la organización” www.trendTIC.cl 9
Edición 43 - Especial Ciberseguridad 2023
Lo anterior también deja a la vista otros desafíos que abordar, como la gestión de este basto y complejo sistema tecnológico, con infraestructuras en la nube, IoT, el uso de la inteligencia artificial, etc., todos los cuales necesitan ser administrados por profesionales calificados, pero que también exigen la aplicación de una gobernanza en ciberseguridad. Aquí hablamos, por un lado, del riesgo que implica la escasez de talentos para satisfacer la creciente demanda en ciberseguridad, y también del desafío que implica adoptar políticas de ciberseguridad, y responder al cumplimiento normativo y a las regulaciones. Y por supuesto, también está el riesgo que significa la gestión responsable y cuidadosa de la información, algo que está en las manos de los colaboradores de la organización. La educación y concientización es un desafío permanente y fundamental, porque las personas pueden ser la puerta de entrada a muchas amenazas, pero también porque pueden ser los primeros en defender a la organización cuando nos enfrentamos a amenazas desconocidas. A todo lo anterior hay que agregar la evolución misma del cibercrimen, el que cada vez se especializa más, en la adopción de nuevas técnicas y tácticas, y formatos de negocios en la Dark Web. Esto obliga a las organizaciones a asumir que un incidente es algo que va a suceder, y por lo tanto, la respuesta al incidente debe estar entre los principales riesgos que deben gestionar”. Por su parte, Milagro Gutiérrez, Arquitecta de soluciones de ANIDA, señala: “En el entorno digital actual, las organizaciones se encuentran en una batalla constante para salvaguardar sus activos críticos mientras navegan por un mar de amenazas en constante evolución. La gestión del riesgo de ciberseguridad, por lo tanto, se ha vuelto una tarea cada vez más ardua, impregnada de desafíos multidimensionales que se entrelazan y exacerban mutuamente. La creciente complejidad de los sistemas y redes informáticas amplifican exponencialmente los puntos potenciales de falla. A medida que las infraestructuras de TI evolucionan y se expanden, también lo hace la superficie de ataque, ofreciendo a los adversarios un terreno fértil para explotar vulnerabilidades, muchas de las cuales pueden pasar desapercibidas debido a la vastedad y la interconectividad de los sistemas modernos. Este problema se ve agravado por el ritmo acelerado al que emergen nuevas amenazas cibernéticas. Los actores malintencionados continuamente refinan y adaptan sus tácticas, creando un entorno de amenazas en perpetuo cambio que desafía incluso a los equipos de seguridad más competentes y actualizados.
“El desafío se extiende más allá de las fronteras organizativas debido a la creciente dependencia de terceros, ampliando el riesgo a la cadena de suministro. Las organizaciones no solo deben concentrarse en fortificar sus propias defensas sino también de sus socios y proveedores” 10 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Además, la asignación de recursos suficientes para la ciberseguridad sigue siendo un obstáculo formidable para muchas organizaciones. A menudo, se encuentran en una encrucijada financiera y logística, buscando equilibrar la protección adecuada de sus activos digitales con presupuestos que pueden ser insuficientes para la tarea en cuestión. Esto es aún más problemático cuando se considera la importancia crítica de la formación y concienciación de los empleados. El personal no informado puede convertirse fácilmente en un punto de entrada para ataques, haciendo que la inversión en su educación en ciberseguridad sea crucial, aunque a menudo se pasa por alto o se subestima. El desafío se extiende más allá de las fronteras organizativas debido a la creciente dependencia de terceros, ampliando el riesgo a la cadena de suministro. Las organizaciones no solo deben concentrarse en fortificar sus propias defensas sino también asegurarse de que sus socios y proveedores mantengan estándares de seguridad comparables, lo cual introduce una capa adicional de complejidad en la gestión de riesgos. Al mismo tiempo, el cumplimiento regulatorio se ha convertido en un campo minado, con normativas estrictas y en constante cambio que varían no solo de un sector a otro sino también de un país a otro. Las organizaciones, especialmente aquellas con presencia global, deben maniobrar cuidadosamente a través de este mosaico de regulaciones para evitar sanciones severas y daños reputacionales.
A pesar de estos desafíos, las organizaciones deben mantener la resiliencia, preparándose meticulosamente para incidentes adversos. Esto implica la creación de planes de respuesta detallados y su constante actualización y prueba a través de simulacros de incidentes, un proceso que, aunque es esencial, también es recurso-intensivo”. En resumen, Gutiérrez señala que “la gestión del riesgo de ciberseguridad es una empresa multifacética y continuamente desafiante, que exige una vigilancia incesante, adaptabilidad y un compromiso profundo con la educación y la preparación. Requiere un enfoque holístico que no solo aborde la tecnología y los procesos sino también la cultura organizacional y las relaciones con terceros. Solo mediante la navegación cuidadosa de estos desafíos entrelazados, las organizaciones pueden esperar salvaguardar eficazmente sus activos valiosos en un mundo digital cada vez más peligroso”. De esta manera, “uno de los elementos clave corresponde a que el riesgo de ciberseguridad sea considerado un riesgo de negocio, y no sólo un riesgo tecnológico” destaca Soledad Bastías Gerente Corporativa de Ciberseguridad IT/OT y Riesgo Tecnológico de Codelco, agregando que “además, es esencial que sea entendido por todos los estamentos de la organización. Esto permitirá que todos colaboren en la gestión de este riesgo y en la implementación de los mitigadores que se definan para reducir su magnitud, alcanzando un nivel de riesgo residual aceptable. En síntesis, al ser considerado como un riesgo de negocio corporativo y crítico, se deben realizar los procesos de evaluación e impacto junto con la definición de los planes mitigadores que permitirán alcanzar el riesgo residual aceptable, lo cual será visible y monitoreado al interior de la organización y estará en constante reevaluación dado el contexto evolutivo que tienen las amenazas y vulnerabilidades de ciberseguridad. El proceso de gestionar el riesgo de ciberseguridad requiere el compromiso y responsabilidad de todos. Mientras más personas estén atentas al incumplimiento de la política de ciberseguridad y tengan el hábito de reportar, las áreas de tecnología y ciberseguridad podrán actuar de manera preventiva. Programa de Gestión de Riesgos En este escenario y desde una perspectiva práctica, un programa de gestión de riesgos de ciberseguridad eficaz, según Milagro Gutiérrez, “se asemeja a un organismo vivo, pulsando con varios componentes vitales que trabajan en sinergia para proteger la integridad, confidencialidad y disponibilidad de los activos de información de una organización. En el núcleo de tal programa yace la política de riesgos, un documento vivo que articula claramente la postura de la organización hacia el riesgo, incluyendo cómo identificarlo, evaluarlo y mitigarlo. Esta política debe estar arraigada en la cultura de la organización y reflejarse en todas sus operaciones. Íntimamente ligado a la política está el proceso de evaluación de riesgos, un procedimiento meticuloso y continuo que busca identificar las vulnerabilidades y amenazas actuales y potenciales que podrían comprometer los activos de la organización. Este proceso no es un evento único, sino una parte integral de la gestión de riesgos, requiriendo revisión y actualización regular para adaptarse al escenario de amenazas en constante cambio. En el corazón de este proceso se encuentra la identificación de activos, que cataloga sistemáticamente los recursos críticos que requieren protección. Cada activo debe ser evaluado en términos de su importancia para las operaciones de la organización, y cómo su compromiso podría impactar financieramente, operativamente o reputacionalmente. A su vez, la gestión de riesgos de ciberseguridad debe incluir un marco de cumplimiento robusto para garantizar que las prácticas de seguridad se alineen no solo
“En la medida que se van desarrollando nuevas tecnologías, los desafíos para la ciberseguridad se van haciendo cada vez más complejos, porque los ciberdelincuentes siempre están a la vanguardia y son de los primeros que intentan incorporar los avances en sus modelos de negocios criminales” www.trendTIC.cl
Edición 43 - Especial Ciberseguridad 2023
11
con los objetivos internos, sino también con las regulaciones y estándares externos. Este marco debe ser adaptable, capaz de evolucionar con las cambiantes regulaciones globales y locales. Un componente vital adicional es la capacitación y concienciación de los empleados. Los individuos en todos los niveles de la organización deben ser equipados con el conocimiento necesario para actuar como primera línea de defensa, identificando posibles amenazas y respondiendo adecuadamente. Esta cultura de conciencia de seguridad debe ser fomentada continuamente a través de educación y entrenamiento regulares. Por último, pero no menos importante, está la respuesta a incidentes y la recuperación. Un programa de gestión de riesgos debe estar equipado no solo para prevenir brechas de seguridad, sino también para actuar rápidamente y eficazmente en caso de que ocurran. Esto implica tener planes de respuesta a incidentes y continuidad de negocio claramente definidos y probados regularmente, asegurando que la organización pueda recuperarse con la menor interrupción posible. A lo que José Lagos, complementó, “si bien es cierto las etapas clásicas de cualquier método de gestión de riesgos, son la gobernabilidad, identificación, análisis, evaluación y tratamiento de los riesgos, desde mi experiencia lo más importante se relaciona con algunos aspectos de la Gobernabilidad, en relación a la estructura de gestión de riesgo implementada, así como las políticas de gestión de riesgos y la definición de roles y responsabilidades de las 3 líneas de defensa en esta materia. Por otra parte, hay ciertos elementos fundamentales que las organizaciones deben definir, como el apetito al riesgo, el nivel de tolerancia y la capacidad de riesgo. La combinación de estos 3 elementos nos permitirá por un lado conocer de mejor modo las inversiones en ciberseguridad que las empresas deben realizar como también las técnicas de gestión de riesgos que debemos aplicar (Aceptar, Mitigar, Transferir y Evitar). Finalmente la definición del apetito al riesgos, puede ser considerada de diferentes maneras, como por ejemplo una definición de apetito al riesgo específica en ciberseguridad, la cual forma parte del apetito al riesgo empresa, en este sentido uno podría tener distintos apetitos al riesgo en ciberseguridad, clasificando niveles de apetito para riesgos asociados a la infraestructura de red, a la infraestructura física, a las aplicaciones, etc., en donde la suma de los diversos componentes será el apetito al riesgo en ciberseguridad. Una implementación de apetito por componentes nos permitirá ser más efectivos en las técnicas de gestión de riesgos que debemos utilizar, ya que muchas veces al considerar un número global y no por componentes podríamos estar tomando decisiones equivocadas.
“Si bien es cierto las etapas clásicas de cualquier método de gestión de riesgos, son la gobernabilidad, identificación, análisis, evaluación y tratamiento de los riesgos, desde mi experiencia lo más importante se relaciona con algunos aspectos de la Gobernabilidad” 12 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Un programa general de gestión de riesgo, para Fabián Vega, Regional Account Manager de Trend Micro, “proporciona una visión general de la postura de seguridad de su organización con un índice de riesgo para toda la empresa, complementado con clasificaciones simplificadas de Bajo, Medio y Alto para los índices de exposición, ataque y configuración de seguridad. Como ejemplo, supongamos que su índice de exposición es Bajo pero su índice de ataque es Alto. Esto indica claramente que existe cierta presión de ataque sobre la organización pero que usted está bien configurado y protegido porque su exposición es baja. El resumen de riesgos es el lugar al que debe acudir cuando desee ver detalles de alto nivel sobre la postura de seguridad de su organización. La naturaleza de alto nivel de la visión general del riesgo ilustra una idea general del riesgo global para la organización y qué componentes son los más vulnerables. En una sola página, se obtiene una visión de la puntuación global del riesgo determinada por la probabilidad y el impacto, los principales factores de riesgo y las puntuaciones, las tendencias y la comparación entre pares. La visión general del riesgo también incluye una lista priorizada de activos en riesgo basada en el mayor riesgo y en la medición y ponderación de los factores de riesgo. El análisis de riesgos continuo y automatizado proporciona una visión profunda de su
organización. Esto elimina una enorme carga cognitiva de los analistas de seguridad y comunica eficazmente a los equipos de liderazgo para que se puedan tomar medidas rápidas para responder a las amenazas”. Identificación y evaluación de los riesgos en ciberseguridad Frente a este escenario de amenazas complejas y desafíos continuos, la identificación y evaluación de riesgos en ciberseguridad es un proceso crucial para proteger la información y los sistemas de una organización. De esta manera Nicolás Zalaquett, Sales Director de TD SYNNEX¸ procede a detallar algunos de los elementos que se deben considerar: • Identificación de todos los activos de información y sistemas críticos en su organización. Esto incluye hardware, software, datos, redes, y otros recursos relacionados con la ciberseguridad. • Reconocimiento de las amenazas potenciales que podrían afectar a estos activos. Esto podría incluir malware, ataques de phishing, acceso no autorizado, desastres naturales, entre otros. • Identificación de las vulnerabilidades en sus sistemas y activos. Esto puede implicar auditorías de seguridad, escaneos de vulnerabilidades y pruebas de penetración. • Evaluación del impacto que tendría cada amenaza si se materializara y la probabilidad de que ocurra. Esto puede implicar asignar valores numéricos o rangos a estas métricas. • Clasificación de los riesgos según su gravedad, lo que implica combinar el impacto y la probabilidad. Esto ayudará a priorizar los riesgos que requieren atención inmediata. • Identificación los controles de seguridad que ya tiene en su lugar. Esto podría incluir firewalls, sistemas de detección de intrusiones, políticas de acceso, etc. • Comparación de los riesgos identificados con los controles existentes para identificar las brechas en su seguridad. • Una vez identificadas las brechas, desarrollar estrategias para mitigar los riesgos. Esto podría incluir la implementación de nuevos controles, actualizaciones de seguridad, capacitación del personal, etc. • Mantener un registro de los riesgos identificados, las estrategias de mitigación y el progreso. Esto es esencial para una gestión continua de riesgos. • Revisar y actualizar regularmente su evaluación de riesgos a medida que cambian las amenazas y el entorno tecnológico”. Vega de Trend Micro, recuerda los cuatro pasos que recomienda NIST para la evaluación del riesgo, indicando que “el primer paso es prepararse para la evaluación identificando el propósito, alcance, supuestos, limitaciones, fuentes de información que se utilizarán el modelo de riesgo y los enfoques analíticos que se emplearán. El modelo de riesgo define los factores de riesgo clave y la relación entre ellos. Los factores de riesgo incluyen probabilidad, así como la impacto, además de la amenaza, la vulnerabilidad la condición predisponente, y el activo valor empresarial. Tras la preparación, el segundo paso hacia la evaluación de riesgos es llevar a cabo la evaluación. Esto incluye identificar fuentes de amenazas relevantes, los eventos que pueden ser producidos por esas fuentes, y vulnerabilidades que podrían explotarse a través de esos eventos. Además, es cuando se determinan la probabilidad y los impactos adversos. El tercer paso consiste en comunicar los resultados de la evaluación de riesgos y compartir la información para ayudar a otras actividades de gestión de riesgos. Por último, el cuarto paso del enfoque recomendado por el NIST es supervisar continuamente
“La Inteligencia Artificial no solo es un componente más, si no un eje central en poder identificar los ataques modernos y evasivos, y además de poder adaptarse a una operación ágil y fluida que permita conocer los procesos de la organización y sugerir medidas de mitificación de los mismos” www.trendTIC.cl 13
Edición 43 - Especial Ciberseguridad 2023
los factores de riesgo identificados y actualizarlo continuamente los resultados del seguimiento establecido por la evaluación de riesgos existente”. Para Carlos Serrano, Director de Avalora para Latinoamérica, “en el entorno digital actual, las organizaciones se enfrentan a diversas amenazas cibernéticas. La estrategia Zero Trust ha surgido como un principio fundamental para proteger activos y datos críticos, basándose en la premisa de no confiar automáticamente en nada ni en nadie, incluso dentro de la propia red. La implementación de Zero Trust incluye la identificación y segmentación de la superficie de ataque, considerando usuarios, dispositivos y aplicaciones como posibles puntos de compromiso. Se establecen políticas de acceso detalladas para usuarios internos y externos, respaldadas por evaluaciones continuas que permiten una respuesta inmediata a posibles amenazas. En este contexto de alta seguridad, las herramientas de scoring también desempeñan un papel crucial al asignar puntuaciones a riesgos y amenazas, facilitando la cuantificación y priorización efectiva. Estas puntuaciones actúan como faros que iluminan áreas de alto riesgo, permitiendo a las organizaciones centrarse en las mayores preocupaciones y aplicar controles específicos. La identificación de la superficie de ataque y la evaluación detallada de riesgos son pasos fundamentales. Esto implica identificar puntos de exposición, realizar evaluaciones de riesgos considerando la probabilidad de compromiso y el impacto potencial, y priorizar áreas críticas. La administración de riesgos en la superficie de ataque es central en la estrategia Zero Trust, exigiendo una comprensión profunda de las amenazas en cada punto de exposición. La identificación de vulnerabilidades y la aplicación de controles adecuados son esenciales para mitigar riesgos”. En resumen, Serrano destaca que “la estrategia Zero Trust, respaldada por herramientas de scoring y una gestión de riesgos efectiva, proporciona una defensa robusta y adaptable en un entorno cibernético dinámico. Este enfoque se erige como un faro de seguridad en el vasto océano de la ciberseguridad, ofreciendo una defensa esencial para la protección de activos y datos críticos en un paisaje de amenazas en constante evolución”.
“La visión general del riesgo también incluye una lista priorizada de activos en riesgo basada en el mayor riesgo y en la medición y ponderación de los factores de riesgo. El análisis de riesgos continuo y automatizado proporciona una visión profunda de su organización. ” 14 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Lo que es ratificado por Mauricio Ramírez, Country Manager Chile & Bolivia de Palo Alto Networks, señalando que “una de las medidas que podemos realizar es comenzar a adoptar una filosofía de cero confianza a fin de poder reducir la superficie de ataque con medidas concretas. Hoy con nuestras tecnologías podemos ayudar al cliente a poder descubrir sus activos y cuál es el nivel de criticidad que ellos tienen. Además, podemos elaborar un mapa de las transacciones que se generan entre los activos a fin de poder verificar cada una de ellas. Tras esto, estamos en condiciones de poder construir la arquitectura e implementar los controles necesarios que vayan en todas las capas que el cliente posee, a fin de poder asegurar que solo las entidades que tienen autorización pueden transaccionar, chequeando de forma continua, a fin de poder identificar cambios inesperados que puedan colocar en riesgo a la información que nuestros clientes manejan. La importancia de la concientización Para Soledad Bastías de Codelco, “los procesos de concientización son claves para entregar a las personas el conocimiento que les permita identificar una actividad maliciosa o algo que los incite a saltarse los procedimientos de seguridad establecidos en una organización. Durante los últimos años se ha notado un incremento en el uso de técnicas de ingeniería social como fase inicial de un ataque, cuyo objetivo es obtener credenciales válidas o descargar alguna porción de código malicioso que le permita a un atacante ejecutar acciones al interior de la organización. Dependiendo del objetivo del atacante —el cual puede estar basado en razones po-
líticas y medioambientales (hacktivismo), o sólo obtener un beneficio económico—, varía cómo se desarrolla el ataque. Por lo anterior, es cada vez más relevante que las organizaciones dediquen tiempo y recursos a entrenar y concientizar, en todos sus niveles, sobre cómo detectar y reportar actividad maliciosa. Esto abarca desde el típico phishing (mail malicioso), smishing (mensaje de texto), vishing (voz), y/o spear phishing (correo personalizado). En general, debemos preparar a las personas para cualquier mecanismo de engaño que los lleve realizar un click en un enlace malicioso o entregar información confidencial, como son los usuarios y contraseñas. Parte del proceso de entrenamiento debe incluir ejercicios de Ethical Phishing/Ransomware que permita medir la conducta al interior de la organización y poner foco en aquellos usuarios que suelen “caer” en estas simulaciones, de manera tal que esto se vuelva en un proceso sistemático que permita transformar la ciberseguridad en una parte fundamental de la cultura organizacional”. Por su parte Zalaquett de TD SYNNEX, también subraya el papel fundamental que cumple la concientización y la capacitación en la gestión del riesgo en ciberseguridad, señalando que “la mayoría de los incidentes de seguridad cibernética involucran algún grado de error humano. La capacitación ayuda a los empleados a comprender las buenas prácticas de seguridad, lo que reduce la probabilidad de cometer errores que podrían exponer a la organización a riesgos. Una fuerza laboral capacitada es más propensa a reconocer señales de posibles amenazas, como correos electrónicos de phishing o intentos de ingeniería social. Esto permite una detección temprana y la prevención de ataques. La capacitación puede promover el uso de contraseñas fuertes, la actualización de software y la implementación de otros controles de seguridad básicos, lo que mejora la higiene cibernética de la organización. El personal capacitado es más propenso a cumplir con las políticas de seguridad de la organización, lo que garantiza un cumplimiento más consistente y reduce los riesgos. La capacitación puede incluir ejercicios de respuesta a incidentes que preparan a los empleados para actuar de manera efectiva en caso de un ataque cibernético, minimizando así el impacto. La capacitación y la concientización contribuyen a crear una cultura de seguridad en la organización, donde la seguridad cibernética se valora y se considera responsabilidad de todos. La inversión en capacitación puede ayudar a evitar costosos incidentes de seguridad, como brechas de datos o pérdida de información crítica. Por último, señala Zalaquett, “es importante que la capacitación en ciberseguridad sea continua y se adapte a las amenazas cambiantes. Esto implica mantener al personal actualizado sobre las últimas tendencias en seguridad y realizar sesiones de capacitación regulares. En resumen, el personal bien capacitado es una línea de defensa crucial en la gestión del riesgo de ciberseguridad”. Gestión de Incidentes Teniendo en consideración los últimos incidentes ocurridos con IFX y GTD, además de que el 69% de las organizaciones de América Latina sufrió algún incidente de seguridad durante el último año, según ESET, entregan el contexto necesario para evaluar si se está preparado para manejar un incidente en forma eficaz. Porque como se dice en el mundo de la ciberseguridad, “están las empresas que han tenido un ciberataque y las que no saben que han sido atacadas”. Para José Lagos, “la mejor manera de responder eficazmente a un incidente de ciber-
“La estrategia Zero Trust, respaldada por herramientas de scoring y una gestión de riesgos efectiva, proporciona una defensa robusta y adaptable en un entorno cibernético dinámico. Este enfoque se erige como un faro de seguridad en el vasto océano de la ciberseguridad” www.trendTIC.cl 15
Edición 43 - Especial Ciberseguridad 2023
seguridad es generando las capacidades internas y/o externas antes de un incidente real, lo que implica diseñar y desarrollar playbook de acciones a seguir y realizar simulaciones de incidentes. A nivel general podemos mencionar que la gestión de ciber crisis tienen 3 grandes etapas, ANTES, DURANTE Y DESPUÉS. Los aspectos relacionados con el durante y después, son elementos que forman parte de la gestión de incidentes y ciber crisis, pero el Antes es una disciplina de la gestión de riesgos, por lo cual las organizaciones deben tener muy claro cuáles son los riesgos en materias de ciberseguridad que podrían llevar a la empresa a un incidentes de ciberseguridad y desencadenar una ciber crisis. A modo de ejemplo, si el método de gestión de riesgo identifica 5 riesgos en donde la pérdida esperada es superior al apetito al riesgo, a lo mejor la gestión del riesgo es desarrollar un plan de crisis, como mecanismo de mitigación y para cada uno de esos riesgos un playbook, el cual está asociado a como ese riesgo identificado se puede materializar y los procedimientos de respuesta a seguir. Si el riesgo identificado es la extorsión o robo de datos producto de un ransomware, nuestro playbook debe considerar la forma es como ese ransomware puede llegar a la empresa, y todos los procedimientos que la empresa debe seguir si el riesgo se materializa, terminado el playbook hay que desarrollar una simulación en donde participen todos los involucrados o grupos de interés, de esta forma se generarán las capacidades internas necesarias para responder de mejor modo en el momento en que el ingreso del ransomware a la empresa sea real”. La preparación comienza con una sólida estrategia de seguridad cibernética, recuerda Carlos Serrano, señalando que “esta estrategia considera el contexto específico de la organización, sus objetivos y su perfil de riesgo. Es una estrategia ofensiva que busca anticipar y contrarrestar amenazas antes de que se materialicen.
El corazón de esta estrategia radica en la identificación y protección de los activos críticos. Son como los tesoros más preciados de la organización, desde datos sensibles y propiedad intelectual hasta sistemas esenciales que mantienen el negocio en marcha. Protegerlos implica una combinación de medidas, desde el cifrado de datos y el control de acceso hasta la implementación de tecnologías de seguridad avanzadas. Un plan de respuesta a incidentes es otro componente, definir quién hace qué, cuándo y cómo y establecer procedimientos de comunicación interna y externa para coordinar una respuesta efectiva en medio de un incidente cibernético.
“La mayoría de los incidentes de seguridad cibernética involucran algún grado de error humano. La capacitación ayuda a los empleados a comprender las buenas prácticas de seguridad, lo que reduce la probabilidad de cometer errores que podrían exponer a la organización a riesgos” 16 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Pero una estrategia de ciberseguridad no es completa sin la formación y la concienciación de los empleados. Ellos son las primeras líneas de defensa y, al mismo tiempo, los eslabones más vulnerables. La formación les proporciona las habilidades necesarias para reconocer y mitigar amenazas, mientras que la concienciación fomenta una cultura de seguridad que se extiende por toda la organización. Las tecnologías de seguridad desempeñan un papel clave. Los firewalls, los sistemas de detección de intrusiones y las herramientas de autenticación multifactor son sus armas en la lucha contra los ciberataques. La monitorización constante es otro capítulo importante. Las herramientas avanzadas de detección de amenazas y análisis de seguridad permiten identificar patrones de actividad maliciosa y alertan cuando la tormenta se acerca. Las organizaciones también deben someterse a evaluaciones periódicas y pruebas de incidentes simulados, que garantizan que el plan de respuesta esté actualizado y que el personal esté preparado para actuar con destreza en situaciones de crisis. La colaboración con expertos en ciberseguridad y el cumplimiento de las regulaciones son los últimos capítulos en esta historia. En resumen, la preparación eficaz para la gestión de incidentes de ciberseguridad no
es solo una medida de defensa; es una historia de resiliencia y anticipación. En un mundo donde las amenazas cibernéticas son la norma, la preparación es la clave para la supervivencia empresarial en la era digital”. Por otro lado, respecto a la automación y el uso de la inteligencia artificial en la gestión de incidentes, Ramírez de Palo Alto Networks, recalca que “para nosotros es clave poder adoptar la automatización como estrategia central en las operaciones. Hoy la cantidad de eventos y alertas que los centros de Operaciones de Seguridad manejan es abismal por ende el tiempo que se debe emplear para atender estos incidentes es demasiado y la velocidad que las respuestas que se demandan están muy por encima de los tiempos en los que se pueden gestionar. Los centros de operaciones deben colocar esto en valor y comenzar a poder cuadrar el centro de operaciones de Seguridad y conectarlo no tan solo con herramientas de ciberseguridad, sino que también con herramientas del negocio a fin de poder establecer un flujo que abarque una respuesta integral ante un posible incidente. La evolución natural de los centros de operación de seguridad es la capacidad de poder gestionar mejor el tiempo en que los analistas hoy tardan en detectar y responder a un incidente, empleando ese tiempo en poder realizar investigaciones que den valor a la organización y que ayuden a fortalecer las defensas”. Agregando que “la Inteligencia Artificial no solo es un componente más, si no un eje central en poder identificar los ataques modernos y evasivos, y además de poder adaptarse a una operación ágil y fluida que permita conocer los procesos de la organización y sugerir medidas de mitificación de los mismos. Es clave que las soluciones modernas puedan otorgar estas características ya que la evolución de los ataques hace que esta misma herramienta sea usada por los atacantes. Ya hemos visto algunos ejemplos de malware creados con Inteligencia Artificial, por lo que la soluciones deben ir evolucionando diariamente a fin de poder conocer cuáles son las técnicas que ciberdelincuentes realizan hoy en día. En Palo Alto Networks estamos comprometidos con esta causa, y hoy todas nuestras tecnologías utilizan esta capacidad para interoperar entre sí y poder brindarle al cliente todas las herramientas suficientes para poder hacer frente ante estas amenazas”. Otro elemento a considerar mientras se sufre un incidente, tiene relación con la comunicación que puede resultar crítica durante la gestión del incidente. Canales de NIVEL4 así lo recalca, indicando que “si existen muchas versiones de lo que está ocurriendo en diferentes niveles de la organización, o si los diferentes actores que deben gestionar la respuesta del incidente y aplicar las mitigaciones correspondientes entienden las cosas de manera distinta, esto podría resultar en él agravamiento del problema y atentar directamente a la mitigación del incidente. Es por ello que, durante un incidente, la gestión de la comunicación debe ser clara y gestionada por actores que están gestionando el incidente. Además, debe someterse a una regulación o protocolo para gestionar sus niveles de confidencialidad. En ese sentido, quienes gestionan las comunicaciones deben cautelar que, mientras el incidente está siendo contenido, su distribución y conocimiento debe ser limitado a quienes deben tomar decisiones, ya sea de forma inmediata o para que puedan, a partir de ella, evaluar otros riesgos y medir las consecuencias que traerán al negocio, ya sea en la operación, en los aspectos legales, frente a los clientes y para reputación de la organización. Por cierto, que al estar sujeto a reguladores y normas, la información también debe ser entregada a éstos con el objetivo de cumplir las normativas de transparencia, pero sobre todo para entregar información que pueda ser de valor a terceras partes que pudieran verse involucradas en el incidente, como organizaciones que están conectadas directamente o a través de proveedores con la organización afectada, y a la vez, puede ser una importante fuente de información de inteligencia para otras organizaciones similares que deban tomar medidas preventivas en caso que el incidente esté
“Compartir información sobre la amenaza, información técnica que pueda ayudar a otras organizaciones a prevenir un incidente de las mismas características. Debemos avanzar en este punto en nuestro país... El concepto colaborativo es fundamental frente a la comunicación” www.trendTIC.cl 17
Edición 43 - Especial Ciberseguridad 2023
dirigido a más de un actor.
organización pueda liberar.
La comunicación también es crítica para la respuesta coordinada del incidente dentro de la organización, pero también cuando otras entidades colaboran en la respuesta, ya sea desde el CSIRT Nacional, un CSIRT sectorial o desde el regulador, y también, por cierto, cuando se utilizan los servicios de un proveedor de ciberseguridad externo para la mitigación del incidente.
En la comunicación externa, debe ser precisa y acotada, ejemplo si los servicios se ven afectados de cara al público, si es un incidente interno que afecta solo la operación, si habrá una indisponibilidad y claramente si es que hay alguna filtración o compromiso de los datos.
Por cierto, es fundamental que la respuesta que permita gestionar el incidente se gestione en un clima de confianza y transparencia, porque eso ayuda a identificar el probable vector de entrada que permita contener un ciberataque. Una vez que el incidente ha sido contenido y, eventualmente superado, es necesario establecer un período de observación. Muchas veces los incidentes pueden volver a reactivarse porque no se puede definir con certeza el vector de entrada a partir de la evidencia recolectada. El cierre de un ticket puede dar por cerrado un incidente, pero los canales de comunicación de las partes involucradas no deben desactivarse. Muchas veces, luego de que ocurre un incidente, se fijan puntos de contactos que ayudan a monitorear el estado de la ciberseguridad en el futuro y ayudan a fomentar la colaboración en la entrega de indicadores de compromiso entre las partes que colaboraron a través de canales de comunicación”. Para Eduardo Bouillet, Director del Centro de Ciberinteligencia (CCI) de Entel Digital, “En el proceso de comunicación existen varios factores que deben ser tomados en consideración, los cuales se podrían generalizar en interno y externo. En el proceso interno, es importante mantener la información controlada y segmentada con los responsables en la toma de acciones y los equipos que se involucran en un incidente, concepto conocido como “compartimentaje de la información”. Un mal manejo de la información interna puede generar mayor desconocimiento y filtraciones no controladas con un impacto negativo amplificado a través, por ejemplo, de publicaciones en redes sociales emitidas por trabajadores de la empresa afectada, antes del comunicado oficial que la misma
18 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Por otro lado, la comunicación externa de un incidente debería estar segregada en dos tipos: la primera para público general, con lenguaje no técnico que dé a conocer de manera precisa y concreta a los usuarios la situación, alcances y cuáles son los efectos directos para ellos si es que los hay; de esta manera evitamos que se genere la masificación de un incidente en base a desinformación. La segunda, en tanto, debería estar enfocada a la comunidad para defensa y preparación de todos. Para ello en la actualidad existen diferentes soluciones técnicas que pueden ayudar, pero el concepto colaborativo es fundamental frente a la comunicación. Por último y no menos importante, compartir información sobre la amenaza, información técnica que pueda ayudar a otras organizaciones a prevenir un incidente de las mismas características. Debemos avanzar en este punto en nuestro país”. Respecto a qué tipo de información debe ser documentada durante y después de un incidente. Soledad Bastías de Codelco, señala que “luego de que el incidente ha sido mitigado, se comienza a trabajar en el cierre de éste para recolectar toda la información de las actividades realizadas. Es decir, de las medidas efectivas que se utilizaron para contener o mitigar el incidente. Es importante analizar al “paciente cero”, y cuáles fueron las brechas explotadas que permitieron la materialización del riesgo, así como realizar el proceso de lecciones aprendidas con los equipos y ajustar el proceso de ciberseguridad con el fin de prevenir una nueva ocurrencia, lo cual debe quedar documentado y debe ser difundido al interior de la organización. Es relevante registrar al menos la siguiente información 1. Registrar el incidente
2. Notificar el cierre de la amenaza a las áreas y equipos activados para el manejo del incidente. 3. Informar sobre las tareas efectuadas. 4. Generar actas de acuerdo de mejora continua de las áreas participantes. a) Registrar recomendaciones de los fabricantes. 5. Realizar un informe final de cierre del incidente. 6. Realizar un informe con lecciones aprendidas del incidente. 7. Generar el levantamiento de mejora continua a raíz del incidente. 8. Realizar actividades post-cierre (trabajar en las lecciones aprendidas levantadas por el incidente). 9. Comunicar y difundir a las áreas de interés del incidente y sobre el proceso de lecciones aprendidas”. Por último, Eduardo Bouillet de Entel, destaca la importancia del análisis forense, indicando que si bien “como metodología de recolección de evidencia e investigación del compromiso muchas veces se confunde, se espera que sea capaz de entregar el resultado completo de como finalizar con la incidencia, cuando solo será una entrada más de información para la correcta contención y erradicación de la amenaza. Existen varias formas en las que se puede realizar un análisis forense, hoy existen herramientas licenciadas que recolectan, identifican y generan conclusiones a través del mismo análisis que antiguamente se realizaban a través de una análisis forense clásico. Sin embargo, estas herramientas aún no son lo suficientemente avanzadas, siempre se debe complementar con la revisión y validación del juicio experto de un especialista. La importancia final y fundamental de un análisis forense, estará del lado de la acción que se requería tomar con la evidencia que se adquiera, donde es probable que se utilice para respaldo y demostración de pruebas, de si hay o no una intencionalidad en las acciones que se hayan ejecutado, todo dependerá del incidente y situación”. t
Compliance y Ciberseguridad Por Ximena Sepúlveda B.
Académica Derecho UDEC Socia Schubert & Sepúlveda Abogados. El aumento de los ciberataques, ocurrido precisamente ad-portas del inicio de octubre, declarado oficialmente como el “mes de la Ciberseguridad”, ha puesto de relieve la importancia de la gestión legal de la ciberseguridad en las organizaciones. De acuerdo con la empresa de seguridad informática israelí, Check Point, en marzo de este año, los intentos de ciberataques en Chile casi se cuadruplicaron en dos semanas, posicionando al país como el cuarto entre los cinco con más intentos de ataques en el mundo. Entre Mongolia, Nepal, Indonesia y Taiwán, Chile es el único país perteneciente al hemisferio occidental en el ranking. Según las estadísticas de la misma empresa, en la semana del 6 de marzo se registraron 1.116 ataques por organización en el país, mientras que en la semana iniciada el día 20 del mismo mes, la cifra aumentó a 4.245.
de las organizaciones que, de acuerdo a recientes estudios de IBM y del BID, han afectado, en al menos una oportunidad, a un 83% de las organizaciones , generando daños no sólo a infraestructura física y digital sino que, además, produciendo perjuicios reputacionales, sociales, psicológicos, afectación de derechos de terceros y, por sobre todo, pérdidas económicas a las entidades que, según el estudio, han aumentado significativamente y que, en un 60%, llevaron a aumentos en los precios aplicados a los clientes finales.
Tradicionalmente al hablar de ciberseguridad, ello se traducía en más y mejores “fierros”, vale decir, más inversión en medios técnicos, tales como antivirus o firewalls. Sin embargo, ello hoy no resulta para nada suficiente, dado que el más importante vector de entrada de riesgos informáticos somos las personas, surge entonces la necesidad de normar su comportamiento en las organizaciones. Considerando la entrada en vigencia en diciembre de 2022 de la responsabilidad penal de las empresas frente a la comisión de los nuevos delitos informáticos si ellas no han adoptado sistemas eficientes de prevención de esos delitos, ello agrava aún más la situación en las compañías.
Frente a este nuevo escenario, el compliance incluyendo ahora aspectos de ciberseguridad debe transformarse en una materia normada, regulada a la medida de las necesidades y características de cada organización, sea ella pública o privada, independiente de su tamaño. Solo mediante el establecimiento de reglas de comportamiento de los miembros de aquella en el ámbito digital, pueden minimizarse los riesgos de afectar la disponibilidad de los sistemas, asegurar la mantención de sus operaciones, proteger la privacidad y confidencialidad de la información propia y la referida a datos personales e incluso datos personales sensibles de sus clientes. Si a este escenario, sumamos el hecho de que las empresas ampliaron el ámbito de su responsabilidad criminal, ahora el asunto pasa a ser de aquéllos que, en los directorios debiera estar primero en la tabla de asuntos por abordar.
Los datos hablan de la sofisticación de las técnicas de ingeniería social que los ciberdelincuentes explotan como forma de ingresar a la información y activos
La ciberseguridad es hoy un asunto legal. De eso no hay duda. t
www.trendTIC.cl 19
Edición 43 - Especial Ciberseguridad 2023
¿Qué es el Hacking Ético y por qué es importante? Por Alejandro Hevia
Director de la Alianza Chilena de Ciberseguridad y profesor asociado del Departamento de Ciencias de la Computación de la U. de Chile
20 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
El hacking ético consiste en identificar vulnerabilidades o fallas en los sistemas informáticos y reportarlos de manera responsable. Al hacerlo, se corrigen las vulnerabilidades denunciadas, evitando que sean utilizadas por delincuentes para robar, alterar o secuestrar nuestros datos, mejorando la seguridad de los servicios computacionales y de Internet en general. El hacking ético no es nuevo, sino de larga data en ciberseguridad. Ha permitido a profesionales serios y responsables ayudar a identificar y corregir fallas en dispositivos móviles, bases de datos, y en sistemas de comunicaciones y transporte. Un caso relativamente reciente fue el caso de la aplicación móvil de Clave Única del Registro Civil (29 marzo 2020), cuyo mecanismo biométrico tenía una vulnerabilidad que permitía a cualquier persona hacerse pasar por otra solo manipulando una foto. Un profesional honesto, luego de explorar la aplicación, detectó esta anomalía y la notificó prontamente. La aplicación móvil fue rápidamente corregida, mejorando la seguridad de todos los chilenos. La errada analogía de la violación de morada. Quienes se oponen a permitir la búsqueda y notificación responsable de vulnerabilidades suelen utilizar como analogía la “violación de morada” para sostener que todo acceso no autorizado debiese ser considerado ilícito. Sin embargo, dicha analogía es no solo ingenua, sino incompleta (y posiblemente malintencionada) en el contexto digital; simplemente no captura la realidad. Si hacemos la analogía de sistemas informáticos como “moradas” lo correcto es hablar del “buen vecino” y de las “bodegas digitales”. Un buen vecino es aquel miembro de la comunidad que, viendo una puerta o una ventana aparentemente abierta, lo comprueba delicadamente y luego le avisa al dueño de casa. Claramente esa persona no debiera ser penalizada dado que su ánimo es de ayudar al dueño de casa. En nuestro contexto digital, el hacker ético es el buen vecino, es un profesional que sin causar daño identifica fallas en un sistema y las notifica responsablemente para evitarle robos al dueño de casa. Incluso con la figura del buen vecino, una mejor analogía debiera considerar “bodegas” en vez de solo “moradas”. A diferencia de una casa, en una bodega se pueden almacenan objetos de valor de distintas personas. Si hay un robo, el afectado no será sólo el dueño de la bodega, sino todos quienes tengan bienes allí almacenados.
De igual manera, un ataque informático a un hospital, un establecimiento educacional o una empresa financiera afectará no solo a su dueño, sino también a quienes allí se tratan, estudian, o hacen negocios. Cuando las bodegas digitales son por naturaleza inseguras, no podemos darnos el lujo de amedrentar a los pocos vecinos que nos pueden encontrar las fallas que ya existen, las cuales deben ser reparadas para evitar futuros robos. ¿Podría el hacking ético legal ser usado para delinquir impunemente? Una preocupación razonable es que, al permitir legalmente el hacking ético, esto es, la búsqueda y notificación de vulnerabilidades, se abra la puerta para que un ciberdelincuente pueda justificar un acceso ilícito amparándose en la figura del hacking ético. Esta situación se evita simplemente incluyendo claras y explícitas condiciones sobre cómo se debe operar y cómo reportar responsablemente para poder acogerse legalmente a esta figura. Una ley moderna puede incluir previsiones restrictivas, específicas y explícitas para que quien reporta una vulnerabilidad. Por ejemplo, condiciones cómo hacerlo a la brevedad posible y que, en el proceso de búsqueda, no pueda ir más allá de lo estrictamente necesario, ni llevarse o alterar nada. Además, si realizar el reporte es un requisito esencial para que opere la exención penal, la norma en ningún caso podría servir como carta de inmunidad para un delincuente in fraganti. Además, una ley sólida debe permitir que en el futuro puedan agregarse otras exigencias mediante reglamento. En la práctica, el legislador puede asegurarse que quien reporta deba seguir adecuadamente los estándares internacionales, en lo que respecta a métodos, límites y proporcionalidad técnica. Mitos y realidades sobre el hacking ético En este punto, conviene dejar la analogía y clarificar un par de mitos y errores usuales sobre este tema. (1) “Aún sin protección legal al hacking ético, un profesional que busca vulnerabilidades no debiera temer nada pues no necesita ingresar al sistema para descubrir vulnerabilidades”. Los sistemas informáticos son complejos, con múltiples capas y componentes, donde incluso “ver” información puede significar “ingresar” al sistema. Por ejemplo, si visita un sitio web que dispone de un sistema público de consultas, al ingresar texto
para hacer una búsqueda, probablemente ya esté modificando la base de datos, aún sin “ingresar” al sistema. De hecho, es común en esta área que un profesional de seguridad, al ver la respuesta obtenida de una consulta o interacción fortuita con el sistema, se dé cuenta que su accionar (benigno) ha gatillado un comportamiento inusual o una falla interna del mismo, e identifique una reacción que pudiera ser abusada maliciosamente e instrumentalizada para, por ejemplo, un robo de datos. Sin embargo, para cuando el profesional se da cuenta de este hecho, ya accedió al sistema. Si la ley hace ilícito todo acceso no autorizado, lo mejor que puede hacer un profesional que detecta una falla es no reportarla, pues en dicho caso expondría públicamente su acceso “ilícito”, y quedaría al solo arbitrio del dueño del sistema si ejercer o no una acción criminal.
“El hacking ético no es nuevo, sino de larga data en ciberseguridad. Ha permitido a profesionales serios y responsables ayudar a identificar y corregir fallas en dispositivos móviles, bases de datos, y en sistemas de comunicaciones y transporte” (2) “Un profesional de ciberseguridad siempre puede buscar vulnerabilidades con autorización explícita del titular o dueño del sistema informático”. La experiencia muestra que gran parte de las organizaciones prefiere no conocer las fallas de seguridad de sus sistemas. Abrirse a la búsqueda de vulnerabilidades implica estar dispuesto a asumir el potencial costo de reparar las fallas que podrían encontrarse. Es una falacia que cualquier empresa u organización entregará una autorización para buscar vulnerabilidades en sus sistemas, aún si confía en el profesional. Muy pocas organizaciones cuentan con los recursos y el nivel de madurez necesarios para sentirse cómodas autorizando tales búsquedas. Además, una persona recelosa de las malas noticias (por ejemplo, el ejecutivo que teme por su puesto de trabajo, al ser visto como negligente)
www.trendTIC.cl 21
Edición 43 - Especial Ciberseguridad 2023
malamente querrá autorizar la búsqueda de vulnerabilidades. ¿Por qué lidiar con molestosos investigadores si es más fácil dispararle al mensajero, esto es, hacer desaparecer el informe dando a entender que quién lo produjo cometió un delito al descubrir la falla? ¿Querrá el hacker ético ir a juicio por publicarlo? Desafortunadamente, es la comunidad quien termina pagando el costo cuando un investigador es acallado por reportar una vulnerabilidad. Escudarse en amenazas legales no arreglar ni hace desaparecer la falla, sino deja intacta las grietas de seguridad, quedando ahora disponibles para criminales. Peor aún, impide que los ciudadanos se informen y demanden mayores garantías con respecto al sistema informático afectado. Cuando las “bodegas digitales” almacenan datos de todos los ciudadanos, no basta con esperar a que el titular del sistema desee autorizar un análisis de seguridad - si existe una falla queremos que pueda ser encontrada y reportada, aún si al titular no le es grato. (3) “Un profesional de seguridad que trabaja en una empresa u organización no necesita protección legal para reportar una falla de seguridad en su organización”. Es común que profesionales informáticos descubran vulnerabilidades durante el ejercicio de sus funciones dentro de una organización y lo reporten a los responsables. Lamentablemente, también es común que quienes reciben el reporte lo ignoren o excusen su inacción, por un sinnúmero de razones (recursos, riesgo reputacional, etc.) En dichos casos, sobre todo cuando la falla reportada pudiera comprometer la seguridad de datos de terceros es razonable que quien descubra el problema pueda notificarlo a las autoridades sin temor a ser perseguido legalmente por violar cláusulas contractuales de confidencialidad. Los profesionales en estos casos son llamados “whistleblowers” (denunciantes) en inglés, y para ellos la legislación comparada muestra protecciones legales específicas, por ej. en EE.UU. La búsqueda y reporte de vulnerabilidades democratiza la ciberseguridad de los sistemas Permitir el hacking ético otorga a pymes y organizaciones sin grandes recursos la opción de mejorar su seguridad vía el apoyo gratuito que pueden proveer los mencionados buenos vecinos digitales. En el proceso, los profesionales que actúan como
22 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
buenos vecinos digitales construyen su reputación como profesionales de ciberseguridad, descubriendo fallas técnicamente complejas y mostrando públicamente su responsabilidad ética con la comunidad. Tales personas existen en el país, como consta en el alto número de reportes de vulnerabilidades recibidas por el Ministerio del Interior (https://www.csirt.gob.cl/vulnerabilidades/), al menos hasta antes de la promulgación de la actual ley de delitos informáticos (2022).
De haber existido esta ley el año 2020, es razonable preguntarse si la mencionada falla en la aplicación del Registro Civil habría salido a la luz o no. Aún de manera bienintencionada, probar con una foto distinta a mi propia cara habría sido un acceso ilícito.
“Legislar respecto al hacking ético en Chile ha sido una tarea compleja”
La ley como medio de censura Una ley sin exenciones para la búsqueda y reporte de vulnerabilidades puede ser utilizada como medio de censura. La experiencia internacional es clara respecto a las consecuencias de instaurar leyes sin excepciones para hacking ético. En países donde han sido instauradas leyes que criminalizan la búsqueda y reporte de vulnerabilidades, inevitablemente terminan instrumentalizadas como medidas disuasivas o punitivas. Ha ocurrido, por ejemplo, al encontrar fallas en sistemas asociados a políticos o personas influyentes quienes no están dispuestos a admitir la existencia de dichas fallas por el posible daño reputacional. Es literalmente el cuento del “traje nuevo del emperador”: la seguridad del sistema informático es el traje nuevo, y su dueño es “el emperador”, y cualquiera que ose poner en duda tal traje arriesga la ira del emperador. Tales sistemas “son seguros” porque nadie se atreve a denunciar. Un reciente de AccessNow (agosto 2021) documenta en detalle estas desafortunadas experiencias en Latinoamérica (Argentina, Ecuador, Colombia y México). La legislación en Chile Legislar respecto al hacking ético en Chile ha sido una tarea compleja. Una primera oportunidad se presentó durante la discusión del proyecto de ley de delitos informáticos en el congreso en el periodo 2018-2022. Lamentablemente, en esa oportunidad se aprobó un texto que, si bien contenía importantes avances para penalizar el ciberdelito, efectivamente penalizaba el hacking ético. En su artículo dos sancionaba cualquier acción que “superando barreras técnicas o medidas tecnológicas de seguridad acceda a un sistema informático”, independientemente de su motivación. La obtención de la “autorización explícita” del titular se proponía como un mecanismo paliativo, pero en la práctica no es realista por las razones mencionadas.
Pero las sociedades aprenden y crecen. La primera en reaccionar (¡ganándonos la oportunidad!) fue la comunidad belga. Ante la experiencia de la industria y recomendaciones de varios organismos de la comunidad europea, en noviembre del 2022, Bélgica aprobó una ley que permite la búsqueda y reporte de vulnerabilidades en forma responsable, siguiendo un estricto protocolo tanto en la búsqueda como en la forma y detalle del reporte, el cual debe hacerse en forma inmediata. Su acción complementa una larga historia de recomendaciones provenientes de tanto comunidades de la industria de ciberseguridad como organizaciones del área, incluyendo el departamento de justicia norteamericano y el parlamento europeo. Afortunadamente, la discusión del nuevo proyecto de ley marco de ciberseguridad actualmente en el congreso considera una modificación legal inspirada en la ley belga, aunque bajo condiciones bastante más estrictas, adecuadas a la realidad chilena. Al momento de escribir este artículo, la discusión se ve bien encaminada. De prosperar, nos permitirá dar a Chile una legislación moderna en este tema y recuperar nuestro liderazgo internacional en ciberseguridad. t 1
https://www.latercera.com/nacional/noti-
cia/debido-a-problemas-deja-de-estar-dispon i b l e - l a - a p l i c a c i o n - p a ra - o b t e n e r - l a - c l a v e - u n i ca/R6WOWYJGHVB23JOVW6WD5K4XJA/ 2
h t t p s : / / w w w. b e l f e r c e n t e r. o r g / p u b l i c a t i o n / t a -
king-stock-estimating-vulnerability-rediscovery. 3
https://www.accessnow.org/reporte-la-persecu-
cion-de-la-comunidad-infosec-en-america-latina/. 4
https://ccb.belgium.be/en/vulnerability-reporting-ccb.
5
https://www.justice.gov/opa/pr/depart-
ment-justice-announces-new-policy-charging-cases-under-computer-fraud-and-abuse-act. 6
https://www.oecd.org/sti/ieconomy/cy-
bersecurity%20policy%20making.pdf.
www.trendTIC.cl 23
Edición 43 - Especial Ciberseguridad 2023
De la ignorancia a la conciencia, educación sobre Ciberseguridad Por Diego Muñoz Espinosa
Jefe de Carreras Tecnológicas de la Universidad Mayor (Ciberseguridad, Telecomunicaciones, Conectividad y Redes, Tecnologías de la Información y Programación Computacional)
Hace dos décadas, la ciberseguridad era un campo en crecimiento, pero en gran medida desconocido para la mayoría, y por desgracia, lo sigue siendo para un gran porcentaje de la sociedad moderna. La educación en esta área antiguamente era limitada, y pocos comprendían las amenazas que acechaban en el ciberespacio. Sin embargo, en la actualidad, hemos sido testigos de una revolución educativa en materias de ciberseguridad que ha transformado la forma en que individuos, empresas y gobiernos se enfrentan a las amenazas que hoy son pan de cada día. Antes de adentrarnos en el presente, es esencial recordar cómo era la situación en materia de ciberseguridad en el pasado. A fines de los años 90 y principios de los 2000, la mayoría de las personas apenas conocía la existencia de virus informáticos o ciberataques. Los sistemas operativos y las aplicaciones carecían de las sofisticadas medidas de seguridad que vemos hoy en día. Los usuarios eran presa fácil de virus, malware y estafas, los que han evolucionado rápidamente siendo cada vez más ingeniosos los nuevos métodos de ataque o engaños. Pero también, es destacable considerar que la evolución en la educación en ciberseguridad ha sido impresionante y diferentes instituciones, organizaciones y personas trabajan día a día por seguir impulsando proyectos educativos que disminuyan la brecha que existe entre buenos y malos. La conciencia sobre los riesgos digitales ha crecido enormemente, y los incidentes de alto perfil, como el ataque WannaCry de 2017, que afectó a organizaciones en todo el mundo, han puesto la ciberseguridad en el centro de atención. La educación ha sido durante mucho tiempo un pilar fundamental en el desarrollo de las sociedades. Tradicionalmente, la educación se ha asociado con aulas físicas, docentes, libros de texto y cuadernos. Sin embargo, en las últimas décadas, hemos sido testigos de una transformación educativa radical a medida que la educación en línea ha cobrado impulso, afectando profundamente la forma en que accedemos y adquirimos conocimientos. Este enfoque “tradicional” ha sido un pilar de la educación en todo el mundo durante siglos, pero a medida que la tecnología de la información y la comunicación ha avanzado, la educación online ha emergido como una alternativa poderosa y ha dado lugar a una revolución en la enseñanza y el aprendizaje.
www.trendTIC.cl 23
Edición 43 - Especial Ciberseguridad 2023
Desde el inicio del E-learning impulsado por Elliott Masie en la época de los noventa, diversas instituciones educacionales en el mundo han adoptado este método de enseñanza impulsando diferentes carreras o capacitaciones, siendo las tecnológicas las que se han potenciado debido al interés que generan en un amplio público que prefiere esta modalidad. Además de la posibilidad de complementar trabajo, familia, estudios, pero sobre todo, tiempo. En la actualidad, la educación en ciberseguridad ha avanzado a pasos agigantados. Las empresas, organizaciones gubernamentales e instituciones académicas, en especial universidades, han implementado programas de capacitación y certificaciones especializadas en ciberseguridad tanto en modalidad online como presencial. Ejemplos notables incluyen: ingenierías, diplomados, maestrías, técnicos, cursos y capacitaciones sobre dicha materia. Lo que antiguamente era difícil de dimensionar al ser un disciplina poco conocida, hoy en día posee diferentes programas académicos que buscan educar, fortalecer y potenciar habilidades y competencias sobre ciberseguridad y sus diferentes áreas, preparando a los estudiantes para desempeñarse en roles especializados en ciberseguridad. Además, a esto podemos sumarle que organismos como (ISC)², CompTIA, EC-Council y Offsec ofrecen certificaciones reconocidas internacionalmente, como el CISSP, el Security+, el CEH y el OSCP, que han ayudado a elevar los estándares de conocimiento y habilidades en ciberseguridad. Lo cual se ha vuelto una meta personal para muchos profesionales que desean acrecentar sus conocimientos de la mano de capacitaciones especializadas conducentes a certificaciones reconocidas por la industria y otros pares. Hoy en día existen infinidades de recursos en internet sobre ciberseguridad, muy distinto a lo que era hace tiempo atrás, donde los profesionales se formaban de manera autodidacta y muchas veces por ensayo y error, ahora existe esta ventaja importante de acceso a contenido de calidad y muchas veces gratuito que debe ser explotado por las nuevas generaciones, aprovechando esta revolución de información y conocimiento y no perder la inquietud y la curiosidad de aprender y conocer más sobre lo que nos rodea, en especial, cuando se trata de esta temática tan cambiante y delicada para las organizaciones modernas y nuestra información personal. Por tal razón, hay que tener claro que las instituciones académicas bus-
24 www.trendTIC.cl Edición Edición 43 43 -- Especial Especial Ciberseguridad Ciberseguridad 2023 2023
can sentar las bases de diferentes disciplinas pero el camino no termina aquí, los jóvenes deben seguir perfeccionándose y planteándose objetivos a corto y largo plazo, definiendo metas alcanzables en su nivel actual y otras cuando cumplan sus objetivos y consideren tener un nivel más elevado o adecuado. Todas las universidades, CFT, Institutos, docentes, etc., que trabajan o colaboran en ámbitos educativos se enfrentan al desafío de proporcionar una formación que no solo sea rigurosa y teórica, sino que también prepare a los estudiantes para ingresar con éxito en la fuerza laboral. Este doble propósito ha llevado a una serie de cambios significativos en la educación superior y en las estrategias de enseñanza, con un enfoque creciente en la empleabilidad e integrar rápidamente a titulados a diferentes equipos o departamentos de ciberseguridad, en el caso del área.
“A pesar de los notables avances en la educación en ciberseguridad, el reto persiste... la formación en ciberseguridad debe ser un proceso continuo que se adapte a estas amenazas cambiantes ” No puedo evitar mencionar que durante el último decenio y medio, la Educación Superior Técnico Profesional (ESTP) ha emergido como una modalidad de formación esencial en Chile, en especial para las carreras relacionadas a las tecnologías de la información, con un enfoque centrado en las personas. Ha atraído a jóvenes en busca de experiencias prácticas y significativas, a mujeres y hombres que desean ingresar al mundo laboral, a estudiantes que provienen de los estratos socioeconómicos más desfavorecidos de nuestra sociedad, y a adultos que desean avanzar en sus trayectorias profesionales. Su compromiso con una formación aplicada y de alta calidad, su enfoque inclusivo, la relevancia de sus programas educativos y su impacto tanto social como productivo han creado oportunidades para miles de individuos de diversas edades que buscan el aprendizaje continuo a lo largo de sus vidas.
Esta modalidad de educación ha demostrado ser un catalizador para la movilidad social y el desarrollo personal y profesional en Chile. La ESTP no solo ofrece oportunidades de educación, sino que también tiene un impacto significativo en el progreso de la sociedad y la economía del país y es una oportunidad expedita para ingresar al campo laboral en áreas de la tecnología. En contraste con las empresas de carácter puramente productivo, las Instituciones de Educación Superior Técnico Profesional se destacan por ser entidades con un propósito social definido lo que las incentiva a interactuar de manera activa con su entorno. Esto las impulsa a asumir una posición proactiva y a poner en marcha sus capacidades para abordar las demandas de su entorno local. En un contexto de creciente dinamismo en la educación superior, impulsado por las transformaciones sociales, la diversificación y las nuevas dinámicas competitivas, así como las demandas de diversas partes interesadas, las Instituciones de Educación Superior deben llevar a cabo un seguimiento constante de su entorno y su propuesta educativa, manteniéndose a la vanguardia e integrando a los mejores docentes a sus plantas académicas para una adecuada y real enseñanza de la ciberseguridad moderna. A pesar de los notables avances en la educación en ciberseguridad, el reto persiste. Las ciberamenazas evolucionan constantemente, mientras los ciberdelincuentes perfeccionan sus estrategias. En consecuencia, la formación en ciberseguridad debe ser un proceso continuo que se adapte a estas amenazas cambiantes y no debe recaer únicamente en las instituciones académicas, sino también, en cualquier organismo que aspire a mejorar y garantizar una protección efectiva de sus sistemas y su personal. Por ejemplo, empresas conscientes de la importancia de la ciberseguridad para sus empleados y su futuro, invirtiendo en programas de capacitación interna y especializados. Estos programas, que incluyen ejercicios de simulación de ataques y módulos de formación en línea, no solo conciencian a los empleados sobre las ciberamenazas, sino que también les brindan las habilidades necesarias para mantenerse seguros. Este conocimiento de calidad, adquirido a nivel empresarial, puede extenderse de manera indirecta a nivel personal, convirtiéndose en una herramienta útil en la vida cotidiana de los empleados y sus familiares o cercanos.
Como país nos hemos dado cuenta y somos conscientes de la importancia de la formación en materia de ciberseguridad, impulsando políticas públicas, proyectos o formaciones oficiales sobre esta disciplina, las cuales deben ser susceptibles a una revisión constante con el objeto de cumplir con una misión interna que los que trabajan en esto conocen, ser más listos y capaces que el adversario y proteger nuestros sistemas e información.
“Es oportuno recordar que tanto ahora como en el futuro, la responsabilidad de mejorar y respaldar la mejora de los demás recae en cada uno de nosotros. Somos componentes esenciales de un ecosistema de ciberseguridad”
.Cl
N°1
En portales de noticas especializados en tendencias tecnológicas en Chile.
Por último, es importante recordar que a la fecha se siguen desarrollando cursos y programas de ciberseguridad gratuitos accesibles para el público en general, como los ofrecidos por la plataforma de aprendizaje en línea Coursera y diferentes proyectos bajo el lema “Stay Safe Online”. También en Chile existen fundaciones que gracias a su misión y miembros trabajan constantemente para educar tanto a profesionales de la ciberseguridad como al ciudadano común, es el caso de Sochisi y Whilolab o proyectos sociales que buscan democratizar y potenciar la educación técnica como Lockdown Fest, Q4 Hacking Sessions, las Conferencias de Sombreros Blancos, los webinar de L4tin-HTB, entre otros. Es oportuno recordar que tanto ahora como en el futuro, la responsabilidad de mejorar y respaldar la mejora de los demás recae en cada uno de nosotros. Somos componentes esenciales de un ecosistema de ciberseguridad que demanda la capacitación y la empatía de profesionales cualificados. Todos compartimos la misma misión y formamos parte de un mismo equipo, trabajando en conjunto con un propósito unificador: la protección. t
www.trendTIC.cl 25
Edición 43 - Especial Ciberseguridad 2023
t
CIBERSEGURIDAD - INTELIGENCIA ARTIFICIAL - BIG DATA - CLOUD - OPINIÓN INNOVACIÓN - LIVE - NOTICIAS Y MÁSwww.trendTIC.cl 25 Edición 43 - Especial Ciberseguridad 2023
AIBA Makeup:
La aplicación para cosmetología realizada por estudiantes de ciberseguridad de Talca Con el fin de ser un aporte para el rubro de la cosmetología, estudiantes de Técnico en Ciberseguridad del CFT San Agustín de Talca crearon AIBA Makeup. La app que escanea el rostro de las personas, indicando su tipo, tamaño de ojo y color para brindarle el maquillaje adecuado. Todo esto bajo estrictos estándares de seguridad, lo cual la llevo a ser reconocida en el Foro Nacional de Ciberseguridad 26 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Con el fin de ser un aporte para el rubro de la cosmetología, estudiantes de Técnico en Ciberseguridad del CFT San Agustín de Talca crearon AIBA Makeup. La app que escanea el rostro de las personas, indicando su tipo, tamaño de ojo y color para brindarle el maquillaje adecuado. Todo esto bajo estrictos estándares de seguridad, lo cual la llevo a ser reconocida en el Foro Nacional de Ciberseguridad Como una propuesta de emprendimiento e innovación de las carrera s de Técnico en Ciberseguridad y Técnico en Cosmetología y Estética Integral del CFT San Agustín de Talca, nació la app AIBA Makeup. Un grupo de estudiantes de Ciberseguridad la desarrolló producto de la problemática que enfrentaban las alumnas de cosmetología al momento de salir al mercado, “gastaban mucho dinero en insumos y tiempo en asesorar a sus clientes respecto de un determinado maquillaje”, explicó Francisco Díaz, Jefe de Carrera de Técnico en Ciberseguridad de la institución de educación. Sobre este tema, Alan Vargas, integrante de la comitiva creadora de AIBA Makeup, agregó: “sin duda que obtener la información inicial en una app trae consigo considerables beneficios, como una mejora sustancial en los tiempos de atención. Además, aporta valor al utilizar tecnología emergente en procesos naturalmente análogos, digitalizando una parte de la cadena de la industria cosmética”. Fomentando la protección de datos personales La app – que es actualmente un prototipo en desarrollo está basada en los principios básicos de la ciberseguridad, la protección de los datos personales y la seguridad de la información. Y funciona mediante un modelo entrenado que utiliza Inteligencia Artificial para evaluar los rasgos y la respectiva colorimetría de la persona a través de su fotografía. De este modo entrega un diagnóstico más preciso, lo cual incide directamente en la satisfacción del cliente con lo recomendado. Cabe destacar que gracias a esta contribución al resguardo de los datos personales, AIBA Makeup fue reconocida en el Foro de Ciberseguridad, realizado el pasado 2 de octubre en el Congreso Nacional de Santiago. De esta forma, Pilar Torres, Pedro Aldana, Sebastián Navia, Leonardo Lovera, Poul Gutiérrez y Alan Vargas, estudiantes de segundo año de la carrera de Técnico en Ciberseguridad del CFT San Agustín, recibieron el reconocimiento acompañados de Francisco Díaz, Jefe de Carrera, y Sebastián Tapia, Director Sede Talca del centro de formación. En la oportunidad, el Senador Kenneth Pugh, señaló que “quisimos reconocer a los creadores de esta app, que acopla perfectamente dos disciplinas técnicas, resguardando la identidad y los datos de los eventuales clientes, comprendiendo realmente los principios de la ciberseguridad. Por otra parte, es destacable la participación de una de las estudiantes en este proyecto, un incentivo y una excelente señal para las mujeres en este rubro”. En este contexto, Pilar Torres afirmó que “es un honor ser reconocidos en el campo de la ciberseguridad por esta aplicación, ya que valida el arduo trabajo que hemos dedicado a su desarrollo, especialmente en un entorno que me apasiona”.
Asimismo, Leonardo Lovera sostuvo que “siento mucho orgullo por este reconocimiento, y estoy optimista por las puertas que se pueden abrir a partir de esto”. Pedro Aldana, en tanto, agregó: “nos sentimos orgullosos de que nuestra app sea reconocida en una instancia tan importante para la ciberseguridad del país”. Al respecto, el jefe de carrera afirmó que “para nosotros, que somos de regiones, se hace muy importante participar en este tipo de instancias, y ser reconocidos. Estamos muy contentos de que nuestros alumnos hayan sido premiados ante la Cámara del Senado porque esto les da movilidad social e impulsa a continuar creciendo a nivel académico”. Por último, el director del CFT San Agustín de Talca, añadió: “estamos muy agradecidos y motivados porque este reconocimiento es una muestra de que nuestras carreras están conectadas con las necesidades de la sociedad y, por tanto, son un aporte”. t
www.trendTIC.cl 27
Edición 43 - Especial Ciberseguridad 2023
28 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
28 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Cultura DevSecOps: el área protegida de los campos minados Por Sergio Hume
Líder de Transformación e Innovación de Axity.
Para los equipos de desarrollo de aplicaciones, los objetivos de trabajo son cada vez más desafiantes y directamente proporcionales al avance de las amenazas de ciberseguridad. Amenazas que corren a un ritmo intenso y se perfeccionan en el camino, demandando un esfuerzo de nivel superior a los desarrolladores. El panorama de ciberamenazas mundial ha hecho que las células Agiles respondan creando una cultura de seguridad a su alrededor. Ya no se trata de responder a un perfil determinado desde el punto de vista de profesional, si no de trabajar con una óptica distinta: la de proteger el aplicativo antes de que sea concebido y en cada etapa de avance. Los ingenieros DevSecOps hoy trabajan en torno a una cultura de seguridad, para que el software nazca blindado y tenga mecanismos de defensa incorporados. Esta cultura requiere incorporar todas las variables de seguridad en el desarrollo, desde un principio. La metodologia tradicional de hacer el diseño, la implementación y luego revisar la seguridad, no funciona bien en el escenario actual. Hoy la norma es incorporar la seguridad lo más a la izquierda posible en la línea de tiempo de desarrollo, es decir, en el origen.
Esto permite considerar la mayor cantidad de riesgos de seguridad y todas las posibles vulnerabilidades que pudiera enfrentar un aplicativo una vez estrenado.
“El panorama de ciberamenazas mundial ha hecho que las células Agiles respondan creando una cultura de seguridad a su alrededor” DevSecOps como cultura implica crear software con las posibles amenazas en mente, anticipar respuestas y hacerse cargo de la ola de balas que pueden venir. La meta es ir un paso adelante, porque cuando una herramienta digital sale al mercado hay demasiado en juego: procesos de negocios por ejecutar, equipos de trabajo con metas comerciales que cumpir y el prestigio de la empresa sobre la mesa. Un software mal concebido desde el punto de vista de seguridad puede poner en riesgo a la organización completa.
La visión de recompensa
seguridad
tiene
Prevenir es mejor negocio que curar, eso está claro. El costo de mitigar todos los riesgos posibles en la etapa de configuración y prueba, en vez de desarrollar un producto digital sin seguridad, es menos que pagar las consecuencias de un ataque. Esta ecuación tiene resultados positivos a pesar de que la curva de aprendizaje de ciertos controles sea elevada en la etapa inicial. Cada etapa del proceso debe pasar por un control de distinta naturaleza; táctico al comienzo y estratégico al final. Las fases de desarrollo, producción y prueba deben incolucrar a los distintos profesionales que componen la célula de desarrollo, quienes a su vez están a cargo de dar los lineamientos de seguridad y establecer el “desde” de ciberseguridad que se espera, de manera que el producto cumpla con ser perfectamente viable y capaz salir al mercado. Hoy, el actual conexto de seguridad informática que vivimos está haciendo que el concepto de producto mínimo viable esté evolucionando al de producto suficientemente viable. Si cumplimos con ese principio, gran parte de la tarea de la cultura DevSecOps está hecha. t
www.trendTIC.cl 29
Edición 43 - Especial Ciberseguridad 2023
Jocelyn Arteaga
Subgerente Seguridad de la Información (CISO) de Bupa Chile:
“Si bien hoy la ciberseguridad es importante en todos los sectores, en salud es realmente crítico y esencial debido a que debemos resguardar la privacidad de la información clínica de nuestros pacientes”
www.trendTIC.cl 30 www.trendTIC.cl 30 Edición43 43--Especial EspecialCiberseguridad Ciberseguridad2023 2023 Edición
En este especial de ciberseguridad, no podíamos dejar de abordar el sector salud, sobretodo considerando el gran interés y “valor” que le están dando los ciberdelincuentes a los datos clínicos. Por esta razón conversamos con Jocelyn Arteaga, Subgerente Seguridad de la Información (CISO) de Bupa Chile. Arteaga comienza destacando que “Si bien hoy la ciberseguridad es importante en todos los sectores, en salud es realmente crítico y esencial debido a que debemos resguardar la privacidad de la información clínica de nuestros pacientes, conservando su integridad, disponibilidad y confidencialidad”. La Información es sensible y confidencial, ya que comprende diagnósticos, tratamientos, resultados de exámenes, entre otros. “Y su secuestro o pérdida podría tener graves consecuencias como discriminación laboral, chantaje, exposición pública, etc”. Además, “un ataque cibernético puede poner en serio riesgo la vida de las personas debido a una posible interrupción de los servicios clínicos”. ¿Qué tipos de amenazas cibernéticas enfrenta el sector de la salud? Bien es sabido que los datos de salud son cotizados y más costosos que cualquier otro tipo de datos en el mundo ciber delictual, por lo que una de las principales amenazas de la que debemos resguardarnos en el sector salud, es la fuga o robo de datos de pacientes, debido al impacto negativo que trae este tipo de delito tanto para las personas como para las instituciones. Asimismo, en la actualidad estamos expuestos a ataques de dispositivos médicos conectados a internet como marcapasos y bombas de insulina, una posible interceptación de ellos podría poner en peligro la vida de los pacientes. Lo mismo puede ocurrir si los sistemas clínicos son interrumpidos, ya que afecta a la normal operación de los establecimientos pudiendo traer graves consecuencias en la oportuna atención a los pacientes. El sector salud no está ajeno a las amenazas que enfrentan todas las industrias, como son ataques de ransomware, con lo cual pueden capturar
y cifrar los datos y con esto detener el funcionamiento normal de la operación. Ataques de Ingeniería social, como vishing, quishing y phishing en el cual, a través del envío de un correo electrónico malicioso, pueden capturar usuarios y contraseñas válidos, pudiendo robar información confidencial y/o ingresar a los distintos sistemas. También las vulnerabilidades en los software y sistemas, las que si no son parchadas en forma oportuna pueden ser explotadas por los atacantes y así ganar acceso no autorizado a nuestra red. ¿Qué reglamentaciones existen en torno a la ciberseguridad en el sector de la salud? La ley 20584 regula los derechos y deberes que tienen las personas en relación con acciones vinculadas a su atención en salud, específicamente indica que uno de los derechos del paciente es que su información médica no se entregue a personas no relacionadas con su atención. Existe también un Reglamento de Telemedicina, dentro de sus disposiciones se encuentra que el prestador de salud debe asegurar las condiciones que permitan garantizar la privacidad de la información de los pacientes, además de mantener un registro de incidentes y notificar al Comité de Seguridad de la Información (CSI) del Ministerio de Salud cualquier incidente de ciberseguridad dentro de las primeras 72 horas de haber tomado conocimiento de éste. También se debe considerar la Ley 19628 de Protección de la Vida Privada, la cual regula el trato de los datos de carácter personal, en registros o bancos de datos, por organismos públicos o privados, y es uno de los estatutos normativos más relevantes sobre la materia.
vés de diversas iniciativas colaborativas. Estas medidas pueden incluir: cursos obligatorios, para lograr una línea base de conocimiento para todo el personal, entrenamiento personalizado, según los roles de cada usuario y mostrándoles cómo las prácticas de ciberseguridad se aplican en sus funciones diarias. También se debe mantener al personal actualizado de las amenazas presentes, una forma práctica de esto es a través de los ejercicios de phishing.
“Las instituciones de salud deben fomentar una cultura de ciberseguridad a través de diversas iniciativas colaborativas” Importante es destacar que estos planes se deben diseñar colaborativamente entre las áreas técnicas, de capacitación y desde el negocio. ¿Cómo pueden los pacientes proteger su propia información de salud en el entorno digital? Los pacientes deben desempeñar un papel activo con respecto a su propia seguridad de los datos de información clínica, informarse, empoderarse y reconocer que son dueños de su información clínica. Así cómo también deben ser responsables de mantener contraseñas seguras y actualizadas para los sitios donde pueden acceder a ver su información de salud y donde se pueda, utilizar autenticación de dos factores.
¿Cómo se puede educar al personal médico y administrativo sobre buenas prácticas de ciberseguridad?
Es importante también no dejar de lado el cuidado con la información física que puedan tener los pacientes, como son los bonos de atención, resultados de exámenes, boletas, etc.
Para educar eficazmente al personal médico y administrativo en buenas prácticas de ciberseguridad, las instituciones de salud deben fomentar una cultura de ciberseguridad a tra-
Y siempre dudar de mensajes no solicitados de su compañía de salud en los cuales les pidan información personal o los dirijan a enlaces sospechosos. t
www.trendTIC.cl 3131 www.trendTIC.cl
Edición43 43--Especial EspecialCiberseguridad Ciberseguridad2023 2023 Edición
Primera Jornada Chilena de Ciberseguridad en Salud El pasado 12 de octubre se realizó la Primera Jornada Chilena de Ciberseguridad en Salud, evento organizado en conjunto por la Universidad de los Andes y la Universidad Andrés Bello (UNAB). El encuentro comenzó con unas palabras de Decano de la Facultad de Ingeniería de la UNAB, Alejandro Caroca y del Presidente del Directorio, Alianza Chilena de Ciberseguridad, Marco Antonio Álvarez. Posteriormente el Doctor Víctor Torres Jeldes, Superintendente de Salud del Gobierno de Chile, destacó que “el sector se ha vuelto sumamente atractivo, debido al valor que tiene el robo de datos clínicos y financieros de las personas que se atienden en el sistema. 32 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Es fundamental que como país comprendamos que no solo debemos preocuparnos de la protección de los datos clínicos, sino también de garantizar y contemplar una inversión permanente en la actualización y mantención de la funcionalidad de la infraestructura crítica”. En el evento expusieron, René Martínez, Director Cyber Risk de Deloitte, Daniel Álvarez Valenzuela, Coordinador Nacional de Ciberseguridad, Igal Neiman, Director de DTC Security, Claudia Santa Ana, Cybersecurity Lead, Microsoft Sudamérica Hispana, Fernando Araya, CISO de Sistemas Expertos y Claudia Santa Ana, Cybersecurity Lead, Microsoft Sudamérica Hispana. Además, se realizó un panel de
conversación en donde participaron, Carlos Bustos, Claudia Santa Ana, Daniel Álvarez Valenzuela, Igal Neiman, René Martínez, Dr. Javier Mora, Félix Liberona. Panel moderado por Pablo Antillanca, Director de la Revista trendTIC. Durante la tarde, los organizadores del evento, Claudio Álvarez de la Facultad de Ingeniería de la Universidad de los Andes y Hernán Astudillo del Instituto de Tecnología para la Innovación en Salud y Bienestar (ITiSB) de la UNAB, expusieron sobre “Formación y capacitación del capital humano en sector salud para la ciberseguridad”. La jornada concluyó con unas palabras al cierre del Senador Kenneth Pugh. t
www.trendTIC.cl 33
Edición 43 - Especial Ciberseguridad 2023
Lanzamiento Foro Nacional de Ciberseguridad Con un Salón de Honor del Congreso Nacional en Santiago repleto con invitados y autoridades, se realizó este lunes 2 de octubre el lanzamiento del Foro Nacional de Ciberseguridad El encuentro que congregó a casi cuatrocientas personas fue inaugurado por el presidente del Senado, Juan Antonio Coloma, quien destacó la alta convocatoria “porque de alguna ma-
34 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
nera refleja la relevancia que en distintos sectores, ambientes, regiones se da a que nos hagamos cargo de un tema nuevo”, remarcando que “la ciberseguridad tiene que ser parte de la agenda clave en materia de seguridad en Chile”. Por su parte la senadora Ximena Órdenes y el senador Kenneth Pugh, reconocidos como precursores de la inicia-
tiva, detallaron cómo se gestó el Foro Nacional de Ciberseguridad e hicieron notar que da respuesta a la necesidad de contar con un órgano formal y consultivo que convoque, al amparo del Senado, a especialistas, académicos, sectores público y privado, sociedad civil, entre otros. Los senadores detallaron, además, que habrá análisis en tres fechas al año,
los primeros lunes de abril, julio y octubre, en donde se desarrollarán seminarios de diversas áreas, de manera de nutrir entre otros aspectos el trabajo legislativo y normativo con la agilidad y profundidad que se requiere y que permita tomar y mantener una posición de vanguardia en Ciberseguridad. En el evento, la senadora Ximena Rincón, presidenta de la Comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación, presentó el libro “Construyendo la Ciberseguridad en Chile” que es el resultado de la Mesa de Ciberseguridad, en donde 140 participantes, pusieron en la discusión los caminos a seguir para contar con una sociedad más familiarizada con la ciberseguridad, más resiliente e innovadora. Con un acceso a internet que alcanza el 83% de la población y más de 26 millones de conexiones a través de smartphones, nuestro país se destaca como uno de los líderes regionales en la adopción de tecnología digital. Este avance tecnológico ha traído consigo innumerables beneficios para nuestra sociedad y economía. Sin embargo, también ha expuesto al país a nuevos riesgos y amenazas en el ámbito de la ciberseguridad. Por lo que la senadora resaltó que “este libro no es sólo un compendio de información, datos y propuestas, es un testimonio del compromiso de Chile en la ciberseguridad, de nuestra determinación de proteger a nuestros ciudadanos y de garantizar la resiliencia de nuestra nación frente a las amenazas digitales”. FIRMA DE CONVENIOS En la instancia el Senado de la República firmó tres convenios de colaboración, los dos primeros con las universidades San Sebastián y de Talca, respectivamente, para la cooperación en investigación, realización conjunta de actividades; además de la difusión y motivación, entre otras acciones. El tercer convenio de la Cámara Alta suscribió, fue con la Alianza Chilena de Ciberseguridad, con el objetivo principal de la realización de actividades destinadas al desarrollo, difusión, ejecución y consolidación del Foro Nacional de Ciberseguridad. RECONOCIMIENTO A JOVENES TALENTOS El foro reconocerá anualmente en el mes de octubre a jóvenes talentos, estudiantes de educación media, técnico profesional o universitaria. En esta ocasión se reconoció a alumnos de la carrera de ciberseguridad en el CFT San Agustín de Talca, por la creación de la aplicación AIBA MakeUp. La app dirigida al mundo de la cosmetología, escanea el rostro de las personas indicando el tamaño de ojo, color, el tipo de rostro y así entregando un maquillaje en cual pueda ser de guía para las cosmetólogas, de una manera segura tanto para cosmetóloga como para su cliente. AIBA MakeUp está basada en principios básicos de la ciberseguridad, la protección de los datos personales, la protección de la identidad, la protección y seguridad de la información, para que de esta manera, los usuarios puedan tener la confianza de que sus datos no van ser mal utilizados. Asistieron a recibir el reconocimiento la alumna Pilar Torres, los alumnos Pedro Aldana, Paul Gutiérrez, Leonar-
www.trendTIC.cl 35
Edición 43 - Especial Ciberseguridad 2023
do Lovera, Sebastián Navia y Alan Vargas, acompañados del profesor y jefe de carrera de ciberseguridad, Francisco Díaz y del director de la sede de Talca, Sebastián Tapia.
Senador Juan Antonio Coloma
Por último, destacar entre los asistentes al Comandante en jefe de la Armada, almirante Juan Andrés de la Maza, el director general de la Policía de Investigaciones de Chile, Sergio Muñoz, los senadores José Miguel Insulza, Juan Luis Castro, Francisco Chahuán y Carmen Gloria Aravena, la Subsecretaria general de Presidencia, Macarena Lobos, la Subsecretaria de Ciencia y Tecnología, Carolina Gainza, el Presidente del Con-
sejo para la Transparencia, Francisco Leturia Infante, el Rector de la Universidad de Talca, Carlos Torres, el también Rector de la Universidad de San Sebastián, Hugo Lavados y la directora general de la Alianza Chilena de Ciberseguridad, Karin Quiroga, entre muchos otros representantes de la ecosistema de la ciberseguridad de Chile. t
Mira el vídeo del lanzamiento del Foro Nacional de Ciberseguridad con este código QR
Karin Quiroga
José lagos y Claudio Ordóñez
Pedro Novoa y Katherina Canales
Pía Salas y Claudia Santa Ana
Pedro Huichalaf y Marco Zúñiga
Lidia Herrera y Leandra Soto
Senadora Ximena Órdenes y Senador Kenneth Pugh
36 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Carlos Tondreau; Ricardo Williams; Nicole Savron; Roberto Moreno y Paula Pinto
COLUMNA
Foro Nacional de Ciberseguridad… La vida te da sorpresas Por Pablo Antillanca. Director Revista trendTIC “Sorpresas te da la vida, la vida te da sorpresa Ay, Dios”, canta Ruben Blades, en una de sus más populares canciones. Así podría describir lo que me generó el lanzamiento del Foro Nacional de Ciberseguridad. Un evento que convocó a casi cuatrocientas personas en el Salón de Honor del Congreso Nacional en Santiago, fue un acto digno para el inicio del Mes de la Ciberseguridad. Vi a mujeres, hombres, civiles, militares, parlamentarios, autoridades gubernamentales, alumnos, profesores, personas de Santiago y de regiones, expertos y principiantes, dueños de empresas y trabajadores dando sus primeros pasos en ciberseguridad, del sector público y privado. “Ocho millones de historias tiene la ciudad de Nueva York”, señala también la misma canción que compusieron Rubén Blades junto a Willie Colón y aunque puede que no llegue a ese número, estoy seguro que en el foro, había muchas historias, muchas cicatrices de guerra de encargados de ciberseguridad, de estudiantes tratando de “capturar la bandera” y un sin número de horas ocupadas por apasionados de las diferentes facetas de la seguridad informática. Contaré una infidencia, días antes de publicar una noticia invitando a participar en el foro, hablé con unos de los organizadores y le consultaba sobre la estructura, la agenda del evento, “no te puedo mencionar mucho porque me arruinarás la sorpresa”, me señaló. Lo que no sabía en esa conversación, es que más allá de la agenda, la sorpresa sería un concepto que me acompañaría desde ese momento hasta ahora que escribo esta columna, varios días después del foro. No entraré en detalles del evento, porque en trendTIC tanto en la web como en esta edición ya hemos publicado sobre el mismo. Pero no puedo dejar de felicitar a los que hicieron posible el encuentro, en especial al Senador Kenneth Pugh, quien transversalmente, independiente del sector político, es reconocido como un impulsor de la ciberseguridad en el Parlamento. Sólo espero que lo del foro no sea como indica la misma canción, “aunque hubo ruido nadie salió, no hubo curiosos, no hubo preguntas nadie lloró”, que aquí donde hubo un encuentro, se “metió ruido” el entorno ni se inmute, muestre desinterés y no valoren la importancia de la ciberseguridad, porque de ser así, terminamos todos llorando. Es que como señala la canción, “en barrio de guapos, cuida’o en la acera, cuida’o cámara-, que el que no corre vuela”. Y parece que cada vez más el ciberespacio se convierte en un barrio en donde los ciberdelincuentes vuelan, mientras nosotros a veces solo caminamos. Queda mucho por avanzar para tener una cultura de ciberseguridad en la ciudadanía, las empresas y las familias. Pero este 2023 al parecer será un año que tendremos avances, la nueva Ley Marco, la actualización de la Política de Ciberseguridad y porque no decirlo, la instauración del Foro Nacional. A lo anterior, se suma que hoy prácticamente no hay institución de educación superior que no tenga alguna carrera, postítulo o curso relacionado con la ciberseguridad y el resultado del Estudio Nacional de Ciberseguridad 2022, realizado por el CETIUC, en donde señala que las organizaciones en Chile aumentaron su presupuesto de ciberseguridad en un 24.7% respecto del año anterior. Da para ver con buenas expectativas el 2024. Aquí puedes escuchar la canción Pedro Navajas de Rubén Blades
Claramente aún no es tiempo de celebrar, pero quizás sí de escuchar y por qué no de bailar una salsa, dar alegría a la vida y seguir avanzando. t
www.trendTIC.cl www.trendTIC.cl
37 Edición Edición43 43--Especial EspecialCiberseguridad Ciberseguridad2023 2023 37
38 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Daniel Álvarez, Coordinador Nacional de Ciberseguridad:
“Esperamos cerrar este 2023 con dos grandes procesos esenciales que nos permitirán incrementar las capacidades de nuestro país en materia de seguridad digital”
Para actualizarnos sobre cómo el Gobierno y el Estado en general están avanzado en Ciberseguridad, y para ello conversamos con Daniel Álvarez, Coordinador Nacional de Ciberseguridad, sobre los desafíos de Chile en esta materia, la proyección para lo que queda del año, cómo también la pronta nueva legislación se verá reflejada en el presupuesto 2024 y más. En primer lugar ¿Cuáles son los desafíos específicos que enfrenta Chile en materia de ciberseguridad? Chile cuenta con enormes desafíos en materia de ciberseguridad en relación al desarrollo de capacidades en diferentes áreas de nuestra sociedad, tanto en el sector público como privado. En el área técnica, por ejemplo, hemos visto cómo ha incrementado el número de incidentes de ciberseguridad durante los últimos años y cómo se han ido complejizando ciertos ciberataques,
38 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
los que buscan afectar las capacidades estratégicas del sector público y privado. En este sentido, para nuestro
“Un estudio elaborado este año por la Coordinación Nacional de Ciberseguridad da cuenta que la brecha de especialistas en ciberseguridad, tanto a nivel profesional como técnico, asciende a 28.000 personas” país es prioridad trabajar en el fortalecimiento de las capacidades de prevención y gestión de incidentes.
Otro punto relevante es la especialización y capacitación de las personas en materia de ciberseguridad. Un estudio elaborado este año por la Coordinación Nacional de Ciberseguridad da cuenta que la brecha de especialistas en ciberseguridad, tanto a nivel profesional como técnico, asciende a 28.000 personas. Esto se traduce en que nuestro mercado laboral de ciberseguridad está estresado, a causa de la falta de personal especializado. Para mejorar este panorama, necesitamos acciones concretas que provengan de la colaboración público-privada. Finalmente, en el área internacional, tenemos que mejorar y profundizar las relaciones con otros países en temas de ciberseguridad, especialmente en establecer y definir puntos de contacto para el intercambio de información útil en relación a la gestión de incidentes y a la coordinación de diversas iniciativas que se están desplegando a nivel regional y mundial.
¿Chile logrará coronar este 2023 con una Ley Marco de Ciberseguridad promulgada y una nueva Política Nacional de Ciberseguridad? Esperamos cerrar este 2023 con dos grandes procesos esenciales que nos permitirán incrementar las capacidades de nuestro país en materia de seguridad digital. Primero, la aprobación de la Política Nacional de Ciberseguridad 20232028, que es el fruto de un esfuerzo público-privado por identificar -y confirmar en este caso- los objetivos estratégicos que tiene nuestro país en cinco ámbitos distintos: infraestructura resiliente, derechos de las personas, cultura de la ciberseguridad, cooperación y colaboración, e industria e investigación científica. En esta versión, además, se han incorporado objetivos transversales en materia de género, protección de la niñez y un foco especial en el adulto mayor, que
son, por lo general, segmentos de la población que están muchísimos más expuestos en su seguridad digital.
“La Ley Marco de Ciberseguridad y la Política Nacional de Ciberseguridad buscan potenciar y robustecer nuestro ecosistema, y eso incluye a la industria para que sean capaces de absorber las necesidades del sector público y privado.” Segundo, la aprobación del proyecto de Ley Marco sobre Ciberseguridad,
que se encuentra en etapa final del segundo trámite constitucional en la Comisión de Seguridad Ciudadana de la Cámara de Diputados, el que esperamos pueda ser despachado completamente desde el Congreso Nacional durante lo que resta del año. A diferencia de varios países en la región, Chile logró que la planificación política de ciberseguridad se transformara en una verdadera política de Estado, la que ha sido desarrollada e implementada por tres gobiernos consecutivos, lo que nos permite contar con acuerdos transversales para el avance de las medidas que debemos adoptar en materia de ciberseguridad. El presupuesto nacional del 2024 ¿Se realizó como si la Ley Marco esté en vigencia? ¿Se visualiza algún incremento para la Ciberseguridad del Estado? El proyecto de Ley de Presupuesto para el año 2024 considera un incremento
www.trendTIC.cl 39
Edición 43 - Especial Ciberseguridad 2023
del 64% de los recursos disponibles para la Coordinación Nacional de Ciberseguridad, además de los recursos específicos que se consideran en el proyecto de Ley Marco de Ciberseguridad, que contempla para la puesta en marcha y funcionamiento de la futura Agencia Nacional de Ciberseguridad. Con ello, garantizamos que la Agencia pueda comenzar a operar con los recursos tecnológicos, humanos, financieros y de infraestructura necesarios para el desarrollo de capacidades que un país como el nuestro requiere. Adicionalmente, diversos organismos de la Administración del Estado han solicitado recursos específicos para responder a sus necesidades en materia de ciberseguridad, cuestión que es imprescindible para incrementar nuestros niveles de madurez en seguridad digital, que son medidos regularmente por instrumentos como el
“A diferencia de varios países en la región, Chile logró que la planificación política de ciberseguridad se transformara en una verdadera política de Estado, la que ha sido desarrollada e implementada por tres gobiernos con secutivos” Global Cybersecurity Index de la Unión Internacional de Telecomunicaciones o el Cybersecurity Capacity Maturity Model for Nations, de la Universidad de Oxford. La nueva Ley Marco y la actualización de la PNC ¿Cómo repercutirían en la industria local de ciberseguridad?
40 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
La Ley Marco de Ciberseguridad y la Política Nacional de Ciberseguridad buscan potenciar y robustecer nuestro ecosistema, y eso incluye a la industria para que sean capaces de absorber las necesidades del sector público y privado. De acuerdo a datos obtenidos por un Request for Information (RFI), elaborado por la Coordinación Nacional de Ciberseguridad durante este año, en nuestro país tenemos un ecosistema de empresas de ciberseguridad muy variado, tanto en el tipo de servicios que ofrecen como su nivel de especialización. Esto, sumado al incremento de los incidentes de ciberseguridad, requerirá cada vez más de un ecosistema de empresas preparadas y capacitadas para enfrentar los escenarios actuales y del futuro. Y en este sentido, estamos trabajando para que el proyecto de Ley y la Política impulsen iniciativas que se alinean a las necesidades y objetivos que tiene nuestro país. En la nueva Política Nacional de Ciberseguridad (PNC) se separa la Estrategia del plan de acción ¿Cómo se establecerá y quién supervisará que se cumpla ese plan de acción? Efectivamente. Tal como recomiendan algunas agencias internacionales especializadas y siguiendo el ejemplo de otros países, como Estados Unidos, por mencionar alguno, en esta ocasión se separó la planificación política de la ciberseguridad, un instrumento pensando para definir los objetivos estratégicos del país en un horizonte de mediano plazo, de las medidas específicas que debe contener un plan de acción de corto plazo. Esto, como una forma de aprender las lecciones del proceso anterior, donde por temas de diseño o priorización, se identificaron un amplio set de medidas (41) que debían ser implementadas en un plazo más largo, lo que no sucedió en un poco menos de la mitad de los casos.
Ahora, el plan de acción está pensando para contener únicamente aquellas medidas que sean realizables en un plazo de dos años, donde se especificando cuál es el organismo responsable de su implementación, los indicadores para verificar su cumplimiento y la forma en que cumplen los objetivos de la Política y sus contenidos transversales. De esta manera, la revisión del nivel de cumplimiento de cada medida del plan de acción podrá evaluarse periódicamente y ajustarse si fuera necesario.
“El proyecto de Ley de Presupuesto para el año 2024 considera un incremento del 64% de los recursos disponibles para la Coordinación Nacional de Ciberseguridad” Por último ¿Qué sensación le ha dejado este mes de ciberseguridad 2023 que ha tenido muchos eventos, seminarios, el lanzamiento del Foro Nacional y tanta otras activades? Hay múltiples iniciativas que debemos felicitar, partiendo por el Foro Nacional de Ciberseguridad que organizó el Senado a instancias de los H. senadores Kenneth Pugh y Ximena Órdenes, que no solo repletó el Ex Congreso Nacional, sino que sirvió de puntapié inicial para centenas de actividades que se han desarrollado en establecimientos de educación superior, conferencias, seminarios, foros gremiales, capacitaciones, y muchísimas otras más que nos han permitido dimensionar cómo el ecosistema de la ciberseguridad es cada vez más grande en Chile, y esperamos que ese espíritu se mantenga durante todo el año. t
Marwan Ben Rached, Coordinador Ciberseguridad ITU; Pablo Palacios, Oficial de Programas para Sudamérica ITU; Pelayo Covarrubias, Presidente de Fundación País Digita; Senador Kenneth Pugh y Daniel Álvarez, Coordinador Nacional de Ciberseguridad
CSIRT de Gobierno y la ITU organizaron por primera vez en Chile existoso Cyberdrill Entre el 25 y el 28 de septiembre se realizó por primera vez en Chile la 12ma versión del América Cyberdrill, evento organizado por la Unión Internacional de Telecomunicaciones (ITU), el CSIRT de Gobierno y la Subsecretaría de Telecomunicaciones (Subtel) y que tuvo como fin mejorar la preparación para la ciberseguridad, la protección y las capacidades de respuesta ante incidentes de los países. El evento de cuatro días contó con el apoyo, además, de la Universidad de Santiago y la Fundación País Digital. El primer día, la actividad contó con charlas y paneles de conversación sobre nuevas tendencias, gobernanza, colaboración internacional, inteligencia artificial, protección en línea para la infancia, entre otras. Posteriormente, los días 26, 27 y 28, los asistentes, los encargados de ciberseguridad tanto nacionales como internacionales realizaron diversos ejercicios de simulación de ciberataque, ejercicios de análisis forense, ingeniería reversa de malware y uso de plataformas de inteligencia de amenazas. La apertura del evento estuvo a cargo de Claudio Araya, Subsecretario de Telecomunicaciones, quien habló sobre la
brecha digital: “la transformación digital de nuestra sociedad se está ejecutando a pasos acelerados. Mientras más rápidos son esos pasos, más delitos se trasladan desde el mundo real al virtual, volviéndose más crítico tener las herramientas para hacer frente a estos ataques y contar con una sociedad preparada”. Además, agregó: “agradezco a todos los organismos que hicieron posible este encuentro, ya que marca un punto que nos va a permitir tener a más personas capacitadas, relevar el tema y efectuar ejercicios de primer nivel, mediante metodología ITU, que no siempre está disponible”. Posteriormente, Daniel Álvarez, Coordinador Nacional de Ciberseguridad de Chile, agradeció este tipo de instancias, al mismo tiempo que coincidió con el Subsecretario en que hace tiempo que estamos en un punto de inflexión, afirmando que “nosotros pasamos de tener una cantidad estable de incidentes (entre los 3 mil o 4 mil al año), a una cifra mucho mayor. Adicionalmente, hemos asumido el nivel de incidentes de carácter crítico o grave, y tan solo en el primer semestre de este año hemos registrado tres incidentes críticos, con una sofisticación que da cuenta de que Chile se está convirtiendo en un claro objetivo”.
El coordinador reflexionó, además, en la forma en que ocurren estos ataques, “estábamos acostumbrados a los phishing y hemos elaborado intensas campañas para que nuestros usuarios, funcionarios y colaboradores sean capaces de identificarlos. En este contexto, es necesario que entrenemos a las personas y uno de los desafíos de esta semana y, particularmente de esta actividad, es que los profesionales del área de la ciberseguridad tengan el mejor desarrollo de capacidades posible, con ejercicios de simulación”. A continuación, María José Torres Macho, Coordinadora Residente – Sistema de Naciones Unidas, expuso acerca de la Cumbre sobre los Objetivos de Desarrollo Sostenible (ODS), efectuada recientemente. “En esta se plantearon los lineamientos para avanzar en la creación de una agenda de desarrollo, y una de las transiciones identificadas es justamente la conectividad digital. De esta manera, lo que para Chile es muy normal, ya que es el país con mayor conectividad digital en la Región, no lo es así en otros países. Y ese es uno de los grandes desafíos: la disparidad que existe tanto en términos del avance en la conexión digital en determinados territorios, como en las medidas de protección. Entonces, mientras no tengamos
www.trendTIC.cl 41
Edición 43 - Especial Ciberseguridad 2023
territorios igualmente protegidos se van a seguir generando vacíos de atención, y los delitos de ciberseguridad reproduciéndose. Se ensayan en un lugar y acaban realizándose en otro, por lo que este tipo de instancias son fundamentales para comenzar a entender de qué delitos estamos hablando”. Educación: piedra angular de la ciberseguridad Por su parte, Carlos Lobos, Director del Programa de Ciberseguridad de USACH, dijo que “es un orgullo como universidad participar en esta instancia, ya que la colaboración no se da solamente a través del sector público – privado, sino que también se deben considerar las instancias académicas pertinentes. Hay una gran carencia de profesionales en los ámbitos de ciberseguridad, sobre todo en el sector público. Existen muchas brechas y desafíos que ir abordando, por lo que este tipo de iniciativas son muy adecuadas, puesto que generan networking y capacidades para responder y sobreponerse a este tipo de incidentes. Pero lo más importante es que, una vez adquiridos estos conocimientos, se compartan para ir ampliando el espectro de profesionales preparados”. Posteriormente, Pelayo Covarrubias, Presidente de Fundación País Digital, abordó cómo la pandemia aceleró considerablemente la transformación digital y, con ello, todos los elementos de la ciberseguridad. “En este sentido, cuando hablamos de transformación digital y del desafío que
42 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
estamos teniendo en Chile de los últimos casos, nos referimos a cómo somos capaces de cambiar la cultura en nuestro país. Las personas que estamos en esta actividad tenemos un gran desafío, y somos probablemente los más aventajados desde el punto de vista de la educación en esta materia, pero que a pesar de que se están haciendo esfuerzos, aún no está 100% instaurada en instituciones de educación superior, ni menos en colegios, cuyo aporte es vital”, comentó.
ma ciberseguro para la utilización de las TICs. Se había nombrado que dentro de los desafíos 2030 es tener a todos conectados, y hoy ya tenemos más del 50% de la población mundial conectada. También se mencionaba que las TICs no solo son fundamentales para la vida diaria, sino que también una industria transversal a cada uno de los sistemas de producción. La información y comunicación nos permiten producir, pero para ello necesitamos de la ciberseguridad”.
Paolo Mefalopulos representante de la UNICEF en Chile, en tanto, aseguró que “para UNICEF es muy importante el tema de las tecnologías digitales porque han cambiado el mundo, y a medida que aumenta el número de niños y niñas que se conecta en línea en todos los países, está cambiando cada vez más su infancia. Si bien se dice que el entorno digital es esencial para sus vidas y educación, ofreciendo oportunidades para hacer efectivos sus derechos, al mismo tiempo hay un debate sobre cómo pueden verse vulnerarlos también”.
Otro actor relevante fue Kenneth Pugh, Senador de la República que, a través de su charla “Creación de una Cultura de Ciberseguridad”, destacó los ítems que involucra esta iniciativa. “No podemos pretender cambiar la cultura del país si no tenemos una estrategia de largo plazo. Y esto fue lo primero que se presentó el año pasado: una estrategia Chile Digital 2035 con compromiso político de la cultura que queremos lograr. Esta estrategia nace de un instrumento desarrollado por la Universidad de Oxford, que es un modelo de madurez que habla de cinco dimensiones. Si bien se refiere a cultura, abarca conocimiento, marco jurídico y finalmente la gestión del riesgo”, afirmó el Senador. t
Desafíos en Ciberseguridad En la ocasión también estuvo presente Pablo Palacios, Oficial de Programas para Sudamérica de la Unión Internacional de Telecomunicaciones – UIT, quien sostuvo: “nuestro trabajo se enmarca en la Agenda Global de Ciberseguridad, que es el mandato que los países miembros del Sistema de las Naciones Unidas nos entregaron, y que consiste en la creación de un siste-
Mira el vídeo de la 12th America Cyberdrill 2023 realizada en Chile
Chile obtiene el primer lugar en el OEA Cyber Challenge Entre el 25 y 26 de octubre se llevó a cabo por primera vez en Chile la final del OEA Cyber Challenge, una competencia de ciberseguridad para personas entre 18 y 30 años. «Las amenazas de ciberseguridad son cada día más sofisticadas y complejas, superando la capacidad tanto de los gobiernos como del sector privado para abordarlas. Por otro lado, el mercado laboral en el sector de la ciberseguridad continúa experimentando una escasez de mano de obra. Es por eso que las iniciativas que fomentan el desarrollo de talento en ciberseguridad, como el OEA Cyber Challenge, son esenciales para cerrar la brecha de habilidades en esta industria y aumentar la capacidad de los gobiernos y las empresas para enfrentar estas amenazas», afirma Alison Treppel, Secretaria Ejecutiva del Comité Interamericano Contra el Terrorismo (CICTE) de la Organización de los Estados Americanos (OEA). Cristian Bravo Lillo, director del CSIRT de Gobierno, aseguró: “La ciberseguridad es un área cada día con más relevancia en nuestro país y en el mundo, por lo tanto, debemos ocuparnos de esto y ser capaces de avanzar de forma integral, considerando todos los aspectos que involucra la seguridad de la información. Esto es, por ejemplo, fomentar el desarrollo de profesionales, incentivar la capacitación y el desarrollo de habilidades, promover el trabajo en equipo y cooperación entre los países, etc. Y esta es una de las tantas aristas en la que estamos trabajando, lo que se refleja en este tipo de eventos”. Durante el primer día de esta actividad, se realizaron charlas técnicas para motivar y explicar el contexto actual y cómo la ciberseguridad requiere la integración de distintas especialidades y cómo se unen en las distintas etapas de la vida. Así también, se llevó un panel de conversación
1er Lugar Equipo Chileno Diego Arias, Camilo Vera, Pablo Aravena y Sebastián Zapata
sobre el desarrollo de la fuerza laboral de ciberseguridad y que contó con la participación de Karin Quiroga, Gerente General de la Alianza Chilena de Ciberseguridad; Romanina Morales, Directora Nacional del SENCE; Fernando Lagos, co-fundador de Nivel4 y Enrique Serrano, CEO y fundador de Hackrocks.
ble. El segundo lugar lo obtuvo Perú, quien también resolvió todos los escenarios y Brasil ocupó el tercer lugar.
Tras una intensa y disputada jornada, Chile obtuvo el primer lugar, logrando descifrar todos los desafíos en el menor tiempo posi-
El equipo de los chilenos estuvo conformado por Diego Arias, Camilo Vera, Sebastián Zapata y Pablo Aravena, quienes mostraron un excelente resultado. Si bien no se conocían entre ellos, hicieron un gran trabajo en equipo. “El ejercicio nos pareció bastante interesante desde el punto de vista de los desafíos, fueron variados y bien entretenidos”, aseguraron los ganadores. Además, agregaron: “Uno siempre está constantemente practicando y resolviendo desafíos de todo tipo, por lo que todo sirve y suma, y jugamos con harta motivación. Los CTF permiten acercarse al mundo laboral de la ciberseguridad, ya que uno se enfrenta a desafíos parecidos a los que nos podemos encontrar en la realidad y la idea es explotar esa creatividad para encontrar vulnerabilidades”. t
2do lugar Equipo Perú
3er lugar Equipo Brasil
El 26 de octubre comenzó la competencia. Los equipos estuvieron compuestos por cuatro personas y cada uno representó a su país: Perú, Argentina, Colombia, Panamá, México, Costa Rica, República Dominicana, Brasil, Guatemala y Chile. Desde las 9:30 hasta las 18:00 horas los equipos debieron resolver seis ejercicios de ciberseguridad sobre hacking web, exploiting y análisis forense.
Mariana Cardona, Oficial de Proyecto del Programa de Ciberseguridad de la OEA; Enrique Serrano, CEO y fundador Hackrocks; Romanina Morales, Dir. Nacional del SENCE; Fernando Lagos, co-fundador de Nivel4, Karin Quiroga, Gerente General de la Alianza Chilena de Ciberseguridad; t y Cristian Bravo, jefe CSIRT de Gobierno.
www.trendTIC.cl 43
Edición 43 - Especial Ciberseguridad 2023
44 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Cristian Bravo, Jefe CSIRT de Gobierno:
“En el CSIRT de Gobierno ya nos estamos preparando para cuando esté promulgada la nueva Ley Marco de Ciberseguridad”
Una vez promulgada la nueva Ley Marco de Ciberseguridad, se deberá constituir la Agencia Nacional de Ciberseguridad (ANCI), una nueva institución que, entre otros objetivos, absorberá al CSIRT de Gobierno. Frente a estos cambios, el equipo del CSIRT ya se está preparando para asumir los nuevos desafíos. “Tanto las personas como la infraestructura son parte fundamental en la ciberseguridad, por eso durante este año hemos trabajando en distintas iniciativas que tienen como fin potenciar y capacitar al equipo del CSIRT y encargados de ciberseguridad del Estado, robustecer nuestra infraestructura y concientizar a la ciudadanía. Y si bien tenemos un proyecto de ley que nos ayudará a impulsar aún más la ciberseguridad en Chile, desde ya estamos implementando mejoras para incrementar nuestro nivel de madurez”, explica Cristian Bravo, director del CSIRT de Gobierno. Desde el punto de vista de la infraestructura “evaluamos el nivel para iden-
44 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
tificar nuestras fortalezas, brechas y oportunidades de mejoras. Como consecuencia, ya estamos levantando como 10 o 12 licitaciones distintas
“Ya estamos levantando como 10 o 12 licitaciones distintas en el portal ChileCompra para adquirir más herramientas de gestión, análisis, servidores, los que nos permitirán integrarlos a nuestra infraestructura tecnológica” en el portal ChileCompra para adquirir más herramientas de gestión, análisis, servidores, los que nos permitirán
integrarlos a nuestra infraestructura tecnológica. Gracias a esto, podremos robustecer nuestro equipamiento y entregar una mejor protección y beneficios a las instituciones públicas”, asegura Bravo. Otra arista muy relevante es la capacitación a los equipos humanos. “Los integrantes del CSIRT nos estamos capacitando constantemente para estar actualizados sobre las nuevas amenazas y adquirir nuevos conocimientos. Así también, realizamos distintas actividades para los encargados de ciberseguridad del Estado, con el objetivo de prepararlos frente a diferentes escenarios”, enfatiza el director del CSIRT. Algunos ejemplos de esto eventos son: - Cyberdrill, una actividad que duró cuatro días y que organizó el CSIRT junto con la Unión Internacional de Telecomunicaciones (ITU), Subtel y CSIRT. - Charlas educativas de ciberseguridad, dirigidas a un público no conocedor de la ciberseguridad y que tuvo una gran
audiencia del sector público y una muy buena recepción en cada sesión. La idea fue entregar conocimientos básicos de ciberseguridad, por ejemplo, cómo proteger la vida digital y qué medidas puede tomar una persona para proteger su identidad, compras, etc. - Charlas técnicas: Se realizaron una serie de presentaciones técnicas en alianza con empresas privadas para los encargados de ciberseguridad de los servicios públicos, por ejemplo, con Google, Mandiant y Microsoft. Finalmente, otro punto muy relevante es la concientización para la ciudadanía. Desde hace años, cada semana compartimos ciberconsejos en nuestras redes sociales para educar sobre distintos temas a las personas. ¿Estas actividades podrían traducirse en que hay una mejor cultura de ciberseguridad dentro de los organismos del Estado? “Si bien aún falta mucho por hacer, no cabe duda que todas estas iniciativas
ayudan a promover una mejor cultura de ciberseguridad. Tenemos que socializar los temas, acercarlos a las personas y lograr que entiendan que es su seguridad depende de ellos mismos.
“Mientras más invirtamos en entender los problemas de las personas, los ayudemos a mejorar sus hábitos de seguridad y su ciber higiene, más fácil será disminuir los incidentes de seguridad en el estado” Ahora bien, el principal factor que permite predecir la cantidad de brechas de seguridad de una organización depende directamente del número de
personas que trabajan ahí. Entonces, independientemente de que uno pueda tener una buena seguridad perimetral, que se adquieran firewalls, IPS, IDS, etc., el factor técnico no dependerá en un 100% si te hackean o no, sino que el vector de riesgo es la cantidad de personas. Es decir, mientras más personas hay, mayor es la posibilidad de que te hackeen. Por lo tanto, probablemente estamos invirtiendo menos de lo que deberíamos en las personas y más en equipamiento. Por esto, concientizar sobre ciberseguridad apunta a ese factor principal: las personas. Mientras más invirtamos en entender los problemas de las personas, los ayudemos a mejorar sus hábitos de seguridad y su ciber higiene, más fácil será disminuir los incidentes de seguridad en el estado”. En algunos medios escritos, han señalado que Chile había bajado del ranking mundial de ciberseguridad. ¿Cómo se explica esta situación considerando por ejemplo este mes
www.trendTIC.cl 45
Edición 43 - Especial Ciberseguridad 2023
de octubre lleno de actividades para una mejor cultura de ciberseguridad?
rando una cooperación mayor en pos de una mejor ciberseguridad que es lo que todo el mundo quiere?
“Gracias por la pregunta, porque es bueno poder aclarar qué ocurre en el caso particular de ese ranking NCSI de Estonia y por qué Chile aparece bajando 10 puestos.
“De varias maneras. Una de ellas, y la que estamos explorando actualmente, es la capacitación con el apoyo del sector privado, ya que son ellos quienes tienen las herramientas y los productos que necesitamos, y la mejor manera de conocerlos es que vengan sus propios creadores a contar sobe eso.
“Otra manera en la que generamos alianzas es a través del intercambio de información de incidentes de seguridad”
Otra manera en la que generamos alianzas es a través del intercambio de información de incidentes de seguridad. El sector privado está mucho más cerca del tráfico malicioso que se detecta en las redes, sobre todo porque nosotros vemos una pequeña parte del internet del país, y es la que está relacionada con el Estado. Entonces, lo que queremos promover es la colaboración, en la cual cuando ellos detectan indicadores de compromiso, nos los envían y nosotros somos capaces de tomarlos e informar a los servicios públicos. Y esto mismo hacemos nosotros hacia ellos.
El NCSI es un ranking continuo, es decir, no hay una edición cada año. Esta es una medición en el que cada país puede enviar información en cualquier momento y, dependiendo de esa ésta, se actualizan los datos. Por lo tanto, los países mejoran o empeoran según los cambios que incorporen.
Entonces, para ejecutarlo de forma transparente y de la mejor manera posible, firmamos convenios con empresas privadas, tratando de privilegiar las asociaciones, ya que si tuviéramos que firmar un convenio con cada empresa, nos llenaríamos de convenios y probablemente no seríamos capaces de administrarlo. De todas maneras, estamos abiertos a generar estas alianzas de colaboración con todo tipo de empresa”.
Chile, por su parte, no ha mandado datos desde el año 2020, a diferencia de otros países que sí han actualizado su información. Entonces, al no contar con más antecedentes, bajamos en el ranking y otros suben, pero no significa que nuestra situación haya empeorado. Ahora, obviamente nosotros estamos trabajando para actualizar esta información y el ranking y de la ITU, otro medidor importante en ciberseguridad en el mundo”.
¿Qué se viene para el CSIRT en el corto plazo? Considerando que se viene una nueva Ley Marco.
¿Cómo de alguna forma esta alianza con el sector privado y el sector público va gene-
46 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Como mencioné anteriormente, nos estamos preparando desde las distintas aristas. Para complementar, te puedo adelantar que cuando se promulgue la Ley vamos a tener que irnos a una nueva oficina, porque la Agencia Nacional de Ciberseguridad será un servicio público independiente, entonces físicamente tenemos que salir de la Subsecretaría del Interior y por último, y muy importante, vamos a aumentar el recurso humano, contrataremos a más técnicos y analistas para poder abarcar todas las necesidades y cubrir los mandatos que nos designe la Ley, a quienes además entrenaremos y capacitaremos para integrarse a nuestra entidad. t
Seminario para funcionarios públicos realizado por el CSIRT de Gobierno y Google Cloud/Mandiant
Exitoso seminario para funcionarios públicos realizado por el CSIRT de Gobierno y Google Cloud/Mandiant Una intensa mañana de ciberseguridad, respuesta a incidentes e inteligencia digital para funcionarios públicos llevó a cabo el CSIRT de Gobierno el pasado 3 de octubre, comprendiendo dos interesantes charlas a cargo de expertos de Mandiant/ Google Cloud. Enmarcado en el Mes de la Ciberseguridad, el encuentro se realizó en el Edificio Moneda Bicentenario y contó con la asistencia de más de 100 funcionarios de Santiago y otras regiones. El encargado de abrir el evento fue Cristian Bravo, jefe del CSIRT de Gobierno, quien afirmó que “esta instancia corresponde a una serie de sesiones técnicas para brindar tips y recomendaciones prácticas a los profesionales del servicio público. La idea es profundizar sobre
temas contingentes, como por ejemplo protección ante ransomware, organización de equipos para responder a incidentes, gestión de logs técnicos, y organización de equipos con herramientas open source”. Posteriormente, Roni Berezin, especialista en Respuesta ante Incidentes de Mandiant/Google Cloud, mostró los principales datos corporativos de Mandiant, señalando que es muy conocida por su área de respuesta a incidentes. A continuación, efectuó un completo panorama de amenazas y detección analizando el comportamiento de los diferentes grupos de hackers, y cómo responder ante ellos. En este sentido, el profesional destacó un reporte llamado M-Trends, elaborado por la compañía, que sistematiza todos
los números y métricas del año anterior: “A modo de ejemplo, en 2022 hicimos 1.163 investigaciones de respuesta a incidentes, obteniendo una serie de estadísticas”. Durante el encuentro expuso también Cristian Bobadilla, especialista en Consultoría y Estrategia de Ciberseguridad de Mandiant/Google Cloud, quien comenzó su presentación enfatizando en qué es lo que realmente se debe proteger. “Muchas veces no sabemos dónde están los datos críticos o nuestra protección se basa en los servidores, pero no los de antivirus. Entonces, obviamente puede ser fácil hackear un servidor de apoyo, un área sinérgica, de parchado y por ahí llegar a los servidores principales. Esto sin duda es muy importante a en cuenta”, indicó. t
www.trendTIC.cl 47
Edición 43 - Especial Ciberseguridad 2023
PUCV realizó Seminario Internacional de Ciberseguridad Con el objetivo de abordar los desafíos que enfrenta el país, la PUCV efectuó un Seminario Internacional de Ciberseguridad, el que fue organizado de manera conjunta con la Embajada de Israel en Chile. El director general de Asuntos Internacionales, Orlando de la Vega, expresó que la Universidad se embarcó recientemente en el proyecto “Misiones”, que consiste en enfrentar el desafío de identificar aquellos aspectos donde la PUCV y el país tienen fortalezas y debilidades, vislumbrando oportunidades para potenciar la colaboración internacional, destacando que “el ámbito de la ciberseguridad es una de las temáticas que abordamos porque cruza de manera transversal al conjunto de la sociedad (…) Estamos trabajando en colaboración con diversas facultades y escuelas de la Universidad en conjunto con la Embajada de Israel donde identificamos algunas potencialidades en el ámbito de la eficiencia hídrica y también en la seguridad cibernética, inteligencia artificial y otros temas”. El senador Kenneth Pugh expuso sobre la creación de la nueva Agencia Nacional de Ciberseguridad (ANCI), señalando que “Chile es el país más avanzado en digitalización, tenemos más del 85% de las personas conectadas diariamente, pero no tenemos conciencia e institucionalidad en la materia. La ANCI va a fijar reglas y verificar el cumplimiento para que la infraestructura crítica funcione”. IMPACTO DE LOS CIBERDELITOS EN CHILE El subprefecto Marcelo Wong, jefe del Centro Nacional de Ciberseguridad de la Policía de Investigaciones expuso sobre los desafíos que enfrenta la seguridad en internet en tiempos de Inteligencia Artificial donde es posible clonar las caras de las personas y
48 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
también las voces en pocos segundos. “La mayoría de los casos que se ven en ciberataques corresponden al Phishing, que es la suplantación de identidad para solicitar información personal. Esto se vincula con robos, estafas y espionaje. El foco debe centrarse en las personas. Este delito no es novedoso, pero sigue requiriendo de la acción humana. Un buen entrenamiento y capacitación mitiga este riesgo”, expresó. En la ocasión, expuso el jefe del Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) del Gobierno de Chile, Cristian Bravo, quien señaló que en nuestro país faltan más de 28 mil profesionales en el ámbito de la ciberseguridad, brecha que recién se alcanzará en 2033. Por su parte, el director de la Escuela de Ingeniería Informática PUCV, Ricardo Soto, indicó que “faltan profesionales en este ámbito y estamos trabajando para formar especialistas en ciberseguridad. El uso de las tecnologías digitales llegó para quedarse y estamos formando a los alumnos en este nuevo escenario”, complementó. Finalmente, el director de Servicios de Informática y Comunicaciones de la Universidad, Marcos Jeldres, expresó que “es importante que cada organización y que cada institución de Educación Superior cuente con programas para prepararse a los ciberataques, particularmente en el ámbito de la concientización, considerando que el factor humano corresponde al 90% de los delitos cuando se vulneran los sistemas de información”. t
Con gran éxito se realizó el POCDAY de NEOSECURE by SEK Crear cibercapacidades y adoptar soluciones que estén a la altura de una industria que se transforma constantemente implica hoy una prioridad para todas las organizaciones. En este escenario, el pasado 3 de octubre se realizó la versión 2023 del POCDAY NEOSECURE by SEK, un evento en donde se presentan diversas marcas, soluciones, capacidades y enfoques para la seguridad de la información. t
Mira el vídeo con las entrevistas realizadas en POCDAY 2023 de NEOSECURE by SEK
www.trendTIC.cl 49
Edición 43 - Especial Ciberseguridad 2023
Lockdown Fest 2023:
Ciberseguridad, conocimiento y comunidad
La tercera versión de Lockdown Fest se realizó en dos exitosas jornadas de workshops, charlas y conversatorios. Lockdown Fest surgió como una iniciativa de profesionales del área de la ciberseguridad, que, reunidos virtualmente durante las cuarentenas, quisieron abrir un espacio libre y gratuito para compartir experiencias. En un momento en que todo estaba paralizado reactivaron los eventos del área con un encuentro virtual abierto donde cualquier persona, desde expertos a hasta entusiastas, pudieron participar de talleres y seminarios. Así nació la primera versión 100% online en julio de 2021. Tres años han pasado y la versión 2023 culminó con una exitosa jornada presencial realizada en la sede Manuel Montt de la Universidad Mayor, en Providencia. Hasta allí llegó un centenar de personas interesadas en escuchar a los destacados speakers del evento. “Lockdown sigue siendo un espacio gratuito, todos trabajamos de forma voluntaria para hacer realidad cada versión sólo por las ganas de democratizar el conocimiento y profesionalizar esta disciplina” cuenta Francisco Javier Gutiérrez, uno de los fundadores de Lockdown.
dad el que atrae a las personas a querer ser parte cada año. Y para lograrlo el apoyo del equipo Lockdown es fundamental”, agrega.
Ignacio Parra, también fundador de la iniciativa, destacó el posicionamiento que ha ido adquiriendo en cada versión, “no hacemos mucha difusión ni contamos con recursos para promocionar de forma masiva, pero es este sentido de comuni-
Lockdown 2023 se realizó en dos jornadas con alta convocatoria, un workshop online y seminario presencial, donde participaron como instructores y speakers los principales referentes de la ciberseguridad en Chile. t
50 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
ENTEL Digital se integra a FIRST Org, la mayor comunidad de equipos de cibertinteligencia a nivel mundial
La respuesta eficaz ante un ciberataque es una tarea global a la que a partir de este 2023, Entel Digital -a través de su Centro de Ciber Inteligencia (CCI) – se suma como parte de la comunidad internacional FIRST Org. Esta reconocida organización de expertos opera en base a un modelo de gobierno de red de pares, que combina equipos de respuestas a incidentes de seguridad informática, equipos de respuesta a incidentes de productos e investigadores de seguridad independientes, quienes trabajan colaborativa y coordinadamente con protocolos de confidencialidad para limitar el daño de los ciberataques que se produzcan en cualquier lugar del mundo. Eduardo Bouillet, Director del Centro de Ciberinteligencia de Entel Digital, comenta que “estamos muy contentos de ser parte de FIRST, una gran comunidad que fomenta la creación de confianza entre sus miembros, con quienes compartimos la experiencia de atender distintos ciberataques que afectan a todo tipo de empresas de distintos rubros. Al estar conectados 24 horas al día, compartimos datos,
procedimientos, investigaciones y procesos que nos permiten estar a la vanguardia y ofrecer servicios seguros y con tiempos de respuesta menores a nuestros clientes”. Bouillet agrega que “ser parte de FIRST valida nuestros servicios a nivel mundial. Nos permite trabajar colaborativamente con nuestros pares y estar al día de lo que está pasando en materia de respuestas ante diversos tipos de ataques que evolucionan y complejizan aceleradamente. Todos los miembros estamos conectados por diferentes canales en donde se centralizan todas las respuestas de incidentes a nivel mundial, lo que enriquece la mirada y servicio que entregamos desde Entel Digital. En este contexto de colaboración hemos apoyado a otros equipos pertenecientes a FIRST en casos de respuesta ante ciberataques, y contamos con la misma retribución si es que lo necesitamos”. En cuanto a los beneficios de ser parte de FIRST, Eduardo Bouillet destaca que “hay 681 equipos miembros de respuestas frente a incidentes y 106 países involucrados. Tenemos acceso a
información y conocimientos que nos permiten estar a la vanguardia. También estamos en contacto con grupos de investigaciones con los cuales podemos intercambiar información sumamente valiosa. Estamos conectados para acceder a todos los indicadores que se van ingresando y tenemos la alternativa de participar en la conferencia mundial y en distintos encuentros que se realizan durante el año, donde actualizamos permanentemente nuestros conocimientos”. El equipo de Ciberseguridad de Entel Digital tuvo la oportunidad de participar en junio de la Conferencia Anual de First “Empowering Communities”, que se celebra todos los años en distintos países. Este 2023 participaron más de 800 personas en Canadá. “Fue una excelente conferencia en la que compartimos experiencias unos con otros. Ese es el principal valor de esta membresía: el trabajo colaborativo que fortalece nuestra oferta de servicios de respuesta ante incidentes y amenazas”, explica Eduardo, quien destaca que ya tienen agendado el encuentro 2024 que se realizará en Japón. t
www.trendTIC.cl 51
Edición 43 - Especial Ciberseguridad 2023
Informe de Ciberseguridad y Perspectiva de Género devela interesantes oportunidades y desafíos Valentina Arriagada y Daniela Olivares Autoras del Informe
Importantes hallazgos arrojó el Informe de Ciberseguridad y Género, llevado a cabo por el Centro de Estudios en Derecho Informático de la Universidad de Chile, y patrocinado por la Embajada de Canadá en nuestro país. El pasado 10 de octubre se presentaron los resultados del Informe “Ciberseguridad y Género: La perspectiva de género en las políticas de ciberseguridad en América Latina y el Caribe”, elaborado por Daniela Olivares, Investigadora, y Valentina Arriagada, Ayudante; ambas del Centro de Estudios en Derecho Informático de la Universidad de Chile. El estudio – realizado con el patrocinio de la Embajada de Canadá en Chile sistematiza la información pública existente sobre las políticas y estrategias de ciberseguridad de los países de América Latina y el Caribe, y analiza si estas integran la perspectiva de género de forma directa o indirecta. Daniela Olivares explicó que “en el informe destacamos la importancia que tiene el enfoque de género en ciberseguridad, y recalcamos que en el ciberespacio se replican las discriminaciones que históricamente han afectado a ciertos grupos en el mundo ‘real’. Esto se aborda desde dos puntos aristas: la
52 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
falta de mujeres especialistas en ciberseguridad, así como los riesgos y vulnerabilidades existentes en el ciberespacio, que afectan de forma diferenciada a las mujeres, niñas y disidencias sexogenéricas, dentro de los cuales encontramos la violencia digital dirigida a esos grupos”.
“En el ciberespacio se replican las discrimanaciones que históricamente han afectado a ciertos grupos en el mundo real” A partir de esto se revisó si los países contemplados han incorporado un enfoque de derechos humanos y, en particular, de género. Los hallazgos Entre los principales hallazgos de la investigación, destaca en primer lugar que 10 de los 33 países de América Latina y el Caribe, no cuentan con una política o estrategia de ciberseguridad, y
tampoco la están desarrollando. Nueve países están generando sus políticas y, de ellos, solo Chile y Costa Rica van en su segunda versión. De los 16 países que tienen una política de ciberseguridad, 14 de ellos contemplan el respeto por los derechos humanos, en mayor o menor medida. Pero al analizar si incluyen en esta política alguna referencia expresa a la perspectiva de género, se constató que solo cuatro la tienen: Argentina, Chile, Colombia y Ecuador. “La profundidad con que estos países abordan el tema es disímil. Por una parte, Ecuador hace una breve mención a esta perspectiva en relación al desarrollo de capacidades, manifestando la necesidad de incluir un enfoque que considere la equidad de género. Colombia, en tanto, va más allá al incorporar, en sus planes de acción, la unificación de iniciativas que fortalecen las competencias en seguridad digital con enfoque diferencial e inclusivo de género, para mujeres o ciudadanos que se identifiquen con este género. Además, promueve la participación femenina en el sector público, privado y la academia”, afirmó Valentina Arriagada. La autora agregó: “Argentina presen-
ta avances porque incorpora de forma expresa la perspectiva de género como un principio rector y transversal de su política. Un principio reforzado por la protección a las personas en situación de vulnerabilidad y/o que hayan sido históricamente discriminadas”. El informe arrojó, por último, que Chile fue el primer país de la Región que incluyó el enfoque de género en su política de ciberseguridad. Y la propuesta de política 2023-2028 tiene un mayor desarrollo respecto de la perspectiva de género al hacer presente el compromiso de brindar una mayor seguridad a las mujeres en el ciberespacio. También por promover su inclusión en ciberseguridad, declarando la equidad de género, protección a la infancia y a los adultos mayores como ejes transversales de la propuesta. Promoviendo la participación femenina No cabe duda que la falta de profesionales especialistas en ciberseguridad es una tarea pendiente. Pero mayor aún es la carencia de mujeres en este ámbito. En este contexto, Daniela Olivares aseguró que “ha habido importantes iniciativas que buscan fomentar esta participación en la Región. Estas han
sido lideradas por la Organización de Estados Americanos (OEA), donde destacamos el Cyberwomen Chanllenge, los programas de mentorías, y su informe sobre violencia de género en línea contra mujeres y niñas, que ayudan a identificar el fenómeno, así como a fomentar a inclusión”.
“Chile fue el primer país de la Región que incluyó el enfoque de género en su política de ciberseguridad” Sobre este tema, Valentina comentó que “desde el Centro de Estudios en Derecho Informático de la Facultad de Derecho de la Universidad de Chile, también hemos contribuido en la materia. Contamos con el curso ‘Género y Ciberseguridad’, el cual hemos impartido, en sus últimas versiones, con el apoyo de la Embajada de Canadá en Chile. Ellos han patrocinado becas que han permitido a personas de Latinoamérica y el Caribe capacitarse con nosotros”. Desde el punto de vista estatal, diver-
sos gobiernos, conscientes de la importancia de incluir mujeres en el área, han contemplado medidas para fomentar su participación y hacer frente a los riesgos que afectan a este grupo. De acuerdo al informe, la principal recomendación en este sentido es incluir a las mujeres y disidencias en todo el proceso que conlleva una política o estrategia de ciberseguridad. “Esto es algo que, dada la falta de datos y de profesionales en el área, no resulta fácil llevar a cabo. Por ello es necesario generar datos mediante estudios, informes y encuestas desagregadas de forma interseccional, a efectos de representar adecuadamente a quienes son discriminados en el ciberespacio”, dice Daniela. Como conclusión, falta visibilizar la importancia de la perspectiva de género en ciberseguridad, tomar conciencia de la falta de profesionales mujeres en el área, así como de los riesgos diferenciados a los que están expuestas en el ciberespacio. “El rol de los gobiernos es fundamental en este sentido, y debe incluir la perspectiva de género en sus políticas de ciberseguridad. También herramientas que permitan su implementación de forma integral y transversal, lo que constituye el gran desafío en la Región”. t
www.trendTIC.cl 53
Edición 43 - Especial Ciberseguridad 2023
Segundo encuentro de Comunidad de Mujeres en Ciberseguridad El pasado 12 de octubre, la Comunidad de Mujeres en Ciberseguridad realizó su segunda reunión presencial, en esta ocasión en dependencias de Accenture. En el encuentro, Daniel Álvarez, Coordinador Nacional de Ciberseguridad y posteriormente un panel compuesto por Cristian Donaire Bustos, Gerente de Ciberseguridad de la información en Red Salud y Abraham Ermann, Gerente Internacional de Ciberseguridad y Fraude del Banco Itau, Katherina Canales, CEO de Nivel4, Soledad Basitas, Gerente Corporativo de Ciberseguridad de Codelco, Gabriela Romo, COO de CISOCUBE y moderado por Carolina Pizarro de Accenture, analizaron las brechas de género en ciberseguridad. t
54 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Angela Lopes, Paula Pinto, Carolina Lobos, Verónica Hernández, Francisca Micolich, Laura Santos y Adriana Patiño
Marisel Cabeza, Karin Quiroga, Adriana Bassi, Rocío Ortiz y Pilar Meza
Daniel Álvarez, Coordinador Nacional de Ciberseguridad, Carolina Pizarro de Accenture, Gabriela Romo de CISOCUBE, Cristian Donaire Bustos de Red Salud, Katherina Canales de Nivel4, Abraham Ermann, del Banco Itau y Soledad Basitas de Codelco.
Jessica Narváez, Gloria Ruiz, Mariela Díaz, Sabina Torres y Leandra Soto
Bárbara Palacios, Francisca Rodríguez y Constanza Herrera
Karina Bunster, Carmen Gloria Ángulo, Abraham Ermann y Nicole Savron
Pia Baeza y Ana Valenzuela
Constanza Ahumada, Constanza Morales, Camila Alarcón y Valentina Romero
www.trendTIC.cl 55
Edición 43 - Especial Ciberseguridad 2023
Ciberseguridad en Infraestructura Crítica: Un viaje, no un destino Por Daniel Soto
Subgerente de Ciberseguridad Chile en CGE
La infraestructura crítica se refiere a los sistemas físicos o digitales que son esenciales para el funcionamiento de los servicios básicos en una sociedad, como por ejemplo los 16 sectores indicados por Cybersecurity and Infrastructure Security Agency (CISA). Se debe tener en cuenta que los sistemas son vulnerables a una variedad de riesgos y amenazas, como ataques terroristas, ciberataques y desastres naturales. En América Latina también existe un interés por proteger infraestructura crítica donde cada país según sus propias políticas y economías avanzan de manera diferente, es importante mencionar que acá el problema es similar, me atrevería a decir que la principal causa de las vulnerabilidades de los sistemas son por configuraciones erróneas de los sistemas, descuidos o se podrían llamar también irresponsabilidades de quienes implementan soluciones tecnológicas. En Chile Ley N° 21.542, publicada en el Diario Oficial el 3 de febrero 56 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
de 2023, se refiere a la infraestructura crítica en Chile. La ley define la infraestructura crítica como el conjunto de instalaciones, sistemas físicos o servicios esenciales y de utilidad pública, así como aquellos cuya afectación cause un grave daño a la salud o al abastecimiento de la población, a la actividad económica esencial, al medio ambiente o a la seguridad del país. La ley también establece que una ley regulará las obligaciones de los organismos públicos y privados a cargo de la infraestructura crítica y los criterios para identificarla. En Chile existe un largo camino que recorrer ya que lamentablemente las multas son el principal motor actualmente para mejorar y así liberar las inversiones tan necesarias en materia de Ciberseguridad para la mayoría de los sectores, sin embargo, por ejemplo en el sector eléctrico ya se existe un estándar llamado “ESTÁNDAR DE CIBERSEGURIDAD PARA EL SECTOR ELÉCTRICO” el cual permite tener un norte claro y donde todos
quienes participan en la cadena de valor del negocio eléctrico tienen la responsabilidad de cumplir. Para finalizar recomiendo siempre seguir un modelo de protección y defensa digital sea cual sea el sector y una estrategia alineada con los objetivos estratégico del negocio. Cuatro puntos que considero relevantes en todo plan: • Implementar modelo Zero Trust y seguridad en capas (Modelo Purdue, 62443) • Diseñar planes de respuesta ante incidentes y probarlos continuamente. • Elaborar planes de capacitación dirigidos a todos los empleados. • Considerar análisis y estudios proactivos como por ejemplo Threat Hunting. Si bien vamos avanzando en defensa y protección para los diferentes tipos de infraestructura critica, la Ciberseguridad ya sea en IT o en OT, es un viaje no un destino. t
El rector de la Universidad de Santiago de Chile (USACH), Rodrigo Vidal, señaló que “desde nuestra mirada y desde las tareas que realizamos, la protección de las infraestructuras críticas es esencial para el normal funcionamiento de la economía como de las distintas actividades productivas, y para el conjunto de la sociedad”. Por eso, destacó que “fieles a nuestro rol de colaborar con la sociedad y difundir un conocimiento avanzado, hemos podido formar en los distintos niveles de capacidad a centenares de profesionales en diversas materias relacionadas con la ciberseguridad”.
CEN organiza primera Conferencia Internacional sobre Ciberseguridad e Infraestructura Crítica Eléctrica “La relevancia de la ciberseguridad y la protección de la infraestructura crítica energética es fundamental en la era moderna”. Con esas palabras, el presidente del Consejo Directivo del Coordinador Eléctrico Nacional, Juan Carlos Olmedo, abrió la 1° Conferencia Internacional de Ciberseguridad e Infraestructura Eléctrica. “La ciberseguridad y la protección de la infraestructura crítica energética son esenciales para garantizar la seguridad, estabilidad y la continuidad del suministro de energía, así como para proteger la actividad económica y la sociedad en general”, destacó Olmedo.
El encuentro fue abierto también por el subsecretario de Energía, Luis Felipe Ramos, quien señaló que en el sector debemos estar atentos. “Si bien la situación actual de las redes eléctricas en materia de ciberseguridad en el mundo y Latinoamérica es inicial en cuanto a las estrategias de protección de las infraestructuras críticas, está en evolución continua. Es por lo anterior que a nivel ministerial se está trabajando para encuadrar, propiciar gobernanza y entregar un marco normativo que facilite la definición de modelos de protección en el sector eléctrico, que nos ayude en la gestión de riesgos de posibles ciber amenazas”.
El encuentro fue organizado por el Coordinador Eléctrico Nacional con el apoyo de Capacitación USACH de la Universidad de Santiago de Chile, con el patrocinio del Ministerio de Energía, la Comisión Nacional de Energía y la Superintendencia de Electricidad y Combustibles. Olmedo señaló que “ya han pasado tres años desde que como industria emprendimos este camino y hemos tenido avances significativos, entre ellos, el crear una cultura de ciberseguridad, lo que se ha traducido en diversas acciones al interior de la organización, así como en relación con la industria. El encuentro contó con la participación de destacados exponentes nacionales e internacionales, como Marta Cabeza, superintendenta de Electricidad y Combustibles (SEC); Félix Canales, Jefe del Subdepartamento de Normativa, de la Comisión Nacional de Energía; Kal Ayoub, Critical Infrastructure and Resilience Advisor to the Chairman, en la Federal Energy Regulatory Commission (FERC) de Estados Unidos; Lonnie Ratliff, Director of Compliance Assurance and Certification de la North American Electric Reliability Corporation (NERC) y Laura Brown, Director, Strategy, Policy, and Programs de la Electricity Information Sharing and Analysis Center (E-ISAC), entre otros. t
Patricio Leyton, director de la Unidad de Ciberseguridad e Infraestructura Crítica del CEN; Ernesto Huber, director ejecutivo del CEN; Marta Cabeza, superintendenta de Electricidad y Combustibles; Rodrigo Vidal, rector USACH; Juan Carlos Olmedo, presidente del consejo del CEN; Blanca Palumbo, consejera del CEN; Jaime Peralta, consejero del CEN; Samuel Navarro, Director ejecutivo de fundaciones y empresas USACH; Carlos Lobos, director del Programa de Ciberseguridad de Capacitación USACH
www.trendTIC.cl 57
Edición 43 - Especial Ciberseguridad 2023
Victoria Valbuena, Responsable de Internacionalización INCIBE; Juan Downey, Oficial de Seguridad de la Información de ABIF; Félix Barrio, Director General de INCIBE; Luis Opazo, Gerente General de ABIF; Salvador Danel, Gerente Divisional de Banco de Chile; Carla Redondo, Secretaria General de INCIBE
Banca chilena firma acuerdo con INCIBE de España para reforzar políticas de Ciberseguridad La Asociación de Bancos (ABIF) firmó un Memorándum de Entendimiento con el Instituto Nacional de Ciberseguridad de España (INCIBE), el cual busca generar un trabajo colaborativo entre la banca nacional y el organismo perteneciente al Gobierno de España para la prevención y el combate de fraudes cibernéticos. El INCIBE es una sociedad adscrita al Ministerio de Asuntos Económicos y Transformación Digital de España a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial. Asimismo, es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de ciudadanos, academia e investigadores, especialmente para sectores estratégicos. El Memorándum permitirá el desarrollo
58 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
de acciones de formación, especialización de equipos, desarrollo de la industria de ciberseguridad, fortalecimiento de I+D+i incluyendo colaboraciones público-privadas, además de generar mecanismos de intercambio de información, conocimientos y buenas prácticas. Luis Opazo, gerente general de ABIF, explicó que, “Estamos conscientes del aumento de los ciberataques y la amenaza que implica para la industria financiera, por lo que desde la banca hemos venido trabajando en este tema desde hace varios años, definiendo una serie de estrategias para enfrentarlos y mitigarlos. En ese sentido, la colaboración y trabajo conjunto de las instituciones que conforman la industria son fundamentales, por lo cual estamos
muy orgullosos de esta nueva alianza con el Instituto Nacional de Ciberseguridad de España”. Félix Barrio, Director General del INCIBE, coincide con este diagnóstico, explicando que, “La ciberseguridad es el elemento de palanca para el conjunto del desarrollo digital. Desde hace varios años en España nos hemos dedicado a impulsar avances en la materia y proteger a nuestros ciudadanos de los ciberataques. Para abordar la problemática a nivel global es necesario generar este tipo de acuerdos de cooperación a nivel público y privado, utilizando nuestra experiencia para ayudar a diversas regiones e industrias a proteger sus infraestructuras críticas e impulsar la formación de profesionales”. t
BancoEstado realiza segunda conferencia de Ciberseguridad para el sector público El pasado 20 de octubre y en el marco del mes de la ciberseguridad, la insticuión financiera estatal realizó la segunda conferencia de Ciberseguridad para el sector público. “En otros temas podemos competir, en temas de ciberseguridad, compartir, colaborar y generar lazos de confianza debería ser parte de las estrategias de ciberseguridad de toda organización”, fue el énfasis de la conferencia que comen-
zó con las palabras de bienvenida del Gerente de la Banca Institucional, David Durán Cabezas. Para luego dar paso a la exposición de Patricio Quezada Andaur sobre “La ciberseguridad desde lo que conocemos”. Posteriormente, Michelle Bordachar, asesora jurídica y legislativa de la Coordinación Nacional de Ciberseguridad, presentó sobre la nueva Ley Marco de Ciberseguridad El evento continuó con un panel de ex-
pertas compuesto por Katherina Canales, Alexandra Barros, Carolina Pizarro y Sara Herrera quienes debatieron sobre los desafíos de las organizaciones públicas. Conversación moderada por Carla Lagos, Gerente de Auditoría de Riesgo Operacional y tecnológico del BancoEstado. El encuentro terminó con unas palabras de despedida del sr. Aubrey Robinson Moreno, Gerente Corporativo de Riesgos. t
www.trendTIC.cl 59
Edición 43 - Especial Ciberseguridad 2023
Expertos y clientes se reúnen en torno a las tecnologías open source en Santiago Santiago de Chile fue la segunda ciudad en vivir el Red Hat Summit: Connect 2023, el principal evento de tecnología de código abierto en América Latina, presentado por Red Hat. La compañía dio comienzo a esta serie de eventos durante la primera semana de octubre en Argentina para luego desembarcar en la capital chilena.
la automatización de procesos es esencial. La misma encuesta recalca que para el 97% de los entrevistados, la colaboración es fundamental para el éxito de proyectos de inteligencia artificial.
Con el lema “Explore what ‘s next”, este encuentro propone una agenda de contenidos que incluye: gestión de infraestructura, servicios de nube, automatización de procesos, modernización de aplicaciones, gestión de grandes volúmenes de datos y seguridad, además de los temas protagónicos tales como inteligencia artificial y la visión de nube híbrida que impulsa Red Hat.
Thiago Araki, director de tecnología de Red Hat Latinoamérica, quien se desempeñó como principal moderador del evento realizado en Chile, explicó: “Las empresas están en un momento de encrucijada, están invirtiendo esfuerzos de digitalización, migrando a la nube, están tomando decisiones, pero: ¿cómo pueden ser más eficientes?, ¿cómo aceleran la diferenciación de los negocios? A estas preguntas Red Hat responde con su nube híbrida abierta con seguridad y estabilidad de sus plataformas, ecosistemas de alianzas y partners”.
Una investigación de Red Hat junto a Gartner demostró que la nube híbrida es la infraestructura más común que impulsa la inteligencia artificial (IA). El 66% de los líderes dice que están implementando proyectos de IA en sus organizaciones a través de una nube híbrida. Y para una inteligencia artificial eficiente,
La edición realizada en Chile el 5 de octubre en el Hotel Intercontinental de Santiago contó con la participación de más de 300 personas, impulsando la asociación entre clientes, partners, colaboradores, periodistas y aficionados de la comunidad de código abierto en el país. t
60 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
www.trendTIC.cl 61
Edición 43 - Especial Ciberseguridad 2023
Nuestros Servicios Nuestros Servicios Gobierno, Gestión de Riesgo Gestión de Riesgo yGobierno, Cumplimiento Nuestros Servicios y Cumplimiento Gobierno, Gestión de Riesgo y Cumplimiento
Gestión de identidades, Gestiónde deaccesos, identidades, Control Analytics Control de accesos, y Seguridad en SAPAnalytics Gestión de identidades, y Seguridad en SAP
Control de accesos, Analytics y Seguridad en SAP
Seguridad de la Información, Seguridad de la Información, Ciberseguridad y Privacidad Ciberseguridad Seguridad de y laPrivacidad Información, de Datos de Datos Ciberseguridad y Privacidad
Resiliencia y Continuidad Resiliencia del Negocio y Continuidad del Negocio Resiliencia y Continuidad del Negocio
Academia Academia Academia
de Datos
Cybertrust Academy tiene como finalidad entregar Cybertrust continua Academyen tiene como temas finalidad educación los diversos de entregar nuestra Cybertrust Academy tiene como finalidad entregar educación continua en los diversos temas de nuestra especialidad, nuestros entrenamientos y certificaciones
educación continua en los diversos temas de nuestra
especialidad, nuestros entrenamientos y certificaciones están alineadas con lanuestros experiencia teórica y ypráctica de especialidad, entrenamientos certificaciones están alineadas con la experiencia teórica y práctica de de están alineadas con la experiencia y práctica nuestro equipo de expositores, esto haceteórica que podamos nuestro soluciones equipo esto hace que podamos nuestro de equipo expositores, esto hace podamos entregar aexpositores, lasde necesidades reales de que nuestros entregar soluciones a las necesidades reales de nuestros entregar soluciones a las necesidades reales de nuestros clientes. clientes. clientes.
Nuestro CyberTrust Center ofrece servicios especializados en ciberseguridad bajo 5 ámbitos clave:
Nuestro CyberTrust Center ofrece servicios Nuestro CyberTrust Center bajo ofrece servicios especializados en ciberseguridad 5 ámbitos clave: especializados en ciberseguridad bajo 5 ámbitos clave:
INSPIRANDO CONFIANZA
INSPIRANDO CONFIANZA INSPIRANDO CONFIANZA 62 www.trendTIC.cl Edición 43 - Especial Ciberseguridad 2023
Partners Partners
Partners