Daniel Álvarez Valenzuela, director de la Agencia Nacional de Ciberseguridad de Chile (ANCI) y académico en Facultad de Derecho Universidad de Chile, dio una entrevista exclusiva a TeleSemana.com en la que repasó los pasos legislativos que dieron vida a la Estrategia Nacional de Ciberseguridad y la consecución de acciones que moldean y configuran la súper estructura de defensa del país que se propone como modelo para la región. También se refirió a la incorporación de obligaciones para que las empresas privadas, no sólo las públicas, declaren sus incidentes, a la posibilidad de crear un ámbito para que la región en su conjunto fortalezca sus capacidades, además de compartir su mirada sobre las características que debe contener una regulación que se precie efectiva.
¿Qué ideas y en qué conjuntura nace esta Agencia, que fue creada en el marco de la Ley Marco de Ciberseguridad de 2023?
Este es un proceso que ha tomado hartos (N de R: localismo chileno, sinónimo de “muchos”) años. Chile planificó el desarrollo de una institucionalidad en materia de ciberseguridad desde 2015, cuando se formuló y se constituyó el Comité Interministerial sobre Ciberseguridad, que luego aprobó la primera Política Nacional de Ciberseguridad de 2017. Esa política dice expresamente que tenemos que fortalecer la resiliencia de nuestra capacidad institucional y uno de los objetivos era contar con institucionalidad pública que se hiciera cargo del desafío.
Luego, en 2022, durante el gobierno del presidente (Sebastián) Piñera, se presentó un proyecto de ley que traducía ese mandato de la política en una propuesta específica, que creaba la institucionalidad de la ciberseguridad en Chile. Desde 2022 hasta finales de 2023, se discutió el proyecto de ley del Congreso y finalmente se aprobó en la forma en que hoy está vigente, que no sólo considera la creación de la ANCI, sino también la creación de un ecosistema institucional.
Por ejemplo, se crea el Comité Interministerial, que ya existía de manera administrativa pero que ahora adquiere atribuciones específicas vinculadas a la planificación política. También se crea el Consejo Asesor en materia de ciberseguridad, que es un consejo público-privado; el CSIR nacional, que es el equipo de respuesta a incidentes para el sector público como para el sector privado; y el CSIR de la defensa, que es específico para el sector de la defensa nacional. Con eso, se cierra una etapa de planificación. Ahora, estamos en la de ejecución.
Hace una semana, inclusive, se publicó el reglamento del funcionamiento del Consejo Multisectorial de Ciberseguridad, que usted valoró como “un instrumento innovador”, ¿en qué radica esa innovación?
Una de las cuestiones -que ha sido paradigmática, al menos en la discusión nacional y que tiene una relación estrecha con el debate internacional- es que, en materia de ciberseguridad la distinción entre lo público y lo privado es un poco inoficiosa. Nosotros hemos tenido al menos tres o cuatro grandes incidentes en Chile en materia de ciberseguridad, que han afectado tanto las capacidades públicas como las privadas.
Esto lo he dicho hartas veces: cuando un servicio privado que ofrece, por ejemplo, conectividad, procesamiento de datos, almacenamiento, o lo que sea, es atacado, y dentro de los usuarios de ese servicio privado están los servicios públicos…. los servicios públicos también son afectados. Y cuando es atacada una capacidad estatal, por ejemplo, en el caso de Chile, de la autoridad sanitaria que procesa las licencias o bajas médicas, también se afecta al sector privado, porque el sector privado no puede hacer uso de los mecanismos o procedimientos estatales. Entonces, la distinción entre lo público y lo privado es algo que se ha discutido harto, que se ha conversado mucho, y sobre lo que se ha llegado a la conclusión de que lo que se requiere en materia de ciberseguridad es una colaboración muy estrecha entre lo público y lo privado.
Y el Consejo Multisectorial sobre Ciberseguridad vino a legalizar esa cooperación, colaboración y coordinación, porque es un órgano de la Administración del Estado, integrado por representantes de la industria, representantes del comercio, de la academia y de la sociedad civil. Tienen que ser personalidades destacadas de este ámbito, que tienen por propósito asesorar a la agencia y asesorar al gobierno en materia de ciberseguridad, teniendo especialmente presente que los riesgos y amenazas son, en teoría, bastante similares, pero que también tienen particularidades en relación a los sectores.
Es asesoría experta, como un consejo de gente sabia, de gente con experiencia y que, al salir el decreto tal como exigía la ley, formaliza esa cooperación y colaboración que tiene que existir en temas de ciberseguridad, tanto en el sector público como en el sector privado, y también en el tercer sector, el de la sociedad civil. En ese sentido, es muy innovador, y es algo que si miras la experiencia comparada no existe mucho. En general, los Estados han avanzado en construir sus propias capacidades, pero no han avanzado en establecer formalmente espacios de cooperación, coordinación y colaboración.
Chile tiene mucha tradición de articulación público-privada para el desarrollo de distintas iniciativas. ¿Cómo describiría esta estrategia de ciberseguridad, cómo se termina articulando y qué rol ocupan las telecomunicaciones como industria y como infraestructura en esta estrategia?
Nuestra estrategia establece que tenemos que tener una capacidad institucional resiliente. Necesitamos una infraestructura resiliente: este es el objetivo número uno de la política vigente. Cuando nosotros hablamos de infraestructura resiliente es que todos los componentes que permiten que suceda nuestra vida digital tengan el nivel de madurez más alto posible, en función de nuestro nivel de desarrollo. Y entre los componentes de esa infraestructura está el sector eléctrico, está el sector sanitario, está el sector de las telecomunicaciones. Porque hoy nada de nuestra vida digital sucede si no tenemos electricidad, agua y telecomunicación, son servicios extremadamente esenciales para el normal funcionamiento del país.
Y en el caso particular de telecomunicaciones, en el caso de Chile, tenemos un mercado de las telecomunicaciones que está fuertemente privatizado: los operadores de servicios de telecomunicaciones, tanto públicos como privados, (públicos en el sentido de a quién le ofrecen el servicio), son grandes empresas nacionales e internacionales. Es un mercado fuertemente regulado, donde operan bajo una concesión o un permiso del Estado, y donde, además, tenemos una autoridad sectorial que históricamente ha regulado el funcionamiento del sector. Lo que hace la Agencia aquí es la coordinación con ese regulador sectorial; impone las obligaciones específicas que el sector de las telecomunicaciones va a tener que adoptar en materia de ciberseguridad. En el fondo, la agencia se constituye en el órgano rector de la ciberseguridad y va a tener necesariamente que coordinarse con el regulador sectorial, pero va a ser el que va a dictar la pauta respecto a cómo el sector de las telecomunicaciones tiene que ir a hacerse cargo del desafío.
Afortunadamente, en Chile, como está este mercado de las telecomunicaciones en los distintos ámbitos, telefonía móvil, telefonía fija, conectividad e Internet, es bastante diverso; tenemos múltiples oferentes en los múltiples tipos de servicios. La ciberseguridad también fue considerada desde el punto de vista comercial, como un activo importante, y hoy es fácil identificar que las grandes empresas de telecomunicaciones tienen, en sus servicios nacionales, a la ciberseguridad como parte de su ocupación y de su negocio. Así que es un escenario que se va transitando de una manera positiva.
¿Cuáles son los pasos previstos para este año? Por ejemplo, hace poco se anunció que para este Consejo Multisectorial se iba a hacer una convocatoria. ¿Y cuáles los plazos para el mediano o largo plazo?
Como la ley entró en vigencia el primero de enero y, al mismo tiempo comenzó a operar la Agencia, nosotros tenemos tres grandes objetivos para este año. El primero tiene que ver con la instalación de la Agencia. Hoy, 20 de enero, puedo decir que tenemos un servicio público funcionando. Estamos con una dotación mínima, ofreciendo los servicios de ciberseguridad que antes ofrecíamos como Ministerio del Interior, y nos estamos preparando para la entrada en vigencia de los tres grandes ámbitos de relación con el privado. El primero de marzo entra en vigencia el Sistema de Notificación de Incidentes de Ciberseguridad y la obligación de notificar incidentes para todo el sector privado regulado por la ley; pero también se inician los procedimientos de calificación de operadores de importancia central. Por lo tanto, nuestro objetivo número uno es la instalación del servicio y estamos trabajando fuertemente en ello en estos dos meses.
El objetivo número dos es echar a andar el Sistema de Notificación de Incidentes de Ciberseguridad, que es algo que existía solo para el sector público desde 2023, que está vigente y que ahora se reemplaza por un sistema que está contenido en la ley, y cuyo reglamento que esperamos salga la próxima semana en el que se establece esta obligación también para todo el sector privado de servicios esenciales. Esto, además, nos impuso el desafío de tener una nueva plataforma. Si hoy quieres notificar un incidente, tenemos al menos tres canales disponibles: una línea telefónica, un correo electrónico y un formulario en línea. Pero la idea es que a partir del primero de marzo exista una plataforma mucho más robusta y más precisa respecto a lo que los regulados van a tener que notificar, y eso también implica el establecimiento de ciertas obligaciones particulares. Por ejemplo, ya se emitió una instrucción a los servicios públicos para que registren a sus encargados de ciberseguridad; y vamos a hacer lo mismo con el sector privado en algunos días más. La función de reportar incidentes de ciberseguridad y de gestionarlos, que es uno de los objetivos core de la Agencia; una capacidad que se va a estar desarrollando de manera evolutiva en el proceso de instalación de la Agencia.
Y el tercer objetivo tiene que ver con los operadores de importancia vital. La ley, como sabes, establece niveles de regulación y obligaciones generales para todos los servicios esenciales, vinculados a tomar las medidas que dictamina la Agencia y a notificar los incidentes. Pero también identifica a un grupo de actores que son críticos para el funcionamiento del país que son los denominados operadores de importancia vital. Siempre pongo el mismo ejemplo, porque creo que es súper claro: en Chile y en buena parte del mundo, en la generación eléctrica hay distintos actores, grandes generadores nucleares, hidroeléctricos, termoeléctricos, pero luego hay toda una variedad de generadores alternativos como los eólicos y los solares, aunque no todos tienen el mismo peso y la misma posición de riesgo en materia de la provisión del suministro eléctrico. Uno tiende a pensar, y la evidencia indica, que los grandes generadores son los críticos y necesitan un estándar de ciberseguridad mucho más alto. En nuestra ley, esos son los operadores de importancia vital y los estándares están expresamente definidos en la ley. Por lo tanto, la agencia tiene el deber de identificar a esos actores, con nombre y apellido. Ese procedimiento en la vigencia de la ley, comienza el 1 de marzo y se prevé que dure un par de meses.
Con esos tres objetivos, nosotros creemos que vamos a cumplir con nuestra meta anual, pero esto no implica que no estemos haciendo más cosas. Por ejemplo, hemos desarrollado toda una línea vinculada a la capacitación, la formación, la educación continua en materia de ciberseguridad; seguimos ofreciendo cursos y en marzo vamos a ofrecer una cartilla completa para el primer semestre. La diferencia es que antes estos cursos se ofrecían sólo para el sector público y ahora se van a ofrecer para todo el sector, porque creemos que es muy necesario.
Estamos trabajando en la línea de educación; tenemos una mesa instalada en el Ministerio de Educación con un proyecto a largo plazo para hacer una reforma curricular de la enseñanza básica, y eventualmente, de la enseñanza media, técnica o profesional. Estamos trabajando con la sociedad civil en temas de concientización de ciudadanía digital, de género y en otros aspectos. También estamos trabajando para 2026, desde la formulación presupuestaria, el crecimiento de la dotación, el ir desarrollando nuevas áreas dentro de la agencia, porque este va a ser un trabajo continuo que va a tomar varios años, al menos.
¿Cómo dialoga esta normativa y esta iniciativa con la apuesta que tiene Chile de convertirse en un hub digital regional?
Nosotros, como gobierno, desde que asumió el presidente (Gabriel) Boric, había varias iniciativas legislativas en el Congreso que tenían por objeto actualizar el marco regulatorio de lo que llamamos la sociedad digital, la economía digital. Y nos tocó cerrar esas discusiones legislativas. Hemos logrado despachar la Ley de Delitos Informáticos, que actualizó una legislación que era del año 1993 cuando apenas existía Internet, e implementó el Convenio de Budapest, que era tremendamente importante y necesario y ya se dictaron los reglamentos de ejecución, Hoy esa ley ya está plenamente vigente y es tremendamente útil en materia de seguridad, porque la otra cara de los incidentes es que muchos son delitos informáticos.
Luego se aprobó la Ley Fintech para regular las finanzas abiertas, donde existen obligaciones específicas en materia de seguridad. Se aprobó la ley que actualizó la regulación estatal en materia de transformación digital, sacando este asunto del ámbito del Ministerio de Secretaría General de la Presidencia y llevándolo a la Secretaría de Modernización del Ministerio de Hacienda, de manera de hacer mucho más coherente el esfuerzo estatal. Hoy, la Secretaría de Gobierno Digital está en la órbita del Ministerio de Hacienda, que es un ministerio extremadamente importante y relevante en el aparato público chileno.
Luego se aprobó la Ley de Delitos Económicos. Me diría, ¿cuál es la relación de la ciberseguridad con los delitos económicos? Bueno, es que muchos de los fraudes y los ciberataques tienen una connotación económica importante. Además, esta ley hace responsable a los órganos directivos de las instituciones, tanto públicos como privados, del cumplimiento de los planes de prevención del delito. Una empresa podría, eventualmente, ser sancionada por un delito informático, por un ciberataque, si además tiene un componente económico importante. A final del año pasado, se aprobó la Ley de Datos Personales, que también actualizó una normativa que era bastante antigua, del 99 pero que estaba inspirada en la legislación del 80, de España; y va a entrar en vigencia el próximo año.
Si a todo ese marco normativo, le agregas la Ley Marco de Ciberseguridad, podríamos anticipar que no vamos a requerir de nuevo debate regulatorios, por lo menos durante los próximos 10 o 15 años. Está la de inteligencia artificial en el Congreso, que es un proyecto de ley que está avanzando. Nuestro ecosistema regulatorio se consolida y nos permite tener ciertas ventajas comparativas importantes en la región, porque cualquier actor o gran empresa tecnológica que quiera instalarse regionalmente, una de las cuestiones que considera es el marco regulatorio; y que, en el caso chileno está completamente actualizado. Esto, probablemente, nos va a permitir jugar de mejor manera o hacernos cargo de mejor manera de los desafíos que el sector tecnológico y digital enfrenta hoy día.
En la región hay muchas discusiones en torno a la regulación de la ciberseguridad, a la construcción de estas áreas de gobierno tan específicas; y hasta en las subastas de espectro se plantearon las cuestiones de ciberseguridad. ¿Cómo ve la coyuntura regional y cómo están pensando ustedes la articulación internacional-regional?
La percepción que nosotros tenemos es que en América Latina y el Caribe el desafío regulatorio ha sido bastante dispar y que depende de muchas circunstancias; pero creo que no es posible hacer un diagnóstico generalista.
En materia de datos personales, uno puede ver que los países han avanzado de manera bastante sistemática en los últimos 20 años; enfocados en los países con un nivel de desarrollo medio. En materia de delito informático la Convención de Budapest ayudó un montón a homologar la regulación regional, también en los países con un nivel de desarrollo medio alto de la región. Y en materia de ciberseguridad, una de las cosas que hemos confirmado es que, para que el país avance en materia regulatoria y en temas de ciberseguridad, se requiere de un consenso político y técnico importante.
No puedo hablar por otros países, pero creo que la fortaleza que tuvimos nosotros en esto es que cuando se mira hacia atrás, desde el 2015 hasta ahora, se puede ver que fuimos capaces de construir un consenso político, técnico y social sobre la urgencia, sobre la importancia y sobre ciertos contenidos mínimos. Y eso se grafica en nuestra primera política, que se transformó en una política de Estado apoyada por tres gobiernos consecutivos, con cortes políticos distintos. De ahí uno puede sacar sus propias conclusiones en relación a cómo está el resto de la región.
Pero nosotros estamos preocupados de que este es un asunto que no va a estar bien preparado si no lo está también el entorno regional, formulamos un proyecto con la Unión Europea para fortalecer las capacidades de los reguladores de los países que tengan un nivel de madurez más alto en el tema.¿Cómo mides eso? Al menos hay un par de indicadores. Uno, por ejemplo, si cuenta (o no) con una política o una estrategia nacional de ciberseguridad. En América latina este nivel llega a 18 o 19 países que, según quién cuente, tienen una estrategia o una política. Otro es cuántos de esos países tienen algún tipo de debate regulatorio.
Y con la Unión Europea acordamos avanzar en un proyecto de fortalecimiento, cuya ejecución va a comenzar en marzo, y en la que vamos a colaborar y cooperar con 12 países de la región; no para replicar el modelo chileno ni replicar el modelo europeo, sino para entregar información técnica respecto a los distintos componentes de ese debate regulatorio. Por ejemplo, cuáles son las competencias mínimas que tiene que tener, por ejemplo, un centro de respuesta a incidentes de ciberseguridad o si una agencia nacional de ciberseguridad tiene que regular al sector público o tiene que regular al sector privado también. Y si las regula, cuánto al público y cuánto al privado; porque hay harta discusión internacional sobre esto y hay poca información disponible.
El objetivo del proyecto es poder estandarizar esa información, hacer white pappers sobre estos temas regulatorios, hacer capacitaciones y poder entregar estos lineamientos a, al menos, 12 países de la región, tanto al sector gubernamental, como al legislativo y a la sociedad civil.
¿Qué países?
Si no mal no recuerdo, Argentina, Brasil, Uruguay, Colombia, Costa Rica, República Dominicana, Trinidad y Tobago, Jamaica, México, Ecuador y algunos que se me quedan por ahí. Seguro se me queda uno por ahí.
En esta charla también aparecieron distintos temas que son muy debatidos a nivel global, como la cuestión de los datos, de la inteligencia artificial; que son desafíos técnico-regulatorios pero también técnico-tecnológicos respecto del abordaje… y que están muy vinculados a la ciberseguridad. ¿Qué pasa con esta innovación y con el rol de la regulación respecto en ese sentido? ¿Cuáles ven como las principales urgencias y amenazas?
En general, tenemos una apreciación un poco más conservadora respecto a esto. En el debate regulatorio nosotros estamos enfocados en el proyecto de Ley de Inteligencia Artificial, que lo dirige el Ministerio y Secretaría General de Presidencia, del Ministerio de Ciencias, ellos son los responsables del progreso, pero donde se le entregan atribuciones específicas a la Agencia respecto de ciertas consideraciones de seguridad en los desarrollos de este tipo de tecnologías.
De acuerdo a las tecnologías de impacto grave, son tecnologías que van a tener que tener un asesor en materia de ciberseguridad. Por lo tanto, hemos abordado ese debate desde el punto de vista regulatorio, Y también participamos en algunos de los foros internacionales de organismos técnicos de ciberseguridad, y hemos suscrito algunas de las declaraciones más relevantes en esto, de los organismos técnicos más transversales (en CISA en Estados Unidos, en ICA en la Unión Europea y en algunos reguladores sectoriales de la Unión Europea).
Pero nos pasa también, por otro lado, que en nuestro día a día no lo vemos. Cuando hacemos la revisión de nuestras estadísticas de incidentes y vemos la taxonomía de los incidentes, las tácticas utilizadas por los atacantes, no vemos eso que dice todo el mundo que ve. Puede ser porque nuestros atacantes son menos sofisticados, porque no hemos sido considerados un objetivo relevante, pero nosotros seguimos lidiando con problemas bastante típicos de la ciberseguridad.
Parece que somos old school en esto, tenemos incidentes clásicos de denegación de servicios, ransomware, phishing, que parecen seguir siendo construidos de manera artesanal. Esto no implica que pueda seguir evolucionando y que, si mañana me preguntas, el escenario haya cambiado. Pero, al menos con la información con la que nosotros manejamos, no hemos visto esa ebullición de ataques dirigidos por inteligencia artificial, por lo tanto no hemos visto la necesidad, todavía, de tener que utilizar la herramienta de inteligencia artificial para controlar esos ataques dirigidos por inteligencia artificial. Es un enemigo que todavía no hemos visto. Pero insisto, puede ser que esto cambie rápidamente.
Claro, pensaba en aquella denegación de servicio que sufrió Costa Rica, que se la atribuyeron a un grupo denominado Conti y que había tenido répicas en Chile y Perú, si mal no recuerdo…
Sí, por eso, si nosotros evaluamos nuestros incidentes, diría que seguimos en la vieja escuela: son ataques hechos a mano, donde alguien encuentra una vulnerabilidad, la explota, y en algunos casos esa explotación es exitosa. Y los ataques automatizados, los clásicos ataques automatizados también son poco sofisticados. O sea, tenemos un ataque de denegación de servicio regular, que no logra indisponer los servicios, pero que está permanentemente generando ruido. Todo indica que ese ataque es construido de manera clásica, que hay una bot que capturó una cantidad de recursos en línea y que durante algunos días a la semana, o cada tantas semanas, cambian de objetivo de ataque y nos toca a nosotros. Es un ataque más bien clásico.
Nosotros tenemos un equipo de inteligencia de amenazas que está permanente monitoreando las que nos llegan, pero también lo que está sucediendo en el entorno, y ahí compartimos y participamos de foros para mantenerlo lo más actualizado posible. Pero, en nuestro día a día, no lo hemos visto.
¿Cuál es el mensaje de la agencia para el sector de las telecomunicaciones?
La agencia está trabajando fuertemente en tener un ecosistema regulatorio y una institucionalidad que permita cumplir con el objetivo central de esto, para contar con un país mucho más ciberseguro. Y eso implica que todos los actores, tanto públicos como privados, además de los sujetos obligados por la ley, estén en la disposición de poder hacer que esta legislación sea lo más eficaz y eficiente posible.
Y nosotros mantenemos un diálogo constante con todos los actores para hacer los ajustes que se requieran para que la legislación funcione bien. Una buena legislación de ciberseguridad no es aquella que tenga el mejor marco sancionatorio o que ponga la mayor carga regulatoria, sino aquella que logra evitar la mayor cantidad de incidentes. Porque incidentes vamos a tener, pero la que logre evitar la mayor cantidad o que logre contenerlos de mejor manera, es la que da con la clave para todo. Y ahí la distinción entre el sector público y el sector privado, como decía antes, es inoficiosa, porque al final todos dependemos y estamos interconectados y relacionados permanentemente.
