Una cosa nos dejó clara Microsoft estos días: en casa del herrero también se usan cubiertos de madera. Dicha tecnológica no es la primera empresa afectada por un incidente informático, ni será la última. Pero la caída de su valor de marca responde al universo de los símbolos y del imaginario colectivo. Porque nada más paradojal que el accidental hecho le haya ocurrido, precisamente, a un ícono de las tecnologías de la ciberseguridad.
Todo partió por un error de CrowdStrike.Esta firma provee —o proveía— el servicio de ciberseguridad en la Nube al gigante tecnológico. Su pecado mortal fue no realizar oportunamente la actualización de un software para Windows 10. Esto causó un apagón informático que afectó a 8.5 millones de dispositivos, según informó Microsoft. No es por descreer de esta cantidad, pero el hecho paralizó el funcionamiento de hospitales, aeropuertos, bolsas de valores y una multiplicidad de servicios.[1]
CrowdStrike no es un esforzado emprendimiento de barrio. Es una conocida firma de soluciones de ciberseguridad basadas en la Nube. Por su parte, Microsoft ofrece una amplia gama de productos tecnológicos, incluidos servicios de ciberseguridad. Por lo mismo, este era absolutamente competente para supervisar el trabajo de aquel reputado proveedor.
Debido al hecho, la Big Tech quedó expuesta a un bochornoso descrédito público. El hazmerreír de muchos. Parecido al colmo de aquel afamado dentista cuyo hijo anda por la vida con los dientes torcidos y llenos de caries. La vida puede ser muy cruel cuando se lo propone.
Chile no es un oasis en el desierto
Nuestro país no es inmune a un incidente parecido. Desde luego, las compañías del sector privado son un target predilecto de los hackers. En 2024, el Banco Santander sufrió un robo masivo de datos, mientras que un ciberataque tuvo varios días caídas las plataformas de la Isapre Colmena. En 2023 fueron la teleco GTD y la plataforma Mercado Público. Antes fue el turno de Banco Estado y del Banco de Chile. En fin, hay casos para todos los gustos.
Conocemos de estos incidentes por la prestancia corporativa de sus víctimas, pero sólo Dios sabe cuántos ataques no reportados han ocurrido. Porque muchas empresas prefieren echarle tierra al asunto. Los incidentes informáticos son tan cotidianos que solemos ignorar cuando hemos sido víctimas de un ultraje a la privacidad y propiedad de nuestra data.
Sin embargo, tampoco el Estado y sus organismos están a salvo de los antisociales de la web. El zar chileno de la ciberseguridad, Daniel Álvarez, clama por una respuesta multidimensional a la inseguridad informática, abarcando el sector público y privado. El experto sostiene que “cuando una gran empresa tecnológica es víctima de un ciberataque y esa empresa es proveedora del Estado, se afecta no sólo la prestación de esos servicios privados, sino que también se afecta el normal funcionamiento de la administración del Estado”[2]. Álvarez enfatiza que lo mismo sucede a la inversa: cuando un servicio público es víctima de un ciberataque, afectando su normal funcionamiento, el sector privado también padece los efectos.
Hackers: open-minded y mega inclusivos
Los incidentes informáticos afectan desde chincol a jote. No discriminan por edad, sexo, raza, color político ni credo religioso. Todos estamos expuestos a sufrirlos. El incidente informático es cualquier evento que afecte la seguridad de los sistemas de información. Pero hay incidentes malintencionados y otros que ocurren “sin querer queriendo”, como diría el Chavo del Ocho.
De hecho, en algunos casos el incidente resulta de conductas que carecen de mala intención. Por ejemplo, un empleado que borra accidentalmente valiosa información de la compañía. También, cuando una falla técnica provoca la caída de los servidores. O cuando un desastre natural daña la infraestructura TI.
Sin embargo, otras veces el incidente informático proviene de un ataque cibernético. Hablamos de una agresión deliberada y malintencionada hacia un individuo, empresa o gobierno para obtener beneficios de forma ilegal, comprometiendo la seguridad de los sistemas de información.
Ahí entran los ransomware, malware, phishing, denial of service (DoS) y demás bichos con nombres en inglés. Yahoo! (2013), Uber (2016), Equifax (2017) y Cambridge Analytica (2018) son efemérides que nos recuerdan la magnitud de tales ataques.
Como antídoto a estos incidentes, la ciberseguridad es la respuesta. Ella es el conjunto de prácticas, tecnologías y procesos diseñados para proteger sistemas, redes y datos contra ataques, daños o accesos no autorizados. Como una noble guerrera, la ciberseguridad protege la integridad, confidencialidad y disponibilidad de la información, así como la resiliencia de los sistemas y redes.
Infraestructura crítica en tela de juicio
Una radiografía al ecosistema TIC chileno nos permite apreciar una estructura ósea desigualmente constituida en huesos —regulaciones—. El hemisferio derecho del esqueleto —las telecomunicaciones— está sobrepoblado de costillas, fémures y falanges. Tiene bastantes regulaciones en materia de protección y resiliencia de los sistemas de información más críticos.
En cambio, el hemisferio izquierdo —las tecnologías informáticas— presenta un tejido óseo harto escuálido y bajo en calcio. El análisis evidencia que la densidad regulatoria en ciberseguridad resulta exigua. Casi famélica.
En efecto, el sector de las telecomunicaciones (TC) refleja un nutrido conjunto de normas que enderezan el comportamiento de los agentes económicos de esta industria. Desde luego, la reciente Ley Marco de Ciberseguridad considera a las telecos como un “servicio esencial” y, además, como “operadores de importancia vital”.
Pero antes suyo, el sector telco ya contaba con una vara de medir al respecto. Es la norma técnica de ciberseguridad que la Subsecretaría de Telecomunicaciones (Subtel), encabezada por Pamela Gidi, dictó en 2020. Sumando la actual legislación sobre delitos informáticos, la seguridad cibernética se ve bastante protegida desde lo regulatorio.
Pero también hay regulación que vela por la continuidad operativa de los servicios. En 2012, el exsubsecretario Jorge Atton consiguió aprobar el Reglamento de Infraestructura Crítica de Telecomunicaciones. Aleccionada por el terremoto y tsunami de 2010, la normativa constató que ocurren condiciones críticas y de emergencia que proceden de fenómenos de la naturaleza, fallas eléctricas generalizadas y otras situaciones de catástrofe. En tales hipótesis, el sistema público de telecomunicaciones debe mantenerse en pie, o recuperarse —cuando haya caído—, para seguir funcionando como la orquesta del Titanic. Aunque el barco se esté hundiendo.
Adicionalmente, las telecos están amparadas regulatoriamente frente a incidentes de orden público. La Constitución Política chilena protege las instalaciones, alámbricas e inalámbricas, frente al vandalismo, el delito de incendio, los atentados terroristas y demás ultrajes a la seguridad pública.
En tales casos, las Fuerzas Armadas deben proteger la infraestructura de redes que sea crítica o indispensable para el servicio básico de telecomunicaciones. Eso sí, no es una protección permanente en el tiempo. Sólo opera cuando existe un peligro grave o inminente de que el abastecimiento poblacional y la actividad económica esencial resulten dañados.
En frente de las ultra-reguladas telecos, el sector de tecnologías de la información (TI) aparece raquítico en densidad regulatoria que proteja su infraestructura crítica. Acá tenemos la Ley Marco de Ciberseguridad y… mejor paremos de contar. Porque el régimen deseable para el tratamiento de datos personales y los resguardos frente a la Inteligencia Artificial están todavía en trámite en el Congreso chileno.
Para más remate, estas no son regulaciones sistémicas de la industria TI que proteja su infraestructura crítica. Más bien, son normativas transversales para las diversas actividades económicas.
Long story short, la radiografía al esqueleto del sector TIC nos deja nerviosos y tiritones. Como mitílidos y peces en vísperas de Semana Santa. Esto obedece a que la infraestructura crítica TI carece, como vimos, de la robustez regulatoria que exhibe la infraestructura crítica TC.
El desbalance permite a los hackers —seres sin Dios ni ley— entrar al esqueleto humano por su hemisferio izquierdo. Una vez dentro, ellos causan un terrible daño a la gente honrada con sus fechorías y felonías.
Regulación y fomento de la infraestructura crítica
El gobierno nos tiene entusiasmados con el Plan Nacional de Datacenters, que beneficiará la instalación de casi treinta nuevos centros de procesamiento de datos en el país. Pero esta política pública necesita ser complementada con algún tipo de regulación que le ponga “corriente” a la industria tecnológica con estándares regulatorios de seguridad de la información. Al respecto, el camino razonable es crear una normativa única que organice esta realidad donde convergen las telecomunicaciones, el mundo audiovisual y la informática.
En castellano, debiera existir una sola regulación que obligue a la protección y resiliencia de las redes y sistemas, tanto informáticos como de telecos. Un régimen jurídico que gobierne el gran concepto de la “infraestructura crítica digital”.
En tal sentido, los ideales de protección y resiliencia deberían comprender la seguridad informática, pero también la seguridad operacional, la seguridad frente al vandalismo, la seguridad de los sistemas de IA, etc. Esto parece lo más apropiado para nuestra era digital con su industria 4.0, smart cities, economía digital y otras creaciones innovadoras.
Pero no basta con regular las redes y sistemas digitales críticos como un conjunto. Es preciso, paralelamente, incluir la narrativa y “ejecutiva” del fomento público, que es una actividad consustancial a la Administración del Estado. Esto comprende agilizar trámites para los datacenters, pero también para el despliegue de antenas en zonas urbanas y rurales.
Igualmente, el incentivo público debiera simplificar la regulación en telecos y crear un nuevo sistema autorizatorio. Uno que sea de verdad, no un refrito de categorías existentes, porque ahí sería el mismo perro, pero con distinto collar. Asimismo, el fomento conlleva destinar algunos subsidios para implementar medidas de protección y resiliencia de las infraestructuras. También, inversión fiscal para capacitar a la población en habilidades tecnológicas, entre otras acciones de impulso o apoyo estatal.
Vade retro, apagón informático
Chile es un país líder en desarrollo digital dentro de América Latina. En la región aspiramos a ser La Meca para los proyectos de inversión en tecnología digital. Por lo mismo, evitemos a toda costa que nos pase un “Microsoftazo”. O sea, un triste suceso donde uno de los países más digitalizados de América Latina sufre un apagón informático o, incluso peor, un hackeo de proporciones bíblicas.
El blackout de estas características mostraría al mundo una paradoja: una economía bastante digitalizada y, a la vez, muy vulnerable en seguridad de la información. Un apagón informático para el país sería desastroso en términos de imagen país. Porque, después del episodio Microsoft, ya sabemos las cosas que suceden con el apagón.
[1] Disponible en: https://dplnews.com/8-millones-pc-afectadas-actualizacion-crowdstrike/.
[2] Disponible en: https://ciberseguridad.gob.cl/noticias/opini%C3%B3n-lo-p%C3%BAblico-y-privado/.