Ayer, la empresa de ciberseguridad
Vecert Analyzer, reportó una eventual vulneración de datos de compañías de telecomunicaciones y organismos públicos. Entre ellos, el Registro Civil e Identificación, por lo que se podría comprometer, por ejemplo, datos de la Clave Única.
Ayer, la Agencina Nacional de Ciberseguridad (ANCI), emitió un comunicado donde señaló que se encontraba analizando estos reportes de presunta actividad maliciosa, y que se encontraban trabajando con las instituciones involucradas "para verificar la veracidad de las afirmaciones realizadas y, en caso de corresponder, adoptar las medidas pertinentes".
Por su parte, desde el Registro Civil, señalaron que "ante la publicación de la cuenta Vercet, informamos que no corresponde a datos ni parámetros utilizados por Registro Civil Chile en sus bases de datos registrales o de identificación. Reafirmamos nuestro compromiso con la seguridad y protección de los datos personales de la ciudadanía".
De todos modos, muchas personas optaron por cambiar su Clave Única, lo que llevó a que este sábado, la Secretaría de Gobierno Digital del Ministerio de Hacienda, saliera a enfatizar que no existe riesgo para dicha herramienta.
"Es de gran relevancia y absoluta prioridad para esta Secretaría aclarar que no hay evidencia de que la infraestructura y la base de datos de la ClaveÚnica haya sido afectada por ningún incidente de ciberseguridad relacionado con estos reportes. La ClaveÚnica se encuentra 100% operativa, segura y funcionando con normalidad para todos los trámites y servicios en línea que requieren autenticación por parte del Estado", informaron en un comunicado.
"Alerta no es lo mismo que hackeo"
Lilio Tapia Zagal, Experto en Ciberseguridad y Desarrollo Seguro en Nodoware, parte señalando que "esta semana se levantó una alerta de ciberseguridad en Chile que generó harta preocupación, pero hay que separar bien las cosas para no caer ni en el pánico ni en la falsa tranquilidad".
"Una alerta de ciberseguridad no es lo mismo que un hackeo confirmado. Es como cuando un vecino te avisa que vio a alguien merodeando cerca de tu casa. No quiere decir que te robaron, pero sí quiere decir que vale la pena revisar las puertas y cerraduras. Lo que hace la ANCI ahora es exactamente eso, ir a verificar si efectivamente alguien entró, qué tomó, y si el riesgo es real", enfatizó el experto.
En la misma línea Carolina Pizarro experta en estrategia de ciberseguridad, presidenta de Rediac (red de mujeres líderes en ciberseguridad) y CEO de Aura Cybersecurity, destaca que "estas alertas funcionan como un mecanismo preventivo. No confirman un ingreso no autorizado a las bases de datos centrales del Estado; de hecho, el Gobierno ha descartado una vulneración a la infraestructura de ClaveÚnica".
"Lo que indican es que se ha detectado información circulando en internet que podría pertenecer a usuarios de estos servicios. La labor de la ANCI es informar con total transparencia para que tanto el sistema como los ciudadanos neutralicen cualquier riesgo antes de que pueda ser utilizado de forma indebida".
¿Por qué esto importa de verdad y no es un tema solo de informáticos? Tapia, por su parte, explica que esto es relevante "porque la Clave Única no es una contraseña cualquiera. Es tu identidad digital frente al Estado para más de mil seiscientos trámites. Con tu Clave Única se piden antecedentes, se postula a bonos, se mueve plata en el Servicio de Impuestos Internos, se ve la ficha en Fonasa, se firman trámites del Registro Civil. Es una sola llave que abre tu casa, tu auto, tu caja fuerte y tu oficina al mismo tiempo".
Por eso, el experto enfatizó que cuando hay una alerta así, da lo mismo si al final se confirma o no, vale la pena cambiar la llave igual. "Toma cinco minutos en claveunica.gob.cl y el riesgo de no hacerlo es mucho mayor que el costo de hacerlo".
Ley de Cyberseguridad
Tapia profundiza en el marco que existe hoy en Chile en materia de Cyberseguridad, y qué implica su vigencia en el país.
En abril del 2024 se publicó la Ley 21.663, la Ley Marco de Ciberseguridad. "Esta ley cambió las reglas del juego de manera importante. Antes proteger los datos de la gente era una recomendación, una buena práctica que cada institución aplicaba según su criterio. Hoy es una obligación legal, con sanciones de verdad", dice el experto.
En ese sentido, explica que "la ANCI tiene poder para fiscalizar, para obligar a reportar incidentes en plazos exigentes, y para multar. Las multas pueden llegar a las cuarenta mil UTM en los casos más graves, lo que son cerca de dos mil setecientos millones de pesos para las instituciones que califican como operadores de importancia vital".
¿Cómo funciona en la práctica? "Cuando una institución obligada detecta un incidente, tiene tres horas para dar la primera alerta a la ANCI, setenta y dos horas para entregar un segundo reporte más detallado, y quince días para el informe final. Esto es lo mismo que ya existía hace años en Europa con la directiva NIS, y que Chile recién está implementando. Es un avance real y hay que reconocerlo".
Ahora bien, el experto advierte que "tener una buena ley no significa que el problema esté resuelto".
"Tener un código del tránsito no sirve de mucho si no hay suficientes carabineros en la calle. La ANCI todavía está en construcción operativa, recién llevamos un año con esta institucionalidad funcionando en régimen. Faltan profesionales, se estima que el país necesita cerca de veintiocho mil especialistas en ciberseguridad que hoy no tiene. Y la cultura de reporte y de higiene digital en muchas instituciones públicas todavía está al nivel de los años dos mil. Hay servicios públicos donde uno todavía ve la clave del wifi pegada en un Post it en el monitor del funcionario", advierte.
Pizarro también destaca que bajo la Ley Marco de Ciberseguridad, "la protección de los datos es una responsabilidad compartida. El marco legal establece que, mientras el Estado garantiza la solidez de la infraestructura, el ciudadano resguarda su llave de acceso. El sistema hoy es resiliente porque permite detectar amenazas externas de forma rápida y comunicarlas directamente a la población, permitiendo que cada persona recupere el control de su seguridad digital".
Garantías para la población
Consultado por las garantías tiene la población, considerando la normativa, los expertos explican que existen varias, pero también pone énfasis en la responsabilidad personal.
"Garantías formales hay varias. La ley reconoce explícitamente el derecho a la seguridad informática. Las instituciones están obligadas a tener controles, a reportar incidentes y a tener planes de respuesta. Existe un régimen sancionatorio que las puede golpear en el bolsillo si no cumplen. Y la ciudadanía tiene derecho a ser informada cuando hay incidentes con impacto significativo. Eso es nuevo en Chile y es valioso", subraya.
No obstante, enfatiza que "la garantía más importante, y acá quiero ser bien honesto, es la que cada uno construye en su casa. La primera línea de defensa eres tú. No necesitas ser informático para protegerte. Hay cuatro cosas concretas que cualquier persona puede hacer hoy mismo, esta misma tarde, y que cambian totalmente el panorama de riesgo personal".
Pizarro agrega, por su parte, que "la garantía principal es la vigilancia institucional permanente. Hoy existe la ANCI como una autoridad técnica que supervisa que los servicios críticos operen bajo estándares de seguridad. Además, la población cuenta con la garantía de integridad y anulación: si existe la mínima sospecha de que una contraseña fue expuesta en otros sitios, el usuario tiene el poder de invalidar ese dato de inmediato. Al cambiar su ClaveÚnica, cualquier información antigua que esté en manos de terceros pierde toda validez".
