En las últimas semanas, se han dado a conocer diversos hechos constitutivos de afectaciones a la seguridad informática en diversos órganos públicos tales como el Estado Mayor Conjunto de las Fuerzas Armadas y el Poder Judicial. En la memoria, además, se mantiene el ataque con ransomware a BancoEstado, en 2020, en cuya virtud muchos datos de la institución fueron tomados “rehenes” mediante su encriptación por software malicioso, exigiéndosele al banco un rescate.
Estos hechos dan cuenta de las brechas que existen en materia de seguridad informática en diversas instituciones del Estado, sin perjuicio de que ello también ocurre en sectores económicos del ámbito privado. De un modo más amplio, la digitalización del Estado y sus actividades obliga a considerar la necesidad de incorporar criterios de seguridad, tal como se ha hecho con las medidas que existen para la actividad tradicional, en soporte físico. De esta manera, para introducir los criterios básicos de seguridad en la gestión pública digital es necesario concientizar sobre la necesidad de tomar todos los resguardos necesarios, de darlos a conocer clara y fácilmente, así como generar y consolidar buenas prácticas en la gestión digital, mientras que, en paralelo se establecen criterios e institucionalidad que permitan dar la debida seguridad a la infraestructura y a los usuarios.
Sobre esta última materia, explica el abogado de Libertad y Desarrollo, Juan Ignacio Gómez, el proyecto de ley que establece una “Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información” (Boletín N°14.847-06) es un avance. De él debe destacarse, por un lado, la creación de un procedimiento reglado para determinar aquella infraestructura de la información que resulta crítica para el país, estableciéndole a sus titulares obligaciones especiales y, por el otro, la conformación de una institucionalidad omnicomprensiva tanto para el sector público como para el privado, así como de las relaciones entre reguladores y regulados sectoriales, permitiendo que la particularidad de cada sector se exprese en normativas sectoriales, sujetas a los mínimos que establece la autoridad central en materia de ciberseguridad. “Así, este proyecto viene a establecer el marco básico para la gestión de la ciberseguridad en el Estado y en el sector privado”, explica Gómez.
“El proyecto de Ley Marco de Ciberseguridad es una herramienta institucional importante, pero no se agotan en ella las tareas en seguridad digital”, indica el abogado, ya que en su opinión deben perfeccionarse las herramientas de persecución penal en materia de delitos informáticos, pues a pesar de las recientes reformas en materias de tipos penales de la Ley Nº21.459, que establece normas sobre delitos informáticos, deroga la Ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest, durante su tramitación no fue posible introducir modificaciones sustantivas a la forma de recopilar los antecedentes necesarios para comenzar las investigaciones (como requerir, por parte del Ministerio Público, los datos del abonado, esto es, por ejemplo, la simple identificación del titular del servicio de internet, sin autorización judicial) así como contar con técnicas especiales de investigación que permitan abordar adecuadamente los delitos que se cometen en el ciberespacio.
