Algunas Reflexiones sobre el Incidente de Ciberseguridad de EMCO

Para ninguno de los que estamos involucrados de una u otra forma en la ciberseguridad, ni menos
aquellos que formamos parte de la mesa de ciberseguridad de la Comisión de Desafíos del Futuro
del Senado, ha sido una sorpresa el evento ocurrido que dice relación con el incidente de los correos
de EMCO, el que ciertamente es de una gravedad relevante.

Sin referirme al contenido de lo que fue filtrado, sobre lo cual las autoridades correspondeintes
deberán sopesar la gravedad, consecuencias y responsabilidadedes, estimo que lo más complejo de
toda esta situación es el solo hecho que haya ocurrido, y que se evidencie una tremenda falencia y
desconocimiento en materias de ciberseguridad en nuestra realidad nacional.

Sin embargo, este evento tan lamentable debe ser transformado en un “gamechanger”, al permitir
poner en evidencia que no somos inmunes, sino más bien muy vulnerables y que esto refuerza,
dándole aún más sentido al trabajo que cada submesa esta realizando.

Antaño, se solía decir que tenía que alguien tenia que morir para que se tomaran medidas
correctivas y se pudiera avanzar hacia una mayor seguridad. Así pasó con nuestras normas de
construcción, que se establecieron como consecuencia del gran terremoto de Chillan del año 1939,
y que conforme a los numerosos sismos que hemos tenido, se han actualizado y ha permitido
significativamente reducir el número de víctimas y mejorar nuestra resilencia frente a este tipo de
eventos, y pasar a ser un referente mundial en construcción asísmica.

Hoy el terremoto es EMCO, y hace palidecer los eventos conocidos del pasado reciente como los
ciberataques a los Bancos de Chile y Estado, el hackeo a Gobierno Digital, o la caída reciente de
Sernac por mencionar algunos sismos pasados. Este es el evento que puede y debe permitir
posicionar la ciberseguridad en el lugar que merece. Ciertamente no es comparable a lo que ocurrió
en Estonia en 2007, pero si es un punto de inflexión para avanzar realmente en la ciberseguridad a
nivel nacional, tanto en lo público como en lo privado, pues sabemos que nadie esta exento de un
ciberataque.

Debemos, tener en cuenta dos conceptos en los cuales meditar:

i) Confianza Digital, es decir creerle a los datos, confiar en su integridad, en su

confidencialidad y en su trazabilidad, donde la ciberseguridad es la pieza clave.
ii) Responsabilidad Digital, vale decir establecer las responsabilidades institucionales y
personales sobre los datos en las instituciones. Esta “responsabilidad digital” no es un
concepto nuevo, pero debe cobrar fuerza en nuestro trabajo como lo es la ciberhigiene.
La responsabilidad digital en una empresa podría asimilarse a lo que es la contabilidad,
donde los preceptos tributarios deben seguirse y cumplirse, donde hay sanciones
legales y penales a los responsables por sus fallas o falencias

La responsabilidad digital, aplica tanto a las personas como a las instituciones, pero en esta última
ciertamente debe estar muy arraigada, y tener referencias y normas que permitan construir
sistemas y realizar operaciones ciberseguras, lo que implica contar con una institucionalidad robusta
donde:
 i) Agencia Nacional de Ciberseguridad sea el órgano normativo y fiscalizador por
excelencia, que promueva las mejores prácticas de ciberseguridad que van desde el uso
de programas legales hasta la exigencia de procedimientos de mantención de los
sistemas de acuerdo a las recomendaciones de los fabricantes ( parches), sin dejar de
mencionar la denuncia de incidentes, y las estructuras de responsabilidad cibernetica
dentro de las instituciones ( quizas un “gerente del dato”).
ii) Agencia Nacional de Protección de Datos, que tome las mejores prácticas
internacionales y necesidades nacionales para proteger el más relevante de los activos
propios: nuestra información personal.
iii) Instituto Nacional de Ciberseguridad, donde el talento pueda canalizarse, establezcan
los nexos con otras instituciones compartiendo el conocimiento, promoviendo el
intercambio de información en forma ordenada y estructurada, se realicen ejercicios
nacionales que permitan mejorar nuestras habilidades en el terreno de la
ciberseguridad
iv) Y por ultimo, evolucionar hacia la creación del Foro Nacional de Ciberseguridad, como
una continuación de la mesa que nos convoca y que de espacio a la academia, al mundo
civil y al Estado un espacio de dialogo, de proespectiva y de propuesta que mejore
nuestra ciberseguridad nacional en todos sus aspectos.

Ha quedado claro que somos vulnerables, que tenemos un largo camino que recorrer y por tanto
también una tremenda responsabilidad de aportar en el ámbito de nuestra participación en la mesa
de ciberseguridad, porque nuestros análisis, nuestras reflexiones y nuestras propuestas pasan a ser
una piedra fundamental en la construcción futura de la ciberseguridad nacional.

Gracias por vuestra desinteresada colaboración, y nuevamente recordemos que este

Ciberterremoto debe ser el evento que permita el entendimiento masivo de lo importante que es
la ciberseguridad, y se haga sentir en todas las instancias donde se toman decisiones en nuestro
país, tanto en el mundo privado, público y de la academia. Ya hemos dado pasos importantes, como
la Politica Nacional de Ciberseguridad, y ciertamente la hoja de ruta Chile Digital 2035 y su capítulo
Ciberseguridad, son referentes relevantes.

Por último, y no menos importante les recuerdo que la ley 21.113 consagra a octubre como el mes
de la ciberseguridad, y nos brinda una magnifica oportunidad para promoverla.

Michael J Heavey

Coordinador Mesa de Ciberseguridad

Comisión Desafíos del Futuro, Ciencia, Tecnología e Innovación
Senado de la República de Chile
Valparaíso, 26 de septiembre de 2022