Los retos que impone la futura Ley Marco sobre Ciberseguridad a las empresas de telecomunicaciones

Una de las industrias más críticas en ciberseguridad es la de telecomunicaciones, cuyos pilares se basan en la confidencialidad, integridad y disponibilidad de sus servicios y debido al gran flujo de información y datos que manejan se convierten en un blanco de ataques.

Un dato revelador se desprende de un informe elaborado por Nokia y GlobalData, que alertó que en 2022 el 75% de los operadores de telecomunicaciones han sufrido al menos seis ataques de ciberseguridad en sus redes 5G en empresas de Chile, Brasil, Colombia y México.

Entre las amenazas que afectan a este sector están los ransomware (secuestro de datos), phishing (suplantación de identidad), malware (software maliciosos), robo de identidad, denegación de servicio y otros más específicos, como el redireccionamiento e interrupción de llamadas y mensajes.

Frente a este escenario, una de las legislaciones clave para resguardar al país y servicios críticos de ser víctimas de ciberataques es el proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, cuya discusión está en segundo trámite constitucional en la Cámara de Diputados.

El proyecto, ingresado por el exPresidente Sebastián Piñera en los últimos días de su segundo Gobierno -marzo de 2022- al Congreso, crea un modelo de gobernanza que promueve la gestión de riesgos y la implementación de estándares de ciberseguridad en los sectores público y privado, a través de la definición de conceptos, principios y deberes.

El texto, que podría ser objeto de modificaciones en las próximas semanas si se ingresan indicaciones, establece los operadores de importancia vital: instituciones públicas o privadas que prestan algún servicio esencial para el mantenimiento de actividades sociales o económicas cruciales.

Si bien aún no están definidas estas instituciones, las empresas de telecomunicaciones podrían estar en el listado, lo que supone la implementación de protocolos y estándares particulares de ciberseguridad.

Otros aspectos relevantes serán la obligación de reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos en un plazo inferior a tres horas desde que se tuvo conocimiento, e implementar un sistema de gestión de seguridad de la información continuo.

Cómo se preparan las empresas

El gerente de seguridad digital de Movistar, Miguel Cisterna, comentó que la ciberseguridad se configura como un ítem de “altísima importancia” en la compañía.

Por lo anterior, y debido a que su matriz Telefónica está en España, han establecido una estrategia enfocada al reglamento europeo en materia de protección de datos, factor que, según Cisterna, les ha permitido adelantarse a la futura legislación.

“Va en línea con poner foco siempre en la prevención y anticipación de amenazas”, dijo.

El ejecutivo agregó que, en caso de que los mecanismos de detección temprana o anticipación no funcionen, tienen un equipo de respuesta que opera las 24 horas y cuyo rol es monitorear constantemente las amenazas. Se suma un segundo equipo de respuesta ante incidentes que toma las acciones de contención y reparación, si lo amerita.

En paralelo, la estrategia considera capacitación a los colaboradores con sensibilización, concientización, entrenamiento y educación continua en ciberseguridad, con cursos anuales para actualizar conocimientos.

Respecto del proyecto de ley, Cisterna dijo que representa un gran paso en términos de adopción de estándares internacionales y buenas prácticas en ciberseguridad. “Impactará positivamente en la industria y lo que destacamos es que establecerá un protocolo de reporte de incidentes de seguridad”.

Otro caso es Entel, donde la subgerente de ingeniería de seguridad, Fernanda Mattar, comentó que la preocupación por la ciberseguridad en la compañía partió antes del ingreso del proyecto de ley, particularmente gatillada por la pandemia del covid-19 y el teletrabajo.

En ese contexto, afirmó que comenzaron a implementar una estrategia de “confianza cero”.

“Todas las identidades tienen que ser creadas en nuestro dominio y con un doble factor de autenticación. Cada vez que los trabajadores vuelven a ingresar tienen que entrar a una app que les da un número que les pide el correo”, explicó.

Hoy tienen un área de ciberseguridad de 40 personas a cargo de dar soporte en esta materia y cumplen estándares con capacitaciones a los colaboradores y expertos técnicos “debido a la velocidad con la que cambian las cosas en estos ámbitos (…) es necesario ir constantemente aprendiendo y actualizando los conocimientos”, comentó Fernanda Mattar.

De cara a la futura ley, afirmó que cuentan con un programa con herramientas y acciones para detectar vulnerabilidades, con controles de acceso, simulaciones de ataques, fortalecimiento de seguridad de aplicaciones y regularización de conexiones corporativas remotas.