Senador Kenneth Pugh “Los delincuentes también se fueron al teletrabajo”

El senador Kenneth Pugh (independiente) es uno de los parlamentarios más enfocados en impulsar regulaciones que buscan ponerse al día en torno al uso de las nuevas tecnologías. Desde este año, integra la Comisión Desafíos del Futuro, Ciencia, Tecnología e Innovación, desde donde está movilizando, junto a la senadora Ximena Órdenes, una serie de iniciativas en el marco de la Estrategia Chile Digital a 2035, en la que aportaron las propuestas en transformación digital y ciberseguridad.

En este contexto, está impulsando la Mesa Nacional de Ciberseguridad, la que cuenta con siete instancias de trabajo en temas como identidad digital, interoperabilidad, investigación avanzada en ciberseguridad, como la desinformación. Adelanta, que en enero de 2023, en paralelo al Congreso Futuro, presentarán los avances de este trabajo y dejarán instalado el Foro Nacional de Ciberseguridad, una instancia del Senado, que busca reunir a los diferentes actores del gobierno, academia, sociedad civil, incluidas las fuerzas militares y policiales para buscar soluciones a estas temáticas. “Nunca se ha hecho un evento en Chile donde estén policías, militares y académicos”, afirma.

En Chile, “los delitos más comunes son el robo de usuario y clave, a pequeña escala y el ransomware a gran escala (...) Aquí hay una industria que está generando más utilidades que el narcotráfico y el tráfico de armas”

-¿El país quedó más expuesto a ciberdelitos a raíz de la aceleración de la digitalización durante la pandemia?

-En la pandemia ocurrió algo muy impensable, los delincuentes también se fueron al teletrabajo. Y delitos que ocurrían antes físicamente empezaron también a producirse en el mundo digital. Y esta es la transformación digital del delito. Todo el delito que conocemos, todo se ha ido al mundo digital, no solo el ciberdelito, que es propio de la conectividad, donde podemos hablar de ransomware (secuestro de datos) y otras cosas, sino que todo tipo de estafas.

-¿Cuáles son hoy los ciberdelitos más comunes en Chile?

-Hoy el delito más común es el robo de credenciales, los nombres de usuario y las claves para que puedan acceder terceros a extraer o controlar sistemas. Se supone que el ataque que tuvo el Poder Judicial, por ejemplo, se produjo con la venta en la dark web de credenciales que le permitieron a alguien entrar a los sistemas. Y para esto usan técnicas antiguas del mundo digital como el phishing, vale decir, poner a las personas con pantallas, con ofertas y en situaciones en donde ellos entregan involuntariamente su nombre de usuario y su clave para acceder a algo y ahí les capturan los datos. Y el segundo delito más común -diría que el más grave- es el ransomware que busca una recompensa económica para destrabar o desbloquear sistemas o equipos y apunta a empresas más grandes que tienen capacidad económica. A pequeña escala es el robo de credenciales y a gran escala es el ransomware, son los delitos más duros de esta industria económica, porque aquí hay una industria que está generando incluso utilidades mayores que las del narcotráfico o del tráfico de armas, que necesita poco capital inicial y casi nada de riesgo y las utilidades son gigantescas. Entonces, obviamente es un delito que está creciendo de forma muy grande y todo el mundo está muy preocupado.

-Chile firmó el Convenio de Budapest y en junio pasado se promulgó la Ley de Delitos Informáticos, ¿qué implica?

- Esta ley pone nuevamente a Chile en la vanguardia. Tenía una ley muy antigua que se quedó atrás y que permite acceder a 66 países en convenio para perseguir el cibercrimen transnacional. Hay dos protocolos adicionales al Convenio de Budapest que se han propuesto. El segundo es más importante, se firmó en mayo pasado en Estrasburgo -Chile también se hizo parte- para permitir el intercambio de información entre la industria y las policías, y el intercambio y entrega de evidencia digital entre policías para poder perseguir y llegar hasta donde estén estos delincuentes. Obviamente estos se refugian en países donde no hay convenio, pero al menos va a poder articularse mejor la red mundial. Este segundo protocolo habla de la entrega de evidencia digital, de la colaboración de las empresas, que es fundamental. La data la tienen las proveedoras de servicios de Internet y eso se tiene que hacer como corresponde. Ahora lo que toca es convertir este protocolo en ley, todo a su debido tiempo.

Protección de datos personales

El proyecto de ley de Protección de Datos Personales y que crea la Agencia de Protección de Datos Personales, está en segundo trámite constitucional en la Cámara de Diputados. El senador Pugh estima que le quedan pocas sesiones para su despacho a tercer trámite en el Senado.

El proyecto sigue el estándar del Reglamento Europeo de Protección de Datos Personales, y su aprobación permitiría crear una agencia que cautele el derecho a consentimiento, es decir, que vele porque las empresas y el Estado usen los datos para el fin explícito para el cual se autorizó su uso. “La ciberseguridad requiere valorar el concepto de los datos personales, entonces, lo primero, es proteger a las personas en el ciberespacio, después viene la infraestructura crítica y otros temas”, afirma.

Proyecto de Ley de Gobernanza, Ciberseguridad y Protección de la infraestructura crítica: “Una de las indicaciones que propuse es ser un país libre de ransomware. ¿Cómo? prohibiendo el pago por el secuestro de datos, porque alimenta la cadena”.

-¿Por qué se ha demorado más de lo previsto la tramitación de esta ley?

-Porque siempre vuelve a contaminarse políticamente por el concepto de quién va a ser la autoridad que va a estar a cargo de ella. Todos los países latinos de la OCDE (Organización para la Cooperación y Desarrollo Económicos) tienen dos agencias, una que garantiza el acceso a la información pública y otra que protege los datos personales, que evita que estos se filtren. Muchos de los legisladores creemos que tiene que ser con máxima autonomía posible y ojalá dos entidades, una que se encargue del acceso a la información del Estado (Consejo de la Transparencia) -que tenemos garantizado- y la segunda, que proteja nuestros datos personales, técnica, de largo plazo, que establezca un estándar.

-¿Y en qué está la discusión de la Ley de Gobernanza, Ciberseguridad y Protección de la Infraestructura Crítica?

-Esta ley la ingresó el Presidente Piñera el 10 de marzo, el último día de su Gobierno, era un compromiso que tenía. Luego de los ciberataques que se dieron en el Estado Mayor Conjunto y el Poder Judicial, se le dio máxima prioridad y se aprobó en general y ahora está en plazo de indicaciones, para sacar el primer trámite legislativo con la nueva Agencia Nacional de Ciberseguridad, los países desarrollados digitalmente tienen este tipo de agencias.

Hoy ya no se habla infraestructura crítica, se habla de operadores de servicios esenciales a la población, sean del Estado o privados. Una de las indicaciones que propuse, que tenemos que es discutir, es ser un país libre de ransomware ¿cómo? prohibiendo el pago por el secuestro de datos, porque eso es lo que alimenta la cadena. Si se sigue pagando el rescate siempre, no parará nunca. Esto se puede perseguir, porque los delincuentes cobran con criptoactivos y hay policías especializadas y software que siguen esas transacciones ilícitas.

-El avance tecnológico también abre espacios para la usurpación de la identidad digital, ¿cómo se resuelve?

-Es un tema complejo, nadie lo ha resuelto bien. La credencial y el nombre usuario no es una identidad digital, es una forma de acceso que no permite saber si la persona al otro lado es quien dice ser. El Registro Civil, por ejemplo, no tiene cómo corroborar una identidad, como sí lo hace Netflix cuando envía un código al teléfono o Mercado Pago cuando activa una cámara para ver la cara, pues detrás puede haber hasta una inteligencia artificial. Para avanzar, tenemos que sacar adelante nuestra legislación. Primero necesitamos entender que para poder ser ciberseguros en este proceso de ingreso y de transacciones básicas, necesitamos dos cosas: una buena identidad digital provista por el Estado, con un segundo y tercer factor de autenticación, y que esté en la nube -que no necesite un chip o algo para que podamos tener un certificado digital propio-, y además que nuestras características personales puedan usarse para probar que al otro lado está la persona que dice ser, porque el Estado lo garantiza y es humano.