Ciberseguridad: “La forma cómo se está abordando este tema es un poquito alarmista”

Los ataques cibernéticos que sufrió el Banco de Chile hace unas semanas pueden haber tomado por sorpresa a más de alguno, pero no a Claudio Magliona. Master en Ciencia y Tecnología de la Universidad de Stanford y profesor del diplomado de Ciberseguridad de la Universidad de Chile, este abogado que representa a empresas como Netflix y Google en Chile asegura que siempre hemos sido objeto de este tipo de ataques informáticos, “lo que pasa es que llegamos a un momento en que son de tal envergadura y cantidad que ya no los podemos ocultar”.

Y aunque son importantes, el socio del estudio García y Magliona Abogados llama a no sobrerreaccionar. “Tal como en los años ’80 se cometían fraudes con cheques, hoy día se están cometiendo los delitos informáticos”, explica.

-¿Qué le parece la reacción ante los ataques cibernéticos?

-El tema es serio y si tenemos que protegernos de algo es de los delitos informáticos, especialmente instituciones que manejan datos sensibles. Pero uno ve que la forma como se está abordando este tema es un poquito alarmista. Este tipo de conductas son normales y van a seguir aumentando a medida que el comercio electrónico y la banca digital sigan aumentando.

-¿Esa normalidad tiene que ver con el tránsito de la economía análoga a la digital?

-Tal como en los años ’80 se cometían fraudes con cheques, hoy día se están cometiendo los delitos informáticos. Lo que no es normal es que instituciones privadas y organismos públicos no hayan desarrollado una estrategia de seguridad informática para prevenir estos delitos y reducir su impacto.

-¿Le parece que desde la empresa están más activos en eso tras los ataques a la banca?

-Ellos adhieren a estándares internacionales y los tienen; pero en el último tiempo se han visto sorprendidos por los ataques informáticos, lo que significa que van a tener que actualizar su estrategia de seguridad informática.

-¿Estamos atrasados también en materia de regulación?

-La legislación es uno de los elementos, pero no podemos verla como la solución a todo. Sin perjuicio de eso, como ya se ha dicho, estamos retrasados en este tipo de legislación.

-El Ejecutivo ya hizo algunos anuncios en esa materia.

-El gobierno va a enviar tres proyectos de ley al Congreso. Uno que actualiza el convenio de Europa sobre delincuencia informática; el segundo proyecto sería sobre definición de infraestructura crítica, que genera obligación de comunicar que se está siendo objeto de un ataque cibernético y el tercer proyecto crea un organismo encargado de coordinar las medidas a tomar frente a un ataque. Las conductas de los delincuentes informáticos varían, son dinámicas; entonces, muchas veces no se está preparado para enfrentarlas. Siempre fuimos objeto de ataques informáticos; lo que pasa es que llegamos a un momento en que son de tal envergadura y cantidad que ya no los podemos ocultar, que es otra cosa.

-¿Lo que se está haciendo va por buen camino?

-Siempre está el peligro de la sobrerregulación, pero en estos momentos no la hay porque estábamos completamente al debe. Lo importante es que estos cuerpos normativos que van a entrar al Congreso sean debidamente analizados y revisados con toda la calma que se requiere, no se corra a aprobar proyectos de ley sin pensar en el impacto. No pueden subordinar a las empresas y organismos públicos a que estén todo el día pendiente del tema de la seguridad informática. Hay que irse con cuidado en cuanto a cuál va a ser la carga que le vamos a imponer a quienes sean designados como infraestructura crítica. Esta carga tiene que ser razonable.

-¿Cuándo se habla de “razonable” en qué pensamos?

-Por ejemplo, no nos excedamos en exigirle a una pyme que no maneja activos ni datos sensibles que destine el 90% de su presupuesto anual a blindarse contra algo que no va a ocurrir.

-¿Cómo ha visto a Jorge Atton?

-El llamado es a no sobrerreaccionar. No estoy de acuerdo con que la primera política de todo gobierno corporativo debe ser la estrategia de ciberseguridad. Esta debe ser parte, pero no nos podemos pasar al otro extremo en que, producto de las medidas de seguridad, descuidemos otros aspectos que pudieran ser tan importantes o determinantes.