Por ciberataque a municipios: expertos recomiendan aumentar seguridad y capacitación

Hasta el momento se sabe que la disponibilidad de los datos ha sido afectadas, pero está por verse si ocurrió o no la violación a la confidencialidad o integridad de los mismos.

Como una situación bastante ignorada a nivel público y sumamente relevante de enfrentar con mayor velocidad en capacitación y legislación calificaron expertos locales la grave circunstancia por la que atraviesan cerca de 72 municipalidades de Chile, producto del ciberataque con un ransomware que es un programa que mantiene raptados los datos que contienen los servidores, en este caso de la empresa GTD que presta servicios digitales.

Ciberseguridad

En el caso regional uno la Municipalidad de Lota fue una de las afectadas. Tras las consultas de Diario Concepción, al cierre de esta edición, no respondieron al respecto.

Héctor Muñoz, CEO de SynapsysGlobal, empresa de la Región que se dedica a la ciberseguridad, formuló que para que una empresa sufra un ataque los ciberatacantes ya han estado dentro de la compañía en los últimos 3 a 6 meses para evaluar los niveles de importancia de la información que se pueden llevar. “Su forma de ataque es muy simple, dentro de la informática, es tomar toda la data relevante para ellos y la encripta con un código secreto”.

“En este minuto la responsabilidad de GTD es muy importante, porque de haber tenido la estructura de preparación habrían podido verificar antes que nos estuvieran conectado nadie extraño”, indicó Muñoz, agregando que la empresa GTD como datacenter podría calificarse como la segunda más importante en el país.

Por otro lado, cabe responsabilidad a quienes contratan los servicios de una empresa de servidores o datacenter. “La municipalidades o empresas también son responsables porque toda la data no puede estar sólo en una empresa de servidor, debería haber otro datacenter secundario. Puede salir caro, pero si se guarda una versión mínima para poder seguir dando el servicio”, afirmó Muñoz.

No existe preparación para este tipo de eventos, en las compañías en general, según Muñoz, ya que son escasos los especialistas en ciberseguridad y debido a que existe ignorancia al respecto en la opinión pública. “Hay muchas compañías que siguen viéndolo como un gasto, más que como una inversión (proteger sus datos) y no están preparados para esto. Siempre he sugerido que todas las carreras universitarias deben tener un ramo de ciberseguridad, debería ser parte de la formación”, apuntó.

Legislación

Referente a los caminos legales que existen para enfrentar esta vulneración de información, Ximena Sepúlveda abogada experta en ciberseguridad, detalló que con esto se podría poner en peligro la confidencialidad y la integralidad de la información que manejan empresas, organizaciones y estamentos públicos como la casa edilicia de Lota.

“Este ataque afecta fundamentalmente a la disponibilidad de la información, porque los servidores no están para poder atender las necesidades digitales. No sabemos, hasta ahora, si se afecta también la confidencialidad y la integridad porque no hay información pública que dé cuenta si la caída de los datos es consecuencia del ransomware o por el contrario es una acción correctiva que GTD está haciendo en términos de aislar el software y dejarlo encapsulado”, explicó.

En cuanto a las responsabilidades surgen dos tipos, una vinculada al derecho del consumidor para todas las empresas y municipios que pagan servicios que tienen derecho a que se les indemnice por esta falta de disponibilidad.

Por otra parte, en una eventual fuga de información, los titulares de los datos personales tienen el derecho que está establecido en la actual Ley de Protección de Datos Personales. “Es importante tener en cuenta que esta ley es súper antigua, del año 1999, tiene 24 años, basta con pensar todo lo que las tecnologías han cambiado”, estableció la abogada y agregó que la actualización de la ley, no ha salido del Congreso.

Por lo anterior, es necesario que la actualización del proyecto de Ley de Protección de Datos salga pronto, ya que en ciberseguridad la base es la protección de los datos, según planteó Sepúlveda. “Y por que ahí se establece una Agencia de Protección de Datos que va a tener una labor de supervisión, de requerir sanciones para las empresas, porque sino en la práctica se transforma en una pelea entre David y Goliat, dónde los titulares de datos versus las empresas responsables del tratamiento”, dijo.

Conductas de cuidado

En el sentido del comportamiento como usuarios, Ennio Pereira, coordinador de conectividad y seguridad del Instituto Profesional Virginio Gómez, destacó que estos archivos maliciosos se aprovechan de toda la red para ingresar a un servidor grande, y por ello es importante capacitar a los trabajadores o funcionarios en conductas de cuidado, evitando descargar archivos desconocidos o hacer click en anuncios dudosos. “En muchas empresas cuando entrega computadores a sus trabajadores, se les bloquean todos las posibilidades de descarga y de usos que no sean exclusivamente laboral. Pero no todos los lugares son igual, por lo tanto es importante desconfiar primero”, indicó Pereira.