menú responsive
AMÉRICA | Seguridad
-/5 | 0 votos

Entrevista Infodefensa

Senador K. Pugh (Chile): "Debemos enfocarnos y avanzar en convertir a nuestro país en una potencia en Ciberseguridad"

Senador Kenneth Pugh. Foto: Sitio oficial de Kenneth Pugh

Senador Kenneth Pugh. Foto: Sitio oficial de Kenneth Pugh

30/04/2021 | Valparaíso

Nicolás García

Chile es uno de los países con mayor tasa de penetración de internet en América Latina, con más de un 80% de su población conectada. Esta capacidad permite a la sociedad aprovechar las ventajas que entrega el Ciberespacio pero representa a su vez un desafío para la protección de las redes e infraestructura crítica ante incidentes y ataques informáticos.

En esta nueva sociedad digital existe un gran riesgo de filtraciones y tráfico de información, ya que gran parte de las instituciones del Estado, organizaciones y empresas funcionan con el tratamiento de datos personales lo que obliga a mejorar los estándares de seguridad informática del país y enfrentar eficazmente los ciberdelitos.

El senador independiente por la Región de Valparaíso y vicealmirante en retiro de la Armada de Chile, Kenneth Pugh, ha sido uno de los principales impulsores de la importancia de la Ciberseguridad en aspectos como infraestructura robusta enfocada en la gestión de riesgos, resguardo de los ciberderechos de las personas y la promoción del desarrollo de la industria de la Ciberseguridad con motivos estratégicos.

Pugh señaló en una entrevista a Infodefensa.com que es necesario que Chile logre generar una nueva institucionalidad en Ciberseguridad acorde a los tiempos y que proteja los datos personales y sensibles de las personas a cargo de una Agencia Nacional de Proteccion de Datos con autonomía orgánica y presupuestaria.

De la misma manera, remarca la necesidad que en la iniciativa de la Ley Marco de Ciberseguridad se refuerce la Ciberinteligencia y se defina el alcance del concepto de infraestructura crítica, tanto física como virtual, para que habilite su protección por parte de las Fuerzas Armadas.

¿Por qué decidió centrar su labor parlamentaria en el área de la Ciberseguridad?

Me formé como ingeniero electrónico y toda mi vida he estado en sistemas digitales, sistemas de inteligencia y guerra electrónica. Después comienzan las operaciones de información y de todos los temas relacionados con el uso del Ciberespacio para el desarrollo pero también entendiendo que el Ciberespacio se ha militarizado y por eso nace la Ciberseguridad. Eso es lo que me llevó, cuando me incorporé al Parlamento, a tomarlo como algo personal por mi conocimiento y me dí cuenta que no existía la palabra Ciberseguridad en el congreso chileno, no se mencionaba y por eso mi primer proyecto de ley fue precisamente cambiar la cultura y para hacerlo tome una idea del hemisferio norte, de los países europeos y también de Estados Unidos, de usar un mes completo para crear conciencia.

Octubre es el mes que ocupa Europa y Estados Unidos pero no solo para crear conciencia sino que también crear capacidades y la única manera de comprobarlas es con ejercicios nacionales  Esta ley que creó el mes nacional de la Ciberseguridad, es para promover el conocimiento, actualizarlo todos los años y poder efectuar los ejercicios nacionales de Ciberseguridad y asi comprobar que tenemos la capacidad adecuada. Por esas cosas increíbles y con apoyo transversal, esa ley salió publicada en el Diario Oficial el día 1 de octubre de 2018, en el mismo año en que yo partía como senador y en el mismo mes en el que estábamos proponiéndolo.

Por eso decidí que fuera un sello característico, como el ser humano es capaz de estar habitando este nuevo espacio que no conocemos, el primer ecosistema creado por el hombre pero de forma segura, como darle certeza jurídica a los actos digitales, como lograr que las personas estén seguras en sus casas y he dedicado bastante esfuerzo para actualizar, creando proyectos de ley e incluso tengo una reforma constitucional precisamente para reconocer el derecho del ciudadano a relacionarse digitalmente con el Estado, como logramos que el Estado reconozca mi identidad digital y me relaciono única y digitalmente con él, no necesito ir presencialmente a los trámites, y eso va a dar vuelta al Estado porque lo va a obligar a tener que mejorar sus servicios digitales a las personas y eso es lo que espero que en la nueva Constitución esté considerado.

¿Existe interés en la población respecto a la Ciberseguridad'?

No puedes creer algo que no conoces y también no le puedes tener temor a algo que no conoces. Estamos igual que niños en este mundo nuevo y como no lo entendemos no sabemos las ventajas que tienen ni tampoco los riesgos. Por eso es importante la cultura y crear un mes dedicado a la Ciberseguridad. El año pasado realizamos en el Senado una sesión especial convocado el 1 de octubre que contó con expositores de primer nivel como Chema Alonso y Rosa Diaz, la directora del Instituto Nacional de Ciberseguridad Español para explicarles a los parlamentarios que todo esto que tenemos que es maravilloso del mundo digital tiene riesgos grandes y esos riesgos hay que conocerlos. La gente necesita de esto porque no lo entiende. A edad temprana hay que tener hábitos e higiene digital y siempre hay que minimizar los riesgos para enfrentarlos con seguridad.

¿Qué ciberamenazas enfrenta el país?

Las ciberamenazas más grandes que tenemos en este momento están relacionadas con aquéllas que afectan a las personas con su identidad como los robos de credenciales usando técnicas tan simples y sencillas como los cuentos del tío de la antigüedad que hoy es el phishing. Algunos piensan que esto es económico, destruir la reputación, crear cuentas falsas o vender información personal de las redes sociales que maneja eso afecta la integridad de las personas, no solo la destrucción económica, sino que también reputacional y eso también afecta a nuestra democracia por gente que está haciendo uso malicioso del ciberespacio creando y difundiendo noticias falsas. Los Fake News son formas de ataque gigantescas contra la cual te tienes que preparar. Y finalmente, lo que es más crítico, la infraestructura, todo aquello de lo que dependemos, pueden bloquearse los sistemas eléctricos causando apagones y provocando la muerte de las personas, generar accidentes en los sistemas controlados como la maquinaria, transporte o aeronaves y pueden contaminar los alimentos generando procesos de control en cosas indebidas.

Por lo tanto, se puede hacer mucho daño y tenemos que entender que esto es real y que Chile es un lugar en el que no tenemos buenas prácticas, higiene digital y un Sistema Nacional de Ciberseguridad, somos un verdadero campo de guerrilleros del siglo XXI porque vienen aquí a entrenar sus técnicas, procedimientos, todas sus tácticas y a jugar con nosotros. Todavía Chile no logra generar una institucionalidad y mientras no la tengamos vamos a ser blancos de estos ataques de gente que viene no solo a buscar el dinero que pueden tener algunos sino que a lograr entrenamiento y experiencia porque saben que aquí somos un equipo de tercera división, pueden venir a meter goles las cantidades que quieran y se vienen a entretener con nosotros

¿Qué infraestructura crítica debería asegurar el país ante este tipo de ataques?

En otros países lo que existe es una buena capacidad de Ciberinteligencia, de poder anticiparse. Ésta no es solo la Inteligencia Abierta sino que es Inteligencia Ciber que es capaz de penetrar redes oscuras como la Deepweb para poder ver que se está preparando y poder prevenir ataques. Lo primero que se necesita es un sistema potente y tiene que residir dentro de nuestro Sistema de Inteligencia del Estado. Hay una ley que se está tratando de modificar para darle mayores capacidades a la Agencia Nacional de Inteligencia pero no tenemos lo que tienen organismos de inteligencia técnica especializada equivalente a una NSA o una Unidad 8200 de Israel. Chile no la tiene y debe desarrollar una mejor inteligencia técnica.

Después tiene que tener un sistema y centros coordinadores de respuesta ante ataques y esos son los centros de protección de infraestructura crítica. El CNPIC, por ejemplo en España, en donde convergen la Guardia Civil y la Policía Nacional, tiene 54 personas, porque tienen que actuar en conjunto y nosotros no tenemos un organismo en donde estén las policías en búsqueda de un objetivo. La vigilancia física de la infraestructura crítica es de Carabineros y la ciberseguridad digital la persigue la PDI, por lo tanto los dos deben actuar juntos porque la respuesta no es solo proteger en el ciberespacio o en el lugar físico, sino que también deben estar coordinados.

Tenemos que avanzar en esto, he hecho una propuesta concreta y llevo más de un año tratando que el presidente Piñera acepte, de separar el Ministerio del Interior y Seguridad Pública. Lo que permitiría el nuevo Ministerio de Seguridad Pública es que se especialice en un sistema interagencial. Chile tiene que avanzar a un sistema interagencial, que se vincule mucho mejor el Sistema de Inteligencia del Estado con el Sistema de Emergencia Pública y también con la nueva ley con las policías integradas entre ellas. Si somos capaces de crear un nuevo ecosistema todo esto va a ser parte y ahí la Ciberseguridad es un elemento habilitante de todo, no necesitamos generar un nuevo zar como se habla de la Ciberseguridad basta con tener una autoridad coordinadora y este nuevo organismo que explicaba para darle la fortaleza que el país requiere y así proteger la infraestructura crítica que es fundamental.

¿Cuáles son los principales desafíos de Ciberseguridad que enfrentan las Fuerzas Armadas?

Las Fuerzas Armadas tienen una Politica Nacional de Ciberdefensa y consideran el Ciberespacio como el quinto espacio de batalla, el primero fue la tierra donde están las fuerzas militares, segundo las fuerzas navales o maritimas, el tercero fue el aire, el cuarto fue el espacio y el quinto es el Ciberespacio. ¿Dónde está físicamente? Bueno yo digo que está bajo el mar, porque el 99,9% del tiempo toda la nube, cuando se habla de la nube, los movimientos, los datos o los análisis, están ocurriendo no por el aire está ocurriendo bajo el mar a través de los cables de fibra optica que conectan a toda la humanidad. Entonces ahí tenemos la primera infraestructura crítica esencial que tenemos que proteger de la humanidad que son los cables de fibra optica submarinos, si se cortan vamos a quedar degradados de una manera increible porque los satélites no son capaces de tener la velocidad que tenemos ahora. 

Las Fuerzas Armadas tiene que saber ocupar este escenario para desarrollar operaciones de apoyo y esas se llaman operaciones de información y saber usar de forma favorable pero también saber negarlo y la negación de un espacio es normalmente usando ciberarmas por lo que deben tener capacidades para tener ciberarmas y desarrollarlas y eso requiere de cibersoldados y esto está en la Politica Nacional de Ciberdefensa pero como no es posible tenerlos a todos contratados, tenemos que depender de una fuerza de reserva y aquí invitar a todos los jovenes con talento y que tengan estas capacidades para que también las puedan poner al servicio de la Patria, una especie de Servicio Militar y tendrá que definirse la modalidad o la forma para poder contribuir con sus conocimientos porque el Ciberespacio es el enfrentamiento de conocimientos, son finalmente programas algoritmos inteligentes artificiales los que están actuando y los desarrollan personas. ¿Entonces en que tiene que invertir Chile? En personas. Si eso se logra vamos a ser capaces de tener una ciberfuerza adecuada para defender al país y después responder de la forma que el Estado lo decida porque los ciberataques no se responden necesiariamente con un ciberataque de vuelta, puede ser con un ataque convencional, un bombadeo, un bloqueo o lo que el presidente decida porque finalmente la respuesta va a depender del daño que se haya hecho, no necesariamente tiene que ser usando los mismo medios. Si a mi me destruyen mi sistema electrico con un ciberataque yo podré, si he determinado quien es el que ha originado el ataque y existe la evidencia, eso se conoce como atribución, responder de forma en que la legitima defensa lo permite con todos los medios militares disponibles.

¿Las instituciones de la Defensa Nacional y de Orden y Seguridad poseen las capacidades técnicas y humanas para enfrentar esta nuevas amenazas?

Quien está mejor preparado en estos momentos es la Policía de Investigaciones con su Brigada de Cibercrimen. Ellos han decidido invertir bastante en la formación de personas y compra de equipos. Es por eso que ellos han sido un aliado también desde el momento en el que se creó el Mes Nacional de la Ciberseguridad. De hecho la PDI, junto al Instituto de Ciberseguridad, son los fundadores de los primeros seminarios internacionales, ya vamos en el tercero, el último que fue inaugurado por el señor Hector Espinoza, director general de la PDI, junto con el rector de la Universidad Santa María, y ahí uno puede ver el trabajo colaborativo entre el mundo académico y las policías. La Policía de Investigaciones compró el edificio tecnológico que tenía Corfo en Curauma, en la Región de Valparaíso, y en ese lugar se están instalando las nuevas capacidades ciber y se ha reservado un espacio para tener laboratorios de investigación avanzadas de ciberseguridad. La PDI es una oficina de investigaciones. Las investigaciones avanzadas van precisamente a detectar la frontera del ciberdelito, hacia donde están yendo, y por eso es muy virtuoso el poder trabajar en gobiernos regionales descentralizados de Santiago con el mundo académico, con universidades, como por ejemplo la Universidad Santa María, la Universidad Andrés Bello, Inacap, la Universidad Católica de Valparaíso, que son las que esáan aportando investigadores junto con una institución del Estado que está en esto que es la Policía de Investigaciones. Entonces se ha dado en forma natural que en este ámbito la Policía de Investigaciones esté mucho más fuerte

¿Qué más se requiere? 

Generar capacidades para tener mejor manejo de los sitios de suceso tecnológico. Fíjate que el delito puede estar en la RAM del computador y si yo apago el computador se apaga el delito, no hay evidencia. Entonces de esa complejidad estamos hablando, de como logramos tener personas especializadas que puedan llegar donde ha ocurrido un delito tecnológico, puedan recoger la evidencia y tengan la cadena de custodia digital para que esa evidencia llegue posteriormente a través del fiscal a ser presentado como una prueba. Y ahí vienen las fiscalias especializadas que sepan de que estamos hablando. En España, la fiscal jefe de Ciberdelito, Elvira Tejada, una gran mujer con la que hemos conversado mucho y nos ha ayudado en esto, nos ha señalado la necesidad de preparar a las policías, en este caso la Policía de Investigaciones y al otro lado jueces que sepan y entiendan de esto para que así puedan condenar como corresponde. Esto también se esta de alguna manera desarrollando pero es fundamental una nueva Ley de Delitos Informáticos. Eso está en el segundo trámite legislativo, acaba de salir de la Comisión de Seguridad de la Cámara de Diputados e integra todo lo que es el Convenio de Budapest que permite perseguir el cibercrimel transnacional, porque estos delitos ya no tienen fronteras, están los delincuentes de Corea del Norte, Iran, Rusia o de cualquier lado ¿Y como los persigo? Si logramos identificarlos, usar los mecanismos, las convenciones y así poder bloquearlos, neutralizarlos y es necesario desbaratarlos como lo hicieron las policías europeas para desbaratar la red Emotet y así bajar servidores, capturar personas y evitar el uso malicioso de algo que es tan bueno como la tecnología que hace muy bien a la humanidad si se usa bien. Por eso queremos a personas éticas desarrollando programas y algoritmos éticos y no personas que están haciendo un mal uso destruyendo a personas, equipos, países e incluso democracias haciendo un mal uso de la tecnología.

¿Qué otras iniciativas de ciberseguridad se encuentran en tramitación en el Congreso?

La más importante es la nueva Ley de Protección de Datos Personales. La protección de los datos personales es el punto de partida de la Ciberseguridad pues tenemos que garantizarle a la persona que ha entregado titularidad de su información a un tercero, ya sea el Estado o a un privado, se haga con un consentimiento para un fin específico, no para cualquier cosa. Tenemos que funcionar con datos pero los datos tienen que estar seguros y si se usan para algo que no estaba destinado o no sean capaces de cuidarlos, no tengan las medidas de ciberseguridad necesarias y ese dato se lo llevan terceros, multar a aquellos que no lo han hecho. Esa multa hará que inmediatamente todos tengan que subir los niveles de protección de la seguridad de la información. Ojalá las empresas opten, por ejemplo, a la norma ISO 27001 que es el estándar mínimo que tenemos para la seguridad de la información y de ahí hacia arriba y que el Gobierno haga lo mismo. El Estado no puede estar haciendo algo que el resto ya está aplicando. Los privados ya partieron por que esto en Europa es ley desde el 25 de mayo del 2018 y vinieron a tres lugares del mundo al lanzar el Reglamento Europeo de Protección de Datos como la India y Santiago de Chile porque los europeos reconocen que en Chile hay liderazgo. Eso quedó homologado e hicimos más de 300 indicaciones para que la ley quedara lo más adaptada posible a este Reglamento Europeo de Protección de Datos Personales, pero lleva más de un año parado en la Comisión de Hacienda del Senado en su primer trámite constitucional. No ha habido deseo ni mirada de avanzar. 

Por lo pronto, se considera la creación de una Agencia Nacional de Protección de Datos Personales que dependería del Consejo para la Transparencia lo que considero que es un gran error, ya que los datos son tan importantes y es un derecho que debemos garantizar a todas las personas que requieren máxima autonomía. Nuestro Consejo para la Transparencia es un acuerdo político, tuvimos muchos problemas para lograr el nombramiento de los últimos consejeros, no podemos hacer lo mismo con los datos personales y no se pueden juntar los dos para una economía. El país perfectamente puede financiar a un director que se puede elegir por el Sistema de Alta Dirección Pública para poder tener una Agencia Nacional de Protección de Datos completamente autónoma. Eso está atrasado y requiere ser puesto en tabla porque Chile necesidad una nueva Ley de Protección de Datos Personales y de una institucionalidad como la Agencia Nacional de Protección de Datos.

Falta que ingrese la nueva Ley Marco de Ciberseguridad y que vamos a hacer con la infraestructura crítica. No podemos crear otros órganos externos, tenemos que reforzar los que tenemos y ahí lo que estoy proponiendo es, a través de la Ley de Inteligencia, reforzar la Ciberinteligencia y dedicarle a ello la responsabilidad de todo lo que es la coordinación para la protección de la infraestructura crítica completa, tanto física y virtual y no separarlos. Eso es algo que ojalá sea parte de estos procesos de reforma que se está pidiendo al Sistema de Seguridad Pública y que se cree una comisión bilateral de Seguridad del Senado y la Cámara de Diputados. He pedido que la separación de ministerios sea lo primero y que en este nuevo ministerio el trabajo interagencial se potencie la capacidad de Ciberinteligencia y se cree la coordinación para poder proteger toda la infraestructura crítica nacional coordinando a las policías y si es necesario las Fuerzas Armadas. 

También soy autor de una moción de reforma constitucional para permitir al presidente, sin necesidad de un Estado de Excepción, de poder incluir a las Fuerzas Armadas en apoyo específico si se tiene una evidencia clara de que una infraestructura crítica va a ser atacada y sin necesidad de cambiar las condiciones de las libertades personales, permitir a ciertos lugares recibir personal especializado de las Fuerzas Armadas que puedan actuar de una manera adecuada contra un ataque que puede ser de una violencia inusitada y con una capacidad de fuego que las policías ni siquiera puedan ser capaces de enfrentar.

¿Qué ventajas representa la firma de convenios de colaboración en Ciberseguridad con países como Estados Unidos, Reino Unido, España, Israel y Estonia?

Son fundamentales pues eso demuestra la confianza que se tiene para poder intercambiar temas sensible. Los acuerdos de colaboración permiten el intercambio pero nos falta hago que es más importante, que es que una vez tú colaboras y desarrollas conocimientos empiezas a generar productos y hay productos en el ámbito de la Ciberseguridad que tienen un uso dual y se pueden ocupar de forma civil pero también militar y eso está regulado. El país tiene posibilidades con los convenios, estoy pidiendo que con el convenio que tenemos con Estonia, se pueda ir a los ejercicios Locked Shields que se hacen en Tallinn y que es uno de los ejercicios de Ciberdefensa más importantes en el mundo en el que participan países de la Unión Europea y la OTAN como también naciones invitadas. Usar ese convenio para fines específicos y así darle a cada uno de los convenios un sentido específico. Una vez que los usemos y generemos conocimiento, subir nivel y ser capaces de articularlos con el comercio estratégico en este tipo de tecnologías y poder regularlos.

¿Qué importancia adquieren organismos como el Instituto Nacionsal de Ciberseguridad y el CSIRT para enfrentar este desafío estratégico?

Chile necesita dentro de su Sistema Nacional de Ciberseguridad, que todas las industrias tengan su CSIRT. Estos son los centros de respuestas ante incidentes que ocurren en el ámbito informático, ya sea generado internamente para dañar a la organización o externamente. Se necesita coordinarlos y esa coordinación tiene que ser una capacidad nacional. No la tenemos y cada uno está actuando de forma autónoma y sin ni siquiera compartir datos, no estamso obligados a compartir información. Hay ciertos sectores que han definido subir los estándares, por ejemplo el financiero, a través de la Comisión del Mercado Financiero que tiene instrucciones especiales para que reporten los bancos si están siendo atacados. Tenemos mucha más infraestructura crítica como el eléctrico, sanitario, transporte y marítimo en el que no tenemos nada. Cada industria debe tener estas capacidades y después coordinarlas Esa coordinación a nivel industrial se hace en España a través del Instituto de Ciberseguridad (Incibe) que está en León.

En lo personal, creo que la infraestructura crítica nacional, que en más de un 85% está en manos privadas, se puede coordinar con un ente externo que dé confianza tanto a los privado como a los públicos y una institución como el Instituto Nacional de Ciberseguridad lo puede hacer perfectamente 

El Gobierno tiene un CSIRT pero eso es para la red de conectividad del Estado. Le hemos dado la tarea al CSIRT de Gobierno de que trate de ser el CSIRT de coordinación nacional pero su función es ser el centro coordinador de respuesta de la red del Estado tal como lo hace el CSIRT de la Defensa y de todos los CSIRT que cada institución de la Defensa tiene.

En Ciberseguridad no existe jerarquía, si existieran jeraquías y dependencias los sistemas serían mucho más lentos y si destruyes y atacas se caería todo. Los sistemas funcionan en red y todos colaboran, por eso si cae uno puede seguir el otro pero siempre se le da a uno el primus interpares al más importante o al que tiene la responsibilidad o que tiene la tarea en ese minuto de la coordinacion. Nos falta el Centro Coordinador Nacional que es algo que por ejemplo en el Reino Unido hace el National Cyber Security Centre. Esas estructuras son las que tenemos que incorporar en Chile y para eso la Ley Marco de Ciberseguridad que diga como vamos a a hacer esto.

¿Qué otras herramientas considera que faltan para garantizar la seguridad que requiere el desarrollo tecnológico e innovación en el país?

Lo primero es crear conciencia, es darnos cuenta de lo que nos está pasando. La conciencia la tienen que tener los líderes y espero que el presidente use alguna vez la palabra Ciberseguridad en su discurso a la nación. Muchos líderes de Estado lo consideran como algo relevante y lo ocupan.

Lo segundo, los ministros, que sea un tema que los convoque. Estoy pidiendo que ojalá se logré firmar un convenio de colaboración interministerial entre el Ministerio de Ciencia, Tecnología, Conocimiento e Innovación con el Ministerio del Interior y Seguridad Pública y el Ministerio de Defensa para poder hacer investigación avanzada en Ciberseguridad.

La conciencia permite darnos cuenta de las falencias y la gran falencia que tiene Chile es de conocimiento. Me he preocupado que la nueva ley que fortalece a las regiones aparezca la palabra conocimiento que no estaba y se le dé un rol protagónico en la generación de las estrategias regionales al nuevo Ministerio de Ciencia, Tecnología, Conocimiento e Innovación. Soy un convencido de que no estamos solo en una sociedad del conocimiento, sino que el conocimiento es la mayor riqueza que puede tener una región por el desarrollo de los talentos. 

 © Information & Design Solutions, S.L. Todos los derechos reservados. Este artículo no puede ser fotocopiado ni reproducido por cualquier otro medio sin licencia otorgada por la empresa editora. Queda prohibida la reproducción pública de este artículo, en todo o en parte, por cualquier medio, sin permiso expreso y por escrito de la empresa editora.

ENVÍO DE LA NOTICIA A UN AMIGO
Correo electrónico
Tu nombre
Mensaje