Hace dos semanas una base de datos con información de alrededor de 14.000 tarjetas de crédito fueron expuestas en las redes sociales. El documento contenía datos confidenciales de clientes de casi una veintena de emisores bancarios y no bancarios.
El grupo de cibercriminales autodenominado ShadowBrokers, responsables del ciberataque, volvió a publicar números de tarjetas, su número de seguridad (CVV) y la fecha de expiración de los productos de otros miles de clientes bancarios a menos de dos semanas del primer golpe.
Esta situación, sumado a que hace aproximadamente un mes el Banco de Chile sufrió el robo de US$ 10 millones a través de un ataque informático, generó la reacción inmediata de diversos sectores, exigiendo explicaciones respecto a la seguridad presente en las instituciones involucradas y cómo se encuentra la normativa del país sobre los cibercrímenes.
En Chile existe una ley, la 19.223, que castiga los delitos informáticos. Dicha norma consta de cuatro artículos:
Artículo 1°.- El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo.
Artículo 2°.- El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio.
Artículo 3°.- El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio.
Artículo 4°.- El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.
Esta ley, que data de 1993, por muchos es considerada insuficiente para el actual avance que presenta la tecnología y sus usos, más si se considera que a la fecha no ha recibido ninguna modificación.
En esta línea, en abril de 2017, el Estado chileno firmó el Convenio de Budapest, tratado internacional cuyo fin es enfrentar los delitos informáticos mediante la creación de leyes acordes a lo que demanda la ciberseguridad contingente.
Los objetivos de adscribirse al Convenio, el cual suma más de 56 países, es establecer una política penal común que aporte herramientas, procedimientos y alineamientos para la cooperación internacional contra este tipo de ilícitos.
Dicha firma propone que pronto la ley chilena agregue las siguiente acciones como delito:
1) Captación visual y sonora de información sin consentimiento
2) Difusión de ese material
3) Producción de programas o dispositivos para cometer delitos
4) Difusión de información de un sistema informático
5) Manipulación de claves confidenciales y de datos codificados en una tarjeta
6) Uso de programas o dispositivos para vulnerar la integridad de datos
7) Alteración o daño de sistemas informáticos
8) Alteración de datos para acceder a un sistema informático
El senador Felipe Harboe, impulsor de proyectos relacionados con seguridad de datos personales y ciberdelitos, advirtió que la “normativa de Chile es bastante anticuada”. “Tenemos la ley de delitos informáticos de 1993, Chile no tiene una ley ni un marco de ciberseguridad, y por otro lado tampoco hemos logrado despachar la ley de protección de datos de las personas, proyecto que está bastante avanzado”, manifestó el legislador de la XIII Circunscripción de Bío Bío Cordillera.
A su vez, el senador Harboe señaló que si bien se ha avanzado en esta materia sigue existiendo la necesidad de una mayor regulación. Según el congresista, estos procesos podrían tardar dependiendo la diligencia. “Aquí hay dos tipos de normativas: las modificaciones legales que hay que hacer, que demoran un poco más porque requieren el proceso legislativo; y la normativa administrativa, es decir, por ejemplo, lo que se hizo en la Superintendencia de Bancos a través de la RAN, Regulación Actualizada de Normas, o bien lo que está haciendo el Ministerio del Interior a través de normas administrativas para regular todo lo que son las bases de datos del Estado, que puede ser más rápido”, detalló el representante.
“Desde mi perspectiva lo más urgente es que Chile tenga un diagnóstico. En Chile no sabemos qué grado de ciberseguridad tienen las industrias, ya sean mineras, telecomunicaciones, energía, transporte, servicios públicos o retail. Esto requiere de un diagnóstico para saber dónde estamos y por lo tanto ver cómo partimos”, expresó Harboe.
Senador Felipe Harboe | La Tercera
Para el senador Felipe Harboe, situaciones como las que afectaron a los bancos recientemente son de exclusiva responsabilidad de las casas comerciales, por lo que, a su criterio, el cobro o la oferta de seguros antifraude “es una contradicción en sí misma, en un sentido perverso”.
“Cuando se firma un contrato de cuenta corriente se llama “contrato de depósito”, el cual establece una obligación para el depositario, es decir para quien recibe el dinero, que es justamente resguardarlo. Si por alguna razón, sea por negligencia, sea por falta de inversión, nuestro dinero está en riesgo, el que debe de responder es el banco“, explicó Harboe, quien luego añadió: “A mi no me parece que se le endose al cliente la responsabilidad de pagar un seguro potenciado desde el banco. Esto desincentiva la inversión en ciberseguridad“.
Respecto a lo que la normativa vigente señala sobre estos complementos bancarios, Harboe aseguró que “le planteé al superintendente de Bancos la necesidad de regular el tema de los seguros antifraude“, de no tomar cartas en el asunto “vamos a tener que hacer un proyecto de ley para prohibirlos”, advirtió.
“Es inaceptable que se le esté endosando al cliente el costo por una obligación que es propia del banco”, enfatizó el legislador de la Región del Bío Bío.
Este lunes comenzará sus funciones el nuevo asesor presidencial en ciberseguridad, Jorge Atton, quien tendrá como principal objetivo el coordinar las acciones y políticas públicas relacionadas a los delitos informáticos. Para este fin, el ingeniero electrónico de la Universidad Austral deberá reunir y ejecutar un trabajo conjunto entre el mundo privado y público.
Jorge Atton | Agencia UNO
Sobre la designación de Atton como nuevo asesor en ciberseguridad, el senador Harboe aseveró que “me alegra que el Presidente Piñera haya accedido a la petición que hice de nombrar un delegado para que haga una evaluación del estado de la ciberseguridad en infraestructura crítica del país”. El legislador expresó que espera pronto se propongan nuevas leyes en el marco de la ciberseguridad, para finalmente se “establezcan normas de inversión obligatorias para las diferentes industrias”, afirmó.
Desde la Policía de Investigaciones (PDI), el comisario Mauricio Díaz, especialista en delitos informáticos, señaló que en la actualidad “hay ciertas figuras delictuales que con el pasar del tiempo han superado la cobertura que entrega la legislación vigente”.
Si bien Chile en su momento fue pionero en contemplar en su legislación delitos del ámbito digital o informático, dicha situación ha cambiado drásticamente. “En la actualidad, lamentablemente, la informática se mueve mucho más rápido que la legislación”, afirmó Díaz, por lo que “Chile necesariamente va a tener que actualizarse en relación a las figuras que al día de hoy operan pero que la legislación no las cubre”, añadió.
De hecho, la legislación vigente no tiene tipificado delitos cotidianos como la clonación de la banda magnética de tarjetas o el “phishing“, una suplantación digital para obtener claves e información privada de un usuario. Esto genera que la policía deba “acercarse a la figura penal que es más próxima al hecho propiamente tal” para perseguir la causa, explicó el comisario Díaz.
“En otros países ya tienen derechamente tipificadas esas figuras como un delito netamente informático”, agregó el detective.
El comisario Mauricio Díaz, además, precisó que hay dos situaciones que hay que separar en el caso de ser víctima de algún delito digital. “Un caso es la persona que se ve afectada por la sustracción de algún fondo o el perjuicio económico, en la gran mayoría de los casos lo que quiere es recuperar ese dinero. Esa instancia debe realizarse con su entidad financiera. Por otra parte, está la denuncia del delito que viene a establecer o a generar las instancias pertinentes para buscar culpabilidades en relación con el hecho punible. Estas son dos situaciones que la personas debe desarrollar de manera paralela”, detalló el especialista.
De generarse cambios en la normativa legal, Díaz mencionó que podría haber importantes mejoras en las condiciones para realizar las indagatorias de este tipo de ilícitos. “El día de mañana quizás tendríamos herramientas legales más fuertes para que el delito se vaya a perseguir en relación con la transnacionalidad que puede tener”, comentó.
Asimismo, Díaz espera que con la posible actualización de la ley, las transgresiones tengan penas aparejadas mucho mayores, “lo que generaría, idealmente, un desincentivo en la creación de este tipo de delitos y también una educación por parte de los usuarios, que ha día de hoy se está haciendo fuertemente a través de las redes sociales, tanto de la Policía de Investigaciones como de las entidades financieras”, sentenció el policía civil.