Durante la última semana hemos sido testigos del agresivo ataque cibernético del que ha sido víctima el Servicio Nacional del Consumidor en Chile.
El Sernac sufrió una vulneración de su base de datos, interrumpiendo el funcionamiento de sus sistemas y servicios en línea durante varios días. La situación llevó a que el Equipo de Respuesta a Incidentes de Seguridad (CSIRT) del Ministerio del Interior, emitiera una alerta a todos los servicios públicos con recomendaciones para evitar ser sujeto de nuevos ataques.
De acuerdo con datos de Fortinet, la región de América Latina y el Caribe sufrió 137 mil millones de intentos de ciberataques entre enero y junio de este año, un aumento del 50% en comparación con el mismo período del año pasado (con 91 mil millones).
En un contexto a nivel mundial, en el que este tipo de ataques se ha vuelto cada vez más frecuente, en Chile se publicó en junio pasado la Ley 21.459 sobre Delitos Informáticos. Con ella, el país busca avanzar en el cumplimiento de las disposiciones del tratado de Budapest del cual es parte desde 2017 y que tiene por objetivo establecer una política penal común y alineada entre países, orientada a la protección de la sociedad contra la ciberdelincuencia, para lo que es necesario una tipificación similar de los delitos informáticos y unificación de normas procesales en las naciones, además de potenciar una cooperación internacional entre Estados.
La nueva normativa chilena, que entra vigencia el 20 de diciembre de 2022, amplía el espectro penal para los delitos informáticos, tipificando un catálogo de ocho nuevos ciberdelitos, especificando tipos penales que se encontraban incluidos en la Ley N°19.223, además de considerar circunstancias atenuantes especiales.
Entre los aspectos más relevantes de la nueva norma destacan:
• El establecimiento de la responsabilidad penal de la persona jurídica cuando la organización no ha implementado modelos adecuados para la prevención de delitos.
• El requerimiento de la existencia de beneficio para la empresa, para que se configure la responsabilidad penal.
• El reconocimiento del hacking ético.
• La posibilidad de que el Ministerio Público pueda requerir a cualquier proveedor de servicios, previa autorización judicial, que entregue la información que tenga almacenada relativa al tráfico y el contenido de comunicaciones de sus abonados.
• La constitución de circunstancias agravantes de los delitos para quienes, en ejercicio de su cargo o función, abusen de una posición de confianza en la administración del sistema. informático o custodia de los datos informáticos contenidos en él.
• La obligación de las partes de tipificar delitos contra la integridad de los sistemas o datos informáticos y respecto de su contenido, así como establecer procedimientos que faciliten la investigación penal, principalmente a través de exigir la conservación, registro, interceptación y confiscación de los datos almacenados.
La Ley 21.459 impacta profundamente la manera de operar de las empresas en todas sus dimensiones, tanto a nivel estratégico como reglamentario. Es importante actualizar la Matriz de Riesgo, revisar los controles existentes y levantar los nuevos que se identifiquen asociados a estos delitos.
En Hayes & Corp apoyamos a las compañías en el desarrollo de un Modelo de Prevención de Delitos Informáticos, de manera que exista un sistema que se haga cargo de las brechas de seguridad y que trate a tiempo los incidentes.