La preocupación por la ciberseguridad no es algo nuevo. Ya en los años 40 se especulaba la potencial existencia de virus informáticos y en los 50 surgieron los llamados «phone phreaks», quienes lograron obtener los protocolos de las empresas telefónicas para hacer llamadas gratuitas, evitando así los cargos por llamadas de larga distancia[i]. Lo novedoso, más bien, está en el tratamiento de la ciberseguridad, la que -al menos desde 2001[ii]– ha tenido una clara preocupación a nivel de estados.

Tradicionalmente, la ciberseguridad se concebía dentro de los confines de una organización específica, identificándola como un conjunto de estrategias para salvaguardar el entorno cibernético de la entidad y sus activos digitales. Sin embargo, y con ocasión a las legislaciones especializadas, esta perspectiva restringida amerita una reevaluación más amplia. Así, resulta más apropiado definir la ciberseguridad como el conjunto de medidas, herramientas y prácticas enfocadas en la defensa de la tecnología, los datos o información y, crucialmente, las personas involucradas[iii].

Como se puede observar, la ciberseguridad está conectada con dos temas que suelen estudiarse por separado: 1. La protección de los datos (asegurar la privacidad e integridad de los datos, principalmente); y 2. El cibercrimen (actividades criminales desarrolladas por medio de computadores y redes informáticas).

En este contexto, la recientemente promulgada Ley Marco sobre Ciberseguridad (21.663) crea un estatuto jurídico especializado para las acciones estatales relacionadas con la ciberseguridad, tanto de organismos públicos como privados.

Su orientación principal es a establecer un marco regulatorio respecto de las instituciones que sean calificadas como servicios esenciales y de importancia vital, en especial a la gestión del riesgo de incidencias en ciberseguridad.

Para concretar lo anterior, se crea una agencia regulatoria denominada “Agencia Nacional de Ciberseguridad” (la Agencia), dirigida por un director elegido por alta dirección pública, con potestades normativas, interpretativas y sancionadoras -dentro de otras-, funcionalmente descentralizada y dependiente del Ministerio encargado de la seguridad pública.

La inclusión de la Agencia dentro del ámbito del Ministerio encargado de la seguridad pública sitúa a la agencia dentro del paradigma tradicional de la seguridad y -probablemente- con sus mentalidades.

En base a los descrito, se presenta un análisis con intenciones prospectivas en base a la institucionalidad presente, las experiencias pasadas, y una visión organizacional bottom-up. El objetivo es intentar predecir la operatividad de esta Agencia, con miras a que concretar un grado de anticipación a las adaptaciones que deban realizarse en cada sector afectado por sus normas jurídico-técnicas.

A lo largo de este artículo se abordarán diversas dimensiones críticas que podrían impactar la efectividad de esta Agencia, desde su independencia política y técnica, hasta la carga de trabajo.

 1. (In)dependencia política/técnica de la Agencia

Cuando se diseña una agencia reguladora, se consideran diversas opciones, cada una con sus ventajas y desventajas. Una decisión crucial es el grado de independencia política y técnica de la agencia.

El proyecto de ley inicial establecía un carácter eminentemente técnico para la Agencia, cuyo rol principal era «regular y fiscalizar las acciones de los órganos de la Administración del Estado y de entidades privadas no sometidas a un regulador o fiscalizador sectorial»[iv]. Sin embargo, a medida que el proyecto avanzaba, el enfoque técnico de la Agencia se diluía.

Inicialmente, el proyecto de ley sólo contemplaba la colaboración en la elaboración de la política nacional de ciberseguridad como una función para la Agencia. Sin embargo, el documento final la elevó a ser uno de los objetivos principales de ésta.

Dado que la Agencia debe acatar las normas dictadas por el Presidente de la República[v], incluyendo la política nacional de ciberseguridad, es natural que las acciones de la Agencia en ciberseguridad estén alineadas con la política diseñada por el Jefe de Gobierno. Esto se ve reforzado con la dependencia institucional de la Agencia con el ministerio encargado de la seguridad pública

Aunque no se menciona explícitamente el contenido que debe tener la política, los artículos 11 y 48 de la Ley sugieren que incluiría medidas específicas, planes y programas de acción para su ejecución y cumplimiento.

Ahora bien, es relevante preguntarse sobre el grado de tecnicismo esperado en esta política, teniendo en cuenta cómo se formula. Conforme a ello, debe tenerse en mente que la política nacional de ciberseguridad se determina por el Presidente con la colaboración del Comité Interministerial de Ciberseguridad, el Consejo Multisectorial sobre Ciberseguridad y la Agencia Nacional de Ciberseguridad.

La independencia de los miembros de estos organismos podría verse comprometida, ya que el Presidente designa a los miembros del Comité Interministerial (los ministros de Estado) y a la mayoría de los integrantes del Consejo Multisectorial (6 miembros). Esto podría resultar en que las recomendaciones de estas instituciones reflejen principalmente la perspectiva del Presidente en turno, y no necesariamente los aspectos técnicos esenciales.

El hecho de que el Director de la Agencia sea seleccionado a través de la Alta Dirección Pública no necesariamente mitiga este riesgo, considerando que puede ser destituido por el Presidente[vi].

Refuerza el riesgo de falta de independencia el hecho de que las normas transitorias habilitaron al actual Presidente de la República para designar al primer Director de la Agencia (Artículo 2 transitorio).

Así, el diseño institucional final parece reservar un único órgano dentro de la Agencia con un carácter técnico definido: el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional). Empero, al ser un órgano inserto dentro de la Agencia y sujeto a la jerarquía del jefe de servicio, este tecnicismo podría verse morigerado por lo que en definitiva dicte el poder central.

2. Congruencia interna institucional de la Agencia y sus posibles efectos

Para analizar una organización es fundamental entender que estas son sistemas coordinados de actividades o fuerzas, realizadas conscientemente por dos o más personas[vii]. Es imperativo definir con precisión las tareas que deben realizarse para cumplir con los objetivos. En este contexto, es crucial que los funcionarios públicos (los operadores) de la Agencia tengan un entendimiento claro de sus responsabilidades. Por ello, la coherencia interna de la institución es vital, pues impacta directamente en cómo se definen las tareas diarias, influyendo positiva o negativamente en los objetivos de la institución y sus resultados.

Conforme a ello, la coherencia potencial de la Agencia debe evaluarse en relación con los objetivos que ésta persigue (Art. 10 Ley 21.663). Estos objetivos se dividen en cuatro categorías principales: 1. Asesoría al Presidente de la República; 2. Colaboración en la protección de intereses nacionales en ciberseguridad; 3. Coordinación interinstitucional; 4. Mantenimiento de la coherencia normativa; y 5. Supervisión del derecho a la ciberseguridad. Los últimos dos objetivos no estaban contemplados inicialmente en el proyecto, el cual centraba el rol de la Agencia en el «regular y fiscalizar infraestructuras críticas»[viii].

Se observa que algunos objetivos son más ambiguos que otros. Destaca aquí el «derecho a la seguridad informática», el cual no ha sido definido por la ley, lo que deja sin claridad su contenido, quiénes pueden reclamarlo y quiénes son responsables de garantizarlo. Este derecho fue introducido sólo de manera enunciativa durante la tramitación del proyecto por el Ministerio del Interior, con motivo a que la propuesta constitucional de 2022[ix] que incluía el derecho a la seguridad informática en su artículo 88[x].

A pesar de no existir una definición del mentado derecho, sí existe la mención al “principio de seguridad informática”, consistente en que “toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado”[xi]. Esta definición no ayuda a dar contenido al derecho a la seguridad informática, pues si este derecho -al igual que el principio- se basan en la libertad “de adoptar medidas de seguridad informática”, pierde sentido una agencia que impone restricciones a esa libertad.

Conforme a lo anterior, ya se vislumbra un aspecto de la agencia que tiene el potencial de generar trabas en su actuar.

En cuanto al objetivo de proteger los «intereses nacionales en ciberseguridad», lo abstracto de esta expresión debería colmarse con la política nacional de ciberseguridad, a la cual pareciera dirigirse la acción futura de la Agencia.

Al respecto, y adicional a lo expresado en el punto anterior respecto a su posible contenido futuro, nuestro país ha establecido al menos dos políticas nacionales de ciberseguridad, las de 2017-2022[xii] y 2023-2028[xiii]. Estas plantean intenciones, misión y visión en términos -más bien- amplios y abstractos, incluyendo incluso materias que van más allá de la ciberseguridad.

En un escenario donde el quid institucional es vago y de difícil interpretación, es esencial que haya un nivel de precisión que permita a los técnicos (funcionarios públicos) entender los lineamientos institucionales. La falta de definición del derecho a la ciberseguridad y de los objetivos de la Agencia podría impactar negativamente en la creación de protocolos y estándares, la colaboración interinstitucional y, en última instancia, el funcionamiento de la Agencia.

Una preocupación sobre la materia es la atribución de la Agencia para aplicar e interpretar administrativamente las disposiciones legales y reglamentarias, incluidos los protocolos y estándares técnicos. Sin objetivos claros, la interpretación de las normas jurídicas y técnicas podría verse comprometida.

Es importante recordar que, debido al alto grado de tecnicismo de la materia, la contradicción o impugnación de los protocolos y estándares técnicos puede verse limitada en los Tribunales, ya que estos carecen del conocimiento especializado necesario. Esto es aún más relevante cuando las discusiones se centran, en su mayoría, en un concepto abstracto: el riesgo.

Es importante recordar que la supervisión de la Agencia no abarca todos los aspectos de la ciberseguridad, sino que se limita a campos específicos (principalmente servicios esenciales y de vital importancia), imponiendo obligaciones y costos que afectan los mercados y a los ciudadanos. Por lo tanto, es crucial conocer hasta dónde puede llegar la exigencia que haga la Agencia a los obligados por ella.

3. Brechas en la coordinación regulatoria

Una de las funciones de la Agencia es de coordinar las acciones de ciberseguridad, dentro de lo cual está la coordinación regulatoria.

Sobre lo anterior, el proyecto original contemplaba que cada sector regulado tuviera a su cargo un Equipo de Respuesta a Incidentes de Seguridad Informática Sectoriales (CSIRT Sectorial). Sin embargo, la ley no mantuvo esa estructura, sino que sólo se limitó a que cada sector regulado pueda “…emitir normativas generales, técnicas e instrucciones necesarias para fortalecer la ciberseguridad en las instituciones de su sector” (Art. 26 Ley 21.663). Dicho de otra forma, dejó facultativa la regulación sectorial en ciberseguridad, además de no considerar que las estructuras organizacionales no contemplan -en la generalidad- departamentos o unidades expertas en ciberseguridad como para generar esas normativas.

No existiendo incentivos, y probablemente tampoco presupuesto, para que en el corto mediano plazo se contraten especialistas en ciberseguridad en cada agencia regulatoria sectorial, es esperable que no tenga mayor aplicación la regulación sectorial en ciberseguridad, al menos en el mediano plazo.

Lo anterior puede afectar un segundo aspecto de la coordinación regulatoria: los informes que pida la Agencia cuando deba dictar protocolos, estándares técnicos o instrucciones de carácter general. Pues, al no tener contraparte técnica, los informes versaran sobre aspectos más bien del quehacer general de la agencia regulatoria consultada.

De cumplirse lo señalado, la carga laboral de la Agencia podría verse aumentada, pues debería tener especial preocupación de las afectaciones de sus normas jurídica-técnicas en cada sector (energía y combustible, agua y saneamiento, telecomunicaciones y tecnología, financiero y seguridad social, por nombrar algunos), a lo que debe sumarse la constante preocupación que ya tiene la Agencia sobre la regulación de las pequeñas y mediana empresas (Ley 20.416), a las cuales debe establecer medidas de seguridad diferenciadas (Art. 5 y 7 Ley 21.663).

Sobre lo anterior, no es baladí hacer presente que a nivel mundial existe un déficit de profesionales técnicos sobre la materia[xiv].

4. Dotación funcionaria y carga de trabajo

Si bien desconocemos hasta la fecha el número de personas que trabajaran en la Agencia, ya se vislumbra que debiera dotarse de una cantidad suficiente para ejercer las más de 22 atribuciones que se le entregaron, las que en su comienzo se limitaban a 16 aproximadamente. Esto, sin considerar las funciones de su órgano interno puramente técnico: el Equipo de Respuesta Ante Incidentes de Seguridad Informática (CSIRT Nacional).

Al menos, y gracias a las normas transitorias, tenemos conocimiento de que el CSIRT Nacional que actualmente trabaja en el Ministerio del Interior será traspasado a la Agencia. Esto nos permite pronosticar un grado de comportamiento del CSIRT Nacional, pues las experiencias pasadas de los operadores influyen en sus comportamientos futuros[xv].

Teniendo en mente la gran cantidad de funciones que se destinaron a la Agencia, es predecible que el mayor o menor número de funcionarios públicos en áreas estratégicas influirá en sus resultados, considerando que el tiempo es limitado. Como es natural, frente a necesidades múltiples -indefinidas- y recursos escasos, será crucial que la dirección de la Agencia la definición de prioridades.

Un aspecto que puede ayudar -al menos en la fiscalización- es la denuncia de particulares, hoy reconocida a través del “Muro de la Fama” del CSIRT del Ministerio de Interior[xvi],

Conclusiones

El análisis realizado sobre la Agencia Nacional de Ciberseguridad permite visibilizar la complejidad y los desafíos que enfrentará en su implementación y operatividad.

En primer lugar, la dependencia institucional de la Agencia con el Ministerio de Seguridad Pública y la designación del Director por parte del Presidente de la República generan preocupaciones sobre su verdadera independencia. Aunque la Agencia cuenta con un carácter técnico definido en ciertas áreas, como el CSIRT Nacional, su operatividad podría verse comprometida por influencias externas que escapen de las recomendaciones expertas.

En segundo lugar, la coherencia interna de la Agencia es fundamental para su éxito. La falta de definición clara de objetivos como el «derecho a la seguridad informática» y la protección de «intereses nacionales en ciberseguridad» puede generar confusión y dificultar la implementación efectiva de normas jurídicas y técnicas.

La coordinación regulatoria es otro aspecto crucial. La ausencia de una estructura clara para los CSIRT Sectoriales y la falta de incentivos para contratar especialistas en ciberseguridad en cada sector regulado pueden limitar la capacidad de la Agencia para coordinar efectivamente las acciones de ciberseguridad.

Finalmente, la carga de trabajo proyectada para la Agencia es significativa. Con más de 22 atribuciones y la necesidad de coordinar acciones en múltiples sectores, la Agencia deberá priorizar cuidadosamente sus actividades para cumplir con sus objetivos. La dotación adecuada de personal y la experiencia previa del CSIRT Nacional serán factores determinantes en su desempeño.

En resumen, la Agencia Nacional de Ciberseguridad tiene el potencial de fortalecer la ciberseguridad en el país, pero su éxito dependerá de la claridad en sus objetivos, la independencia de sus acciones y la capacidad para coordinar y gestionar eficazmente sus funciones. La vigilancia continua y la adaptación serán esenciales para enfrentar los desafíos emergentes en el dinámico campo de la ciberseguridad.

Para mayores antecedentes de la Ley Marco de Ciberseguridad, pueden visitar mi sitio fernandohalim.legal

(Santiago, 26 de mayo de 2024)

[i] Di Freeze, “The History of Cybercrime and Cybersecurity, 1940-2020”, Cybercrime Magazine (blog), 30 de noviembre de 2020, https://cybersecurityventures.com/the-history-of-cybercrime-and-cybersecurity-1940-2020/.

[ii] Veáse “The Budapest Convention (ETS No. 185) and its Protocols” En: https://www.coe.int/en/web/cybercrime/the-budapest-convention

[iii] Apuntes de “Cybersecurity in Healthcare (Hospitals & Care Centres)”, Coursera.

[iv] Artículo 8 del Mensaje del Proyecto de Ley.

[v] Dictamen 044954N04 de la Contraloría General de la República.

[vi] Art. Quincuagésimo Octavo de la Ley 19.882

[vii] James Q. Wilson, Bureaucracy: What government agencies do and why they do it (Hachette UK, 2019). p.24.

[viii] Artículo 9 del Mensaje del Presidente de la República. Biblioteca del Congreso Nacional, “Historia de la Ley 21.663 Ley Marco de Ciberseguridad”.

[ix] Biblioteca del Congreso Nacional. P. 38.

[x] Disponible en: https://www.chileconvencion.cl/wp-content/uploads/2022/08/Texto-CPR-2022-entregado-al-Pdte-y-publicado-en-la-web-el-4-de-julio.pdf

[xi] Art. 3 Ley 21.663.

[xii] Resumen disponible en: https://obtienearchivo.bcn.cl/obtienearchivo?id=repositorio/10221/26760/1/POLITICA_NACIONAL_DE_CIBER.pdf

[xiii] Disponible en: https://ciberseguridad.gob.cl/pncs-2023-2028/

[xiv]  “Cybrary and Google Cloud: Cybersecurity Training to More Learners”, Google Cloud Blog, accedido 23 de mayo de 2024, https://cloud.google.com/blog/topics/public-sector/cybrary-closing-cybersecurity-skills-gap-affordable-tools-and-training.

[xv]  Wilson, James Q.. Bureaucracy: What Government Agencies Do And Why They Do It (Basic Books Classics) (p. 70). Basic Books. Kindle Edition.

[xvi] Disponible en: https://csirt.gob.cl/muro-de-la-fama/