Por Pablo Icaza Noguera (*)

Cuando leo una publicación que afirma que “Chile ocupa el primer lugar de América Latina en ranking de ciberseguridad y se ubica en el lugar 33 en el mundo (http://www.poptopnews.com/p/5818516/chile) me asombro por el hecho que claramente no se ajusta a la realidad, ya que conozco varias realidades del Chile de hoy, que distan mucho de ser ciberseguros, de hecho los bancos (Chile, Santander, Estado, Consocio) que recientemente han sido seriamente vulnerados.

Desafortunadamente,  Chile esta pleno de ejemplos de desarrollos débiles, vulnerables y mal diseñados en todo ámbito de empresas tanto privadas y sobretodo estatales. ¿Por qué digo ésto?  Por el simple hecho de que yo uso Linux a todo nivel o sea tanto a nivel servidores (desde 2005), como a nivel de escritorio (desde 2014) y la razón de esto es que las ventajas sobre Windows y otras plataformas son múltiples: costos, estabilidad, flexibilidad, actualización, seguridad y libertad de uso.

En cuanto a costos, Linix no tiene ningún costo la licencia porque es OpenSource(Codigo Abierto y se puede modificar), o sea mantenido por una comunidad Mundial, lo que significa que existen millones de desarrolladores y usuarios exigentes que prueban el código, y por ende es de mucho mejor calidad, y utiliza mucho menos recursos (Cpu, Memoria, Discos, etc) que Windows, por lo que en maquinas mas baratas (de menos capacidad), o antiguas funciona mucho mejor con Linux  que con Windows.

Además, Linux y todas sus distribuciones obedecen a un sistema operativo muy estable. Es capaz de manejar enormes cantidades tanto de datos como de procesos de una manera muy fluida y sin presentar ningún tipo de fallos. Aunque Windows en un principio ofrece fluidez (siempre y cuando no tenga virus), con el paso del tiempo requiere de diversas acciones para volver a ser ágil, como reiniciarlo, la desfragmentación del disco duro, o reinstalacion del SO.

La flexibilidad de Linux permite optimizar el uso de todos los recursos, lo cual es un punto a valorar en el entorno corporativo y ademas es portable lo que significa que puedes utilizarlo en diferentes Servidores o Noteboks o Pcs  sin tener que reinstalarlos.

También es muy importante la actualización. Linux es un sistema operativo concebido por y para la comunidad. Los desarrolladores siempre están pendientes de las sugerencias de los usuarios para atender a sus necesidades. De esta manera, es habitual que lance una o dos actualizaciones anuales.

La seguridad es uno de los puntos más importantes a la hora de escoger el sistema operativo de un servidor. Los Virus en Linux no funcionan, y por ende no se requiere de una pieza adicional (Antivirus) que agrega desgradacion en la plataforma. Si en Windows constantemente existen virus que vulneran la seguridad, eso significa que la seguridad de este sin instalar varias herramientas adicionales(que ralentizan el SO) pero que se requieren es frágil.  La Fortaleza de seguridad de Linux se basa en su filosofía de diseño y en la rapidez en que la comunidad remedia los problemas de seguridad que afectan al OS. En el caso de Windows existen problemas de diseño que aún persisten.

Los servidores y/o Escritorios con Linux ofrecen una gran libertad de uso porque los usuarios pueden utilizar y modificar todo aquello que deseen para satisfacer sus necesidades. En cambio, el servidor Windows es un entorno más cerrado, con algunas cláusulas que limitan la libertad de movimiento de los usuarios lo que rigidiza su uso, lo limita a usar otros softwares que podrían ser costosos y el usuario esta a merced de la compañía propietaria.

Ademas yo como usuario a nivel de escritorio de Linux, me he encontrado en múltiples ocasiones en la web con complicaciones inútiles, como que aplicaciones o sistemas me exigen un browser en particular como Microsoft Explorer (que solo se puede ejecutar en Windows, lo que vulnera el concepto de browser codigo abierto). Estas no deberían suceder, pero ocurren debido a la masificacion de las aplicaciones web. El concepto de “browser”,  que sirve para navegar en la web,  tiene su origen como un producto  multiplataforma en cuanto a navegación, o sea que permite ejecutar aplicaciones web directamente sin importar la  plataforma que el  usuario use. Android, por ejemplo, es una distribuicion Linux o sea código abierto.

Ciberseguridad en Chile

A nivel del estado chileno, la política de CiberSeguridad es cambiante según cada gobierno, tema que claramente es manejado políticamente y no con la rigurosidad técnica que requiere y  donde el Lobby de Microsoft  es potente.

El  PNCS (Política Nacional de Ciberseguridad)  es un documento centrado en los derechos fundamentales del ciudadano (postura política), al igual que la estrategia de la UE (Union Europea). En Chile se le llama política a la estrategia. El comité del PNCS estaba presidido, durante el Gobierno de Bachelet,  por el Ministerio del Interior (Subsecretario Mahmud  Aleuy) y el Ministerio de Defensa (Marcos Robledo, Periodista).  Después del cambio de gobierno, el antiguo comité fue disuelto y se creó uno con nuevos integrantes, lo que produjo un estancamiento a comienzo de año. La implementación de la política ha sido un gran problema ya que no existe una institucionalidad potenciada a la ciberseguridad ni presupuesto claro.

Este proceso estatal no ha estado libre de desencuentros ya que al comienzo tanto los Ministerios de Interior como de Defensa solo pensaban en cibercrimen y no en la ciberseguridad (es más el subsecretario de Interior realizaba apariciones mediáticas confundiendo estos dos conceptos), algo que a la fecha sigue ocurriendo (se confunden los alcances),

Cuando la PNCS estaba a punto de publicarse, surge la lucha de poder entre Defensa e Interior, por el control de la institucionalidad. Después del cambio de gobierno, el antiguo comité fue disuelto y se creó uno nuevo con otros integrantes, lo que produjo un estancamiento a comienzo de este año. La implementación de la política ha sido un gran problema ya que no existe una institucionalidad real y efectiva potenciada para ciberseguridad ni tampoco existe un presupuesto claro.

Aporte adicional de la Redacción central de KRADIARIO:

Bajo el actual gobierno se intenta establecer un Sistema Nacional de Ciberseguridad, como lo señaló el subsecretario del Interior Rodrigo Ubilla (izquierda)y el asesor presidencial de ciberseguridad, Jorge Atton (derecha),  en entrevistas con el diario El Mercuirio.

El sistema comprenderá  la tipificación de los delitos en relación al famoso Convenio de Budapest, el primer tratado internacional en materia de ciberseguridad. Aunque entró en vigencia en 2004, Chile lo ratificó en 2017.

Una nueva Ley Marco de Ciberseguridad,  mencionada por Atton en El Mercurio,  va a definir una serie de estándares y obligaciones que deberán cumplir los sectores público y privado, y “establece un marco de gobernanza definitivo que tendrá la ciberseguridad dentro del Estado. Y en el próximo año vendrá el proyecto de la Ley de Infraestructura Crítica para Sistemas de Información”.

Ubilla, por su parte, acotó que “habrá un coordinador del Sistema Nacional de Ciberseguridad, que dependerá del Ministerio del Interior, y que articulará toda la red dividida en tres grandes áreas: el Centro de Incidencias de Defensa, que corresponde al Ministerio de Defensa; el Centro Nacional de Incidencias Informáticas, que corresponde al Ministerio del Interior, y el Centro de Incidencias Industriales de Sectores Estratégicos, que dependerá del Ministerio de Economía (…) Economía se preocupará de que la empresa privada cumpla con los estándares de seguridad definidos; Interior con el sector público, y Defensa con las Fuerzas Armadas.

En síntesis, se crearán estándares y exigencias para funcionar dentro del país. También se tipifican conceptos y se le asignarán penas a los delitos dependiendo de la relevancia. Ubilla agrega: “Yo creo que hay un alto consenso con los congresistas de que las sanciones por este tipo de delitos deben ser altas”.

En todo caso, en el Convenio de Budapest, hay un estándar internacional establecido. Por ejemplo, se plantean los delitos mediante los siguientes puntos: Acceso ilícito, Interceptación ilícita, Ataques a la integridad de los datos, Ataque a la integridad del sistema, Abuso de los dispositivos, Falsificación informática y Fraude informático.

Otro tema importante es que la ley exigirá a las empresas privadas que resguarden la información personal. Así lo explica Atton: Uno son los datos personales, que están resguardados. Lo segundo son las transacciones personales. La ley de datos personales, lo que hará son una serie de exigencias, por eso es muy importante. Independientemente de eso, cada sector debe tener una normativa muy específica. Hay una que se está actualizando y vamos a incorporar en la normativa cuál es la información que debe ser resguardada por los clientes. Lo mismo para energía y otros.