Aprendizajes tras el ciberataque a SolarWinds

En diciembre de 2020 la empresa SolarWinds denunció un ciberataque masivo que afectó a clientes como Microsoft. Los ciberdelitos seguirán creciendo mientras también lo haga el entorno digital. Este caso sirve de alerta para debatir la Política Nacional de Ciberseguridad.

En diciembre de 2020 la industria de la ciberseguridad ocupó los titulares de todo el mundo debido a uno de los hechos más graves del último tiempo. La compañía norteamericana SolarWinds, abierta en bolsa y proveedora de servicios de gestión de redes, sistemas e infraestructura tecnológica, fue víctima de un ciberataque de enormes proporciones. La empresa tiene cerca de 300 mil clientes, tanto del sector público como privado (entre ellos, más de 425 de las empresas listadas en Fortune 500). El ciberdelito fue efectuado mediante la inserción de archivos maliciosos en las actualizaciones de su software Orion.

Con el ciberdelito reportado a la autoridad y otras medidas como la creación de parches y la nueva actualización del software Orion, es interesante aproximarnos a este incidente desde la perspectiva de los estándares en materia de compliance. Es fundamental contar con un equipo de crisis multidisciplinario que defina las acciones de mitigación y de continuidad de servicio, el ámbito de la investigación, coordine los peritajes de los expertos, imparta instrucciones, coordine las notificaciones a las autoridades, al público en general y a los trabajadores, ejerza las acciones judiciales, entre otras labores.

Desde la perspectiva de la prevención, será sumamente útil contar con modelos de cumplimiento, certificaciones y demás documentos que acrediten la debida diligencia en la prevención de acceso no autorizados a sus sistemas, que la compañía ha efectuado con anterioridad al incidente. Ello tendrá un valor que se reflejará en una mejor coordinación de los equipos involucrados en la investigación, reacción del ataque y de resiliencia. Será una ruta para seguir de acuerdo con los planes de contingencias (como los de disaster recovery), a mediano y largo plazo. Una cultura organizacional orientada a la prevención y capacitación frente a este tipo de circunstancias.

El caso SolarWinds sirve de alerta para el debate legislativo en nuestro país, especialmente en relación con la Política Nacional de Ciberseguridad y con la discusión del proyecto de ley sobre delitos informáticos en la Cámara de Diputados, respecto del cual aún no hay consenso respecto de cuestiones como la figura del "hacker ético", el alcance de conceptos como la "actuación deliberada" o ciertas normas procesales en la investigación de este tipo de delitos.

Los ciberataques e incidentes de seguridad seguirán creciendo en tanto el entorno digital lo siga haciendo: ya han aumentado en un 40% tras el inicio de la crisis sanitaria. Urge avanzar con la modernización de las normas que regulan esta forma de ilícitos, en línea con los compromisos asumidos por Chile al ingresar a la OCDE y con las mejores prácticas internacionales.

Jaime Urzúa
Asociado
Alessandri