La reciente publicación de la Ley de delitos informáticos 21.459, con fecha 20 junio del 2022, que los tipifica de mejor forma, constituye un gran avance en la lucha contra la Ciberdelincuencia, dado que otorga mayores herramientas legales para combatirla y aplicarla en los casos de incidentes de seguridad. Pero a su vez, esta nueva tipificación, impone algunos desafíos que las organizaciones deben conocer y gestionar.
A nivel técnico, es conocido que dentro de la industria de la Ciberseguridad existen esfuerzos que ayudan a las empresas en el descubrimiento de brechas y protección de sus activos. Dentro de estos esfuerzos nos encontramos con las diferentes líneas de investigación y/o servicios ofensivos que se pueden contratar.
Este tipo de servicios pueden verse afectados con la nueva tipificación de delitos y, por tanto, las organizaciones tienen la obligación de hacer las gestiones necesarias, para no quedar expuestas ante acciones voluntarias o involuntarias.
En conformidad con el convenio de Budapest, que busca proteger frente a delitos informáticos, incluso más allá de las fronteras, es que la ley declara mejores formas de tipificar, penalizar y establecer cooperación en estas materias. Específicamente, este nuevo marco de ley establece los siguientes aspectos principales para el combate de la ciberdelincuencia:
Habiendo entendido los alcances de la Ley, lo siguiente es identificar los actores que están involucrados en el nuevo escenario, y que principalmente son:
En el caso de estar frente a un Ciberdelito, no hay mayor análisis o caminos posibles, las organizaciones trabajarán en la contención, erradicación y recuperación, luego en la medida que cuenten con evidencia podrán ejercer las acciones legales que les confiere la nueva ley.
En el día a día, donde se convive con intentos de ataques y ataques exitosos, existen investigadores y servicios que pueden ayudar. Como podrá darse cuenta, varios de actores involucrados pueden quedar expuestos. Siendo más específicos, incluso en el transcurso de una actividad lícita se podría infringir la Ley, por algún tipo de acción voluntaria o involuntaria que se tome como ilícita. Esto hace imperativo saber cómo resguardarse.
Alguna de las siguientes situaciones podría ocurrir en las actividades diarias de las empresas y, por tanto, es necesario evaluarlas y mitigarlas:
Ya estando informado sobre las variadas las condiciones que implica la nueva normativa, conozca los resguardos pertinentes que los actores involucrados deben tomar para no quedar expuestos.
Utilice servicios ofensivos de conocida reputación, metodología y marco normativo interno para ejecutarlos. Es importante considerar los acuerdos que el proveedor del servicio tiene con sus propios colaboradores para resguardar sus activos como Cliente.
Mientras se encuentre en fase de negociación, establezca un acuerdo de confidencialidad que lo resguarde ante la información que deba entregar para que se defina el alcance y metodología.
Sea muy claro en la especificación de los alcances de los servicios a ejecutar, considerando los aspectos de tiempos, enfoques, capacidades usadas y activos involucrados. En esta misma línea, debe ser explícito en la propiedad de los activos involucrados y obtener las autorizaciones previas del titular de otros activos considerados en su alcance.
Solicite un plan de trabajo que responda a cada uno de los puntos anteriores, el cual debe ser validado y aprobado por usted como Cliente.
Especifique el nivel de detalle y tipos de evidencias que solicitará a los servicios ofensivos, incluyendo descripción de las actividades ejecutadas para su resguardo como Cliente.
Establezca claramente los mecanismos de notificación y puntos de contacto ante hallazgos que los servicios pudieran encontrar sobre sus activos y eventualmente sobre activos de los cuales no tenga propiedad.
Si busca mayor tranquilidad o guía en esta y otras materias en su empresa, puede contar con Resilience. La unidad especializada en defensa y respuesta ante amenazas cibernéticas en un mundo digital que ofrece Entel Ocean. Podemos ayudarle a integrar los servicios consultivos y soluciones tecnológicas de seguridad que su negocio necesita, para que tenga un sistema más eficiente, robusto y confiable.