Los ciberataques corresponden a una de las formas modernas de ataque más extendidas. Se caracterizan, entre otras cosas, por estar desarrollados de manera tal que sea complejo identificar su origen y su real intencionalidad. Es por esto que en los últimos años, los ciberataques han sido objeto de creciente preocupación por los países y empresas. Sin embargo, el problema sobre cómo abordarlo desde la dimensión normativa y también de política pública sigue siendo una discusión abierta.

La tecnología ha permitido que este tipo de ataques evolucione de simples, básicos y con fines de fama o ganar dinero a ataques coordinados, complejos y con interés de desestabilizar sistemas e incluso países. Ejemplo de esto, fue el ataque registrado en el año 2007 a Estonia, los cuales según se logró consignar, provinieron de Rusia (Martínez de Rituerto, 2007). La relevancia de éste radica en que fue el primer ciberataque del cual se comprobó la utilización de un ataque de denegación distribuido de servicio (DDoS) de un país a otro con fines desestabilizadores (Fernández de Lis, 2007). Además, este caso cobra más relevancia dado el nivel de digitalización y fortalecimiento del gobierno digital (e-government) que Estonia implementa desde 1997, por lo que el grado de afectación fue mayor que si el ataque hubiese sido hacia un país con un nivel de desarrollo de e-government menor.

Más allá de los detalles de este conflicto, resulta relevante considerar cuatro elementos que hacen interesante este ataque para el contexto nacional:

  1. Corresponde a un ataque de una nación a otra por medios “no tradicionales”.
  2. Se enmarca dentro de un conflicto político-histórico entre naciones.
  3. El ataque no es reconocido por la parte que es considerada culpable.
  4. El ataque DDoS fue de tal magnitud que fue considerado como un caso de amenaza a la seguridad nacional al dañar la infraestructura crítica –pública y privada– de todo el país (Echeverri, 2016).

A la fecha, Chile no registra ataques de tal magnitud. Aunque la realidad nacional en cuanto al desarrollo de un e-government no alcanza el nivel estonio, es considerada una meta a alcanzar a mediano plazo.

En este escenario, la duda que emerge es si Chile está preparado técnica, legal y militarmente para avanzar hacia este estadio de desarrollo. La intencionalidad de esta minuta no permite analizar cada una de estas dimensiones, pero sí al menos revisar las más relevantes en la dimensión legal y suponer algunos escenarios.

La Ley Nº 19.223 de 1993 que tipifica figuras penales relativas a la informática no ha sido actualizada desde su promulgación (Zapata, 2018). Esta situación la ha convertido en una norma insuficiente, desactualizada y, también, ineficaz –dada su naturaleza– para ciberataques masivos de una nación externa a Chile.

El Convenio de Budapest sobre la Ciberdelincuencia –del cual Chile es parte desde el año 2017–, además de dictar una serie de normas, permite fijar un estándar y, por tanto, obliga a actualizar la ya mencionada ley 19.223, lo cual a la fecha no ha sucedido.

La Política Nacional de Ciberseguridad (en adelante PNCS) se fundamenta en la necesidad de contar “con un ciberespacio libre, abierto, seguro y resiliente” (Gobierno de Chile, 2016: 9). Entre sus principales razones de existencia se encuentra la protección de la seguridad del país y la necesidad, por tanto, de mantener operativo los servicios básicos brindados por órganos públicos y privados.

De esta forma, la PNCS fija lineamientos claros y útiles, aunque por su propio alcance no determina escenarios políticos-militares en caso de ataques masivos como el vivido en Estonia. De esta forma, en un escenario de ataque interno o externo en el cual se afecte infraestructura crítica ¿se estaría poniendo en riesgo la seguridad nacional? ¿Cuál sería la acción correcta por realizar?

El artículo 32 de la Constitución Política de Chile podría entregar una respuesta para estos casos. Este artículo trata sobre las atribuciones especiales del Presidente de la República y en su numeral 5° menciona que el Presidente puede “[d]eclarar los estados de excepción constitucional en los casos y formas que se señalan en esta Constitución”. Los estados de excepción permiten en la práctica restringir o limitar el ejercicio de los derechos y garantías consagradas en la Constitución en situaciones de: “guerra externa o interna, conmoción interior, emergencia y calamidad pública, cuando afecten gravemente el normal desenvolvimiento de las instituciones del Estado”, los cuales se reflejan en estado de asamblea, sitio, catástrofe o emergencia según sea pertinente.

Más allá de los detalles de cómo se debe declarar cada estado y qué derecho limita o restringe, lo relevante es evidenciar que, aunque la norma no haya sido, probablemente, pensada para casos de ciberataques, su interpretación sí permite entenderla en este contexto.

Es posible llegar a un conflicto armado –o mantener en un ciberconflicto– por causa de un ataque externo; es posible una situación de conmoción interna en la medida de un ataque como el de Estonia; es posible un estado de catástrofe, por ejemplo, si el ataque afectara alguna represa o interfiriera el sistema eléctrico nacional; y es totalmente posible una situación de alteración del orden público a raíz de un ciberataque.

Como breve ejercicio de análisis, se resalta lo siguiente. La Ley Orgánica Constitucional 18.415 de los estados de excepción fue promulgada en 1986. Ella menciona, por ejemplo, que “[p]ara decretar el estado de asamblea bastará la existencia de una situación de guerra externa y no se requerirá que la declaración de guerra haya sido autorizada por ley”, sin embargo, como muestra la experiencia internacional la mayoría de las veces resulta complejo adjudicar un ataque y en un contexto diplomático, se debe tener especial cuidado en la adjudicación. De esta forma, en la demora de determinar fehacientemente de dónde proviene el ataque es probable que no se logre decretar el estado de asamblea y que los efectos del ataque no puedan controlarse o aminorarse. Este tipo de situaciones lleva a la reflexión sobre la necesidad creciente de evaluar cómo integrar los ciberataques en la norma.

La dimensión propia de los ciberataques y la complejidad que plantean, hace meditar sobre la especificidad de la ley para estos casos y también sobre la necesidad de actualizar la norma más allá de, por ejemplo, los plazos y quién dicta los estados de excepción constitucional considerando, además, que esta prerrogativa ha estado sin grandes alteraciones desde al menos los dos últimos textos constitucionales (Ríos, 2002). Los tiempos y la dificultad de adjudicación o reconocimiento de un ataque hacen necesario contar con un texto normativo expreso sobre los ciberataques, ya que, aunque podemos interpretar extensivamente la legislación existente para hacerla aplicable a esos casos, las dificultades de dicho ejercicio no serían menores.

Resolver cuál es legislativamente la acción correcta para ciberataques masivos que afecten infraestructura crítica y que reúnen características que permitirían decretar algún estado de excepción constitucional es materia de un estudio profundo y extenso. Sin perjuicio de esto, resulta clara la necesidad de avanzar hacia la consideración explícita de estos ataques en la legislación nacional, teniendo en cuenta que no poseen las características típicas de un ataque militar, pero que pueden causar tanto o más daño que un ataque no cibernético y desatar consecuencias similares a las de un ataque armado.

Para que se produzca un avance real en ciberseguridad se requiere considerar factores técnicos, culturales y también normativos. Las medidas legislativas deben desarrollarse dentro de las recomendaciones de la PNCS y de lo suscrito en el Convenio de Budapest. Rescatar experiencia y prácticas internacionales –en especial el caso estonio– es de total relevancia, ya que permitiría fijar estándares altos de ciberseguridad basados en casos reales y con tecnología ya testeada.

Aunque la reflexión de estas medidas se enmarca en temáticas de seguridad nacional, no puede ser éste el criterio único, sino que se debe considerar, entre otras, la guía que ofrece la PNCS en cuanto centra la seguridad tanto en el Estado como en las personas, buscando asegurar la protección nacional al mismo tiempo que se hace cargo de los derechos de los ciudadanos. En otras palabras, basar una política de ciberseguridad solamente pensando en el Estado es un enfoque obsoleto, poco maduro y, sin duda, contraproducente al propósito y necesidad de generar una cultura de ciberseguridad en la población.


Citas