El resguardo de las telecomunicaciones durante una crisis

Publicación

scroll

17/4/2019

En los últimos meses, se ha tenido noticia de varios “ciberataques”. A principios de noviembre de 2018 un banco que informó a la prensa de una ofensiva que, afortunadamente, no afectó los fondos de sus clientes, gracias a “[l]a inmediata activación de los protocolos de seguridad y contingencia [que] permitió controlar rápidamente el incidente, informar a la autoridad, continuar con la operación del banco y asegurar la integridad de los datos e información”[1]. Poco antes, otro banco sufrió un ataque y luego anunció la creación de una división de ciberseguridad dentro de la organización[2]. Por su parte, desde el gobierno se lanzó, en abril de 2017, la denominada Política Nacional de Ciberseguridad (“PNC”)[3].

Pareciera ser que la “ciberseguridad” es un tema nuevo. El prefijo “ciber” con el cual se construye el término también evoca esa idea, aunque la palabra y disciplina existen al menos desde mediados del Siglo XX, y dicen relación principalmente con sistemas, redes y su control[4]. La ciberseguridad no es un tópico novedoso en el ámbito bancario ni menos en el sector de las telecomunicaciones. En este último sector, desde hace un tiempo existe consenso en que debe existir una infraestructura capaz de prevenir y resistir ataques de cualquier índole que afecten la continuidad de los servicios soportados por aquélla. Así, el problema de la ciberseguridad se ha abordado desde hace un tiempo, pero bajo una etiqueta distinta: la de las infraestructuras críticas (“IC”).

A nivel internacional, la Unión Internacional de Telecomunicaciones, órgano especializado en telecomunicaciones de la Organización de las Naciones Unidas (“ONU”), publicó una primera versión de su manual sobre seguridad de las telecomunicaciones y las tecnologías de la información el año 2003. En el prefacio de dicho documento se da cuenta de esta situación:

“Aunque es posible que la importancia cada día mayor de la seguridad digital se deba a los titulares relacionados con la diseminación de virus informáticos por correo electrónico, o sobre los ciberdelincuentes que roban números de tarjetas de crédito, también es cierto que esto constituye sólo una parte de la historia. A medida que los ordenadores y las redes informáticas se convierten en parte importante de nuestra vida cotidiana, tal como el suministro de agua y electricidad, el tema de la seguridad digital no concierne solamente a los expertos sino también en un grado cada vez mayor a los gobiernos, las empresas y los consumidores. Siendo así, y al haber tantos aspectos comerciales y privados que dependen de los computadores y las redes, es evidente que estos sistemas han de funcionar con seguridad”[5]

A nivel nacional, desde el año 2012 Chile cuenta con una regulación detallada sobre infraestructuras críticas en el sector de telecomunicaciones. El evento que motivó esta normativa fue el terremoto que azotó al país el 28 de febrero de 2010.

Diez meses después de la tragedia, la ley N°20.478 de 2010 agregó el título VIII “De las Infraestructuras Críticas de Telecomunicaciones” a la Ley 18.168, General de Telecomunicaciones (“LGT”), que encomienda al Ministerio de Transportes y Telecomunicaciones (“MTT”), a través de la Subsecretaría de Telecomunicaciones (“Subtel”), elaborar un plan de resguardo de las infraestructuras críticas de telecomunicaciones “con el objeto de asegurar la continuidad de las comunicaciones en situaciones de emergencia resultantes de fenómenos de la naturales, fallas eléctricas u otras situaciones de catástrofe” (artículo 39 A de la LGT). Para el cumplimiento de dicha tarea, el legislador le entregó al regulador nacional las siguientes atribuciones: (i) coordinar la implementación, desarrollo y mantenimiento de un plan de resguardo de las IC; (ii) declarar como infraestructura crítica, por medio de un procedimiento administrativo, las redes y sistemas de telecomunicaciones cuya interrupción, destrucción, corte o fallo generaría un serio impacto en la seguridad de la población afectada; y, (iii) establecer medidas de resguardo que deberán adoptar las compañías para la operación y explotación de sus respectivas IC[6] .

Dos años más tarde, el regulador sectorial dictó el Decreto Nº60, de 2012, que aprueba el Reglamento sobre IC. El Reglamento establece, entre otros, cuándo y cómo Subtel ejerce las facultades ya señaladas. Por ejemplo, se contempla un procedimiento con arreglo al cual se declara que cierta infraestructura de una compañía de telecomunicaciones es “crítica”, calificación administrativa que implica, entre otros efectos, la imposición de deberes específicos en atención, precisamente, a la importancia de esos elementos para asegurar la continuidad de los servicios. Así, se exige que la infraestructura más importante (calificada de Nivel 1) posea una autonomía energética de 48 horas (artículo 34 del Decreto N°60). El Reglamento también establece un sistema de reportes entre la compañía afectada por un evento que pone en riesgo su continuidad operacional y la autoridad reguladora.

En el marco de la discusión e implementación del PNC, puede ser interesante revisar cómo ha funcionado este sistema, y evaluar su utilización en otros sectores en los que los servicios se proveen a través de una red susceptible de ataques (v.gr., generación eléctrica, sanitarias, transportes, banca, etc.).

Uno de los objetivos de la PNC es la identificación y jerarquización de las infraestructuras críticas de la información de diferentes sectores, entre los cuales, se encuentran las telecomunicaciones[7];

Un exasesor presidencial de ciberseguridad, ante una pregunta relativa a cómo se dará la colaboración público-privada en el proceso de desarrollo de una política nacional de seguridad, manifestó que ello se realizará“[a] través del intercambio de información, de la adopción de normativas y de modificaciones de decretos, como el decreto 60 [Reglamento sobre IC], que tiene un impacto en las telecomunicaciones, porque esa es la base de la ciberseguridad”[8].

Por de pronto, un aspecto que podría considerarse es que la normativa sectorial sobre IC no impone estándares específicos de seguridad, lo que permite a los sujetos obligados −v.gr. compañías de telecomunicaciones− contar con cierta flexibilidad para adoptar, con la supervisión de la autoridad, las medidas más acordes con su estructura organizacional. Ello por cuanto son las compañías las que, en principio, están en la mejor posición para determinar los riesgos a los que se expone su infraestructura, así como las formas más idóneas de enfrentarlos.

En este sentido, un caso interesante de estudio es la regulación de telecomunicaciones británica. El 2017, la Ofcom (por sus siglas en inglés “Office of Communications”) publicó una nueva versión de la guía relativa al cumplimiento de las obligaciones de seguridad y resiliencia de la red de telecomunicaciones contenidas en las secciones 105A y 105B de la Communications Act de 2003[9]. Si bien esta guía no tiene efectos vinculantes[10], nos parece que es interesante destacar su enfoque flexible sobre estándares de seguridad. En efecto, la Ofcom señala en la guía que si las compañías adoptan ciertos estándares propuestos en la guía Technical Guideline of Security Measures[11], tomados, a su vez, de la norma ISO 27011:2013 relativa a la seguridad de la información “(…) es probable que un CP [proveedores públicos de redes comunicaciones o servicios] con una certificación vigente de la norma ISO 27001 con un alcance relevante ya haya considerado y alcanzado la mayoría de los objetivos de seguridad de la guía de ENISA”[12]. En cualquier caso, tales certificaciones no son un requisito para el cumplimiento de la sección 105ª de la norma británica.

Otra experiencia internacional que merece atención es la española. El 2015 la Secretaría de Estado de Seguridad por medio de la resolución de 8 de septiembre de 2015, aprobó los contenidos mínimos de los planes de seguridad del operador y de los planes de protección específicos, que deben ser elaborados por los operadores calificados como críticos, de acuerdo con la normativa española sobre infraestructuras críticas[13]. Al igual que en el caso británico, la autoridad hispana adoptó un enfoque flexible sobre estándares de seguridad, pues no se exige la adopción de algún estándar en particular. En efecto, en el caso que un operador crítico “(…) haya diseñado un sistema de gestión y/o evaluación de la seguridad de las tecnologías de la información, de acuerdo a alguna estándar de referencia internacional”, la normativa se limita a establecer que “(…) se debe indicar éste, así como las certificaciones que posee dicho sistema y organismo certificador”[14].

Por último, el modelo público-privado adoptado en EE.UU pareciera confirmar la razonabilidad de un enfoque flexible sobre seguridad de las redes. El Consejo de Interoperabilidad y Confiabilidad de la Red o NRIC (por sus siglas en inglés Network Reliability and Interoperability Council), compuesto por los principales ejecutivos de las compañías de telecomunicaciones estadounidenses y representantes de las autoridades, desarrolla buenas prácticas a fin de minimizar las interrupciones de servicio y asegurar la continuidad del servicio en situaciones de crisis, basadas en los principios de redundancia e interoperabilidad[15]. Estos estándares no son vinculantes paras las compañías y todos los años la NRIC revisa las buenas prácticas recomendadas en el pasado y se proponen otras nuevas[16].

Estos tres ejemplos darían cuenta de que un enfoque flexible en materia de estándares de seguridad es una política razonable. Sin embargo, ¿será suficiente? Quizás una vía que podría explorarse es que las compañías adopten modelos de prevención y compliance sobre ciberseguridad en sus redes, que les permitan acreditar ante las autoridades respectivas que están tomando todas las medidas necesarias para asegurar la continuidad de sus servicios. Ello podría formar parte de la PNC o ser el resultado de un esfuerzo de autoregulación de la industria.

Referencias:

[1] https://bit.ly/2SYC3cY. Consultado el 16 de abril de 2019.[2] https://bit.ly/2PZPbgP. Consultado el 16 de abril de 2019.[3] Los objetivos de la PNC proyectados al año 2022 son los siguientes: (i) contar con una infraestructura de la información capaz de resistir y recuperarse en caso de ataques e incidentes de ciberseguridad; (ii) velar por los derechos de las personas en el ciberespacio; (iii) desarrollar en Chile una cultura de la ciberseguridad en torno a la educación, buenas prácticas y responsabilidad en el manejo de tecnologías digitales, dirigida a actores públicos y privados; (iv) establecer relaciones de cooperación en ciberseguridad en el ámbito internacional; y (v) promover el desarrollo de una industria de la ciberseguridad.[4] La noción ciberseguridad tiene su origen en la década del 80 con la propagación de los primeros virus informáticos por redes interconectadas. Luego, el concepto es reemplazado por el de “seguridad de la información”, siendo aquel nuevamente reemplazado por el de ciberseguridad a mediados de los 2000, con el auge de los incidentes a través de internet y la cibercriminalidad profesional. El énfasis ahora está en que la gestión de la seguridad es algo no radicado únicamente en el ámbito técnico sino también en la gestión a nivel de gobierno corporativo.[5] INTERNATIONAL TELECOMMUNICATION UNION (ITU). La seguridad de las telecomunicaciones y las tecnologías de la información, p. 5. Disponible en: https://bit.ly/2UY6FiQ. Consultado el 16 de abril de 2019.[6] Artículo 39 A de la LGT.[7] PNC, p. 11.[8] https://bit.ly/2PZSsf6.[9] Estas normas fueron incorporadas a la Communications Act de 2003 debido a la modificación efectuada por la directiva 2009/140 a la directiva 2002/21 CE “relativa a un marco regulador común de las redes de los servicios de comunicaciones electrónicas”. Además es importante hacer presente que las empresas de telecomunicaciones no está reguladas por el marco general europeo sobre ciberseguridad (Directiva 2016/1148) sino que están sujetas a los requisitos específicos de seguridad e integridad establecidos en la Directiva 2002/21 CE, “relativa a un marco regulador común de las redes de los servicios de comunicaciones electrónicas”, modificada por la directiva 2009/140 la que dispone que los Estados miembros velarán por que las empresas que suministran redes públicas de telecomunicaciones (artículo 13 bis): (i) adopten las medidas técnicas y organizativas adecuadas para gestionar adecuadamente los riesgos existentes para la seguridad de sus redes y servicios; (ii) implementen todas las medidas oportunas para garantizar la integridad de sus redes a fin de asegurar la continuidad de la prestación de los servicios que utilizan esas redes; y (iii) notifiquen al regulador nacional competente las violaciones de la seguridad o pérdidas de integridad que hayan tenido un impacto significativo en la explotación de las redes o los servicios. El regulador nacional correspondiente podrá informar al público o exigir a las empresas que lo hagan, en caso de estimar que la divulgación de la violación reviste interés público.[10] De hecho, la autoridad sectorial británica advierte que los eventuales incumplimientos de la normativa sobre seguridad y resiliencia de redes de telecomunicaciones serán evaluados en su mérito caso a caso.[11] Elaborada por la agencia europea encargada de velar por la seguridad de las redes y de la información (EINSA, por sus siglas en inglés “European Union Agency for Network and Information Security”. Disponible en: https://bit.ly/2KF8rRU. Consultado el 16 de abril de 2019.[12] “Ofcom guidance on security requirements in sections 105 A to D of the Communications Act 2003”, versión 2017.[13] En 2011 se dictó en España la Ley 8/2011, de 28 de abril, “por la que se establecen medidas de protección de las infraestructuras críticas”, cuyo desarrollo se efectúo a través del Real Decreto 704/2011, que aprueba el “reglamento de protección de las infraestructuras críticas”. Disponibles en https://bit.ly/2ffQpBg y https://bit.ly/2KkcbYL. Consultados el 16 de abril de 2019.[14] Subsección 2.2.3. Disponible en: https://bit.ly/2Kw20AO. Consultado el 16 de abril de 2019.[15] Overview of FCC Initiatives to Protec Critical Infrastructure and Homeland Security. Remarks of FCC Commissioner Katheleen Q. Abernathy, 7 de junio de 2004, p. 2. Disponible en: https://bit.ly/2Gotp2i. Consultado el 16 de abril de 2019.[16] Por ejemplo, en marzo de 2019 la NRIC elaboró un reporte sobre buenas prácticas y recomendaciones para mitigar los riesgos de seguridad en los protocolos IP actuales (https://bit.ly/2Iw0Tyi). Y en septiembre de 2014 el mismo consejo revisó 476 buenas prácticas (https://bit.ly/2V5GWoK). El catálogo completo de buenas prácticas se encuentra disponible en https://bit.ly/2PgYUPQ. Consultado el 16 de abril de 2019.

Autores

Áreas de Práctica Relacionadas

Telecomunicaciones, Medios y Tecnología (TMT)

Conversemos

Santiago

Orinoco 90, Piso 16
Las Condes
Santiago 7560970
Chile
+562 2652 9000

Contacto

Información General

fn@fn.cl

Información de Prensa

medios@fn.cl

Para Postulaciones

postulaciones@fn.cl

Back

El resguardo de las telecomunicaciones durante una crisis

Publicación

Una vez más, sobre la importancia de la congruencia procesal en el recurso de casación en el fondo

Una vez más, sobre la importancia de la congruencia procesal en el recurso de casación en el fondo

El proyecto de Ley Marco de Autorizaciones Sectoriales y sus desafíos regulatorios

Cláusulas de nación más favorecida en la mira de la FNE, por su uso en plataformas digitales

Notas sobre las inadmisibilidades recientes de proyectos en el SEIA

Algunas directrices sobre restricciones verticales relativas a precios en la jurisprudencia reciente: el caso del RPM

El derecho al olvido: un tema que, de tanto en tanto, aparece en el horizonte

FerradaNehme asesora a ClaroVTR en negociación con On*NetFibra

Análisis de recientes casos de salidas alternativas en procesos penales contra personas jurídicas

Fernanda Skewes representa a ComunidadMujer frente al TC

A propósito de "El Orden del Tiempo", de Carlo Rovelli

¿Cómo están cambiando los estándares de diligencia frente a la IA?

Día Mundial del Consumidor: revisión de las sentencias dictadas por la Corte Suprema durante 2023 en materia de cláusulas abusivas

Colegios de abogados bajo la lupa de las autoridades de libre competencia

Una mirada a la crónica de “V13”, de Emmanuel Carrère

La Unión Europea avanza en la primera regulación sobre inteligencia artificial

Cambios en la protección del cielo nocturno

La Comisión Europea adopta una nueva comunicación sobre definición de mercado relevante

Sobre el proyecto de ley que regula las transferencias de recursos públicos a personas e instituciones privadas

Nicole Nehme y Diego Hernández en GCR Live: Law Leaders Global 2024

El legado de los Juegos Panamericanos Santiago 2023

¡Cuidado! Las prácticas históricas de una industria pueden de todos modos contravenir la libre competencia

Razones para reactivar el proyecto de Ley que regula la mediación civil y comercial

La primera de varias normas: entrada en vigencia de la modificación al Reglamento del SEIA

Día de la Protección de los Datos personales 2024

Evolución Regulatoria: Criptomonedas, ETFs y el Nuevo Paradigma Financiero en Chile

Compras Públicas y empresas del Estado: reforma y contrarreforma

Proyecto de ley que modifica la SMA: ¿fortalecimiento de la fiscalización, sanción y cumplimiento ambiental?

Proyecto de ley que modifica el Sistema de Evaluación de Impacto Ambiental: una revisión necesaria

Acerca de la sentencia del Tribunal de Justicia de la Unión Europea en el asunto European Superleague Company

Directors’, Senior Executives’ and Managers’ Fiduciary Duties in Chilean M&A Deals

Nuevo instructivo de la SMA para el cumplimiento de la REP

Alcance sobre el Proyecto de Ecoblanqueo: ¿Lavado verde de imagen o criterios ESG?

Nuevamente sobre la responsabilidad del concesionario de obra pública vial bajo la Ley del Consumidor

Una nueva estructura en Contraloría General de la República

Opinión sobre la Nueva Ley de protección de datos

La igualdad en materia sanitaria: las prestaciones médicas en salud mental

Comentarios de “Magnificos rebeldes” de Andrea Wulf

Legalizando las “vías alternativas de cumplimiento ambiental”

SEA publica nueva Guía para la Participación Ciudadana Temprana en Proyectos que Ingresan al SEIA

El cine y los nuevos modos de ver

Breve reflexión sobre la conferencia “Disclosure in Antitrust Damages Actions in Europe”

Reparando el Plan de Reparación

Cuatro nuevos Dictámenes Interpretativos del Sernac sobre la garantía legal

Actualizando los incentivos al cumplimiento ambiental

La Comisión Europea recomienda realizar evaluaciones de riesgos en cuatro áreas tecnológicas críticas

"Arbitraje de Emergencia": una nueva herramienta del CAM Santiago

Impactos del Proyecto de Ley "Sernac te Protege" y Cyber Monday

A un año del Acuerdo de Escazú

Criterios ESG: Cuidado con aquello que se publicita

Desafíos e incentivos asociados a la Ley REP de envases y embalajes

Chambers and Partners | Chile: Una Introducción al Derecho Público chileno

Chambers and Partners | Chile: An Introduction to Public Law

Humo blanco para la modernización del sistema de compras públicas

Sobre la Ley de Protección al Denunciante

El Sernac publica una nueva circular y cuatro dictámenes interpretativos

El SEA dicta instructivo sobre la vigencia y aplicabilidad de sus guías y criterios de evaluación

Las otras reformas del Proyecto de Ley sobre Delitos Económicos

FerradaNehme es reconocido por el CeCo UAI como el estudio líder en procedimientos de libre competencia en Chile

Servicio Nacional del Consumidor publica siete nuevos dictámenes interpretativos en su web

Algunas notas sobre la rivalidad entre ligas de golf y libre competencia

Comentarios sobre el proyecto de ley que modifica el régimen de sociedad conyugal

Cambia el paradigma ambiental desde infracciones administrativas a penales

Nueva ley de delitos económicos: un cambio mayúsculo en los riesgos ambientales

“Ley Uber” y protección de los consumidores

Nuevo procedimiento concursal de reorganización simplificada: una reflexión sobre eficiencia concursal y neutralidad

Sobre la posible suspensión del delito de colusión corporativa

Proyecto guiado por FerradaNehme es uno de los ganadores del Desafío Pro Bono 2022

Notas sobre el proyecto de ley de delitos económicos

Breves comentarios de Nicole Nehme sobre “Hitos de la Política de Competencia”, de Enrique Vergara

Preservación de comunicaciones corporativas ante el uso de plataformas de mensajería instantánea y dispositivos personales

Audiencia simulada del equipo U. de Chile para el Moot Madrid 2023

Día Mundial del Agua

Programas de cumplimiento y daño ambiental, ¿compatibles?

Avances en la implementación de la ley de eficiencia energética

Dos nuevos profesores de la Universidad de Chile

Nueva guía metodológica para la consideración del cambio climático en el SEIA

Ejercicio de derechos ARCO y su tramitación