Jorge Atton, el primer “zar de la ciberseguridad” en Chile
Los dos episodios recientes de vulneración cibernética de datos confidenciales de clientes bancarios revelaron la feble institucionalidad y regulación local en torno a este tipo de fraudes. Es por eso que el gobierno nombró a un viejo conocido para liderar la nueva agencia o equipo de respuesta que se creará para contener las emergencias informáticas.
Antes de ayer salió humo blanco desde el Ministerio del Interior. La institución confirmó a un viejo conocido del gobierno como asesor presidencial en ciberseguridad: el exsubsecretario de Telecomunicaciones del primer mandato de Sebastián Piñera, Jorge Atton, que se define políticamente como “independiente de centroderecha”. Iniciará sus funciones mañana.
“Asesor” es su cargo, por ahora, dado que Interior está avanzando en generar una nueva institucionalidad en ciberseguridad, donde habría un jefe de servicio. Justamente Atton arriba para colaborar en la confección legal e institucional de este futuro organismo público.
Este ingeniero electrónico de la Universidad Austral de Chile sentenció a La Tercera cuando dejó de ser subsecretario en 2014 que “quiero retirarme en este buen momento. Tuve la suerte de haber estado en este gobierno, que será reconocido en el tiempo, y ahora mi gran objetivo es no trabajar en ningún cargo público ni privado nunca más”.
Las vueltas de la vida. Ahora está de regreso en la arena pública (además, entre 2016 y 2017 fue director de TVN).
Ni al ministro del Interior, Andrés Chadwick, ni al subsecretario de la cartera, Rodrigo Ubilla, les costó dar con Atton para el cargo, dado que el ingeniero es muy cercano a Ubilla y se lleva bien con Chadwick, mencionan conocidos del exsubsecretario.
Las credenciales del nuevo “zar de la ciberseguridad” son contundentes en su track record de telecomunicaciones: en su periodo como subsecretario (2010-2014) las tarifas de telefonía móvil cayeron 20% y casi 50% las de banda ancha, impulsó la modernización de los reglamentos de los operadores móviles virtuales, puso fin a la larga distancia e impulsó el 4G. Otros hitos: logró la neutralidad de redes, la portabilidad numérica, el ingreso de nuevos operadores móviles y el fin de las tarifas diferenciadas para llamadas on net y off net. ¿Cómo hizo tanto en cuatro años? Cercanos a él explican que gracias a su fuerte posicionamiento como subsecretario, donde era visto como un “ministro en las sombras”. Ese empoderamiento le permitió hacer un fuerte trabajo parlamentario para allanar el camino de las nuevas iniciativas legales en su sector, que, por cierto, lo conoce de sobra: ha trabajado en él por alrededor de 40 años, donde fue gerente general de Telefónica del Sur.
Hay quienes resaltan que Atton tiene la personalidad suficiente para exigirle a cualquier industria, como la bancaria, explicaciones si fallaron en algún proceso. Muestras suficientes de ello las dio con un sector complejo, como las telecomunicaciones.
Las claves para el cargo
El exsubsecretario calza con la habilidad comunicacional que busca el gobierno para el “zar de la ciberseguridad”, dado que gran parte de estos incidentes tienden a generar un gran pánico en la sociedad, por lo que el responsable de esta unidad deberá transmitir, de una forma no tan técnica y simple para el ciudadano común, qué problema se está presentando en una determinada crisis , qué tan riesgoso es y qué medidas se tienen que tomar para resguardar la seguridad. Tiene que dar mensajes claros.
A su vez, tiene dominio del área jurídica. Una alta fuente sostiene que “el responsable de la nueva institución tendrá que tener claro qué hacer y qué no hacer legalmente con cada incidente, dado que será recurrente consultar e interactuar con el derecho internacional. Por ejemplo, hay temas de datos personales que se podrían llevar a arbitrajes internacionales”. Con todos los cambios legales que impulsó en las telecomunicaciones, Atton da garantías.
Otro pilar buscado en el perfil del cargo es que tenga conocimiento técnico, dado que esta nueva unidad va a auditar, generar normas y en el día a día su principal herramienta será la tecnología de la información.
Urge ponerse al día
A nivel legal y regulatorio, la ciberseguridad en Chile está atrasada. Los recientes acontecimientos en este tema, donde el sector bancario ha sido el blanco favorito, develaron la desnudez institucional de nuestro país en la materia.
Para resolver este flanco abierto, el Ministerio del Interior -ahora con la ayuda de Atton- está liderando la confección de una ley marco que regulará la ciberseguridad en Chile y que creará un órgano o unidad especializada, que internacionalmente es conocida como Cert (siglas en inglés de Equipo de Respuesta ante Emergencias Informáticas). Se le dará premura a la iniciativa legal, para que pueda despacharse con alta urgencia en septiembre al Congreso.
Chile no estará inventando la rueda en esta materia, y para desarrollar este proyecto de ley se está asesorando en mesas de trabajo con asesores internacionales, como el Banco Interamericano de Desarrollo (BID), empresas privadas, distintos senadores locales, estudios jurídicos, ONG y universidades. Los referentes estudiados para esta nueva institucionalidad son España, EE.UU. e Israel.
No se ha definido si el Cert chileno tendrá el nombre de departamento, oficina, agencia, superintendencia o equipo. Sí está claro cuál será su rol principal: difundir y proteger. Alrededor de 30 personas conformarán este nuevo servicio, que monitoreará a los distintos sectores económicos, sobre todo los más susceptibles a ataques de ciberseguridad o llamados de “infraestructura crítica de la información”, tales como la generación eléctrica, sanitarias, telecomunicaciones, transporte y banca.
El rol principal de esta institución, detallan conocedores de la iniciativa, será vincular los incidentes cibernéticos cuando ocurran en alguna empresa o institución privada. Hoy no hay ninguna facultad legal para que una entidad gubernamental le pida los detalles técnicos de algún incidente informático a alguna empresa y que estos datos se distribuyan en otros sectores industriales o económicos para que puedan prevenir ese mismo fraude en el futuro.
Chile es un país atrasado en la arquitectura institucional y regulación de la ciberseguridad. Países como EE.UU., Colombia, Argentina y Venezuela tienen Cert, donde incluso pueden compartir información de incidentes para prevenirlos en caso de que traspasen su soberanía.
Hoy, cuando ocurre un incidente cibernético, como en los últimos casos en la banca, la superintendencia del ramo ha tomado un rol técnico para asegurar la continuidad operacional del sistema bancario, pero las pesquisas técnicas del incidente, es decir, qué fue, cómo lo hicieron, cómo se puede evitar, están en tierra de nadie. Ante este vacío, dentro del gobierno esperan que la nueva institución especializada de ciberseguridad le pueda recomendar de forma estandarizada al sector privado modelos de buenas prácticas y recomendaciones recogidas desde el exterior. Asimismo, deberá exigir el cumplimiento de una nueva normativa especializada en la materia.
Países como Argentina, Colombia y Venezuela ya tienen una agencia gubernamental contra los ciberataques. Chile no.
El Ministerio del Interior está preparando tres proyectos de ley sobre ciberseguridad. Uno de ellos creará la agencia especializada.