Un ataque de ransomware de «Nivel 4» afecta los sistemas del ISP, considerada infraestructura crítica, interrumpiendo sus servicios en línea.
Santiago, Chile – El Instituto de Salud Pública de Chile (ISP) se encuentra lidiando con una contingencia informática de gran envergadura, clasificada internamente como un incidente de ransomware de «Nivel 4». Esta situación ha obligado a la entidad a suspender todos sus canales de atención en línea desde la mañana del pasado viernes 27 de junio, manteniéndose la inoperatividad hasta este lunes. La Agencia Nacional de Ciberseguridad (ANCI) ha confirmado que está colaborando estrechamente con el ISP para resolver el incidente.
El ISP, considerado una infraestructura crítica del país debido a su rol fundamental en la salud pública, desde la fiscalización de medicamentos hasta el control de enfermedades, emitió un escueto comunicado a primera hora del viernes a través de sus redes sociales. En él, informaban sobre la «contingencia informática» y la suspensión preventiva de sus sistemas de registro y consulta en línea, sin especificar la naturaleza del ataque.
Ransomware: ¿Qué significa un Nivel 4?
El término ransomware se refiere a un tipo de software malicioso que los ciberdelincuentes utilizan para cifrar los archivos de una organización, impidiendo el acceso a ellos y exigiendo un pago (rescate) para su liberación. Que un incidente de este tipo sea calificado como «Nivel 4» es sumamente preocupante, ya que indica una afectación crítica y generalizada dentro de la organización.
En el contexto chileno y las clasificaciones de incidentes de ciberseguridad, un Nivel 4 en ransomware implicaría:
- Impacto masivo: Los ciberdelincuentes habrían logrado comprometer múltiples servidores, sistemas clave y una gran cantidad de equipos, interrumpiendo severamente las operaciones diarias del ISP.
- Posible exfiltración de datos: Además del cifrado, existe una alta probabilidad de que información sensible y confidencial haya sido robada por los atacantes. Esto podría incluir datos personales de usuarios o información relevante para la salud pública, lo que agrava aún más la situación.
- Interrupción prolongada: La recuperación de un ataque de esta magnitud es compleja y puede llevar días o incluso semanas, generando pérdidas significativas y afectando la capacidad del ISP para cumplir sus funciones esenciales.
- Necesidad de reconstrucción: Es posible que parte de la infraestructura deba ser reconstruida desde cero, lo que implica un gran esfuerzo técnico y de recursos.
Fuentes del ISP confirmaron al diario La Tercera que los servidores del organismo fueron afectados por el incidente, lo que subraya la gravedad de la situación. La ANCI, por su parte, indicó que recibió el reporte «por un incidente de ciberseguridad de efecto significativo» en la madrugada del viernes.
Ataque a Infraestructura Crítica: Consecuencias Legales en Chile
Atacar una infraestructura crítica como el ISP no solo es delicado, sino que acarrea graves consecuencias legales en Chile. La Ley N° 21.459, conocida como Ley Marco de Ciberseguridad, junto con otras normativas, establece un marco para la protección de este tipo de infraestructuras y sanciona los ciberataques.
¿Es delicado atacar la infraestructura crítica? Sí, es extremadamente delicado. Un ataque a infraestructura crítica, como el ISP en este caso, puede tener un impacto devastador en la seguridad nacional, la economía y el bienestar de la población. En el ámbito de la salud, como es este caso, un ciberataque puede comprometer la atención de pacientes, la gestión de emergencias sanitarias y la disponibilidad de datos vitales para la toma de decisiones en salud pública.
Consecuencias de un ataque a infraestructura crítica: Las consecuencias pueden ser amplias y graves, incluyendo:
- Interrupción de servicios esenciales: Como se observa con la inoperatividad de los canales del ISP, los ciudadanos no pueden realizar trámites críticos.
- Pérdida o filtración de datos sensibles: Esto puede vulnerar la privacidad de las personas y generar desconfianza en las instituciones.
- Impacto económico: Costos asociados a la recuperación de sistemas, posibles pagos de rescates (aunque no recomendados), pérdidas por interrupción de operaciones y el daño a la reputación.
- Riesgos para la salud pública: Dependiendo del alcance, podría afectar la capacidad de respuesta ante brotes, la distribución de vacunas o el monitoreo de enfermedades.
Leyes y multas en Chile referentes a ciberataques a infraestructura crítica:
- Ley N° 21.459 (Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información):
- Si bien la ley busca establecer un marco general, se espera que sus reglamentos y futuras modificaciones detallen las sanciones específicas. Sin embargo, ya sienta las bases para perseguir este tipo de delitos. Define qué es una infraestructura crítica de la información y establece deberes para las entidades que las operan.
- La ley prevé la creación de la Agencia Nacional de Ciberseguridad (ANCI), que ya está actuando en este caso, para coordinar la respuesta a incidentes y fortalecer las capacidades de ciberseguridad.
- Ley N° 21.442 (Ley de Delitos Informáticos):
- Modifica y moderniza la anterior Ley N° 19.223. Esta ley tipifica y sanciona los delitos informáticos, incluyendo aquellos que afectan sistemas informáticos.
- Artículo 2° (Acceso indebido): Sanciona el acceso no autorizado a sistemas informáticos. Las penas pueden aumentar si se causa un daño.
- Artículo 3° (Interceptación y ataque a la integridad de datos o sistemas): Sanciona a quienes intercepten o interfieran indebidamente en la transmisión de datos, o a quienes destruyan, inutilicen, dañen, alteren o impidan el acceso a un sistema informático o a sus partes o componentes. Aquí es donde un ataque de ransomware encaja directamente.
- Las penas pueden ir desde presidio menor en su grado mínimo a medio (61 días a 3 años y un día) y multas que pueden superar las 200 Unidades Tributarias Mensuales (UTM), si el daño es considerable.
- Si el delito recae sobre sistemas que presten servicios de utilidad pública o sean parte de infraestructura crítica, las penas aumentan. En el caso de causar daño, las penas pueden llegar hasta presidio mayor en su grado mínimo (5 años y un día a 10 años).
- Ley N° 19.628 (Sobre Protección de la Vida Privada):
- Si se confirma la exfiltración de datos personales, el ISP podría enfrentar sanciones por incumplimiento de la protección de datos personales. Aunque las multas directas por filtración son menores en esta ley, la responsabilidad civil por los daños causados podría ser significativa. Actualmente, hay proyectos de ley para modernizar esta normativa con penas y multas más elevadas, alineadas con estándares internacionales como el GDPR.
¿Qué hacer si recibes correos o enlaces fraudulentos?
Ante la situación, es crucial que la ciudadanía esté alerta frente a posibles correos o enlaces fraudulentos (phishing) que puedan suplantar al ISP o a otras instituciones. Los ciberdelincuentes a menudo aprovechan estas contingencias para lanzar campañas engañosas.
- No hagas clic en enlaces sospechosos: Si recibes un correo electrónico o mensaje de texto que parece del ISP o de otra entidad y te pide información personal o que hagas clic en un enlace, desconfía.
- Verifica la fuente: Antes de hacer cualquier cosa, revisa cuidadosamente la dirección de correo del remitente. Si tienes dudas, comunícate directamente con la institución a través de sus canales oficiales verificados (su sitio web oficial o números de teléfono).
- No descargues archivos adjuntos inesperados: Pueden contener malware.
- Mantén tus sistemas actualizados: Asegúrate de que tu software, antivirus y sistema operativo estén siempre al día.
La recuperación total de un incidente de esta magnitud es un proceso complejo y el ISP, junto con la ANCI, está trabajando para restaurar sus servicios de forma segura.