Por Arnoldo König Jottar
Hace algunos días, España y Portugal sufrieron uno de los apagones más extensos de los que se tenga registro en dicho continente, dejando por horas a millones de personas sin suministro eléctrico, causando un fuerte impacto en ambos países. No obstante, no necesitamos mirar tan lejos, en Chile, hace apenas unos meses, vivimos también un corte generalizado de energía que afectó a diversas regiones del país, afectando aproximadamente a 19 millones de personas. Si bien las causas de ambos eventos no apuntan necesariamente a un ciberataque, lo cierto es que ponen en evidencia la vulnerabilidad de nuestras infraestructuras críticas en un mundo donde los enfrentamientos se están dando en otro campo de batalla: el ciberespacio.
En este contexto, cabe preguntarse: si un apagón similar ocurriera hoy en Chile como consecuencia de un incidente de ciberseguridad, ¿estamos preparados para enfrentarlo? La reciente entrada en vigencia de la Ley 21.663, Ley Marco de Ciberseguridad, establece un marco normativo robusto que fortalece la preparación del país frente a incidentes que comprometan servicios esenciales.
La nueva normativa califica expresamente a los servicios eléctricos como “servicios esenciales” y otorga a sus operadores, potencialmente, el carácter de “operadores de importancia vital”, lo que impone obligaciones reforzadas. Estos actores deben implementar sistemas robustos de gestión de seguridad de la información, elaborar planes de continuidad operacional y ciberseguridad certificados, mantenerlos actualizados, y reportar incidentes a la Agencia Nacional de Ciberseguridad dentro del plazo de tres horas desde su detección. Si el incidente afecta a un operador de importancia vital —como es el caso de los servicios eléctricos— y compromete la prestación de sus servicios esenciales, este deberá actualizar la información disponible y entregarla al CSIRT Nacional dentro de las veinticuatro horas siguientes a su conocimiento. Sin perjuicio de lo anterior, tanto el CSIRT Nacional como la autoridad sectorial competente podrán solicitar nuevas actualizaciones, y el operador, por su parte, deberá informar su plan de acción en un plazo máximo de siete días corridos desde que tomó conocimiento del hecho.
Sin embargo, sería ingenuo creer que la sola existencia de una ley basta. El verdadero desafío es su implementación efectiva: la capacitación continua de los equipos, la actualización real de los planes de continuidad, la capacidad de reacción técnica del CSIRT Nacional y la voluntad del sector público y privado de actuar con rapidez y transparencia.
Hoy Chile cuenta con un marco jurídico que antes no tenía. Sin embargo, la resiliencia frente a un apagón masivo dependerá de si somos capaces de convertir esa normativa en una cultura viva de ciberseguridad. Contar con una ley es indispensable, pero solo su cumplimiento efectivo marcará la diferencia entre la resiliencia y la vulnerabilidad. El tiempo, y quizás el próximo incidente, pondrán a prueba si aprendimos de los apagones recientes o si, una vez más, reaccionaremos demasiado tarde.