CIBERSEGURIDAD

UNIDAD Nº III
Normas de Ciberseguridad
 SEMANA 6

Consideraciones previas

Alineación Curricular del Material de Estudio

El contenido que se expone a continuación está ligado a la siguiente unidad de

competencia:

- Analiza aspectos de la regulación de la ciberseguridad y su normativa legal vigente, según su

implementación.

Sobre las fuentes utilizadas en el material

El presente Material de Estudio constituye un ejercicio de recopilación de distintas fuentes,

cuyas referencias bibliográficas estarán debidamente señaladas al final del documento.
Este material, en ningún caso pretende asumir como propia la autoría de las ideas
planteadas. La información que se incorpora tiene como única finalidad el apoyo para el
desarrollo de los contenidos de la unidad correspondiente, respetando los derechos de
autor ligados a las ideas e información seleccionada para los fines específicos de cada
asignatura.

2 www.iplacex.cl
 Introducción
Durante esta semana será abordada la norma ISO 27001:2017, la cual indica cómo
gestionar la seguridad de la información al interior de una organización. Para ello la
norma proporciona un conjunto de dominios y controles los que la organización deberá
desarrollar. Sólo así la gestión que se lleve a cabo respecto de la seguridad de la
información será un proceso sistémico, documentado y conocido.

El vertiginoso avance y protagonismo que tienen las tecnologías de la información en

nuestra sociedad, plantean nuevas situaciones y problemas, las que deben ser
abordadas y analizadas por profesionales, desde una mirada ética, a medida que
surgen más y novedosos avances tecnológicos, puesto que es un aspecto importante
en la formación profesional.

Los contenidos de la semana concluyen con una revisión de la legislación informática

en nuestro país, abordando el marco legal vigente con sus lineamientos para
caracterizar determinados delitos informáticos y las dificultades que se presentan
sobre la jurisdicción y una tipicidad poco clara.

3 www.iplacex.cl
 Ideas Fuerza
NORMA ISO 27001:2017: norma internacional que indica cómo gestionar la
seguridad de la información al interior de una organización, concibiendo ello como
un proceso sistémico, documentado y conocido por la organización.

LEY Nº 21.459: tipifica figuras penales relativas a la Ciberseguridad.

ÉTICA INFORMÁTICA: busca descubrir dilemas éticos claves y determinar en qué

medida son transformados o creados por las tecnologías de la información.
Propone principios de actuación para establecer qué hacer en las nuevas
actividades que son consecuencia de la informática en las que no se perciben con
claridad ciertas líneas de actuación.

SEGURIDAD DE LA INFORMACIÓN: conjunto de procesos y actividades que

permiten mantener libre de peligros y/o daños a los activos de información que
forman parte de una organización, desarrollando los principios de confiabilidad,
integridad y disponibilidad.

4 www.iplacex.cl
 Índice
1.- Norma ISO 27001 6
1.1.- Fundamentos 6
1.2.- Objetivos de control y controles de referncia 8
1.3.- Implementación 11
1.4.- Controles 13

2.- Ética informática 14

2.1.- Dimensión social de la ética informática 15
2.2.- Ética informática en la actualidad 16

3.- Legislación informática 18

3.1.- ¿Qué es el Convenio de Budapest? 19
3.2.- Modificaciones a otros cuerpos legales 19

4.- Aspectos Gubernametales estratégicos en materias de Ciberseguridad 20

4.1.- Políticas integradas complementarias en materia digital 20
4.2.- Objetivos de la política para el año 2022 21
4.3.- Instituciones intervinientes en materia de Ciberseguridad 22

Conclusión 24

5 www.iplacex.cl
 Desarrollo
1.- Norma ISO 27001

1.1. Fundamentos

Como se revisó en capítulos anteriores de esta asignatura, una plataforma

tecnológica será segura o fiable si es posible garantizar tres aspectos:

• Confidencialidad: prevenir la divulgación no autorizada de la información.

• Integridad: prevenir modificaciones no autorizadas de la información.

• Disponibilidad: prevenir interrupciones no autorizadas/controladas de los

recursos informáticos.

La seguridad de la información es el conjunto de procesos y actividades que

permiten mantener libre de peligros y/o daños a los activos de información que
forman parte de una organización, desarrollando los principios de confiabilidad,
integridad y disponibilidad.

Seguridad
de la
información

Integridad

Figura 1: principios de la seguridad de la información (Reyes, A. 2017)

6 www.iplacex.cl
En este contexto, la seguridad informática, se constituye como un subconjunto
de las disciplinas que abarca la seguridad de la información. Su foco es la
seguridad de los medios tecnológicos que manipulan activos de información en la
organización, los sistemas informáticos y sus usuarios. Le atañe la protección que
es tratada en medio digitales.

Seguridad de la
información

Seguridad
informática

Figura 2: relación entre seguridad de la información y seguridad informática. (Reyes, A. 2017)

La seguridad de la información es un proceso complejo. Requiere de un Sistema

de Gestión de Seguridad de la Información (SGSI). Este es el principal
concepto en que se basa la norma ISO 27001. La gestión que se lleve a cabo
respecto de la seguridad de la información debe efectuarse como un proceso
sistémico, documentado y conocido por la organización.

ISO 27001 es una norma internacional emitida por la Organización Internacional

de Normalización (ISO). Indica cómo gestionar la seguridad de la información al
interior de una organización. La revisión más reciente de esta norma fue publicada
en 2017; así, su nombre completo es ISO/IEC 27001:2017.

La norma se encuentra diseñada de tal forma de que pueda ser implementada en

cualquier tipo de organización, no importando si es pública o privada, con o sin
fines de lucro, privada o pública, pequeña, mediana o grande.

7 www.iplacex.cl
 14 DOMINIOS

35 OBJETIVOS DE
CONTROL

114 CONTROLES

Figura 3: componentes de la norma ISO/IEC 27001:2017 (Reyes, A. 2017)

1.2 Objetivos de control y controles de referencia

La norma ISO 27002:2013 abarca 14 dominios, luego la Norma ISO/IEC 27001

establece los siguientes objetivos:

1.2.1.- De la política de seguridad

1.2.1.1.- Directrices de gestión de la seguridad de la información: Proporcionar

orientación y apoyo a la gestión de la seguridad de la información de acuerdo con los
requisitos del negocio, las leyes y normativa pertinentes.

1.2.2.- De la organización en cuanto a la seguridad de la información.

1.2.2.1.- Organización interna: Establecer un marco de gestión para iniciar y controlar
la implementación y operación de la seguridad de la información dentro de la
organización.

1.2.2.2.- Los dispositivos móviles y el teletrabajo: Garantizar la seguridad en el

teletrabajo y en el uso de dispositivos móviles.

1.2.3.- De seguridad de los recursos humanos

1.2.3.1.- Antes del empleo: Para asegurarse que los empleados y contratistas
entiendan sus responsabilidades y son adecuados para las funciones para las que se
consideran.

1.2.3.2.- Durante el empleo: Asegurar que los empleados y contratistas conozcan y

cumplan con sus responsabilidades en seguridad de la información.

8 www.iplacex.cl
1.2.3.3.- Finalización del empleo o cambio en el puesto de trabajo: Proteger los
intereses de la organización como parte del proceso de cambio o finalización del
empleo.

1.2.4.- De gestión de activos

1.2.4.1.- Responsabilidad sobre los activos: Identificar los activos de la organización y
definir las responsabilidades de protección adecuadas.

1.2.4.2.- Clasificación de la información: Asegurar que la información reciba un nivel

adecuado de protección de acuerdo con su importancia para la organización.

1.2.4.3.- Manipulación de los soportes: Evitar la revelación, modificación, eliminación o

destrucción no autorizadas de la información almacenada en soportes.

1.2.5.- Control de acceso.

1.2.5.1.- Requisitos de negocio para el control de acceso: Limitar el acceso a los

recursos de tratamiento de la información y a la información.

1.2.5.2.- Gestión de acceso de usuario: Garantizar el acceso de usuarios autorizados

y evitar el acceso no autorizado a los sistemas y servicios.

1.2.5.3.- Responsabilidad del usuario: Para que los usuarios se hagan responsables
de salvaguardar su información de autenticación.

1.2.5.4.- Control de acceso a sistemas y aplicaciones: Prevenir el acceso no

autorizado a los sistemas y aplicaciones.

1.2.6.- Criptografía
1.2.6.1.- Controles criptográficos: Garantizar un uso adecuado y eficaz de la
criptografía para proteger la confidencialidad, autenticidad y/o integridad de la
información.

1.2.7.- En cuanto la seguridad física y del entorno

1.2.7.1.- Áreas seguras: Prevenir el acceso físico no autorizado, los daños e

interferencia a la información de la organización y a los recursos de tratamiento de la
información.

1.2.7.2.- Seguridad de los equipos: Evitar la pérdida, daño, robo o el compromiso de

los activos y la interrupción de las operaciones de la organización.

1.2.8.- Seguridad de las operaciones.

1.2.8.1.- Procedimientos y responsabilidades operacionales: Asegurar el

9 www.iplacex.cl
funcionamiento correcto y seguro de las instalaciones de tratamiento de la
información.

1.2.8.2.- Protección contra el software malicioso (malware): Asegurar que los recursos
de tratamiento de información y la información estén protegidos contra el malware.

1.2.8.3.- Copias de seguridad: Evitar la pérdida de datos.

1.2.8.4.- Registros y supervisión: Registrar eventos y generar evidencias.

1.2.8.5.- Control del software en explotación: Asegurar la integridad del software en

explotación.

1.2.8.6.- Gestión de la vulnerabilidad técnica: Reducir los riesgos resultantes de la

explotación de las vulnerabilidades técnicas.

1.2.8.7.- Consideraciones sobre la auditoría de sistemas de información: Minimizar el

impacto de las actividades de auditoría en los sistemas operativos.

1.2.9.- Seguridad de las comunicaciones

1.2.9.1.- Gestión de la seguridad de las redes: Asegurar la protección de la

información en las redes y los recursos de tratamiento de la información.

1.2.9.2.- Intercambio de información: Mantener la seguridad de la información que se

transfiere dentro de una organización y con cualquier entidad externa.

1.2.10.- Adquisición, desarrollo y mantenimiento de los sistemas de

información.

1.2.10.1.- Requisitos de seguridad en los sistemas de información: Garantizar que la

seguridad de la información sea parte integral de los sistemas de información a través
de todo el ciclo de vida. Esto también incluye los requisitos para los sistemas de
información que proporcionan los servicios a través de redes públicas.

1.2.10.2.- Seguridad en el desarrollo y en los procesos de soporte: Garantizar la

seguridad de la información que se ha diseñado e implementado en el ciclo de vida de
desarrollo de los sistemas de información.

1.2.10.3.- Datos de prueba: Asegurar la protección de los datos de prueba.

1.2.11.- De la relación con proveedores

1.2.11.1.- Seguridad en las relaciones con proveedores: Asegurar la protección de los

activos de la organización que sean accesibles a los proveedores.

10 www.iplacex.cl
1.2.11.2.- Gestión de la provisión de servicios del proveedor: Mantener un nivel
acordado de seguridad y de provisión de servicios en línea con acuerdos con
proveedores.

1.2.12.- Gestión de incidentes de seguridad de la información

1.2.12.1.- Gestión de incidentes de seguridad de la información y mejoras: Asegurar

un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la
información, incluida la comunicación de eventos de seguridad y debilidades.

1.2.13.- Aspectos de seguridad de la información para la gestión de la

continuidad de negocio.

1.2.13.1.- Continuidad de la seguridad de la información: La continuidad de la

información debe formar parte de los sistemas de gestión de la continuidad del
negocio de la organización.

1.2.13.2.- Redundancias: Asegurar la disponibilidad de los recursos de tratamiento de

la información.

1.2.14.- Cumplimiento
1.2.14.1.- Cumplimiento de los requisitos legales y contractuales: Evitar
incumplimientos de las obligaciones legales, estatutarias, reglamentarias o
contractuales relativos a la seguridad de la información o de los requisitos de
seguridad.

1.2.14.2.- Revisiones de la seguridad de la información: Garantizar que la seguridad

de la información se implemente y opere de acuerdo con las políticas y
procedimientos de la organización.

1.3 Implementación

Previamente a la implementación de la norma ISO 27001:2017, es necesario

considerar y conocer que cada organización posee diferentes necesidades respecto
de la seguridad de la información en sus datos internos y activos de información.

Debido a lo anterior es que por “gestión de la seguridad” debe entenderse los

mecanismos necesarios que cada organización en particular debe poner en marcha
para resguardar sus activos de información ante amenazas exteriores.

Las organizaciones que apoyan sus procesos de negocio mediante sistemas

informáticos poseen procesos de gestión de seguridad. La adaptación de estos a

11 www.iplacex.cl
los requisitos de la norma ISO 27001, permite lograr un manejo más eficiente de la
información financiera, comercial, laboral y confidencial de la organización

Existen 8 pasos principales que se deben seguir para conseguir esa adaptación:

• Compromiso de los niveles directivos. La certificación en ISO 27001 sobre

la seguridad de la información sólo tiene cabida cuando los altos cargos de la
empresa tienen voluntad y disposición suficiente.
• Una participación colectiva. De forma adicional, todos los miembros de la
organización tiene que participar en el proceso mediante los canales
establecidos. La comunicación interna es un pilar fundamental.
• Comparar el sistema de seguridad actual con el de la norma ISO 27001.
Comparar los puntos que se adhieren a la norma y cuáles no.
• Exigir y comprometer a los proveedores o clientes sobre la seguridad de la
información. Por la relación que tienen con la empresa son una buena fuente
de información para el proceso de implementación.
• Definir un equipo de trabajo para adaptar el Sistema de Gestión de
Seguridad de la Información a los requisitos de la norma ISO 27001. Para
esto es frecuente que la organización recurra a consultores. Estos equipos deben
tener ciertas funciones, responsabilidades y plazos.
• La implementación de la norma por sí sola no basta. Cuando el sistema de
seguridad local haya sido adaptado a la norma ISO 27001, los altos
directivos de la organización deben fomentar e incentivar la implicación del
resto de los miembros de la organización mediante la formación y los
incentivos. Solo así es posible lograr un compromiso general.
• Compartir los conocimientos con los miembros de la organización, es otra vía
para generar una cultura corporativa de seguridad de la información. El
objetivo de fondo es que ellos mismos, a su vez, se conviertan en auditores
de los procesos internos de este tipo.
• Realizar una revisión periódica del Sistema de Gestión de Seguridad de la
Información debe ser un elemento constante, incluso después de haber
recibido la certificación en ISO 27001.

12 www.iplacex.cl
1.4 Controles

La norma ISO 27001:2017, para cada uno de los dominios antes mencionados,
posee un conjunto de controles asociados a un objetivo de control. La siguiente
tabla muestra este detalle para el dominio “8.- Gestión de activos”.
Objetivo de control Control Materia Descripción
8.1.1 Inventario de La información y otros activos asociados a la
activos información y a los recursos para el tratamiento de la
información deben estar claramente identificado y
debe elaborarse y mantenerse un inventario.
8.1.2 Propiedad de Todos los activos que figuran en el inventario deben
los activos tener un propietario.
8.1.3 Uso Se deben identificar, documentar e implementar las
aceptable de reglas de uso aceptable de la información y de los
8.1
los activos activos asociados con los recursos para l
Responsabilidad
tratamiento de la información.
sobre los activos
8.1.4 Devolución Todos los empleados y terceras partes deben
de activos devolver todos los activos de la organización que
estén en su poder al finalizar su empleo, contrato o
acuerdo.
8.2.1 Clasificación La información debe s e r clasificada en términos de
de la la importancia de su revelación frente a requisitos
información legales, valor, sensibilidad y criticidad ante revelación
o modificación no autorizadas.
8.2.2 Etiquetado Debe desarrollarse e implantarse un conjunto
8.2 de la adecuado de procedimientos para etiquetar la
Clasificación de la
información información, de acuerdo con el esquema de
información
clasificación adoptado por la organización.
8.2.3 Manipulación Debe desarrollarse e implantarse un conjunto
de la adecuado de procedimientos para la manipulación
información de la información, de acuerdo con el esquema de
clasificación adoptado por la organización
8.3.1 Gestión de Se deben implementar procedimientos para la
soportes gestión de los soportes extraíbles, de acuerdo con el
extraíbles esquema de clasificación adoptado por la
organización.
8.3
8.3.2 Eliminación Los soportes deben eliminarse de forma segura
Manipulación cuando ya no vayan a ser necesarios, mediante
de soportes
de los soportes procedimientos formales.
8.3.3 Soportes Durante el transporte fuera de los límites físicos de la
físicos en organización, los soportes que contengan
tránsito información deben estar protegidos contra accesos
no autorizados, usos indebidos o deterioros.

A modo de ejemplo, si para la organización la manipulación de activos reviste

criticidad para su gestión de la seguridad de la información, entonces, tal como
indica la descripción del control 8.2.3, deberá “desarrollar e implantar un conjunto

13 www.iplacex.cl
adecuado de procedimientos para la manipulación de la información, de acuerdo
con el esquema de clasificación adoptado por la organización”.

Téngase presente que estos controles no indican el “cómo”, sino que sólo señalan
lineamientos acerca de “qué” debería hacer la organización para minimizar riesgos,
adoptando buenas prácticas que le permitan gestionar de mejor manera la
seguridad de sus activos de información.

La implementación de un determinado control puede muchas veces implicar la

creación de una política organizacional, un procedimiento que indique pasos que
contempla dicha política, o ambos.

¿Puede una organización implementar todos los controles de ISO 27001:2017

como una iniciativa única? Ciertamente puede, pero no es práctico ni aconsejable.
Dependiendo de la madurez y tipo de organización lo normal es que el proceso de
adopción y puesta en práctica de estos controles sea algo parcializado, controlado y
revisable.

2 Ética informática

En la actualidad las tecnologías de la información plantean nuevas situaciones y

nuevos problemas. Algo innegable, a medida que surgen más y novedosos avances
tecnológicos, gran parte de estos son de una naturaleza ética. Obviamente existen
intentos de resolver estos problemas aplicando reglas y soluciones éticas de
carácter general.

La existencia de la ética informática tiene por inicio el hecho de que los

computadores suponen problemas éticos particulares y por tanto distintos a otras
tecnologías. En las actividades profesionales relacionadas con tecnologías de la
información existe la necesidad de pasar de la simple aplicación de criterios éticos
generales a la elaboración de una ética propia de la actividad profesional.

Los códigos éticos propuestos por asociaciones de profesionales de la informática,

instituciones o empresas son un terreno aun dinámico y en formación. No obstante,
diversos lineamientos coinciden en los objetivos que debe perseguir la ética
informática:

• Descubrir dilemas éticos claves.

• Determinar en qué medida los dilemas son transformados o creados por la
tecnología informática.
• Analizar y proponer principios de actuación para establecer conductas frente
14 www.iplacex.cl
 a nuevas actividades que son consecuencia de la informática y en las que
son difusas ciertas líneas de actuación.
• Utilizar la teoría ética existente para aclarar los dilemas éticos y encontrar
errores en su razonamiento ético.
• Realizar propuestas sobre formas para entender adecuadamente los dilemas
éticos que origina la informática y además establecer una guía cuando no
existe reglamento para dar uso a Internet.

Toda actividad del hombre debe ser regida por un código de ética y la informática
no es la excepción. La ética informática es una disciplina reciente, por lo que aún
restan contenidos profundos a esta área. Aun así, es factible recopilarproblemáticas
y temáticas que con frecuencia son tratados en esta disciplina.

En el entorno laboral actual y vida diaria, existen dilemas que han surgido a raíz
de la presencia de nuevas tecnologías, tales como vigilancia por medio del control
del correo electrónico dentro de la organización u obtención de información sobre
lo que realiza cada usuario en su equipo computacional. Existen también otros
problemas de ética que hacen referencia a prácticas comerciales, incluyendo
contratos, acuerdos y conflictos de interés, donde la inclusión de tecnologías de la
información ha cambiado la perspectiva tradicional.

Al respecto, un tema recurrente tiene relación de la ética con las tecnologías de la

información, es la creciente posibilidad de que estas últimas puedan ser usadas
como un instrumento para dañar a terceras personas. Obviamente es por logeneral
un daño “invisible”, pero tal como la intromisión de un atacante externo a un centro
de cómputo, este tipo de ataque puede destrozar a una organización tanto en sus
activos de información como en su reputación frente al mercado o medio externo.
Quienes proveen servicios informáticos o manipulan almacenes de datos,
programas o dispositivos, son responsables de la integridad y conveniencia de los
resultados de sus acciones, así como del uso que dan a la información de la que
disponen.

En este contexto, la esencia radica no solo en contrarrestar o mitigar acciones que

resulten dañinas para los activos de información o para quienes integran una
organización, sino de fomentar una responsabilidad en las aplicaciones informáticas
que pueden tener consecuencias negativas o incluso insospechadas.

2.1 Dimensión social de la ética informática

Indudablemente en los años recientes la informática ha contribuido al desarrollo
positivo de los medios de comunicación en la sociedad. Las tecnologías de la
información han hecho posible que la comunicación entre personas sea casi
15 www.iplacex.cl
instantánea, en donde las distancias se perciben como irrelevantes. No obstante,
desde una perspectiva ética, surgen aspectos problemáticos que opacan los
positivos logros obtenidos de la implantación de estas tecnologías. Surgen
cuestionamientos que desafían a hacer que las consecuencias negativas de las
nuevas tecnologías se transformen en positivas, dejando atrás una especie de
“determinismo tecnológico” en donde la técnica es el fin y no el medio. Donde el ser
humano sirve a la técnica y no ésta a las necesidades humanas.

Uno de estos aspectos, muchas veces en tela de juicio, es el papel que juegan las
tecnologías informáticas en la globalización de la economía, las fusiones
empresariales o el abismo entre economías desarrolladas y aun en desarrollo. En
las organizaciones otro tipo de hecho gatillado por la introducción de las tecnologías
de la información es la reingeniería de procesos y racionalización de la gestión,
como causa de pérdidas de puestos de trabajo, deshumanización,
ultracompetitividad, monopolización de telecomunicaciones y aumento de
desigualdades.

Algunos de estos escenarios corresponden a una perspectiva a nivel macro, tales

como una distribución desigual de información, el acceso poco equitativo a medios
tecnológicos, la manera en que las tecnologías de la información refuerzan una
distribución de poder, control de redes de información, etc. Así, extrapolando esto,
existen efectos para la democracia, la privacidad y las libertades cívicas, los
impactos en la sanidad, en la educación y en la cultura.

2.2 Ética informática en la actualidad

Actualmente, es difícil encontrar un programa de estudios vinculado a la informática

que no considere tópicos o asignaturas de ética. Se busca inducir a los estudiantes
a identificar sus propios valores, sensibilizarlos a identificar problemas morales y
dilemas, identificar y comprender los alcances de problemáticas, prever las
consecuencias, trazar un camino moral y escoger una acción que promueva de
mejor manera un actuar correcto que les induzca a reflexionar sobre sus
decisiones.

Sin embargo, persisten dificultades para la consolidación de la ética informática.

La literatura relacionada no muestra una relación teórica sólida entre la ética y la
informática. Es recurrentemente presentada una perspectiva más individualista, en
donde se resalta “lo que tienen que hacer” los empleados y directivos, implicados
en tecnologías de la información, como entidades individuales. Se presentan
estudios con una orientación más descriptiva que normativa y más sociológica que
ética. No se entregan principios de acciones a seguir o respuestas sobre lo que se
debe hacer, como persona individual, como equipo de trabajo y como organización.
16 www.iplacex.cl
 ¿Cómo debiese ser tipificado delictualmente
una actividad de phishing?

3 Legislación informática

El 20 de junio del 2022 se publicó en el Diario Oficial la Ley 21.459 que establece
normas sobre delitos informáticos, derogando la Ley 19913 y modificando otros
cuerpos legales, con el objeto de adecuarlos a las exigencias del Convenio sobre la
Ciberdelincuencia del Consejo de Europa, conocido como “Convenio de Budapest”,
del cual Chile es parte.

Para efectos de esta Ley se entenderá lo siguiente:

a) Datos informáticos. Toda representación de hechos, información o conceptos

expresados en cualquier forma que se preste a tratamiento informático. Incluidos
los programas diseñados para que un sistema informático ejecute una función.

b) Sistema informático. Todo dispositivo aislado o conjunto de dispositivos

interconectados o relacionados entre sí, cuya función, o la de alguno de sus
elementos, sea el tratamiento automatizado de datos en ejecución de un
programa.

c) Prestadores de servicios. Toda entidad pública o privada que ofrezca a los

usuarios de sus servicios la posibilidad de comunicar a través de un sistema
informático y cualquier otra entidad que procese o almacene datos informáticos
para dicho servicio de comunicación o para los usuarios del mismo.

La ley, además de especificar aquellos tipos penales que se consideraban en la Ley

19.223, introduce nuevos tipos penales, estableciendo sus sanciones y una serie de
circunstancias atenuantes especiales.

Dentro de las nuevas figuras penales, se encuentran las siguientes:

a) Ataque a la integridad de un sistema informático

b) Acceso ilícito
c) Interceptación ilícita

17 www.iplacex.cl
 d) Ataque a la integridad de los datos informáticos
e) Falsificación informática
f) Receptación de datos informáticos
g) Fraude informático
h) Abuso de los dispositivos

Otra de las novedades que incorpora la ley es la autorización e investigación

académica, que constituye una forma de reconocimiento de las actividades
de detección de vulnerabilidades o también conocidas como “hacking ético”,
pero restringido. En este sentido, la ley señala que para poder desarrollar
estas actividades se requerirá de la autorización del titular del sistema
informático, no existiendo una eximente penal o autorización general para
detectar vulnerabilidades sin la debida autorización.

Esto es especialmente relevante porque la práctica de identificar

vulnerabilidades en sistemas informáticos que habitualmente realizan
expertos, empresas de telecomunicaciones, entidades educacionales y otras
organizaciones interesadas en la ciberseguridad, pasa a ser una figura
delictual si no se cuenta con la correspondiente autorización (acceso ilícito).

Por otro lado, la ley establece nuevos procedimientos para investigar los
ilícitos informáticos. Al respecto, se admite la posibilidad de realizar
interceptaciones de comunicaciones telefónicas, filmaciones, fotografías u
otros medios de reproducción de imágenes conducentes al esclarecimiento
de los hechos, cuando sea necesario, para perseguir ciertos ciberdelitos. En
estos casos, la orden que disponga la realización de estas técnicas deberá
indicar circunstanciadamente el nombre real o alias y dirección física o
electrónica del afectado por la medida y señalar el tipo y la duración. El juez
podrá prorrogar la duración de esta orden, si es que los antecedentes lo
ameritan.

De igual forma, contempla la posibilidad que el juez de garantía, a petición

del Ministerio Público, pueda ordenar a funcionarios policiales actuar bajo
identidad supuesta en comunicaciones mantenidas en canales cerrados de
comunicación, con el fin de esclarecer los hechos tipificados como delitos en
la ley, establecer la identidad y participación de personas determinadas en la
comisión de estos, impedirlos o comprobarlos.

18 www.iplacex.cl
3.1.- ¿Qué es el Convenio de Budapest?

Este mítico encuentro, que también es conocido como Convenio sobre delitos
cibernéticos, es el acuerdo internacional más utilizado para desarrollar la legislación
de combate al cibercrimen. El Convenio fue firmado por Canadá, Japón, Estados
Unidos y Sudáfrica, el 23 de noviembre de 2001 (la firma se llevó a cabo en
Budapest, Hungría). Años más tarde, se han previsto nuevas adhesiones por parte
de otros países como México, El Salvador, Argentina, Costa Rica, Uruguay y Chile.

En síntesis, la Convención tiene como objetivo armonizar la legislación relativa

al cibercrimen, mejorar las capacidades de investigación de estos delitos y
establecer un régimen efectivo de cooperación y asistencia internacional. Entre sus
principales disposiciones se encuentra la obligación de las Partes de tipificar delitos
contra la integridad de los sistemas o datos informáticos y respecto de su
contenido, así como establecer procedimientos que faciliten la investigación
penal, principalmente a través de exigir la conservación, registro, interceptación y
confiscación de los datos almacenados.

3.2.- Modificaciones a otros cuerpos legales.

Finalmente, en cuanto a las modificaciones a otros cuerpos legales, destacan

las siguientes:

• Código Procesal Penal: La ley modifica diversas disposiciones del

Código Procesal Penal, siendo la más relevante la incorporación de un
nuevo art. 218 bis, que establece una obligación de “preservación
provisoria de datos informáticos”. En virtud de este nuevo artículo, el
Ministerio Público podrá requerir a cualquier proveedor de servicio “la
conservación o protección de datos informáticos o informaciones concretas
incluidas en un sistema informático, que se encuentren a su disposición
hasta que se obtenga la respectiva autorización judicial para su entrega”.

• Ley 19913, que crea la Unidad de Análisis Financiero y modifica

diversas disposiciones en materia de lavado y blanqueo de
activos: Se incorporan los delitos tipificados por esta Ley dentro del
artículo 27 letra a) de la Ley 19913, que sanciona la ocultación o disimulo
del origen ilícito de determinados bienes, a sabiendas que provienen de la
perpetración de hechos constitutivos de alguno de los delitos que se
indican.

19 www.iplacex.cl
• Ley 18168, Ley General de Telecomunicaciones: Se crea un nuevo
delito de acción pública, en caso de que se vulnere el secreto durante una
investigación penal, contemplado en los artículos 218 bis, que regula la
preservación provisoria de datos informáticos; 219, que regula la copia de
comunicaciones o transmisiones; y 222, que regula la interceptación de
comunicaciones telefónicas.

• Ley 20393, sobre la responsabilidad penal de personas jurídicas: Se

incorpora dentro del listado de delitos establecidos en el art. 1° los delitos
contemplados en el título I de la ley de delitos informáticos.

Considerando lo señalado previamente, la recomendación a todos los responsables

de las áreas pertinentes de cada institución, es adecuarse debidamente a la
nueva Ley 21.459, con el objetivo de mitigar la mayor cantidad de riesgos posibles.
Es un deber de todos los líderes de las áreas relacionadas a la tecnología y los
delitos, informar de manera correcta y detallada las nuevas figuras penales y
conceptos. Esto, para resguardar de manera correcta la información de las
empresas y el bienestar de todas las áreas involucradas.

¿En qué caso un delito informático presenta

dificultades procesales relativas a la
competencia de los tribunales?

4 Aspectos gubernamentales estratégicos en materias de

Ciberseguridad.

Durante los años 2017 y 2018 se trabajó en el desarrollo de una hoja de ruta política, con
el claro desafío de contar con una política que orientara la acción del país en materia de
ciberseguridad, junto con implementar y poner en marcha las medidas que sean
necesarias para proteger la seguridad de los usuarios del ciberespacio, considerando
estrategias educativas orientadas al autocuidado y prevención en ambiente digital,
cumpliendo además con el programa de Gobierno de la época que proponía “desarrollar
una estrategia de seguridad digital que protegiera a los usuarios privados y públicos”.
Los objetivos de esta política fueron orientados al año 2022.

4.1.- Políticas integradas complementarias en materia digital.

Las políticas se enmarcaron en un conjunto de políticas que el gobierno implementó o se
encuentra desarrollando en materia digital, con el objeto de contar con definiciones claras

20 www.iplacex.cl
y sistemáticas sobre el ciberespacio, tales como:

a) Agenda Digital 2020: Fue una hoja de ruta diseñada para avanzar hacia el desarrollo
digital del país, mediante la definición de objetivos de mediano plazo, líneas de acción
y medidas concretas. Fue lanzada el segundo semestre del año 2015, y aspiró a que
el uso masivo de las tecnologías se transformara en un medio para reducir las
desigualdades, permitiendo abrir más y mejores oportunidades de desarrollo, y
contribuir al respeto de los derechos de todos los chilenos y chilenas.

b) Política nacional de ciberdefensa: Dado que las redes y sistemas de información de

la Defensa Nacional constituyen una infraestructura crítica para la seguridad exterior y
el ejercicio de la soberanía del país, y a las atribuciones constitucionales y legales de
la Defensa Nacional, el Ministerio de Defensa, durante el año 2017 preparó y publicó
políticas específicas de ciberdefensa, que contemplaron las definiciones políticas en
torno a cómo serían protegidas estas redes, y cómo las capacidades de la Defensa
Nacional podían colaborar en la formación de un ciberespacio libre, abierto, seguro y
resiliente para el país.

c) Política internacional para el ciberespacio: Uno de los objetivos de alto nivel de la

presente política dice relación con la cooperación en relaciones internacionales en
torno a la ciberseguridad en el contexto global. Sin embargo, es imprescindible que el
país integre estos objetivos con otros tales como el desarrollo, los derechos humanos,
la defensa y otros relacionados, para consolidarlos e integrarlos en la política exterior
de Chile.

4.2.- Objetivos de la política para el año 2022.

a) El país contará con una infraestructura de la información robusta y resiliente,

preparada para resistir y recuperarse de incidentes de ciberseguridad, bajo una óptica
de gestión de riesgos.
b) El Estado velará por los derechos de las personas en el ciberespacio.
c) Chile desarrollará una cultura de la ciberseguridad en torno a la educación, buenas
prácticas y responsabilidad en el manejo de tecnologías digitales.
d) El país establecerá relaciones de cooperación en ciberseguridad con otros actores y
participará activamente en foros y discusiones internacionales.
e) El país promoverá el desarrollo de una industria de la ciberseguridad, que sirva a sus
objetivos estratégicos.

21 www.iplacex.cl
4.3.- Instituciones intervinientes en materia de Ciberseguridad.

a) Ministerio del Interior y seguridad Pública:

Entidad Rol
Subsecretaría del Interior Preventivo Formuladorde Política
Pública
Subsecretaría del Interior Preventivo Reactivo Formulador de
Política Pública
PDI, Brigada Investigadora del Ciber Crimen Preventivo e Investigativo
Carabineros, Departamento OS 9 Preventivo e investigativo
Agencia Nacional de Inteligencia Preventivo

b) Ministerio de Defensa Nacional:

Entidad Rol
Subsecretaría de Defensa Formulador de Política
Estado Mayor Conjunto y Fuerzas Armadas Preventivo y Reactivo.

c) Ministerio de Transporte y Telecomunicaciones:

La Subsecretaría de Telecomunicaciones, que genera políticas públicas y fiscaliza su
cumplimiento en materia de telecomunicaciones, está a cargo de la implementación de la
Ley 20.478, “Sobre Recuperación y Continuidad en Condiciones Críticas y de Emergencia
del Sistema Público de Telecomunicaciones”, lo que realiza a través del decreto 60/2012
que fija el Reglamento para la interoperación y difusión de la mensajería de alerta,
declaración y resguardo de la infraestructura crítica de telecomunicaciones e información
sobre fallas significativas en los sistemas de telecomunicaciones. Asimismo, esta
subsecretaría es la encargada de fiscalizar que se respete el principio de neutralidad de
la red consagrado en la Ley 20.453.

d) Ministerio de Economía, Fomento y Turismo:

Se encarga de formular políticas públicas en materia productiva. La misión del Ministerio
de Economía es promover la modernización y competitividad de la estructura productiva
del país, la iniciativa privada y la acción eficiente de los mercados, el desarrollo de la
innovación y la consolidación de la inserción internacional de la economía del país, de allí
que la consideración de la ciberseguridad como un foco de desarrollo nacional sea
considerada en la Agenda de Productividad, Innovación y Crecimiento.

e) Ministerio de Justicia y Derechos Humanos:

Por el rol que le corresponde en la modernización del sistema de justicia, la promoción de
las normas y políticas públicas orientadas a facilitar el acceso y la protección de los
derechos fundamentales de las personas y la seguridad ciudadana, el Ministerio de
Justicia y Derechos Humanos debe en este contexto velar por la constante actualización
y adecuación técnica de la legislación a los desafíos que impone el desarrollo
tecnológico.

22 www.iplacex.cl
 f) Ministerio de Relaciones Exteriores:
Con el rol de articulador en la comunidad internacional y coordinador internacional de la
política nacional de ciberseguridad, la Dirección de Seguridad Internacional y Humana del
Ministerio (DISIN) identifica, coordina y promueve la posición e intereses de Chile en la
comunidad internacional en materia de ciberseguridad, en todas sus dimensiones.
Asimismo, coordina y promueve la participación de Chile en organismos y foros
internacionales especializados (Meridian, Octopus), OEA, UNASUR, UIT, IGF, Grupos de
expertos ONU, entre otros). Fomenta además las relaciones bilaterales en esta materia.

g) Ministerio Secretaría General de la Presidencia:

En relación con la formulación de políticas públicas en materia de gobierno y desarrollo
digital, el Ministerio Secretaría General de la Presidencia, a través de la actual Unidad de
Modernización del Estado tiene como objetivo acercar el Estado a las personas, y en este
contexto desarrolla la modernización del Estado y el Gobierno digital.

h) Universidad de Chile:
Entidad Rol
NIC Chile Órgano técnico, administrador.
CLCert Órgano académico, punto de contacto con
CERT internacionales y con FIRST

i) Instituto Nacional de Normalización:

Cumpliendo el rol de órgano técnico, normalizador de estándares y acreditador, el
Instituto nacional de Normalización (INN), es una fundación de derecho privado sin fines
de lucro, creada por CORFO en el año 1973, como un organismo técnico en materias de
la Infraestructura de la calidad, las cuales en el ámbito de la ciberseguridad se relacionan
con la serie de normas ISO/IEC 27000.

j) Ministerio Público:
Cumpliendo el rol de dirigir la persecución penal y ejercer la acción penal pública, el
Ministerio Público es un organismo autónomo, cuya función es dirigir la investigación de
los delitos, llevar a los imputados a los tribunales, si corresponde, y dar protección a
víctimas y testigos.

k) Poder Judicial:
Con la facultad exclusiva de conocer resolver y hacer cumplir lo juzgado en causas civiles
y penales, el Poder Judicial está conformado por tribunales de diversa competencia: civil,
penal, laboral y familia. En el marco de la ciberseguridad, los jueces autorizan algunas
diligencias intrusivas, controlan la legalidad de la investigación penal, y deciden respecto
de las causas criminales, incluyendo los ciberdelitos.

23 www.iplacex.cl
 Conclusión
Cerrando los contenidos que han sido expuestos en las semanas de este curso, es
presentada la norma ISO 27001:2017, proporcionando un marco formal para que
la gestión que se lleve a cabo respecto de la seguridad de la información se efectúe
como un proceso sistémico, documentado y conocido por la organización.

Por otra parte, los nuevos avances tecnológicos y el desarrollo de la informática,

hechos patentes en las últimas décadas, han permitido el avance de situaciones
complejas tales como la globalización. La legislación chilena debe mejorar la forma
en que el Derecho Penal aborda una considerable diversidad de delitos contra
activos de información en donde ya no es necesaria la presencia física para un robo
y la información ilegalmente sustraída puede ahora estar en cualquier rincón del
planeta.

Finalmente, es importante destacar cómo el vertiginoso escenario de avances

tecnológicos ha traído consigo la ruptura de ciertos paradigmas que han creado
nuevos dilemas éticos para los profesionales ligados a las tecnologías de la
información, quienes deben explorar propuestas sobre formas para entender
adecuadamente los dilemas éticos que origina la informática y establecer guías
cuando no existen reglamentos que no normen una conducta adecuada.

24 www.iplacex.cl
 REFERENCIAS

Chaparro Ronderos, M. F. (2016). Elaboración de un plan de implementación de la

ISO/IEC 27001: 2013 para la unidad de GST (Master's thesis, Universitat Oberta de
Catalunya).

Doria Corcho, A. F. (2015). Diseño de un sistema de gestión de la seguridad de la

información mediante la aplicación de la norma internacional ISO/IEC 27001: 2013
en la oficina de sistemas y telecomunicaciones de la Universidad de Córdoba.

Huerta, M., & Líbano, C. (1996). Delitos informáticos. Ed. Jurídica ConoSur.

https://neuronet.cl/nueva-ley-21459-sobre-delitos-informaticos-en-chile/

25 www.iplacex.cl
 REFERENCIAS DE IMÁGENES

1.- Figura 1: principios de la seguridad de la información (Reyes, A. 2017)

2.- Figura 2: relación entre seguridad de la información y seguridad informática (Reyes,

A. 2017).

3.- Figura 3: componentes de la norma ISO/IEC 27001:2017 (Reyes, A. 2017)

26 www.iplacex.cl