“Probablemente ellos están haciendo la evaluación legal. Nosotros lo estaremos observando con atención, principalmente la Agencia de Ciberseguridad, y, en función de eso, también ver las potenciales acciones que correspondan".

Así fue como el ministro de Seguridad, Luis Cordero, abordó durante la jornada de ayer domingo la polémica que se tomó parte de la jornada del balotaje presidencial y que puso bajo reproches a la empresa de producción y distribución de gas Lipigas.

Durante la madrugada del domingo varios usuarios de la compañía que mantenían la App en sus celulares recibieron mensajes donde se les invitaba a apoyar al candidato del Partido Republicano, José Antonio Kast.

“Lipigas con Kast #Evopoli. Vota por Kast #NoMigrantesDelincuentes. En Lipigas comprometidos con recuperar nuestro país! #ChileXLosChilenos #NoMigrantes #CaribeñosAlCaribe Apoya nuestro directivo Juan M. Santa Cruz”, se leía en el mensaje.

De inmediato las alertas se encendieron e incluso la empresa ingresó una denuncia ante el Ministerio Público por presunto sabotaje informático. Luego, en un comunicado de prensa, informaron que los mensajes que se envían desde su aplicación los gestiona una empresa externa que habría sufrido la intervención indebida de terceros.

En paralelo, la Agencia Nacional de Ciberseguridad (ANCI) activó rápidamente sus gestiones paralelas al proceso penal para identificar las responsabilidades administrativas que le caben a la empresa privada, pues el hecho de que mantengan tercerizado el servicio de mensajería no los exime de culpa.

Como explica a La Tercera el director nacional de la ANCI, Daniel Álvarez, la agencia tiene entre sus atribuciones legales la respuesta a incidentes de ciberseguridad en el sector público y privado, lo que incluye analizar las causas y medidas de mitigación cuando una institución enfrenta un incidente, tales como vulneraciones de seguridad, brechas de datos, fallas o indisponibilidad en sus sistemas.

“La agencia verifica si se adoptaron las medidas técnicas, organizativas y de reporte exigidas por la ley, además que adopta las medidas que sean necesarias para evitar la propagación del incidente, si fuera el caso”, aseguró Álvarez.

La división del organismo encargada de los análisis es el Csirt Nacional, que, como detalla Álvarez, verifica en primera instancia si se efectuaron los reportes obligatorios en un plazo inicial de tres horas. “El Csirt Nacional analiza el reporte y se contacta con la institución afectada para apoyar en la mitigación del evento, incluyendo la solicitud de información necesaria para reducir impactos y para emitir potenciales alertas que permitan que el incidente no afecte a otras instituciones”, agregó.

En cuanto a las sanciones que arriesga Lipigas, el director de la ANCI señaló que “la ley marco de ciberseguridad define sanciones que son independientes del proceso penal que eventualmente se desarrolle. Si la agencia determina que una entidad incumplió obligaciones de la ley o las instrucciones generales de la agencia -por ejemplo, no reportar un incidente de manera oportuna o no implementar medidas de seguridad exigidas-, puede imponer multas y otras medidas administrativas, aunque exista un proceso penal abierto por los mismos hechos".

Acotó, eso sí, que la eventual aplicación de medidas o multas dependerá de lo que se determine al término de la investigación administrativa, una vez analizados todos los antecedentes técnicos y regulatorios del caso.

De todas formas, enfatizó en que Lipigas no queda exenta de responsabilidad si el servicio lo realizan terceros. “El hecho de que ciertos servicios -como notificaciones, atención al cliente o mensajería- estén tercerizados no exime a la empresa regulada de sus obligaciones bajo la Ley Marco de Ciberseguridad. La responsabilidad de cumplir con los estándares, implementar medidas, reportar incidentes y garantizar la seguridad de la información recae en la entidad obligada, aunque contrate proveedores o terceros“, dijo Álvarez.

Respecto de los plazos para el desarrollo de la indagación, Álvarez detalló que no existe una duración determinada para el desarrollo de las pesquisas.