Extracción de correos desde el EMCO: impacto, responsabilidades y reflexiones

Impacto

No hay ninguna forma de minimizar el potencial impacto a la seguridad de la Defensa Nacional, que tuvo la masiva extracción de correos desde el EMCO y que fuera hecha pública el pasado 19 de septiembre.

Como en muchas organizaciones, es evidente que en este órgano del Ministerio de Defensa se ha usado el correo electrónico interno en apoyo a innumerables actividades administrativas y operativas, así ha sido desde hace ya más de medio siglo en toda organismo que dispone de este servicio. Pero la facilidad de su empleo y la agilidad que imprime el correo electrónico a la gestión de información, a la larga, transforma en rutina el intercambio de datos independiente de su clasificación, insensibilizando a los usuarios, finalmente, respecto de las medidas de seguridad necesarias para resguardar los que son más confidenciales.

De este modo, y como lo han insinuado algunos medios de prensa, se puede tener la certeza que entre los correos sí hay información clasificada como “secreto”, o bien, de menor clasificación pero que, analizadas en conjunto, permitirán conocer el detalle de actividades operativas, procedimientos de planificación, funcionamiento de centros de mando y control, doctrinas conjuntas en distintas funciones, proyectos pasados, en ejecución o futuros; situación logística, vulnerabilidades, intereses de inteligencia, carencias importantes y un largo etc.

Conocedores de la cultura organizacional de este tipo de reparticiones, estarán de acuerdo que archivos de “Power Point” con información estratégica en presentaciones para autoridades, Actas de entrega entre mandos entrantes y salientes de direcciones o departamentos –seguramente de la propia Jefatura del EMCO-, o bien, borradores de documentos de alta sensibilidad; con certeza circularon profusamente entre las casillas de correo de secretarías o de quienes eran responsables de desarrollarlos o aprobarlos.

Pues bien, todos esos documentos se encuentran disponibles libremente para ser bajados desde un sitio en Internet o, para hacerlo más simple, a través de un buscador que, al estilo de Google, permite revisar el contenido de casi los cerca 400 mil correos filtrados con antecedentes que abarcan, al menos, los últimos seis años; es decir, es como haber dado acceso público a la bandeja de entrada y salida del correo electrónico de todas las cuentas en el servidor de correo del EMCO.

Para toda persona u organismo con interés en estas materias, esos datos representan ahora una veta de oro pero con el mineral esparcido sobre la superficie, listo para su uso y prácticamente sin necesidad de esfuerzo para extraerlo. Es más, apelando a otra analogía, tanto la prensa (que por meses tendrá material para regocijarse), como todo servicio de inteligencia extranjero con interés en la Defensa Nacional de Chile, se están dando un festín con un suculento bufet gratuito de datos exquisitos y diversos.

Responsabilidades en el EMCO

No deben quedar dudas respecto que la renuncia del General Paiva está plenamente justificada pero, ¿hay más responsabilidades que establecer? Claro que si, y el alcance de las mismas será algo que el sumario anunciado por las autoridades de Defensa debería responder prontamente, no obstante, es curioso constatar que, junto a su Jefe, no hayan asumido su responsabilidad de mando, al menos, dos de los Directores del Estado Mayor Operacional y cuyas funciones los hace tan responsables como al JEMCO.

En efecto, mientras que, por un lado, la Dirección de Inteligencia de Defensa, DID, tiene la responsabilidad de monitorear las condiciones de ciberseguridad y “brindar seguridad a las redes y sistemas del Ministerio de Defensa Nacional”, entre ellas las del EMCO a través del CSIRT de la Defensa Nacional[1], por el otro, la Dirección de Mando y Control Estratégico, DIMCO, es la responsable de la gestión y administración de las tecnologías de información y comunicaciones de esa alta repartición conjunta[2]; ambos directores deberían haber salido junto al General Paiva.

Pero, ¿y las responsabilidades políticas?

En base a las disposiciones del Reglamento Orgánico y de Funcionamiento del Ministerio de Defensa Nacional, aprobado por DS N°248 del 2010, se desprende que, directa o indirectamente, probablemente sí haya responsabilidades políticas en Defensa. En primer lugar, en su Título III, artículo 24°, letra p), se señala que dentro de las responsabilidades de la Subsecretaría para las FF.AA. está “Proponer al Ministro e implementar la política de informática del Ministerio”, agregando luego en el numeral 3) de la letra b) del Artículo 25°, que entre las funciones de la División Administrativa se encuentra sugerir “la implementación de la política de información ministerial”, tareas que recaerían en su Departamento de Tecnologías de la Información y Comunicaciones, reconociéndose implícitamente en ambos artículos que su rol y responsabilidades en este ámbito alcanza a todo el Ministerio.

Por otro lado, y a pesar que en el Título dedicado a la Subsecretaria de Defensa del mismo cuerpo legal, se establece explícitamente que las responsabilidades en el sostenimiento de la ciberseguridad[3] -en la División de Desarrollo Tecnológico e Industria-, se limitan a la propia Subsecretaría, no deja de llamar la atención lo declarado por el ex Ministro de Defensa Alberto Espina en su cuenta pública del 2019, cuando señala que durante su gestión se habría elaborado una Directiva Ministerial[4] en la que se nombra al Subsecretario de Defensa como coordinador ministerial de ciberseguridad, abarcando el alcance de estas funciones tanto a las subsecretarias como al EMCO, según se desprende de lo señalado por él[5].

En cuanto a la Ministra, esta tiene una responsabilidad política inherente en base a su rol ministerial de fiscalizar las actividades de su cartera, según lo establece la Ley N° 20424, “Estatuto Orgánico del Ministerio de Defensa Nacional”[6]; además, en este mismo cuerpo legal en su artículo 5° también se señala que tiene la “responsabilidad de la conducción del Ministerio, en conformidad con las políticas e instrucciones que el Presidente de la República imparta”.

Pues bien, en octubre de 2018 el Presidente de la República estableció en un Instructivo Presidencial[7], aun vigente, una serie de obligaciones y responsabilidades para sostener la ciberseguridad en el Estado, agregando que esto era algo que le corresponde al Gobierno a través de sus Jefes de Servicio. Por lo tanto, y en atención a lo indicado en la Ley y el Instructivo referenciados, tanto los Subsecretarios como el JEMCO tenían y siguen teniendo obligaciones en esta materia, mientras que la Ministra, tenía y sigue teniendo el deber de supervigilar.

Es más, y en particular en base a las disposiciones del instructivo Presidencial señalado en el párrafo anterior, en rigor se podría decir que las responsabilidades políticas de este caso van más allá del Ministerio de Defensa. Por ejemplo, el numeral 8 de la sección IV de dicho acto administrativo, junto con definir la creación de un centro de respuestas a incidentes del Ministerio de Defensa, establece el nombramiento de un Coordinador Nacional de Ciberseguridad y define un Centro Nacional de Incidencias Informáticas dependientes del Ministerio del Interior[8], algo que necesariamente debe considerarse en conjunto con la creación de la Unidad de Coordinación de Ciberseguridad[9] de la Subsecretaría del Interior – dirigida actualmente por el Coordinador Nacional recién señalado-, con la responsabilidad, precisamente, de “materializar los aspectos relacionados con ciberseguridad encomendados por el Presidente de la República”.

También son pertinentes a este caso algunas de las modificaciones del Decreto N°579 del 7 de enero de 2020, que introdujeron modificaciones al Decreto N°533 del 2015 que crea el Comité Interministerial sobre Ciberseguridad ya que, en particular, agrega como función de dicho Comité el identificar “y advertir las amenazas actuales y potenciales en el ámbito del ciberespacio, proponiendo las acciones tendientes a proteger, mitigar o superar dichos riesgos informáticos”[10], así como también crea la Comisión Asesora del Comité Interministerial de Ciberseguridad[11], un órgano de carácter técnico dentro de cuyas funciones se encuentra proponer al Comité “los protocolos de coordinación técnica frente a diversas amenazas a la ciberseguridad”[12], poniendo a su disposición prácticamente todos los recursos de ciberseguridad del Estado.

Reflexiones.

Este es un caso muy grave, al punto que no es aventurado señalar que ha comprometido gravemente la seguridad de la Defensa Nacional y, consecuentemente, la del País; por lo tanto, la renuncia del Jefe del Estado Mayor Conjunto por su responsabilidad de Mando es, sin duda, acertada y justa. Sin embargo, a esta última debería agregarse la salida del Director de Inteligencia de Defensa, responsable del monitoreo de seguridad cibernética del EMCO a través del CSIRT de Defensa, pues el sentido de urgencia de la reacción una vez detectada la vulnerabilidad posteriormente explotada, la debió imprimir él y falló. Con la misma lógica, también debería dejar sus funciones el Director de Mando y Control Estratégico, porque de él depende la gestión de los sistemas de información de dicha repartición y, por tanto, es suya la responsabilidad de que las actualizaciones de seguridad de sus sistemas sean aplicadas diligentemente.

Aunque en Chile las autoridades políticas no les nace de manera natural hacerse responsables de las situaciones que ocurren en sus carteras y, por lo general, ante situaciones graves se apela al expediente de acusar a subordinados; en este caso en particular, en el que se ha comprometido gravemente la Seguridad Nacional, es incomprensible que no haya autoridad política alguna, siquiera, cuestionada por este escándalo.

Está claro que frente a esta situación la Ministra de Defensa y el Subsecretario de Defensa tienen responsabilidad directa, este último incluso habría tenido funciones específicas de ciberseguridad a nivel ministerial; por su parte, la Ley de funcionamiento del Ministerio de Defensa también hace responsable al Subsecretario para las FF.AA. -aunque tangencialmente-, y, finalmente, mientras que el Ministerio del Interior en general, como la Subsecretaria del Interior, en particular, tienen injerencia en el sostenimiento de la ciberseguridad nacional -incluyendo la de la Defensa-, al MINSEGPRES, por su parte, al menos se le puede cuestionar la falta de diligencia en la elaboración de normativas y estándares derivados del Instructivo Presidencial N°8.

Hay que considerar, eso sí, que el ataque ocurrió en mayo pasado, según indicara el Subsecretario del Interior hace algunos días[13], por lo mismo, sería injusto que se les exija responsabilidades a quienes con distinto grado de responsabilidad en la ciberseguridad nacional, en general, y de la Defensa, en particular, no hayan estado ejerciendo sus funciones en ese momento, como por ejemplo, el actual Subsecretario de Defensa o el recientemente nombrado Coordinador Nacional de Ciberseguridad[14].

Finalmente, las últimas palabras van tanto para el personal técnico responsable de la Ciberseguridad en el EMCO, como para los altos mandos de las FF.AA. A los primeros para solidarizar con ellos en un momento en el que, como suele suceder, muchos se ven tentados a “hacer leña del árbol caído” por medio de abundantes críticas que, muchas veces, son hirientes y carentes de un sentido constructivo. Es muy probable que, en este caso, las dilaciones para resolver las vulnerabilidades detectadas se hayan debido más a resquemores de mandos superiores para no «pisar callos» en las, a veces, sensibles epidermis del mundo conjunto, más que a falencias técnicas o de criterio de los técnicos y especialistas de ciberseguridad.

A los segundos, para enfatizar que el ciberespacio hace rato que no es un “nuevo dominio”, pues se convive con él desde hace décadas, por lo que la falta de decisión para enfrentar los riesgos y oportunidades que este presenta tiene consecuencias. Es hora de dejar de mirar con desdén lo relacionado con seguridad e inteligencia para, por un lado, convencerse que las ciberoperaciones deben ser, de una vez por todas, consideradas como una capacidad operacional creando, por ejemplo, los respectivos Comandos de Ciberoperaciones y, por el otro, reconocer el mérito de los especialistas que se han dedicado a desarrollarlas y potenciarlas.

Gracias por visitar el blog.

[1] https://www.emco.mil.cl/index.php/ciberdefensa/, disponible el 25 de septiembre 2022.

[2] Orden Ministerial N°2393 del 9 de diciembre del 2020 que dispone Organización y funcionamiento del Estado Mayor Conjunto. En https://www.portaltransparencia.cl/PortalPdT/directorio-de-organismos-regulados/?org=AD023, disponible el 25 de septiembre 2022.

[3] Letra c) del artículo 20°

[4] Correspondería a la actualización de Directiva de Ciberseguridad para el Ministerio de Defensa Nacional por la Orden Ministerial N°2/2018, según lo señalado en la página 9 de la resolución de la Subsecretaría para las FF.AA., que aprueba  la Política General de Seguridad de la Información de esa repartición, esta última disponible el 26 de septiembre de 2022 en https://www.ssffaa.cl/media/A.05.01.01-2018-Politicas-para-la-seguridad-de-la-informacion.pdf

[5] https://www.defensa.cl/wp-content/uploads/DISCURSO-Cuenta-Pública-Participativa.pdf, disponible el 25 de septiembre del 2022.

[6] Letra e) del Artículo 3° de

[7] Disponible el 26 de septiembre del 2022 en https://digital.gob.cl/biblioteca/regulacion/instructivo-presidencial-no8-ciberseguridad/

[8] Además agrega que el MINSEGPRES será responsable de la elaboración de las normativas y estándares relacionados.

[9] Creada el 20 de agosto de 2019 por Resolución Exenta N°5006 del Ministerio del Interior.

[10] Artículo segundo, letra b).

[11] Artículo octavo.

[12] Letra b) del artículo décimo.

[13] https://www.elmostrador.cl/destacado/2022/09/24/hackeo-al-estado-mayor-conjunto-monsalve-confirma-que-ciberataque-ocurrio-en-mayo-de-este-ano/

[14] Ambos nombrados los primeros días de Septiembre de este año.