Por: Antonia Nudman y Francisco Alarcón
El incidente del ISP revela una falta estructural de resiliencia cibernética, entendida como la capacidad de una organización para prevenir, resistir, adaptarse y recuperarse de eventos disruptivos en su ecosistema digital.
El Instituto de Salud Pública (ISP) de Chile fue recientemente víctima de un ciberataque de impacto significativo. El mismo, habría correspondido a un ransomware de origen internacional, obligó a la institución a apagar sus servidores, suspendiendo abruptamente gran parte de su operatividad. Plataformas críticas como GICONA quedaron fuera de servicio durante más de 10 días, mientras el Ministerio de Salud debió coordinar con otras instituciones el ingreso de medicamentos, dispositivos médicos y otros productos sanitarios mientras los sistemas de registro permanecían caídos.
Así también, durante ese período, muchos trámites esenciales se realizaron de forma manual o quedaron suspendidos, lo que reveló la alta dependencia de procesos digitales que, en este caso, se vieron comprometidos, generando un impacto profundo en el funcionamiento del sistema sanitario.
La principal vulnerabilidad que habría permitido el ciberataque al ISP fue una brecha crítica en su infraestructura tecnológica, que incluía la falta confirmada de respaldos completos y la exposición a riesgos derivados del teletrabajo, sin sistemas adecuados, como VPNs vulnerables. Y, a más de un mes del ataque, la situación sigue sin regularizarse completamente.
Todo esto ocurre con el Instituto de Salud Pública, organismo certificado como Autoridad de Alta Vigilancia Sanitaria, Nivel 4 -la mayor calificación disponible a nivel mundial- que debiera garantizar los más altos estándares de seguridad y control. Que incluso bajo este estándar se produzcan vulneraciones de esta magnitud demuestra que estamos frente a un verdadero ataque a la infraestructura crítica del Estado, con consecuencias que pueden extenderse mucho más allá de la esfera sanitaria.
Pero este ciberataque no solo evidencia una alarmante fragilidad tecnológica, sino que también activa directamente los marcos regulatorios recientemente promulgados en Chile. La Ley Marco de Ciberseguridad obliga a implementar medidas de seguridad basadas en gestión de riesgos, adoptar una arquitectura de defensa en profundidad, establecer mecanismos de detección, respuesta y recuperación ante incidentes, y contar con planes de continuidad operativa y recuperación ante desastres (BCP y DRP) debidamente testeados.
Más allá de la respuesta puntual, el incidente revela una falta estructural de resiliencia cibernética, entendida como la capacidad de una organización para prevenir, resistir, adaptarse y recuperarse de eventos disruptivos en su ecosistema digital, sin perder continuidad en sus funciones esenciales. Esto requiere más que parches técnicos: implica una gobernanza robusta de ciberseguridad, con roles y responsabilidades definidos, auditorías periódicas, pruebas de penetración, simulacros de crisis y una cultura organizacional basada en el principio de mejora continua.
En paralelo, la Ley de Protección de Datos Personales eleva significativamente los estándares para el tratamiento de datos sensibles. Impone obligaciones de seguridad por defecto y desde el diseño, lo que obliga a los organismos públicos a incorporar medidas técnicas, organizativas y jurídicas para evitar accesos no autorizados, filtraciones o usos indebidos de información.
Este ataque pone en jaque la noción de confianza pública en la capacidad del Estado para proteger no solo sus plataformas, sino los derechos fundamentales de la ciudadanía. El ISP, certificado como Autoridad de Alta Vigilancia Sanitaria, debía ser un referente en seguridad y robustez. Que incluso bajo ese estándar se produzca una vulneración de esta magnitud obliga a replantear cómo definimos y gestionamos la seguridad digital como bien público. Chile enfrenta hoy la urgencia de pasar del cumplimiento formal al cumplimiento sustantivo, incorporando la resiliencia cibernética como principio rector del diseño institucional en la era digital.
*Antonia Nudman es Asociada Senior de az Tech y Francisco Alarcón, Asociado Senior de Derecho Público y Mercados Regulados de Albagli Zaliasnik (az)
