Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp

Términos y Condiciones

Términos y condiciones de uso del Sitio Web del CSIRT de Gobierno

Versión 2024040101

1. Introducción

Este documento contiene los Términos y Condiciones de uso (en adelante, Términos y Condiciones) del sitio web https://csirt.gob.cl (en adelante, el Sitio Web). Al utilizar el Sitio Web, registrarte en él, o utilizar alguno de los servicios gratuitos ofrecidos en el mismo, declaras conocer y aceptar el contenido de estos términos y condiciones, así como la política de privacidad del Sitio Web.

El Sitio Web puede ser utilizado por cualquier persona; sin embargo, parte de la información está dirigida exclusivamente a encargados de ciberseguridad.

2. Definiciones

Para los propósitos de estos Términos y Condiciones, los siguientes términos tendrán los significados indicados a continuación:

  1. Administración del Estado: Se refiere a las instituciones descritas en el inciso 2 del artículo primero de la Ley 21.663, Ley marco de ciberseguridad.
  2. CSIRT: Se refiere al CSIRT de Gobierno, un departamento de la Unidad de Coordinación Nacional de Ciberseguridad, en la Subsecretaría del Interior, Gobierno de Chile, ubicado en Teatinos 92, piso 6, Santiago, Chile.
  3. Encargados de ciberseguridad: Se refiere a las personas dedicadas a labores de ciberseguridad tanto en la Administración del Estado como en Instituciones en convenio.
  4. FQDN: Se refiere a un Nombre de Dominio Completamente Calificado, por su sigla en inglés (Fully Qualified Domain Name).
  5. Indicadores de compromiso: Se refiere a datos específicos que de ser observados en un archivo, sistema o aplicación, permiten afirmar con un grado de certeza alto que dicho archivo, sistema o aplicación ha sido vulnerado o comprometido por un atacante malicioso.
  6. Instituciones en convenio: Se refiere a organizaciones con convenios vigentes con el CSIRT, independientemente de si pertenecen o no a la Administración del Estado.
  7. Ley Marco de Ciberseguridad: Se refiere a la Ley Marco de Ciberseguridad N° 21.663, publicada en el Diario Oficial el 8 de abril de 2024.
  8. Red de Conectividad del Estado, o RCE: Se refiere a la red administrada por la Subsecretaría del Interior, dentro del segmento de red 163.247.0.0/16, a través de la que una parte de las instituciones de la Administración del Estado se conectan a Internet y obtienen servicios de seguridad brindados por CSIRT.
  9. Scraping, o Web scraping: Se refiere a la extracción de información de un sitio web a través de medios automáticos, para utilizar esta información en un programa o aplicación automática.
  10. Sitio Web: Se refiere al sitio ubicado en https://csirt.gob.cl. Este sitio es responsabilidad del CSIRT.
  11. Términos y condiciones: Se refiere a este documento.
  12. Usuario: Se refiere a la persona que visita o utiliza el Sitio Web, ya sea a través de un nevegador, un programa de consola como curl o wget, o a través de la API del Sitio Web.

3. Información provista a través del Sitio Web

3.1. Sobre las alertas

El Sitio Web posee una sección de alertas (ver Alertas). Las alertas publicadas en el Sitio Web corresponden a uno o más de los siguientes tipos:

  1. Alertas de falsificación: información sobre sitios que se hacen pasar por otros, y que podrían intentar capturar credenciales u otra información sensible de personas. Estos sitios son usualmente los destinatarios de un correo electrónico de phishing.
  2. Alertas de incidentes: información urgente sobre una vulnerabilidad siendo explotada activamente en máquinas dentro de la RCE, o bien en Internet.
  3. Alertas de malware: información sobre malware que haya sido detectado como activo en un momento determinado dentro de la RCE, ya sea contenido en sitios web específicos, enviado como archivo adjunto en correo electrónico, o referenciado en URLs conocidas.
  4. Alertas de phishing: información sobre correos electrónicos que intentan engañar a su receptor, empujándolo a hacer click en un link que lleva al usuario a un sitio fraudulento que se hace pasar por otro, y que pide credenciales para ese otro sitio.
  5. Alertas de vulnerabilidad: información sobre vulnerabilidades en software y aplicaciones utilizadas en servicios públicos.
  6. Otros tipos de alertas que el CSIRT puede decidir publicar.

El objetivo de las alertas anteriores es brindar información oportuna a los encargados de ciberseguridad y al usuario, en el cumplimiento de lo establecido en la letra i) del artículo 24 de la Ley Marco de Ciberseguridad.

Queda prohibido al usuario el web scraping de información desde las páginas del Sitio Web. Los intentos reiterados y detectados de web scraping serán bloqueados permanentemente a través del bloqueo de la dirección IP de origen.

Si el usuario desea utilizar la información publicada en el Sitio Web a través de cualquier clase de programa o sistema automático, debe hacer uso del servicio de API del Sitio Web (ver "3.6. Sobre la API").

Si el usuario desea utilizar los indicadores de compromiso publicados en el Sitio Web a través de cualquier clase de programa o sistema automático, debe hacer uso del servicio de intercambio de indicadores de compromiso (ver Intercambio de Indicadores de Compromiso).

El CSIRT realiza su mejor esfuerzo para brindar información oportuna, precisa y útil. El CSIRT no es responsable del mal uso de esta información, o de la aplicación incorrecta de las indicaciones entregadas para corregir vulnerabilidades contenidas en las alertas.

3.2. Sobre los servicios

El CSIRT brinda a los encargados de ciberseguridad una serie de servicios, descritos en el Sitio Web (ver Servicios). Estos servicios son gratuitos, y son brindados en cumplimiento de lo establecido en la letra d) del artículo 24 de la Ley Marco de Ciberseguridad.

Los servicios ofrecidos en el Sitio Web son brindados exclusivamente a:

  1. Organizaciones de la Administración del Estado; o
  2. Organizaciones con convenios vigentes con el CSIRT.

Todas las solicitudes realizadas por personas que no pertenezcan a alguna de las organizaciones anteriores serán rechazadas.

Los servicios ofrecidos por el CSIRT pueden tener condiciones específicas que dependen de cada servicio. Para la correcta prestación de estos servicios es necesario que el solicitante tenga un conocimiento técnico mínimo sobre lo que está solicitando. El CSIRT hará su mejor esfuerzo para brindar asistencia técnica en aquellos casos en que el o la solicitante no posea este mínimo conocimiento técnico; sin embargo, el o la solicitante es responsable de brindar información correcta, completa y oportuna para que el CSIRT pueda brindar el o los servicios solicitados.

3.3. Sobre los documentos

El Sitio Web posee una sección de documentos (ver Documentos). Esta sección contiene distintos tipos de documentos en formato PDF. La información en estos documentos es un resumen de la información provista en otras secciones del Sitio Web, y es para facilitar su lectura y difusión al público general. La información en esta sección no debe ser usada para realizar respuesta a incidentes de ciberseguridad, porque puede ser provista con varios días de retraso respecto del resto de la información publicada en el Sitio Web.

3.4. Sobre el muro de la fama

El Sitio Web posee una sección donde reconoce y agradece a las personas naturales que reportan información sobre vulnerabilidades, problemas de ciberseguridad, amenazas de ciberseguridad, u otros tipos de información que ayuden a la labor del CSIRT.

Para efectos de publicar las contribuciones en el Muro de la Fama, el CSIRT se reserva el derecho de revisar las contribuciones, y de decidir qué constituye un aporte.

3.5. Sobre los ciberconsejos

El CSIRT genera y publica ciberconsejos en el Sitio Web. Los ciberconsejos son imágenes y textos con recomendaciones sobre ciberseguridad para personas sin experiencia ni conocimiento en ciberseguridad. Esta información es de libre circulación y difusión, y es provista en cumplimiento de la letra g) del artículo 24 de la Ley Marco de Ciberseguridad.

El usuario puede redistribuir y modificar los ciberconsejos en la forma que quiera, siempre que cumpla con los requisitos establecidos en el punto 4.6 de estos Términos y Condiciones.

3.6. Sobre la API

El CSIRT creó una API pública para obtener la información publicada en el Sitio Web a través de programas o aplicaciones. Al momento de aprobada estos Términos y condiciones, la versión más reciente de la API es la v1. La documentación de la API está disponible en la URL https://csirt.gob.cl/api/v1/docs/.

La información disponible a través de la API es la siguiente: noticias, galerías, eventos, documentos y alertas. Esta información se ofrece a los encargados de ciberseguridad y al público general como una forma de permitir publicar el contenido del Sitio Web en otros medios. No es necesario autenticarse para tener acceso a esta API.

Al utilizar la API, el usuario se compromete a:

  1. No realizar más de diez peticiones por minuto a la API. El Sitio Web tiene un sistema de protección en contra de peticiones que superen un cierto límite, que bloquea temporalmente la dirección IP correspondiente. En caso de que detectemos direcciones IP que repetidamente realicen esta acción, serán bloqueadas permanentemente.
  2. No afectar el sistema de ninguna manera, ya sea a través de vulnerabilidades expuestas, a través de posibles inyecciones de código, o a través de cualquier otra técnica o método que intencionalmente afecte la confidencialidad, integridad o disponibilidad de la API o del Sitio Web.
  3. Reportar inmediatamente al correo [email protected] cualquier problema o vulnerabilidad que el usuario detecte en la API.
  4. Cumplir con los requisitos establecidos en el punto 4.6 de estos Términos y Condiciones en el caso de que la información obtenida a través de la API se republicada en otro sitio web, fuente RSS, o en cualquier otro medio digital o impreso.

En caso de no estar de acuerdo con las condiciones anteriores, el usuario no debe usar al API.

4. Uso de la información en el sitio web

4.1. Sobre las fuentes de la información y su actualización

La información contenida en el Sitio Web, que incluye todo lo descrito en el punto 3 de estos Términos y condiciones, tienen su origen en múltiples fuentes de información, tanto públicas como privadas. Parte de esta información es generada por herramientas automáticas y revisada por analistas humanos.

El propósito de la información generada y publicada en el Sitio Web es apoyar la labor de los encargados de ciberseguridad.

El personal del CSIRT realiza continuamente su mejor esfuerzo para ofrecer información verídica, confirmada, relevante, útil y oportuna para tomar medidas de protección contra amenazas y problemas de ciberseguridad. Sin embargo, no podemos garantizar que esta información sea suficiente para proteger completamente una organización contra estas amenazas.

La información publicada puede ser modificada o actualizada a partir de nuevos antecedentes y análisis. El CSIRT hará su mejor esfuerzo para avisar de forma oportuna los cambios en la información publicada.

4.2. Sobre los productos y servicios de terceros

El CSIRT puede entregar información sobre productos o servicios de terceros, cuando existan problemas de ciberseguridad asociados a estos productos. La información entregada por CSIRT no debe ser entendida en ningún caso como una recomendación a favor o en contra del uso de aquellos productos o servicios mencionados.

4.3. Sobre la naturaleza de las medidas de ciberseguridad

Las medidas de ciberseguridad indicadas y descritas en el Sitio Web deben ser consideradas como recomendaciones y sugerencias. Su aplicación es voluntaria para las organizaciones en la Administración del Estado.

Las medidas de ciberseguridad recomendadas a través del Sitio Web requieren de conocimiento técnico para ser aplicadas correctamente. El CSIRT realiza su mejor esfuerzo para brindar información completa y suficiente desde el punto de vista técnico. El CSIRT no es responsable de la incorrecta aplicación de las medidas de ciberseguridad recomendadas a través de su Sitio Web.

Las medidas de ciberseguridad recomendadas a través del Sitio Web no son suficientes para proteger completamente los activos digitales de una organización. Las organizaciones en la Administración del Estado son responsables de tener personal entrenado para tomar todas aquellas medidas de ciberseguridad necesarias para proteger sus propios activos digitales.

4.4. Sobre la gestión de indicadores de compromiso

Los indicadores de compromiso que CSIRT publica en el Sitio Web son analizados por especialistas técnicos antes de ser publicados.

Los indicadores de compromiso pueden ser utilizados en equipos de seguridad perimetral, como firewalls, IDS, IPS u otros similares; o en aplicaciones de ciberseguridad, como SIEMs u otros similares. Al hacerlo, el usuario debe tener presente que la relación entre un nombre FQDN y una dirección IP puede cambiar en el tiempo; por tanto, cada usuario es responsable de revisar el estado de un indicador de compromiso y de eliminarlo cuando estime conveniente.

4.5. Sobre la naturaleza de la información recolectada, recibida y publicada

Toda la información sobre ciberseguridad recolectada o recibida por el CSIRT para el cumplimiento de sus funciones es de naturaleza secreta o reservada, de acuerdo con lo establecido en los artículos 19, 33, 34 y 35 de la Ley Marco de Ciberseguridad. Esto incluye las notificaciones de incidentes de ciberseguridad notificados al CSIRT a través de su Sitio Web, realizados tanto por personas naturales como por funcionarios o funcionarias de organizaciones.

El CSIRT no publica información que permita identificar personas u organizaciones (ver el punto 6 de la Política de Privacidad), a menos que las personas u organizaciones en cuestión nos entreguen su consentimiento explícito para ello.

4.6. Sobre la licencia de la información publicada

Salvo donde se indique de otra forma, todo el contenido e imágenes publicadas en el Sitio Web están bajo una licencia Creative Commons Atribución 4.0 Internacional. Esto quiere decir que respecto del contenido e imágenes publicadas por CSIRT en el Sitio Web, el usuario puede:

  1. Copiarlas y redistribuirlas en cualquier medio o formato para cualquier propósito, incluso comercialmente;
  2. Remezclarlas y transformarlas para cualquier propósito, incluso comercialmente;

Siempre y cuando el usuario:

  1. Indique que la fuente original del material es el CSIRT del Gobierno de Chile;
  2. Brinde un enlace al material original;
  3. Brinde un enlace a la licencia (https://creativecommons.org/licenses/by/4.0/legalcode.es); y
  4. Indique si se han realizado cambios.

Puede hacerlo en cualquier forma razonable, pero no de forma tal que sugiera que el usuario tiene el apoyo del CSIRT.

5. Cambios a estos Términos y condiciones

Este documento corresponde a la versión 2024041001 de los Términos y condiciones del Sitio Web del CSIRT, aprobados el 10 de abril de 2024. Este documento puede ser actualizado para reflejar los cambios en las prácticas de información personal del CSIRT o en las leyes aplicables. Los cambios serán debidamente informados a través del mismo Sitio Web, o a través de un correo electrónico enviado a la dirección que registres en caso de que hayas creado una cuenta en el Sitio Web.