Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

LA RESPUESTA PARA HACER FRENTE DE MANERA EFECTIVA A

Anuncio 
LA RESPUESTA PARA HACER FRENTE DE
MANERA
EFECTIVA
A
LAS
CIBERAMENAZAS FUTURAS EXIGE UNA
RUPTURA
CON
EL
ESQUEMA
DE
CIBERSEGURIDAD ACTUAL.
AUTOR
Juan de Dios Meseguer González. Militar en activo. Abogado
en ejercicio. Especialidad principal en Delitos tecnológicos. Perito
Judicial Informático Forense en ANTPJI. Doctor en Derecho por
la UNED. Tesis sobre el Análisis, tratamiento y respuesta científico
legal en la defensa de los Derechos fundamentales afectados por
los modi operandi de las amenazas procedentes del ciberespacio.
[email protected]
RESUMEN
Las particularidades que revisten los ciberdelincuentes informáticos
en cualquiera de sus modalidades, ponen de manifiesto, la necesidad
de contar con una nueva regulación normativa en materia de
ciberseguridad adaptada a las nuevas y cambiantes realidades
tecnológicas.
Hay que tener en cuenta, que las distintas modalidades o
especialidades delictivas se producen tanto en casos de criminalidad a
gran escala1, (en los que se cometen actuaciones delictivas totalmente
novedosas y de difícil persecución, como pueden ser los ataques de
denegación de servicios), pasando por otro tipo de delitos informáticos
menos organizados aunque también más frecuentes (como, por
ejemplo, los delitos de pornografía infantil, ciberacoso o ciertos tipos
de estafa, como el phishing o el pharming).
1 CESEDEN. “El Ciberespacio: nuevo escenario de confrontación”. 2012.
http://www.ieee.es/Galerias/fichero/OtrasPublicaciones/Nacional/CESEDEN_Mono
grafia126_CiberespacioNuevoEscenarioConflictos.pdf
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 1
PALABRAS CLAVE:
Ciberdelincuencia, Ciberseguridad,
modus operandi.
Tecnología,
Ciberataques,
ABSTRACT
The particularities computer Cybercriminals lining in all its forms,
indicate the need for new rules on Cybersecurity regulation adapted to
new and changing technological realities.
Keep in mind that different modalities or specialties criminal cases
occur in both large-scale crime, (in which totally new and difficult
persecution committed criminal acts, such as the denial of services)
through other less organized but also more frequent (for example,
child pornography offenses, cyberstalking, or certain types of fraud,
such as phishing or pharming) cybercrime.
KEYWORDS:
Cybercrime, Cybersecurity, Technology, Cyberattacks, modus
operandi.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 1
INDICE
INTRODUCCIÓN……………………………………………….....……….4
NORMATIVA SOBRE CIBERSEGURIDAD EN EL MARCO
NACIONAL E INTERNACIONAL ACTUAL…………………….......…..5
III. LA PREVENCIÓN Y RESPUESTA FRENTE A LAS NUEVAS
CIBERAMENAZAS, EXIGE PARA QUE SU CONTROL SEA
EFECTIVO UNA METODOLOGÍA Y UN TRATAMIENTO
NORMATIVO EN CIBERSEGURIDAD ADAPTADO A LOS AVANCES
TECNOLÓGICOS……………………………….........................…………..11
IV. CONCLUSIONES…………………………………….....…………………...23
V. BIBLIOGRAFÍA………………………………………….....……………….26
I.
II.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 2
I.INTRODUCCIÓN:
El ciberespacio es un entorno peligroso, estratégicamente
apropiado para intervenir por todo tipo de sujetos físicos y/o como
programas creados por expertos en informática y que son situados en
la red informática con objetivos concretos.
Pues bien, esto se debe a que el ciberespacio posee una serie de
características diferenciales del resto de los espacios. Resumidamente:
1.-El ciberespacio es un entorno único, en el que el atacante puede
estar en cualquier parte del globo.
2.-En la defensa intervienen muchos factores, y no sólo elementos
estatales2 sino también privados. Se exige pues una estrecha
coordinación entre todos ellos.
3.-La confrontación en el ciberespacio presenta frecuentemente las
características de un conflicto asimétrico; y es frecuentemente
anónimo y clandestino3.
4.-Permite obtener información sobre objetivos sin necesidad de
destruir ni neutralizar ningún sistema, y a menudo, sin delatarse.
5.-Permite también ejercer el chantaje; pero, al mismo, tiempo, la
defensa que utiliza para la disuasión.
6.-Evoluciona rápidamente siguiendo la evolución tecnológica de
las TIC.
Por tanto, lo que la ley va a perseguir y permitir a las unidades
militares, policiales, periciales, etc, es la forma de intentar prevenir los
ataques (fraudes, chantajes, calumnias, injurias, mensajes ofensivos,
injerencias en nuestras vidas y la de nuestras familias…), respecto de
un programa informático, en forma de virus, troyanos, malware, etc,
porque si pensamos en arrestar al individuo o individuos que lo
pusieron en circulación, adelantamos que casi es imposible e
improbable su rastreo, aunque sus consecuencias serán visibles:
económicas y humanas.
2 CORBACHO PALACIOS, Francisco Javier. “Análisis de la jurisdicción en el
plano internacional: Principio de Justicia Universal y efectos internacionales de la
jurisdicción de los Estados”. http://noticias.juridicas.com/art.iculos/55-Derecho
%20Penal/200707-00214589654125874541.html
3 DEL POZO PÉREZ, M., “El agente encubierto como medio de
investigación de la delincuencia organizada en la LECrim”, en Criterio
Jurídico, vol. 6, pág. 296. 2006.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 1
Estamos ante las “amenazas emergentes en desarrollo4” que son
noticia actualmente y lo seguirán siendo en los próximos años.
Aunque el desarrollo de las nuevas tecnologías se centra
principalmente en satisfacer la demanda del usuario en los países
occidentales5, los países en desarrollo también pueden beneficiarse de
estas nuevas tecnologías, pero los particulares ciberdelincuentes y
ciberterroristas, se aprovecharán de esos avances y de sus
vulnerabilidades, para producir caos en la red.
II.NORMATIVA SOBRE CIBERSEGURIDAD EN
MARCO NACIONAL E INTERNACIONAL ACTUAL.
EL
En un mundo como el actual, plenamente dependiente de las
nuevas tecnologías y para el que se precisa una urgente modernización
y actualización tanto de la normativa legal como de la forma de actuar
de los distintos agentes implicados, se hace preciso, previamente,
tomar conciencia de toda una variada gama de figuras que atentan a
los Derechos fundamentales de los ciudadanos, lo que en definitiva
afecta al concepto de “Estrategia de Ciberseguridad Nacional”, y con
el fin de dar respuesta al enorme desafío que supone la preservación
del ciberespacio de los riesgos y amenazas que se ciernen sobre él.
Siguiendo lo indicado en el documento de “Estrategia de
Ciberseguridad Nacional” aprobado por el gobierno en el 2013, se
presentan los siguientes Riesgos y amenazas que atentan a la
Ciberseguridad nacional:
4 FARALDO CABANA, Patricia, “Los conceptos de manipulación
informática y artificio semejante en el delito de estafa informática”,
Eguzkilore, San Sebastián, núm. 21, pág. 36, 2007.
5 DÍAZ GÓMEZ, Andrés. “El delito informático, su problemática y la
cooperación internacional como paradigma de su solución: el convenio de
Budapest”, Cap. III.1.3. El problema de las múltiples jurisdicciones: “todo
ello origina una laguna normativa internacional en el ámbito de la
jurisdicción competente en materia de delitos informáticos, que origina
numerosos conflictos, siendo finalmente perjudicado, especialmente, el
particular. La inseguridad que ello genera es elevada. Muchas veces es difícil
determinar cuál es la legislación nacional que se estaría violando, de existir
alguna, ya que todo el contenido de Internet aparece simultáneamente en
todo el mundo. Dentro de este contexto, prácticamente todas las actividades
en Internet tienen un aspecto internacional que podría involucrar múltiples
jurisdicciones o provocar el llamado efecto indirecto”.
http://www.unirioja.es/dptos/dd/redur/numero8/diaz.pdf
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 2
Frente a este decálogo de riesgos y amenazas 6, ¿cuáles son las
infraestructuras7 en peligro en general y para el caso concreto de
España?
6 FELIU ORTEGA, Luis. “La Ciberseguridad y la Ciberdefensa. El
Ciberespacio: Nuevo escenario de confrontación”. Monografías del
CESEDEN. 2010.
7 GEERS, Kenneth. “The Cyber Threat to National Critical Infrastructures:
Beyond theory . Information Security Journal: A global perspective”, Cap.
18, págs. 1-7. 2009.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 3
La normativa que pretende planificar y protegernos frente a las
ciberamenazas:
A.-AMBITO NACIONAL:
¿En qué normas y principios se concreta la normativa nacional
española sobre Ciberseguridad?
-La Orden Ministerial 10/2013, de 19 de febrero, por la que se crea
el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas.
- La Estrategia de Ciberseguridad Nacional, en sintonía con los
principios informadores de la Estrategia de Seguridad Nacional, y
como extensión de éstos, se sustenta e inspira en los siguientes
Principios Rectores:
1.
2.
3.
4.
Liderazgo nacional y coordinación de esfuerzos.
Responsabilidad compartida.
Proporcionalidad, racionalidad y eficacia.
Cooperación internacional.
-Todo lo anterior, se realiza respetando:
a) La Constitución española de 1978.
b) Declaración Universal de Derechos Humanos, el Pacto
Internacional de Derechos Civiles y Políticos.
c) El Convenio Europeo para la protección de los Derechos
Humanos y las Libertades Fundamentales.
B.-ÁMBITO INTERNACIONAL (citamos dos alternativas):
1.-EE.UU:
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 4
-Ciberseguridad de EE. UU.: protección de infraestructuras críticas
que comenzaron durante la Administración Clinton, Orden Ejecutiva
13010, Protección de las Infraestructuras Críticas, de 1996.
-La Estrategia Nacional para Asegurar el Ciberespacio del
presidente George W. Bush fue publicada en 2003.
-La Administración Bush publicó en 2006 el Plan Nacional de
Protección de Infraestructuras.
-La Iniciativa nacional integral de Ciberseguridad en 2008.
2.-Europa:
-La Directiva comunitaria 31/2000 de 8 de Junio sobre Servicios de
la Sociedad de la Información y el comercio electrónico.
-Dictamen 4/2001 acerca del proyecto de convenio del Consejo de
Europa sobre el ciberdelito, aprobado el 22 de marzo de 2001.
- El Convenio sobre delincuencia informática, Budapest 21 de
noviembre de 2001.
-La Decisión marco 2005/222/JAI, relativa a ataques contra los
sistemas de información, adoptada por el Consejo de Europa el 17 de
enero de 2005.
-Directiva 2009/136/CE/ del Parlamento Europeo y del Consejo, de
25 de noviembre, por la que se modifican la Directiva 2002/22/CE
relativa al servicio universal y los derechos de los usuarios en relación
con las redes y los servicios de comunicaciones electrónicas, la
Directiva 2002/58/CE relativa al tratamiento de los datos personales y
a la protección de la intimidad en el sector de las comunicaciones
electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación
en materia de protección de los consumidores.
-Directiva 2009/140/CE del Parlamento Europeo y del Consejo, de
25 de noviembre, por la que se modifican la Directiva 2002/21/CE
relativa a un marco regulador común de las redes y los servicios de
comunicaciones electrónicas, la Directiva 2002/19/CE relativa al
acceso a las redes de comunicaciones electrónicas y recursos
asociados, y a su interconexión, y la Directiva 2002/20/CE relativa a
la autorización de redes y servicios de comunicaciones electrónicas.
-La directiva
europeas.
2008/114/CE.
Sobre
infraestructuras
críticas
-Cybex crea el primer Fondo Documental Europeo del cibercrimen
y la Prueba Electrónica, el 2 de febrero de 2009.
Los principales riesgos y amenazas para la seguridad a los que se
enfrenta hoy Europa, son: el terrorismo en cualquiera de sus formas, la
delincuencia organizada y grave, el tráfico de drogas, la
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 5
ciberdelincuencia, la trata de seres humanos, la explotación sexual de
menores y la pornografía infantil, la delincuencia económica y la
corrupción, el tráfico de armas y la delincuencia transfronteriza.
Todos estos riesgos, desarrollan técnicas para delinquir, pero
requieren de métodos, que les permita adaptarse muy rápidamente a la
evolución científica y tecnológica, en su intento de aprovecharse
ilegalmente y socavar los valores y la prosperidad de nuestras
sociedades abiertas.
Es por ello, que aprender los factores que favorecen la evolución de
estos grupos, se hace básico y vital para todo Estado, por lo que todos
los países se ven obligados a adaptar sus métodos ordinarios de
control a escala nacional para hacer frente a los delitos que se cometen
en el ciberespacio.
Los factores de expansión del modus operandi de estos grupos,
permite definir que nuevos modi operandi son los más destacados por
ciberdelincuentes y ciberterroristas. En cuanto a dichos modus8:
1.-Uso de malware contra móviles y explotación de teléfonos
móviles para cometer fraudes (fundamentalmente en el sistema
operativo android: exploits, banca online, botnets).
2.-Malware en la empresa.
3.-Guerras de troyanos: la competencia entre los desarrolladores de
malware en el mercado negro dará lugar a nuevas funciones y ciclos
de desarrollo más breves.
4.-En el entorno clandestino van a seguir proliferando los troyanos
desarrollados de forma privada y diseñados para llevar a cabo ataques
con un alto grado de especialización.
5.-Evolución de los ataques de robo de identidad y de las
organizaciones contra las que se dirigen.
6.-Delincuencia financiera: tarjetas de pago, blanqueo de capitales,
moneda y documentos de seguridad falsos, estafa (como el timo de la
lotería y la denominada “estafa nigeriana” que se ha analizado
anteriormente).
8 GONZÁLEZ RUS, J.J. “Los ilícitos en la red (I): hackers, crackers,
cyberpunks, sniffers, denegación de servicios y otros comportamientos
semejantes”, Granada 2006, pp. 248 y ss.; GUTIÉRREZ FRANCÉS, M.L.
“Delincuencia económica e informática en el nuevo Código Penal”,
Cuadernos de Derecho Judicial, 2001, pp. 291 y ss.; ROMEO CASABONA,
C.M. “Los delitos de daños en el ámbito informático”, en el Cibercrimen:
Nuevos retos jurídicos-penales, pág. 91. Granada 2006.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 6
7.-La inserción del dinero ilegal en la economía formal se lleva a
cabo mediante una máscara que permita no sospechar de su
procedencia mediante un esquema de simulación y penetración en los
mercados financieros.
Se puede decir, que el proceso de lavado de dinero es en sí mismo
un proceso destinado y empleado para seguir cometiendo otro tipo de
ilícitos, porque no olvidemos, que la falta de recursos es vital para
frenar las actividades terroristas, pero si se autofinancian por medio de
la falsificación o la inserción ilegal de capital o dinero, al final, estos
modus operandi, se convierten en las fuentes para continuar con sus
objetivos.
El crecimiento exponencial de los dispositivos móviles como
ordenadores de uso general “sobre la marcha” los ha convertido en un
objetivo atractivo para los ciberdelincuentes.
Atendiendo a todos estos antecedentes normativos y la realidad
tecnológica,
descolla principalmente el Convenio sobre la
Ciberdelincuencia, adoptado en Budapest el 23 de noviembre de 2001.
Este Convenio surge como consecuencia del desarrollo y
utilización cada vez mayor de las tecnologías de la información y la
comunicación y de las posibilidades consiguientes que ofrecen tales
medios para la comisión de nuevos tipos de delitos, así como de la
necesidad de aplicar una política penal común encaminada a proteger
a la sociedad frente a la ciberdelincuencia, a cuyo fin ordena a las
partes la adopción de una legislación que dé respuesta adecuada a tales
nuevas formas de delincuencia informática y el establecimiento de una
política de cooperación internacional. Sin embargo, requiere de una
actualización, porque no se muestra efectivo actualmente a los nuevos
modi operandi de la cibercriminalidad que conocemos.
Además, algunos Estados miembros todavía no han ratificado el
Convenio o lo han hecho tan recientemente (como es el caso de
España, que lo hizo el 3 de junio de 2010) que no han conseguido
actualizar su normativa interna, al nuevo marco jurídico internacional,
lo que hace que en esta nueva etapa que afrontamos, sea el momento
oportuno para plantear algunos problemas procesales relativos a la
investigación de este tipo de delitos para, al menos, provocar la
reflexión acerca de los principales temas que requieren atención
legislativa.
III.LA PREVENCIÓN Y RESPUESTA FRENTE A LAS
NUEVAS CIBERAMENAZAS, EXIGE PARA QUE SU
CONTROL SEA EFECTIVO UNA METODOLOGÍA Y UN
TRATAMIENTO NORMATIVO EN CIBERSEGURIDAD
ADAPTADO A LOS AVANCES TECNOLÓGICOS.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 7
Dado el carácter internacional del ciberdelito, la armonización de
las leyes nacionales y de las técnicas resulta indispensable para
combatirlo. Sin embargo, esta armonización debe tener en cuenta las
demandas y capacidades regionales.
La importancia de los aspectos regionales en la implementación de
las estrategias
anti-ciberdelito, viene realzada por el hecho de que,
muchas normas jurídicas y técnicas hayan sido acordadas entre países
industrializados, sin incluir varios aspectos importantes para los países
en desarrollo.
Sería conveniente incluir los factores regionales europeos y que se
ha demostrado producen resultados efectivos en dichos sistemas
penales, para implementarlos en aquellos otros países, cuyo
tratamiento anti-ciberdelito no está respondiendo para frenar la
fenomenología que nos acecha.
Muestra de que seguir el reflejo del éxito demostrado en otros
países, resulta efectivo penalmente, es lo que ha quedado comprobado
en diversos congresos, que actuando de ese modo, nos ha permitido un
mejor entendimiento de la problemática mundial9, como paso previo
para alcanzar soluciones conjuntas.
Dichos resultados, nos pueden y deben servir para reflexionar y
limar de manera diferente nuestras lagunas actuales, dentro de una era
tecnológica que se transforma constantemente, cuyo ritmo de
crecimiento y adaptación, lamentablemente no puede ser soportado ni
por el usuario individual ni por todos los estados en sus distintas
administraciones.
La propia evolución tecnológica, que tampoco entiende de
situaciones económicas de austeridad, también ha provocado cierta
inestabilidad que han aprovechado los ciberdelincuentes y
ciberterroristas, dado que junto al fruto del ansia empresarial
generalizada por innovar y mostrarnos nuevo software y dispositivos,
han aparecido ciertos bugs o agujeros que provienen de errores
cometidos de forma accidental e involuntaria por los programadores,
de los que se han servido los sujetos ciberdelicuentes, para vulnerar la
seguridad en los sistemas informáticos y en consecuencia, nuestros
derechos fundamentales.
Desde el campo penal, a nivel comparado se observan tres técnicas
normativas que pudieran ser efectivas: a) el recurso a Leyes penales
especiales; b) la tipificación de nuevas figuras delictivas en el Código
Penal, y c) la elaboración de normas internacionales.
9 GONZÁLEZ RUS, Juan José. “Precisiones conceptuales y políticocriminales sobre la intervención penal en Internet”, en Cuadernos penales
José María Lidón, 4, págs.13-41. 2007.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 8
Han optado por la primera vía países como Francia, Gran Bretaña,
Holanda, Estados Unidos, Chile o Venezuela, que han elaborado
Leyes penales especiales para abordar este fenómeno.
El ciberespacio representa el ejemplo más claro de un nuevo
entorno “fuera de todo espacio físico" generado por las nuevas
tecnologías y que se sitúa por completo al margen del concepto
tradicional de fronteras nacionales. La indefinición de las fronteras
entre lo legal y lo ilegal que caracteriza al espacio cibernético, las
facilidades que ofrece para situarse al margen de las regulaciones
legales de cada país y las inmensas posibilidades que ofrece para
nuevas iniciativas lo convierten en un ámbito fundamental para la
actividad delictiva.
Hasta la aprobación, en mayo de 2011, de la vigente Estrategia
Nacional de Seguridad que se desarrolla en consonancia actualmente
y desde el 2013 con la Estrategia de Ciberseguridad Nacional, no se
había identificado, de manera formal, al ciberespacio como una
amenaza real para la seguridad nacional.
Las amenazas han adquirido un potencial de peligrosidad 10, que en
cualquiera los sectores críticos que se han expresado gráficamente, el
grado de penetración del ciberespacio, tanto para la gestión interna
como para la provisión de servicios, alcanzó su grado crítico ya hace
tiempo. Cualquier contingencia que pudiese afectar a alguno de los
activos clave pertenecientes a cualquiera de los 12 sectores
estratégicos podría comprometer la seguridad nacional.
En cuanto al sistema empresarial español, la gran mayoría de las
grandes empresas disponen de una organización interna que les
permite implementar las actividades y medidas que se enmarcan
dentro de las prácticas de seguridad de la información, si bien,
atendiendo a que en nuestro país, el 44% de los directivos consultados
aseguran que los incidentes de seguridad dentro de su empresa han
aumento un 5% durante la pasado año, es por lo que se deduce falta de
respuesta efectiva en la adaptación a la nueva realidad tecnológica y a
los riesgos de seguridad.
El Spanish Cyber Security Institute (SCSI), en su informe “La
ciberseguridad nacional”, un compromiso de todos (14), deja muy
claro que el estado de concienciación en ciberseguridad de la sociedad
civil es muy bajo; que las campañas desarrolladas por el INTECO, el
CCN y el propio SCSI «de momento, estas iniciativas tienen una
10 GONZÁLEZ DE LA GARZA, Luis M. “Seguridad nacional en la cloud
computing (computación en nube y sus riesgos) -prepararse para lo peor y
esperar lo mejor”. III Actas de Seguridad en IUGM. págs. 1303-1322.
Madrid, 2011.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 9
repercusión insuficiente en la sociedad civil», y enumera una serie de
causas que divide en cuatro grupos:
«organizacionales, operacionales, jurídicas y políticas11». De entre
las causas enumeradas en el citado informe quiero resaltar las
siguientes:
-“Escaso protagonismo de los actores privados en materia de
ciberseguridad. La ciberseguridad nacional, hoy en día, es un sistema
cerrado y exclusivo de los actores gubernamentales”.
-“En la actualidad, más del 80% de las infraestructuras críticas de
nuestro país son propiedad, están dirigidas y gestionadas por el
sector privado (empresas nacionales e internacionales). Por tanto, la
aportación del sector privado al proceso de construcción de la
ciberseguridad nacional resulta esencial”.
-“Ausencia de una política estatal en materia de
ciberconcienciación y cibereducación. Muchos países de nuestro
entorno están desarrollando ambiciosas políticas en materia de
ciberconcienciación y ciberseguridad como eje fundamental para la
creación de una cultura de ciberseguridad.”
-“Estas políticas han sido desarrolladas e impulsadas, en primera
instancia, por el sector privado y, posteriormente, han recibido un
fuerte apoyo gubernamental. En este caso, cabe destacar una doble
función, por un lado, concienciar y educar al conjunto de la
ciudadanía de los riesgos del ciberespacio y, por otro, identificar
futuros talentos en el campo de la ciberseguridad dentro de la
comunidad escolar y universitaria”.
Ante esta situación, podemos diagnosticar lo que está ocurriendo a
nivel empresarial y a modo de pronóstico, lo que ocurrirá en este
sector. Muchas compañías se han dado cuenta del alcance y las
consecuencias que supone para ellas sufrir un ataque sobre sus
sistemas de información, por lo que al menos, el 80% de las mismas
cuenta con un alto directivo responsable de la seguridad informática:
Chief Information Officer (CIO), un porcentaje que a nivel global
alcanza el 70% pero insuficiente12.
11 JAHANKHANI, H. y AL-NEMRAT, A. (n.d.) “Examination of Cybercriminal Behaviour”, International Journal of Information Science and
Management. http://www.srlst.com/ijist/special%20issue/ijism-specialissue2010_files/Special-Issue201041.pdf 2011.
12 Esta es la principal conclusión de la decimosexta edición de la Encuesta
Global de Seguridad de la Información de EY, titulada Under Cyber Attack.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 10
Existen dos factores de peso que explica también los resultados en
cuanto a vulnerabilidad y respuesta efectiva contra las ciberamenazas.
Nos referimos a la falta de ciberconcienciación y cibereducación así
como la escasez de recursos económicos y humanos que impiden la
adecuada implementación de las medidas de ciberseguridad,
limitándose a actividades centradas en las TIC.
En España se ha reaccionado a las amenazas emergentes
procedentes del ciberespacio, desde un ámbito normativo, de manera
tardía y poco efectiva, lo que ha generado un escenario de inseguridad
jurídico-legal palpable gráficamente:
La realidad tecnológica, la actuación anónima de los ciberatacantes
aprovechando las diversas vulnerabilidades y en consonancia, una
realidad legislativa desfasada con dicho panorama de riesgos y
amenazas, nos ha enseñado que dichas modalidades delictivas no
siempre pueden ser adecuadamente engarzadas por los tipos penales
clásicos, diseñados y redactados para prevenir y reprimir la
delincuencia tradicional, y que resultan ajenos a los modernos
mecanismos13 de agresión de bienes jurídicos.
Tampoco la metodología seguida por los usuarios, instituciones y
empresas, ha sido correcta a las circunstancias cambiantes del
ciberespacio. Se requiere, en consonancia, la fusión de todas las
políticas de seguridad para dotar a la sociedad de un modelo de
seguridad integral que garantice:
a) Con carácter general: la seguridad nacional que no está
restringida a la defensa de sus fronteras y su soberanía, dado que el
13 Ministerio de Defensa. “La inteligencia, factor clave frente al terrorismo
internacional”. Cuadernos de Estrategia nº 141, 2009.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 11
Ciberespacio no entiende de fronteras ni estas se pueden delimitar
técnicamente a como se hace política o geográficamente.
b) Con carácter específico: los derechos fundamentales de los
ciudadanos. Concretamente: intimidad personal, familiar, propia
imagen, inviolabilidad del domicilio y el secreto de las
comunicaciones. A lo que habría que añadir un uso seguro de las
tecnologías.
Los riesgos, en términos de seguridad, se caracterizan por lo
general mediante la siguiente ecuación:
riesgo = (amenaza * vulnerabilidad) / contramedida
La amenaza representa el tipo de acción que tiende a ser dañina,
mientras que la vulnerabilidad (conocida a veces como falencias
((flaws) o brechas (breaches)) representa el grado de exposición a las
amenazas en un contexto particular. Finalmente, la contramedida
representa todas las acciones que se implementan para prevenir la
amenaza.
Las contramedidas que deben implementarse no sólo son
soluciones técnicas, sino también reflejan la capacitación y la toma de
conciencia por parte del usuario, además de reglas claramente
definidas.
Para que un sistema sea seguro, deben identificarse las posibles
amenazas y por lo tanto, conocer y prever el curso de acción del
atacante. Por tanto, uno de los objetivos de este estudio es brindar una
perspectiva general de las posibles motivaciones de los hackers,
categorizarlas, y dar una idea de cómo funcionan para conocer la
mejor forma de reducir el riesgo de intrusiones, lo que implica un
análisis del perfil de estos sujetos.
Todo ello, frente a los riesgos y amenazas transfronterizos,
asimétricos14 y tecnológicos, como consecuencia de la aparición de
actores (ciberatacantes) con ubicación y motivaciones heterogéneas:
antisistema, desestabilización de la economía, alarma social y puesta
en duda de los sistemas militares de defensa tradicionales y actuales,
etc.
Llegados a este punto, se propone como metodología y tratamiento
en la lucha frente a las ciberamenazas, reestructurar el sistema actual
de estrategias sobre ciberseguridad seguidas hasta el momento en
prevención de los distintos riesgos y amenazas, lo que implica una
ruptura con las formas tradicionales.
14 http://www.ieee.es/Galerias/fichero/docs_opinion/2011/DIEEEO722011AmenazasNBQGSalazar.pdf
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 12
Actualmente, en el caso concreto de España:
Los problemas que se observan sobre esta estructura en
Ciberseguridad Nacional son:
-La autoridad Nacional de seguridad no muestra coordinación o
enlace con otro escalón externo en la estructura definida. Por ejemplo,
en un ataque de denegación de servicio (DDoS) puede tener como
objetivo un sector concreto nacional, pero iniciarse en diversos puntos
del exterior: Europa, América, Asia, etc, por lo que se hace necesario
controlar la actividad en la red no solo “desde y por” una única
autoridad.
-En una organización típica, estos eventos DDoS darán lugar a una
escalada en el Network Operations Center (NOC), y el equipo o la
organización afectada podría responder de estar coordinada según el
protocolo para evitar así limitar su eficacia y permitir que la
organización se recuperé más rápido en cuanto se detecten solicitudes
en un período de tiempo tan corto que en principio sin coordinación
sería imposible contrarestar.
-Los ataques DDOS son bastante simples, pero letales. Las redes de
miles de computadoras infectadas, conocidas como botnets, acceden
simultáneamente a la página objetivo del ataque, que queda saturada
por el volumen en tráfico, y por lo tanto inhabilitada.
Las principales políticas de seguridad deberían ir dirigidas a
fomentar y desarrollar:
• La resiliencia cibernética de nuestros sistemas informáticos y
consecuencia inmediata de lo que se produce en el ciberespacio.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 13
• La fusión entre lo técnico, jurídico y la ciberseguridad.
• La colaboración entre Ejército y organismos civiles
• La educación y concienciación desde las tempranas edades.
• El I+D+i en nuevas tecnologías que deberían exigirse en todos
los Ministerios y empresas por medio de auditorías (Hacking Etico)
que confirmase el estado de respuesta frente a las vulnerabilidades.
•
La colaboración internacional: militar, policial, judicial,
empresarial y gubernativos. Por medio de examen conjunto de la
capacidad de respuesta operativa de cada agente en respuesta a un
ciberataque.
• Preparación y especialización de todos los operadores: militares,
policiales y judiciales.
• El diseño de una Ciberlegislación sobre Internet15, que
necesariamente tiene que provenir de la participación y ratificación
común de todos los Estados. Lo que se traduce en:
a) La gobernanza de Internet desde un organismo creado con
potestad internacional para autorizar o restringir el acceso y para
sancionar las conductas transgresoras (Autoridad Conjunta de
Internet-ACONINT). Sede central rotativo cada 5 años que variase
entre los estados ratificantes y una delegación en cada continente.
b) La pérdida de intereses estatales heredados de otros campos en
pro de garantizar una seguridad efectiva en la navegación, control y
punición de conductas provenientes de la web.
c) Marco legislativo global, compatible a todos los estados, capaz
de gestionar
y garantizar la explotación del ciberespacio
internacional.
d) Eliminación del sistema de vetos
•
La ruptura con el modelo de Internet actual: protocolos,
lenguajes de programación, certificación y versiones. Es preciso
separar el Internet tradicional que actualmente fusiona ocio,
actividades empresariales, seguridad y gobiernos, por otras dos
versiones, que disgregue lo ocioso de lo que requiere un control y
seguridad.
• Sería aconsejable un Internet con acceso restringido y no
accesible públicamente. Implantar tres tipos de Internet:
a) Una navegación para los usuarios domésticos (libre y gratis);
b) Internet empresarial (acceso limitado y para empresas abonadas
que satisfacen un pago);
c) Internet gubernativo (acceso restringido). La autenticación que
se requiere, se refiere a que el sistema debe ser capaz de verificar que
un usuario identificado que accede a un sistema de información es
efectivamente quien dice ser
15 http://www.sela.org/attach/258/EDOCS/SRed/2013/03/T0236000049820-IF_Taller_Regional_sobre_Ciberlegislacion.pdf
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 14
Dado que la Gestión de Riesgo es un método para determinar,
analizar, valorar y clasificar el riesgo para posteriormente implementar
mecanismos que permitan controlarlo, lo que se observa no se realiza
actualmente en España plena y efectivamente.
Es por ello, que es necesario dividir la Gestión de Riesgo16 en
cuatro fases: Análisis, Clasificación, Reducción y Control, las cuales
se citan a continuación:
16 ERB, Markus, Gestión de Riesgo en la Seguridad Informática [En
línea],<http://protejete.wordpress.com/gestion_rieso/gestion_riesgo_si/>, [Citado el
7 de Septiembre de
2011]
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 15
 Análisis: En la fase de análisis se determina los componentes
del sistema que requieren protección, las vulnerabilidades que lo
debilitan y las amenazas que lo ponen en peligro, con el objetivo de
revelar su grado de riesgo. Por lo tanto al identificar las
vulnerabilidades y las amenazas del sistema, permitirá conocer los
riesgos potenciales que atentan la seguridad del sistema.
 Clasificación: En la fase de Clasificación se determina si los
riesgos encontrados y los riesgos restantes son aceptables.
 Reducción: En la fase de Reducción se define e implementa
las medidas de protección y de igual forma se sensibiliza y capacita a
los usuarios conforme a las necesidades.
 Control: En la fase de Control se analiza el funcionamiento, la
efectividad y el cumplimiento de las medidas y si es el caso ajustarlas.
Tampoco se observan mecanismos de seguridad adecuados para
poder asegurar que se dispone de las herramientas de contra-respuesta
(contramedidas). Es por ello, que se se debería clasificar las mismas
según la función que desempeñen. Estos mecanismos pueden ser
Preventivos, Detectores o Correctores.
1. Preventivos: Los mecanismos preventivos actúan antes de que
se produzca un ataque, su misión principal es evitar el ataque.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 16
2. Detectores: Los mecanismos detectores actúan cuando el
ataque se ha efectuado y antes de que éste cause daños en el sistema.
3. Correctores: Los mecanismos correctores actúan después de
que se ha presentado un ataque y se haya producido daños. Su
principal objetivo es el de corregir las consecuencias del daño.
La seguridad informática debería ser integrada en el modelo de
estructura que se definido para el modelo español. En este sentido:
IV.CONCLUSIONES.
Para alcanzar los objetivos descritos en el presente análisis, será
necesario llevar a cabo un conjunto de acciones que permitan:
• Mejorar el conocimiento de ciber-situación.
• Mejorar las capacidades de detección y análisis en ciberamenazas.
• Mejorar los canales de comunicación entre los diferentes actores
involucrados en la Ciberseguridad Nacional.
• Mejorar la resiliencia y seguridad del ciberespacio nacional.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 17
• Fortalecer el marco jurídico nacional e internacional en materia de
ciber-crimen.
• Mejorar la concienciación, educación, formación y desarrollo
profesional en materia de ciberseguridad.
• Fomentar programas de I+D+i en materia de ciberseguridad.
• Apoyar la competitividad del sector privado en materia de
ciberseguridad.
• Fomentar la cooperación internacional.
• Mejorar y ampliar la red de sensores de alerta temprana.
• Mejorar las capacidades de monitorización.
• Mejorar las capacidades de análisis de vulnerabilidades.
• Mejorar las capacidades de resolución de incidencias cibernéticas.
A la vista de lo analizado, la situación futura es ciertamente
preocupante. Se considera que en la situación actual sin modificar la
legislación y las medidas de respuesta conocidas, la posibilidad de que
el autor de un delito informático resulte, detectado, perseguido,
imputado y condenado es de una entre veintisiete mil, lo que atenta
seriamente a nuestra ciberseguridad y pone en evidencia cualquier
plan al respecto actual. Y ello es debido a tres circunstancias clave:
1.-La casi total ausencia de medidas de seguridad.
2.-La falta de una legislación adecuada.
3.-La gran inexperiencia existente para investigar los fraudes
informáticos y reunir pruebas que puedan inculpar a sus autores.
Existen tres factores esenciales que pueden condicionar de forma
absoluta el futuro de los delitos informáticos:
1.-La incorporación de nuevos avances tecnológicos al trabajo
diario, sin haber medido previamente sus repercusiones sobre las
condiciones de seguridad.
2.-La paulatina constatación, por parte de las personas que trabajan
en contacto con los sistemas informáticos, de lo fácil que es defraudar
utilizando las deficiencias de los sistemas y la escasa probabilidad de
ser descubierto y castigado.
3.-La entrada de organizaciones criminales profesionales en un
campo delictivo tan prometedor como el de los delitos informáticos.
La estructura correcta que proponemos:
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 18
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 19
V. BIBLIOGRAFÍA
ARTEAGA, FÉLIX “Propuesta para la implantación de una
Estrategia de Seguridad Nacional en España” DT 19/2011. Diciembre
2011. Real Instituto Elcano.
BETZ, DAVID J. & STEVENS, TIM “Cyberspace and the State.
Toward a strategy for cyberpower”. Junio 2011.IISS.
CESEDEN. “El Ciberespacio: nuevo escenario de confrontación”.
2012.
http://www.ieee.es/Galerias/fichero/OtrasPublicaciones/Nacional/CES
EDEN_Monografia126_CiberespacioNuevoEscenarioConflictos.pdf
CLARKE, RICHARD & KNAKE, ROBERT “CYBERWAR”.
Febrero 2010. Ed HarperCollins.
CORBACHO PALACIOS, Francisco Javier. “Análisis de la
jurisdicción en el plano internacional: Principio de Justicia Universal
y efectos internacionales de la jurisdicción de los Estados”.
http://noticias.juridicas.com/art.iculos/55-Derecho%20Penal/20070700214589654125874541.html
COZ FERNÁNDEZ, JOSÉ RAMÓN & FOJÓN CHAMORRO,
ENRIQUE “La Geoestrategia del Conocimiento en Ciberseguridad”.
Enero 2012. Revista RED SEGURIDAD.
COZ FERNÁNDEZ, JOSÉ RAMÓN & FOJÓN CHAMORRO,
ENRIQUE “Un modelo educativo para una Estrategia Nacional de
Ciberseguridad”. Octubre 2011. Congreso ENISE (Encuentro
Internacional de la Seguridad de la Información).
DÍAZ GÓMEZ, Andrés. “El delito informático, su problemática y
la cooperación internacional como paradigma de su solución: el
convenio de Budapest”, Cap. III.1.3. El problema de las múltiples
jurisdicciones: “todo ello origina una laguna normativa internacional
en el ámbito de la jurisdicción competente en materia de delitos
informáticos, que origina numerosos conflictos, siendo finalmente
perjudicado, especialmente, el particular. La inseguridad que ello
genera es elevada. Muchas veces es difícil determinar cuál es la
legislación nacional que se estaría violando, de existir alguna, ya que
todo el contenido de Internet aparece simultáneamente en todo el
mundo. Dentro de este contexto, prácticamente todas las actividades
en Internet tienen un aspecto internacional que podría involucrar
múltiples jurisdicciones o provocar el llamado efecto indirecto”.
http://www.unirioja.es/dptos/dd/redur/numero8/diaz.pdf
DEL POZO PÉREZ, M., “El agente encubierto como medio de
investigación de la delincuencia organizada en la LECrim”, en
Criterio Jurídico, vol. 6, pág. 296. 2006.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 20
FARALDO CABANA, Patricia, “Los conceptos de manipulación
informática y artificio semejante en el delito de estafa informática”,
Eguzkilore, San Sebastián, núm. 21, pág. 36, 2007.
FELIU ORTEGA, Luis. “La Ciberseguridad y la Ciberdefensa. El
Ciberespacio: Nuevo escenario de confrontación”. Monografías del
CESEDEN. 2010.
FOJÓN CHAMORRO, ENRIQUE & SANZ VILLALBA, ÁNGEL
FRANCISCO “Ciberseguridad en España: Una propuesta para su
gestión” ARI 102/2010. Junio 2010. Real Instituto Elcano.
FOJÓN CHAMORRO, ENRIQUE & COZ FERNÁNDEZ, JOSÉ
RAMÓN “Panorama Internacional en el establecimiento de
Estrategias Nacionales de Ciberseguridad. Junio 2011. Revista SIC”.
Seguridad, Informática y Comunicaciones.
FOJÓN CHAMORRO, ENRIQUE & SANZ VILLALBA, ÁNGEL
FRANCISCO “El ciberespacio: La nueva dimensión del entorno
operativo” perteneciente al documento de seguridad y defensa nº 44
“Adaptación de la fuerza conjunta a la guerra asimétrica”. Noviembre
de 2011.
Centro Superior de la Defensa Nacional (CESEDEN).
http://www.defensa.gob.es/ceseden/
Galerias/destacados/publicaciones/docSegyDef/ficheros/DSEGD_44.p
df
GEERS, Kenneth. “The Cyber Threat to National Critical
Infrastructures: Beyond theory . Information Security Journal: A
global perspective”, Cap. 18, págs. 1-7. 2009.
GONZÁLEZ RUS, J.J. “Los ilícitos en la red (I): hackers, crackers,
cyberpunks, sniffers, denegación de servicios y otros comportamientos
semejantes”, Granada 2006, pp. 248 y ss.; GUTIÉRREZ FRANCÉS,
M.L. “Delincuencia económica e informática en el nuevo Código
Penal”, Cuadernos de Derecho Judicial, 2001, pp. 291 y ss.; ROMEO
CASABONA, C.M. “Los delitos de daños en el ámbito informático”,
en el Cibercrimen: Nuevos retos jurídicos-penales, pág. 91. Granada
2006.
GONZÁLEZ RUS, Juan José. “Precisiones conceptuales y políticocriminales sobre la intervención penal en Internet”, en Cuadernos
penales José María Lidón, 4, págs.13-41. 2007.
KNAPP, ERIC D. “Industrial Network Security”. Septiembre 2011.
Ed. SYNGRESS.
LIBICKI, MARTIN “Cyberdeterrence and Cyberwar”. Octubre
2009. RAND project Air Force.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 21
LINARES, SAMUEL “Los amigos se escogen, la familia …no“.
Junio 2012. Revista RED SEGURIDAD.
Ministerio de Defensa. “La inteligencia, factor clave frente al
terrorismo internacional”. Cuadernos de Estrategia nº 141, 2009.
MULLIGAN, DEIRDRE K. & SCHNEIDER, FRED B. “Doctrine
for Cybersecurity“. Septiembre 2011. Universidad de Berkley.
SHOSTACK, ADAM & STEWART,ANDREW “The new school
of information security”. Abril 2008. Ed Addison-Wesley.
STIENNON, RICHARD “Surviving Cyberwar”. Enero 2010.
Juan de Dios Meseguer González. Militar y Abogado. Doctor
en derecho.
Página 22
Documentos relacionados
DOBLE FONDO - Revista SIC
DOBLE FONDO - Revista SIC
Nuestra Solución
Nuestra Solución
Edgardo José Maya Villazón Procurador General de la Nación
Edgardo José Maya Villazón Procurador General de la Nación
HERRAMIENTAS DE ANÁLISIS FORENSE Y CERTIFICACIONES EN MATERIA DE CIBERSEGURIDAD PARA COLEGIADOS
HERRAMIENTAS DE ANÁLISIS FORENSE Y CERTIFICACIONES EN MATERIA DE CIBERSEGURIDAD PARA COLEGIADOS
Informamos sobre  la próxima celebración de  CyberCamp 2014
Informamos sobre  la próxima celebración de  CyberCamp 2014
La nueva revolución digital - Comisión Económica para América
La nueva revolución digital - Comisión Económica para América
The Internet, IP, Everything and Everything Else
The Internet, IP, Everything and Everything Else
ciberseguridad
ciberseguridad
Proceso de restitución
Proceso de restitución
Descargar
Anuncio
Anuncio