Pero... ¿Que és Ciberseguridad?
La
definición que quiero presentarles es acuerdo a UIT-T:
“Es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Los activos de la organización y los usuarios son los dispositivos informáticos conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno”[1]
En
mi concepto, además de todos los equipos, protocolos y herramientas que puedan
existir, el elemento más importante y complementario son los usuarios mismos. En el libro de Kevin Mindnick, The Art of Intrusion, se relata como a través de
la ingeniería social, se logran alcanzar elementos y equipos en la seguridad,
como cualquier tipo de ataque por las redes, para poder adentrarse en el
funcionamiento de maquinas de apostar y centrales telefónicas entre otros.
2. Políticas existentes
en Colombia que promuevan la seguridad digital:
Las
mas importantes son el Conpes 3701 de 2011:
“Este documento busca generar lineamientos de política en ciberseguridad1 y ciberdefensa2 orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que afectan significativamente al país. Adicionalmente, recoge los antecedentes nacionales e internacionales, así como la normatividad del país en torno al tema.” [2]
En
ese momento, no existía una estrategia nacional para enfrentar las amenazas
informáticas, cuyo resultado más importante, fue la necesidad de crear:
1. El
Grupo de Respuesta a Emergencias Cibernéticas de Colombia – colCERT.
2. El Centro
Cibernético Policial – CCP.
3. Comando
Conjunto Cibernético – CCOC.
4. La
colaboración intersectorial al Mindefensa y Mintic.
Posteriormente
el Conpes 3854, propone la Política Nacional de Seguridad Digital:
“…la política nacional de seguridad digital, objeto de este documento, cambia el enfoque tradicional al incluir la gestión de riesgo como uno de los elementos más importantes para abordar la seguridad digital. Esto lo hace bajo cuatro principios fundamentales y cinco dimensiones estratégicas, que rigen el desarrollo de esta política. De los primeros destaca que la política nacional de seguridad digital debe involucrar activamente a todas las partes interesadas, y asegurar una responsabilidad compartida entre las mismas. Principios que se reflejan en las dimensiones en las que esta política actuará, las cuales determinan las estrategias para alcanzar su objetivo principal: fortalecer las capacidades de las múltiples partes interesadas, para identificar, gestionar, tratar y mitigar los riesgos de seguridad digital en sus actividades socioeconómicas en el entorno digital. Para lograrlo, se implementarán acciones en torno a cinco ejes de trabajo.”[3]
Con
este conpes, se busca incluir la gestión del riesgo, dentro de las políticas de
seguridad digital, adoptando estándar OCDE para tal fin, a fin de que los
usuarios, conozcan y gestionen los riesgos asociados en su interactuar con la
economía digital. Para lograrlo, se desea implementación en cinco frentes de
acción:
- Establecer un marco institucional claro en torno a la seguridad digital, basado en la gestión de riesgos.
- Crear las condiciones para que las múltiples partes interesadas gestionen el riesgo de seguridad digital en sus actividades socio-económicas y se genere confianza en el uso del entorno digital.
- Fortalecer la seguridad de los individuos y del Estado en el entorno digital, a nivel nacional y transnacional, con un enfoque de gestión de riesgos.
- Fortalecer la defensa y soberanía nacional en el entorno digital con un enfoque de gestión de riesgos.
- Impulsar la cooperación, colaboración y asistencia en materia de seguridad digital, a nivel nacional e internacional.
3. Incidentes en materia de
seguridad digital
Recientemente
se han presentado eventos masivos de secuestro de archivos, a través del
denominado Ransomware, programa informático malintencionado que restringe al
acceso a la totalidad o parcialidad de archivos de un sistema infectado,
deshabilitando funcionalidades importantes del sistema o encriptando los
archivos infectados, pidiendo rescate o retribución económica a cambio de
quitar la restricción o desencriptar los archivos requeridos.[4]
Los
incidentes ransomware cada vez se hacen más frecuentes, en los cuales podemos mencionar: Reyptson[5], XData[6] que usando la herramienta
Mimikatz extrae credenciales de administrador y las utiliza ejecutando copia de sí mismo en todos los computadores
interconectados, WannaCry, Petya y NotPetya, entre miles.
Valga
a pena mencionar los nuevos modelos de negocio de Hackers, mencionados en el
portal Cisco[7]:
“En
2016, el hacking se volvió más "corporativo". Los cambios dinámicos
en el panorama de la tecnología, liderados por la digitalización, están creando
oportunidades para los cibercriminales. Mientras que los atacantes siguen
aprovechando las técnicas probadas por el tiempo, también emplean nuevos
enfoques que reflejan la estructura de "administración intermedia" de
sus objetivos corporativos.
Nuevos métodos de ataque modelan
jerarquías empresariales: ciertas campañas de publicidad
malversada empleaban corredores (o "puertas") que actúan como
gerentes intermedios, enmascarando actividades maliciosas. Los adversarios
pueden entonces moverse con mayor velocidad, mantener su espacio operacional y
evadir la detección.
Oportunidad y riesgo en la nube:
Veintisiete por ciento de las aplicaciones de nube de terceros introducidas por
los empleados, destinadas a abrir nuevas oportunidades de negocio y aumentar la
eficiencia, fueron categorizadas como de alto riesgo y crearon importantes
problemas de seguridad.
El adware pasado de moda -
software que descarga publicidad sin permiso del usuario - siguió siendo
exitoso, infectando al 75 por ciento de las organizaciones investigadas.
Un punto brillante surgió con una caída
en el uso de grandes kits de exploits como Angler, Nuclear y Neutrino,
cuyos dueños fueron derribados en 2016, pero jugadores más pequeños se
apresuraron a llenar el vacío.”[8]
Colombia y el Convenio de Budapest
De acuerdo a la noticia de día de hoy 15 de Agosto de 2017, publicada en el portal de MINTIC, se radicó un proyecto de ley que busca que Colombia se adhiera al convenio de Budapest [9]. Con esto se garantiza la cooperacion internacional para combatir los delitos informaticos y en Internet.
"El Gobierno Nacional, en cabeza de la Cancillería y los Ministerios de Justicia, Defensa y Tecnologías de la Información y las Comunicaciones (TIC), presentó al Congreso de la República un Proyecto de Ley para que Colombia se adhiera al Convenio de Budapest, que busca construir una política mundial común contra la ciberdelincuencia.
Afirma el portal mencionado: "El Proyecto de Ley comenzará su trámite legislativo en la Comisión Segunda del Senado y una vez cursados los cuatro debates en el Congreso, pasará a revisión de la Corte Constitucional y posteriormente a sanción presidencial. Luego, la Cancillería hará oficial la adhesión al convenio, que le permitirá a Colombia no solo avanzar en temas de cooperación internacional contra delitos informáticos, sino también fortalecer las leyes y regulaciones nacionales contra el ciberdelito en todos los niveles"
El Convenio de Budapest se suscribió el 23 de junio de 2001, para aplicar de forma prioritaria “una política penal común con objeto de proteger a la sociedad frente a la ciberdelincuencia, en particular mediante la adopción de una legislación adecuada y la mejora de la cooperación internacional”
Al respecto de la importancia para Colombia de su adhesion a este convenio, considero importante retormar lo que para el Instituto Español de Estudios Estratégicos (ieee.es) significa dicho documento, el cual se ha ratificado en varias naciones:
“El Convenio de Budapest es, sin duda, universalmente y trasatlánticamente el documento más importante respecto a la ciberdelincuencia, y hasta ahora el único cibertratado que tiene por objeto la armonización universal de la normativa del derecho penal nacional y la persecución penal de los delitos relacionados con internet”.
Valga la pena resaltar la variada tipología de delitos que ya se han incluido en el código penal colombiano, como un primer acercamiento. Sin embargo, falta aún por incluir las variaciones concomitantes con el avance que han tenido las distintas aplicaciones, dispositivos y tecnologías, y de igual manera, las modalidades nuevas como el secuestro de archivos, para el que actualmente el Código penal Colombiano[10] se queda corto en tipificar y castigar.
Para leer más del Convenio puedes visitar este enlace:
[1]
PORTAL DE LA UIT-T. Recomendación UIT–T X.1205. Ciberseguridad [en linea]
Disponible en: http://www.itu.int/net/itunews/issues/2010/09/20-es.aspx
[Consultado el 22 de Julio de 2017]
[2]
PORTAL DE MINTIC. Conpes 3701 de 2011 [en linea] Disponible en: http://www.mintic.gov.co/portal/604/articles-3510_documento.pdf
[Consultado el 22 de Julio de 2017]
[3]
PORTAL DNP. Conpes 3854 [en linea] Disponible en: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf
[Consultado el 22 de Julio de 2017]
[4]
Portal de Mcafee. Update: McAfee: Cyber criminals using Android malware and
ransomware the most [en linea] Disponible en: http://www.infoworld.com/article/2614854/security/update--mcafee--cyber-criminals-using-android-malware-and-ransomware-the-most.html
[Consultado el 22 de Julio de 2017]
[5]PORTAL
REDESZONE. JIMENEZ, Javier [en linea]
Disponible en: https://www.redeszone.net/2017/07/18/reyptson-nuevo-ransomware-esta-atacando-usuarios-espanoles
[Consultado el 22 de Julio de 2017]
[6]
PORTAL Alta Densidad. [en linea]
Disponible en: http://altadensidad.com/?p=99458
[Consultado el 22 de Julio de 2017]
[7]
PORTAL CISCO. Traducción Propia [en linea] Disponible en: https://newsroom.cisco.com/press-release-content?articleId=1818259
[Consultado el 22 de Julio de 2017]
[8] Ibidem.
[9] PORTAL DE MINTIC. Gobierno radicó Proyecto de Ley para adherirse al Convenio de Budapest contra la ciberdelincuenci [en linea] Disponible en: http://www.mintic.gov.co/portal/604/w3-article-56316.html [Consultado el 15 de Agosto de 2017]
[10] PORTAL DE LA ALCALDIA MAYOR DE BOGOTA. Ley 1273 de 2009[en linea] Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492 [Consultado el 15 de Agosto de 2017]
