El convenio de Budapest y la Ciberseguridad en Colombia

   

      Pero... ¿Que és Ciberseguridad?

La definición que quiero presentarles es acuerdo a UIT-T:

“Es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Los activos de la organización y los usuarios son los dispositivos informáticos conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno”[1]

En mi concepto, además de todos los equipos, protocolos y herramientas que puedan existir, el elemento más importante y complementario son los usuarios mismos. En el libro de Kevin Mindnick, The Art of Intrusion, se relata como a través de la ingeniería social, se logran alcanzar elementos y equipos en la seguridad, como cualquier tipo de ataque por las redes, para poder adentrarse en el funcionamiento de maquinas de apostar y centrales telefónicas entre otros.

2.   Políticas existentes en Colombia que promuevan la seguridad digital:

Las mas importantes son el Conpes 3701 de 2011:

“Este documento busca generar lineamientos de política en ciberseguridad1 y ciberdefensa2 orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que afectan significativamente al país. Adicionalmente, recoge los antecedentes nacionales e internacionales, así como la normatividad del país en torno al tema.” [2]

En ese momento, no existía una estrategia nacional para enfrentar las amenazas informáticas, cuyo resultado más importante, fue la necesidad de crear:

1.    El Grupo de Respuesta a Emergencias Cibernéticas de Colombia – colCERT.

2.    El Centro Cibernético Policial – CCP.

3.    Comando Conjunto Cibernético – CCOC.

4.    La colaboración intersectorial al Mindefensa y Mintic.

Posteriormente el Conpes 3854, propone la Política Nacional de Seguridad Digital:

“…la política nacional de seguridad digital, objeto de este documento, cambia el enfoque tradicional al incluir la gestión de riesgo como uno de los elementos más importantes para abordar la seguridad digital. Esto lo hace bajo cuatro principios fundamentales y cinco dimensiones estratégicas, que rigen el desarrollo de esta política. De los primeros destaca que la política nacional de seguridad digital debe involucrar activamente a todas las partes interesadas, y asegurar una responsabilidad compartida entre las mismas. Principios que se reflejan en las dimensiones en las que esta política actuará, las cuales determinan las estrategias para alcanzar su objetivo principal: fortalecer las capacidades de las múltiples partes interesadas, para identificar, gestionar, tratar y mitigar los riesgos de seguridad digital en sus actividades socioeconómicas en el entorno digital. Para lograrlo, se implementarán acciones en torno a cinco ejes de trabajo.”[3]

Con este conpes, se busca incluir la gestión del riesgo, dentro de las políticas de seguridad digital, adoptando estándar OCDE para tal fin, a fin de que los usuarios, conozcan y gestionen los riesgos asociados en su interactuar con la economía digital. Para lograrlo, se desea implementación en cinco frentes de acción:

• Establecer un marco institucional claro en torno a la seguridad digital, basado en  la gestión de riesgos.
• Crear las condiciones para que las múltiples partes interesadas gestionen el  riesgo de seguridad digital en sus actividades socio-económicas y se genere      confianza en el uso del entorno digital.
• Fortalecer la seguridad de los individuos y del Estado en el entorno digital, a nivel nacional y transnacional, con un enfoque de gestión de riesgos.
• Fortalecer la defensa y soberanía nacional en el entorno digital con un enfoque de gestión de riesgos.
• Impulsar la cooperación, colaboración y asistencia en materia de seguridad digital, a nivel nacional e internacional.

3.    Incidentes en materia de seguridad digital

Recientemente se han presentado eventos masivos de secuestro de archivos, a través del denominado Ransomware, programa informático malintencionado que restringe al acceso a la totalidad o parcialidad de archivos de un sistema infectado, deshabilitando funcionalidades importantes del sistema o encriptando los archivos infectados, pidiendo rescate o retribución económica a cambio de quitar la restricción o desencriptar los archivos requeridos.[4]

Los incidentes ransomware cada vez se hacen más frecuentes,  en los cuales podemos mencionar: Reyptson[5], XData[6] que usando la herramienta Mimikatz extrae credenciales de administrador y las utiliza ejecutando copia  de sí mismo en todos los computadores interconectados, WannaCry, Petya y NotPetya, entre miles.

Valga a pena mencionar los nuevos modelos de negocio de Hackers, mencionados en el portal Cisco[7]:

“En 2016, el hacking se volvió más "corporativo". Los cambios dinámicos en el panorama de la tecnología, liderados por la digitalización, están creando oportunidades para los cibercriminales. Mientras que los atacantes siguen aprovechando las técnicas probadas por el tiempo, también emplean nuevos enfoques que reflejan la estructura de "administración intermedia" de sus objetivos corporativos.

Nuevos métodos de ataque modelan jerarquías empresariales: ciertas campañas de publicidad malversada empleaban corredores (o "puertas") que actúan como gerentes intermedios, enmascarando actividades maliciosas. Los adversarios pueden entonces moverse con mayor velocidad, mantener su espacio operacional y evadir la detección.

Oportunidad y riesgo en la nube: Veintisiete por ciento de las aplicaciones de nube de terceros introducidas por los empleados, destinadas a abrir nuevas oportunidades de negocio y aumentar la eficiencia, fueron categorizadas como de alto riesgo y crearon importantes problemas de seguridad.

El adware pasado de moda - software que descarga publicidad sin permiso del usuario - siguió siendo exitoso, infectando al 75 por ciento de las organizaciones investigadas.

Un punto brillante surgió con una caída en el uso de grandes kits de exploits como Angler, Nuclear y Neutrino, cuyos dueños fueron derribados en 2016, pero jugadores más pequeños se apresuraron a llenar el vacío.”[8]

Colombia y el Convenio de Budapest

De acuerdo a la noticia de día de hoy 15 de Agosto de 2017, publicada en el portal de MINTIC, se radicó un proyecto de ley que busca que Colombia se adhiera al convenio de Budapest [9]. Con esto se garantiza la cooperacion internacional para combatir los delitos informaticos y en Internet.

"El Gobierno Nacional, en cabeza de la Cancillería y los Ministerios de Justicia, Defensa y Tecnologías de la Información y las Comunicaciones (TIC), presentó al Congreso de la República un Proyecto de Ley para que Colombia se adhiera al Convenio de Budapest, que busca construir una política mundial común contra la ciberdelincuencia.

Afirma el portal mencionado: "El Proyecto de Ley comenzará su trámite legislativo en la Comisión Segunda del Senado y una vez cursados los cuatro debates en el Congreso, pasará a revisión de la Corte Constitucional y posteriormente a sanción presidencial. Luego, la Cancillería hará oficial la adhesión al convenio, que le permitirá a Colombia no solo avanzar en temas de cooperación internacional contra delitos informáticos, sino también fortalecer las leyes y regulaciones nacionales contra el ciberdelito en todos los niveles" 

El Convenio de Budapest se suscribió el 23 de junio de 2001, para aplicar de forma prioritaria “una política penal común con objeto de proteger a la sociedad frente a la ciberdelincuencia, en particular mediante la adopción de una legislación adecuada y la mejora de la cooperación internacional”

Al respecto de la importancia para Colombia de su adhesion a este convenio, considero importante retormar lo que para el Instituto Español de Estudios Estratégicos (ieee.es) significa dicho documento, el cual se ha ratificado en varias naciones:

“El Convenio de Budapest es, sin duda, universalmente y trasatlánticamente el documento más importante respecto a la ciberdelincuencia, y hasta ahora el único cibertratado que tiene por objeto la armonización universal de la normativa del derecho penal nacional y la persecución penal de los delitos relacionados con internet”.  

Valga la pena resaltar la variada tipología de delitos que ya se han incluido en el código penal colombiano, como un primer acercamiento. Sin embargo, falta aún por incluir las variaciones concomitantes con el avance que han tenido las distintas aplicaciones, dispositivos y tecnologías, y de igual manera, las modalidades nuevas como el secuestro de archivos, para el que actualmente el Código penal Colombiano[10]  se queda corto en tipificar y castigar. 

Para leer más del Convenio puedes visitar este enlace: 

http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185 

---

[1] PORTAL DE LA UIT-T. Recomendación UIT–T X.1205. Ciberseguridad [en linea] Disponible en: http://www.itu.int/net/itunews/issues/2010/09/20-es.aspx [Consultado el 22 de Julio de 2017]

[2] PORTAL DE MINTIC. Conpes 3701 de 2011 [en linea] Disponible en:  http://www.mintic.gov.co/portal/604/articles-3510_documento.pdf [Consultado el 22 de Julio de 2017]

[3] PORTAL DNP. Conpes 3854 [en linea] Disponible en: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf [Consultado el 22 de Julio de 2017]

[4] Portal de Mcafee. Update: McAfee: Cyber criminals using Android malware and ransomware the most [en linea] Disponible en: http://www.infoworld.com/article/2614854/security/update--mcafee--cyber-criminals-using-android-malware-and-ransomware-the-most.html [Consultado el 22 de Julio de 2017]

[5]PORTAL REDESZONE. JIMENEZ, Javier   [en linea] Disponible en: https://www.redeszone.net/2017/07/18/reyptson-nuevo-ransomware-esta-atacando-usuarios-espanoles [Consultado el 22 de Julio de 2017]

[6] PORTAL Alta Densidad.  [en linea] Disponible en: http://altadensidad.com/?p=99458 [Consultado el 22 de Julio de 2017]

[7] PORTAL CISCO. Traducción Propia [en linea] Disponible en:  https://newsroom.cisco.com/press-release-content?articleId=1818259 [Consultado el 22 de Julio de 2017]

[8] Ibidem.

[9] PORTAL DE MINTIC. Gobierno radicó Proyecto de Ley para adherirse al Convenio de Budapest contra la ciberdelincuenci  [en linea] Disponible en: http://www.mintic.gov.co/portal/604/w3-article-56316.html  [Consultado el 15 de Agosto de 2017]

[10] PORTAL DE LA ALCALDIA MAYOR DE BOGOTA. Ley 1273 de 2009[en linea] Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492   [Consultado el 15 de Agosto de 2017]