Lea aquí el V Informe Anual de Crimología Virtual
Anuncio
Informe sobre criminología virtual 2009 La era de la ciberguerra, casi una realidad Informe sobre criminología virtual 2009 1 Prólogo Informe sobre criminología virtual 2009 "Guerra" no es una palabra que deba tomarse a la ligera. De ahí que el creciente debate sobre la ciberguerra haya llamado nuestra atención. El Informe anual sobre criminología virtual de McAfee se ha centrado tradicionalmente en los métodos, los objetivos y el comportamiento de los ciberdelincuentes. Sin embargo, mientras preparábamos el informe de 2007, numerosos expertos señalaron que los países ya no se limitaban a espiarse en el ciberespacio, sino que, además, desarrollaban técnicas de ciberataques cada día más sofisticadas. Desde la publicación de ese informe, cada vez con más frecuencia asistimos al debate del concepto de ciberguerra. La causa puede ser el aumento del número de ataques e infiltraciones en las redes aparentemente motivados por objetivos políticos en lugar de económicos, lo que los distingue claramente de la ciberdelincuencia propiamente dicha. En el informe de este año, hemos decidido volver a analizar la posibilidad de una guerra en el ciberespacio. Los expertos no parecen ponerse de acuerdo en cuanto al uso del término "ciberguerra" y no está en el ánimo de McAfee exagerar la magnitud del problema ni crear un miedo injustificado. No obstante, nuestra investigación ha puesto de manifiesto que, aunque es posible que haya diferencias en la definición de ciberguerra, todo el mundo parece estar de acuerdo en la existencia de un número cada vez mayor de ciberataques que tienen más que ver con un conflicto político que con actos meramente delictivos. Asimismo, hemos podido constatar que hay naciones que están aumentando de manera considerable su capacidad cibernética, en lo que muchos consideran ya una carrera armamentística virtual. Si el ciberespacio llegara a convertirse en el próximo campo de batalla, ¿cuáles serían las repercusiones en la economía global y en los servicios esenciales para los ciudadanos que dependen de las infraestructuras de la información? ¿Qué debemos hacer los que no pertenecemos al ámbito militar para estar preparados frente a la siguiente ola de ciberataques? Encontrar respuestas a estas preguntas no ha sido una tarea fácil, sobre todo porque gran parte de este debate se está produciendo a puerta cerrada. Por ello, pensamos que es necesario acabar con este halo de secretismo que rodea a todo lo relacionado con la ciberguerra. Existen pocas dudas de que el impacto de la ciberguerra se extenderá más allá de las redes militares. A medida que aumenta nuestra dependencia de Internet, también lo hace la necesidad de un debate serio sobre el conflicto político en el ciberespacio. En el Informe sobre criminalidad virtual de este año se subrayan las complejidades y las consecuencias potenciales de trasladar el conflicto político al ciberespacio. Esperamos que el informe contribuya a fomentar y elaborar un diálogo a nivel mundial sobre cómo proteger nuestros recursos digitales del azote de la ciberguerra. ÍNDICE Prólogo 1 Introducción 2 ¿Hemos entrado en la erade la ciberguerra? 4 El sector privado en el punto de mira 14 Agenda para un debate público sobre las políticas de ciberdefensa 24 Mirando al futuro 32 Colaboradores 34 Dave DeWalt Presidente y CEO, McAfee, Inc. Informe sobre criminología virtual 2009 1 Las noticias sobre ciberataques e infiltraciones en redes que parecen estar vinculadas a países y objetivos políticos han aumentado considerablemente. Introducción De esta investigación se extrajeron tres conclusiones clave: ¿Hemos entrado en la era de la ciberguerra? Este año, el quinto Informe sobre criminología virtual de McAfee anual plantea ésta y otras preguntas que surgen del hecho de que los países se estén armando para la batalla del ciberespacio. Desde nuestro informe de 2007, cuando abordamos por última vez cómo crecía la ciberamenaza para la seguridad nacional, se han producido cada vez más noticias sobre infiltraciones en redes y ciberataques que parecen vinculados a países y objetivos políticos. El más obvio de estos ataques fue la campaña de agosto de 2008 contra Georgia durante la guerra de Osetia del Sur. Hemos decidido que ya era hora de examinar en profundidad si la ciberguerra ya forma parte de los conflictos humanos a los que debemos empezar a acostumbrarnos. • McAfee encargó a la empresa de consultoría sobre seguridad Good Harbor Consulting la investigación y redacción de este informe. Su preparación corrió a cargo de Paul B. Kurtz, un reconocido experto en ciberseguridad que ocupó altos cargos en el Consejo de Seguridad Nacional de la Casa Blanca durante los mandatos de los presidentes Clinton y Bush, y de David W. DeCarlo, con el asesoramiento de Stacy Simpson. El equipo tuvo la oportunidad de entrevistar a 20 expertos en relaciones internacionales, seguridad nacional y seguridad en Internet de todo el mundo, con objeto de analizar sus opiniones sobre la definición de ciberguerra, su impacto en el sector privado y la prioridad de los temas a debate público. 2 Informe sobre criminología virtual 2009 • Aunque en la actualidad no existe una definición comúnmente aceptada del término ciberguerra, hemos podido constatar la implicación de algunos países en ciberconflictos a distinto nivel. Además, si bien aún no hemos presenciado una ciberguerra "caliente" entre dos grandes potencias, los esfuerzos de algunos países por dotarse de la capacidad necesaria para lanzar ciberataques cada vez más sofisticados y, en algunos casos, demostrar su voluntad de utilizarlos hacen pensar que ya se ha iniciado una "ciberguerra fría". Si surgiera un ciberconflicto a gran escala entre países, es muy probable que el sector privado acabara atrapado entre el fuego cruzado. La mayoría de los expertos están de acuerdo en que los sistemas de infraestructuras críticas —como la red eléctrica, la banca y el sistema financiero, así como los sectores del petróleo y el gas— son vulnerables a los ciberataques en muchos países. Algunos países buscan de forma activa vulnerabilidades específicas en estas redes. En palabras de un experto, los países están "allanando el campo de batalla electrónico y preparándose para utilizarlo". • Por desgracia, una buena parte del debate sobre las políticas relacionadas con la ciberguerra se está llevando a cabo a puerta cerrada. Preguntas importantes, como dónde trazar la línea que separa ciberespionaje y ciberguerra, se debaten en privado, en el mejor de los casos. Muchos gobiernos han optado por mantener en secreto el debate sobre el ciberconflicto. Puesto que todo el mundo, gobiernos, empresas y ciudadanos, tiene intereses en el futuro de Internet, es hora de abrir un diálogo a nivel mundial sobre la manera de gestionar esta nueva forma de conflicto. Informe sobre criminología virtual 2009 3 ¿Hemos entrado en la era de la ciberguerra? El fin de semana del 4 de julio, mientras millones de estadounidenses en todo el mundo celebraban el día de la independencia de la nación, algunos sitios Web oficiales eran bombardeados con solicitudes de acceso, ralentizando y, en ocasiones, impidiendo su acceso. Los objetivos de estos ataques de denegación de servicio fueron la Casa Blanca, el Departamento de Seguridad Nacional, los servicios secretos estadounidenses, la Agencia para la Seguridad Nacional (NSA), la Comisión Federal de Comercio, el Departamento del Tesoro, el Departamento de Defensa y el Departamento de Estado, así como la Bolsa de Nueva York, Nasdaq, Amazon y Yahoo. Mientras estos sitios sufrían los ataques, el país entero estaba celebrando la fiesta con la familia y los amigos. Prácticamente nadie pareció darse cuenta de que no podían acceder a las últimas noticias procedentes de la Comisión Federal de Comercio o del Departamento del Tesoro. El martes siguiente, once sitios Web del Gobierno de Corea del Sur fueron bloqueados por la misma red de 50.000 ordenadores que se utilizó en los ataques contra Estados Unidos. Agentes del servicio secreto surcoreano señalaron a Corea del Norte como autor de los ataques, una acusación de la que informó la agencia de noticias Associated Press. De repente, el tema captó la atención de mucha más gente. Los expertos en seguridad en Internet no tardaron en descubrir que el culpable de los ataques contra EE. UU. y Corea del Sur era un adversario poco sofisticado y se preguntaban si Corea del Norte estaría detrás. Muchos de los sitios Web pudieron volver a su actividad habitual en cuestión de horas. Algunos políticos y expertos en seguridad llegaron a la conclusión de que, fuera o no responsable Corea del Norte, los ataques no fueron más que un incordio para los ciudadanos de Estados Unidos y de Corea del Sur. ¿Cuál fue el móvil de los ataques del 4 de julio? Si los ataques tuvieron efectivamente su origen en Corea del Norte, una de las motivaciones podría haber sido comprobar el impacto de inundar las redes surcoreanas y las comunicaciones transcontinentales entre el Gobierno de EE. UU. y Corea del Sur, con el fin de evaluar la capacidad de las fuerzas militares de EE. UU. en suelo surcoreano para comunicarse con los líderes militares en Washington y con el Mando del Pacífico en Hawai, sugiere Dmitri Alperovitch, Vicepresidente de la división de investigación de amenazas de McAfee. La posibilidad de mermar seriamente la capacidad de transmisión de información desde estos puntos de enlace le proporcionaría a Corea del Norte una excelente ventaja en caso de ataque sorpresa sobre Corea del Sur a través de la zona desmilitarizada. Informe sobre criminología virtual 2009 5 La "ciberinundación" georgiana: ¿modelo de futuros conflictos? En agosto de 2008, Rusia atacó la nación de Georgia por una disputa sobre la provincia georgiana de Osetia del Sur. Mientras las fuerzas militares rusas preparaban el asalto por tierra y aire, un grupo de nacionalistas rusos se unían a la lucha desde el ciberespacio. Cualquier civil, ruso o no, con aspiraciones de convertirse en un cibersoldado podía visitar sitios Web prorrusos para descargar el software y las instrucciones necesarias para lanzar ataques de denegación de servicio sobre Georgia. En un sitio Web en particular, llamado StopGeorgia, los visitantes podían descargar una lista de sitios Web identificados como objetivos, así como una utilidad de software automatizado. El único esfuerzo que se le pedía al usuario era introducir la dirección Web de un objetivo y hacer clic en un botón llamado "Start Flood" (literalmente en inglés "Iniciar inundación")2. El asalto coordinado inundó sitios Web del gobierno y de medios de comunicación georgianos con solicitudes de acceso. Aunque en un primer momento los efectos fueron poco importantes (algunos sitios Web dejaron de funcionar de forma esporádica), los ataques de denegación de servicio se hicieron más severos en cuanto se desencadenaron las hostilidades armadas. Otros, en cambio, eran de distinta opinión. Al final de la semana, el congresista estadounidense Peter Hoekstra dijo públicamente que EE. UU. debía adoptar medidas de "demostración de fuerza" contra Corea del Norte por su presunta participación en los ataques. "Ya sea mediante un contraataque de la misma naturaleza o, incluso, con un aumento de las sanciones internacionales…, es hora de que EE. UU., Corea del Sur, Japón y otros países planten cara a Corea del Norte," dijo, "o la próxima vez… conseguirán penetrar y bloquear un sistema bancario, manipular datos financieros o la red eléctrica… y, en caso de error de cálculo, podrían poner en peligro vidas humanas"1. Es posible que los ataques fueran algo más que un simple delito en el ciberespacio, pero ¿justificaban una respuesta política por parte de EE. UU. o una amenaza de represalia militar? ¿Cuáles fueron las motivaciones de los agresores? ¿Había algo de verdad en la afirmación de que Corea del Norte estaba detrás de los ataques? Si era así, ¿cuáles fueron las consecuencias que se buscaban? Los sitios Web de noticias y del gobierno dejaron de estar disponibles para toda la población dentro y fuera de Georgia, dificultando enormemente las comunicaciones públicas en dicho país. Rusia consiguió una importante victoria psicológica al impedir que Georgia pudiera difundir a la opinión pública información precisa sobre el estado del conflicto. Y, silenciada la versión georgiana del conflicto, Rusia prácticamente tenía ganada la batalla ante la opinión pública internacional. Rusia negó cualquier tipo de implicación en los ciberataques por parte de sus fuerzas militares y del gobierno. Pero para algunos resultaba difícil creer que las fuerzas militares rusas iniciaran casualmente las hostilidades al mismo tiempo que se llevaba a cabo un ciberasalto civil independiente y a gran escala. La Unidad de Ciberconsecuencias de EE. UU. (US-CCU, por sus siglas en inglés), una institución de investigación independiente sin ánimo de lucro, comenzó a supervisar la situación tras los ataques, en parte para determinar cómo se orquestó la campaña. En un informe publicado recientemente, la US-CCU concluía que todos los agresores y actividades parecían tener un origen civil, pero que alguien desde el gobierno ruso debía haber informado con anticipación a los agresores del momento del inicio de las operaciones militares3. Las respuestas a todas estas preguntas no estaban claras. Sin embargo, estos ciberataques no fueron los primeros en plantear esas preguntas. En 2007, Estonia fue víctima de una serie de ataques de denegación de servicio sobre sitios Web comerciales y oficiales. Los ataques se prolongaron durante semanas y afectaron a la capacidad de los estonios para acceder a sus cuentas corrientes online y realizar compras a través de Internet. El análisis técnico demostró que los ataques procedían de Rusia, pero el gobierno ruso rechazó cualquier tipo de responsabilidad. Aunque Estonia es miembro de la Organización del Tratado del Atlántico Norte (OTAN) —alianza creada durante la Guerra Fría para detener los ataques procedentes de la Unión Soviética— los miembros de esta organización no consideraron seriamente una respuesta oficial, militar o diplomática, a los ataques, según Taimar Peterkop, Consejero de Defensa en la Embajada de Estonia en Washington. Algunos miembros de la OTAN enviaron asesores técnicos para ayudar a Estonia a reducir el impacto de los ataques, pero la ayuda no se ofreció como parte de una misión oficial de la OTAN. Algo tal vez incluso más sorprendente que el descubrimiento de un cierto nivel de coordinación entre las autoridades rusas y los ciberagresores fue la decisión deliberada de los rusos de limitar el daño provocado por los ataques. Ninguna infraestructura crítica sufrió daños, a pesar de que las investigaciones realizadas por la US-CCU indican que algunas de esas infraestructuras eran vulnerables y podían haber sido atacadas. "El hecho de que no se lanzaran ciberataques realmente destructivos contras infraestructuras industriales críticas de Georgia hace pensar que alguien del lado ruso llevó a cabo un considerable ejercicio de contención", señala el informe. Scott Borg, Director de la US-CCU, cree que el conflicto de Georgia puede ser el presagio de la forma en que los países orquestarán los ciberataques en el futuro. "En la campaña de ciberataques contra Georgia se dotó a la gente de herramientas de ataque, de objetivos y de la sincronización adecuada", afirmó Borg. "Hasta la fecha, esta técnica se había utilizado en ataques de denegación de servicio y otros ataques similares. En el futuro, permitirá organizar a la gente para cometer ataques más devastadores". 2 "Marching off to cyberwar" (Marchando hacia la ciberguerra), The Economist, 4 de diciembre de 2008. 3 "Overview by the US-CCU of the Cyber Campaign Against Georgia in August of 2008" (Presentación de la US-CCU de la cibercampaña contra Georgia en agosto de 2008), Informe especial de la US-CCU, agosto de 2009. Cuando cesaron los ataques, como respuesta, Estonia encargó a sus fuerzas de seguridad una investigación para capturar a los autores. Consiguieron identificar a algunos de los agresores en Rusia, pero los agentes de las fuerzas de seguridad estonias se toparon con un muro cuando buscaron colaboración por parte de sus homólogos rusos. "Estonia ha sido incapaz de convencer a las autoridades rusas para que detengan a los ciberdelincuentes y los lleven ante la justicia", afirmó Peterkop. Estos y otros acontecimientos han llevado a gobiernos de todo el mundo a aumentar sus esfuerzos para prepararse ante futuros ciberataques. La OTAN ha creado un "Centro de Excelencia" para la ciberdefensa en Estonia cuyo objeto es estudiar los ciberataques y determinar las circunstancias en las que deben activar el principio de defensa mutua de la OTAN por el que "cualquier ataque a uno de sus miembros será un ataque contra todos". En junio de 2009, el Secretario de Defensa de EE. UU., Robert Gates, anunció la formación de un "cibercomando", una organización subordinada unificada que funcionaría bajo la dirección del Mando Estratégico de EE. UU. Liderado por un teniente general, el nuevo comando tiene como misión la defensa de las redes militares estadounidenses de vital importancia. El gobierno del Reino Unido anunció recientemente sus planes para la creación de una oficina de ciberseguridad (OCS, Office of Cyber Security), cuyo objetivo será ocuparse del creciente nivel de ataques online. El papel de la OCS será coordinar las capacidades ofensivas y, en casos extremos, tendrá potestad para preparar un ciberataque en respuesta a intrusiones en redes del Reino Unido. Otras naciones están contemplando iniciativas similares para proteger a sus poblaciones en el ciberespacio. 1 "Hoekstra: ‘Stand up to N. Korea’" (Hoekstra: plantarle cara a Corea del Norte), Washington Times, 9 de julio de 2009. 6 Informe sobre criminología virtual 2009 Informe sobre criminología virtual 2009 7 Centro de Excelencia para la Cooperación en Ciberdefensa El Centro de Excelencia para la Cooperación en Ciberdefensa (CCDCOE, Cooperative Cyber Defence Centre of Excellence) se fundó en mayo de 2008 en Tallín, la capital de Estonia, con el objetivo de mejorar la capacidad de ciberdefensa de la OTAN. El CCDCOE es una organización internacional abierta a todas las naciones que pertenecen a la OTAN. En la actualidad, Estonia, Letonia, Lituania, Alemania, Italia, República Checa y España han firmado el memorándum de acuerdo para proporcionar personal y actuar como naciones patrocinadoras. La misión del CCDCOE es mejorar la capacidad, la cooperación y la información que se intercambia entre las naciones miembros de la OTAN a través de la formación, la investigación y desarrollo, el asesoramiento y la evaluación de las lecciones aprendidas de los conflictos que tienen lugar en el ciberespacio. ¿Es esto la guerra? ORIGEN 0–3 4–8 muy pocas o ninguna prueba tolerado por un país de implicación de un país respaldado por un país MOTIVACIÓN 0–3 desconocida/delictiva 0–3 impacto menor/ corta duración 8 – 10 objetivo político selectivo/explícito 4–8 impacto moderado/ duración media 8 – 10 impacto severo/ larga duración 4–8 exploits no publicados 8 – 10 exploits personalizados SOFISTICACIÓN 0–3 exploits conocidos Estonia ciberataques contra Estonia (Abril - Mayo de 2007) La guerra se define habitualmente como el uso de la fuerza, o la violencia, por parte de un país-nación para obligar a otro a cumplir su voluntad. El estratega prusiano Carl von Clausewitz la definía esencialmente de esta manera en su tratado De la guerra —un clásico del pensamiento militar estratégico de principios del siglo XIX. Concretamente, definía la guerra como "la continuación de la política por otros medios". En otras palabras, un conflicto militar es una forma que emplean los países para alcanzar objetivos políticos cuando otros medios, como la diplomacia, dejan de funcionar o son menos expeditivos que el uso de la violencia. Los conceptos de Clausewitz siguen determinando la forma en la que los estrategas militares y los teóricos de las relaciones internacionales consideran la guerra en nuestros días. La creciente dependencia del mundo de la tecnología de la información, unida a la mayor sofisticación de los ciberdelincuentes, ha llevado a los expertos a examinar la noción de "ciberguerra". No obstante, no existe un consenso generalizado entre los expertos en ciberseguridad, tecnología y relaciones internacionales en cuanto a qué tipo de acciones, si es que las hay, constituyen un acto de guerra en el ciberespacio. No obstante, es posible que el uso de la fuerza no sea ahora tan obvio como lo era en tiempos de Clausewitz. Clausewitz escribió sobre la guerra poco después de las Guerras Napoleónicas en las que participó, en una época en la que los países enviaban a sus ejércitos de infantería uniformada a luchar en el campo de batalla, separados por unos cientos de metros y a tiro de mosquete. Es difícil que hubiera podido imaginar un campo de batalla hecho de bits y bytes donde las fronteras entre países se difuminan, las armas son difíciles de detectar y rara vez se dejan ver, y los soldados pueden disfrazarse fácilmente de civiles. A la hora de determinar esta circunstancia, los expertos valoran cuatro atributos clave: Informe sobre criminología virtual 2009 4–8 puede tener motivaciones políticas CONSECUENCIA Hacia una definición de ciberguerra 8 8 – 10 ejecutado por un país Origen: ¿fue el ataque obra de un país o apoyado por él? Consecuencia: ¿causó daños el ataque? Motivación: ¿tuvo el ataque motivaciones políticas? Sofisticación: ¿necesitó el ataque métodos personalizados y/o una compleja planificación? Identificar el origen, definir el concepto de "daño" y comprender las motivaciones en un ciberconflicto puede ser más un arte que una ciencia. Georgia Ciberataques durante la guerra de Osetia del Sur (Agosto de 2008) En la actualidad, los expertos en relaciones internacionales aceptan de forma generalizada la definición básica de guerra como el uso de la fuerza por parte de uno o varios países contra otro, con fines políticos. Además, un acto de guerra se considera generalmente un suceso grave. Pocas naciones decidirían ir a la guerra por algo sin importancia como, pongamos por caso, el lanzamiento de piedras en sus fronteras. Sin embargo, el caso sería bien distinto si el ataque fuera con misiles. 4 de julio ciberataques durante el cuatro de julio (Julio de 2009) 0–3 4–7 8 – 10 Figura 1. Análisis de los atributos de un ciberataque En teoría parece simple, pero aplicar estos conceptos al ciberespacio es más complicado. Identificar el origen, definir el concepto de "daño" y comprender las motivaciones en un ciberconflicto puede ser más un arte que una ciencia. Por ejemplo, lo que para una nación puede ser una simple molestia, podría ser considerado por otra una amenaza intolerable. Y si una nación alentara un ataque, pero no lo llevara a cabo con sus propias fuerzas armadas, ¿podríamos seguir hablando de ciberguerra? Informe sobre criminología virtual 2009 9 Muchos de los retos que plantea la ciberguerra se asemejan a los de la ciberdelincuencia, ya que tanto los países como las ciberbandas se nutren de los mismos instrumentos. Es posible que la capacidad informática ofensiva no sea por el momento el arma principal de los arsenales de los países, pero, como demuestran los acontecimientos, cada vez más es considerada como un componente del poder militar. Es en la respuesta a estas preguntas donde los expertos difieren a la hora de definir ciberguerra. Si bien todos están de acuerdo en que las naciones deben jugar algún papel en la perpetración del ataque, no se ponen de acuerdo sobre cuál es el umbral de daño o trastorno por el que un ciberataque pasa a denominarse ciberguerra. Efectivamente, algunos expertos dudan de que la capacidad informática ofensiva disponible en la actualidad pueda tener consecuencias físicas graves, como la pérdida de vidas humanas y daños materiales permanentes, que la mayoría de los países asociarían a la guerra. "Utilizadas por sí solas, las armas informáticas que conocemos hasta ahora no son capaces de provocar los daños suficientes para que un ataque pueda calificarse como un acto de guerra", afirma Eugene Spafford, Director del Centro para la Educación y la Investigación sobre Garantías y Seguridad de la Información de la Universidad de Purdue. "No es que el concepto de ciberguerra carezca de sentido, pero creo que no puede aplicarse a ninguno de los acontecimientos que hemos visto hasta el momento". Es posible que la capacidad informática ofensiva no sea por el momento el arma principal de los arsenales de los países, pero, como demuestran los acontecimientos, cada vez más es considerada como un componente del poder militar. Según responsables de la seguridad nacional, muchos países están desarrollando capacidades informáticas ofensivas, aunque los detalles no son de dominio público, ya que se trata de información estrictamente clasificada. La cuestión sigue siendo si la postura actual de los países significa que la ciberguerra, en ausencia de conflicto físico, será algún día una realidad. "En el curso de los próximos veinte o treinta años, el papel de los ciberataques en caso de guerra cobrará cada vez más importancia", según William Crowell, ex Subdirector de la Agencia para la Seguridad Nacional, una organización de inteligencia estadounidense. "Lo que no podemos prever es si la presencia omnipotente o la desprotección de las redes serán tales que las operaciones de ciberguerra podrán llevarse a cabo de forma independiente". Es bastante difícil imaginar un conflicto totalmente virtual en el que los países participen sin un solo disparo, cañonazo o ataque aéreo. Puede que necesitemos un Clausewitz de nuestro tiempo para despejarnos las dudas que rodean a la ciberguerra y ayudarnos a prevenir el futuro. Mientras tanto, nos enfrentamos a problemas más inmediatos, como la confusión que surge cuando los países reclutan ciberdelincuentes como aliados para conseguir sus objetivos políticos. El nexo entre la ciberdelincuencia y la ciberguerra La frontera entre ciberdelincuencia y ciberguerra es aún difusa, por la sencilla razón de que algunos países ven aliados en las organizaciones criminales. Estos países ya han demostrado que están dispuestos a tolerar, alentar e incluso encargar a organizaciones criminales y a ciudadanos privados el ataque a objetivos enemigos. En el caso de los ciberataques contra Georgia, por ejemplo, un grupo de civiles lanzó una serie de ataques informáticos al tiempo que el ejército ruso desencadenaba una ofensiva terrestre y aérea sobre territorio georgiano. Según un informe reciente de la unidad US-CCU (U.S. Cyber Consequences Unit), un instituto de investigación independiente de EE. U.U, existen pruebas de que estos civiles recibieron la ayuda y la colaboración del crimen organizado ruso. Rusia negó cualquier tipo de ayuda o de comunicación con los agresores por parte de su gobierno o de su ejército. Sin embargo, según el mismo informe, "la sincronización entre los ciberataques y las operaciones militares fue tal, que resulta difícil creer que no hubiera una estrecha colaboración entre miembros de las fuerzas militares rusas y los ciberagresores"4. Es aquí donde reside toda la dificultad de determinar si un ataque es un acto criminal, un acto de guerra o algo totalmente distinto. Los ataques de Georgia estaban motivados por los objetivos políticos de Rusia, pero, en gran medida, fueron orquestados por agresores civiles contra objetivos civiles, y en ellos se emplearon métodos perfectamente comparables a los que utilizan los ciberdelincuentes. Según un investigador alemán especializado en ciberdelincuencia,"muchos de los retos que plantea la ciberguerra se asemejan a los de la ciberdelincuencia, ya que tanto los países como las ciberbandas emplean los mismos instrumentos". "Por ejemplo, cualquiera puede ponerse en contacto con un grupo criminal y alquilar una red de bots. Hemos llegado a un punto en el que para ocasionar trastornos no hace falta saber cómo hacerlo; basta con tener dinero, y esto es algo sobre lo que hay que reflexionar". 4 "Overview by the US-CCU of the Cyber Campaign Against Georgia in August of 2008" (Presentación de la US-CCU de la cibercampaña contra Georgia en agosto de 2008), Informe especial de la US-CCU, agosto de 2009. 10 Informe sobre criminología virtual 2009 Informe sobre criminología virtual 2009 11 La ciberguerra fría La ciberdelincuencia es con frecuencia un complemento o una tapadera para otros tipos de actividades maliciosas. Con independencia de las diferencias en la definición que se dé al término ciberguerra, el creciente número de ciberataques con motivaciones políticas, difícilmente clasificables en la categoría de ciberdelitos, está afectando a las relaciones internacionales. Si bien podemos decir que el mundo no ha asistido aún a una "ciberguerra caliente", muchos expertos están convencidos de que los países están ya envueltos en una suerte de carrera armamentística silenciosa para dotarse de un arsenal cibernético. Dicho esto, la situación no es comparable con la carrera armamentística nuclear entre la Unión Soviética y EE. UU. tras la Segunda Guerra Mundial. Si aquello era similar a un duelo, la carrera por el armamento cibernético más bien parece una reyerta abierta a todos. Países que están desarrollando una capacidad informática ofensiva avanzada Rusia Estados Unidos Los conocimientos de piratería informática de los grupos delictivos los convierten en aliados naturales de los países que buscan una forma de enmascarar su implicación en los ciberataques. A fin de evitar o de burlar las leyes internacionales sobre la guerra, los países pueden apoyar, alentar o simplemente tolerar los ciberataques o el espionaje de sus enemigos por parte de grupos privados. Crowell cree que existen pruebas de estas prácticas. "Los términos ciberguerra y ciberdelincuencia se solapan", explica Crowell. "La ciberdelincuencia es con frecuencia un complemento o una tapadera para otros tipos de actividades maliciosas". Además, el dinero no es siempre la única motivación de las organizaciones criminales. En una presentación sobre la lucha contra las redes de ciberdelincuentes durante la conferencia Black Hat 2009 sobre ciberseguridad, Dmitri Alperovitch, Vicepresidente de la división de investigación de amenazas de McAfee, explicaba cómo algunos miembros de bandas rusas de ciberdelincuentes están inspirados por sentimientos nacionalistas y una actitud de superioridad hacia Occidente. Estos valores morales se proclaman en ocasiones en foros de Internet. En uno de ellos, un anuncio tipo banner dejaba bien clara la misión del grupo: "vamos a restablecer la justicia histórica y a devolver a EE. UU. al nivel de los años 1928–33". 12 Informe sobre criminología virtual 2009 En el plano teórico, ya contamos con conceptos para distinguir entre un acto de guerra y un acto delictivo. En la práctica, en cambio, hay ocasiones en las que resulta difícil aplicar estos criterios a ataques específicos y a sus autores. La actitud a la hora de combatir el terrorismo varía enormemente de unos países a otros. Mientras que unos tratan a los terroristas como delincuentes, otros los consideran prisioneros de guerra. Poco después de los ataques del 11 de septiembre de 2001, EE. UU. comenzó a calificar a los terroristas capturados como "combatientes enemigos", considerándolos como combatientes ilegales a los que no se les podía aplicar el estatus de prisionero de guerra según las Convenciones de Ginebra. No existe ninguna razón que permita presuponer que la aplicación de viejos conceptos a una nueva forma de agresión humana en el ciberespacio vaya a ser una tarea fácil. Francia China Israel La ciberguerra no ha comenzado, pero no cabe duda de que los países han entrado en la competición. Figura 2 James Lewis, Director del programa de tecnología del Centro de Estudios Estratégicos e Internacionales, no cree que hayamos asistido a una ciberguerra por el momento, aunque piensa que el riesgo de un conflicto de estas características es cada vez mayor. "En este momento no podemos decir que se esté produciendo una ciberguerra, pero no cabe duda de que los países están compitiendo en esta materia", afirmó Lewis. "Las armas cibernéticas existen y cabe esperar que algún día se utilicen entre adversarios". En otro paralelismo con la Guerra Fría, se ha producido un aluvión de noticias sobre países que espían redes estatales confidenciales y sistemas de infraestructuras críticos de otros países, tal vez en preparación de futuros ataques. Mike Jacobs, ex Director de Seguridad de la Información de la Agencia de Seguridad Nacional estadounidense piensa que estas informaciones están causando preocupación. "Los adversarios están recopilando toda la información posible sobre las redes de suministro eléctrico y otros sistemas, dejando, en ocasiones, aplicaciones de software que podrían ayudarles a desencadenar futuros ataques", afirmó Jacobs. Mientras que algunos expertos califican estas actividades de "ciberespionaje", otros lo ven como una forma de conflicto menor, un continuo juego del ratón y el gato que anuncia el comienzo de una ciberguerra fría. "Cuando se llevan a cabo misiones de reconocimiento de las infraestructuras del adversario, lo que se hace en realidad es preparar el campo de batalla electrónico con la intención de entrar en combate algún día", afirmó Jacobs. "En mi opinión, estas actividades constituyen actos de guerra o, al menos, son el preludio de futuros actos de guerra". Aunque existen algunas diferencias a la hora de establecer la frontera entre un ciberataque y la ciberguerra, los expertos coinciden en que algunos países y otros actores civiles (organizaciones criminales, terroristas y activistas) están desarrollando sofisticados arsenales de armas informáticas y que algunos han demostrado su voluntad de utilizarlos con fines políticos. Si estalla la guerra virtual, gobiernos, empresas y ciudadanos pueden quedar atrapados en el fuego cruzado. Informe sobre criminología virtual 2009 13 Por ejemplo, antes de la invasión de Irak por parte de EE. UU. en 2003, el ejército y las agencias de inteligencia estadounidenses planeaban un ciberataque contra el sistema financiero iraquí. El ataque habría permitido congelar miles de millones de dólares de cuentas personales de Saddam Hussein y bloquear el pago de los sueldos de los soldados iraquíes y del material militar. Todo estaba listo. Los sistemas estaban preparados, a la espera solamente de la orden de ataque. El sector privado en el punto de mira La amenaza para las empresas privadas y los ciudadanos es real. Algunos países ya han contemplado la posibilidad de lanzar ciberataques que podrían ser más devastadores que los sufridos por Estonia o Georgia. Pero la administración Bush no dio dicha orden. Fuentes de la anterior administración señalaron que a algunos funcionarios les preocupaba que las consecuencias del ataque se extendieran desde el sistema financiero iraquí y temían las posibles repercusiones que pudiera tener sobre bancos de Oriente Medio, Europa y Estados Unidos5. Estos funcionarios pudieron pensar que el riesgo de sumir al mundo en una crisis financiera era demasiado grande. Si bien en este caso EE. UU. decidió retroceder debido al alto riesgo de provocar daños colaterales, no resulta difícil imaginarse las consecuencias para el sector privado si se desencadenaran las hostilidades entres dos grandes potencias. No resulta difícil imaginarse las consecuencias para el sector privado si se desencadenaran las hostilidades entres dos grandes potencias. 5 "Halted ’03 Iraq Plan Illustrates U.S. Fear of Cyberwar Risk" (La detención del plan iraquí de 2003 refleja el miedo de EE. UU. ante el riesgo de ciberguerra), New York Times, 1 de agosto de 2009. Consideremos la perspectiva de un consejero delegado de una importante institución financiera. Una mañana abre el periódico y comienza a leer un artículo sobre un pequeño conflicto que ha estallado entre fuerzas rebeldes y gubernamentales en un país situado a miles de kilómetros de distancia. Una fuente anónima deja entrever que el propio gobierno del consejero delegado podría estar financiando a los rebeldes. Sin terminar de leer el artículo, pasa a la sección de economía, termina el café y se pone a trabajar. Mientras tanto, los especialistas de TI del banco descubren que han sido víctimas de una intrusión grave en sus sistemas durante la noche. El ataque es más complejo de lo habitual y tienen problemas para restaurar sus sistemas. Los especialistas de TI informan a la dirección y ésta, a su vez, solicita la ayuda de las fuerzas de seguridad. Se informa al banco de que se trata de un problema generalizado, pero que nadie está seguro de lo que ha pasado ni de lo que debe hacerse. A la hora de la comida, el consejero delegado recibe una nota informativa sobre el problema y se pregunta si es posible que los dos acontecimientos estén relacionados. Pero ya es demasiado tarde. El ataque ya ha afectado a la información del sistema bancario online de la empresa, que da servicio a miles de clientes. Existe una copia de seguridad de los datos, pero llevará días restaurarla, y el departamento de atención al cliente ya está sobrecargado de llamadas de personas preocupadas por sus ahorros. La confianza en el banco está en peligro, lo que podría provocar retiradas masivas de efectivo. Aunque se trata de un escenario hipotético, no es imposible. Informe sobre criminología virtual 2009 15 Objetivos en abundancia Muchos expertos internacionales en seguridad y ciberseguridad opinan que las infraestructuras críticas de los países —el sistema bancario y financiero, las redes de suministro de electricidad, las refinerías de petróleo y gas, los oleoductos y gaseoductos, los servicios públicos de abastecimiento de agua o los sistemas de telecomunicaciones— son probables objetivos de guerras futuras. En muchos países, especialmente en Occidente, la privatización de estos servicios públicos implica que las empresas privadas quedarán inevitablemente atrapadas en un fuego cruzado. Sin embargo, la amenaza contra infraestructuras críticas no es exclusiva de Occidente. Masaki Ishiguro trabaja en el Grupo de Seguridad de la Información del Instituto de Investigación Mitsubishi en Japón. Según su opinión, "si algún enemigo intentara atacar a una nación en el ciberespacio, seleccionaría sus objetivos para causar a su oponente el mayor impacto y el mayor daño con el mínimo esfuerzo". "Por lo tanto, resulta razonable pensar que atacarían sistemas de infraestructuras críticos a través de Internet". Según Kim Kwang Choo, experto en seguridad de la información del Instituto de Criminología australiano, si bien la definición de infraestructura crítica puede variar entre países, la mayor parte de los sistemas de información de los distintos sectores de infraestructuras críticas, sobre todo en países desarrollados, son de propiedad privada. Por lo tanto, las consecuencias de un ciberataque podrían seguir dejándose sentir después de que se haya producido el daño inmediato. "Prácticamente la totalidad de las empresas de las economías desarrolladas utilizan Internet. A medida que las empresas y los gobiernos avanzan hacia la implantación del comercio electrónico se acentúan los fenómenos de globalización e interconexión", explica Choo. "El uso generalizado de tecnologías de la información y de infraestructuras de comunicación crea diversas interdependencias entre sectores clave, que, en su mayoría, se exponen a los mismos riesgos que dichas tecnologías. Por lo tanto, las consecuencias de un ciberataque podrían seguir dejándose sentir después de que se haya producido el daño inmediato. En algunos países, por ejemplo, la red eléctrica, el suministro de agua y otros servicios públicos esenciales están estrechamente ligados a Internet. Los dispositivos de control remoto —conocidos en algunas industrias como sistemas de registro de datos y control de supervisión (SCADA, Supervisory Control and Data Acquisition)— ayudan a las empresas a reducir los costes de explotación y de mantenimiento de la infraestructura que proporciona abastecimiento de agua y electricidad, así como refinado de carburantes. Cuando las empresas instalaron esos sistemas, parece que no previeron que habría enemigos que también querrían controlar los sistemas de forma remota con el fin de crear daños o problemas de funcionamiento. Greg Day, Analista de Seguridad de McAfee, cree que la situación actual se debe en gran medida al factor económico. "Todavía no he conocido a nadie que piense que los sistemas SCADA deban estar conectados a Internet. Pero la realidad es que los sistemas SCADA necesitan actualizaciones regulares desde un control central, y resulta más barato hacerlo a través de una conexión a Internet existente que desplazar datos de forma manual o crear una red independiente", añadió. En opinión de los expertos no resulta fácil piratear los sistemas SCADA y otros sistemas de control digital. El obstáculo no es tanto la existencia de hackers con los conocimientos técnicos adecuados, sino el nivel de planificación necesario para llevar a cabo un ataque de esta naturaleza. A pesar del reto que supone identificar las vulnerabilidades en los sistemas, está probado que puede hacerse y que pueden llevarse a cabo ataques sobre servicios públicos. Una veterano analista de la CIA declaró el año pasado que algunos hackers consiguieron atacar los sistemas informáticos de empresas de servicios públicos fuera de EE. UU. y que, en una ocasión, se produjeron cortes de energía en varias ciudades6. A pesar del reto que supone identificar las vulnerabilidades en los sistemas, está probado que puede hacerse y que pueden llevarse a cabo ataques sobre servicios públicos. 6 "CIA: Hackers shut down power to entire cities" (CIA: un grupo de hackers consigue interrumpir el suministro eléctrico de ciudades enteras), Telegraph.co.uk, 25 de enero de 2008. 16 Informe sobre criminología virtual 2009 Informe sobre criminología virtual 2009 17 Dada la rápida evolución de las capacidades ofensivas, es imprescindible que las defensas en el sector privado sean enormemente adaptables. Puede que las infraestructuras críticas no sean los únicos objetivos de un ataque. Los países son igualmente susceptibles de utilizar los ciberataques como nuevos medios de llevar a cabo campañas de propaganda. Dmitri Alperovitch, Vicepresidente de la división de investigación de amenazas de McAfee, cree que Rusia utilizó estas tácticas en su campaña contra Georgia. "Resulta interesante observar que la superioridad militar de Rusia era total. No necesitaban un ciberataque para ganar la guerra", afirmó Alperovitch. "Sin embargo, era fundamental para Rusia ganar la batalla de la opinión pública internacional. Rusia realizó un enorme esfuerzo para impedir que los medios de comunicación georgianos realizaran su trabajo y, para ello, empleó tanto medios físicos como virtuales". Los objetivos de una guerra de propaganda pueden ir desde los sitios Web de noticias tradicionales a los sitios de redes sociales, como Twitter y Facebook. Cualquier sitio que pudiera tener la más mínima influencia sobre la percepción pública de los sucesos de actualidad podría ser objetivo de un ataque durante un conflicto y es posible que incluso en tiempo de paz. Hace apenas unas semanas, en agosto de 2009, Twitter, Facebook y otros sitios Web sufrieron un ataque de denegación de servicio coordinado que pareció dirigido contra un solo hombre. Se trataba de un profesor de 34 años de una universidad de Georgia que había estado publicando comentarios en su blog sobre el conflicto georgiano. El hecho de que los ataques coincidieran en el tiempo con el primer aniversario de la guerra de Georgia hace sospechar a algunos que alguien desde Rusia quería silenciar las opiniones del profesor7. Los ataques afectaron igualmente a otros cientos de millones de usuarios. Aunque podían considerarse "daños colaterales", a pocos pareció importarle. De hecho, en cuanto Twitter volvió a estar operativo, un grupo de usuarios iniciaron un irónico debate sobre el impacto que tuvo en sus vidas la "desaparición temporal de Twitter". La conclusión general fue que no había tenido ninguno. Sin embargo, como se vio durante la guerra de Osetia del Sur, los ataques sobre los medios de comunicación no siempre son tan inofensivos cuando hay mucho más en juego. 7 "Twitter Snag Tied to Attack on Georgian Blog" (Bloqueo en Twitter tras el ataque a un blog en Georgia), Washington Post, 8 de agosto de 2009. 18 Informe sobre criminología virtual 2009 Los retos para el sector privado Según Greg Rattray, autor de Strategic Warfare in Cyberspace (Guerra estratégica en el ciberespacio), dada la creciente complejidad de las amenazas procedentes de países, las empresas privadas deben reflexionar sobre la forma de mejorar sus ciberdefensas. "El sector privado es, por lo general, responsable de su propia seguridad, pero la ciberguerra podría cambiar los tipos de ataques a los que están acostumbradas las empresas. Dada la rápida evolución de las capacidades ofensivas, es imprescindible que las defensas en el sector privado sean enormemente adaptables. Esto sitúa al sector privado en una complicada situación". En lugar de afrontar este reto, los directivos de las empresas pueden caer en la tentación de confiar en la ayuda del gobierno en caso de ataque. Después de todo, uno de los papeles principales de los gobiernos de todo el mundo es garantizar la seguridad general. Algunos expertos advierten a los directivos de las empresas de que confiar en el gobierno sólo proporciona una falsa sensación de seguridad. "Existe el riesgo de que las empresas piensen que el gobierno les sacará de apuros cuando se produzca un ataque catastrófico", afirmó Scott Borg, Director de la US-CCU, una institución de investigación independiente. "Las empresas no deberían partir de este principio. En caso de ataque, es posible que no puedan contar con el gobierno, ya que éste podría estar ocupado en resolver otros problemas más urgentes. O bien, podría reaccionar de una manera que resultara insatisfactoria para las empresas". La organización de Borg investiga las consecuencias de posibles ciberataques y la rentabilidad de las posibles medidas. Según Borg, los estudios que lleva a cabo la US-CCU muestran en general que una empresa que permanece operativa durante un ataque consigue un beneficio económico. "En muchos sectores, las empresas capaces de resistir los ciberataques mejor que sus competidores tienen posibilidades de ganar una importante cuota de mercado durante una ola de ataques", añadió. "Además, en caso de crisis, su reputación saldrá más reforzada que la de aquellas que estén peor preparadas". Los resultados de las investigaciones de la US-CCU podrían convencer a las empresas privadas para que planificaran un plan de defensa propio frente a los ciberataques, sin ayuda del gobierno. Pero los dirigentes de las empresas pueden plantearse el siguiente interrogante: si no puedo contar con el gobierno para responder de forma rápida a un ataque serio, ¿debo plantearme devolver el golpe a los agresores? Es lo que los expertos de seguridad de TI conocen como "defensa activa". A diferencia de las medidas de defensa pasiva, como la instalación de un firewall o el cifrado de las transacciones confidenciales, un ejemplo Informe sobre criminología virtual 2009 19 La capacidad para compartir información puede ser un factor clave a la hora de identificar si se ha producido una infiltración grave en la red. de defensa activa consistiría en lanzar un ataque de denegación de servicio sobre el servidor Web responsable del ciberataque. Según John Woods, un abogado de Washington especializado en gestión de la privacidad y la información, estas medidas de defensa activa podrían ser eficaces, pero probablemente también serían ilegales. Woods ilustra sus palabras con un ejemplo de una compañía de tarjetas de crédito que sufre un ataque y desea saber si hay herramientas que permitan saber dónde han ido a parar los datos de su empresa. "Aunque hay herramientas disponibles", añade, "tendrían que estar incrustadas en la información de la empresa y, a continuación, descargarse en el sistema informático del agresor". Según Woods, la legislación de algunos países consideraría delictiva esta actividad. Ya que las empresas privadas no pueden "devolver el golpe" a un ataque que ha puesto en peligro sus defensas pasivas, ¿a quién deberían dirigirse para pedir ayuda? ¿Las fuerzas de seguridad, el ejército, los servicios de inteligencia? Los expertos creen que, por lo general, las empresas privadas y los gobiernos necesitan mejorar los mecanismos que utilizan para compartir información, de manera que trabajen conjuntamente y compartan recursos en caso de una cibercrisis grave. La capacidad para compartir información puede ser un factor clave a la hora de identificar si se ha producido una infiltración grave en la red. Ha habido varios ejemplos en los que una empresa privada no tuvo conocimiento de la infiltración hasta que las fuerzas de seguridad o una agencia gubernamental le informaron del hecho. En concreto, según un informe de este año, algunas empresas de suministro eléctrico de EE. UU. ignoraban que otros países estaban sondeando sus redes en busca de vulnerabilidades hasta que agentes del servicio de inteligencia les pusieron al corriente de lo que estaba sucediendo8. En palabras de William Crowell, ex Subdirector de la Agencia de Seguridad Nacional estadounidense, "el problema es que las agencias gubernamentales no están siempre dispuestas a proporcionar información detallada sobre los ataques y sin detalles no siempre es posible responder a la amenaza". Además, añade que ha habido casos en los que el gobierno de EE. UU. informó a las empresas de la posibilidad de que estuvieran en el punto de mira de un ataque, pero sin ofrecer ningún tipo de detalle sobre la naturaleza del mismo. "No cabe duda de que necesitamos encontrar la forma de compartir información sobre la naturaleza exacta de los ciberataques", afirmó Crowell. "Es fundamental que consigamos eliminar los obstáculos para compartir información entre los gobiernos y el sector privado, tanto en un sentido como en otro". 8 "Electricity Grid in the U.S. Penetrated by Spies" (Espías se infiltran en la red de suministro eléctrico de EE. UU.), Wall Street Journal, 8 de abril de 2009. 20 Informe sobre criminología virtual 2009 Atrapados entre dos fuegos El sector privado es responsable de la creación de nuevos retos, ya que posee y gestiona una gran parte de la infraestructura de comunicaciones, software y redes. Según la opinión de la mayoría de los expertos, este papel central que juegan las empresas tecnológicas dicta la necesidad de que participen en alguna medida en la respuesta a los ataques. El hecho es que muchas de las empresas tecnológicas ya trabajan en estrecha colaboración con las administraciones y las fuerzas de seguridad para la reducción de los ataques. Sin embargo, los límites de la responsabilidad del sector privado y la naturaleza exacta de su papel en la detección y respuesta siguen sin estar definidos. "Una de las preguntas clave es cuál es el papel del sector privado y cuáles son sus responsabilidades y, por el momento, nadie tiene una respuesta satisfactoria", afirmó James Lewis, Director del programa de tecnología del Centro de Estudios Estratégicos e Internacionales. Los expertos se han centrado en la responsabilidad del sector privado en cuanto a la mejora de la seguridad del software y los sistemas, así como en lo relativo a la educación de los usuarios a la hora de protegerse frente a redes de bots y otras formas de código malicioso. "Aunque sería injusto acusar a ordenadores y usuarios de servir como puente para las redes de bots, los proveedores de software tienen la responsabilidad de concienciar a los usuarios de los problemas de seguridad", afirmó Neil Rowe, profesor de Informática en la Naval Postgraduate School. Es posible que algunos países deseen ir un paso más allá, y soliciten o exijan ayuda a las empresas de telecomunicaciones y a los proveedores de software en nombre de la seguridad nacional o intereses de política exterior. Por ejemplo, durante las elecciones generales de Irán celebradas en junio, Twitter planeaba una actualización de su sitio Web que habría supuesto una interrupción del servicio durante el día para ese país. Los opositores al régimen contaban con Twitter, como red social, para divulgar sus mensajes sobre las concentraciones y para comunicarse con el mundo exterior. El Departamento de Estado de EE. UU. se dio cuenta inmediatamente de las consecuencias que tendría para los manifestantes la actualización prevista y se puso en contacto con Twitter para pedir a la empresa que la retrasara9. 9 "U.S. State Department speaks to Twitter over Iran" (Declaraciones del Departamento de Estado de EE. UU. en relación al asunto de Twitter sobre Irán), Reuters, 16 de junio de 2009. Informe sobre criminología virtual 2009 21 Cuando se trata de ciberseguridad, tanto el sector público como el privado comparten riesgos y responsabilidades. Estos sucesos sugieren que los países pueden intentar conseguir el apoyo de empresas privadas, incluso obligándoles a tomar partido en épocas de crisis. Como indica Dorothy Denning, profesora del Departamento de Análisis de Defensa en la Naval Postgraduate School, "los proveedores de servicios de Internet y las compañías de seguridad ya han contribuido a detectar y neutralizar algunos ataques". Los países podrían pedir a las empresas de telecomunicaciones que fueran un poco más lejos y que supervisaran el tráfico de Internet de forma rutinaria, con el fin de detectar las firmas de software malicioso incluso antes de que se produjeran los ataques. Las propuestas para introducir este tipo de mecanismos son un tema bastante delicado, debido a la preocupación sobre la protección de la privacidad. En algunos países, surge el debate sobre cómo compaginar, por una parte, el deseo de mejorar la seguridad y, por otra, la necesidad de mantener un Internet abierto y anónimo, tal y como lo conocemos hoy. El parlamento brasileño está debatiendo en la actualidad un proyecto de ley para exigir que los proveedores de servicios de Internet conserven los registros de todo el tráfico de Internet durante un período de tres años. Vanda Scartezini, socia de POLO Consultores 22 Informe sobre criminología virtual 2009 Associados, una consultoría de TI en Brasil, cree que esta medida es acertada para compaginar las dos opciones. "Aunque las empresas de telecomunicaciones deben ser capaces de ayudar a los países a descubrir el origen de los ataques, no se les puede responsabilizar del contenido de Internet", dijo. Otros países ya han adoptado medidas similares que exigen a las empresas de telecomunicaciones tomar medidas para garantizar que determinados datos estén disponibles en caso de investigaciones penales en el futuro. Jonathan Shea, Director Ejecutivo de Hong Kong Internet Registration Corporation, coincide en que los proveedores de servicios de Internet y los servicios de registro de nombres de dominios tienen un papel concreto en la ayuda para la prevención de ataques y en la colaboración con el gobierno para responder a dichos ataques. "Cuando se trata del interés común, como es el caso de la seguridad nacional, los gobiernos de muchos países tienden a sacrificar la privacidad de las personas en aras de una mayor seguridad", manifestó Shea. "Creo que ésta es una nueva tendencia en la ciberseguridad y espero que podamos encontrar nuevas formas de detectar y prevenir las violaciones de la seguridad sin que afecte demasiado a la vida privada de las personas". Análisis de las distintas opciones Existen pocas dudas de que la ciberguerra tendrá un impacto considerable en el sector privado. Sin embargo, los roles y las responsabilidades en caso de conflicto están aún por determinar. En general, los sectores público y privado deben compartir la información y, en especial, los detalles sobre amenazas, de forma más eficaz. Los expertos consideran que el sector privado debe colaborar con el gobierno para hallar nuevas medidas de defensa, como clasificar los activos de redes informáticas, desarrollar planes de reducción de impacto y respuesta rápida, crear redes independientes para los sistemas más críticos y desarrollar una visión sinóptica de la actividad de la red con el fin de mejorar la concienciación sobre el problema en los distintos sectores. "Cuando se trata de ciberseguridad, tanto el sector público como el privado comparten riesgos y responsabilidades. Por lo tanto, ambos sectores deben comprometerse a tomar las medidas de prevención necesarias contra las situaciones y condiciones que facilitan las oportunidades de explotación informática", afirmó Choo. "Los sectores público y privado deben trabajar juntos para identificar y clasificar las zonas de riesgo actuales y emergentes, desarrollar y validar medidas eficaces y controles de reducción de impacto, y garantizar que estas estrategias se implementan y actualizan". En general, los sectores público y privado deben compartir la información y, en especial, los detalles sobre amenazas, de forma más eficaz. Si se adoptan estas medidas de forma proactiva, antes de que se produzca un gran ciberataque, es posible que incluso se pueda obviar la necesidad de que los gobiernos adopten una postura de tipo "Gran Hermano" frente a la ciberseguridad. Informe sobre criminología virtual 2009 23 Agenda para un debate público sobre las políticas de ciberdefensa Uno de los principales problemas que complica la resolución de las cuestiones que surgen en torno a la eventualidad de una ciberguerra ha sido el secreto en el que muchos gobiernos mantienen sus estrategias de utilización de ciberarmas y defensa contra los ciberataques. La ausencia de una doctrina clara en materia de ciberdefensa recuerda a Richard Clarke, antiguo consejero especial sobre ciberseguridad de la Casa Blanca, el desarrollo de la estrategia nuclear en EE. UU. tras la Segunda Guerra Mundial. Según Clarke, "en las décadas de los 50 y los 60, civiles, en gran parte fuera de la esfera del gobierno, idearon una compleja estrategia para el uso de armas nucleares. Posteriormente, esta estrategia se sometió a debate público y se incorporó a la política nacional". "En la actualidad, la planificación de una ciberguerra se encuentra en una fase similar. Por ejemplo, en EE. UU. se ha creado un cibercomando, pero el momento y la forma en la que deben utilizarse armas informáticas no se ha debatido públicamente, ni el ámbito académico. En la actualidad no hay colaboración entre los informáticos y los especialistas en relaciones internacionales". En la década de los 50, la política nuclear estadounidense consistía en lanzar todo su arsenal nuclear contra la Unión Soviética y sus aliados si ellos invadían Europa Occidental y conseguían aplastar las fuerzas convencionales estadounidenses, aunque la Unión Soviética no empleara ni una sola arma nuclear en el ataque. El objetivo de esta política, conocida como "represalia masiva", era disuadir a la Unión Soviética de lanzar un ataque de estas características. En los 60, un grupo de estrategas nucleares, muchos de los cuales provenían del mundo académico, señalaron que EE. UU. no podía estar seguro de que con el primer ataque se destruiría todo el arsenal nuclear de la Unión Soviética y esta incertidumbre pondría en riesgo las vidas de americanos y europeos. En la actualidad no hay colaboración entre los informáticos y los especialistas en relaciones internacionales. Informe sobre criminología virtual 2009 25 ¿Funcionaría una estrategia de ciberdisuasión? La disuasión nuclear era el pilar de las relaciones entre Estados Unidos y la Unión Soviética durante la Guerra Fría. El arsenal nuclear de las dos naciones alcanzó un nivel que permitía a cualquiera de ellas aniquilar a la otra, y a otros países. Algunos expertos achacan a esta postura defensiva, resumida en la ingeniosa frase "destrucción mutua asegurada", el hecho de que Estados Unidos y la Unión Soviética decidieran no enfrascarse directamente en una "guerra caliente". ¿Será igual de eficaz hoy en día la proliferación de armamento informático? Este grupo de estrategas desarrolló el concepto de "contrafuerza" como política alternativa. EE. UU. sólo atacaría primero objetivos militares soviéticos en respuesta a una agresión soviética, pero también advertiría a la Unión Soviética de ataques inminentes a sus ciudades si no retiraba sus fuerzas. Finalmente, Estados Unidos adoptó la estrategia de la contraofensiva en lugar de la represalia masiva. No sabemos con certeza si el plan serviría de ayuda para detener una nueva Guerra Mundial, ya que, por suerte, nunca se ha probado. Sin embargo, no cabe duda de que especialistas ajenos al entorno militar y el debate público generado ayudaron a orientar la estrategia nuclear americana. Hoy día, muchos expertos coinciden en señalar que no ha habido suficiente debate acerca de la puesta en práctica de respuestas adecuadas a los ciberataques. Esto se observa a distintos niveles: entre países, en el seno de los gobiernos, entre agencias militares, civiles y de inteligencia, y entre los sectores público y privado. Según Greg Rattray, autor de Strategic Warfare in Cyberspace (Guerra estratégica en el ciberespacio), en la ciberguerra participan tantos actores diferentes y de formas tan distintas que se hace necesario un debate público para resolver todos los problemas. "Urge un debate nacional para evaluar hasta dónde deben llegar los gobiernos para garantizar la seguridad de sus ciudadanos", afirmó Rattray. "La ciberguerra es una forma de conflicto importante en la que la población debe ser tenida en cuenta y tener la oportunidad de decidir cómo desean que les defiendan sus gobiernos". Los expertos han identificado varios problemas que deberían incluirse en el orden del día de un debate público: ¿Funcionaría una estrategia de ciberdisuasión? ¿Debería haber un tratado internacional sobre el uso de armas informáticas? ¿Dónde está la frontera entre ciberespionaje y ciberguerra? El debate público entre políticos, diplomáticos, miembros del mundo académico y expertos del sector privado sobre estos temas influirá en las ciberestrategias nacionales e incluso puede llevar a acuerdos internacionales con respecto a la ciberguerra. No todos los países son igual de vulnerables frente a un ciberataque a gran escala. Los expertos aconsejan no llevar demasiado lejos la analogía entre disuasión informática y disuasión nuclear, ya que son evidentes las diferencias entre las armas informáticas y las nucleares. En primer lugar, no todos los países son igual de vulnerables frente a un ciberataque a gran escala. Mientras que EE. UU. y la Unión Soviética eran prácticamente igual de vulnerables a la devastación que habría seguido a un ataque nuclear, las consecuencias de una ciberguerra serían asimétricas. Por ejemplo, los países desarrollados tienen normalmente más conexiones a Internet que los países en vías de desarrollo. Además, mientras que algunas naciones han conectado a Internet sus sistemas y redes de infraestructuras críticas, otras, o no lo han hecho o lo han hecho en menor grado. Si una nación con menos conexiones lanzara un ciberataque a otra con más conexiones, esta última tendría, en el mejor de los casos, pocos objetivos a los que dirigir un contraataque. No es necesario que los países utilicen la estrategia del ojo por ojo (o, en este contexto, servidor de comercio electrónico por servidor de comercio electrónico) para impedir los ataques. Pero, cuando un contraataque informático no es factible, los países deben decidir qué tipo de acciones militares, diplomáticas y económicas son una respuesta proporcional a cada ciberataque en particular. Algunos expertos subrayan la dificultad de atribuir el origen de los ciberataques como otro motivo por el que una estrategia de disuasión podría no ser eficaz. Los agresores pueden camuflar su identidad o falsificar la de otra persona mediante el uso de técnicas que aprovechan la propia 26 Informe sobre criminología virtual 2009 naturaleza confiada de los mecanismos sobre los que se fundamenta Internet. En la década de los 70, investigadores universitarios desarrollaron protocolos de Internet para las comunicaciones y el intercambio de datos con otros investigadores. Ellos no tenían motivos para sospechar que alguien al otro lado de la transferencia de información pudiera ser un impostor. Gracias a estos fallos básicos, es muy difícil desenmascarar a los agresores y averiguar quién es el responsable de un ataque. Si los adversarios creen que pueden llevar a cabo un ataque con impunidad, probablemente no bastará una amenaza de represalia para detenerles, ya sea informática, física, diplomática o económica. Además, la atribución se complica aun más cuando se trata de sofisticados ataques a la cadena de suministros en los que un adversario inserta de forma furtiva "puertas traseras" en el hardware o el software durante las fases de desarrollo, producción o distribución de los productos. Los investigadores se esfuerzan en mejorar los medios para identificar a los agresores —o lo que muchos en el sector denominan el "problema de atribución"— desarrollando técnicas para localizar geográficamente a los agresores mediante mecanismos como los procesos de autenticación que, en definitiva, hacen que Internet sea menos anónima. Según Jamie Saunders, Consejero de la Embajada Británica en Washington, "el problema de atribución se puede resolver". "Puede que no se consiga una precisión absoluta, pero se puede sembrar la duda en el enemigo en el sentido de que no podrá perpetrar un ataque sin ser desenmascarado". Informe sobre criminología virtual 2009 27 28 Informe sobre criminología virtual 2009 Las armas informáticas son la última adquisición para el arsenal ofensivo de los países y, posiblemente, de otros fuera del ámbito estatal. Ante este panorama, surge la duda de si no deberían replantearse los marcos legales y éticos internacionales sobre guerras y conflictos. Aunque los ciberataques constituyen una forma relativamente nueva de conflicto humano, la mayoría de los expertos consideran que están sujetos a la legislación internacional sobre conflictos armados y a la Carta de las Naciones Unidas. Es decir, los países deben cumplir también en este caso los principios que determinan cuándo está justificado el uso de la fuerza contra otra nación —un concepto jurídico denominado jus ad bellum— y qué acciones pueden emprender los combatientes en caso de conflicto armado —otro concepto jurídico denominado jus in bello. Ciclo de vida de un ciberataque to ien cim o n co Re 3 Desarrollo 4P ru eb a 2 Algunos expertos jurídicos opinan que es necesaria una revisión en profundidad de la legislación sobre conflictos armados. "Las leyes internacionales actuales no están adaptadas a la ciberguerra", afirmó Eneken Tikk, asesor legal del Centro de Excelencia para la Cooperación en Ciberdefensa (CCDCOE, por sus siglas en inglés) con sede en Estonia. "Cualquier analogía con la legislación medioambiental, las leyes del mar y la guerra cinética se pierde en un momento dado. Para contestar a la pregunta de cuándo utilizar la fuerza como respuesta a un ciberataque se necesita un marco legislativo propio". st i g aci ón Algunos de los avances experimentados por el armamento en el pasado —el arco, la ametralladora, el tanque, la bomba atómica— han influido en la preparación de los países para la guerra, el momento elegido para atacar y la estrategia utilizada. Aunque los países están generalmente de acuerdo en que no se necesita un régimen jurídico completamente nuevo, sus propuestas hasta el momento discrepan en cuanto a la mejor forma de solucionar las ambigüedades en el marco actual. Si se descubre la vulnerabilidad, es posible que la herramienta no pueda volver a utilizarse 1 Inve ¿Debería haber un tratado internacional sobre el uso de armas informáticas? Otros expertos han señalado la necesidad de establecer normas y comportamientos comunes para la actividad que tiene lugar en el ciberespacio. Por ejemplo, en lugar de prohibir el desarrollo de armas informáticas, los países podrían establecer protocolos que determinaran lo que es aceptable y lo que no en Internet. De esta forma, si se acordara que es inaceptable que una nación ataque infraestructuras civiles a través de Internet y que dicha acción justificara una sanción, se podría impedir que las naciones organizaran o lanzaran este tipo de ataques. e taqu 5A A pesar de los esfuerzos para encontrar una fórmula mágica para el problema de la atribución de la autoría de los ataques, posiblemente los enemigos no tengan motivos para dudar de que pueden salirse con la suya, especialmente si los gobiernos no dejan claras sus políticas de represalia. Según los estrategas militares, puede ser conveniente mantener los planes de respuesta en secreto o lo suficientemente imprecisos para mantener al enemigo en ascuas. La confusión conduce al miedo y el miedo es un elemento disuasorio de gran poder. Sin embargo, siempre existe la posibilidad de que un adversario cometa un error de cálculo, opción más probable cuando las potencias rivales mantienen en secreto la información sobre nuevas armas y su intención de utilizarlas. En la película de 1964 "¿Teléfono rojo? Volamos hacia Moscú", una sátira ambientada en la Guerra Fría, los soviéticos construían una "máquina del juicio final" programada para destruir el mundo si se detectaba un ataque militar sobre la Unión Soviética. Por desgracia, los soviéticos se olvidaron de comunicárselo a los americanos hasta que un general estadounidense, en un momento de locura, ordena un ataque nuclear. Ante las alarmantes noticias, el personaje principal, un científico loco, afirma que el fin mismo de una máquina del juicio final se pierde si se mantiene en secreto y se pregunta por qué no se advirtió al mundo. Sin embargo, la aplicación de estos principios generales a sucesos específicos probablemente requiera un análisis exhaustivo. El National Research Council, un instituto estadounidense encargado de realizar investigaciones y análisis independientes, publicó en abril de 2009 un informe sobre las implicaciones tecnológicas, legales, éticas y políticas que tendría la adquisición y el uso de armas informáticas ofensivas. Según dicho informe, el armamento informático no es tan diferente de los ataques cinéticos que no contempla la legislación internacional. No obstante, el informe también afirma que debido a la reciente aparición de las ciberarmas, "habrá dudas sobre cómo se podrán aplicar las leyes sobre conflictos armados y la Carta de las Naciones Unidas a los casos particulares". El informe añade: "Un análisis basado en los efectos sugiere que las ambigüedades se reducen cuando los ciberataques causan daños físicos en propiedades y pérdida de vidas… Las ambigüedades se multiplican en número y complejidad cuando los ataques no causan daños físicos ni pérdida de vidas, sino que tienen otros efectos negativos en otra nación"10. Hay que tener en cuenta que una vez que se utiliza una herramienta de ciberataque, si el enemigo descubre la vulnerabilidad y la corrige, la herramienta quedaría inhabilitada para el futuro. Figura 3. El desarrollo y despliegue de una "ciberarma" consta de cinco fases generales. 10 William A. Owens, et al., Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities (Tecnología, política, ley y ética en relación a la adquisición y uso de mecanismos de ciberataque por parte de EE. UU.), Committee on Offensive Information Warfare, National Research Council (2009). Informe sobre criminología virtual 2009 29 ¿Dónde está la frontera entre ciberespionaje y ciberguerra? "Cualquiera con un mínimo de inteligencia evitaría lanzar un ataque que todo el mundo reconociera como acto de ciberguerra. Se mantendría en un punto intermedio, sin levantar sospechas". Algunos países abogan por una prohibición del uso ofensivo de las armas informáticas, similar a las prohibiciones internacionales sobre armas químicas o biológicas. Otras naciones destacan que sería difícil, o imposible, verificar el cumplimento de un tratado de estas características, por lo que consideran que la comunidad internacional debería elaborar medidas de cooperación destinadas a reducir la ciberdelincuencia. Un ejemplo es el Convenio de Ciberdelincuencia del Consejo de Europa. Más de 40 naciones han firmado el tratado, por el que cada nación se compromete a ayudar a las demás a identificar y llevar ante la justicia a los autores de la actividad delictiva en Internet. Numerosos expertos subrayan las ventajas de una mayor cooperación internacional en la lucha contra la ciberdelincuencia. Según Dorothy Denning, profesora en el Departamento de Análisis de Defensas de la Naval Postgraduate School, "la aplicación de medidas de seguridad más estrictas junto al cumplimiento efectivo de la ley pueden ser el mejor elemento disuasorio contra los ciberataques. Debemos seguir centrados en la lucha contra la ciberdelincuencia y ésta es el área en la que la cooperación internacional puede tener un impacto positivo". Rattray sugiere que una reducción de la ciberdelincuencia puede ayudar a que Internet en su conjunto sea más segura. "La seguridad en el ciberespacio debe considerarse como un ecosistema. La ciberdelincuencia es responsable del caos que reina en Internet actualmente. El espionaje es siempre un juego misterioso. Bajo la fachada de la paz, las naciones rivalizan por robarse los secretos de Estado. El fantasma del conflicto es distante, pero reconocible. Las similitudes con el ciberespionaje son innegables. "La pasada década está repleta de historias de infiltraciones por parte de fuentes que, si bien no se han podido identificar, tenían intenciones claramente maliciosas. Estos sucesos en su conjunto representan un método de reconocimiento que forma parte de una filosofía de ataque", afirmó Mike Jacobs, antiguo Director de Seguridad de la Información de la Agencia de Seguridad Nacional (NSA) de EE. UU. "Pero lo que siempre me ha preocupado es lo que no se ve". – Michael Rothery, Subsecretario primero de la División de Política de Recuperación de la Seguridad Nacional, Departamento del Fiscal General (Australia) Si consiguiéramos limpiar Internet de delincuentes, sería más fácil para los gobiernos atribuir los ataques a los autores reales", afirmó. Si no tuvieran que preocuparse tanto de los ciberdelincuentes, los gobiernos podrían mejorar la vigilancia mutua. Según un experto, la necesidad de marcos internacionales formales y no formales para resolver de forma más directa los conflictos en Internet, también debe ser abordada. En palabras de Raphael Mandarino, Jr., Director del Departamento de Seguridad de la Información y las Comunicaciones (DSIC), del Gabinete de Seguridad Institucional de la presidencia de Brasil, "la identificación de las amenazas y sus orígenes no es una tarea fácil, y tanto más cuando tenemos en cuenta la imposibilidad de establecer una definición clara de los límites territoriales para aclarar, por ejemplo, problemas legales, como la jurisdicción competente en caso de demandas por ciberdelitos". "El carácter global de las amenazas en el ciberespacio y su tecnología en continua evolución hace necesaria una estructura legal mejorada y una mayor cooperación internacional". Mandarino recomendó que la estrategia de ciberseguridad de cada país fomente una cooperación más estrecha con las organizaciones internacionales, así como con otros países. Además, sugirió que en la agenda de debate de la comunidad internacional se incluyeran asuntos como la definición de "ciberfronteras". Una vez que un hacker consigue acceso a un sistema, es muy sencillo pasar de descargar datos a sabotear la información. De lo que se desprende de las noticias en los medios de comunicación, parece que los países se apuntan de manera masiva al ciberespionaje. Por ejemplo, desde 2002 a 2005, aproximadamente, una fuente no identificada consiguió descargar de 10 a 20 terabytes de información, confidencial pero no clasificada, de una red del Departamento de Defensa estadounidense, en un episodio cuyo nombre en clave fue "Titan Rain" (Lluvia de titanes). Para que nos hagamos una idea de lo que representa esta cantidad de información, basta con pensar que las copias digitales de todos los libros de la Biblioteca del Congreso de Estados Unidos (más de 18 millones de ejemplares) equivaldrían a 20 terabytes de datos. La mayoría de los expertos coinciden en que descargar información confidencial de esta forma, aunque sea en enormes cantidades, no es más que espionaje. "El espionaje es espionaje", afirmó Dmitri Alperovitch, Vicepresidente de la división de investigación de amenazas de McAfee. "Es peligroso considerar toda acción de espionaje un acto de guerra". Sin embargo, algunos expertos en seguridad nacional, en activo o retirados, advierten de que el ciberespionaje no es necesariamente comparable a la práctica de espionaje tradicional. En la época de la Guerra Fría, se trataba de pinchar el teléfono del adversario o de interceptar las transmisiones por radio, o bien de enviar un espía para que se infiltrara en una instalación de seguridad para apoderarse de fotografías o archivos secretos. En cualquiera de los casos, el objetivo solía ser obtener información y no manipularla o destruirla, ya que con este tipo de sabotaje se corría el riesgo de alertar al enemigo. En la actualidad, una vez que un hacker consigue acceso a un sistema, es muy sencillo pasar de descargar datos a sabotear la información. Según Richard Clarke: "Entre obtener información y dañar los sistemas puede haber solamente unas cuantas pulsaciones de teclas". Los expertos en seguridad nacional y los agentes de servicios de inteligencia confirman que los países dejan puertas traseras en sus respectivos 30 Informe sobre criminología virtual 2009 sistemas mientras se espían para garantizar el acceso a dichos sistemas en el futuro. En algunos casos, los hackers pueden llegar a implantar fragmentos de software malicioso que, en caso de conflicto en el futuro, podrían activarse con el fin de obtener ventaja sobre el adversario. Este tipo de actividades más bien parecen un despliegue anticipado en previsión de un ataque en el futuro que un medio de obtener información. La cuestión es dónde poner el límite, ya que puede ser más difícil discernir los motivos del adversario en el ciberespacio que en el mundo real. "Una guerra física se puede prever cuando se ven los tanques acercándose a las fronteras en las imágenes por satélite o se observa un despliegue militar importante", afirmó John Woods, un abogado de Washington especializado en la gestión de información y la protección de la privacidad. "Pero en el ciberespacio, no tenemos la misma visibilidad. Cuando se descubre una intrusión en la red desde una nación extranjera, ¿se trata de obtención de información, la obtención de información ha ido demasiado lejos o es un movimiento anticipado para un acto de guerra inminente?" La respuesta de una nación ante el ciberespionaje también plantea interrogantes. Los países se decantan por el sistema denominado "Active Network Defense", o defensa activa de la red, que implica no sólo identificar el origen del ataque sino también redirigir dicho ataque sin conocimiento del adversario. Esta estrategia podría incluir la desinformación del adversario, pero también perturbar el funcionamiento de los sistemas o bien inhabilitarlos, mediante ataques encubiertos más especializados. Dichas actividades podrían derivar en un conflicto más amplio en el que se vieran afectadas tanto infraestructuras estatales como del sector privado. Según Saunders, la mayoría de los gobiernos no parecen haberse decidido acerca de si estas actividades potencialmente dañinas constituyen actos de guerra. "La relativa facilidad del paso del espionaje al sabotaje puede ser la característica distintiva del ciberespacio y, posiblemente, la única razón por la que no podemos limitarnos a aplicar las leyes de los conflictos armados al mundo virtual". "Si bien los gobiernos conocen la existencia de un cierto nivel de ciberespionaje, probablemente deban pensar en ello más detenidamente y dejar claro que no se puede tolerar". Informe sobre criminología virtual 2009 31 Mirando al futuro Si bien es verdad que los expertos no se ponen de acuerdo sobre la definición de ciberguerra, hay muestras evidentes de que las naciones de todo el mundo están desarrollando, probando y, en algunos casos, utilizando o fomentando el uso de medios informáticos como método para conseguir ventajas políticas. Una gran parte de esta actividad se mantiene en secreto, pero, según ha subrayado un experto en seguridad nacional, el ciberespacio se ha convertido en un terreno de conflictos permanentes, aunque no sean de mucha importancia. Se denominen ciberespionaje, ciberactivismo, ciberconflicto o ciberguerra, estos ataques representan amenazas emergentes en el ciberespacio que no pertenecen al ámbito de la ciberdelincuencia. El conflicto internacional ha llegado a un punto de inflexión en el que deja de ser una teoría para convertirse en una amenaza importante contra la que las naciones ya están luchando a puerta cerrada. No cabe duda de que el impacto de una ciberguerra se extendería más allá de las redes militares y afectaría a la información conectada de forma global y a la infraestructura tecnológica de comunicaciones de la que dependen tantas facetas de la sociedad moderna. Cuando hay tanto en juego, ha llegado el momento de abrir el debate sobre los numerosos asuntos en torno a una ciberguerra contra la comunidad mundial. El conflicto internacional ha llegado a un punto de inflexión en el que deja de ser una teoría para convertirse en una amenaza importante contra la que las naciones ya están luchando a puerta cerrada. Informe sobre criminología virtual 2009 33 Colaboradores EUROPA, ORIENTE MEDIO, ÁFRICA Greg Day — Analista de Seguridad de McAfee Greg Day es Analista de Seguridad y principal analista de tendencias de seguridad y estrategia de McAfee en la región EMEA (Europa, Oriente Medio, África). Como portavoz activo de la empresa, es colaborador habitual de revistas, tiene numerosos documentos publicados y es ponente destacado en conferencias y eventos sobre todos los aspectos de la seguridad de la información. Day es el impulsor de la iniciativa para luchar a nivel global contra la ciberdelincuencia para la región EMEA y ha participado en eventos del Consejo de Europa y la Organización para la Seguridad y la Cooperación en Europa sobre ciberdelincuencia, ciberguerra y ciberterrorismo. Además, es miembro de distintos foros del sector de la seguridad, como Cyber Security Industry Alliance (CSIA), Cyber Security Knowledge Transfer Network e Internet Security Forum (ISF). Taimar Peterkop — Consejero de Defensa, Embajada de Estonia, Washington, D.C. Taimar Peterkop es Consejero de Defensa en la Embajada de Estonia en Washington, D.C. (Estados Unidos). Antes de desempeñar su cargo actual, Peterkop trabajaba como Director de Operaciones y Gestión de Crisis en el Ministerio de Defensa de Estonia. Su principal cometido era la supervisión de las operaciones de las fuerzas de defensa de Estonia dentro y fuera del país. Ocupaba este cargo durante los ciberataques perpetrados contra Estonia en abril de 2007. Con anterioridad, Peterkop era Director de la Sección de Derecho Internacional, donde era responsable de los aspectos legales relativos al despliegue de las fuerzas de defensa estonias en Irak, Afganistán y otros conflictos. Asimismo, se ocupó de los problemas del Estatuto de Fuerzas y los aspectos legales de la adhesión de Estonia a la OTAN. Peterkop ha trabajado también como conferenciante sobre derecho internacional y ha publicado artículos sobre el papel del ejército en tiempos de paz y sobre los SOFA (Status of Forces Agreements) o acuerdos de estatutos de fuerzas visitantes. Jamie Saunders — Consejero de la Embajada Británica Jamie Saunders es Consejero en la Embajada Británica en Washington, donde dirige la política de ciberseguridad. Cuenta con más de 20 años de experiencia en el gobierno del Reino Unido, en el campo de la aplicación de la tecnología a distintos problemas de seguridad nacional, como la lucha contra el terrorismo, la proliferación armamentística y el tráfico de estupefacientes. Antes de incorporarse a la Embajada en 2008, trabajó durante 5 años como miembro del Senior Civil Service en apoyo de CONTEST (la estrategia antiterrorista del gobierno del Reino Unido). Eneken Tikk — Asesora de Derecho Público, Centro de Excelencia para la Cooperación en Ciberdefensa (CCDCOE) Eneken Tikk es Asesora Jurídica del Centro de Excelencia para la Cooperación en Ciberdefensa de la OTAN. Es también jefa del equipo de juristas expertos en ciberdefensa del Ministerio de Defensa de Estonia y asesora sobre derecho de la información y política legal del Ministerio de Justicia de Estonia. Tikk es experta en legislación sobre datos personales, bases de datos e información pública. Es profesora de derecho de la información y redacción de textos legislativos en la Universidad de Tatu, y actualmente trabaja en varios programas de investigación, como "Harmonization of Information Law and Legal Theoretical 34 Informe sobre criminología virtual 2009 Approach to Regulation of Information" (Armonización del derecho de la información y enfoque teórico de la regulación de la información). En el pasado Tikk ha sido profesora en el campo del derecho internacional y la legislación sobre conflictos armados en el Estonian Military College. ESTADOS UNIDOS Dmitri Alperovitch—Vicepresidente de investigación de amenazas de McAfee Dmitri Alperovitch es Vicepresidente de la división de investigación de amenazas de McAfee. Es responsable de las investigaciones de análisis y correlación de la información sobre amenazas en Internet, y desarrollo de servicios de reputación desmaterializados. Con más de una década en el campo de la seguridad de la información, cuenta con una dilatada experiencia como especialista en la materia en todos los niveles de aplicación de la legislación internacional y de EE. UU. sobre análisis, investigaciones y clasificación de actividades criminales organizadas y ciberamenazas transnacionales procedentes de terroristas o de países enemigos. Además, es una autoridad reconocida en actividad delictiva organizada a través de Internet y ciberseguridad, y se cita como fuente en numerosos artículos, incluidos algunos publicados en Associated Press, Business Week, New York Times, Los Angeles Times, USA Today y Washington Post. Ha participado como ponente y miembro del panel en numerosas conferencias de seguridad del sector jurídico, industrial y académico. Scott Borg — Director y Economista Jefe de la Unidad de Consecuencias Cibernéticas de Estados Unidos (US-CCU) Scott Borg es el Director y Economista Jefe de la Unidad de Consecuencias Cibernéticas de Estados Unidos (US-CCU, del inglés U.S. Cyber Consequences Unit), una institución de investigación independiente y sin ánimo de lucro que realiza numerosas investigaciones de campo sobre las consecuencias potenciales de posibles ciberataques. Es responsable de muchos de los conceptos que se emplean actualmente para entender las implicaciones de los ciberataques en el contexto empresarial. Ha sido profesor adjunto en Harvard, Yale, Columbia y otras universidades importantes, y actualmente es investigador titular del programa de estudios sobre seguridad internacional de la Fletcher School of Law and Diplomacy de la Universidad de Tufts. Su obra Cyber Attacks: A Handbook for Understanding the Economic and Strategic Risks (Ciberataques: manual para comprender los riesgos económicos y estratégicos) estará disponible en el transcurso de este año. Richard Clarke — Presidente de Good Harbor Consulting y ex Asesor Especial del Presidente de Estados Unidos en materia de ciberseguridad Richard A. Clarke es un experto en seguridad reconocido mundialmente, especialista en seguridad interna, seguridad nacional, ciberseguridad y antiterrorismo. En la actualidad es Presidente de Good Harbor Consulting, una empresa de consultoría sobre seguridad global, y consultor para ABC News. Clarke ha desempeñado el cargo de Asesor de la Casa Blanca para los tres últimos presidentes de Estados Unidos. A lo largo de una carrera inigualable de once años consecutivos al servicio de la Casa Blanca, ha ocupado los cargos de asistente especial del Presidente sobre asuntos internacionales, coordinador para la seguridad nacional y antiterrorismo, y asesor especial del Presidente en material de ciberseguridad. William P. Crowell — Consultor de seguridad independiente y antiguo Subdirector de la Agencia de Seguridad Nacional estadounidense (NSA) William P. Crowell es un consultor independiente especializado en tecnologías de la información, seguridad y sistemas de inteligencia. Anteriormente, Crowell desempeñaba el cargo de Presidente y Consejero Delegado de Cylink Corporation, importante proveedor de soluciones de seguridad para el comercio electrónico. Con anterioridad a sus responsabilidades en Cylink, ocupó una serie de puestos directivos en operaciones, planificación estratégica, investigación y desarrollo y finanzas en la Agencia de Seguridad Nacional de EE. UU. Fue Subdirector de Operaciones desde 1991 a 1994, donde su principal misión fue la recopilación de información mediante la interceptación de transmisiones. En febrero de 1994 fue nombrado Subdirector de la NSA y permaneció en dicho puesto hasta su jubilación en septiembre de 1997. Crowell es un experto en problemas de seguridad de redes y de información. En el número de diciembre de 2008 de la revista Security Magazine fue seleccionado como una de las 25 personas más influyentes en la industria de la seguridad. En mayo de 2007, publicó en calidad de coautor el libro Physical and Logical Security Convergence (Convergencia de seguridad física y lógica). Dorothy E. Denning — Profesora de Análisis de Defensas en la Naval Postgraduate School Dorothy E. Denning es profesora de Análisis de Defensas en la Naval Postgraduate School, en la que su labor de investigación y enseñanza cubre las áreas de conflicto y ciberespacio; confianza, influencia y redes; terrorismo y delincuencia, y operaciones de información y seguridad. Es autora de Information Warfare and Security (Guerra de la información y seguridad) y ha trabajado con anterioridad en la Georgetown University, Digital Equipment Corporation, SRI International y Purdue University. Michael J. (Mike) Jacobs — Ex Director de Seguridad de la Información de la Agencia de Seguridad Nacional estadounidense (NSA) Michael J. Jacobs es un consultor independiente sobre asuntos de seguridad de la información. Anteriormente, ocupó durante cinco años el puesto de Vicepresidente y Director del Programa de Seguridad Nacional para SRA International, Inc. Antes de SRA, Jacobs era Director de Seguridad de la Información en la Agencia de Seguridad Nacional (NSA) estadounidense. Bajo su mandato, la NSA comenzó a implementar una estrategia de seguridad de la información para proteger la infraestructura de información de defensa y, según sus necesidades, la infraestructura de información nacional. Es un veterano del sector con 45 años de experiencia (38 en el gobierno federal estadounidense) en seguridad y protección de la información. Paul B. Kurtz — Socio de Good Harbor Consulting Paul B. Kurtz dirige el grupo de prácticas de seguridad de TI y ciberseguridad de Good Harbor para proporcionar asesoramiento de planificación estratégica y táctica a una gran variedad de clientes nacionales e internacionales. Asimismo, es Director Ejecutivo de SAFECode (Software Assurance Forum for Excellence in Code), una organización mundial sin ánimo de lucro dedicada a la promoción de métodos efectivos de protección del software. Kurtz es un experto en ciberseguridad y seguridad nacional de gran prestigio internacional que ha trabajado en las más altas esferas del gobierno, como bajo el mandato de los presidentes Clinton y George W. Bush. En fechas más recientes, ha trabajado en el equipo de transición de Obama, encargado de la evaluación de la política y la estrategia de ciberseguridad para las agencias estatales, incluido el Departamento de Defensa, el Departamento de Seguridad Nacional, la Administración de Seguridad Nacional y la CIA. James Andrew Lewis — Colaborador principal y Director de programas del CSIS James Andrew Lewis es un Colaborador principal y Director de programas del Centro de Estudios Estratégicos e Internacionales (CSIS, por sus siglas en inglés) donde escribe sobre tecnología, seguridad nacional y la economía internacional. Antes de incorporarse al CSIS, trabajaba en el gobierno federal como funcionario del servicio exterior y como miembro del Senior Executive Service. Su misión incluía la seguridad regional en Asia, intervención y sublevación militares, negociaciones sobre armas convencionales, transferencia de tecnología, sanciones, política sobre Internet y programas espaciales del ejército. Greg Rattray — Director de Delta Risk Greg Rattray es Director de Delta Risk, empresa de consultoría que establece estrategias de gestión de riesgos y medios para desarrollar funciones de ciberseguridad para clientes de la administración y del sector privado. Con anterioridad, Rattray trabajó durante 23 años como oficial de las Fuerzas Aéreas estadounidenses. Ocupó los cargos de Director de Ciberseguridad en el Consejo de Seguridad Nacional de la Casa Blanca, jefe de desarrollo de políticas nacionales y supervisión en el Consejo de Seguridad Nacional para los programas de ciberseguridad, y supervisión de la reconstrucción de las telecomunicaciones en Irak. También ocupó el cargo de profesor adjunto de Ciencias Políticas y Subdirector del Instituto de Estudios de Seguridad Nacional en la Academia de las Fuerzas Armadas de Estados Unidos. Es autor de numerosos libros y artículos, entre los que cabe citar Strategic Warfare in Cyberspace (Guerra estratégica en el ciberespacio), una obra fundamental en el campo de los ciberconflictos. Neil Rowe — Profesor de Informática en la Naval Postgraduate School Neil Rowe, es Doctor en Ingeniería Eléctrica y profesor de Informática en el Centro de Investigación de Seguridad de la Información (CISR, por sus siglas en inglés), en la Naval Postgraduate School de Estados Unidos. Entre sus intereses se encuentran una amplia gama de temas relacionados con la inteligencia artificial aplicada. Su trabajo más reciente se centra en el diseño y la implementación del engaño en el ciberespacio, así como la vigilancia automática de comportamientos sospechosos. Es autor de numerosas publicaciones sobre muy diversos temas de ciberseguridad. Phyllis Schneck, Vicepresidenta y Directora de la división de investigación de amenazas para América en McAfee, Inc. Phyllis Schneck es Vicepresidenta y Directora de la división de investigación de amenazas para América en McAfee, Inc. Es responsable del diseño y las aplicaciones de la información sobre amenazas de McAfee, liderar y difundir la corriente de pensamiento estratégico sobre la tecnología y las políticas sobre ciberseguridad, y dirigir las iniciativas de McAfee en protección de infraestructuras críticas y ciberseguridad en todos los sectores. Schneck ha tenido una presencia destacada en la comunidad de seguridad y protección de infraestructuras, muy recientemente Informe sobre criminología virtual 2009 35 como comisaria y copresidenta de un grupo de trabajo sobre colaboración entre los sectores público y privado para la Comisión del CSIS para asesorar al presidente Barack Obama en materia de ciberseguridad. Posee tres certificados en seguridad de la información de alto rendimiento y adaptable, y tiene seis publicaciones de investigación en las áreas de la seguridad de la información, los sistemas en tiempo real, las telecomunicaciones y la ingeniería de software. Eugene Spafford—Profesor de Informática y Director Ejecutivo del CERIAS Eugene Spafford es miembro del personal docente de la Universidad de Purdue desde 1987. En la actualidad es profesor de Informática y Director Ejecutivo del CERIAS (Center for Education and Research in Information Assurance and Security). Spafford es muy conocido por su trabajo en la seguridad y la privacidad de la información, la ingeniería de software y la política de tratamiento informático. Algunos le consideran un erudito con visión de futuro y otros simplemente creen que es un excéntrico iconoclasta. Es miembro de ACM (Association for Computing Machinery), IEEE (Institute of Electrical and Electronics Engineers), AAAS (American Association for the Advancement of Science) y del organismo de formación y de certificación (ISC)2. Ha recibido múltiples premios por sus contribuciones en investigación, educación y servicios, incluidos el President’s Award de ACM, el Distinguished Service Award de la CRA (Computing Research Association), el Booth Award del IEEE y el National Computer Systems Security Award, otorgado conjuntamente por NIST y NSA. Renato Opice Blum — Director Ejecutivo de Opice Blum Advogados Associados Renato Blum es el Director Ejecutivo de Opice Blum Advogados Associados. Es abogado y economista de formación. En la actualidad, imparte clases en un MBA de Derecho de Tecnologías de la Información en la Escola Paulista de Direito. También es Presidente del Consejo Supremo de Tecnologías de la Información en la Federación de Comercio/SP. Mr. Blum fue coordinador y coautor del libro Manual de Direito Eletrônico e Internet (Manual de Derecho Electrónico e Internet). Raphael Mandarino, Jr. — Director del Departamento de Seguridad de Información y Comunicaciones, Departamento de Seguridad Institucional, Presidencia de la República Federal de Brasil Raphael Mandarino Junior ocupa el cargo de Director del Departamento de Seguridad de Información y Comunicaciones (DSIC, Departamento de Segurança da Informação e Comunicações) del Departamento de Seguridad Institucional, Presidencia de la República Federal de Brasil, desde mayo de 2006. Asimismo, es responsable de la Coordinación del Comité Gestor de Seguridad de Información (CGSI, Comitê Gestor da Segurança da Informação), grupo del Consejo de Defensa Nacional (Conselho de Defesa Nacional), desde septiembre de 2006. Es miembro del Comité de Gestión de Infraestructura de Claves Públicas de Brasil (CG ICP-BRASIL, Comitê Gestor da InfraEstrutura de Chaves Públicas Brasileira), desde abril de 2007. John Woods — Socio de Hunton & Williams Vanda Scartezini — Socia de POLO Consultores Associados Woods es Socio de Hunton & Williams, LLP en Washington, D.C. y su trabajo se centra en la realización de investigaciones internas, asesoría sobre temas legales de seguridad de la información y representación de empresas en investigaciones gubernamentales y delitos empresariales. Su especialidad es la asesoría a empresas sobre la respuesta legal a las intrusiones de seguridad en redes y las fugas de datos. Fue asesor de RBS Worldpay, una empresa que figura en lista Fortune 500, en su investigación de un incidente de intrusión en la red, el episodio de hacking de datos de tarjetas de crédito más importante de los que se conocen hasta el momento. Además, presta asesoría a varias empresas en la base industrial de defensa estadounidense en relación a los asuntos legales asociados al problema constante de hacking avanzado. Vanda Scartezini ha ocupado numerosos cargos directivos en empresas tecnológicas privadas y en instituciones públicas. Es cofundadora y ha sido socia activa de Polo Consultores, una empresa de consultoría de TI brasileña, desde 1985. Además, es Presidenta de Altis, una empresa de externalización de software y servicios, y Presidenta del Consejo de FITEC, una ICT R&D, una fundación de investigación y desarrollo en tecnologías de la información y la comunicación. Asimismo es socia de Getúlio Vargas Foundation Projects y miembro de la junta de ABES, la Asociación de la Industria del Software Brasileña. Ha actuado como representante del gobierno brasileño en numerosas misiones internacionales en todo el mundo, así como en calidad de experta y consultora para instituciones internacionales. Amit Yoran — Presidente y Director Ejecutivo de NetWitness Corporation Amit Yoran ocupa el cargo de Presidente y Director Ejecutivo de NetWitness Corporation, un proveedor líder de productos de análisis de seguridad de la red. Pertenece a la Comisión del CSIS para asesorar a la Administración de Barack Obama en materia de ciberseguridad, así como a varios organismos de asesoría industrial y nacional. Antes de incorporarse a NetWitness, Yoran era Director de la División de Ciberseguridad Nacional en el Departamento de Seguridad Nacional, y Director Ejecutivo y asesor de In-Q-Tel, la sociedad de capital riesgo de la CIA. Con anterioridad, trabajaba como Vicepresidente de Servicios de Seguridad Gestionados Internacionales en Symantec Corporation. También ha sido oficial en las Fuerzas Aéreas de Estados Unidos en el Equipo de Respuesta ante Emergencias Informáticas del Departamento de Defensa. 36 AMÉRICA LATINA Informe sobre criminología virtual 2009 ASIA-PACÍFICO Kim Kwang (Raymond) Choo — Instituto de Criminología Australiano Kim Kwang (Raymond) Choo trabaja en el Instituto de Criminología Australiano y se encuentra en la actualidad en Estados Unidos para comenzar un proyecto financiado por una beca de Fulbright de 2009 para investigar el futuro del entorno de amenazas de ciberdelitos. También es miembro invitado del Centro de Excelencia de Vigilancia y Seguridad del Consejo de Investigación Australiano de la Universidad Nacional Australiana, y miembro del Grupo de Consultoría Internacional (Investigación) de la Oficina contra la Droga y el Delito de las Naciones Unidas y del programa "Virtual Forum against Cybercrime" (Foro virtual contra Ciberdelincuencia) del Instituto de Criminología Coreano. En junio de 2009, fue nombrado uno de los 100 líderes emergentes (categoría Innovación) en la revista The Weekend Australian Magazine, serie "Next 100" de Microsoft. En septiembre de 2009, recibió el premio a la excelencia con motivo del ACT Pearcey Award de 2009 en la categoría de "jóvenes talentos". Entre otras distinciones, ha recibido la medalla "2008 Australia Day Achievement Medallion" y el "Wilkes Award" por el mejor documento publicado en el volumen del 2007 de la revista Computer Journal de Oxford University Press. Masaki Ishiguro — Investigador Sénior del grupo de investigación de Seguridad de la Información, en el Mitsubishi Research Institute, Inc. Masaki Ishiguro es Investigador Sénior en el grupo de investigación de seguridad de la información, en Mitsubishi Research Institute, Inc. Su trabajo incluye la investigación y el desarrollo de sistemas de detección de amenazas en Internet, la evaluación de riesgos para la seguridad de la información, la verificación formal de los protocolos de seguridad y las tendencias en materia de política de seguridad de la información. Ishiguro obtuvo su máster en Ciencias de la Información en la Universidad de Tokio y su doctorado en Ciencias de la Información en el Japan Advanced Institute of Science and Technology. Paul Twomey — Ex Presidente y Director Ejecutivo de ICANN Paul Twomey ocupó el cargo de Presidente y Director Ejecutivo de ICANN (Internet Corporation for Assigned Names and Numbers) desde marzo de 2003 hasta junio de 2009. Como Presidente Sénior, ahora trabaja de asesor y asistente del nuevo Presidente y Director Ejecutivo Rod Beckstrom. Durante su mandato en ICANN, aportó su experiencia tanto en el sector público como en el privado, que incluye puestos en empresas comerciales, estatales y la presidencia del Government Advisory Committee del ICANN. Cuenta con numerosas publicaciones en medios académicos y diarios conocidos, y ha contribuido en libros sobre políticas de la industria, defensa nacional y exterior, y temas relacionados con el desarrollo. Michael Rothery — Subsecretario Primero de la División de Política de Recuperación de la Seguridad Nacional, Departamento del Fiscal General Australiano Michael (Mike) Rothery dirige la División de Política de Recuperación de la Seguridad Nacional creada en marzo de 2009, que es responsable de política y asesoría judicial en relación al desarrollo de la capacidad de recuperación nacional frente todo tipo de peligros naturales o causados por el hombre, como áreas de protección de infraestructuras críticas, seguridad química, electrónica y de identidad, y política de seguridad defensiva. La División se encarga del TISN (Trusted Information Sharing Network) for Critical Infrastructure Protection, el Document Verification Service y el equipo australiano GovCERT. au (Government Computer Emergency Readiness Team). En este puesto, Rothery dirige el Protective Security Policy Committee y el E-Security Policy and Coordination Committee. Desde diciembre de 2004 a marzo de 2009, es director de la oficina Emergency Management Policy and Liaison Branch del organismo Emergency Management Australia, de la oficina E-Security Policy and Coordination Branch y de la oficina Critical Infrastructure Protection Branch. Con anterioridad, en el Departamento del Fiscal General, Michael Rothery trabajó en las áreas de formación y política antiterrorista, seguridad electrónica y comunicaciones seguras. Jonathan Shea — Director Ejecutivo de Hong Kong Internet Registration Corporation Jonathan Shea es Director Ejecutivo de Hong Kong Internet Registration Corporation, una corporación sin ánimo de lucro y no regulada por la ley, responsable de la administración de nombres de dominio de Internet con el código de país ".hk". Desde que se unió a la empresa en 2002, el número de nombres de dominio .hk ha pasado de 60.000 a más de 100.000. Cuenta con más de 20 años de experiencia en TI, telecomunicaciones e industrias relacionadas con Internet. Shea, que comenzó su carrera como ingeniero de electrónica y telecomunicaciones, dispone de un profundo conocimiento del desarrollo tecnológico de las redes de datos e Internet. Antes de pasar a ocupar el cargo de Director Ejecutivo en HKIRC, fue Director de Tecnología y Director de Tecnologías de la Información en varias empresas de telecomunicaciones y operadores de servicios de Internet. Informe sobre criminología virtual 2009 37 Acerca de Good Harbor Consulting Acerca de McAfee Good Harbor Consulting es un proveedor global de servicios de consultoría sobre seguridad estratégica, protección y gestión de riesgos, dirigidos a clientes del sector público y privado. Con directivos y personal con décadas de conocimientos y experiencia en la administración y en el sector privado, Good Harbor ofrece asesoría estratégica para ayudar a los clientes a conocer su entorno operativo y gestionar su protección y los riesgos para su seguridad. Good Harbor tiene su sede en Arlington, Virginia y sucursales cerca de Boston, Massachusetts (Estados Unidos) y en Abu Dhabi (Emiratos Árabes). McAfee, Inc., con sede en Santa Clara, California, es líder en tecnología de la seguridad. McAfee se compromete, de forma implacable, a afrontar los más importantes retos de seguridad. La compañía ofrece soluciones y servicios proactivos y de demostrada eficacia que ayudan a proteger sistemas y redes en todo el mundo, y que permiten a los usuarios conectarse a Internet, navegar y hacer compras en la Web de forma más segura. Respaldada por un galardonado equipo de investigación, McAfee crea productos innovadores que permiten a los usuarios particulares, a las empresas, al sector público y a los proveedores de servicios cumplir con las normativas, proteger los datos, evitar interrupciones, identificar vulnerabilidades y monitorizar continuamente mejorando así su seguridad. Para obtener más información, visite: http://www.mcafee.com/es McAfee, S.A. Avenida de Bruselas nº 22 Edificio Sauce 28108 Alcobendas Madrid, España www.mcafee.com/es McAfee y/u otros productos relacionados con McAfee mencionados en este documento son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE. UU. y/u otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales registradas o no registradas y productos no relacionados con McAfee que se mencionan en este documento son meras referencias y son propiedad exclusiva de sus propietarios respectivos. La información de este documento se proporciona únicamente con fines educativos y para la conveniencia de los clientes de McAfee. Nos hemos esforzado por asegurar que la información del Informe sobre criminología virtual de McAfee sea correcta; sin embargo, dado que la ciberseguridad cambia constantemente, el contenido de este documento está sujeto a modificaciones sin previo aviso y se proporciona tal cual, sin garantía en cuanto a su precisión o aplicación a una situación o circunstancia en particular. © 2009 McAfee, Inc. Reservados todos los derechos. 6735rpt_virtual_criminology_1009
