Francisco Fernández Miser - I Congreso Internacional de Estudios

FRANCISCO FERNANDEZ MISER
CONGRESO
DE
ESTUDIOS
ESTRATEGICOS Y MILITARES
Título: EQUIPOS DE CIBERSEGURIDAD
(CERT/CSIRT): INSTITUCIONALIZACION Y
GOBERNANZA.
ABSTRACT
(v 5 líneas)
Frente a la relativa simplicidad de los "complejos industriales /
militares" del pasado la seguridad informática obliga a crear
iniciativas y organismos tales como los CSIRT (o CERT): Computer
Emergency Security Information Readiness/Response Team, capaces
de hacer frente a amenazas tales como cibercrimen, ciberataques y
espionaje en un entorno que trasciende fronteras nacionales y que
obliga a considerar actores públicos y privados (no sólo gestoras de
infraestructuras sino también compañías de desarrollo de software y
material informático y, como demostró el caso Heartbleed, hasta con
grupos de desarrollo de software libre, no ligadas a ninguna
organización)
(v. Larga)
Frente a la relativa simplicidad de los "complejos industriales /
militares" del pasado la multiplicidad de actores a considerar en
relación con el mantenimiento de la seguridad informática en la actual
"sociedad de la información" ha obligado a tomar gran número de
medidas, tanto tecnológicas como jurídicas y organizativas. Entre
estas últimas está la creación de organismos denominados CSIRT (o
CERT): Computer Emergency Security/Response Team, con el
objetivo de afrontar amenazas tales como cibercrimen, ciberataques y
espionaje en un entorno que trasciende fronteras nacionales y que
obliga a considerar tanto actores públicos como privados.
Los CSIRT no sólo han de interactuar con compañías de
infraestructuras y con entes similares de otros países o niveles
administrativos sino también con compañías de desarrollo de software
y material informático y, como demostró recientemente el caso del
agujero de seguridad OpenSSL/Heartbleed, hasta con comunidades de
desarrollo de software libre, no ligadas a ninguna organización y sin
capacidad de interlocución definida.
Aun existiendo entidades similares de origen privado, este artículo
estudia las tendencias en la evolución de las que han tomado la forma
de institución pública. En cada uno de los países en que surgen su
desarrollo se ve impulsado tanto por políticas públicas del propio país
como por organizaciones internacionales como la Unión Europea, la
OTAN, una organización de carácter económico como es la OCDE
(Organización para la Cooperación y el Desarrollo Económicos) o la
ITU (International Telecommunication Union), de carácter técnico. Se
ha prestado un especial interés al caso español, en el que la diversidad
funcional y administrativa ha llevado a la aparición de varios entes, a
nivel nacional y a nivel autonómico, académicos y militares,
sectoriales y orientados al público en general.
Palabras clave: Ciberseguridad, Ciberdefensa, CSIRT, CERT,
software libre
PERFIL
Francisco Fernández Miser, licenciado en Informática y en
Ciencias Políticas y de la Administración por la Universidad de
Granada.
Tras varios años en el sector privado trabajo actualmente en la
Junta de Andalucía, habiendo pasado por varias Unidades de Proceso
de Datos (departamentos de Informática) en delegaciones de la misma
llevando a cabo funciones de de gestión, desarrollo de aplicaciones y
bases de datos y mantenimiento informático.
LA SEGURIDAD INFORMATICA Y LOS CSIRT
La progresiva incorporación de la informática a todos los ámbitos
de la vida cotidiana hace que el número de flancos abiertos cuya
protección ha de ser tenida en cuenta sea cada vez mayor. En un
pasado no muy lejano la informática se limitaba a la gestión de
información (contabilidad, nóminas, documentación, etc) la cual, aun
de un valor decisivo e incalculable en muchos casos no tenía un
impacto directo o, como se denomina en el campo de la ciberdefensa,
"cinético", en el sentido de ser capaz de afectar directamente a "carne
y hueso" o "cemento y ladrillo".
Sin embargo, en el mundo actual numerosos factores obligan a
prestar una atención cada vez mayor a la seguridad en la "sociedad de
la información" (término que por sí solo da idea del peso de la
tecnología en nuestro mundo), según se conoce en el ámbito civil, o el
"ciberespacio", ya denominado como el "quinto dominio de la guerra"
tras los tradicionales "tierra, mar y aire" y el relativamente más nuevo
"espacio". (Joyanes, 2011)
La posibilidad cuando no la obligatoriedad del acceso on-line
abarca desde los servicios administrativos o financieros hasta los de
información llegando a incluir la interacción social misma, como
muestran desde las redes sociales profesionales hasta las orientadas al
ocio o los viajes. Se ha pasado del paradigma que imperaba en cuanto
a seguridad informática en los noventa que comparaba la protección
de los sistemas con la defensa de un castillo con un número limitado
de accesos por otro en el que lo que se ha de defende es una
metrópolis con un constante movimiento de entradas y salidas
(OCDE)
En esta era "post-PC" la pervasividad de la capacidad de cómputo
llega a teléfonos móviles e incluso gafas o automóviles hasta el punto
de hablarse de una "internet de las cosas" que llevará a todo tipo de
objetos del hogar a interactuar de manera autónoma con una escasa
necesidad de supervisión.
La incorporación de la conectividad llega a todo tipo de
dispositivos industriales, tales como los sistemas SCADA
(Supervisory Control and Data Acquisition: Control de Supervisión y
Adquisición de Data) que controlan desde fábricas hasta sistemas de
iluminación o gestión de aguas, básicos para las futuras "smart cities".
Por otra parte, los drones que rápidamente salen del ámbito militar
para ser usados en el ámbito civil en tareas de vigilancia o transporte
también contribuyen al dibujo de un mundo en el que, literalmente, la
fiabilidad del sistema informático es vital. En palabras del general
Michael Hayden, antiguo director de la NSA y la CIA "We kill people
based on metadata": "Matamos a gente basándonos en metadatos"
(Cole, 2014, Miller, 1996).
Este acelerado desarrollo de conceptos y servicios no se
corresponde con un esfuerzo equivalente para corregir defectos y
fallos en los nuevos sistemas. Continuamente llegan informes sobre la
aparición de vulnerabilidades en productos de uso masivo o incidentes
de seguridad con daño para la intimidad de personas o para la
economía (a menudo evitables por una gestión menos deficiente o por
usuarios finales más concienciados, cabría añadir).
No sólo supone motivo de preocupación la fragilidad de los
sistemas tan críticos para la sociedad sino también la entidad de los
actores dispuestos a aprovecharla. Durante los años setenta y ochenta
empresas e instituciones debían hacer frente además de a espionaje
industrial o interestatal a empleados desleales y "hackers" más
estimulados por el reto intelectual que por hacer daño en sí (Sterling,
2008) pero, como se dice en "Underground", basado en experiencias
del propio Julian Assange, se trata de un "mundo hoy en día
desaparecido".
Actualmente hay en la delincuencia informática todo un
"ecosistema" fuertemente especializado que se extiende ajeno a
fronteras capaz de cometer delitos nuevos (phishing, ataques de
denegación de servicio, ...) además de participar en la comisión de los
"tradicionales" (Ablon, 2014). Este sector, cuyo coste se estima en
445.000 millones de dólares, sería al hacker prototípico encerrado en
su cuarto lo que un sistema de producción en cadena "just in time" a
un artesano del siglo XIX. El "hacktivismo", del que son caras visibles
Wikileaks, Anonymous y LulzSec también parece capaz de dar más de
un dolor de cabeza a los administradores tanto de organismos oficiales
como de empresas.
En cuanto a agresores tradicionales, aunque la posibilidad de que
grupos terroristas lleven a cabo ciberataques está muy cuestionada
(Awan, 2014) sí que consta el uso que hacen de Internet para
financiación y reclutamiento. Por otra parte, como demuestra el caso
de Edward Snowden sigue siendo necesario contar con la posibilidad
de empleados desleales así como tener en cuenta lo que actualmente se
ha dado en llamar APT (Advanced Persistent Threat: Amenaza
Persistente Avanzada), actores muy sofisticados con gran cantidad de
medios a su disposición. Con un Estado por detrás o no, su objetivo es
la obtención de información o la disrupción del funcionamiento de una
empresa, un organismo público o incluso la actividad económica
entera de un país.
Un problema adicional supone la expansión transnacional del
nuevo ámbito, ajeno a fronteras y, por tanto, a sistemas judiciales. No
sólo hay dependencia tanto de productos como de servicios ubicados
en otros países sino que también los accesos hostiles pueden venir
aparentemente de cualquier punto del globo (e incluso de varios
simultáneamente) y la facilidad para enmascarar su procedencia real
hace complicada la atribución a un atacante.
También son motivo de preocupación las infraestructuras de
carácter estratégico, carácter que, como muestra la amplitud del
"Catálogo de Infraestructuras Críticas" elaborado en España, alcanza a
una gran cantidad de sectores que a menudo han demostrado ser
objeto de ataques o incursiones. Debido a los procesos de
privatización una parte importante (energía, transportes,
comunicaciones, ...) se encuentra en manos privadas, lo cual conduce
a la pérdida de control directo que lamenta Richard Clarke,
responsable de seguridad en la administración estadounidense durante
varios años, en su libro "Guerra en la Red". Esta preocupación se hace
particularmente patente con el discurso en 2012 del exdirector de la
CIA y secretario de Defensa estadounidense Leon Panetta en el que
habla de un "Pearl Harbour digital": "a cyber Pearl Harbor; an attack
that would cause physical destruction and the loss of life." ("un Pearl
Harbour digital: un ataque que causaría destrucción física y pérdida de
vidas" (Panetta, 2012). Por otro lado, el reputado experto Bruce
Schneier muestra su escepticismo y su desconfianza ("There is an
enormous amount of money and power that results from escalating a
cyber war arms race": Hay una enorme cantidad de dinero y poder que
resulta de una escalada en la carrera de ciberarmas) (Schneier, 2013)
ante las consecuencias de una respuesta equivocada ante esta situación
de inseguridad.
A pesar de que las referencias anteriores son del ámbito anglosajón,
en lo que respecta a desarrollo y, por tanto, dependencia tecnológica,
la situación europea y en particular la española no es muy distinta: En
el ranking de desarrollo de administración electrónica que elabora
Naciones Unidas 13 de las 25 primeras naciones son miembros de la
UE y España ocupa el puesto número 12 global (aunque en el informe
eEspaña 2014 que elabora la Fundación Orange relativo a sociedad de
la información ocuparía el puesto 16 de entre las naciones europeas).
Sin embargo, a diferencia del caso estadounidense, gran parte del
impulso en cuanto a seguridad informática no viene de los Estados,
sino de instancias comunitarias y no hay una retórica bélica tan
patente.
Para hacer frente a esta situación se han tomado medidas desde el
campo de la tecnología. Se crean continuamente nuevos productos y
servicios (antivirus, firewalls, sistemas de detección ...), se insiste en
la consideración de la seguridad del producto en todas las fases de
diseño, producción y mantenimiento, se desarrolla la informática
forense para el análisis de situaciones de intrusión: según la consultora
Gartner el gasto mundial en seguridad informática habrá alcanzado en
2013 un total de 67.200 millones de dólares, partiendo de 61.800 en
2012.
Siendo insuficientes las medidas técnicas ha sido necesario también
adoptar jurídicas y organizativas. Además de dotar de mejores medios
a cuerpos de policía, judiciales y servicios de inteligencia
progresivamente se han ido formando unidades especializadas: el
Grupo de Delitos Telemáticos de la Guardia Civil, la Fiscalía de
Criminalidad Informática, el EC3 (European Cyber Crime Centre de
Europol, ...), etc. En el ámbito militar se ha considerado de tanta
importancia el nuevo dominio que en Estados Unidos se ha creado el
mando USCYBERCOM. De manera similar, en España se cuenta con
el Mando Conjunto de Ciberdefensa. Por su parte, la OTAN ha creado
un "Centro Conjunto de Excelencia en Ciberdefensa" en Tallinn
(Estonia).
En el campo jurídico se han llevado a cabo procesos regionales de
homogeneización. De esta cooperación han surgido la tipificación
coordinada en los ordenamientos jurídicos nacionales como delitos de
actos que actualmente llamamos cibercrímenes y el establecimiento de
acuerdos de colaboración en cuanto a su persecución. Un hito en este
sentido es la firma del Convenio de Budapest de Cibercrimen
impulsado por el Consejo de Europa que no solo ha establecido
criterios comunes en cuanto a delitos (penetración de sistemas,
ataques contra la propiedad intelectual) sino que también ha
clarificado con vistas a su persecución judicial conceptos como
botnets, ataques DDoS, ... Aun sin haber sido firmado por Rusia, un
actor clave en el ámbito de la ciberseguridad, sí ha conseguido la
adhesión de, además de casi todos los miembros de la Unión Europea,
varios países no miembros como son son Australia, Japón y Estados
Unidos.
Por otra parte se busca mejorar la comprensión del usuario final así
como del personal encargado del mantenimiento de los sistemas
informáticos con vistas a la asunción de una "conciencia de
ciberseguridad": anular las vulnerabilidades técnicas aprovechables
por los atacantes y evitar las formas de actuar que introducen riesgo es
básico para reducir la cantidad de equipos infectados. En el Reino
Unido se ha experimentado con la creación de pequeños grupos
llamados WARPs (Warning, Advice and Reporting Points) (Centre for
the Protection of National Infrastructure) orientados a sectores muy
específicos cuya función es contribuir a esta divulgación.
En 1988, a causa del incidente del "gusano Morris" (un programa
informático autorreplicable que paró un 10% de la Internet del
momento) se decidió crear un equipo especializado, el CERT/CC
(Computer Emergency Response Team/Coordination Center) en la
Universidad Carnegie Mellon en Pittsburgh, el cual sigue siendo hoy
en día un punto de referencia en la gestión de este tipo de incidentes.
Se han constituido equipos similares en gran número de países y
atendiendo tanto a una sola empresa u organismo como a empresas u
organismos de un sector (banca, telecomunicaciones, universidad) o a
todo un país. En el foro FIRST (Forum of Incident Response and
Security Teams), creado como punto de contacto global para CSIRT
de todo el mundo hay actualmente 304 entidades dadas de alta.
Las funciones que prestaban han ido aumentando con los años: de
sólo resolver emergencias puntuales se ha centrado el foco más que en
aquellas que tienen un origen fortuito en aquellas que tienen relación
con un actor externo. Se ha buscado pasar de un carácter reactivo a
uno preventivo y proactivo que también facilite la "resiliencia",
entendida como la capacidad de sobreponerse a un incidente, en este
caso de seguridad. La tendencia es la institucionalización, que ha
llevado a la creación de estructuras estables y permanentes en casi
todos los países desarrollados y, con el apoyo de Naciones Unidas, en
países de todos los continentes.
En cada uno de los países en que surgen su desarrollo se ve
impulsado tanto por políticas públicas a nivel estatal como por
organizaciones internacionales. Es el caso de la Unión Europea y otras
regionales, la OTAN, una organización de carácter económico como
es la OCDE y la ITU (International Telecommunication Union), una
agencia de Naciones Unidas de carácter técnico. En el caso español, la
diversidad funcional y administrativa ha llevado a la aparición de
varios organismos, a nivel nacional (CCN-CERT, el Servicio de
Respuesta a Incidentes para Infraestructuras Críticas y Operadores
Estratégicos, ...) y a nivel autonómico (Andalucia -CERT, GV-CERT y
CatCERT) , así como académicos (IRIS-CERT) y militares (CERTFA), sectoriales y orientados al público en general.
Aunque caben líneas de actuación más agresivas (y de hecho se
están tomando, con servicios de inteligencia llevando a cabo
vigilancias masivas y contratistas de defensa adquiriendo software que
aproveche vulnerabilidades de productos informáticos en el mercado
negro, lo que evidentemente, hará que desde el Estado relacionado no
se haga nada por reportarlas) este artículo se centrará en una visión
"defensiva" e institucionalista. Existen CSIRT privados, especialmente
de grandes fabricantes (Microsoft, CISCO, PayPal, etc.), orientados a
responder ante problemas relacionados con sus productos o servicios,
y grupos de software libre como oCERT, que se centran en resolver
incidencias que afectan a productos basados en Linux, OpenOffice,
etc, pero a lo largo de este artículo se prestará más atención a los
institucionalizados, que cuentan con el respaldo de estados,
organizaciones transnacionales o entes públicos.
DEFINICION
Según ENISA (European Network and Information Security
Agency), la agencia de la UE dedicada a la seguridad informática, un
CSIRT es "un equipo de expertos en seguridad de las TI cuya principal
tarea es responder a los incidentes de seguridad informática. El CSIRT
presta los servicios necesarios para ocuparse de estos incidentes y
ayuda a los clientes del grupo al que atienden a recuperarse después de
sufrir uno de ellos." (ENISA, 2006)
Dado que el término CERT fue registrado por la Universidad
Carnegie Mellon, se ha preferido usar el término CSIRT, por ser más
específico. Otros son CSIRC (Computer Security Incident Response
Center), SOC (Security Operation Center), IRT (Incident Response
Team), IIRT (Investigation and Incident Response Team), IHT
(Incident Handling Team) ...
De meros grupos compuestos por técnicos se ha pasado a la
interlocución con policías, organismos de supervisión, etc y también
con proveedores de material y servicios de informática y
telecomunicaciones y administradores de infraestructuras críticas. La
compartición de información no se hace solo en el seno de un país
sino que también se hace a través de fronteras y los CERT juegan el
papel de ISAC (Information Sharing & Analysis Centers : Centros de
Análisis y Compartición de Información), como puntos de contacto,
necesarios para formar sistemas de alerta temprana que funcionan las
24 horas del día.
Entre las características que permiten clasificar los CSIRT están el
público al que dan servicio y la relación de exclusividad con el mismo,
su número y la distribución geográfica:
 Públicos: Generalmente de titularidad pública, no limitan el
acceso a sus recursos (formación, consultas, noticias ...).
 Privados: Dan servicio a clientes que tienen un contrato
individual o colectivo.
 Individuales: Tratan con una única organización cliente
(generalmente el CSIRT pertenece orgánicamente a una entidad que es
su "cliente interno")
 Sectoriales: Dan servicio a un grupo de empresas u
organizaciones académicas, industriales, bancarias ... y se especializan
en su problemática y en los sistemas que utilizan. Entre ellos caben
destacar por su importancia en cuanto a seguridad:

Administrativos (prestan servicio a las administraciones de un
país, usualmente participando de manera directa en la gestión la estatal
y, simplemente asesorando a las de nivel inferior)
 Militares.
 Generales: Asesoran o informan a cualquier persona o grupo.
 Regionales: Atienden un área inferior a la nacional como es el
caso de los CERT autonómicos establecidos en España (Andalucia
CERT, CesiCat, ...)
 Nacionales: Atienden a un único país y suelen representarlo
ante los organismos de coordinación de nivel superior.
 Supranacionales: Responden
situaciones de carácter global.
de
manera
coordinada
a
FUNCIONES
El CERT/CC estadounidense agrupa los posibles servicios que
presta un CERT en activos, proactivos, de gestión de calidad y de
manejo de objetos.
Servicios reactivos: Utilizando la comparación con los equipos
contra incendios, estos servicios serían los primordiales, consistentes
en conocer del incidente, por el aviso de un tercero o por vigilancia y
monitorización, y tratarlo hasta extinguir el problema.
Servicios proactivos: Destinados a evitar en el público objetivo
incidentes o a reducir su impacto en el caso de darse mejorando su
infraestructura y sus procesos de seguridad.
Manejo de evidencias: Los archivos o elementos que forman parte
del ataque (utilidades, virus, troyanos, ...) son estudiados con vistas a
conocer su forma de actuar y a encontrar formas de contrarrestarlos.
Servicios de gestión de calidad: Dada la relación con equipos
similares y la orientación de servicio público de muchos de ellos,
resulta importante que el conocimiento obtenido afrontando alertas e
incidentes pase a la ciudadanía o a los actores implicados en la
seguridad de forma que mejore no sólo la tecnología sino también las
prácticas en cuanto a la seguridad que la usa.
ETAPAS
En los más de 25 años de existencia de los CSIRT las posibles
funciones a desempeñar y las relaciones con otros equipos similares
han aumentado. En esta evolución se pueden distinguir las cuatro fases
que identifica el modelo de Kruidhof (Kruidhof, 2014):
a) Servicios reactivos
b) Resiliencia contra amenazas y vulnerabilidades
c) Proactividad y prevención
d) Conexión de CERT colaboradores
Una quinta etapa sería la coordinación y el intercambio automático
de datos entre equipos tanto públicos como privados (especialmente
los adscritos a fabricantes de productos de uso masivo) y el
establecimiento de responsabilidades con un soporte jurídico que
permita intercambiar datos más allá de fronteras (no olvidemos los
distintos estándares que imponen las directivas europeas de la
regulación estadounidense).
En ese sentido de no solo estimular la colaboración voluntaria sino
también de marcar unos cumplimientos mínimos va la obligación que
imponen las directivas de la UE de tener un CSIRT en cada país con
capacidades de interlocución para atender emergencias. En Estados
Unidos existe la obligación de establecer un equipo así en cada
agencia gubernamental así como de las reportar incidencias que
afecten datos de carácter personal al US-CERT, el CERT global.
En el caso de los productos de software libre cuyo uso es masivo o
básico (piénsese en un sistema operativo como Linux, un servidor web
como Apache o sistemas de bases de datos como PostgresQL o
MySQL, que forman la base de un gran número de aplicaciones) se da
un problema de falta de interlocución. Salvo en el caso de que el
producto esté a cargo de una empresa (por ejemplo MySQL, cuyo
desarrollo asume la empresa Oracle o la distribución de Linux
RedHat, que tiene su propio CSIRT) o una fundación bien asentada
(como es el caso de la Apache Foundation, que tiene a cargo
OpenOffice, Apache y un gran número de programas) no existe un
equipo que dé soporte como en el caso del software privativo, que
tiene detrás un servicio, a menudo de 24*7*365, a cargo de la empresa
proveedora o como parte de un contrato de mantenimiento. Ante esta
situación han surgido iniciativas como el grupo oCERT, que pretende
desempeñar estas funciones, y apoyos por parte del gobierno
estadounidense para mejorar la seguridad de este tipo de software, lo
que no ha evitado casos como el del fallo de seguridad conocido como
Heartbleed, que afectó al software OpenSSL, que implementaba
funciones criptográficas y que formaba parte de varias versiones de
Linux y de Android.
SITUACION EN ESTADOS UNIDOS
En los años setenta surgen los primeros estudios sobre seguridad
informática en los que no se consideraba la posibilidad de que hubiera
atacantes desde el exterior de la red local. Sin embargo, ya desde la
NSA se elaboraban directrices en cuanto a seguridad informática que
pasaron al Departamento de Defensa recogidas en el "Libro Naranja"
(TCSEC: Trusted Computer System Evaluation Criteria).
Probablemente la conciencia de que las infraestructuras pueden ser
atacadas usando medios informáticos venga ya de cuando la propia
CIA (Wilson) habría provocado un incidente en un gaseoducto en
Siberia. Un programa de control automático desarrollado ex-profeso
para crear una presión peligrosa en las válvulas se llevó a Canadá con
la intención de que fuera robado por agentes soviéticos. Este software
fue robado y tras ser instalado aparentemente fue la causa de una
monumental explosión en el gaseoducto trans-siberiano en junio de
1982.
Entre 1986 y 1988 saltó a la opinión pública el caso narrado en el
libro "Cuckoo's egg" de Clifford Stoll (Stoll, 2000), un astrónomo que
descubrió de manera fortuita en sus sistemas el espionaje que llevaba a
cabo en ordenadores de la red de defensa estadounidense un "hacker".
Más que por la descripción de la infraestructura técnica del momento
resulta de interés ver en las impresiones de Stoll cómo la colaboración
entre organizaciones (FBI, CIA, ...) no fue la óptima por intereses de
política interna o "pudor" por revelar errores pero sí que lo fue la que
surgió entre técnicos que ni siquiera se conocían en persona (algo
lógico teniendo en cuenta que el hacker operaba desde la antigua
República Federal Alemana y que fue necesario recurrir a técnicos de
las universidades cuyos sistemas utilizaba) pero que tomaron
conciencia de la necesidad de resolver un problema que afectaba a
todos.
Como resultado del clima de preocupación generado, el caso del
"Gusano Morris" llevó en 1988 a la Defence Advanced Research
Projects Agency (DARPA) a establecer el primer CSIRT, el CERT
Coordination Centre (CERT/CC), en la universidad Carnegie Mellon
en Pittsburgh (Pennsylvania). Adscrito al SEI (Software Engineering
Institute: Instituto de Ingeniería del Software), sigue desempeñando
esa función de investigación, divulgación, etc hoy en día.
Por su parte, en atención a posibles incidentes en infraestructuras
críticas, el Departamento de Energía creó el Computer Incident
Advisory Capability (CIAC). Aparecieron otros equipos similares en
Francia, en la NASA, en la Fuerza Aérea USA, ... lo que hizo que en
1990 se creara el FIRST como foro internacional.
La seguridad informática no despierta sólo interés en sectores de
defensa o de inteligencia. Particularmente en los años anteriores a la
generalización masiva del uso de ordenadores había una gran
preponderancia de universidades e instituciones públicas de
investigación liderando el sector. Así, el National Institute of
Standards and Technology (NIST), adscrito al Departamento de
Comercio, fue el que por el Acta de Seguridad Informática de 1987
tenia asignada la seguridad de los sistemas federales no clasificados.
En el 2002 también quedó encargado, aunque junto a la Office of
Management and Budget (OMB), que depende directamente de la
Presidencia, por la FISMA (Federal Information Security Management
Act) de desarrollar estándares y políticas en cuanto a ciberseguridad
para ser aplicados por las agencias federales el año 2002 (por ejemplo,
la Minimum Security Requirements for Federal Information and
Information Systems publicada en 2006)
El DHS (Department of Homeland Security: Departamento de
Seguridad Interior), surgió el año 2002 de la reorganización en materia
de seguridad que lanzó la administración Bush en respuesta a los
ataques del 11-S con la intención de responder a posibles ataques en el
ámbito interior. Cuenta con la división nacional de ciberseguridad
National Cyber Security Division (NCSD), encargada del programa de
gestión de riesgos y requisitos de ciberseguridad, que habrían de
aplicarse no sólo a agencias públicas, sino también al sector privado
en caso de haber normativa en ese sentido.
En 2003 esta división creó el US-CERT como punto focal para
entidades federales y no federales con un sistema funcionando las 24
horas del día y los 7 días de la semana. Ese mismo año se publicó la
Estrategia Nacional para Segurizar el Ciberespacio con vistas a que el
sector privado mejore la infraestructura crítica en cuestión de
seguridad informática.
En el ámbito militar, en 2009 se estableció el CiberComando de los
Estados Unidos (USCYBERCOM) bajo el mando del Comando
Estratégico de los Estados Unidos (USSTRATCOM) y asumiendo
varias agencias ya existentes. Su función es defensiva en el sentido de
dirigir las operaciones y defender las redes de información
especificadas por Defensa, pero manteniendo abierta la puerta de
llevar a cabo "todo el espectro de operaciones militares en el
ciberespacio". Su primer comandante fue el general Keith Alexander,
que simultaneó el mando con la dirección de la NSA, dualidad que se
ha mantenido con su sucesor el almirante Michael Rogers.
INICIATIVAS POR PARTE DE LA OTAN
Los ataques de denegación de servicio contra sitios
gubernamentales y financieros que sufrió Estonia, miembro de la
OTAN (y de la Unión Europea) desde 2004, atribuidos a Rusia con
motivo de la retirada en 2007 de una estatua al soldado soviético,
obligaron a reexaminar la doctrina OTAN en cuanto al concepto de
ataque y si implicaba el recurso al Artículo V del Tratado de
Washington, relativo a la defensa colectiva. Aunque ya había surgido
el tema en la cumbre de Praga de 2002, se había vuelto insistir en la de
Riga de 2006 y en 2008 se había aprobado una primera Política en
Ciber Defensa, la cumbre de Lisboa de 2010 fue el punto de partida
para la inclusión de las capacidades de ciberdefensa en el Proceso de
Planificación de Defensa de la OTAN. Ampliando la visión de la mera
defensa territorial se considera desde entonces la necesidad de
profundizar en la capacidad de "prevenir, detectar, defenderse y
recuperarse de ciberataques", no sólo en la propia OTAN sino como
una obligación de sus estados miembros, cuyas capacidades en este
sentido varían de manera muy notable de unos a otros. En 2011 se
aprobó una segunda Política de CiberDefensa, que insiste en la
coordinación de esfuerzos y definió un plan de implementación.
Precisamente es en Estonia, uno de los países con mayor
penetración de Internet y que ya había solicitado albergarlo, donde se
decidió ubicar en 2008 el Centro de Excelencia Cooperativo de
Ciberdefensa en la capital, Tallin. Aun sin ser parte de la estructura de
la OTAN está acreditado por la misma y sostenido por varios países
miembros, entre ellos España.
Tras la cumbre de Chicago de 2012 se decidió el establecimiento de
la NCIA, la Agencia de Información y Comunicaciones de la OTAN,
que unificó todas los organismos relacionados. Asignado a ella se
decidió crear un equipo de respuesta, la Computer Incident Response
Capability (NCIRC), ubicado en Mons (Bélgica) y dotado con 58
millones de euros para la adquisición de tecnología punta en materia
de seguridad, en principio con intenciones puramente defensivas.
INICIATIVAS EN EUROPA
En Europa el primer CERT fue el de los Países Bajos, surgido en
1992. Llamado SURFnet-CERT estaba adscrito a un proveedor
académico de Internet. Grupos similares fueron surgiendo,
principalmente en los países europeos más a la vanguardia pero sin
una coordinación transfronteriza, salvo en el caso del TERENACSIRT, un equipo creado en el 2000 para apoyar la red de
investigación transeuropea en materia de Internet TERENA (TransEuropean Research and Education Networking Association). No es
hasta 2004 que se funda la ENISA (European Network and
Information Security Agency) para promover un mayor nivel de
seguridad informática así como una cultura de seguridad para
ciudadanos, empresas y sector público en la Unión. En 2006 siguió la
"Estrategia para una Sociedad de la Información Segura", incluida en
el marco de la estrategia i2010, relativa al desarrollo de la sociedad de
información en Europa que proponía un estudio de las políticas
nacionales y de la posibilidad de coordinación.
Para paliar la desprotección de infraestructuras clave se creó en el
2004 el Programa Europeo de Protección de Infraestructuras Críticas
(PEPIC) y la Directiva 2008/114 que dejan en manos de los Estados y
de los operadores la responsabilidad de proteger las infraestructuras
críticas. Sin embargo, se determinó el desarrollo de una serie de
obligaciones y de actuaciones a incorporar a las legislaciones
nacionales. Por otra parte, se ha definido un partenariado público
privado en 2009, el European Public-Private Partnership for
Resilience (EP3R), con la intención de crear un entorno transeuropeo
capaz de incorporar a todos los actores involucrados.
La reforma de Telecomunicaciones de 2009 introdujo la obligación
a los operadores de reportar brechas de seguridad a las autoridades
nacionales. Estas, además, deben reportar a ENISA los incidentes que
puedan extenderse a través de las fronteras, lo que incidió en la
necesidad de que en cada Estado se cree un equipo especializado al
que se encargue esa responsabilidad. Esto se aplicó en 2012 a las
propias instituciones de la UE con el establecimiento de un pequeño
equipo, el CERT-EU, que lleva funcionando desde 2012 centrado en la
respuesta a posibles incidentes de seguridad en su ámbito.
El European Cybercrime Centre (EC3) fue creado en 2013 y
adscrito a Europol, el órgano de coordinación de la lucha contra la
delincuencia de la Unión Europea. Esta línea relativa al esfuerzo
policial forma, junto con la de defensa y la de "agenda digital",
dedicada al desarrollo de la "sociedad de la información", la base de la
estrategia de ciberseguridad que se publicó en 2013 con el título de
"Cyber security Strategy of the European Union: An Open, Safe and
Secure Cyberspace". Con la intención de que la desarrolle una
directiva que se aplique en los Estados miembros hace especial énfasis
en la "resiliencia" y pretende estimular el establecimiento de CERT
nacionales así como el desarrollo de capacidades de ciberdefensa con
la colaboración con las agencias europeas de este campo (ENISA,
Europol/EC3 y la Agencia Europea de Defensa).
Fuera del marco de la Unión Europea cabe destacar el Convenio
sobre Cibercriminalidad
desarrollado por el Consejo de Europa en 2001 por su influencia
más allá de los límites del continente. Al ser el primer tratado
internacional en este sentido se ha convertido en un estándar a la hora
de definir delitos, formas de proceso y de colaboración. Sin embargo,
el hecho de que el Consejo de Europa sea una organización
internacional de cooperación en ámbitos legales, políticos y de
derechos humanos sin la capacidad de vincular a sus 47 miembros
con que cuenta la Unión Europea se da el caso de que varios de sus
miembros (Rusia, Turquía, Luxemburgo ...) , algunos incluso también
miembros de la UE, no lo han ratificado.
Por su parte, la OSCE (Organización para la Seguridad y la
Cooperación en Europa), que agrupa además de a Estados Unidos y
Canadá a todos los países europeos, Turquía y varios países exsoviéticos, se limita a apoyar esfuerzos policiales en esta materia,
especialmente en países no pertenecientes a la Unión Europea y a
fomentar la cooperación voluntaria en materia de seguridad
informática. En ese sentido la Decisión 1106 de 2013 marca el
compromiso de establecer normativas nacionales eficaces para la
cooperación y nombrar puntos de contacto para facilitar el diálogo.
LAS
INICIATIVAS
TRASNACIONALES
DE
ORGANIZACIONES
El foro que componen algunos de los países más desarrollados, el
G7, o G8 durante la presencia de Rusia, que incluye a Alemania,
Canadá, Estados Unidos, Francia, Italia, Japón, Reino Unido y que
cuenta con una representación de la UE desde 2001 cuenta con un
grupo que se reúne tres veces al año dedicado a la lucha contra el
terrorismo, el crimen internacional y el delito de alta tecnología.
Además, el Subgrupo sobre Crímenes de Alta Tecnología, que pasó a
ocuparse de todo lo relativo a Internet, cuenta con una red de
contactos relativos a este tipo de criminalidad que funciona en modo
24 * 7 y que se extiende también a países no miembros de todos los
continentes.
La OCDE es una organización centrada en el desarrollo económico
y compuesta por democracias occidentales (EEUU, Canadá, Australia
y 21 miembros de la UE, entre ellos España) o con una fuerte
conexión con Occidente (Turquía, Japón, México, Corea del Sur,
Chile). Enfocada al apoyo del comercio, también ha elaborado guías y
estudios relativos a la seguridad informática, obviamente más desde el
punto del desarrollo y la generación de confianza en el sector
tecnológico y en el comercio electrónico que desde el punto de vista
de la defensa o de la seguridad. Preocupada por la privacidad en
relación a la informática desde los años ochenta, ya en 1992 emitió las
primeras recomendaciones para la elaboración de políticas de
ciberseguridad, siendo una de las fundamentales las recogidas en el
documento “Directrices de la OCDE para la Seguridad de Sistemas y
Redes de Información: hacia una cultura de Seguridad” de 2002, que
posteriormente se revisó para actualizarlo a la nueva situación en
2012.
Otro foro internacional que también elabora recomendaciones para
sus miembros es la APEC (Cooperación Económica en Asia y el
Pacífico), que comprende 21 economías que dan a la cuenca del
Pacífico. Cuenta con un grupo de trabajo para informática y
telecomunicaciones (“TEL”) que promueve el acceso a Internet por
parte de los ciudadanos y ha definido una Estrategia APEC de
Ciberseguridad con puntos como la creación de una cultura de
ciberseguridad y la compartición de experiencia y formación en esa
materia.
LAS ORGANIZACIONES GLOBALES: ONU/ITU E INTERPOL
La ITU, creada como Unión Internacional de Telegrafía en 1865, se
adscribió al sistema de Naciones Unidas en 1947. Con un status de
agencia especializada de naturaleza mixta, en la que además de los
Estados participan instituciones académicas y empresas (los
“miembros sectoriales”) como por ejemplo operadoras de telefonía, y
encargada de regular y planificar las telecomunicaciones a nivel
mundial, busca la posibilidad de tomar parte también en la regulación
de Internet y, en esa línea, promueve iniciativas en pro de la difusión
de Internet y la ciberseguridad que cumplan las propuestas que se
vienen haciendo por parte de la propia Asamblea General desde
comienzos de siglo. Es en ese sentido que en 2007 lanzó su “Global
Cybersecurity Agenda” como un marco de cooperación internacional
en materia de ciberseguridad. En 2009 entró en funcionamiento como
un partenariado público/privado la iniciativa IMPACT (International
Multilateral Partnership Against Cyber Threats) que ha establecido un
centro en Malasia para dar apoyo a los miembros de la ITU así como a
otras organizaciones de Naciones Unidas, tanto en materia de
formación y cooperación como mediante el GRC (Global Response
Centre), un centro de respuesta ante emergencias.
IMPACT también se dedica a asesorar a países durante la creación
de sus propios equipos de respuesta, habiendo prestado ese servicio a
50 países en África, América, Asia y en Europa: Albania, Armenia,
Chipre, Macedonia, Monaco, Montenegro y Serbia, ninguno de los
cuales, con la excepción de Chipre, bajo el paraguas de la UE.
Interpol (International Criminal Police Organization), creada en
1923 e independiente de Naciones Unidas, aunque con un número de
estados miembros similar, es una organización internacional dedicada
a la cooperación policial que creó ya en el año 2000 su High Tech
Crimes Unit. En 2014 ha abierto en Singapur su Complejo Mundial
para la Innovación, que alberga el Centro de Crimen Digital, que
llevará a cabo análisis forense y en tiempo real de amenazas, y será un
centro de coordinación e intercambio de información.
CONCLUSION
Entre los parámetros a considerar para la evaluación de la
disposición en cuanto a ciberseguridad de un país suelen aparecer el
desarrollo de una estrategia nacional y la existencia de un CERT
nacional como forma de interlocución de otros países y como
mecanismo de protección y de concienciación de la ciudadanía. Esta
persistencia en considerar el Estado como una pieza clave lleva a Nye
a hablar de un cierto “regreso del Estado” -“securing cyberspace has
definitely entailed a ‘return of the state’ but not in ways that suggest a
return to the traditional Westphalian paradigm of state sovereignty”(Nye, 2010) pero, salvo en el caso de naciones con el peso de Estados
Unidos, Rusia o China, es evidente la iniciativa de organizaciones
internacionales como UE y OTAN. Dotadas de atribuciones que van
mas allá de la mera elaboración de estudios y recomendaciones,
especialmente en el caso de la UE, elaboran indicaciones para cuyo
seguimiento los Estados, dada la necesidad de inmediatez en la
respuesta que hay en el campo de la ciberseguridad, se ven obligados a
asignar recursos y a modificar sus marcos jurídicos. Aun así, la
situación actual sigue planteando la enorme dificultad para que, ante
un incidente originado fuera de las fronteras de un país, el equipo de
ese país encargado de hacerle frente pueda dar una pronta respuesta
hasta el punto de cerrar la red criminal, o en caso de venir el incidente
causado por un actor estatal, se pueda recurrir a un “jus in bello”
electrónico.
La industria tecnológica, incluyendo en ella no sólo a fabricantes
de material electrónico sino también a operadoras de
telecomunicaciones y a proveedores de servicios como Google o
compañías de seguridad informática, también juega un papel
importante ya que es la que crea los servicios y productos sobre los
que tienen lugar las incidencias de seguridad, por lo general
aprovechando las vulnerabilidades en cuyo desarrollo se ha incurrido.
Razones de imagen les llevan a oponerse a la posibilidad de que se
imponga la obligación de hacer públicas las brechas de seguridad y a
preferir la comodidad de que ciudadanos, empresas y gobiernos
acepten las condiciones de uso de su producto “AS IS” sin tener
mayores obligaciones una vez vendido el producto.
La aparición del software libre (o “software de fuentes abiertas” o
“de código abierto”) ha generado una situación en la que parte de la
infraestructura del ciberespacio ha sido desarrollada por personas o
instituciones no remuneradas a las que, obviamente, no se puede
exigir una responsabilidad en cuanto a su mantenimiento (la cual,
prácticamente tampoco se le exige al software comercial que tiene
detrás una estructura comercial de soporte). Si bien desde un Estado (o
desde la Comisión Europea) es posible tener interlocución con
Microsoft o Apple, por ejemplo, la frase atribuida a Kissinger respecto
a Europa puede reformularse como “¿A quién llamo si quiero hablar
con el software libre?” sin demasiada dificultad. Por tanto, resulta
necesaria la creación de entidades capaces de dar respuesta 24 * 7 a
los incidentes que se produzcan en torno a este tipo de software y,
generen un mínimo de seguridad en cuanto a su uso.
BIBLIOGRAFIA
Ablon, Lillian, Libicki Martin y Golay, Andrea. “Markets for
Cybercrime Tools and Stolen Data. Hackers’ Bazaar”, 2014,
disponible en:
http://www.rand.org/content/dam/rand/pubs/research_reports/RR60
0/RR610/RAND_RR610.pdf
(consultado 8/Agosto/14)
Assange, Julian y Dreyfus, Suelette, Underground, Seix-Barral,
Barcelona, 2011.
Awan, Imram, “Debating The Term Cyber-Terrorism: Issues And
Problems”, Internet Journal of Criminology, 2014 , accesible en:
http://www.internetjournalofcriminology.com/Awan_Debating_The
_Term_Cyber-Terrorism_IJC_Jan_2014.pdf (consultado 6/Agosto/14)
Burr, William, Ferraiolo, Hildegard y Waltermire, David. “NIST
and Computer Security”,
disponible
en:
http://www.nist.gov/customcf/get_pdf.cfm?
pub_id=914537 (consultado 2/Agosto/14)
Centre for the Protection of National Infrastructure. “CSIRTs and
WARPs: Improving Security Together ”, disponible en:
http://www.warp.gov.uk/downloads/WARPCSIRT%20handout.pdf
(consultado 26/Julio/14)
Clarke, Richard A. y Knake, Robert K., Guerra en la red. Los
nuevos campos de batalla. Ariel, Barcelona, 2011.
Cole, David. ‘We Kill People Based on Metadata’, New York
Review of Books, 2014, disponible en
http://www.nybooks.com/blogs/nyrblog/2014/may/10/we-killpeople-based-metadata (consultado 28/Julio/14)
Cole, David."The Johns Hopkins Foreign Affairs Symposium
Presents: The Price of Privacy: Re-Evaluating the NSA", disponible
en: https://www.youtube.com/watch?v=kV2HDM86XgI (consultado
29/Julio/14)
Consejo de Europa. “Convenio sobre cibercriminalidad del Consejo
de Europa”: disponible en
http://conventions.coe.int/Treaty/en/Treaties/Html/185-SPA.htm
Consejo de Europa. “Signatarios del Convenio sobre
cibercriminalidad” : disponible en
http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?
NT=185&CM=8&DF=&CL=ENG
(consultado 29/Agosto/14)
European Network and Information Security Agency. “Cómo crear
un CSIRT paso a paso”, 2006, disponible en :
http://www.enisa.europa.eu/activities/cert/support/guide/files/csirtsetting-up-guide-in-spanish
(consultado 9/Julio/14)
European Network and Information Security Agency. “CSIRT
Services”, disponible en :
http://www.enisa.europa.eu/activities/cert/support/guide/appendix/c
sirt-services
(consultado 29/Julio/14)
Fundación Orange. “eEspaña 2014 en formato PDF”. 2014,
disponible en :
http://www.proyectosfundacionorange.es/docs/eE2014/Informe_eE
2014.pdf
(consultado 29/Julio/14)
Holt, Matthew, “Aligning National Cyber Security Strategies to
International Guidance: A First Step Toward Improving Incident
Response Capabilities Across NATO”, Best Practices in Computer
Network Defense: Incident Detection and Response (Hathaway, ed),
IOS Press, 2014, disponible en:
http://www.intelliumgroup.com/news/item/111-best-practices-incomputer-network-defense-cnd-incident-detection-and-response
(consultado 4/Agosto/14)
Joyanes Aguilar, Luis. "Introducción. Estado del arte de la
ciberseguridad", Ciberseguridad. Retos y Amenazas a la Seguridad
Nacional en el Ciberespacio, Cuadernos de Seguridad, 149 (2011)
Instituto Español De Estudios Estratégicos
Kruidhopf, Olaf. “Evolution of National and Corporate CERTs –
Trust, the Key Factor”. Best Practices in Computer Network Defense:
Incident Detection and Response (Hathaway, ed), IOS Press, 2014,
disponible
en:
http://www.nl.capgemini.com/sites/default/files/resource/pdf/olaf_krui
dhof_-_evolution_of_national_and_corporate_certs.pdf (consultado
4/Agosto/14)
Miller, Paul. “Metadata for the masses”, 1996, disponible en
http://www.ariadne.ac.uk/issue5/metadata-masses
(consultado
6/Julio/14)
Naciones Unidas. “UN E-Government Survey 2014”, accesible en:
http://unpan3.un.org/egovkb/Reports/UN-E-Government-Survey2014 (consultado 4/Agosto/14)
National Institute of Standards and Technology. “Early Computer
Security Papers (1970-1985), Introduction” : disponible en
http://csrc.nist.gov/publications/history/ (consultado 2/Agosto/14)
National Institute of Standards and Technology. “Minimum
Security Requirements for Federal Information and Information
Systems”,
disponible
en
http://csrc.nist.gov/publications/fips/fips200/FIPS-200-finalmarch.pdf (consultado 5/Agosto/14)
:
Nye, Joseph S. “Cyber Power”. The Future of Power in the 21st
Century, disponible en :
http://belfercenter.ksg.harvard.edu/files/cyber-power.pdf
(consultado 5/Agosto/14)
Organización para la Cooperación y el Desarrollo Económico. “The
Role of the 2002 Security Guidelines: Towards Cybersecurity for an
Open and Interconnected Economy”: disponible en
http://www.oecd-ilibrary.org/science-and-technology/the-role-ofthe-2002-security-guidelines-towards-cybersecurity-for-an-open-andinterconnected-economy_5k8zq930xr5j-en (consultado 8/Agosto/14)
Panetta, Leon. Remarks by Secretary Panetta on Cybersecurity to
the Business Executives for National Security, New York City. 2012.
Accesible en http://www.defense.gov/transcripts/transcript.aspx?
transcriptid=5136 (consultado 5/Julio/14)
Schneier, Bruce. Carry On: Sound Advice from Schneier on
Security. Wiley, 2013.
Sertvija,
Xavier.
“Ciberseguridad,
Contrainteligencia
y
Operaciones Encubiertas en el programa nuclear de Irán: De la
neutralización Selectiva de objetivos al 'cuerpo Ciber' Iraní”, Instituto
Español de Estudios Estratégicos. 2013, disponible en:
http://www.ieee.es/Galerias/fichero/docs_opinion/2013/DIEEEO422013_Inteligencia_Iran_XSertvija.pdf (consultado 9/Agosto/14)
Sterling, Bruce. La Caza de Hackers, Ley y Desorden en la
Frontera Electrónica. Ajec. Granada, 2008.
Stoll, Cliff. “Stalking the wily hacker”, Communications of the
ACM, Volume 31 Issue 5, May 1988. ACM (American Computing
Machinery) New York
Stoll, Cliff. The Cuckoo's Egg: Tracking a Spy Through the Maze
of Computer Espionage. Gallery Books, 2000.
Unión Internacional de Telecomunicaciones. “Understanding
Cybercrime: Phenomena, Challenges And Legal Response”,
disponible en :
http://www.itu.int/en/ITUD/Cybersecurity/Documents/CybcrimeE.pdf (consultado 2/Agosto/14)
West-Brown, M. et al. “Handbook for Computer Security Incident
Response
Teams
(CSIRTs),”
2003,
disponible
en:
http://resources.sei.cmu.edu/asset_files/Handbook/2003_002_001_14
102.pdf (consultado 3/Agosto/14)
Wilson, Clay. “Computer Attack and Cyberterrorism:
Vulnerabilities and Policy Issues for Congress”. Foreign Affairs,
Defense, and Trade Division Congressional Research Service, The
Library
of
Congress,
disponible
en:
http://www.history.navy.mil/Library/online/computerattack.htm
(consultado 3/Julio/14)