CIBERSEGURIDAD
1Ciberseguridad Trabajo de Investigación Instituto Politécnico Nacional, ESIME Zacatenco Humanidades II Alonso Cruz Ja
Views 198 Downloads 11 File size 2MB
Recommend stories
- Author / Uploaded
- leslie
Citation preview
1Ciberseguridad
Trabajo de Investigación Instituto Politécnico Nacional, ESIME Zacatenco Humanidades II
Alonso Cruz Janine Anahí García Martínez Leslie Pérez Pelcastre Cristopher Leonel Ramírez Anaya Cristian Gustavo Diciembre 2020
ii “ESTA PAGINA ES OPCIONAL” Copyright © 2018 por Blanca Ojea & Carlos Curtti. Todos los derechos reservados.
CIB
Tabla de Contenidos Capítulo 1 Introducción.......................................................................................................1 Capítulo 2 Antecedentes.....................................................................................................2 Título 2.............................................................................................................................2 Título 3.........................................................................................................................2 Título 3.........................................................................................................................2 Capítulo 3 Estado del arte...................................................................................................5 Capítulo 4 Usos...................................................................................................................2 Título 2.............................................................................................................................2 Título 3.........................................................................................................................2 Capítulo 5 Usuarios actuales y países.................................................................................2 Título 2.............................................................................................................................2 Título 3.........................................................................................................................2 Capítulo 6 Marco jurídico....................................................................................................2 Título 2.............................................................................................................................2 Título 3.........................................................................................................................2 Capítulo 7 Costo-beneficio.................................................................................................2 Título 2.............................................................................................................................2 Título 3.........................................................................................................................2 Capítulo 8 Alcances y limitaciones....................................................................................2 Título 2.............................................................................................................................2 Título 3.........................................................................................................................2 Capítulo 9 Impacto en el medio ambiente..........................................................................2 Título 2.............................................................................................................................2 Título 3.........................................................................................................................2 Lista de referencias..............................................................................................................6 Apéndice..............................................................................................................................7 Vita......................................................................................................................................8
CIB
iii
Capítulo 1 Introducción
CIB
Capítulo 2 Antecedentes La evolución de la ciberseguridad brinda un contexto más amplio de cómo fue la transformación al mundo digital y los riesgos que surgieron con este cambio. Antes de la creación de Internet, la única forma de comunicarse digitalmente era por medio del telégrafo. El primer hacker de la historia fue Nevil Maskelyne. En 1903, interceptó la primera transmisión de telégrafo inalámbrico, mostrando las vulnerabilidades de este sistema desarrollado por Marconi. En 1970 John Draper fue el primer ciberdelincuente, mejor conocido como “Captain Crunch”. Draper, descubrió que el sonido emitido por un silbato que se obsequiaba en las cajas de cereal de “Cap’n Crunch”, podía engañar a la señal de la central telefónica y así poder realizar llamadas gratis.[ CITATION Inf20 \l 2058 ]
La historia de la ciberseguridad comenzó con un proyecto de investigación durante la década de 1970, sobre lo que entonces se conocía como ARPANET (Red de agencias de proyectos de investigación avanzada). Un investigador llamado Bob Thomas creó un programa de computadora que pudo mover la red de ARPANET, dejando un pequeño rastro dondequiera que fuera. Llamó al programa "CREEPER", debido al mensaje impreso que se dejaba cuando viajaba por la red: "YO SOY EL CREEPER: Atrápame si puedes". [CITATION Ray18 \l 2058 ]. Figura1: primer virus informático [ CITATION Log17 \l 2058 ] CIB
Ray Tomlinson, el hombre que inventó el correo electrónico, más tarde diseñó un programa que llevó a CREEPER al siguiente nivel, haciéndolo autoreplicable y el primer gusano informático y el primer malware de la historia. Posteriormente, diseño un programa llamado Reaper el primer antivirus y su función era la de eliminar las infecciones por Creeper[ CITATION Inf20 \l 2058 ]. A lo largo de los años siguientes, las computadoras comenzaron a conectarse cada vez más, los virus informáticos se volvieron más avanzados y los sistemas de seguridad de la información no pudieron mantenerse al día con el aluvión constante de enfoques innovadores de piratería.
Los rusos, por ejemplo, comenzaron a usar el poder cibernético como arma y, en 1986, emplearon al pirata informático alemán Marcus Hess para robar secretos militares estadounidenses. Hackeó más de 400 computadoras militares, incluidas las computadoras centrales del Pentágono, y pretendía vender sus secretos a la KGB. Afortunadamente, se vio frustrado. Dos años después, en 1988, vio el nacimiento del gusano Morris (nombrado en honor a su inventor), uno de los principales puntos de inflexión en la historia de la seguridad de la información. El uso de la red comenzó a expandirse rápidamente y cada vez más universidades, ejércitos y gobiernos se conectaron a ella. Eso significaba que las medidas de seguridad requeridas tenían que volverse gradualmente más expansivas también, lo que dio origen al gusano Morris cuyo objetivo era identificar áreas deficientes en un sistema de prevención de intrusiones en la red.[ CITATION Fac09 \l 2058 ] CIB
Sin embargo, su capacidad de autorreplicación sería su perdición, ya que el gusano se replicó de manera tan agresiva que dejó inoperables las computadoras específicas y ralentizó Internet a un ritmo trepidante. También se extendió rápidamente por toda la red y causó daños incalculables. Como resultado, también se formó el Equipo de Respuesta a Emergencias Informáticas (CERT) para evitar que problemas cibernéticos como estos vuelvan a ocurrir.
Durante la década de 1980, la red ARPANET también se conoció más comúnmente como Internet y estuvo disponible para el público como la web mundial durante 1989. El gusano Morris parece haber sido el comienzo de algo. Después del gusano Morris, los También empezó a ver el auge de los antivirus como un producto básico: en 1987 se lanzó la primera empresa dedicada a los antivirus.[ CITATION Ray18 \l 2058 ]
Durante los años 80 Kevin Mitnick empezó a utilizar la ingeniería social para obtener información personal y datos privados basándose en los siguientes principios: Todos queremos ayudar. El primer movimiento es siempre de confianza hacia el otro., A todos nos gusta que nos alaben, bajamos nuestras defensas ante las felicitaciones. Mediante este método el Kevin Mitnick lograba engañar a las personas, ganarse su confianza y finalmente obtener datos (que en algunas ocasiones podían parecer datos sin importancia) con los que saltarse los sistemas de seguridad de las empresas y acceder a su información confidencial.[ CITATION Ray18 \l 2058 ] CIB
Aunque la ingeniería social empezó a utilizarse a una escala mayor a finales de los años 80 y sigue siendo una de las formas más eficaces para vulnerar una empresa, algo que solo se puede solucionar realizando en primer lugar una auditoría de ingeniería social para saber hasta qué punto las personas de la empresa son vulnerables, y en segundo lugar mediante una formación y establecimiento de protocolos para concienciar y solucionar dichos fallos. Con la disponibilidad de Internet para el público, más y más personas comenzaron a poner su información personal en línea. Debido a esto, las entidades del crimen organizado vieron esto como una fuente potencial de ingresos y comenzaron a robar datos de personas y gobiernos a través de la web.
A mediados de los años 90, las amenazas a la seguridad de la red habían aumentado exponencialmente y, como tal, los firewalls y programas antivirus tenían que producirse de forma masiva para proteger al público. Fue un investigador de la NASA quien creó el primer diseño de programa de firewall, luego de un ataque de virus informático en su base de California. La investigación y su equipo crearon un "cortafuegos" virtual que modelaron sobre las estructuras físicas que evitan la propagación de incendios reales dentro de edificios o estructuras. (Kaspersky, 2020) Sin embargo, si bien estos firewalls y programas antivirus ayudaron a minimizar el riesgo de ataques durante un cierto periodo de tiempo, los virus y gusanos informáticos siguieron creciendo rápidamente, por lo que los piratas informáticos definitivamente desarrollaban más métodos de infiltración y ataque, es ahí donde la ciberseguridad CIB
empieza a tomar un papel fundamental en la sociedad como un medio de protección de la información en el ciberespacio. Trascendiendo completamente a una era digital. [ CITATION Mic12 \l 2058 ]. . Título 3. Tablas y figuras pueden ser puestas en un apéndice al final de la tesis o disertación. Si se hace esto se debe estar seguro de indicar que las tablas y figuras están ubicadas en el apéndice. Esto puede ser a través de paréntesis o con pies de página. Es posible poner todas o solo algunas de las tablas y figuras en el apéndice, si todas las tablas y figuras son puestas en el apéndice se debe indicar que “Todas las tablas y figuras están ubicadas en el apéndice” después de la primera mención de una tabla o figuras. Título 3. Los títulos de las tablas deben ser puestos sobre las mimas. En el caso de las figuras deben ser puestos debajo. Todas las tablas deben contar con mínimo 2 columnas y una fila de títulos. Las tablas deben contar a menos con 3 líneas divisorias.
CIB
Tabla 1. El título debe ser breve y descriptivo. Columna Uno
Columna Dos
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Datos de tabla
Nota: Una nota general proporciona información del contenido de la tabla completa y finaliza con una explicación abreviaturas, símbolos y similares. Aquí se incluirá el crédito para cualquier tabla que sea extraída de otras fuentes. [ CITATION Ame10 \l 3082 ]
La letra a utilizar en el contenido de la tabla puede ser una sencilla como Arial, Futura o Helvética de entre 8 y 14 puntos viendo que la información no se superponga y sea legible. Cuando la tabla se extraiga de otra fuente, en la lista de referencias se debe incluir la referencia completa del autor de la tabla.
CIB
Título 4. Las figuras pueden estar blanco y negro o a color. Si se usa color se debe asegurar que la figura tenga sentido si se imprime a blanco y negro. La imagen puede ser un gráfico, imagen, clip art, fotografía, infografía, figura, cuadro, diagrama, mapa etc. y puede provenir de un artículo de revista, artículo de revista, artículo de periódico, libro, capítulo de libro, blog, informe o sitio web. En la figura 1 se muestran algunas formas.
Figura 1. Aquí deberá colocarse una explicación descriptiva... de la figura como para darle título, será una frase breve pero descriptiva. Por Apellido de autor (año).
CIB
Capítulo 3 Estado del arte. De unos años a la fecha, el concepto de “ciberseguridad” se ha vuelto cada vez más relevante para las empresas y organizaciones. Esto se debe a que actualmente la seguridad informática es una herramienta básica para mantener a salvo la información y evitar cualquier ataque que ponga en riesgo la operación, privacidad y costes económicos en los negocios. Las amenazas y virus cibernéticos son tan complejos y diversos como la cantidad de sistemas que existen. Podemos encontrar desde los virus más sencillos que solo ralentizan tus dispositivos, hasta amenazas cibernéticas que pueden “secuestrar” los datos de todo un corporativo o poner en jaque un país. 3.1 Virus Informático 3.1.1 ¿Qué son los virus? En la Real Academia nos encontramos con la siguiente definición del término virus: “Programa introducido subrepticiamente en la memoria de un ordenador que, al activarse, destruye total o parcialmente la información almacenada”. De una forma más coloquial y quizás más correcta podríamos decir que un virus informático es programa que se copia automáticamente (sin conocimiento ni permiso del usuario), ya sea por CIB
medios de almacenamiento o por Internet, y que tiene por objeto alterar el normal funcionamiento del ordenador, que puede ir desde una simple broma; acceso a tus datos confidenciales; uso de tu ordenador como una maquina zombie; borrado de los datos; etc. En un principio estos programas eran diseñados casi exclusivamente por los hackers y crackers que tenían su auge en los Estados Unidos y que hacían temblar a las grandes compañías. Tal vez esas personas lo hacían con la necesidad de demostrar su creatividad y su dominio de las computadoras, por diversión o como una forma de manifestar su repudio a la sociedad que los oprimía. Un virus puede ser o no, muy peligroso, pero independientemente de dicho grado, si el sistema a comprometer es crítico, un virus de bajo grado de peligrosidad podrá causar graves daños. Si por el contrario dicho virus es muy peligroso y afecta a una computadora familiar sus daños serán mínimos. Por ello desde el punto de vista de una empresa o gran corporación, un virus sea cual sea, debe ser considerado siempre como peligroso. 3.1.2 Características comunes. • • Dañino: Todo virus causa daño, ya sea de forma implícita, borrando archivos o modificando información, o bien disminuyendo el rendimiento del sistema. A pesar de esto, existen virus cuyo fin es simplemente algún tipo de broma.
•
Autoreproductor: La característica que más diferencia a los virus es ésta, ya que ningún otro programa tiene la capacidad de autoreplicarse en el sistema.
CIB
•
Subrepticio: Característica que le permite ocultarse al usuario mediante diferentes técnicas, como puede ser mostrarse como una imagen, incrustarse en librerías o en programas…
3.1.3 Historia. Existen multitud de fechas equivocadas y diferentes para los mismos acontecimientos de la historia de los virus, por ello es bastante complicado establecer fechas exactas. Tras contrastar diferentes fuentes de información esta sería una breve cronología de la historia de los virus: -
1939, el científico matemático John Louis Von Neumann, escribió "Teoría
y organización de autómatas complejos", donde se mostraba que era posible desarrollar programas que tomasen el control de otros. -
1949 – 1950s en los laboratorios de la Bell Computer, subsidiaria de la
AT&T, 3 jóvenes programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, desarrollaron inspirados en la teoría de John Louis Von Neumann un “juego” llamado CoreWar. Los contenedores del CoreWar ejecutaban programas que iban poco a poco disminuyendo la memoria del computador. Ganaría este “juego” el que conseguiera eliminarlos totalmente. El conocimiento de la existencia de CoreWar era muy restringido. -
1972, aparece Creeper desarrollado por Robert Thomas Morris que
atacaba a las conocidas IBM 360. Simplemente mostraba de forma periódica el siguiente mensaje: "I'm a creeper... catch me if you can!" (soy una enredadera, CIB
cójanme si pueden). Fue aquí donde podríamos decir que apareció el primer antivirus conocido como Reaper (segadora) el cual eliminaba a Creeper. -
1975, John Brunner concibe la idea de un “gusano” informático que crece
por las redes. -
1984, Fred Cohen en su tesis acuña el término “virus informático”. Fue en
este año donde se empezó a conocer el verdadero peligro de los virus, ya que los usuarios del BIX BBS, un foro de debates de la ahora revista BYTE, avisaron de la presencia y propagación de una serie de programas que habían infectado sus computadoras. -
1986, aparece lo que se conoce como el primer virus informático, Brain,
atribuido a los hermanos pakistaníes. -
1987, el gusano Christmas tree satura la red de IBM a nivel mundial.
-
1988, Robert Tappan Morris, hijo de uno de los precursores de los virus,
difunde un virus a través de ArpaNet, (precursora de Internet) infectando a unos 6,000 servidores. -
1989, el virus Dark Avenger también conocido como "vengador de la
oscuridad", se propaga por Europa y Estados Unidos. Sobre dicho virus se han escrito multitud de artículos e incluso un libro ya que se diferenciaba de los demás en su ingeniosa programación y su rápida infección. -
1990, Mark Washburn crea “1260”, el primer virus polimórfico, que muta
en cada infección.
CIB
-
1992, aparece el conocido virus Michelangelo sobre el cual se crea una
gran alarma sobre sus daños y amplia propagación, aunque finalmente fueron pocos los ordenadores infectados -
1994, Good Times, el primer virus broma.
-
1995, aparece Concept con el cual comienzan los virus de macro. Y es en
este mismo año cuando aparece el primer virus escrito específicamente para Windows 95. -
1997, comienza la difusión a través de internet del virus macro que infecta
hojas de cálculo, denominado Laroux. -
1998, aparecen un nuevo tipo de virus macro que ataca a las bases de
datos en MS-Access. Llega CIH o Chernobyl que sera el primer virus que realmente afecta al hardware del ordenador. -
1999, cuando comienzan a propagarse por Internet los virus anexados a
mensajes de correo como puede ser Melissa, BubbleBoy, etc. Este último (BubbleBoy) infectaba el ordenador con simplemente mostrar el mensaje (en HTML). -
2000, se conoce la existencia de VBS/Stages.SHS, primer virus oculto
dentro del Shell de la extensión .SHS. Aparece el primer virus para Palm. -
2001, el virus Nimda atacó a millones de computadoras, a pocos días del
ataque a las Torres Gemelas de la isla de Manhattan. -
Actualmente, existen multitud de técnicas mucho más sofisticadas y
conocidas, lo que permite que se hagan mayor cantidad de virus (13 diarios según CIB
Panda Software) y sean más complejos. De esta forma aparecen virus como MyDoom o Netsky. A pesar de esto no solo la sofisticación de los virus ha aumentado la infección de equipos sino también la “Ingeniería Social” y la, a veces increíble, ingenuidad de usuarios y administradores que facilitan bastante la labor de los virus. Aun con todos los avances que se están haciendo en la actualidad para mejorar la seguridad de los sistemas, no podemos decir que éstos nos reporten la seguridad necesaria. Por ejemplo el último Sistema Operativo de Microsoft, MS Windows Windows Vista también es vulnerable a los virus informáticos y exploits.
3.1.4 ¿Cómo funcionan? Se podría decir que la mayor parte de los virus estaban y quizás estén programados en Ensamblador, lenguaje de bajo nivel que permite trabajar directamente sobre el hardware, sin tener que interactuar con el Sistema Operativo. Actualmente no todos los virus se desarrollan en Ensamblador, sino que se utilizan todo tipo de lenguajes de alto nivel, que no permiten realizar todas las acciones que permite el ensamblador, pero sí facilitan mucho su codificación. Lo que tratan los virus es de ser ejecutados para con ello poder actuar y replicarse, ya que ningún usuario ejecutaría un virus de forma intencionada. Los virus deben ocultarse, ya sea tras otros programas “benignos” o bien utilizando otras técnicas. Por norma general, un virus intentará cargarse en la memoria para poder ejecutarse, y controlar las demás operaciones del sistema. CIB
Como formas más comunes de infección de los virus podríamos tener las siguientes: Tanto virus como gusanos, troyanos, tienen unos objetivos comunes. Ocultarse al usuario; reproducirse ya sea en otros ficheros o en el caso de los gusanos autoenviarse; y finalmente llevar a cabo la acción para la cual ha sido programado, destrucción de datos, obtención de datos personales, control remoto de la máquina. Para conseguir dichos objetivos podríamos decir que su estructura se divide en tres módulos principales: -
Módulo de reproducción: Es la parte encargada de gestionar las rutinas
gracias a las cuales el virus garantiza su replicación a través de ficheros ejecutables. Dichos ficheros ejecutables cuando sean trasladados a otras computadoras provocarán también la dispersión del virus.
-
Módulo de ataque: Módulo que contiene las rutinas de daño adicional o
implícito. Este podrá ser disparado por distintos eventos del sistema: una fecha, hora, el encontrar un archivo específico (COMMAND.COM), …
-
Módulo de defensa: Módulo encargado de proteger el código del virus.
Sus rutinas se ocuparán de disminuir los síntomas que puedan provocar su detección por parte de los antivirus. Utiliza para ello técnicas que pueden ir desde una simple encriptación, a técnicas muy sofisticadas. 3.1.5 Virus. CIB
Existen diversas clasificaciones de los virus. Cada una de ellas clasifica según una característica, ya sea dependiendo de la técnica usada, su origen, lugar donde se esconde, ficheros a los que ataca, daños que produce, etc. No se puede considerar que ninguna de estas clasificaciones sea errónea, ya que muchas de ellas tienen muchos puntos en común. A pesar de que todos se pueden considerar virus, los hemos separado en distintas “categorías”. Virus tales como Virus residentes, Virus de acción directa, Virus de sobreescritura, Virus de macro, etc. Pueden estar dentro de dichas “categorías”.
3.1.6 Virus encriptados. Más que un tipo de virus, son una técnica que usan diversos virus, los cuales se descifran ellos mismos para poderse ejecutar y acto seguido se vuelven a cifrar. De esta manera lo que intentan es evitar o dificultar ser detectados por los antivirus.
3.1.7 Virus polimórficos. La diferencia esencial con los virus encriptados reside en que éstos se cifran/descifran de forma distinta en cada una de sus infecciones. Así consiguen impedir que los antivirus los localicen a través de la búsqueda de cadenas o firmas. Por esta característica, este tipo de virus son los más difíciles de detectarse. Como ejemplos: Elkern, Satan Bug, Tuareg.
3.1.8 Gusanos (worms).
CIB
Pueden no ser considerados como virus, ya que para replicarse no necesitan infectar otros ficheros. Los gusanos realizarán una serie de copias de sí mismos (sin tener que infectar ningún otro fichero) a la máxima velocidad posible y enviándose a través de la red. Debido a esa replicación a alta velocidad pueden llegar a saturar la red a través de la que se propagan. Los canales más típicos de infección son el Chat, correo electrónico… Algún que otro ejemplo de gusano podrían ser los siguientes: PSWBugbear.B, Lovgate.F, Trile.C, Sobig.D, Mapson.
3.1.9 Troyanos o caballos de troya. Se puede llegar a pensar que los troyanos no son realmente virus, ya que no poseen su principal característica, la autoreproducción. A pesar de esto, al igual que los gusanos, ambos son tratados como virus a la hora de ser detectados por los antivirus. Su nombre hace referencia a la historia griega, así su objetivo consiste en introducirse en el sistema como un programa aparentemente inofensivo, siendo verdaderamente un programa que permite el control remoto de dicho sistema. Al igual que los virus, pueden modificar, eliminar, ciertos ficheros del sistema y a mayores pueden capturar datos confidenciales (contraseñas, números de tarjetas de crédito, etc), y enviarlos a una dirección externa.
3.1.10 Bug-ware.
CIB
Quizás no deban de ser considerados como virus, ya que en realidad son programas con errores en su código. Dichos errores pueden llegar a afectar o al software o al hardware haciendo pensar al usuario que se trata de un virus.
3.1.11 De MIRC. Tampoco son considerados virus. El uso de estos virus está restringido al uso del IRC, ya que consiste en un script, denominado script.ini, programado de forma maliciosa, que se enviará a la máquina cliente por DCC. Si la victima acepta dicho envío se sustituirá su script.ini por el malicioso, lo que provocará que el atacante tenga acceso a archivos de claves, etc.
3.2 Fases de la ciberseguridad. Protegerse ante los peligros de la era actual implica llevar a cabo procesos de ciberseguridad que se sustenten sobre su efectividad y para hacerlo, hay que conocer las fases en las que aplicarlos. Podemos dividir el proceso en tres fases concretas que suelen ser temario habitual del máster en seguridad empresarial: prevención, localización y reacción. Prevención: El primer paso siempre es la prevención, lo que reducirá en gran medida el margen de riesgo. Por ello, hay que actuar de forma temprana e informarnos de todo lo que puede ocurrirle a nuestro sistema. Determinar las posibles amenazas y cuáles serán las medidas de prevención y reacción en caso de vernos afectados por una de ellas, CIB
nos permitirá estar más preparados. Es primordial que los empleados del negocio tengan unos conocimientos básicos sobre ciberseguridad. Deben conocer las distintas herramientas que se utilizan y cómo garantizar su máximo nivel de seguridad para que no cometan errores que puedan abrir el camino a la entrada de los hackers. Localización: Después de prevenir, en el caso de haber sufrido algún tipo de problema, habrá que localizar dónde radica el problema. Para ello la mejor herramienta es disponer de un antivirus potente que nos ayude a detectar el ataque en tiempo real y concentrarnos en él de inmediato. Localizar el ataque o la infección no es tan fácil como pueda parecer, dado que los hackers son conscientes del uso de los antivirus y lo que hacen es trabajar de manera que sus ataques puedan pasar desapercibidos. En algunos casos, desde el momento en el que se produce el golpe hasta que la empresa lo detecta, pueden pasar más de 100 días. Para intentar reducir en la medida de lo posible este problema, hay que concentrarse en dos aspectos: gestionar las vulnerabilidades de nuestro sistema y por otro llevar a cabo una monitorización de forma continuada. Reacción: Una vez que hemos localizado la amenaza, tendremos que dar una respuesta técnica sobre la misma y para ello lo ideal es seguir cinco pasos. Comenzaremos desconectando los equipos de la red y seguidamente instalaremos un antivirus que pueda satisfacer las necesidades o actualizaremos el que ya teníamos. Después, llevaremos a cabo un análisis sobre el sistema y haremos cambios en todas las contraseñas. Para terminar, será crucial realizar una limpieza a fondo del sistema para comprobar que ya no existe ningún tipo de peligro. En el caso de que nos hayan robado datos o información confidencial, también deberemos proceder de la manera pertinente CIB
para comunicarlo a los usuarios afectados y elevar lo ocurrido a una situación de delito informático. 3.3 La unión europea prueba sus defensas en un simulacro de ciberataque. El 4 de noviembre de 2010, se realizó el primer ejercicio de simulación de un ciberataque llevado a cabo a nivel paneuropeo con el objetivo de mejorar la seguridad comunitaria frente a los ataques a las redes electrónicas. El ejercicio llamado «Cyber Europe 2010» ha sido impulsado por la Comisión Europea (CE) y pretendía hacer frente a piratas informáticos en un intento simulado de paralizar en varios estados miembros de la UE servicios en línea de importancia crítica. El ejercicio fue organizado por los países de la Unión Europea con el apoyo de ENISA (Agencia Europea de Seguridad de las Redes y de la Información) y del Centro Común de la Investigación (JCR) de la CE. Neely Kroes, vicepresidenta de la Comisión y responsable de la Agenda Digital Europea, visitó el centro de ataques del Reino Unido como acto preparatorio del ejercicio. A esta visita asistieron también representantes de información de los ministerios de comunicaciones, responsables de la protección de infraestructuras de información esenciales, organismos de gestión de crisis, equipos de respuesta a incidentes de seguridad informática, responsables de seguridad de la información y servicios de inteligencia en el campo de la seguridad. El Centro de Control del Ejercicio se estableció en Atenas y asistieron 50 personas como participantes activos, como observadores o como directores del ejercicio. Adicionalmente intervinieron 80 personas desplegadas por toda Europa que actuaban bajo las instrucciones de los moderadores de Atenas y que a su vez podían contactar con CIB
otras personas de los estados miembros de la UE. Estuvieron implicadas más de 70 organizaciones europeas en el desarrollo del ejercicio. El ejercicio ha nacido con la idea de continuidad en el tiempo; de hecho y de modo anecdótico parece que el logo diseñado por ENISA para el ejercicio será la imagen de Cyber Europe y solo habrá que cambiar en cada ocasión que se realice el año correspondiente.
3.3.1 ¿Cuáles fueron los resultados de las pruebas? Las notas de prensa publicadas por ENISA el día 5 de noviembre hablan de que el ejercicio concluyó con éxito. El ejercicio consistió en exponerse a más de 320 incidentes y tenía como objetivo fortalecer la ciberdefensa en Europa. El director ejecutivo de ENISA, Udo Helmbrecht, aseguró que es el primer paso para fortalecer la ciberprotección europea. Se trataba de analizar la respuesta a los incidentes y aprender de los errores como lecciones aprendidas de modo que los Estados miembros analicen e implementen adecuadamente los resultados y mejoren los canales y procedimientos de comunicación.
3.4 La ciberguerra en el siglo XX y la actual y futura en el siglo XXI A lo largo del libro en varios lugares y en especial en el Capítulo 4 donde se trata la situación de la ciberseguridad en el ámbito internacional y en la OTAN se recogen situaciones que algunos especialistas como Jeffrey Carr (2010) y Richard Clarke (2010) junto al ya citado informe de The Economist recogen como actos de ciberguerra (cyber warfare). CIB
Carr analiza y a lo largo de su obra detalla en profundidad los casos de ciberguerra de los siglos XX y XXI, destacando los siguientes: China, Israel, Rusia (engloba en este apartado los casos de la Segunda Guerra Rusia-Chechenia del periodo 1997-2001; la ciberguerra de Estonia (2007) y la Guerra Rusia-Georgia (2008)), Irán y Corea del Norte. Economist refleja como Estados Unidos está preparándose para la Ciberguerra y como el Presidente Obama ha declarado la infraestructura digital de América sea «un activo estratégico nacional» y nombró a Howard Schmidt, antiguo jefe de seguridad de (7) Ramón MUÑOZ, ¿Ciberactivistas o ciberdelincuentes? En El País, 20 de octubre de 2010, pp. 30-31. Microsoft, como su zar de ciberseguridad y posteriormente creó el Cyber Command (Cybercom) y nombró director al General Keith Alexander, director de la Agencia Nacional de Seguridad (NSA) con un mandato claro «conducir las operaciones de amplio espectro para defender las redes militares de Estados Unidos y los ataques si fuera necesario a los sistemas de otros países». Richard Clarke, antiguo ejecutivo de contraterrorismo y ciberseguridad en Estados Unidos, ha publicado este año un libro de gran impacto mediático sobre la ciberguerra en el que prevé o se imagina un fallo catastrófico (breakdown) «en cuestión» de quince minutos. Se imagina que los errores de los ordenadores llevarán a la caída de los sistemas de correo electrónico militar; las refinerías y los oleoductos explotarán, los sistemas de control de tráfico aéreo se colapsarán; los trenes de pasajeros y de carga y los metros descarrilarán; las redes eléctricas de los Estados Unidos se caerán; las órbitas de los satélites quedarán fuera de control. Y lo que es peor de todo, la identidad del atacante puede ser un misterio. CIB
Economist anticipa otro posible gran problema que se puede producir por la rotura de comunicaciones a nivel mundial. Aunque considera que dicha rotura es muy difícil ocurra dado que los datos se envían en Internet por múltiples caminos y numerosas alternativas, si constata que en algunos puntos la infraestructura digital global es frágil. Más de las nueve décimas partes del tráfico de Internet son submarinas, viajan bajo la superficie del mar a través de cables de fibra óptica y éstos son críticos en algunos lugares físicos, por ejemplo alrededor de Nueva York, el Mar Rojo o el estrecho de Luzón en Filipinas. Otros peligros que detecta The Economist son la fragilidad de algunos gobiernos en algunas partes de África que pueden crear refugios para los cibercriminales. Otro tema de gran impacto es la expansión y penetración de la telefonía móvil que traerá nuevos medios de ataques cibernéticos. De igual modo el informe también analiza el problema de las posibles vulnerabilidades de los servidores de nombres de dominio que comentaremos con más detalle en el siguiente apartado. La razón de su importancia reside en que el tráfico de Internet está dirigido por 13 clusters (servidores raíz) potencialmente vulnerables y que de hecho han recibido amenazas serias, aunque por suerte ICANN el organismo internacional regulador de los sistemas de nombres de dominio (DNS) ha resuelto prácticamente el problema con la implantación de un nuevo estándar. Por último solo mencionar y resumir, dado que se estudiarán en profundidad en los siguientes capítulos, los componentes fundamentales que son fundamentales para la evaluación del complejo dominio del ciberespacio: la ciberguerra, los ciberdelitos, las CIB
ciberamenazas, el cibercrimen y el ciberespionaje. Será necesario definir las ciberamenazas que ayuden en la elaboración de planes estratégicos de ciberseguridad teniendo presente todos los términos anteriores. Capítulo 4 Usos Después de identificar posibles riesgos se deben implementar los sistemas y procesos de control necesarios, priorizando la protección de activos de mayor valor y mayor exposición a ciberataques. Existen diversas herramientas y tecnologías que una empresa puede implementar para proteger sus sistemas, como programas antivirus, encriptación de datos, y firewalls. Otra alternativa es que las empresas aíslen sus activos críticos de amenazas a través del uso de virtualización de clientes.
4.1 Aplicación de la ciberseguridad en medio de eventos extraordinarios. Gracias a la ciberseguridad las organizaciones se permiten utilizarlo de forma esencial para lograr:
Implementar una capa consistente de autenticación multifactor (MFA) o una autenticación progresiva según la criticidad de las solicitudes de acceso. • Garantizar que los procesos de gestión de identidad aseguren todas las
identidades de terceros con acceso a la red de la compañía.
CIB
• Tener una visión integral de las identidades privilegiadas dentro de sus entornos de TI, incluido un procedimiento para detectar, prevenir o eliminar cuentas huérfanas. • Refinar la granularidad del monitoreo de seguridad y enriquecer el monitoreo en escenarios de operación remota. • Hacer seguimiento a la operación de las funciones de gestión de ciberseguridad, identificar cuáles de éstas puedan llegar a estar fuera de servicio y los retrasos que se presenten en la respuesta de seguridad.
3.1 Industria 4.0 Además de múltiples beneficios, la digitalización y la conectividad aumentan la superficie de la exposición de las empresas a ciberataques y las consecuencias de un ciberataque, perpetrado por cibercriminales. Cuando hablamos de industria 4.0 estamos hablando de digitalización, de conectar maquinas, sistemas, empresas, de recoger cantidades ingentes de datos que permitan tomar decisiones de la forma mas precisa y en el menor tiempo, con el objetivo final de incrementar la productividad, el volumen de negocio y en consecuencia los resultados de las empresas. Una adecuada gestión de la ciberseguridad bajo un enfoque integral implica la definición de los procesos necesarios para garantizarla y poder responder a los posibles incidentes que puedan producirse definiendo los roles y responsabilidades necesarios e intentando minimizar los posibles problemas interdepartamentales. CIB
Proteger la arquitectura de redes Las principales recomendaciones asociadas a la protección de la arquitectura de
redes consisten en segmentar las redes
Proteger los Servidores En el caso de los servidores es necesario que sistemas operativos estén
configurados con la seguridad como requisito principal. Los sistemas operativos deben actualizarse cuando sea necesario, así como limitar el acceso a la red.
Proteger las Aplicaciones Es necesarios garantizar la configuración segura de las diferentes aplicaciones
empezando con el propio SCADA o MES, actualizándolos con los parches disponibles, securizando las bases de datos y servidores web.
Proteger los Protocolos La protección de los protocolos de comunicación es quizás la parte más difícil de
lograr en un enfoque de defensa en profundidad. Proteger los Componentes Individuales de los Sistemas de Control Industrial que consisten en actualizar siempre con los últimos parches de seguridad, ponerlos a prueba en condiciones de campo y verificar que no influyen en el funcionamiento correcto del sistema antes de ponerlos en producción.
CIB
Capítulo 5 Usuarios actuales y países 5.1 Medicina 5.1.1 Ciberseguridad en los hospitales: prevenir como defensa a cualquier ataque. ¿Están las organizaciones de salud preparadas en materia de seguridad para hacer frente a estos ataques? Los hospitales, como la mayoría de las organizaciones modernas, dependen cada vez más de sistemas de información para una gran variedad de funciones administrativas y clínicas. Hablamos de organizaciones altamente complejas en términos de procesos que, por su propia naturaleza, pueden llegar a tener una actividad constante 24x7x365. Sin olvidar, por otro lado, que la mayoría de los equipos y medios de diagnósticos modernos que utiliza la medicina tienen un alto componente informatizado. Toda esta red de dispositivos, equipamientos y sistemas que, muchas veces, además, necesitan estar conectados con sistemas externos, conforman un entorno crítico y complejo de controlar. A la enorme complejidad organizativa, la necesidad de sistemas dispersos que necesitan conectarse entre sí y a la extensa red de equipos médicos informatizados, debemos agregar lo que quizás sea una de las piezas más valiosas para un cibercriminal: la información clínica de los pacientes. Las consecuencias de un ciberataque a un hospital conllevan asociados, además del robo o la filtración de información, otros riesgos relacionados con la práctica clínica y operacional. CIB
Si un ciberataque como el del reciente WannaCry (WannaCry es un ejemplo de ransomware de cifrado, un tipo de software malicioso (malware) que los cibercriminales utilizan a fin de extorsionar a un usuario para que pague. El ransomware ataca cifrando archivos valiosos para que no puedas acceder a
iStock, Ciberseguridad en las instituciones de salud, 2020.
ellos, o bien bloqueando tu acceso al ordenador para que no puedas utilizarlo.) tiene graves consecuencias económicas y de reputación para compañías de todos los sectores, un ataque de estas características a una organización de salud deriva en incalculables riesgos en relación con la atención sanitaria y seguridad de los pacientes. El robo de la información clínica deriva en diversas acciones criminales que van desde el uso de la información robada con fines de fraude administrativo y el consumo ilícito de fármacos hasta incluso la venta de ficheros de datos a otros cibercriminales. Es importante recordar que la información clínica de un paciente es altamente sensible y el robo y/o mal uso de esta tiene serias consecuencias para la propia seguridad del paciente o incluso para su elegibilidad en términos de aseguramiento, impacto en sus finanzas (procedimientos costosos realizados a un tercero de forma fraudulenta usando su identidad y cobertura médica), etc. 5.1.2 ¿Cuáles son los riesgos de una mala gestion de la ciberseguridad en salud? CIB
Un estudio reciente realizado en Estados Unidos por la HIMSS (1), basado en una encuesta a más de 150 hospitales, concluyó que las principales motivaciones para atacar un hospital recaen en el robo de identidad médica, el robo y comercialización de información robada en el mercado negro e, incluso, el acceso no autorizado y robo de información de pacientes. Sin embargo, las consecuencias de un ciberataque a un hospital no se limitan al robo o filtración de información médica, sino que conllevan asociados además otros riesgos relacionados con la práctica clínica y operacional de estas organizaciones. Los hospitales tienen necesidad de adoptar medidas serias, estratégicas y estructurales para proteger su entorno y parque informatizado libre de ataques, puesto que una caída o no disponibilidad de las tecnologías y los equipamientos puede resultar en una amenaza grave para la continuidad operativa de la organización y, consecuentemente, en la atención oportuna y de calidad a los pacientes. Los recientes sucesos de ransomware en la industria hospitalaria demuestran el riesgo al que se expone un hospital en caso de que estos códigos maliciosos bloqueen o encripten información de sistemas ehCos, Ciberseguridad en los hospitales, 2017 operacionales claves como la Historia Clínica Electrónica, donde reside toda la información de un paciente.
CIB
“Los ataques de ramsoware conocidos últimamente pueden ser catastróficos para un hospital; no solo por la disrupción de su operatividad o la incapacidad de contar con información esencial del paciente, sino también por el coste económico que supone restaurar sistemas y copias de seguridad, así como el daño reputacional que el centro atacado puede sufrir a partir de estos eventos.” Mario Chao, Vp Healthcare Everis Americas. Por eso, se torna cada vez más imprescindible que, desde las organizaciones de salud, se haga una apuesta firme en materia de ciberseguridad y se pregunten si los sistemas de información que están utilizando son lo bastante seguros. Gestionar de forma adecuada la seguridad de la información en salud es un elemento esencial y proactivo que supone la implementación de diversas medidas organizativas y técnicas que abordadas desde diferentes ámbitos: legal, normativo, tecnológico y educativo, por mencionar los más importantes. 5.1.3 Inversión estratégica en infraestructura como element de prevención. Los problemas de ciberseguridad no deben ser un elemento que frene el imparable y necesario proceso de informatización hospitalaria. Al contrario, la mejor manera de controlar y proteger la información de nuestros pacientes y las infraestructuras críticas es con el uso de herramientas y tecnologías existentes que permiten controlar accesos no permitidos, bloquear virus y ataques varios, (1)HIMSS, (2017). Healthcare and Cross-Sector Cybersecurity Report (Vol. 14)
CIB
Este artículo, es una parte del White Paper: “La seguridad de la información y los datos de salud”, en proceso de publicación.
registrar cada uno del acceso a información protegida y controlar otras vulnerabilidades de la evolución tecnológica, como la llamada Internet de las Cosas. Sería absurdo privar a nuestra población de los avances científicos y tecnológicos en la medicina y en el sector salud, pues forma parte consustancial del bienestar personal de cada ciudadano y de la sociedad en su conjunto. El enfoque debe ser poner la ciberseguridad como un elemento central en la agenda de los ejecutivos del sector. Desafortunadamente, muchas veces reaccionamos a los eventos catastróficos y nos falta continuidad y visión estratégica, donde la seguridad informática sea parte de la agenda de la Transformación Digital de los hospitales. 5.1.4 Las posibilidades del cloud en materia de ciberseguridad. Para poder implementar sistemas que cumplan con los requisitos mínimos de disponibilidad y seguridad para considerarse fiables, se precisa de una importante inversión en infraestructura hardware, en software y en personal técnico. Pese a ser algo esencial, no todos los hospitales tienen capacidad para asumir los costes y tiempos de implantación que esta infraestructura requiere. Es por ello por lo que una de las opciones más recurridas en la actualidad pasa por la implementación de soluciones en la nube, que permite reducir los costes y obtener un mayor retorno de la inversión. El uso de la computación en la nube y, más concretamente de soluciones SaaS -como la Historia Clínica Electrónica de ehCOS-, reporta numerosas ventajas pero, al CIB
mismo tiempo, también recelos y preocupaciones a las organizaciones de salud. La clave para poder realizar el salto a la nube dejando atrás dichas preocupaciones es implementar correctamente la seguridad en los datos que se gestionan antes de plantear siquiera el despliegue de estos en la nube. Para ello, es importante implementar mecanismos de cifrado que ayuden a proteger adecuadamente la información almacenada, protegiéndola así de accesos indebidos. No podemos vivir de espaldas al avance técnico y debemos ser consciente que el sector salud y el sector hospitalario, por sus características y particularidades, es especialmente sensible. La ciberseguridad debe ser tomada muy en serio y abordada con honestidad y visión estratégica. La falta de recursos humanos especializados y la falta de recursos financieros pueden ser barreras o dificultades para enfrentar el problema, pero muchas de las vulnerabilidades pueden controlarse contando con un buen análisis de situación y un planteamiento estratégico para enfrentar y gestionar el reto de la seguridad informática en nuestros hospitales.
5.2 Medicina 5.2.1 ¿Por qué es importante la educación en ciberseguridad en América Latina? La Cuarta Revolución Industrial está impulsada por una mayor interconectividad en el mundo (Schwab, 2016, pág. 3). América Latina ha adoptado rápidamente los servicios digitales habilitados por la computación en la nube, los dispositivos móviles y las redes de banda ancha, lo que ha permitido que haya una transformación más profunda CIB
en los Gobiernos y las empresas, incluida la incorporación del procesamiento de datos para la toma de decisiones integrada y eficaz por parte de quienes se encargan de la formulación de políticas. A pesar de haberse adoptado estas tecnologías en América Latina, el nuevo panorama también ha transformado la naturaleza y las operaciones delincuenciales. En América Latina y el Caribe, se ha estimado el costo del ciberdelito entre US$15 mil millones y US$30 mil millones en 2017; es decir, entre el 0,28 % y el 0,57 % del PIB de la región (Lewis, 2018, pág. 7). Los países de la región no solo son un blanco de ataques en línea, sino también una fuente activa de ellos (Lewis, 2018, pág. 20). El aumento de los riesgos cibernéticos está obligando a las empresas y a los Gobiernos a integrar la ciberseguridad en sus procesos, en la adquisición de tecnología y en la selección de personal. A pesar de estas amenazas, sigue habiendo una escasez global de profesionales en ciberseguridad, y se estima que el déficit asciende a unos 4,07 millones de personas. Solo en la región de América Latina, este déficit es de aproximadamente 600 000 personas ((ISC)², 2019, pág. 8). Esta cifra representa un aumento significativo en comparación con 2018, cuando la escasez se estimó en unos 136 000 profesionales ((ISC)², 2018, pág. 4). Tanto las empresas medianas como las grandes demandan un CIB
gran número de profesionales de la ciberseguridad, lo que requiere una fuerza laboral preparada para diseñar, construir y operar las tecnologías más recientes, principalmente a nivel técnico (Foro Económico Mundial, 2015, pág. 20). En América Latina y el Caribe, la demanda de una fuerza laboral capacitada en ciberseguridad ha aumentado, especialmente en las empresas medianas ((ISC)2, 2019). Según el informe de 2019 de (ISC)2, es probable que los profesionales en ciberseguridad tengan al menos una licenciatura o un pregrado, y un poco más de un tercio, una maestría o un doctorado/posdoctorado. Mientras que la mayoría obtienen títulos en informática y ciencias de la información (40 %), otros obtienen títulos ajenos a las tecnologías de la información, como ingeniería (19
Foto FreePik, Ciberseguridad, el otro gran desafio de la educación, 2020.
%) y administración (10 %). Por lo que toca a la región, el informe detalla que las empresas reclutan personal directamente de las instituciones educativas y de proveedores de seguridad. La realidad es que la gran mayoría de los profesionales en ciberseguridad no se iniciaron en este ramo, sino que siguieron otra trayectoria profesional, y muchos incluso se iniciaron en campos ajenos a las tecnologías de la información. Los responsables de la formulación de políticas deben adoptar una visión nacional por lo que toca a la educación en ciberseguridad de modo que se pueda generar un flujo de profesionales en ciberseguridad, además de pensar estratégicamente sobre cómo posicionar la educación en ciberseguridad en el marco nacional de ciberseguridad. 5.2.2 El pilar de la educación.
CIB
Se han creado numerosas herramientas para ayudar a evaluar el estado de la capacidad en ciberseguridad de un país. Dos ejemplos son el Modelo de Madurez de Capacidades de Ciberseguridad para las Naciones (Cybersecurity Capacity Maturity Model for Nations, CMM) y el Índice Mundial de Ciberseguridad (IMC). Estas herramientas enfatizan la importancia de la educación en las capacidades en ciberseguridad de una nación y consideran la educación en ciberseguridad como un pilar clave de cualquier estrategia nacional. El CMM, creado por el Global Cyber Security Capacity Centre (GCSCC)1, es un estándar que evalúa el estado nacional de las capacidades en ciberseguridad en un país. Contiene una sección dedicada a la educación, la capacitación y las habilidades en ciberseguridad que señalan a la educación en ciberseguridad como un pilar clave que debe ser considerado por los responsables de la formulación de políticas al evaluar la capacidad en ciberseguridad a través de la capacidad, la calidad y la aceptación de las ofertas educativas y de capacitación para varios grupos, incluidos los representantes gubernamentales, el sector privado y la población en su conjunto (Cybersecurity Capacity Portal, 2020). Esta sección se divide en tres componentes principales: (1) sensibilización de los ciudadanos, (2) marco para la educación y (3) marco para la formación profesional. Mientras que el primero se centra en la existencia de campañas de concienciación para un público general, el segundo se refiere a programas acreditados a nivel universitario, iniciativas de investigación y desarrollo y un plan de estudios nacional en ciberseguridad. 1
. https://www.sbs.ox.ac.uk/cybersecurity-capacity/content/cybersecurity-capacitymaturity-model-nations-cmm-0 CIB
El tercer componente destaca la importancia de las certificaciones y los programas de capacitación en ciberseguridad como apoyo al desarrollo de habilidades con el paso del tiempo. Asimismo, en el informe correspondiente a 2018 del IMC, creado por la Unión Internacional de Telecomunicaciones (UIT)2, se destaca la importancia de combinar diferentes enfoques, técnicas y herramientas para cerrar la brecha educativa en ciberseguridad. Al igual que el CMM, el IMC tiene indicadores similares en el pilar “Creación de capacidad”, que incluye campañas de concientización pública, el marco para la certificación y acreditación de los profesionales de la ciberseguridad; cursos de formación profesional en ciberseguridad, programas educativos o planes de estudio en ciberseguridad; inversión en programas de investigación y desarrollo en ciberseguridad y mecanismos de incentivos e industria local de ciberseguridad (UIT, 2019, pág. 8). Ambos modelos también destacan la importancia de los programas educativos, que pueden influir en el cambio social y el crecimiento económico. Estos modelos e índices de madurez de la ciberseguridad demuestran que la educación también debe ocupar un lugar destacado en la estrategia nacional de ciberseguridad de un país. En América Latina, los Gobiernos de Argentina, Brasil, Chile, Colombia, Costa Rica, Guatemala, México, Panamá, Paraguay y República Dominicana han publicado o actualizado sus estrategias nacionales de ciberseguridad. Estas estrategias abarcan un marco de creación de capacidades y líneas de acción para fortalecer la educación en ciberseguridad a nivel nacional. Por ejemplo, los dos primeros 2
https://www.itu.int/en/ITU-D/Cybersecurity/Pages/global-cybersecurity-index.aspx CIB .
objetivos de la estrategia nacional de Argentina se centran en la concienciación y la educación en ciberseguridad3. Cuatro de los siete objetivos de la Política Nacional de Seguridad de la Información de Brasil se relacionan con la investigación y desarrollo, la creación de capacidades de la fuerza laboral, el desarrollo de habilidades y una cultura de seguridad de la información4. Asimismo, los marcos nacionales de ciberseguridad de Chile5 y Colombia6 abarcan la educación como una característica clave para mejorar la madurez de la ciberseguridad y también identifican acciones específicas a realizar, establecen un cronograma y determinan los responsables de esas acciones. Los planes de acción de educación en ciberseguridad pueden fortalecer y orientar las políticas de ciberseguridad para manejar las deficiencias en las fuerzas laborales y sistemas educativos de cada país. Al momento de dar los últimos toques a este documento, la COVID-19 se había convertido en una pandemia y cambió la educación en todo el mundo. Los ministerios y departamentos de educación federales, estatales y provinciales se movilizaron rápidamente para migrar su contenido educativo a la nube a fin de garantizar que millones de estudiantes y docentes tuvieran acceso ininterrumpido a la enseñanza a distancia. Las universidades públicas y privadas, las escuelas técnicas y las escuelas de 3
. Argentina (2019). Estrategia Nacional de Ciberseguridad. Disponible en: http://www.enre.gov.ar/web/bibliotd. nsf/203df3042bad9c40032578f6004ed613/1e2bd1ba24f72e9b03258408003abee3/$FILE/ anexo%201.pdf. 4
Brasil (2018). Política Nacional de Segurança da Informação. Disponible en: http://www.planalto.gov.br/CCIVIL_03/_Ato2015-2018/2018/Decreto/D9637.htm. CIB .
primaria y secundaria hicieron lo mismo. El aprendizaje a distancia se generalizó cada vez más y, con ello, la necesidad de hacer frente a los problemas de ciberseguridad en la conectividad para permitir el aprendizaje. Los ejercicios de formación en línea y los mecanismos de apoyo a docentes y estudiantes en educación en ciberseguridad son ahora una prioridad mayor en la adaptación a la enseñanza virtual. 5.2.3 Elaboración de un plan de acción para la educación en ciberseguridad.
El plan de acción para la educación en ciberseguridad, que aquí se propone, ha de servir de modelo para que la formulación de políticas públicas eficaces encaminadas a fortalecer las estrategias nacionales de ciberseguridad y desarrollar la fuerza laboral en ciberseguridad. Plan de acción para la educación en ciberseguridad
Gobierno
Ciclo de desarrollo de la fuerza laboral Objetivos y parámetros
Sector privado
Sector académico
Léxico de ciberseguridad en el lugar de trabajo
Educación primaria y secundaria Postsecundaria y prácticas Capacitación continua y certificaciones Investigación y desarrollo en ciberseguridad Conciencia de la ciberseguridad
Herramientas y técnicas Salón de clase y debates Ferias de empleo Capacitación en línea y laboratorios Competencias/ludificación
Imagen realizada por Anahí, Plan de Acción para la educación en ciberseguridad, 2020. El desarrollo de un plan de acción para la educación en ciberseguridad debe considerar: CIB
1.
Establecimiento de metas
2.
Integración de las partes interesadas al plan
3.
Establecimiento de objetivos y parámetros
4.
Creación de un esquema de implementación.
5.
Identificación de los recursos necesarios para la implementación del plan
La Iniciativa Nacional para la Educación en Ciberseguridad (National Initiative for Cybersecurity Education, NICE)5, dirigida por el Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST) en los Estados Unidos, es un ejemplo de una iniciativa que los responsables de la formulación de políticas pueden emular para desarrollar un plan de acción para la educación en ciberseguridad. La iniciativa NICE funciona como una alianza entre el Gobierno, el sector privado y la sociedad civil para afrontar la escasez de fuerza laboral, mediante la mejora de la capacidad del país para encarar los desafíos actuales y futuros en materia de ciberseguridad. Teniendo en cuenta la naturaleza multidisciplinaria de la ciberseguridad y las recomendaciones clave recibidas de los sectores académico, privado y gubernamental, la iniciativa NICE define claramente los roles y funciones de las partes interesadas en la mejora de las capacidades de seguridad cibernética en los Estados Unidos (NIST, 2017, págs. 1-2). Desde agosto de 2020, el NIST está realizando una consulta pública para actualizar la iniciativa NICE y prevé lanzar una nueva versión en noviembre de 20206. 5
.
Véanse los detalles en el anexo
6
. https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resourcecenter/nice-framework-draft-revision CIB
5.2.4 Sector privado. El sector privado es un actor y aliado decisivo en la implementación de un plan de acción nacional para la educación en ciberseguridad. Al tener un papel de liderazgo en el impulso al desarrollo tecnológico, el sector privado es consciente de las necesidades de la industria y también puede proporcionar herramientas para capacitar a la fuerza laboral, así como recursos para mejorar la distribución de la oferta educativa. Además de las estructuras de gobernanza, las alianzas público-privadas-académicas también juegan un papel importante en un plan de acción para la educación en ciberseguridad. Las instituciones educativas públicas y privadas pueden aprovechar la experiencia del sector privado, incluidas las empresas de tecnología, para mejorar el contenido, la eficacia y garantizar la sostenibilidad general de la educación en ciberseguridad. Facilitar estas alianzas puede permitir el acceso de un mayor número de estudiantes a recursos y oportunidades. Por ejemplo, la iniciativa Educate Cloud Degree de Amazon Web Services (AWS) ayuda a “bajar de la nuble” los planes de estudio existentes de las instituciones participantes, y otorga títulos y certificados con una especialización o concentración en computación en la nube. En Brasil y Colombia, tanto el Servicio Nacional de Capacitación Industrial.
CIB
(SENAI)7 como el Servicio Nacional de Aprendizaje (SENA)89 se han asociado con AWS para brindar capacitación a estudiantes en inteligencia artificial, Internet de las cosas y computación en la nube, que incluye herramientas y módulos sobre ciberseguridad. Gracias a esta alianza, SENAI y SENA han brindado capacitación a 3 000 y 10 000 estudiantes en 2019, respectivamente. Asimismo, el Gobierno de Argentina también se asoció con AWS, y les ha ofrecido a sus ciudadanos el programa AWS Educate a través del portal del Ministerio de Modernización, además de un plan de estudios de computación en la nube, con módulos de ciberseguridad, a 28 instituciones educativas del país11. 5.2.5 Instituciones educativas. Instituciones educativas, tales como de universidades, centros de investigación y otras instituciones académicas, suelen albergar a múltiples expertos que, a través de su labor en investigación, continúan promoviendo el campo de la ciberseguridad. La integración de los académicos en alianzas públicoprivadas-académicas puede ayudar a lograr una visión objetiva, científica y equilibrada en la formulación de políticas. Las instituciones educativas suelen ser fuente de innovación y avance en tecnología. 7
https://noticias.portaldaindustria.com.br/noticias/educacao/senai-e-amazon-webservices-se-unem-para-incentivar-a-educacao-no-brasil/ .
8
. https://aws.amazon.com/blogs/publicsector/president-of-colombia-joins-aws-in-bogotatalks-innovation-across-the-region/ 9
.
https://aws.amazon.com/es/blogs/aws-spanish/aws-
announces-amazon-cloudfront-edge-location-in-argentina/ 12. https://www.netacad.com/ CIB
La Universidad de Oxford, a través del Global Cyber Security Capacity Centre (GCSCC), se ha convertido en un centro de investigación internacional líder en temas de ciberseguridad dedicado a promover el alcance, el ritmo, la calidad y el impacto de la ciberseguridad. La universidad y el GCSCC han unido fuerzas con organizaciones tales como la OEA y el Banco Interamericano de Desarrollo para brindar modelos para una evaluación objetiva sobre el estado de la ciberseguridad en la región. La primera de estas alianzas tuvo lugar en 2016 con la publicación Ciberseguridad: ¿Estamos preparados en América Latina y el Caribe? (2016)10. Esta publicación ha permitido que los responsables de la formulación de políticas y las partes interesadas del sector privado puedan identificar el avance que ha logrado cada país en materia de ciberseguridad, además de destacar áreas clave de participación y apoyo necesarios para alcanzar un mayor nivel de madurez. Los responsables de la formulación de políticas también podrían tener en cuenta la posibilidad de adaptar los indicadores de la tecnología de la información y las comunicaciones (TIC) para medir el impacto de la educación en ciberseguridad. Algunos indicadores nacionales incluyen, por ejemplo: +La proporción de escuelas primarias y secundarias con programas educativos en ciberseguridad +La proporción de estudiantes de nivel postsecundaria matriculados en cursos relacionados con la ciberseguridad 10
. https://publications.iadb.org/publications/spanish/document/Ciberseguridad%C2%BFEstamos-preparados-en-Am%C3%A9rica-Latina-y-el-Caribe.pdf CIB
+La proporción de educadores cualificados en ciberseguridad en las escuelas11
5.2.6 implementación de un plan de educación en ciberseguridad Esta sección presenta información sobre los aspectos críticos que se deben tener en cuenta en la implementación de un plan de acción para la educación en ciberseguridad en cada fase del ciclo de vida del desarrollo de la fuerza laboral, así como las mejores prácticas que se han establecido en todo el mundo. 5.2.7 Educación primaria y secundaria: educar a la próxima generación. La iniciativa NICE es un buen ejemplo de cómo diseñar un plan de educación para los niveles de primaria a secundaria. El Plan nacional de implementación de educación en ciberseguridad para los niveles de primaria a secundaria12 tiene como finalidad: (1) alentar a los estudiantes a participar en actividades relacionadas con la ciberseguridad; (2) ayudar a educadores a incorporar conceptos de ciberseguridad en las clases y, por último, (3) ayudar a los estudiantes de los niveles primaria y secundaria a identificar oportunidades profesionales en el campo de la ciberseguridad. Además, este plan también fomenta la participación de
Pic by nicerc.org
la comunidad en la creación de una campaña de concientización sobre la carrera en ciberseguridad, dirigida a educadores, estudiantes, padres, administradores y consejeros. 11
Indicadores preparados a partir de la lista básica de indicadores de TIC de la Alianza para la medición de las TIC para el desarrollo, disponible en https://www.itu.int/en/ITUD/Statistics/Pages/coreindicators/default.aspx. .
12
.
https://www.nist.gov/sites/default/files/documents/2017/04/26/nice_k12_implementation _plan.pdf CIB
Estos objetivos son un excelente ejemplo de los derroteros que pueden plantearse los Gobiernos a la hora de educar a la próxima generación de profesionales en ciberseguridad. Para ayudar a los estudiantes en los niveles de primaria a secundaria, el National Integrated Cyber Education Research Center (NICERC)13, en los Estados Unidos, ofrece planes de estudio gratuitos para que los educadores integren conceptos de seguridad cibernética en la formación en el aula y también brinda oportunidades de desarrollo profesional para los maestros. Para educar a la fuerza laboral de la próxima generación, los responsables de la formulación de políticas deben considerar el diseño de un plan de acción específico con actividades para educadores y estudiantes. 5.2.8 Nivel postsecundaria y capacitación laboral Las respuestas educativas deben considerar la inclusión de cursos más interdisciplinarios, así como planes de estudio dinámicos y que respondan a las necesidades del entorno en que se ofrecen, a fin de mantenerse al día con los avances tecnológicos (Gleason, 2018, pág. 223). Por ejemplo, se necesitan profesionales con conocimientos tanto del sector de la salud como de la ciberseguridad. En consecuencia, algunas universidades han comenzado a ofrecer programas educativos que combinan políticas de salud y ciberseguridad14. 13
. https://nicerc.org/student/ 14
CIB
Después de los programas de pregrado, los estudiantes tienen la opción de especializarse en ciberseguridad a nivel de posgrado. Existe un buen número de programas de posgrado en ciberseguridad, con grados de maestría e investigación en campos que van desde la informática hasta política y gestión. De hecho, algunos países de América Latina ofrecen estudios de posgrado en ciberseguridad, como el Instituto Tecnológico y de Estudios Superiores de Monterrey (México)15 y la Escuela Superior de Guerra (Colombia)16. 5.2.9 Programas de formación laboral en ciberseguridad Los estudiantes pueden involucrarse en la seguridad cibernética después de la escuela secundaria a través de programas de formación laboral. En concreto, los programas centrados en técnicas emergentes como el aprendizaje automático y la inteligencia artificial son fundamentales para el futuro de la fuerza laboral, ya que estas tecnologías estarán presentes en casi todos los productos de software nuevos y se han convertido en una prioridad de inversión para los directores de información17. Según una encuesta realizada entre 800 expertos y ejecutivos de alta tecnología, para 2025 habrá una amplia integración de la tecnología de inteligencia artificial y, como tal, de roles y trabajos en inteligencia artificial en diferentes partes de las empresas. Al mismo tiempo, . Por
ejemplo, la Universidad de Sydney ofrece una maestría en seguridad sanitaria.
Véase: https://sydney.edu.au/courses/courses/pc/master-of-health-security.html. 15
. https://maestriasydiplomados.tec.mx/posgrados/maestria-en-ciberseguridad 16
. https://ciber.esdegue.edu.co/course/index.php?categoryid=6 17
. Gartner (julio de 2017). Gartner says AI technology will be in almost every new software product by 2020. Disponible solo en inglés en: https://www.gartner. com/en/newsroom/press-releases/2017-07-18-gartner-says-ai-technologies-will-be-inalmost-every-new-software-product-by-2020. CIB
muchas empresas de seguridad de alta tecnología están interesadas en desarrollar programas de formación laboral que combinen ciberseguridad e inteligencia artificial18. 4.2.10 Ciberseguridad para la educación online La demanda educativa en muchos países alrededor de mundo ha provocado que la educación a distancia, o la también llamada educación online o e-learning, sea una opción para miles de estudiantes. Esta condición ha marcado la necesidad de desarrollar plataformas cada vez mejores, que respondan a procesos formativos o de aprendizaje para lograr un propósito de éxito concreto entre estos particulares usuarios. Ahora bien, si los recursos y posibilidades de estudio están dados, también es verdad que representan una oportunidad para los ataques cibernéticos. El ciberfraude y el robo de identidad, entre otros problemas de seguridad, no deben pasar por alto. Dos analistas reconocidos en este tema específico son los académicos de la Nova Southeastearn University, Yair Levy y Michelle Ramim, quienes en 2006 publicaron el artículo Seguridad en sistemas E-learning: Un caso de operaciones de ciberataques y administradores novatos de TI en una pequeña universidad, el cual revela que las operaciones de ciberataques pueden darse tanto por la falta de políticas de tecnologías de información como por la ausencia de procesos para la contención de daños en las plataformas de educación en línea. Pero, ¿qué es una plataforma e-learning, cómo opera y qué parámetros debemos tomar en cuenta para cuidar la seguridad en ésta? 18
. American Association of Community Colleges (enero de 2019). Developing Apprenticeships for cybersecurity. Disponible solo en inglés en: http://www.ccdaily. com/2019/01/developing-apprenticeships-cybersecurity/. CIB
Una plataforma de este tipo consiste en un conjunto de recursos informáticos y web dispuestos para obtener conocimientos a distancia. Se basa en una serie de aplicaciones y contenidos accesibles a través de la computadora en la que forzosamente el usuario debe autenticarse para ingresar a la red. Una vez que el usuario o participante ha ingresado a su cuenta personalizada (mediante un usuario y contraseña comunmente), accede a cursos configurados a través de sesiones o módulos. 5.2.11 ¿Qué hacer por la seguridad de las plataformas educativas en línea? Como todo sistema, desde el punto de vista de seguridad, las plataformas LAMP requieren evaluar aspectos internos y externos para garantizar su funcionalidad, según señalan Kouninef, Djelti y Rerbal [2]. Entre los principales criterios internos que los desarrolladores deben verificar en primera instancia, es que estamos frente a una plataforma con necesidades de mantenimiento, y dado que esto depende estrictamente de los administradores, los usuarios están destinados a recurrir a respaldos continuos de información, sobre todo ante la posibilidad de un “apagón”. Plantear la seguridad de la plataforma desde un punto puramente informático, como filtros de IP que tendrán acceso al curso con autorización por medio del ingreso de credenciales (usuario/contraseña), nos llevará a no entender las posibilidades de riesgo en su totalidad. Por ejemplo, causar una posible denegación de servicio por el número de solicitudes múltiples si no se tiene contemplado en el desarrollo la cantidad máxima de CIB
usuarios que podría soportar la plataforma. O un usuario con intenciones maliciosas que sube un archivo infectado, si éste es descargado por un usuario administrador, ¿cómo garantizar que no hay posibilidades de propagación? Una de las posibilidades de incrementar las condiciones de seguridad es realizar, en cada uno de los lenguajes de programación utilizados, una rutina de actualización que permita lograr una evolución favorable del sistema y de su capacidad actual.
Otro aspecto interno es el relacionado con la gestión de envío de correos electrónicos a los distintos participantes en el curso online. Debemos garantizar, por un lado, la correcta distribución en las libretas de direcciones, y por el otro, los receptores deben verificar la autenticidad de los emisores; recordemos que hay posibilidades de enmascaramiento que podrían llevar a recibir correos falsos, limitando las posibilidades de generar grupos de discusión. Ahora revisemos los aspectos externos, los cuales podemos dividir en dos partes, aquellos que van propiamente de lado del ambiente del sistema y otro muy particular sobre el uso del sistema, lo cual involucra directamente al usuario. En el primer caso, es preciso recordar que las plataformas funcionan en un medio y que este medio conlleva sus propios riesgos de seguridad. Por mencionar algo específico, consideremos los riesgos del navegador web y los problemas asociados a la viralidad de contenidos en aplicaciones de redes sociales como Facebook, YouTube y Twitter. En el segundo caso, podemos evocar la extensa documentación que Levy [3] realizó en 2008, en la cual enlistó las 36 actividades que los estudiantes de plataformas eCIB
learning consideran más valiosas durante su experiencia formativa, concluyendo que muchas de éstas podrían comprometer al sistema. Por considerar algunas:
a) Alteración de contenidos del curso b) Distribución de contenidos maliciosos c) Cambios no autorizados d) Alteración de calificaciones e) Destrucción de bases de datos f) Robo de identidad A esto, es necesario sumar que el entorno ofrece riesgos como: a) El spam, es decir, correo basura. b) Phishing, sitios falsos dedicados al robo de credenciales de acceso. c) Spyware, software malicioso para recabar información del usuario e instalar publicidad molestosa sin consentimiento del usuario. d) Malware, software creado con la intención de robar información o dañar la computadora. e) Los crackers, expertos informáticos dedicados a intervenir los sistemas con propósitos malintencionados.
Si esto pareciera ya muy extenso, los expertos de Nova Southeastern University van más allá, en 2007 [4] ofrecieron la plática ¿Quién presenta realmente el examen?, en la cual presentaban un punto crítico, ya no sólo de la seguridad informática, sino de la CIB
seguridad de la información, arguyendo que los opositores a esta modalidad de estudio justifican su postura respecto a la inoperatividad para autentificar al usuario que realiza las actividades y evaluaciones en las plataformas, por lo que el futuro de las plataformas pasará por las posibilidades de autentificación que hoy por hoy ofrecen las TIC, tales como la biometría; a fin de superar la mera autentificación con usuario y contraseña, como comúnmente se hace. Finalmente, en cuanto a plataformas de e-learning se refiere, parece que la conducta ética de administradores, docentes y usuarios será determinante para la operatividad y concreción de propuestas educativas de esta naturaleza, atendiendo con sumo cuidado al hecho de que estas dinámicas están creciendo y respondiendo a necesidades educativas de un sector de la población caracterizado por su nivel educativo y adquisitivo; dos factores que se combinan en una suerte de gran atractivo para los delincuentes cibernéticos, por lo que indudablemente nos habituaremos a leer más acerca de estos temas.
[2] Kouninef, B., Djelti, M. y Rerbal, S. (2007). Conception et réalisation d’une plate forme e-learning avec une migration au m-learning. Recuperado el 22 de junio de 2014, desde http://www.resatice.org/jour2007/communications/b-kouninef.pdf. [3] Levy, Y. & Ramim, M. (2006). Securing E-Learning Systems: A Case of Insider Cyber Attacks and Novice IT Management in a Small University. Recuperado el 20 de junio de 2014, desde http://www.irma-international.org/viewtitle/3187/.
CIB
[4] Levy, Y. & Ramim, M. (2007). Who is really taking the e-exam? What can we do about it? Nova Southeastern University, Recuperado el 20 de junio de 2014, desde http://bit.ly/1vuf4mk. Levy, Y. & Ramim, M. (2009). Initial Development of a Learners’ Ratified Acceptance of Multibiometrics Intentions Model (RAMIM). Recuperado el 21 de junio de 2014, desde http://www.ijello.org/Volume5/IJELLOv5p379397Levy672.pdf.
[1] En palabras de Fernández, 2005, p.87: Modular Object - Oriented Dynamic Learning Environment (Entorno de Aprendizaje Dinámico Orientado a Objetos y Modular). sobresale el hecho de que se trata de una plataforma de características CIB
LAMP; cuyas siglas provienen, según señala Fernández [1] de la combinación de “Linux + Apache + Mysql +PHP. LAMP se ha convertido en uno de los ejes vertebrales de los servicios que pueden encontrarse en Internet”.
Guía de Ciberseguridad para el uso seguro de redes y dispositivos de telecomunicaciones en apoyo al teletrabajo, Junio 2020. Secretaria de Comunicaciones y Transporte. 5.3 El comercio y la ciberseguridad 5.3.1 El comercio eletrónico en la economía digital global. La nueva economía es global, pero también digital, y se desarrolla en tiempo real, sin fronteras. La economía se encuentra inmersa en una conversación global, o interacción digital. Pareciera que el mundo está ahora unido en un solo mercado electrónico, a un clic de distancia. La base del comercio que se desarrolla dentro del ciberespacio es la conectividad. Internet, por su propia naturaleza, ha derribado las fronteras geopolíticas que el comercio tradicional no había logrado. Para la Organización Mundial del Comercio (OMC), el ecommerce o comercio electrónico constituye «la producción, distribución, comercialización, venta o entrega de bienes y servicios por medios electrónicos».19 Mientras que para la OCDE esta modalidad de comercio constituye «la venta o compra de bienes o servicios, realizada por
19
. «WT/L/274, Work programme on electronic Commerce», Organización Mundial de Comercio, disponible en http://bit.ly/2Sb0B4A. CIB
computadora redes por métodos diseñados específicamente para recibir o colocar pedidos».20 En 1996, para cumplir con su labor de establecer relaciones económicas internacionales amistosas, la Comisión de Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI), publicó la Ley Modelo sobre Comercio Electrónico, con la Guía para su Incorporación en el Derecho Interno. Mediante este instrumento, la Comisión buscó dar certeza jurídica y unificar criterios en las transacciones que se desarrollaban vía mensajes de datos, con la finalidad de la armonización y unificación progresivas del derecho mercantil internacional. En su preámbulo, la Ley Modelo hace referencia a las «transacciones comerciales internacionales que se realizan por medio del intercambio electrónico de datos y por otros medios de comunicación», en los que «se usan métodos de comunicación y almacenamiento de información sustitutos de los que utilizan papel».21 Las anteriores definiciones, además de destacar la importancia que tiene el comercio electrónico, abarcan toda clase de transacciones electrónicas comerciales, incluyendo las transferencias electrónicas de fondos y pagos con tarjeta de crédito.
20
. «Glossary of statistical terms: Electronic commerce», OECD, 17 de enero de 2013, disponible en http://bit.ly/2M8PrcG. 21
. Si bien destaca que muchas de las discusiones se encuentran limitadas a internet, al ser el medio con el que principalmente se asocia, la Ley Modelo de Comercio Electrónico distingue seis instrumentos principales a través de los cuales se puede llevar a cabo: el teléfono, el fax, la televisión, los pagos electrónicos, los sistemas de trasferencias de fondos, e internet. CIB
Empero, aunque son amplias en su definición, resultan de alguna manera obsoletas al no reconocer nuevas formas de comercio electrónico, como son las efectuadas a través de internet (redes abiertas), limitándose a las transacciones electrónicas en sí mismas, sin referirse al espíritu de esta clase de negocios (ciberespacio, mercado virtual, entre otros). Por ello, consideramos la siguiente definición, más amplia: El comercio electrónico incluye el conjunto de transacciones comerciales realizadas por medios electrónicos o digitales de comunicación, ya sea por redes abiertas o cerradas, que se despliega dentro de un sistema global, utilizando redes informáticas y de telecomunicaciones (principalmente internet), que permiten crear mercados virtuales, dentro del ciberespacio, de todo tipo de productos, bienes y servicios (Castrillón y Luna y Becerril, 2015). La economía que se lleva a cabo dentro del ciberespacio agrupa a las empresas en grandes redes de relaciones de interdependencia, en cuyo seno comparten actividades e intereses (Rifkin, 2013). La empresa industrial ha cedido su lugar a la empresa técnicocientífica y a empresas red transnacionales. En la actualidad, todas las empresas son empresas de software. En algunos casos se han convertido en empresas de tiempo real, adaptándose de forma continua e inmediata a las cambiantes condiciones de un nuevo entorno digital o híbrido, condicionado por la inmediatez de la información. De esta forma, la organización empresarial se ha reestructurado para adecuarse y obtener el máximo provecho de las TIC. Si bien antes el uso adecuado de internet dentro de las empresas se traducía en una fuente de competitividad y productividad, en la actualidad, una estrategia digital es parte fundamental del plan de negocios empresarial. CIB
El comercio electrónico no solo favorece el comercio de empresa a consumidor (business to consumer, B2C), o de empresa a empresa (business to business, B2B), sino que ha fortalecido el de consumidor a consumidor (consumer to consumer, C2C). Plataformas como eBay, Mercado Libre y Amazon, entre muchas otras, han permitido a los pequeños empresarios y a cualquier persona ser un partícipe en el comercio internacional. Otra de las características de esta economía digital es el cambio de papel «tradicional» entre los productores y consumidores. Al cambiar de un internet de consumo a uno de consumo y producción, nos hemos convertido en «prosumidores».22 Al convertirnos en partícipes en el proceso de producción, con nuestro conocimiento, información e ideas, solicitando o diseñando artículos a la medida, o incluso subiendo contenidos a la red, la brecha entre consumidores y productores se ha difuminado. Si la década anterior nos había traído un internet de la información, en la actualidad estamos presenciando el surgimiento del internet del valor, el cual nos permite, a través de sus herramientas, una participación más activa en los procesos de servicios y productos. La rapidez con que se desenvuelve esta economía digital es resultado de las tecnologías y las innovaciones que impulsan la cuarta revolución industrial. Múltiples organizaciones han elaborado clasificaciones de las tecnologías que se encuentran impulsando a esta nueva revolución industrial. Sin embargo, si reflexionamos en que todas estas nuevas tecnologías y desarrollos tienen como característica común el aprovechamiento del poder 22
. «El cambio del modelo ha empoderado a los usuarios para convertirse en productores y, a la vez, consumidores de información, servicios y medios, lo que les permite convertirse en proveedores y cocreadores» (Becerril y Ortigoza, 2018: 17). CIB
generado por la digitalización de todas las cosas y las TIC, deberíamos cuestionarnos por su seguridad y resiliencia, para su protección y continuidad. Estos habilitadores tecnológicos claves de la economía digital son:23 la digitalización de todo y la creciente cantidad de información disponible, la inteligencia artificial, el big data, el internet de todas las cosas y el cómputo en la nube. 5.3.2 La digitalización de todo y la creciente cantidad de información disponible.
En la economía digital cada dato tiene un valor. La generación de datos por las empresas para ser procesados y vendidos a terceros es un negocio creciente; de esta forma, los datos e información que surgen de la digitalización de las cosas se han convertido en la materia prima de los negocios y empresas, en un activo vital capaz de crear una nueva forma de valor económico (Mayer-Schönberger y Cukier, 2013). La implementación del modelo DIKW para la gestión del conocimiento y la extracción de valor de datos (datos materia prima) solo puede optimizarse dentro de un ecosistema de datos coherente que incluya a las empresas de software, las pymes, los sectores en datos (privados y públicos), los investigadores, las instituciones académicas y los proveedores de capital. 23
. La CNUDMI reconoce a la robótica avanzada, la inteligencia artificial, el internet de las cosas, el cómputo en la nube, el análisis de macrodatos y la impresión tridimensional (UNCTAD, 2017: 2). Por su parte, la OCDE hace referencia a «la impresión 3D, el internet de las cosas, robótica avanzada, nuevos materiales (basados en “bio” o “nano” tecnología), así como a nuevos procesos (producción impulsada por datos, inteligencia artificial, biología sintética)» (OCDE, 2017: 14). Para el Foro Económico Mundial, las «megatendencias» y los motores tecnológicos de la cuarta revolución industrial son: físicos (vehículos autónomos, impresión 3D, robótica avanzada, nuevos materiales), digitales (internet de las cosas, blockchain) y biológicos (biología sintética) (Schwab, 2016: 17 y ss.). CIB
Este ecosistema de datos apoyará la intensificación de la cooperación entre los diversos grupos de partes interesadas para que trabajen hacia el logro de objetivos que se refuercen mutuamente. La economía de los datos24 mide la repercusión global del mercado de los datos —es decir, el mercado en que se intercambian datos digitales como productos o servicios derivados de los datos brutos— en el conjunto de la economía. Para la Unión Europea, esta economía de los datos implica la generación, recolección, almacenamiento, procesamiento, distribución, análisis, elaboración, entrega y explotación de los datos que hacen posibles las tecnologías digitales.25 Una economía libre de mercado se construye en gran medida con la filosofía fundamental a favor del fomento a la innovación empresarial, con una regulación que establece ciertas excepciones, lo que permite a las compañías una amplia libertad para experimentar. Sin embargo, las empresas y los Estados deben considerar que el mal uso de la información personal tiene consecuencias para su titular. Más allá del impacto en el ámbito financiero o económico, los datos personales son un reflejo de la vida y sustento de sus titulares; de ahí que su potencial para afectar la esfera del titular, en caso de su mal empleo, pueda afectarlo de forma potencial.
24
. Si consideramos que el 70% de la información la generamos nosotros, en cuanto usuarios de diversos dispositivos electrónicos, lo anterior equivaldría a la «mercantilización del yo». 25
. «SMART 2013/0063. Study on a “European data market” and related services», Comisión Europea, 23 de julio de 2013, disponible en http://bit.ly/2sKeYlC. CIB
En mayo del año 2017, el ransomware WannaCry impactó a 150 países y cientos de miles de sistemas, paralizando la atención médica, las instalaciones de producción y las telecomunicaciones. En el año 2018 se expusieron nuevas debilidades del hardware y se sumaron violaciones masivas de datos: en India, Aadhaar, considerado el sistema de identificación biométrica más grande del mundo, sufrió violaciones que comprometieron los datos de los 1.100 millones de ciudadanos registrados; en septiembre, Facebook notificó a sus usuarios la violación masiva de datos más grande que ha sufrido, la cual afectaría a más de 50 millones de personas. Y este año 2019 lo iniciamos con el «peor ataque de piratería informática» que ha sufrido Alemania; documentos y mensajes personales, números telefónicos móviles, información de tarjetas de crédito, direcciones, correos (entre otros), se encuentran dentro de esta große Datenleck, algunas de las víctimas son la canciller alemana, el presidente alemán Frank-Walter Steinmeier, así como partidos políticos, periodistas y artistas entre otros (Becerril, 2019). El uso indebido de datos en esta era moderna digitalizada e hiperconectada ha alcanzado niveles críticos, sin que el público en general conozca el alcance real de los datos que producen. En la actualidad no transcurre más de un mes sin que salga a la luz alguna vulneración de bases de datos o incidentes exitosos contra los sistemas que los contienen, lo que no solo tiene costos e impactos negativos en la reputación de las empresas y países, sino en la vida de los millones de usuarios que son víctimas de estas vulneraciones. 5.3.3 La ciberseguridad en los tratados de libre comercio
CIB
Las preocupaciones en torno a la seguridad nacional y las políticas de comercio no son algo nuevo. Sin embargo, dado el carácter electrónico y transnacional de las transacciones comerciales, la temática ha adquirido un nuevo y urgente relieve, sobre todo en los países más desarrollados, debido al cada vez más creciente vínculo y dependencia de las TIC en sus servicios e infraestructura crítica. Pasando ahora al contexto específico, si se considera que la mayoría de las economías desarrolladas y en desarrollo tienen leyes y regulaciones que restringen la inversión extranjera directa, sobre la base de preocupaciones relacionadas con la seguridad nacional o la pérdida de los recursos naturales de los países, ¿cuál sería el equivalente para desarrollar protecciones en el ciberespacio? La seguridad económica trata el comercio, la producción y las finanzas (Albert y Buzan, 2011). No obstante que los países desarrollados y en desarrollo tienen diferentes puntos de vista26 respecto de las amenazas de seguridad económica asociadas con la ciberseguridad, existen — como se refirió antes— problemas comunes y globales. Con la rápida adopción de las tecnologías por parte de gobiernos, individuos y organizaciones, éstas son cada vez más relevantes en la ecuación de la economía y seguridad nacional. Las alegaciones relacionadas con la ciberseguridad han dado lugar a diversas barreras al comercio internacional y la inversión. Las barreras relacionadas con la ciberseguridad abarcan al menos las siguientes categorías de preocupaciones: espionaje 26
. Para Kshetri (2016), a Estados Unidos les preocupa el robo de IP y otros problemas asociados con el espionaje económico. Los Estados BRICS (Brasil, Rusia, India, China y Sudáfrica), por otro lado, han argumentado que la dependencia de los países en desarrollo de las tecnologías occidentales es una amenaza para la seguridad económica. CIB
político,27 espionaje económico28 y seguridad de la información de los países29 y ciudadanos.30 Respecto del comercio electrónico, se debe buscar que una estrategia de ciberseguridad no se convierta en obstáculo o barrera para estas transacciones electrónicas. Es decir, así como existen barreras comerciales, las cuales constituyen restricciones impuestas al libre flujo de comercio e inversión, una barrera relacionada con la ciberseguridad para el comercio internacional y la inversión se define como «cualquier problema relacionado con los riesgos de seguridad reales y percibidos en el entorno cibernético que obstaculiza directa o indirectamente el crecimiento del comercio internacional y la inversión» (Kshetri, 2016).
iStock, free images.
27
. Si bien la práctica de espionaje entre Estados no es nueva, con las TIC se han facilitado, además de masificado. Recordemos las declaraciones de Edward Snowden respecto de las prácticas de vigilancia masiva, ilegal, llevada a cabo por el gobierno de Estados Unidos, situación que incluso derivó en la Recomendación de la ONU sobre «Privacidad en la era digital». 28
. Por ejemplo, el robo de secretos industriales. 29
. Relativo a la infraestructura crítica e información estratégica, de seguridad nacional o pública, entre otros. 30
. Libertad de expresión, acceso a la información, privacidad y protección de datos personales, además del ejercicio de otros derechos humanos a través de internet. CIB
Capítulo 6 Marco jurídico. La ciberseguridad se encuentra enfocada, de forma principal, en la información que se encuentra en formato digital y los sistemas interconectados que la procesan, transmiten o almacena, por lo que tienen una mayor cercanía a la seguridad informática. La legislación pertinente a la temática se basa en el Documento CONPES 3701, se creó la Comisión Nacional Digital y de Información Estatal, mediante el Decreto 32 de 201311 del Ministerio de Tecnologías de la Información y las Comunicaciones. Instancia que tiene el objeto 34 de ejercer la coordinación y orientación superior de la ejecución de funciones y servicios públicos relacionados con el manejo de la información pública, el uso de infraestructura tecnológica de la información para interacción con los ciudadanos, y el uso efectivo de la información en el Estado .[ CITATION Con11 \l 2058 ].
La importancia de señalar esto, es que actualmente usuarios suben, fotografías, mensajes, opiniones, estados de ánimo y en general las actividades y localización geográfica exacta, muchos usuarios publican mucho o todo lo que hacen a diario en el mundo tangible.
Resulta importante que el Estado entienda lo que ocurre en el espacio digital, específicamente lo que ocurre en las redes sociales digitales. La razón, es que son manejadas por personas que poseen derechos en el mundo tangible, y que las acciones como personas en el mundo digital, también repercuten en el mundo tangible. En estas dinámicas de Internet, al momento de subir nuestra información personal, una persona CIB
pierde control total sobre su información, pues esta puede ser vista, reproducida y compartida por muchos usuarios, además de que está disponible a cualquier hora para cualquier usuario. Al respecto el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) menciona que “Internet es un claro ejemplo de la necesidad de proteger la privacidad en el marco de bases universales, lo que obliga a considerar y a buscar formas de protección en línea” (Comunicado IFAI/131/11, 2011). Si bien el Estado en el marco de sus atribuciones debe garantizar y procurar el espacio privado y la intimidad, salvaguardando con esto la dignidad humana, se considera necesaria la protección de la privacidad de los usuarios de las redes sociales digitales, pero no existen mecanismos formales que lo hagan posible, puesto que el ciberespacio (hasta este momento) es en principio un espacio libre de toda regulación formal, esta situación genera ciertos conflictos entre la libertad de algunos usuarios con la privacidad e intimidad de otros. Razón por la cual las medidas de protección de privacidad y datos personales, de ser posible instrumentarlas deberán estar “…en el marco de bases universales y considerar mecanismos de protección en línea que consideren el consentimiento de los usuarios de estas herramientas… y la expectativa de los individuos a una privacidad razonable” (Comunicado IFAI/131/11, 2011). Con esto queda de manifiesto que todo lo que haga o piense hacer el gobierno con respecto de la sociedad de la información y la comunicación, necesariamente deberá tener como su centro de atención a las personas; que le dan vida y sentido al ciberespacio. ...la aproximación a la sociedad de la información y la comunicación desde una perspectiva basada en ‘derechos’ implica colocar la dignidad humana, el desarrollo CIB
humano y los derechos como ciudadanos globales y digitales por encima de las consideraciones tecnológicas o la relación comercial productor-consumidor. Más aún, implica educar en la ciberciudadanía y proteger en este ámbito a las niñas, niños y adolescentes para garantizar una navegación segura. [ CITATION pes11 \l 2058 ]. d Como primera idea tenemos que lo “privado no quiere decir secreto, público no quiere decir abierto de modo inmediato e indiscriminado, para cualquiera” (Escalante, 2007:67). Esta diferenciación entre lo que es público y privado de una persona termina siendo en cierto sentido relativa, ya que cada persona decide a quiénes hace participes de su espacio privado y qué tipo de información personal comparte en público. De manera muy general, se ha visto que la dimensión pública de una persona se refiere a todo ello que hace a la vista del público, que esta dimensión se entiende como la parte fundamental de la vida social, donde se comparten códigos y valores morales, así como ciertas pautas de comportamiento, y que este espacio está regulado en ciertos aspectos por el Estado a través de las constitución. Además de la vida en público, las personas poseen espacios de privacidad e intimidad, ámbitos de completa autonomía de las personas, fuera de la vista de todo el público, donde se tiene la capacidad de autodeterminación sobre las decisiones que aquí se toman, sobre lo que se hace y se piensa sin dar cuentas a nadie. Lo privado no es tan fácil de definir, no hay nada que por su naturaleza pueda ser completamente privado, por ejemplo hasta los sueños pensamientos y emociones que tiene una persona, lo cual es algo completamente privado, se llegan a compartir y comentar con más personas. La privacidad es “la esfera personal reconocida… el ámbito reservado para las
CIB
relaciones interpersonales donde la selección de los participantes depende de la libre decisión de cada individuo” (Garzón, 2008: 6). En el ámbito de lo privado y lo íntimo, lo que cada quien piense, haga con su dinero, estado de salud y demás hechos, que no impliquen el perjuicio de otro o que no estén explícitamente 35 prohibidos por algún ordenamiento jurídico, es completamente autónomo y libre de cualquier restricción por parte de cualquier Estado que se asuma democrático. La privacidad se entiende como un espacio o ámbito de completa autonomía personal, reconocida por el Estado a través de las leyes, en el cual el individuo decide quién o quiénes pueden acceso a él. “La privacidad es el ámbito donde pueden imperar exclusivamente los deseos y preferencias individuales. Es condición necesaria del ejercicio de la libertad individual” (Garzón, 2008: 17). E Fernando Escalante (2007) menciona que la idea de privacidad se puede ver con cierta claridad desde una perspectiva jurídica, en este sentido las leyes marcan una línea que divide y caracteriza estas dos dimensiones, público y privado. “ … las leyes separan un extenso conjunto de espacios, hechos y decisiones que se designan como privados, lo cual quiere decir que están protegidos contra la intervención de la autoridad, son materias en que se puede decidir con libertad y sin dar cuentas a nadie… lo privado es una creación del Estado mediante la ley” (Escalante, 2007: 8). Es decir, las leyes marcan cuáles son los aspectos de la vida de cada persona que no tienen por qué ser de interés público, aspectos en los que una persona decide sin dar cuentas a nadie. Por ejemplo, existen aspectos de una persona como la ideología política, creencias religiosas, estado de salud, domicilio, aspecto físico, estado civil, cuentas bancarias y CIB
patrimonio personal entre otras cosas, en las que el Estado no tiene porqué intervenir, salvo que existan razones que así 36 lo justifiquen, como algún proceso judicial o que esta persona sea un servidor público sujeto a rendición de cuentas. Hemos visto que la privacidad de refiere a aspectos, información y comportamientos de la vida de una persona que están a la vista de pocos o de nadie, materialmente encontramos aspectos de la privacidad que se manifiestan como información, por ejemplo información sobre su trabajo, sus ingresos y cuentas bancarias y estado civil, por mencionar algunos. Por su parte la intimidad como elemento de la privacidad es básicamente un ámbito de los pensamientos de cada persona. El ámbito de la intimidad “es el reducto último de la personalidad, es allí ‘donde soy lo que soy’ ” (Garzón, 2008: 15-16). No existe pues una diferencia en cuanto a decir dónde inicia y dónde termina la privacidad, dado que tienen un sentido relativo que depende de cada persona, aunque las dos se orientan a espacios, pensamientos y decisiones de cada persona, y de la cual depende hasta qué grado compartirlo. Incluso la Real Academia Española define a la intimidad como: "zona espiritual íntima y reservada de una persona o de un grupo, especialmente de una familia” (DRAE, 2011), la privacidad e intimidad, como espacios propios de una personas se encuentran tutelados por la Constitución Mexicana, (si bien no de manera expresa pues no se utilizan textualmente las palabras intimidad o privacidad), la garantía jurídica establece que nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, con el objeto de respetar un ámbito de la vida privada personal y familiar, que debe quedar excluido del conocimiento ajeno y de las intromisiones de los demás. (Garzón, 2008) menciona que se entiende como intimidad CIB
“aquella esfera personal y privada en la que se encuentran comportamientos, acciones y expresiones que no deseamos que lleguen a conocimiento público”. (p.24). En una sociedad democrática, la intimidad se considera como uno de los Derechos fundamentales necesitados de protección. “Internet llega a la constitución (el derecho de acceso a la información y los sistemas electrónicos)” Becerra, Ricardo. (2008). En específico, en el caso mexicano el Artículo 16 constitucional en sus primeros dos párrafos menciona lo siguiente: Artículo 16. “Nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento” (Reformado en su integridad mediante decreto publicado en el diario oficial de la federación el 18 de junio de 2008). Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley. (CPEUM, 2011). La intimidad en el contexto digital tiende a ser el conjunto de aspectos personales más sensibles de una persona, lo cual siempre será relativo para cada quien, cada persona en el contexto de redes sociales como en la vida material decide lo qué comparte y a quiénes lo comparte. En suma, la intimidad es aquella esfera personal en la que se encuentran comportamientos, acciones y expresiones que no deseamos que lleguen a ser de conocimiento público. “la intimidad se configura como el Derecho que asiste a toda persona para comunicar o no comunicar a quien quiera partes de su vida o de su pensamiento” (Cendejas, 2009: 45). Para los propósitos de este trabajo, entre los cuales está exponer el manejo de datos y vida privada en las redes CIB
sociales digitales en general, se tomará la idea de privacidad en un aspecto amplio, considerando que la intimidad es parte de la esfera de la privacidad. Los aspectos jurídicos nos permiten tener cierta claridad sobre lo que es privado en la vida de una persona, aunque las conceptualizaciones tomadas desde lo jurídico no son exhaustivas ni permanentes, pero nos proporcionan un piso mínimo para saber qué es la privacidad y la razón por 38 la cual debe ser protegida y que esas razones se materialicen de manera formal en la constitución en forma de Derechos. Para la existencia de un Derecho a la privacidad, se debe de asegurar la autonomía de los individuos para decidir los alcances de su vida privada, a quién y de qué manera comparten voluntariamente información, para ello se debe limitar el alcance del Estado, a fin de no cometer intromisiones ilegales en la esfera de lo privado, del mismo modo las organizaciones privadas deben limitarse a no tener intromisiones en la esfera privada. La privacidad, como hemos visto aquí : …es producto de una decisión legislativa que se justifica en su fundamento último como protección de la dignidad personal. Pero nunca hay una frontera indudable, de trazo limpio, perfectamente impermeable, porque las actividades de la vida privada se desbordan hacia todos los campos de la vida social. (Escalante, 2007, pag.14). El objetivo de salvaguardar la privacidad e intimidad de las personas es garantizar una esfera de libertad individual, que proteja por un lado la vida privada de las personas y por otro lado otorgar facultades a los ciudadanos que permiten ejercer un control material sobre el tratamiento de su información personal. La idea de privacidad, como está manifestada en la Constitución, se orienta a garantizar el espacio privado para poder CIB
ejercer la libertad. Esta idea de la privacidad e intimidad como Derechos manifestados en la Constitución tiene una doble justificación. “…de un lado hay la justificación sustantiva de la privacidad, que explica que sea necesario, benéfico o conveniente respetar la libertad individual… de otro lado, hay la justificación práctica de sus límites… En lo que se refiere a la justificación sustantiva, el criterio último en que se basa hoy en día la protección de la privacidad es una idea de la dignidad humana (Escalante, 2007: 10). 39 La libertad y salvaguarda de aspectos privados son entonces rasgos esenciales de la dignidad humana, se separa un ámbito privado para proteger la libertad personal, como rasgo indispensable de la dignidad humana. Esta libertad de la que se habla, es parte de los Derechos fundamentales como el Derecho a la vida, a la seguridad y a la felicidad, que el Estado “debe respetar no invadiéndolos y garantizarlos frente a cualquier intervención posible por parte de los demás” (Bobbio, 1989: 11). La importancia de que a los individuos se les respete su espacio de privacidad, se justifica para evitar burlas, humillaciones o intimidaciones, es decir, que la divulgación de información y aspectos de la privacidad de alguien no sea un factor que pueda limitar o condicionar el actuar de alguna persona, que la conciencia y la voluntad, la capacidad para decidir no sean condicionadas o limitadas por alguna autoridad u otra persona. El asunto central sobre la privacidad es la información relativa a esta, el riesgo que tiene nuestra privacidad es que pueda ser del conocimiento de personas ajenas a nuestra vida personal, el riesgo a lo que otros saben o pueden saber de nuestra vida más allá de ese círculo de personas a las que se les comparten aspectos de la vida íntima y privada. Las nuevas tecnologías ofrecen recursos que hasta hace poco hubieran sido impensables para CIB
obtener información… hay los medios para difundir todo ello de manera masiva e instantánea. (Escalante, 2007pag. 37). Fernando Escalante (2007) menciona que la definición legal de lo privado y de los recursos para protegerlo cambia con el tiempo porque cambian las ideas y cambian las formas de organización, y sobre todo cambia la tecnología, misma que avanza más rápido que los procesos legislativos sobre la materia. La privacidad tiende a estar entendida con cierto pragmatismo desde la perspectiva jurídica, y es que lo referido a la protección de lo privado de una persona se considera como parte de un conjunto de Derechos que tiene toda persona, tener Derecho a la privacidad significa que la persona es la única dueña de la información relativa a lo que pasa en su vida. Por ello nadie debe entrometerse en nuestra persona, hogar o familia sin que esto se autorice, o sin que exista un mandato por escrito, que describa y fundamente las razones de su intromisión, con el objetivo de que a partir de la procuración de este Derecho, se tenga libertad en las decisiones que cada quien tome, sin que éstas lleguen a perjudicar a terceros. Habiendo visto que la cuestión de la privacidad es una construcción jurídica que se sustenta en Derechos como el de la libertad, el Derecho a la no intromisión del Estado u otras personas en nuestra vida, el Derecho a la Autodeterminación de la Información relativa a nuestra privacidad, y el Derecho que tenemos a la protección de la privacidad por parte del Estado, esta serie de Derechos se justifican en la idea de garantizar la libertad de conciencia y libre toma de decisiones de cada individuo en su entorno personal, el argumento de fondo es el respeto a los
CIB
Derechos Humanos de cada persona, dicho argumento que se fundamentan en el mantenimiento de la Dignidad Humana. En suma, la privacidad es vista como un espacio completamente ajeno a la intervención de terceros sin su consentimiento, el Estado lo reconoce y tiene la obligación de defenderlo y salvaguardarlo al ser éste un Derecho Humano fundamental, la privacidad es a la vez parte de las libertades de una persona en un contexto democrático. Entonces toda intromisión o divulgación de la vida privada de un individuo representa una vulneración a ese derecho a preservar cosas fuera del alcance de los demás. “Todo ese manejo de datos es ilegal, vulnera la intimidad, a menos que haya el consentimiento expreso de los afectados... Por ello la protección de la vida privada y la protección de la intimidad son necesarias como estructura del orden jurídico y como garantía de respeto de la dignidad personal”. (Escalante, 2007: 39-42). Proclamar a la privacidad como Derecho Humano, es proclamar que podamos pensar y actuar en privado, es decir fuera de la vista de otros y la presencia de otros. “Es el derecho fundamental de la personalidad consistente en la facultad que tienen los individuos para no ser interferidos o molestados, por persona o entidad alguna, en el núcleo esencial de las actividades que legítimamente deciden mantener fuera del conocimiento público” (Villanueva, 2003, citado en Pfiffer, 2009: 19). La privacidad es un Derecho Humano universal, en primer lugar porque es inherente a todos tan sólo por su condición de ser humano, es por ello que La Declaración Universal de los Derechos Humanos de 1948 reconoce la existencia de este espacio privado y exige que no sea avasallado: CIB
“Art 12.- Nadie será objeto de injerencias arbitrarias en su vida privada, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”. [ CITATION Com48 \l 2058 ] Que un Estado tenga la función de protección del Derecho a la privacidad significa “proteger de cualquier invasión los reductos de vida personal o familiar que la persona desee mantener fuera del saber de terceros o de evitar intromisiones contra su propia voluntad (Abad Amorós, 2003).
La protección de datos personales es un Derecho que consiste en “ofrecer a los individuos los medios para controlar el uso ajeno de la información personal que les concierne”. (Cendejas, 2009: 50). En el caso mexicano, el Estado a través del IFAI como el órgano garante de los Derechos relativos a la protección de datos tiene la encomienda de proteger en términos prácticos la privacidad de las personas expresada en datos personales. Pero si Internet y el ciberespacio, por su lógica de uso son considerados un espacio público, fuera de toda regulación formal, existe una complicación sobre las medidas que se pudiesen tomar para proteger los datos personales, por ende la privacidad en el ciberespacio. En general nuestra legislación se orienta a proteger los datos personales en manos de particulares, por ejemplo obligar a que los bancos, hospitales, instituciones de crédito, tiendas y demás comercios, tengan especial cuidado en el manejo de los datos personales que recopilan, además las leyes obligan a las empresas a tener especial cuidado en el manejo y hacer posible la disposición de los datos por parte del titular en caso de que éste así lo requiera. CIB
Capítulo 7 Costo-beneficio Hola bi???????-_-
CIB
Capítulo 8 Alcances y limitaciones
8.1 El primer límite. ¿De dónde partimos? De un sector maduro, con prácticas, normas, marcos de control y sistemas de revisión bien establecidos, centrado casi exclusivamente en la información y los sistemas que soportan los procesos de gestión de las compañías con herramientas de colaboración, redes de comunicaciones internas, “externas” y de acceso a internet, con protocolos de comunicaciones unificados (sobre TCP/IP) Internacional e incluso con un esquema de protección de la información y las infraestructuras que ha permitido a las organizaciones ofrecer servicios internos centralizados, con transparencia, integridad, disponibilidad, confidencialidad y eficiencia.
CIB
En México se han creado dependencias como el Centro Nacional de Investigación y Seguridad (CISEN), que genera inteligencia, táctica y operatividad para preservar la estabilidad e integridad del gobierno, incluyendo la mitigación de riesgos cibernéticos. También se estableció el CERT-MX dentro de la Policía Federal, con funciones y atribuciones similares a los CERTs de otros países. Para complementar las capacidades de ciberseguridad nacional, la Secretaría de Defensa Nacional (SEDENA) está en proceso de crear un Centro de Operaciones del Ciberespacio. 8.2 Alcance en la sociedad De acuerdo con los datos reportados por la ENDUTIH 2017, la distribución de personas en el ciberespacio corresponde a un 49.2% de hombres y un 50.8% de mujeres. Se analizo que, para este estudio, se tuvo una mayor participación de individuos de 7 a 13
años
de
edad.
Cabe
destacar que es en este rango de
edad en el cual se comienza a desarrollar el pensamiento lógico y moral, lo que les permite de
CIB
las
pensar
antes
de
actuar
y
transformaciones de la realidad.
permanecer
conscientes
Fig 1. Rango de edades de participantes en la red. Datos otorgados por la SCT en 2019, por Estudio_Ciberseguridad.pdf (www.gob.mx), pág. 9/26.
Se muestra el porcentaje de los participantes, por sexo y edad, que respondieron que sí se conectan a una red pública2 de forma habitual, donde 6% de los participantes se conecta de forma ocasional; esta cifra, sumada con quienes respondieron que sí se conectan a redes públicas, representa más de un tercio de los participantes. Con esta información, se puede inferir que existe un exceso de confianza por parte de los usuarios al conectarse a cualquier red pública, sin considerar que a través de dicha red su información podría ser robada, ingresar sin autorización al equipo móvil o realizar alguna actividad ilícita. También a nivel nacional, los niños son los que con mayor frecuencia se conectan a redes públicas, seguidos de las mujeres adultas. Esta situación se repite en la mayoría de las entidades federativas y pone en evidencia la necesidad de concientizar a la población. Respecto a las conexiones a redes públicas, es tanta la necesidad de estar conectados que, en muchas ocasiones, los usuarios no se detienen a pensar sobre los lugares a los que se conectan y las consecuencias que esto puede tener. Ello se refleja en CIB
que una tercera parte de los participantes afirmó conectarse a redes públicas, ya sea de forma habitual u ocasional. Si bien, no todas estas redes son maliciosas, existe el riesgo de que los usuarios se conecten a puntos creados con la finalidad de esparcir códigos maliciosos o robar información. La penetración y uso de los servicios de telecomunicaciones y radiodifusión, incluyendo la banda ancha e Internet, durante los últimos años permite, como nunca antes, la circulación establecimiento
de
ingentes
volúmenes
de
información
y
el
de comunicaciones de manera más fácil (Hernández, 2018).
Eso, al mismo tiempo, incrementa exponencialmente la cantidad de incidentes que pueden afectar de manera negativa el uso de dicha información. En respuesta a esto, se han realizado diferentes colaboraciones internacionales
CIB
Capítulo 9 Impacto en el medio ambiente. En un mundo donde tantas operaciones físicas están automatizadas y controladas por tecnologías digitales, las consecuencias de los ataques cibernéticos se extienden mucho más allá del ámbito digital para incluir daños a la propiedad, lesiones corporales e incluso contaminación ambiental. Las empresas industriales que se ocupan de materiales peligrosos, como centrales eléctricas, refinerías, fábricas, instalaciones de tratamiento de agua o tuberías, dependen en gran medida de la tecnología automatizada para maximizar su eficiencia. Otros sectores utilizan la tecnología para controlar los sistemas HVAC31, la energía y los servicios públicos, lo que también pone en riesgo sus propiedades. Esta tecnología de automatización puede controlar, por ejemplo, el flujo de las tuberías, el nivel de agua o desechos retenidos en un depósito, o las compuertas que retienen y controlan la liberación de grandes cantidades de aguas residuales y otros materiales de proceso. Los piratas informáticos que quieran causar una catástrofe podrían secuestrar ese sistema y desatar contaminantes dañinos. En 2000, un pirata informático provocó que 800.000 litros de aguas residuales sin tratar inundaran las vías fluviales de Maroochy Shire, Australia. En 2009, un contratista de TI, descontento porque no fue contratado a tiempo completo, desactivó los sistemas de alarma de detección de fugas en tres plataformas petroleras en alta mar cerca de Long Beach, California. 31
Un sistema HVAC (heating, ventilation and air conditioning) es un sistema de climatización y ventilación.
CIB
“Los hackeos pueden provenir de cualquier lugar: un adolescente que busca entretenimiento, un trabajador descontento o criminales o terroristas más sofisticados, ciertamente hay grupos con motivaciones políticas e ideológicas para causar ese tipo de estragos". - William Bell, vicepresidente senior de medio ambiente de Liberty International Underwriters. Desafortunadamente, las grandes corporaciones industriales a veces abordan su exposición ambiental con cierta arrogancia. Confían en sus ingenieros para eliminar el riesgo mediante el diseño de sistemas herméticos, para hacer que un desastre sea casi imposible.
Es probable que se resuelva el daño a la propiedad, las lesiones corporales y la limpieza de cualquier contaminación en o que emane de una propiedad cubierta. El riesgo no es CIB
tanto la exposición cibernética sino la consecuencia del ataque. Las reclamaciones resultantes y la degradación del medio ambiente podrían ser graves, especialmente si el asegurado era un objetivo elegido debido a su posición única para tener un gran efecto en la población local y el medio ambiente.
La gente confía cada vez más en sus sistemas, los autómatas aumentan y el riesgo aumenta. Todos estamos enfocados en proteger los datos, pero las consecuencias de una violación cibernética pueden ser de mucho mayor alcance que los datos por sí solos.
CIB
Lista de referencias. Facultat d'Informàtica de Barcelona. (2009). Historia del internet. Obtenido de Retro informatica : https://www.fib.upc.edu/retro-informatica/links.html Honing, M. S. (2012). Practical Malware Analysis. Estados Unidos: Kindle. Infosecurity Mexico. (26 de Mayo de 2020). Ciberseguridad. Obtenido de Infosecurity Mexico: https://www.infosecuritymexico.com/es/ciberseguridad.html Kaspersky. (2020). Social engineering. Obtenido de Kaspersky: https://latam.kaspersky.com/resource-center/definitions/what-is-socialengineering Logique Digital Indonesia. (2017). A Brief Introduction to Ancient Malware: The Creeper Virus. Obtenido de Logique Digital Indonesia[Imagen]: https://www.logique.co.id/blog/en/2020/02/27/brief-introduction-ancientmalware-creeper-virus. Murfey, S. (noviembre de 1984). The history of cyber security. Obtenido de Sentinel One: https://www.sentinelone.com
De la Cuadra, F., Recuperado 27 Nov 2010, Virus Informaticos International Manager Tecnical Panda Software International Prieto Álvarez, 2005, Virus Informático, [en línea]. Universidad de Coruña, Recuperado el 24 de Febrero 2012, de http://demo.claroline.net/claroline/backends/download.php?url=L1Zpc nVzX0luZm9ybWF0aWNvcy5wZGY%3D&cidReset=true&cidReq=PR OTEGE1 Real Academia Española, Recuperado 27 Nov, 2020, Definición virus http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=virus Rojas Elisabeth, 2015 Tipos de virus informáticos y cómo actúan https://www.muycomputerpro.com/2015/02/17/tipos-virus-informatico Universidad de Barcelona. (2017). ¿Qué es ciberseguridad y de qué fases consta?. 2020, de OBS Business School Sitio web: https://obsbusiness.school/es/masters-yposgrados-en-direccion-general Von Neumann JL. Tutorial sobre virus informáticos. - nivel básico, [en línea]. Recuperado el 16 de febrero 2012 , en http://sapiens.ya.com/herminiapaissan/virus/historia.htm CIB
Ayerbe, A. I. & Tecnalia. (2017). La ciberseguridad de la industria 4.0: un medio para la continuidad del negocio 2018, de VISION EMPRESARIAL Sitio web: https://www.mincotur.gob.es/Publicaciones/Publicacionesperiodicas/EconomiaIndustrial/ RevistaEconomiaIndustrial/410/ANA%20I%20AYERBE.pdf Deloitte. (2020). Consideraciones de ciberseguridad en medio de una pandemia global. 1845, de @S-LATAM S.C. Sitio web: https://www2.deloitte.com/content/dam/Deloitte/ar/Documents/risk/arg-2020consideraciones-ciberseguridad-ante-pandemia-global.pdf Banco Interamericano de Desarrollo (2018). Factores de éxito y aprendizajes obtenidos de la formación de alianzas público-privadas. Disponible en: https://publications.iadb.org/es/factores-de-exito-y-aprendizajes-obtenidos-de-laformacion-de-alianzas-publico-privadas Catota, F. E., Morgan, M.G. y Sicker, D. C. (2019). Cybersecurity education in a developing nation: the Ecuadorian environment, Journal of Cybersecurity, Vol. 5, No. 1. Disponible en: https://doi.org/10.1093/cybsec/tyz001. Cybersecurity Ventures (2019). 2019 Official Annual Cybercrime Report. Disponible en: https://www.herjavecgroup.com/wp-content/uploads/2018/12/CV-HG-2019Official-Annual-Cybercrime-Report.pdf Deloitte (2019). Tech Trends 2019. Disponible en: https://www2.deloitte.com/content/dam/Deloitte/br/Documents/technology/DI_Te chTrends2019.pdf Deloitte (2018a). The jobs are here, but where are the people? Disponible en: https://www2.deloitte.com/us/en/pages/manufacturing/articles/future-ofmanufacturing-skills-gap-study.html Deloitte (2018b). Preparing tomorrow’s workforce for the Fourth Industrial Revolution. Disponible en: https://www2.deloitte.com/content/dam/Deloitte/global/Documents/About-Deloitte/gxpreparing-tomorrow-workforce-for-4IR.pdf. ENISA (2019). Cybersecurity Culture Guidelines: Behavioral Aspects of Cybersecurity. Disponible en: https://www.enisa.europa.eu/publications/cybersecurity-cultureguidelines-behavioural-aspects-of-cybersecurity Foro Económico Mundial (2015b). Deep Shift: technology tipping points and societal impact. Disponible en: http://www3.weforum.org/docs/WEF_GAC15_Technological_Tipping_Points_re port_2015.pdf Gleason, N. W. (Ed.). (2018). Higher education in the era of the fourth industrial revolution. Singapore: Palgrave Macmillan. CIB
Global Cyber Security Capacity Centre (2016). Cybersecurity Capacity Maturity Model for Nations (CMM) – Revised Edition. Disponible en: https://www.sbs.ox.ac.uk/cybersecurity-capacity/system/files/CMM %20revised%20edition_09022017_1.pdf Kelly, K. (2016). The inevitable: understanding the 12 technological forces that will shape your future. New York, NY: Penguin Books. Kouninef, B., Djelti, M. y Rerbal, S. (2007). Conception et réalisation d’une plate forme e-learning avec une migration au m-learning. Recuperado el 22 de junio de 2014, desde http://www.resatice.org/jour2007/communications/b-kouninef.pdf. Levy, Y. & Ramim, M. (2006). Securing E-Learning Systems: A Case of Insider Cyber Attacks and Novice IT Management in a Small University. Recuperado el 20 de junio de 2014, desde http://www.irma-international.org/viewtitle/3187/. Levy, Y. & Ramim, M. (2007). Who is really taking the e-exam? What can we do about it? Nova Southeastern University, Recuperado el 20 de junio de 2014, desde http://bit.ly/1vuf4mk. Levy, Y. & Ramim, M. (2009). Initial Development of a Learners’ Ratified Acceptance of Multibiometrics Intentions Model (RAMIM). Recuperado el 21 de junio de 2014, desde http://www.ijello.org/Volume5/IJELLOv5p379-397Levy672.pdf. Lewis, J. (2018). Economic Impact of Cybercrime – No Slowing Down. Disponible en: https://csis-prod.s3.amazonaws.com/s3fs-public/publication/economic-impactcybercrime. McAfee (2017). Hacking the Skills Shortage: A study of the international shortage in cybersecurity skills. Disponible en: https://www.mcafee.com/enterprise/enus/assets/reports/rp-hacking-skills-shortage.pdf McKinsey & Company (2018). Insider Threat: The human element of cyberrisk. Disponible en: https://www.mckinsey.com/business-functions/risk/ourinsights/insider-threat-the-human-element-of-cyberrisk. National Cybersecurity Alliance (2017). Securing our Future: Cybersecurity and the Millennial Workforce. Disponible en: https://www.raytheon.com/sites/default/files/201712/2017_cyber_report_rev1.pdf National Initiative for Cybersecurity Education (2017). National K-12 Cybersecurity Education Implementation Plan. Disponible en: https://www.nist.gov/sites/default/files/documents/2017/04/26/nice_k12_impleme ntation_plan.pdf National Institute of Standards and Technology (2017). NIST Special Publication 800181, National Initiative for Cybersecurity Education (NICE) Cybersecurity Workforce Framework. Disponible en: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-181.pdf Open Web Application Security Project (2016). Security by Design Principles. Disponible en: https://www.owasp.org/index.php/Security_by_Design_Principles CIB
Organización de Cooperación y Desarrollo Económicos (2012). The Protection of Children Online: Recommendations of the OECD Council. Disponible en: Organización de Cooperación y Desarrollo Económicos (2016). Startup América Latina 2016. Construyendo un futuro innovador. Disponible en: https://www.oecd.org/innovation/startup-america-latina-2016-9789264265141es.htm Organización de Cooperación y Desarrollo Económicos (2019). Measuring Innovation in Education 2019: What has changed in the classroom? Disponible en: Symantec (2019). Internet Security Threat Report. Disponible en: https://img03.en25.com/Web/Symantec/%7Bdfc1cc41-2049-4a71-8bd812141bea65fd%7D_ISTR_24_2019_en.pdf Unión Internacional de Telecomunicaciones (2019). Global Cybersecurity Index (GCI) 2018. Disponible en: https://www.itu.int/en/ITUD/Cybersecurity/Documents/draft-18-00706_Global-Cybersecurity-IndexEV5_print_2.pdf Wagner, D. A., et al. (2005). Monitoring and evaluation of ICT in education projects: a handbook for developing countries. Washington, D. C.: InfoDev. Abad, Amorós. (2011). Protección de datos personales. Cuadernos de derecho delas TIC. En Conferencia internacional sobre protección de datos personales. México: Davara Abogados S.C. Bobbio, Norberto. (1989). Liberalismo y democracia. (2da Ed). México: Fondo de cultura Económica. Cendeja, adamas, Becerro Ricardo. (2008-2009). “Internet llega a la constitución (el derecho de acceso a la información y los sistemas electrónicos)” en Salazar Ugarte, Pedro (coord.) El derecho de acceso a la información en la constitución mexicana: razones, significados y consecuencias. P.p. 31-89. IFAI-UNAM: México. Comision de los Derechos Humanos. (10 de Diciembre de 1948). Declaracion Universal de los Derechos Humanos. Obtenido de Universal Declaration of Human Rights: https://www.refworld.org.es/docid/47a080e32.html Consejo Nacional de Política Económica y Social, Departamento Nacional de Planeación. (2011). Ciberseguridad: infraestructura y presencia en el medio politico. República de Colombia: IFC. Constitución Política de los Estados Unidos Mexicanos (2011). Escalante Gonzalvo, Fernando. (2007) El derecho a la privacidad., Serie de cuádrenos de transparencia No.6. México: Instituto Federal de Acceso a la Información y Protección de Datos.
CIB
Garzón Valdés, Ernesto (2008) Lo íntimo, lo privado y lo público, Serie de cuádrenos de transparencia No.6. México: Instituto Federal de Acceso a la Información y Protección de Datos. IFAI (2009) “protección de datos personales en redes” Recuperado en septiembre de 2011, de http://www.eluniversal.com.mx/notas/643128.html. Pfeiffer, María Luisa. (2008). “Derecho a la privacidad. Protección de los datos sensibles”. En Revista Colombiana de Bioética, Enero-Junio, 11-36. Recuperado 2 marzo de 2012, de http://www.redalyc.org/articulo.oa?id=189217248002 Peschard, j. (2011). La Sociedad Red: una visión global. España,Madrid : Alianza. Real Academia Española (2001), Diccionario de la lengua española. 22. ª ed. Madrid: España De Pablo, E. (Octubre 2015). Ciberseguridad en entornos industriales. Marzo 2015, de @RUTILUS Sitio web: https://www.inf.uc3m.es/en/component/phocadownload/category/4-frontend? download=281:ciberseguridad-en-entornos-industriales Secretaria de Comunicaciones y Transporte. (2019). Estudio. Hábitos de los usuarios en ciberseguridad en méxico. 2019, de OEA, F&CO, KALANTAAN Sitio web: https://www.gob.mx/cms/uploads/attachment/file/444447/Estudio_Ciberseguridad.pdf
R&I Brand Studio. (2016). Cyber: The Overlooked Environmental Threat. 2020, de Risk & Insurance Sitio web: https://riskandinsurance.com/cyber-overlooked-environmentalthreat/ Burk, Kallberg. (2014). The Forgotten Threat: The Environmental Consequences of Industrial Cyber Attacks. 2020, de ResearchGate Sitio web: https://www.researchgate.net/publication/269466035_The_Forgotten_Threat_The_Envir onmental_Consequences_of_Industrial_Cyber_Attacks
CIB
Apéndice Lista de tablas Tabla 1. El título debe ser breve y descriptivo....................................................................3 Lista de figuras Figura 1. Aquí deberá colocarse una explicación dscriptiva de la figura como para darle título, será una frase breve pero descriptiva............................................................................4
CIB