JV23 PORTADA 5/10/09 13:17 P gina 1
Composici n
JV23 003 012.qxp:libro cátedra Isdefe.qxd
5/10/09
13:19
Página 3
Seguridad Nacional y Ciberdefensa
Oscar Pastor Acosta José Antonio Pérez Rodríguez Daniel Arnáiz de la Torre Pedro Taboso Ballesteros
JV23 003 012.qxp:libro cátedra Isdefe.qxd
5/10/09
13:21
Página 4
Primera edición: Octubre 2009
No está permitida la reproducción total o parcial de este libro, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico o por fotocopias.
Edita: Fundación Rogelio Segovia para el Desarrollo de las Telecomunicaciones Ciudad Universitaria, s/n 28040-Madrid Imprime: Icono Imagen Gráfica, S.A.
Diseño: Rocio Ortega Maquetación: Gemma Gracia. ISBN (13): 978-84-7402-364-0 ISBN (10): 84-7402-364-5 Depósito Legal: M-42215-2009
JV23 003 012.qxp:libro cátedra Isdefe.qxd
7/10/09
08:52
Página 5
Índice 1-. 2-. 3-. 4-.
5-.
Antecedentes Introducción Objeto y alcance Resumen ejecutivo 4.1-. Francia 4.2-. Estados Unidos 4.3-. Reino Unido 4.4-. Alemania 4.5-. España 4.6-. Noruega 4.7-. Unión Europea 4.8-. OTAN 4.9-. Iniciativas en materia de ciberejércitos 4.9.1-. China 4.9.2-. India 4.9.3-. Irán 4.9.4-. Pakistán 4.9.5-. Rusia Conclusiones
Anexo A 1-. Francia 1.1-. 1.2-. 1.3-. 1.4-.
Detalle de las Actividades de Ciberdefensa
13 19 25 27
39 45 46
Contexto Legislación, planes y estrategias Organización y responsabilidades Ciberdefensa 1.4.1-. “Defensa y Seguridad Nacional, el Libro Blanco 2008.
1.4.2-. Plan de Mejora de la Seguridad de los Sistemas de Información del Estado (2004-2007)
2-.
Estados Unidos 52 2.1-. Contexto 2.2-. Legislación, planes y estrategias 2.3-. Organización y responsabilidades 2.3.1-. Área Civil 2.3.2-. Área Militar 2.4-. Ciberdefensa 2.4.1-. Estrategia para la Seguridad del Territorio Nacional 2.4.2-. Plan de Protección de Infraestructuras Nacionales 2.4.3-. Estrategia Nacional para la Seguridad del Ciberespacio 2.4.4-. Estrategia de Defensa Nacional 2.4.5-. Capacidades en Ciberdefensa del Departamento de Defensa
2.5-. Financiación
JV23 003 012.qxp:libro cátedra Isdefe.qxd
18/9/09
13:07
Página 6
2.6-. Ciberseguridad en la Era Obama 2.6.1-. Durante la campaña electoral 2.6.2-. Acciones como Presidente 2.6.3-. Más datos 2.6.4-. Acciones planificadas 2.6.5-. El Pentágono 3-.
Reino Unido 3.1-. Contexto 78 3.2-. Legislación, planes y estrategias 3.3-. Organización y responsabilidades 3.4-. Ciberdefensa 3.4.1-. Estrategia Nacional de Seguridad (2008) 3.4.2-. Protección de Infraestructuras Nacionales 3.4.3-. Estrategia Nacional de Seguridad de la Información 3.4.4-. Programa Técnico de Seguridad de la Información (ATP) 3.4.5-. Manual contra el Cibercrimen (“The future of netcrime now”)
3.4.6-. Otras Iniciativas Civiles en Ciberdefensa 3.4.7-. Esfuerzos del Ministerio de Defensa 4-.
Alemania 4.1-. Contexto 4.2-. Legislación, planes y estrategias 4.3-. Organización y responsabilidades 4.4-. Ciberdefensa 4.4.1-. Protección de Infraestructuras Críticas 4.4.2-. Plan Nacional para la Protección de
89
Infraestructuras de Información
5-.
6-.
España 5.1-. 5.2-. 5.3-. 5.4-.
Contexto Legislación, planes y estrategias Organización y responsabilidades Ciberdefensa 5.4.1-. Estrategia de Seguridad Nacional 5.4.2-. Protección de Infraestructuras Críticas 5.4.3-. Esfuerzos en Ciberdefensa 5.4.4-. CCN 5.4.5-. Inteco 5.4.6-. CCD COE
Noruega 6.1-. Contexto 6.2-. Legislación, planes y estrategias 6.3-. Organización y responsabilidades 6.3.1-. Agencias Públicas
93
100
JV23 003 012.qxp:libro cátedra Isdefe.qxd
7/10/09
08:55
Página 7
6.3.2-. Agencias Público-Privadas 6.4-. Ciberdefensa 6.4.1-. Estrategia Nacional para la Seguridad de la Información 6.4.2-. Guía Nacional para Fortalecer la Seguridad de la Información 2007-2010
7-.
8-.
Unión Europea 7.1-. Contexto 7.2-. Legislación, planes y estrategias 7.3-. Organización y responsabilidades 7.4-. Ciberdefensa 7.4.1-. Protección de Infraestructuras Críticas 7.4.2-. Esfuerzos específicos en Ciberdefensa
106
OTAN 8.1-. 8.2-. 8.3-. 8.4-.
Contexto 119 Legislación, planes y estrategias Organización y responsabilidades Ciberdefensa 8.4.1-. Protección contra el Terrorismo y Otras Amenazas 8.4.2-. Protección de Infraestructuras Críticas 8.4.3-. Política de Ciberdefensa 8.5-. Financiación
9-.
Iniciativas en materia de ciberejércitos 9.1-. China 126 9.1.1-. Introducción 9.1.2-. Visión del país en Ciberguerra 9.1.3-. Conclusiones 9.2-. India 131 9.2.1-. Introducción 9.2.2-. Iniciativas en Capacidad de Ciberguerra 9.2.3-. Conclusiones 9.3-. Irán 134 9.3.1-. Introducción 9.3.2-. Evolución en capacidad para la Ciberguerra 9.3.3-. Conclusiones 9.4-. Pakistán 138 9.4.1-. Introducción 9.4.2-. Iniciativas de Pakistán en relación con Ciberguerra 9.4.3-. Conclusiones 9.5. Rusia 141 9.5.1-. Introducción 9.5.2-. Acciones llevadas a cabo por Rusia 9.5.3-. Conclusiones
JV23 003 012.qxp:libro cátedra Isdefe.qxd
18/9/09
13:07
Página 8
Anexo B Glosario de términos
147
Anexo C Noticias de prensa sobre ciberdefensa
151
Anexo D Documentación consultada 1-. Portales Web 2-. Documentos, informes y presentaciones
163
JV23 003 012.qxp:libro cátedra Isdefe.qxd
5/10/09
13:34
Página 9
ÍNDICE DE FIGURAS Figura 1 Relación entre el coste y el efecto en la disponibilidad [96] Figura 2 Nuevos riesgos y vulnerabilidades [96] Figura 3 Actores y Componentes de la Seguridad Nacional Figura 4 Estrategia para la Seguridad/Defensa Nacional Figura 5 Esquema Genérico del Sector Energético [97] Figura 6 Ciberdefensa como parte de la Seguridad Nacional Figura 7 Factores a considerar en la Estrategia de Ciberdefensa Figura 8 Ciberdefensa como parte de la Seguridad Nacional [97]
17 20 21 22 23 23 41 42
Anexo A: Figura 9 Estructura del Consejo de Defensa y Seguridad Nacional [76] Figura 10 Organigrama del DHS [ 1] Figura 11 Sistema de Respuesta de la Seguridad del Ciberespacio [89] Figura 12 Evolución del Presupuesto del DHS en los años 2004-2009 Figura 13 Medidas contra el cibercrimen [102] Figura 14 Estructura y organización en Alemania [107] Figura 15 Estructura del CCD COE de la OTAN [56] Figura 16 Estructura de ENISA [40] Figura 17 Estructura de Ciberdefensa de la OTAN
47 55 64 71 85 90 100 108 121
JV23 003 012.qxp:libro cátedra Isdefe.qxd
4/11/09
13:24
Página 10
JV23 003 012.qxp:libro cátedra Isdefe.qxd
10/11/09
12:53
Página 11
Prólogo
Cuanto mayor es el índice de desarrollo de una sociedad, mayor dependencia tiene de los sistemas de información y comunicaciones. Cualquier intrusión, manipulación, sabotaje o interrupción de dichos sistemas o de las redes de infraestructura que usan de soporte, puede afectar al funcionamiento de los mismos, y sus efectos pueden llegar a ser sufridos por millones de personas. En los conflictos tradicionales normales existen fronteras y límites, mientras que en el ciberespacio no. Para realizar un ciberataque no es necesario desplazarse, moverse o tener que pasar una frontera. Esta es una de las principales características de este tipo de fenómeno. El ciberespacio es un ambiente único, sin fronteras geográficas, anónimo, asimétrico y puede ser fácilmente clandestino. El grado de conocimiento que necesita un atacante para realizar una agresión a los sistemas de información ha decrecido a lo largo del tiempo debido al espectacular aumento de la calidad, cantidad y disponibilidad de herramientas ofensivas. Actualmente, es relativamente fácil encontrar en Internet multitud de herramientas de hacking que se intercambian en los diferentes foros dedicados a esta materia. Todo ello conforma un escenario de nuevos riesgos para el que es necesario que los distintos gobiernos desarrollen planes o estrategias, y se contemple la ciberdefensa como un riesgo al que es preciso hacer frente para la mejora de la seguridad nacional. La OTAN ha definido la ciberdefensa como "la aplicación de medidas de seguridad para proteger las infraestructuras de los sistemas de información y comunicaciones frente a los ciberataques" (MC0571 - NATO Cyber Defence Concept). La forma de defenderse de estos ataques es compleja, dado que influyen factores muy diversos. Uno de ellos es el hecho de que muchos de los objetivos susceptibles de ser atacados se encuentran en manos de empresas privadas, por lo que su seguridad depende en gran medida de las acciones que toman éstas para salvaguardar sus sistemas, debiendo asumir unos costes que en ocasiones no son asumidos y así se concreta el riesgo. Otro factor importante es la falta de conciencia en seguridad en algunas partes de la sociedad, lo que dificulta tomar medidas eficaces, medidas que, en todo caso, debería coordinar la Administración. La Ciberdefensa es, por tanto un ámbito de la Seguridad Nacional en el que los estados deberán tomar determinadas medidas, que deberán ejecutarse en coordinación con los sectores público y privado, ser compatibles con los dere-
JV23 003 012.qxp:libro cátedra Isdefe.qxd
6/11/09
13:05
Página 12
chos y libertades individuales, ser coordinadas con otras acciones tomadas para responder a otras modalidades de agresión, establecer sistemas de respuesta a los ciberataques y fomentar la cooperación internacional. En la presente monografía de la Cátedra ISDEFE de la Universidad Politécnica de Madrid, se han recogido las iniciativas de diversos países y organizaciones internacionales sobre políticas y estrategias para abordar la amenaza cibernética. Constituye un loable intento de recopilación de información y de referencias que sirve de punto de partida para comprender el concepto de ciberdefensa, y para valorar su alcance y su influencia en las sociedades occidentales. ISDEFE ha elaborado un excelente documento de trabajo en el que, en algo más de cien páginas, se revisa cómo seis de las naciones más poderosas del mundo y dos organizaciones internacionales han encajado el concepto de ciberdefensa en sus estrategias de seguridad nacional o en sus políticas. El estudio también abarca la situación de algunos países que pueden ser considerados como potenciales amenazas en materia de ciberataques. Con independencia de las conclusiones apuntadas en la monografía, el estudio apunta un conjunto de medidas que constituyen un excelente punto de partida para el necesario debate que, en el ámbito nacional, se debe afrontar. Estamos seguros de que el presente trabajo dejará satisfechas las expectativas, tanto de los lectores menos versados en la materia, que buscan un conocimiento genérico en su primera aproximación al concepto de ciberdefensa, como de los más experimentados, que dispondrán de una detallada recopilación de fuentes, lo que les permitirá profundizar en los nuevos retos de la seguridad nacional, consecuencia de la aparición de este nuevo riesgo. Un ciberespacio seguro es esencial para la seguridad nacional y, por tanto, el trabajo que presentamos es un tema de máximo interés en el que el Centro Nacional de Inteligencia ha puesto su atención y lo considera un ámbito de trabajo fundamental para la seguridad del siglo XXI. Finalmente, sólo nos queda agradecer y felicitar a ISDEFE y a la Universidad Politécnica de Madrid por su contribución, mediante esta publicación, a la divulgación de la cultura de inteligencia y seguridad, actividad que también forma parte de los cometidos del Centro Nacional de Inteligencia, todo ello en beneficio de la Seguridad de España y de los españoles. D. Félix Sanz Roldán Secretario de Estado-Director Centro Nacional de Inteligencia Centro Criptológico Nacional
JV23 013 018.qxp:libro cátedra Isdefe.qxd
18/9/09
13:15
Página 13
1-. Antecedentes
JV23 013 018.qxp:libro cátedra Isdefe.qxd
18/9/09
13:15
Página 14
Seguridad Nacional y Ciberdefensa
La “ciberguerra”, incluyendo ataques, explotación y defensa de las redes, no es un nuevo desafío para la seguridad nacional en EE.UU. La guerra cibernética ya hacía furor a finales de los años 90, pero se desvaneció desde el 11-S y con el terrorismo islámico. Ese interés de EE.UU. se debía a que concebía la guerra moderna cada vez más dependiente de ordenadores avanzados y a que ningún ejército de otro país dependía tanto de la era de la información como el de Estados Unidos. Actualmente, podemos destacar que en el Departamento de Defensa (Department of Defense), DoD, se utilizan más de 5 millones de PCs conectados a 100.000 redes, ubicadas en 1.500 sitios de 65 países de todo el mundo. Esto representa una gran fortaleza, pero a la vez es un punto débil innegable: la media anual de ataques sufridos por el Pentágono llega a los 80.000 intentos, siendo la mayoría de éstos procedentes de China. Pero Estados Unidos no es el único objetivo de China. De hecho, en los últimos meses, Francia, Alemania, y Reino Unido también han acusado a Pekín por (intentar) infiltrarse en las redes de ordenadores diplomáticos o del estamento de Defensa. Por todo ello, Peter Brookes (Ex Vicesecretario Adjunto de la Secretaría de Defensa de Estados Unidos y asesor de Bush) plasmó en su artículo “Countering the art of information warfare” publicado el 2 de octubre de 2007 en Jane’s Defence Weekly, la necesidad de considerar la “ciberguerra” 1 como una amenaza actual, y Graham Wright, Director de Operaciones de Información y Objetivos (Director of Targeting & Information Operations) del Ministerio de Defensa del Reino Unido, llega incluso más allá, sugiriendo una perspectiva estratégica de la ciberguerra, en la que se presenta la necesidad de implementar una Ciberfuerza como cuarto Ejército. El momento de prestar atención a la amenaza cibernética es ahora. Además, ésta atrae a los Gobiernos y a diferentes actores, incluyendo a los terroristas, porque es de bajo coste, puede ser muy eficaz y permite realizar acciones de forma anónima. Según el informe de Gabriel Weiman del United States Institute of Peace en marzo de 2004, “virtualmente todo grupo terrorista ha establecido su presencia en Internet”, porque las posibilidades que ofrece son diversas: 1-. Por un lado permite un medio de divulgación amplio y económico. Los públicos a los que pretenden llegar usando Internet son muy distintos: • En primer lugar, está la opinión pública internacional, a la que ofrecen su mensaje simultáneamente en los principales idiomas del planeta (inglés, castellano, alemán, francés, etc.). • También buscan dirigirse a los que les ayudan, y sobre todo a los 1 A lo largo del presente documento se emplearán diferentes términos para refe-
renciar los ataques informáticos a los sistemas de información empleando el “ciberespacio”: ciberterrorismo, ciberguerra, ciberataques, etc. 14
JV23 013 018.qxp:libro cátedra Isdefe.qxd
7/10/09
09:05
Página 15
Antecedentes
que pueden ayudarlos en un despliegue de ventas (camisetas, bolsas, banderas, vídeo, etc.), para aumentar su base de simpatizantes. • En último lugar, Weiman identifica a un tercer público que interesa a los terroristas: sus enemigos. Ya que uno de sus objetivos es causar miedo, los terroristas incluyen no sólo a los gobiernos sino también a los ciudadanos, con el objetivo de desmoralizarlos, amedrentarlos y presionarlos para cambiar su conducta. No se puede separar el ciberterrorismo de la guerra psicológica. Uno de los mejores ejemplos fue la publicación en Internet de los asesinatos de civiles occidentales en la guerra de Irak. Como ejemplo a nivel nacional, podemos citar que en octubre de 2007 la Guardia Civil desarticuló, en la provincia de Burgos, una red de presuntos islamistas que, desde Internet, se dedicaban a adoctrinar para la Yihad en escenarios internacionales. 2-. Otra posibilidad que ofrece Internet es lo que se conoce como minería de datos, es decir, la capacidad de obtener información sobre objetivos sin necesidad de romper ningún sistema. Por ejemplo, Google Earth permite a cualquier persona con una conexión normal obtener fotos de satélite de las principales ciudades del mundo y, en unos pocos segundos, obtener las coordenadas exactas de instalaciones químicas o de reactores nucleares. Donald Rumsfeld, Secretario de Defensa de los Estados Unidos, llegó a cifrar en el 80% la información que los terroristas podían obtener de Internet sobre sus objetivos. 3-. Otro uso son las comunicaciones seguras entre los terroristas, empleando incluso programas gratuitos. Son un verdadero quebradero de cabeza para las fuerzas de seguridad, pues permiten conspirar a los terroristas sin necesidad de reunirse para ello. Pueden organizar una reunión virtual mientras están esparcidos por el mundo. Poco después del 11-S, el FBI reconoció que el terrorista más buscado del mundo utilizaba la esteganografía (ocultación de mensajes en archivos de audio o vídeo) para ponerse en contacto con miembros de su Red. 4-. Por último, pero no menos importante, es que Internet se ha convertido en una nueva forma de financiación para los terroristas, a través del fraude electrónico: estafa nigeriana o el phishing puro y duro son ejemplos de ello. Timoty Thomas, analista de la Armada de los Estados Unidos, ya documentó hace años cómo fuerzas antiterroristas francesas concluyeron que muchos intentos de organización de atentados islamistas estaban financiados con fraude de tarjetas de crédito. Un ejemplo claro de lo comentado es el portal http://www.aqsatube. com/, creado por Hamás para sus vídeos. La temática de los clips que se publican son en su mayoría "producciones audiovisuales islámicas y de la Yihad", vídeos en los que se glorifica la guerra santa islámica o se mues15
JV23 013 018.qxp:libro cátedra Isdefe.qxd
18/9/09
13:15
Página 16
Seguridad Nacional y Ciberdefensa
tran telenovelas: aparecen entrevistas a amigos del egipcio Mohamed Atta, autor de los atentados del 11-S, o de Ayman al Zawahiri, "número dos" de Al Qaeda; también se pueden encontrar vídeos de otras facciones palestinas como Al-Fatah, de los niños de Al-Aqsa (guiados por la ideología de Hamás), del Frente Popular para la Liberación de Palestina (FPLP), y del Frente Democrático para la Liberación de Palestina (FDLP), entre otras. Según publicaba el diario “20minutos.es” el 17 de octubre de 2008, hasta el martes día 14, AqsaTube también vendía espacios publicitarios a compañías comerciales de todo el mundo a través de un servidor comercial de Google, que de forma automática colocaba anuncios según el contenido de la página. Otro potencial uso del ciberespacio es el espionaje industrial. Para los ciberespías chinos es una prioridad, porque le permite a Pekín recortar gastos y tiempo en el desarrollo de una industria de defensa y de calidad mundial. En diciembre de 2007 el periódico The Times informaba que atacantes supuestamente chinos habían espiado con troyanos a RollsRoyce y la multinacional Shell. La relación entre gobiernos y empresas en el espionaje industrial a través de Internet tampoco es nueva. En 2001, el eurodiputado alemán Gerhard Schmid denunciaba que Estados Unidos usaba el sistema ECHELON (y el CARNIVORE) para interceptar las comunicaciones de empresas europeas en favor de las americanas. Otro ejemplo es el caso que inspiró el libro “El huevo del cuco”, sucedió en los años ochenta y se considera el primero conocido de ciberespionaje: el KGB contrató a personas alemanas para robar programas de la Digital Equipment Corporation. A nivel nacional, la empresa Recovery Labs afirma que en 2007 el 20% de sus clientes sufrieron casos de ciberespionaje, un 18% más que el año anterior. La Unión Europea tampoco es ajena a todo esto. El objetivo de una decisión marco, adoptada en 2005, es reforzar la cooperación judicial entre los Estados miembros, especialmente a la hora de denunciar un acceso no autorizado a sus sistemas informáticos o casos de interferencias ilegales o de interferencia o apropiación ilegal de datos. Uno de los más importantes incidentes de cierta envergadura sucedió en mayo de 2007 cuando Estonia fue objeto de ataques informáticos masivos. Fueron tan graves que tuvo que intervenir la OTAN enviando expertos a este país. Se puede considerar como el primer ataque a una nación. Posteriormente, se han registrado incidentes similares en otros países; así, el conflicto armado entre Georgia y Rusia, en agosto de 2008, fue acompañado de ciberataques sobre Georgia orientados a afectar al funcionamiento de algunas infraestructuras críticas del país. Este hecho supuso un hito nuevo en la ejecución de acciones militares ya que fue la primera vez que una invasión terrestre fue coordinada con una acción ciberofensiva on-line. A pesar de que en los medios se transmitió la imagen de que los ciberataques habían surgido de forma espontánea como un levantamiento 16
JV23 013 018.qxp:libro cátedra Isdefe.qxd
18/9/09
13:15
Página 17
Antecedentes
popular, la realidad es que la magnitud de la ofensiva, el nivel de coordinación y la sofisticación fueron demasiado grandes, lo que hace dudar de que fueran llevados a cabo por hackers independientes.
-El último ciberataque de cierta magnitud registrado Considerando que un ataque informático puede infectar con virus, provocar caídas de los sistemas, corromper datos, recoger inteligencia y diseminar información falsa, interfiriendo de manera efectiva en el mando y control, las comunicaciones, la inteligencia, la navegación, la logística y las operaciones, no es de extrañar, que ese poder ascendente que es China se tome en serio la “ciberguerra” y esté desarrollando armas, incluyendo el llamado Shashou jian (incapacitar de un golpe) que le permitirá equilibrar la superioridad militar de Estados Unidos atacando sus “puntos débiles”. Para cualquier país, un “Pearl Harbor digital” no es en absoluto una certeza pero, por otro lado, nadie creía que unos terroristas estrellarían aviones contra edificios.
Figura 1. Relación entre el coste y el efecto en la disponibilidad. Fuente: Documento consultado nº [96].
17
JV23 013 018.qxp:libro cátedra Isdefe.qxd
18/9/09
13:15
Página 18
JV23 019 023.qxp:libro cátedra Isdefe.qxd
18/9/09
13:25
Página 19
2-. Introducción
JV23 019 023.qxp:libro cátedra Isdefe.qxd
18/9/09
13:25
Página 20
Seguridad Nacional y Ciberdefensa
Durante los últimos años, las naciones se han visto obligadas a actualizar los conceptos de Seguridad y Defensa debido a las diversas razones que han producido un incremento del Riesgo2: • La diversificación de actores (o activos que son potenciales objetivos) dentro de la Seguridad y la Defensa: o Organizaciones públicas, tanto civiles como militares. o Organizaciones privadas. o Ciudadanos. • La diversificación y el aumento de las amenazas: los terroristas y las organizaciones criminales, las naciones hostiles, el personal descontento, las catástrofes naturales, o el simple ciudadano que persigue salir en los medios de comunicación.
Figura 2. Nuevos riesgos y vulnerabilidades. Fuente: Documento consultado nº [96].
• El desarrollo y la implantación de las Tecnologías de la Información y las Comunicaciones (TIC) en todos los sectores, tanto públicos como privados, lo que aumenta su dependencia de las TIC y por tanto el grado de vulnerabilidad con respecto a las TIC. Otro aspecto 2 Riesgo: estimación del grado de exposición a que una amenaza se materialice, a través de las vulnerabilidades, sobre uno o más activos causando daños o perjuicios sobre los mismos. 20
JV23 019 023.qxp:libro cátedra Isdefe.qxd
18/9/09
13:25
Página 21
Introducción
relevante de estas últimas es su aspecto facilitador, lo que permite a las potenciales amenazas traspasar las fronteras nacionales y continentales y actuar a veces de forma anónima.
Figura 3. Actores y componentes de la Seguridad Nacional.
Esta nueva definición de Seguridad y Defensa, a la que deben contribuir los diversos actores que se pueden ver afectados, es decir, las organizaciones públicas, las organizaciones privadas y los ciudadanos, se basa en tres pilares: • La protección del Territorio. • La protección de las Infraestructuras Críticas. • La protección de los Ciudadanos. Para implantar esta nueva definición, muchas de las naciones han optado por el desarrollo de una Estrategia o Plan Nacional de Seguridad que abarca los tres pilares citados previamente. Posteriormente, esta Estrategia Nacional la descomponen en planes o estrategias de más bajo nivel: • Planes y/o estrategias de Protección Civil • Planes y/o estrategias de Protección del Territorio (a nivel interno y externo) • Planes y o estrategias de Protección de Infraestructuras y Bienes Críticos. 21
JV23 019 023.qxp:libro cátedra Isdefe.qxd
18/9/09
13:25
Página 22
Seguridad Nacional y Ciberdefensa
Figura 4. Estrategia para la Seguridad Nacional.
Una vez mostrado este escenario cabe preguntarse ¿cómo encajan las naciones dentro de este planteamiento la denominada Ciberdefensa o Ciberseguridad3? Como hemos comentado con anterioridad, las TIC se han convertido en un conjunto de herramientas de progreso utilizadas en todos los ámbitos y sectores (ej. TIC del Sector Energético para el control de la Producción y Gestión Interna de las compañías, TIC de los Ministerios de Defensa para la gestión de la Información, etc.) y ha aumentado la dependencia que actualmente tiene de ellas el mundo desarrollado. Incluso se han convertido en un arma que puede ser utilizada contra las citadas organizaciones (ej. Uso de las TIC para cometer fraude, para anular o destruir los sistemas informáticos de otras organizaciones, etc., como puede observarse en las noticias de prensa incluidas en el Anexo C). La siguiente figura ilustra el esquema genérico del sector energético, en el que se puede ver su dependencia de las TIC. 3 A lo largo del estudio se utilizarán ambos términos de forma indistinta. 22
JV23 019 023.qxp:libro cátedra Isdefe.qxd
18/9/09
13:25
Página 23
Introducción
Figura 5. Esquema genérico del Sector Energético. Fuente: Documento consultado nº [97].
Por lo tanto, partiendo de esta premisa no es de extrañar que los distintos gobiernos hayan desarrollado o estén desarrollando también, dentro de las estrategias/planes citados con anterioridad o como planes específicos, aquellos relacionados con la CIBERDEFENSA como parte esencial de los esfuerzos realizados para la mejora de la Seguridad Nacional a través de la protección de las propias TIC (ver siguiente figura).
Figura 6. Ciberdefensa como parte de la Seguridad Nacional. 23
JV23 019 023.qxp:libro cátedra Isdefe.qxd
18/9/09
13:25
Página 24
JV23 025 026.qxp:libro cátedra Isdefe.qxd
18/9/09
13:26
Página 25
3-. Objeto y alcance
JV23 025 026.qxp:libro cátedra Isdefe.qxd
18/9/09
13:26
Página 26
Seguridad Nacional y Ciberdefensa
A lo largo del presente informe, se pretende esbozar la situación actual de la Seguridad Nacional desde su vertiente de las TIC como medio de protección y ataque, la denominada comúnmente como Ciberdefensa. El informe trata de reflejar para cada uno de los países y organizaciones incluidos en el mismo el marco o contexto regulador, las responsabilidades, los planes y estrategias definidos y la financiación asignada para Ciberdefensa. En el estudio se analizarán tanto las iniciativas específicas en el sector de Defensa, como a nivel Civil. El presente documento incluye información sobre los países y organizaciones que se enumeran a continuación: • • • • • • • •
Francia Estados Unidos de América Reino Unido Alemania España Noruega Unión Europea OTAN
Los principales criterios elegidos a la hora de seleccionar los países del estudio han sido: • • •
Su relevancia para España. Su importancia a nivel mundial. Las posibilidades de acceso a la información relacionada con los aspectos abordados en el documento.
Por último, se ha incluido una evaluación de la situación de algunos de los principales países que pueden ser considerados como potenciales amenazas en materia de ciberguerra. Para dicho análisis se ha utilizado sólo información pública, sin ningún nivel de clasificación. El análisis pretende reflejar la movilización de diferentes países ante la aparición de un nuevo campo de batalla. El estudio se ha realizado sobre los siguientes países: • • • • •
26
China India Irán Pakistán Rusia
JV23 027 028.qxp:libro cátedra Isdefe.qxd
18/9/09
13:29
Página 27
4-. Resumen Ejecutivo
JV23 027 038.qxp:libro cátedra Isdefe.qxd
5/10/09
14:26
Página 28
Seguridad Nacional y Ciberdefensa
4.1. Francia Durante las últimas décadas, Francia ha desarrollado una serie de Libros Blancos sobre la Seguridad y Defensa Nacional en los que se resumía la estrategia que ha seguido en este campo. La última actualización ha sido durante el año 2008, y en ella se referencia la necesidad de protección que tienen las Infraestructuras Críticas del país y se hace eco de la amenaza que supone la posibilidad de Ciberataques para este tipo de infraestructuras. El Libro Blanco del 2008 presenta cinco funciones estratégicas, que las Fuerzas de Defensa y Seguridad de Francia deben dominar y que son: el conocimiento y la previsión, la prevención, la disuasión, la protección, y la respuesta. En tres de ellas, parte de las acciones a llevar a cabo están relacionadas con la Ciberdefensa y son: • El conocimiento y la previsión En esta función, la estrategia aboga por la mejora de las capacidades técnicas de las agencias de inteligencia, al mismo ritmo de desarrollo que las TIC. • La prevención En esta función, la estrategia determina que se debe adquirir una capacidad de defensa informática activa, en profundidad, combinando la protección intrínseca de los sistemas, la vigilancia permanente de redes sensibles y la respuesta rápida en caso de ataque. • La respuesta La estrategia plantea un nuevo concepto, que encaja plenamente dentro de lo que son actividades propias de Ciberdefensa, denominado “Lucha Informática Ofensiva” (LIO) y que parte del principio que para saber defenderse, es necesario también saber atacar. Para poder lograr esta capacidad, el gobierno debe invertir en los siguientes ejes principales: o Definición, por el Estado Mayor, de un marco de uso que cubra específicamente el conjunto de acciones relevantes de la lucha informática; o El desarrollo de herramientas especializadas (laboratorios técnico-operativos, redes de ataque, etc.); o La formulación de una doctrina de empleo de las capacidades de LIO (planificación, realización y evaluación de las operaciones); o Puesta en marcha de una formación adaptada, y regularmente actualizada, para personal identificado y recogido, bajo una lógica de negocio, dentro de células de especialistas. El Libro Blanco del 2008 ha continuado los esfuerzos realizados previamente, relacionados con la Ciberdefensa, que ya se especificaban en 28
JV23 027 028.qxp:libro cátedra Isdefe.qxd
18/9/09
13:29
Página 29
Resumen Ejecutivo
el “Plan de Mejora de la Seguridad de los Sistemas de información del Estado”, que cubría el plazo existente entre el año 2004 y el 2007. Este plan proponía 4 objetivos (con una serie de medidas para lograrlos): A. Asegurar los medios de transmisión de las altas autoridades; B. Asegurar los sistemas de información de las administraciones; D. Establecer las capacidades operativas de respuesta a los ataques informáticos previstos en los planes; E. Incluir la política francesa de seguridad de los sistemas de información, en el marco de la política francesa de seguridad dentro de la Unión Europea.
4.2. Estados Unidos A raíz de los ataques del 11 de septiembre de 2001, Estados Unidos cambió su estrategia de Seguridad Nacional focalizándola en los siguientes pilares: • El establecimiento y reordenación de las Responsabilidades relativas a la Seguridad Nacional, con la creación del Ministerio de Seguridad del Territorio Nacional (“Department of Homeland Security, DHS”), entre las cuales se encuentran también las relacionadas con la Ciberdefensa. • El desarrollo de legislación relativa a la Seguridad Nacional y a la Ciberdefensa, entre la que destaca: o
Aquella relacionada con la Protección de Infraestructuras Críticas: La Ley sobre Información de Infraestructuras Críticas (“Critical Infrastructure Information (CII) Act of 2002”), en la que se especifica qué tipo de información es clasificada como Información de Infraestructuras Críticas. La Directiva de Identificación, Priorización y Protección de Infraestructuras Críticas (“Critical Infrastructure Identification, Priorization, and Protection”, HSPD-7), de diciembre de 2003. La Regla Final del Programa de Protección de Información de Infraestructuras Críticas (“PCII Program Final Rule”), de septiembre de 2006, para el desarrollo de procedimientos de protección de la información de infraestructuras críticas.
̩
̩
o
La Directiva sobre la Iniciativa de Ciberseguridad Nacional. (“National Cyber Security Initiative”, HSPD-23), de enero de 2008. 29
JV23 027 028.qxp:libro cátedra Isdefe.qxd
18/9/09
13:29
Página 30
Seguridad Nacional y Ciberdefensa
• El desarrollo de Planes y Estrategias relativas a la Seguridad Nacional como son: o La Estrategia para la Seguridad del Territorio Nacional (“National Strategy for Homeland Security”) o La Estrategia Nacional para la Seguridad del Ciberespacio (“National Strategy to Secure Cyberspace”), que forma parte de la estrategia anterior. o La ejecución de Ejercicios periódicos de Ciberseguridad (Cyber Storm I y Cyber Storm II) o La ejecución de Seminarios periódicos sobre Concienciación en la Ciberseguridad o El Plan Nacional de Protección de Infraestructuras (“National Infrastructure Protection Plan”, NIPP) Del conjunto de estrategias, la “National Strategy to Secure Cyberspace” es la que directamente ha sido desarrollada en el ámbito de la Ciberdefensa, y fija cinco prioridades nacionales en esta materia (así como la forma de alcanzarlas): • Prioridad I: Sistema de Respuesta de la Seguridad del Ciberespacio Nacional; • Prioridad II: Programa de Reducción de las Amenazas y Vulnerabilidades para la Seguridad del Ciberespacio Nacional; • Prioridad III: Programa de Formación y Concienciación de la Seguridad del Ciberespacio Nacional; • Prioridad IV: Asegurar el Ciberespacio Gubernamental; • Prioridad V: Cooperación entre la Seguridad Nacional y la Seguridad del Ciberespacio Internacional. Por otro lado, el conjunto de esfuerzos realizados a nivel civil por el DHS y otros organismos, se ve complementado con el desarrollo de las capacidades de Ciberdefensa llevado a cabo por el Departamento de Defensa (DoD), que incluye la Ciberdefensa o Ciberguerra dentro del concepto más amplio de “Guerra de la Información”, que en la actualidad denomina “Operaciones de Información” (“Information Operations, IO”). Dentro de las IO, la capacidad que podríamos denominar tradicionalmente como “Ciberdefensa” la denominan “Operaciones de Redes de Ordenadores” e incluye la posibilidad y habilidad de: A.
Atacar e interrumpir o alterar las redes de ordenadores del enemigo. B. Defender los sistemas de información militar propios. C. Explotar las redes de ordenadores del enemigo mediante la recolección de información de inteligencia, normalmente a través de código o aplicaciones informáticas (ej. Troyanos). 30
JV23 027 028.qxp:libro cátedra Isdefe.qxd
18/9/09
13:29
Página 31
Resumen Ejecutivo
Estas capacidades de las Operaciones de Redes de Ordenadores, las desarrolla el DoD mediante la implementación de tres mecanismos: • Defensa de Redes de Ordenadores (DRO) La DRO se define como las medidas defensivas para proteger la información, los ordenadores y las redes, de las alteraciones, interrupciones o destrucciones. • Explotación de Redes de Ordenadores (ERO) La ERO es el área de las IO que todavía no ha sido claramente definida dentro del DoD. Anteriormente al desarrollo de una crisis, el DoD parece preparar la batalla a través de la inteligencia, vigilancia, reconocimiento y actividades de planificación. • Ataques de Redes de Ordenadores (ARO) Los ARO se definen como los mecanismos que pretenden interrumpir, alterar o destruir la información que reside en los ordenadores y en las redes de ordenadores de los enemigos. La llegada de Barack Obama a la presidencia del país ha supuesto un aumento en la concienciación de la amenaza que supone el mundo cibernético para la seguridad nacional. Ya durante la campaña electoral el entonces candidato prometía tomar medidas que reforzasen la ciberseguridad del país. Situando la importancia de este campo a la misma altura que, por ejemplo, la seguridad nuclear. Durante la misma campaña, Obama fue víctima de diversos ataques llevados a cabo por hackers en los que se tuvo acceso a información de la campaña como los planes de viaje. Una de las primeras medidas tomadas a cabo ya en la presidencia, fue encargar una revisión de 60 días de las políticas, directivas y actuaciones que se estaban llevando a cabo y definir una estrategia para reforzar la seguridad y ampliar las capacidades ofensivas y defensivas en el ámbito del ciberespacio. Como consecuencia de este informe, se ha propuesto, entre otras iniciativas, la creación de un representante en la Casa Blanca responsable de este tipo de estrategias y la creación de un cibercomando militar que esté preparado para actuar en la nueva era de las ciberguerras.
4.3. Reino Unido A diferencia de Estados Unidos, los ataques terroristas del 7 de julio de 2005 no supusieron un cambio radical en la política de Seguridad Nacional de Reino Unido, aunque sí tuvieron un efecto catalizador. En la actualidad, se puede decir que la base para todos los esfuerzos realizados es la Estrategia Nacional de Seguridad de Reino Unido (“The National Security Strategy of the United Kingdom”) del año 2008. En ella, se 31
JV23 027 028.qxp:libro cátedra Isdefe.qxd
18/9/09
13:29
Página 32
Seguridad Nacional y Ciberdefensa
incluye como aspecto prioritario la Protección de las infraestructuras Críticas del país, y se determina que Internet es parte de estas infraestructuras, y que puede ser tanto un objetivo, como un medio para terroristas, criminales y naciones hostiles. Para lograr los objetivos marcados en la estrategia, relativos a Ciberdefensa, el gobierno ha desarrollado las siguientes acciones: • Creación del Centro para la Protección de las Infraestructuras Nacionales (Centre for the Protection of National Infrastructure, CPNI) como resultado de la fusión de otros dos Centros: o Uno de ellos encargado de aconsejar e informar sobre seguridad en redes y otros asuntos de seguridad de la información; o Otro en materia de seguridad de las instalaciones y del personal. Con el asesoramiento del CPNI, se protege la seguridad de la nación reduciendo las vulnerabilidades de las infraestructuras. • Desarrollando una Estrategia Nacional de Seguridad de la Información e implementándola, en parte, mediante el Programa Técnico de Seguridad de la Información y la Lucha contra el Cibercrimen. Por otro lado, al igual que en el caso norteamericano, los esfuerzos a nivel civil se están viendo complementados por aquellos que el Ministerio de Defensa (MoD) está realizando a nivel de Ciberdefensa. Entre estos, destaca la prioridad de adquisición de ciertos medios tecnológicos para el nuevo campo de batalla, “el ciberespacio” como son: • Dentro de la recolección de información (datos de fuentes reales y entrega de estos datos para labores de inteligencia) destaca la Ciber-recolección, determinando como tecnologías prioritarias aquellas para realizar: o Representación de diagramas de redes (“network mapping”). o Monitorización de tráfico y sistemas. o Análisis de vulnerabilidades. o Análisis e integración de eventos de seguridad. o Fusión de información. • Dentro de la seguridad de la información de las TIC, el MoD utiliza, al igual que el DoD en EE.UU., el concepto de la “Defensa de Redes de Ordenadores” en donde incluye: o Sistemas de Detección de Intrusos. o Sensores. o Protección de Intrusiones. o Análisis e Integración de Eventos de Seguridad. o Reacción y Respuesta. o Protección contra Virus, Gusanos y Malware. o Gestión de Parches de Seguridad. o Prevención de Denegaciones de Servicio. 32
JV23 027 028.qxp:libro cátedra Isdefe.qxd
18/9/09
13:29
Página 33
Resumen Ejecutivo
4.4. Alemania Aunque Alemania no haya sufrido durante los últimos años ningún ataque terrorista de la gravedad de los cometidos en otros países como Estados Unidos, España o Reino Unido, su condición de importante potencia a nivel mundial hace que, durante los últimos años, el Gobierno haya trabajado en la mejora de la seguridad de su país. Del conjunto de esfuerzos, a nivel de Ciberdefensa, los más destacados son los relacionados con la Protección de Infraestructuras Críticas y más concretamente las de Información, mediante el Plan Nacional para la Protección de Infraestructuras de Información (NPIIP). El gobierno alemán es consciente de la importancia de estas infraestructuras, basta con extraer tres párrafos del epígrafe introductorio del citado Plan, para determinar su nivel de relevancia: “Hoy en día, como las carreteras, el agua, o el suministro eléctrico, las infraestructuras de la información son parte de la infraestructura nacional, sin la cual la vida pública y privada se detendría” “Debido a que la sociedad actual depende ampliamente de las tecnologías de la información (TI), esto conlleva la irrupción de nuevas amenazas desconocidas en el pasado. Debido al carácter global de las redes, los incidentes de seguridad de las TI que les afecten pueden ocasionar interrupciones o fallos permanentes en la infraestructura de información del país”. “Hoy en día la seguridad interna del país es inseparable de la seguridad de las infraestructuras de información críticas; su protección es una prioridad clave en la política de seguridad nacional. Por esta razón se ha desarrollado el Plan Nacional para la Protección de Infraestructuras de Información. Su desarrollo ayudará a fortalecer la defensa de las infraestructuras de información de Alemania frente a las amenazas globales”. En el NPIIP se han establecido 3 objetivos estratégicos: A. B. C.
Prevención: proteger las infraestructuras de información de forma adecuada. Preparación: responder de forma efectiva a los incidentes de seguridad de las TI. Sostenibilidad: mejorar las competencias de Alemania en las TI y desarrollar estándares internacionales.
4.5. España A raíz de los atentados de Madrid, en marzo de 2004, la Comisión Europea adoptó la Comunicación sobre protección de las infraestructuras críticas sobre la que España, en mayo de 2007, aprobó el Plan 33
JV23 027 028.qxp:libro cátedra Isdefe.qxd
18/9/09
13:29
Página 34
Seguridad Nacional y Ciberdefensa
Nacional de Protección de las Infraestructuras Críticas y creó posteriormente el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). En cuanto a los esfuerzos realizados por el país, específicamente en Ciberdefensa, los más destacados son la labor realizada por el CCN para incrementar la Seguridad de la Información en la Administración pública, y la participación del Ministerio de Defensa como miembro del Centro de Excelencia de Ciberdefensa Cooperativa (CCD COE) de la OTAN, ubicado en Estonia. Finalmente, hay que notar que España es uno de los pocos países de la UE que a finales de 2008 todavía no habían informado a la misma sobre el grado de aplicación de la normativa comunitaria, aprobada en el año 2005, sobre ataques contra los sistemas de información.
4.6. Noruega Desde principios del año 2000, en Noruega llevaron a cabo el ejercicio de identificar las vulnerabilidades existentes dentro del país para su sociedad. A partir de este trabajo, llegaron a la conclusión que tanto las Infraestructuras Críticas, como las TIC en general, eran dos focos específicos que suponían una amenaza para su población. Fruto de estas conclusiones, en el país se desarrollaron las siguientes estrategias relativas a la Ciberdefensa: • La Estrategia Nacional para la Seguridad de la Información (“National Strategy for Information Security”) del año 2003. • Las “Guías Nacionales para Fortalecer la Seguridad de la Información 2007-2010” (“National Guidelines to Strengthen Information Security 2007-2010”). Después del primer trabajo realizado a raíz de la Estrategia Nacional, durante el periodo entre el 2003 y el 2006, el país ha acentuado sus esfuerzos y ha fijado, en las Guías Nacionales, los siguientes objetivos para mejorar la seguridad: A.
Robustecer y asegurar las infraestructuras críticas y dar soporte a los sistemas que prestan funciones sociales críticas. B. Una sólida cultura de seguridad en el desarrollo y el uso de sistemas de información y en el contexto del intercambio de datos electrónicos. C. Altos niveles de competencia y enfoque en la investigación en seguridad.
34
JV23 027 028.qxp:libro cátedra Isdefe.qxd
18/9/09
13:29
Página 35
Resumen Ejecutivo
4.7. Unión Europea Dentro de la UE se han realizado diversos esfuerzos relacionados con la Ciberdefensa: • El primero de ellos focalizado en la Protección de Infraestructuras Críticas, encuadrando dentro de ellas a las TIC (como infraestructuras en si por un lado, y como soporte para el funcionamiento de otras infraestructuras críticas por otro). Dentro de este ámbito, los esfuerzos realizados han sido encaminados a la puesta en marcha del Programa Europeo para la Protección de las Infraestructuras Críticas (PEPIC) y una Red de Alerta en relación con las Infraestructuras Críticas (CIWIN). • El segundo foco más centrado en la Ciberdefensa, en el que los esfuerzos se pueden dividir en dos vertientes: o Un primer área relacionada con la mejora de la protección de los sistemas de información. La Comunicación de la Comisión de 31 de Mayo de 2006 “Una estrategia para una sociedad de la información segura - Diálogo, asociación y potenciación”. ̩ La Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones, de 6 de junio de 2001, “Seguridad de las redes y de la información: Propuesta para un enfoque político europeo”. o El segundo área relacionada con la “Lucha contra los delitos” que abarca la vertiente legislativa y de persecución, en donde los aspectos más destacados son todos aquellos relacionados con la “lucha contra el Cibercrimen”, como por ejemplo la Decisión Marco 2005/222 sobre “ataques contra los sistemas de información”.
4.8. OTAN Los principales esfuerzos realizados por la OTAN en Ciberdefensa son los siguientes: • Creación de un Centro de respuesta ante incidentes de seguridad informática, el NCIRC (NATO Computer Incident Response Capability) en el año 2004. • Aprobación de la Política de Seguridad en Ciberdefensa de la OTAN (“Nato Policy on Cyber Defense”) el 7 de Enero del 2008. • Acuerdo sobre el “Concepto de Ciberdefensa de la OTAN” (“NATO Cyber Defence Concept”) a comienzos del año 2008. 35
JV23 027 038.qxp:libro cátedra Isdefe.qxd
7/10/09
09:09
Página 36
Seguridad Nacional y Ciberdefensa
• Asignación de las Responsabilidades en Ciberdefensa, y creación de las nuevas estructuras organizativas necesarias para la implementación de la Política de Ciberdefensa, entre las que destacan: o La Autoridad de Gestión de la Ciberdefensa de la OTAN (NATO Cyber Defence Management Authority, NCDMA) creada en el 2008. o El Centro de Excelencia Cooperativa de Ciberdefensa (Cooperative Cyber Defence Centre of Excellence, CCD COE) creado también en el 2008. Cabe destacar, que los esfuerzos realizados por la OTAN sufrieron un importante impulso debido a los Ciberataques que sufrió Estonia en Abril del 2007.
4.9. Iniciativas en materia de ciberejércitos 4.9.1. China Dentro del marco de un plan nacional integrado, el PLA (People’s Liberation Army), ha formulado una doctrina oficial en ciberguerra, implementado un entrenamiento adecuado a sus oficiales, y llevado a cabo simulaciones de ciberguerras y ejercicios militares. Los servicios de inteligencia de Beijing continúan recogiendo información científica y tecnológica para dar soporte a las metas del gobierno, mientras que la industria china le da prioridad a la creación de productos nacionales para conocer sus necesidades tecnológicas. El PLA mantiene lazos estrechos con sus homólogos rusos, pero hay una evidencia significativa de que Beijing busca desarrollar su propio y único modelo de ciberguerra. 4.9.2. India Los ciberataques suponen más que un desafío teórico para el desafío del día a día en la agenda de la seguridad nacional del gobierno Indio debido a las intrusiones y a los defacements sufridos en sus Webs desde las pruebas de Nueva Delhi con armas nucleares y los enfrentamientos con Pakistán sobre Cachemira. Las autoridades de la India anunciaron un cambio en la doctrina militar en 1998 para abarcar la guerra electrónica y las operaciones de información. Se publicó entonces un mapa de ruta sobre TIC, definiendo un plan exhaustivo de diez años. En el marco de este plan de ruta, el gobierno ha promovido la cooperación gobierno–industria para facilitar la salida de software indio. Además, se establecieron una nueva Universidad para la Defensa Nacional y la Agencia de Inteligencia para la Defensa (DIA, Defense Intelligence Agency). De acuerdo con noticias de prensa, las fuerzas armadas planean establecer una agencia de información de guerra dentro de la DIA estando la ciberguerra, las operaciones psicológicas y las tecnologías electromagnéticas dentro de sus responsabilidades. 36
JV23 027 038.qxp:libro cátedra Isdefe.qxd
5/10/09
14:29
Página 37
Resumen Ejecutivo
4.9.3. Irán Los expertos de seguridad nacional de EE.UU. han incluido a Irán en una lista de naciones que cuentan con elementos de entrenamiento de la población en ciberguerra. En los últimos tiempos, el gobierno iraní ha dado prioridad económica y política a mejorar el aspecto tecnológico en su sector de defensa. Esto se ha visto reflejado en dos formas principalmente: primero, las fuerzas armadas y las universidades técnicas han unido esfuerzos para la creación de cibercentros de I+D y entrenamiento personal en TI; en segundo lugar, Teherán está buscando activamente comprar asistencia técnica y entrenamiento en TI tanto en Rusia como en India. Se cree que Irán está aumentando sus recursos en armas poco convencionales y el sector de las TIC para ganar influencia en Asia Central. 4.9.4. Pakistán Actividades de hacking bien documentadas en Pakistán y posibles lazos entre la comunidad hacker y los servicios de inteligencia paquistaníes hacen pensar que Pakistán cuenta con capacidad para realizar ciberataques. Sin embargo, las evidencias publicadas no certifican la magnitud de estas capacidades; es posible que el gobierno de Pakistán haya realizado sólo una pequeña inversión en su programa de ciberguerra. Las evidencias disponibles sugieren que el principal objetivo de la ofensiva paquistaní es India, su rival en la disputa de Cachemira. Pakistán ha desarrollado una industria TIC, buenos programadores y un gobierno que quiere equipararse a la India por Cachemira, lo que hace pensar que tengan un programa de ciberguerra. 4.9.5. Rusia Las fuerzas armadas rusas, colaborando con expertos en el sector TIC y la comunidad académica han desarrollado una doctrina robusta de ciberguerra. Sus autores han revelado discusiones y debates en relación con la política oficial en Moscú. “Ciber Armamento”, por ejemplo, armas basadas en código de programación, reciben una atención principal en la doctrina oficial de ciberguerra. Incidentes como los ataques sufridos en Estonia y en Georgia, no hacen más que confirmar estas teorías.
37
JV23 027 028.qxp:libro cátedra Isdefe.qxd
18/9/09
13:29
Página 38
JV23 039 044.qxp:libro cátedra Isdefe.qxd
5/10/09
14:30
Página 39
5-. Conclusiones
JV23 039 044.qxp:libro cátedra Isdefe.qxd
18/9/09
13:31
Página 40
Seguridad Nacional y Ciberdefensa
Dentro del estudio que se ha realizado, se ha podido observar que los países de nuestro entorno hablan de política y estrategia de seguridad nacional, y en la mayoría de los casos, utilizan como referencia la National Security Strategy y/o la National Strategy for Homeland Security de Estados Unidos. La mayoría de las naciones coinciden, en que los aspectos generales a contemplar o considerar (incluyendo los de Ciberdefensa) en una Estrategia de Seguridad Nacional deberían ser los siguientes: • La estrategia debería definir claramente los riesgos existentes, los objetivos a alcanzar y las medidas que han de tomarse (incluyendo los esfuerzos concretos en I+D y en formación en una serie de campos). • La coordinación en materia de seguridad ha de ser muy estrecha: o a nivel interno, entre las diversas agencias de seguridad, el sector privado y los ciudadanos; o a nivel internacional, con países u organizaciones aliadas. Estas necesidades podrían desembocar en la reestructuración de las agencias, organismos y Ministerios encargados de la Seguridad Nacional. En la mayoría de los casos actuales, se ha traducido en la creación de un Consejo de Seguridad Nacional que supervisa las agencias y los Ministerios involucrados, da coherencia y proporciona una visión de conjunto de la seguridad. Bajo este Consejo, deberían crearse los Organismos necesarios que apliquen la Estrategia. • Debería incluir diversos pilares de protección contra las diversas amenazas identificadas (el terrorismo, organizaciones criminales, naciones hostiles, etc.): o La protección de las Infraestructuras Críticas (incluyendo a las Infraestructuras TIC). o La protección de los ciudadanos. o La protección del Territorio y de las organizaciones gubernamentales. • Debería contemplar la necesidad de unas capacidades que permitan la previsión, la prevención, la disuasión, la protección y la reacción cuando sea necesaria; es decir, no debe limitarse a aspectos defensivos sino que debe incluir también capacidades ofensivas. • La Estrategia ha de ser multidimensional apoyándose en aspectos Legislativos (desarrollo de leyes, reglamentos, etc.), Ejecutivos (creando organismos y mecanismos de implantación y vigilancia de cumplimiento y de persecución de las infracciones) y Judiciales (castigando las infracciones). • Para poder lograr la implantación de la Estrategia, deberá de dotarse a los actores involucrados (Ministerio de Defensa, Ministerio del 40
JV23 039 044.qxp:libro cátedra Isdefe.qxd
18/9/09
13:31
Página 41
Conclusiones
Interior, Ministerio de Justicia, Sector Privado, Ciudadanos etc.) de los medios Técnicos y Económicos necesarios para desempeñar sus cometidos.
Figura 7. Factores a considerar en la Estrategia de Ciberdefensa.
Respecto a la Ciberdefensa, resaltar que el Ciberespacio se ha convertido en un nuevo “campo de batalla” (a nivel civil y militar). Por ello, está ganando peso en la actualidad a pasos agigantados, y tendrá una mayor relevancia en el futuro cercano para todas las Naciones (en los últimos tiempos multitud de noticias sobre ataques en el ciberespacio han sido publicadas por la prensa; algunos ejemplos han sido recogidos en el Anexo C). Los Ciberataques se están convirtiendo en un arma “barata”, “silenciosa” y “fácil de enmascarar” para cualquier organización con intereses hostiles, y puede tener efectos desastrosos en aquellos países u organizaciones que los sufren. Es importante tener en cuenta que la Ciberdefensa no debe ser una actividad aislada en sí misma, sino que debería estar incluida, o contemplarse desde las siguientes perspectivas: • • •
Dentro de las Estrategias de Seguridad Nacional. Dentro de la Protección de Infraestructuras Críticas. Dentro de la Lucha contra Organizaciones Terroristas y Criminales. 41
JV23 039 044.qxp:libro cátedra Isdefe.qxd
18/9/09
13:31
Página 42
Seguridad Nacional y Ciberdefensa
Figura 8. Ciberdefensa como parte de la Seguridad Nacional. Fuente: Documento consultado nº [97]
Dentro del estudio que se ha realizado, se ha podido observar que los países con mayor desarrollo específico en Ciberdefensa son los siguientes (de mayor a menor potencial): • EE.UU, tanto a nivel Civil como Militar, ya ha desarrollado estrategias y planes, ha definido organizaciones y responsabilidades, y posee gran avance a nivel tecnológico (todos estos esfuerzos han supuesto y supondrán importantes inversiones económicas). • La OTAN, como organización militar, también está a la cabeza del grupo, habiendo definido ya las estrategias y responsabilidades, y se encuentra plasmando los esfuerzos en actividades tangibles (ej. CCD COE). • El Reino Unido, influenciado en este ámbito como en otros muchos por los EE.UU, ha establecido ya a nivel militar, como prioridad, la inversión en actividades de Ciberdefensa muy similares a las de sus homólogos, como la denominada “Defensa de Redes de Ordenadores”. • La inclusión de Francia en este grupo se debe a que ha sentado las bases para el desarrollo del área de Ciberdefensa, antes que sus socios europeos, incluyendo este apartado dentro de la última actualización llevada a cabo (en el 2008) de su Estrategia de Seguridad Nacional (“Defensa y Seguridad Nacional, el Libro Blanco”). Aparte de los esfuerzos específicos en el área de Ciberdefensa, como se puede apreciar en el estudio, se considera importante el nivel de desarrollo de la Seguridad de las TIC en los países. Debido a este motivo, y a 42
JV23 039 044.qxp:libro cátedra Isdefe.qxd
18/9/09
13:31
Página 43
Conclusiones
que es un marco ideal para políticas y esfuerzos futuros más efectivos y focalizados en Ciberdefensa, se resalta al conjunto de países y organizaciones que poseen un mayor desarrollo en la citada Seguridad: • El Reino Unido, aunque a nivel Civil no haya desarrollado una política específica de Ciberdefensa, sí ha definido su Estrategia Nacional de Seguridad de Información y un Programa para su implementación. • Alemania ha definido un Plan específico para la Protección de las Infraestructuras de Información. • Noruega, al estilo de Reino Unido, definió primero una Estrategia Nacional de Seguridad de la Información, para posteriormente implementar unas Guías de Fortalecimiento de la Seguridad de la Información. • La Unión Europea ha establecido las pautas para mejorar la Protección de las Infraestructuras Críticas, y el Nivel de Seguridad de las TIC. Para finalizar, cabe puntualizar que la Ciberdefensa no esta únicamente desarrollada en Europa y Estados Unidos. Países como la India, China, Australia, y otros muchos, están incluyendo entre sus prioridades este “área de la seguridad y la defensa”, por lo que es de vital importancia que los países de la Unión Europea en general, y España en particular, incrementen sus esfuerzos en este ámbito con el fin de mejorar la seguridad de sus ciudadanos frente a ataques terroristas, organizaciones criminales y otras naciones hostiles.
43
JV23 039 044.qxp:libro cátedra Isdefe.qxd
18/9/09
13:31
Página 44
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:32
Página 45
Anexo A Detalle de las actividades de ciberdefensa
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 46
Seguridad Nacional y Ciberdefensa
1. Francia 1.1. Contexto
Después de la aparición, hace ya más de treinta años, del primer “Libro Blanco” para la seguridad en Francia, el primer ministro Edouard Balladur nos comenta, en la propia carta introductoria del segundo Libro Blanco, el porqué de su actualización: “Los acontecimientos sobrevenidos desde la caída del muro de Berlín, la desaparición del Pacto de Varsovia, los cambios acelerados en nuestro entorno europeo e internacional, los progresos tecnológicos o la vida económica, me incitaron, con acuerdo del Presidente de la República, a hacer la publicación de un nuevo Libro Blanco una prioridad del gobierno”. En cuanto a la seguridad de la información se refiere, el capítulo introductorio del “Plan Nacional para la Seguridad de la Información” argumentaba la necesidad de este tipo de medidas: “Desde hace varios años, los informes anuales de los departamentos ministeriales sobre el estado de la seguridad de los sistemas de información (SSI) dan parte sobre las dificultades persistentes encontradas para mejorar la situación: competencias y capacidades operacionales demasiado reducidas y aisladas, falta de sensibilidad de los responsables a las propuestas, la insuficiencia de productos de seguridad debidamente cualificadas combinada a posiciones monopolísticas en segmentos importantes del mercado, la proliferación de interconexiones de redes mal aseguradas, la reglamentación nacional difícilmente aplicable, la dimensión europea mal coordinada. Si ciertas mejoras puntuales han sido comprobadas, los esfuerzos consumados, por muy meritorios que sean, no se han llevado a cabo en la misma medida de la rápida evolución de las tecnologías y las amenazas”. Finalmente, en el capítulo introductorio del último Libro Blanco, del año 2008, se referencia a los sistemas de información en varios puntos: • Menciona como fuente de inestabilidad los ataques que se producen sobre los sistemas de información. • Identifica como objetivos potenciales las infraestructuras vitales para el funcionamiento de la economía, sociedad o instituciones, entre las que incluye los sistemas de información, • Identifica como nuevas vulnerabilidades para el territorio, y los ciudadanos europeos, los ataques contra los sistemas de información.
1.2. Legislación, planes y estrategias
Francia ha desarrollado cierta legislación relativa a la ciberdefensa, entre la que podemos destacar como ejemplo la siguiente: • Directiva 4201/SG del 13 de abril de 1995 de Seguridad de los Sistemas de Información. • Decretos del 31 de julio de 2001 sobre la creación de la Dirección Central de la Seguridad de los Sistemas de Información (DCSSI) y la 46
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 47
Anexo A
Comisión Interministerial para la Seguridad de los Sistemas de Información. Por otro lado, en cuanto a planes y estrategias se refiere relativos a la Seguridad Nacional, la República francesa ha publicado a lo largo de las últimas tres décadas una serie de “libros blancos” y planes relacionados: • Libro Blanco sobre la Defensa Nacional (“Livre Blanc sur la défense nationale”) que abarca los años del 1972 al 1994. Primer “Libro Blanco” para la defensa nacional publicado, cuya cobertura se extendió durante 22 años. • Libro Blanco sobre la Defensa (“Livre Blanc sur la Défense”) del año 1994. Segundo “Libro Blanco” para la defensa, publicado como actualización del anterior. • Durante los últimos años, junto a los “libros blancos” Francia ha desarrollado un Plan de Mejora de la Seguridad de los Sistemas de Información del Estado (Plan de Renforcement de la Sécurité des Systèmes d’ Information de l’État, PRSSI), concebido para llevarse a cabo durante el periodo entre el 2004 y el 2007. • Defensa y Seguridad Nacional, El Libro Blanco (“Défense et Sécurité Nationale, Le Livre Blanc”) del año 2008. Última actualización de la “saga” de libros blancos sobre seguridad.
1.3. Organización y responsabilidades
La aplicación de la nueva estrategia de seguridad nacional y ciberdefensa definida en el último Libro Blanco del 2008, ha supuesto la reorganización de las responsabilidades, tanto a nivel de Seguridad Nacional, como a nivel de Ciberdefensa. El organigrama que aplica tras la aprobación del citado Libro Blanco es el siguiente:
Figura 9. Estructura del Consejo de Defensa y Seguridad Nacional. Fuente: Documento consultado nº [76]
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:33
Página 48
Seguridad Nacional y Ciberdefensa
• Consejo de la Defensa y de la Seguridad Nacional (CDSN): Presidido por el Presidente de la República, sus competencias abarcarán el conjunto de cuestiones relacionadas con la defensa y la seguridad nacional. Será el encargado de extraer las consecuencias de la adopción de una estrategia que hace de la seguridad nacional, el objetivo unificador y motor de la acción de los poderes públicos. Reúne, además del Presidente de la República y del Primer Ministro, a los ministros de Asuntos Exteriores, del Interior, de Defensa, de Economía y al ministro de Presupuesto. • Secretaría General de la Defensa y la Seguridad Nacional (SGDSN): Dependiente del Primer Ministro, asumirá las atribuciones de la actual Secretaría General de la Defensa Nacional (SGDN), antiguo órgano responsable de la Ciberdefensa dentro del país, aumentadas en el campo de la seguridad nacional. • Agencia de la Seguridad de los Sistemas de Información: Creada a partir de la actual Dirección Central de la Seguridad de los Sistemas de Información (DCSSI), y cuya dependencia será de la SGDSN, constituirá el instrumento de aplicación de una verdadera política de prevención y reacción de defensa contra ataques informáticos. Se basará, en el ámbito regional, en una red de expertos dentro de observatorios de la seguridad de los sistemas de información.
1.4. Ciberdefensa 1.4.1. Defensa y Seguridad Nacional. El Libro Blanco (2008) Debido a su reciente divulgación, se prestará especial atención dentro del estudio a este Libro Blanco centrando el análisis en área de Ciberdefensa. A diferencia de los Libros Blancos precedentes (1972 y 1994), que se centraban únicamente en la defensa, el Libro Blanco de 2008 cubre a la vez los campos de la defensa y la seguridad. Por otro lado, se instaura un proceso de seguimiento de las orientaciones del Libro Blanco, a nivel gubernamental. Dicho proceso incluye, con una periodicidad anual: • Una actualización del mismo al Consejo de Defensa y Seguridad nacional; • Un intercambio de opiniones con los comités pertinentes del Parlamento; • Un seminario de reflexión y debate sobre la estrategia de seguridad nacional. La estrategia de seguridad nacional gira en torno a cinco funciones claves que las Fuerzas de Defensa y Seguridad de Francia deben dominar: 48
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:33
Página 49
Anexo A
1. 2. 3. 4. 5.
El conocimiento y la previsión La prevención La disuasión La protección La respuesta
Del conjunto de estas estrategias, las que se encuentran más íntimamente relacionadas con la Ciberdefensa se resumen a continuación: A) El conocimiento y la previsión. El fortalecimiento sistemático de los recursos de inteligencia estará sujeto a una planificación general, la cual será ejecutada de acuerdo con cuatro líneas: • Necesidad de un esfuerzo a nivel de recursos humanos. • Desarrollo de capacidades técnicas. El Libro Blanco determina que se hace necesario un salto cuantitativo y cualitativo en las capacidades técnicas, ya que los socios de Francia han experimentado un fuerte crecimiento en este aspecto, mientras que Francia lo ha hecho a una escala menor. Por todo esto, las actuaciones de los servicios y unidades militares serán mejoradas a nivel de Ciberdefensa reforzando los medios estatales para la investigación de Internet. • Articulación del Consejo Nacional de Inteligencia. • Desarrollando un Marco Jurídico adaptado. B) Protección. La protección de la población y del territorio francés es otro de los núcleos de la estrategia. El objetivo es proteger a la nación frente a crisis de gran amplitud, aumentando la capacidad de resistencia. Las principales medidas relativas a la protección de la población y el territorio, relacionadas con la Ciberdefensa, son las de adquirir una capacidad de defensa informática activa, en profundidad, combinando la protección intrínseca de los sistemas, la vigilancia permanente de redes sensibles y la respuesta rápida en caso de ataque. C) Respuesta. Dentro de la función estratégica de respuesta, un punto muy importante es la lucha contra ataques a los sistemas TIC. Para responder a esos ataques, Francia plantea el concepto de “Lucha Informática Ofensiva” (LIO), partiendo del principio de que, para saber defenderse, es necesario saber atacar. La estrategia determina que para poner en práctica este concepto se hace necesario por tanto conocer las técnicas, múltiples y variadas, de los ataques potenciales y así poder comprometer al oponente en la misma fuente de la agresión, a través de modos de actuación ofensivos. Es decir, Francia quiere responder a los ciberataques 49
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 50
Seguridad Nacional y Ciberdefensa
atacando a su vez. Para poder lograr estos objetivos, se necesita disponer de la capacidad de neutralización dentro de los mismos centros de operaciones adversas: ése es el objetivo de la LIO. Las fuerzas de actuación de Francia deben estar dispuestas a conducir y llevar a cabo este tipo de acciones y por ese motivo, el Gobierno debe invertir en los siguientes ejes principales: • Definición, por el Estado Mayor, de un marco de uso que cubra específicamente el conjunto de acciones relevantes de la lucha informática; • El desarrollo de herramientas especializadas (laboratorios técnico-operativos, redes de ataque, etc.); • La formulación de una doctrina de empleo de las capacidades de LIO (planificación, realización y evaluación de las operaciones); • Puesta en marcha de una formación adaptada y regularmente actualizada, para personal identificado y recogido, bajo una lógica de negocio, dentro de células de especialistas. Este marco de respuesta a ciberataques deberá respetar principio de proporcionalidad de la respuesta, dirigido principalmente a las capacidades operativas del adversario. 1.4.2. Plan de Mejora de la Seguridad de los Sistemas de Información del Estado. (2004-2007) Anteriormente a la publicación del Libro Blanco del 2008 y sus reseñas generales de Ciberdefensa, en el año 2004 el gobierno francés publicó el “Plan de Mejora de la Seguridad de los Sistemas de información del Estado” que cubría el plazo existente entre el año 2004 y el 2007. El plan de mejora de la seguridad de la información proponía 4 objetivos y 12 medidas, repartidas en 5 dominios, para cumplir los objetivos: A) • • • •
Cuatro objetivos Asegurar los medios de transmisión de las altas autoridades. Asegurar los sistemas de información de las administraciones. Establecer las capacidades operativas de respuesta a los ataques informáticos previstos en los planes. Incluir la política francesa de seguridad de los sistemas de información en el marco de la política francesa de seguridad dentro de la Unión Europea.
B) Para alcanzar los objetivos anteriores, las medidas a tomar se repartían en cinco dominios: • Formación y competencias (4 medidas): o F1: Desarrollar las competencias en seguridad de los sistemas de información en las administraciones. o F2: Realizar regularmente ejercicios conforme a los planes sobre la seguridad de los sistemas de información. 50
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 51
Anexo A
Sensibilizar a los altos responsables. Calificación de los prestadores privados en seguridad de los sistemas de información. Organización (3 medidas): o O1: Fortalecer la organización de la seguridad de los sistemas de información en el seno de los ministerios y las instituciones europeas. o O2: Garantizar la operabilidad permanente en caso de aplicar los planes Piranet y/o Vigipirate. o O3: Mutualizar una serie de servicios de seguridad de los sistemas de información. Equipamiento (2 medidas): o E1: Adquirir una serie de equipos prioritarios: asegurar las nuevas herramientas de la administración electrónica; actualizar los equipos existentes para mantener su operabilidad en caso de crisis; adquirir o desarrollar herramientas de diseño, seguridad y vigilancia de las redes. o E2: Aumentar rápidamente el número de equipos acreditados para la seguridad. “Tejido” industrial (2 medidas): o I1: Garantizar la diversidad de aprovisionamiento en productos de seguridad. o I2: Adaptar las capacidades de evaluación y certificación a las necesidades. Marco jurídico (1 medida): o J1: Adaptar la normativa al nuevo contexto. o o
•
•
•
•
F3: F4:
La falta de capacidad en muchos ministerios y la dificultad de responder con precisión a todas las preguntas llevó a proponer una solución en dos etapas. La primera de ellas, la de construir en tres años una base sólida para responder a un primer nivel de objetivos. Sobre esta base, era posible evaluar con mayor exactitud los recursos necesarios en la segunda fase, a medio plazo, logrando una mejor seguridad y el desarrollo sostenible de los sistemas de información del Estado. Para conseguir el fortalecimiento en la seguridad de la información, fundamentalmente de cara al terrorismo, Francia necesitaba orientar y organizar correctamente los esfuerzos en I+D. Esta tarea se planteaba hacerla en 3 partes: • Observando y analizando las amenazas, basándose en la experiencia de los oficiales antiterroristas. • Promoviendo programas de investigación en las áreas tecnológicas donde se prevé mayor desarrollo. • Desarrollando la industria y la producción de equipamiento donde las tecnologías de base estén maduras. 51
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 52
Seguridad Nacional y Ciberdefensa
Aparte de la organización de esfuerzos, se identificaron los sectores que requerían una atención especial: • Amenazas CBRN (químicas, biológicas, radiológicas y nucleares): capacidad para desmantelar armas nucleares, aumentar el número de agentes químicos y biológicos que pueden detectar. Todo ello mediante el desarrollo de sensores automáticos miniaturizados que puedan detectar las amenazas rápidamente. • Detección de explosivos: el objetivo era ser capaces de detectar explosivos en áreas con muchas personas y/o vehículos sin interferir en su libertad de desplazamiento. • Monitorización de las telecomunicaciones: interceptar conversaciones de voz y reconocer al hablante, el idioma que emplea y transcribir la conversación automáticamente. • Video-vigilancia: definir y adoptar estándares, reconocimiento de cara, detección de movimientos y objetos abandonados, seguimiento de individuos (tracking). • Protección de sistemas de información y biométricos: financiar la I+D para tener mejores sistemas de protección, emplear equipos testados y validados.
2. Estados Unidos 2.1. Contexto
Los ataques terroristas del 11 de Septiembre de 2001 marcaron un antes y un después dentro del país en los aspectos relacionados con la seguridad de la nación y de sus ciudadanos. Posteriormente a estos ataques, el presidente George W. Bush puso en marcha una serie de planes y estrategias que incluyeron desde aspectos legislativos, hasta la creación de órganos y asignación de importantes fondos con el fin de incrementar la seguridad del país. Entre los hechos más destacables se pueden citar: • 20 de Septiembre del 2001; se crea la “Oficina de Seguridad del Territorio Nacional” (“Office of Homeland Security”, OHS) • 29 de Octubre de 2001; se constituye el “Consejo de Seguridad del Territorio Nacional” (“Homeland Security Council”, HSC) que es el sucesor de la OHS. • 25 de Noviembre del 2002; se establece el Departamento de Seguridad del Territorio Nacional (“Department of Homeland Security”, DHS). • 12 de Marzo de 2002; se constituye el Sistema Consultivo de Seguridad del Territorio Nacional (“Homeland Security Advisory System”) basado en una escala de colores de riesgo de ataque terrorista. Por otro lado, desde el punto de vista de la Ciberdefensa, los esfuerzos realizados por EE.UU. durante los últimos años se podría decir que 52
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 53
Anexo A
no son nuevos, ya que este país contaba previamente con dos sistemas, “Echelon” y “Carnivore”, que aprovechan las TIC dentro del ámbito de la inteligencia y el espionaje: • “Echelon” es un sistema bajo la administración de la Agencia de Seguridad Nacional (“National Security Agency”, NSA), que conforma una red de análisis e interceptación de comunicaciones electrónicas. Está controlado por la alianza “UKUSA” que incluye a Estados Unidos, Canadá, Gran Bretaña, Australia y Nueva Zelanda. El sistema puede capturar comunicaciones por radio y satélite, llamadas de teléfono, faxes y e-mails en casi todo el mundo e incluye análisis automático y clasificación de las interceptaciones. El propósito que había tras la construcción de este sistema, era el de controlar las comunicaciones militares y diplomáticas de la Unión Soviética y sus aliados, aunque se sospecha que en la actualidad es utilizado también para encontrar pistas sobre tramas terroristas, planes del narcotráfico e inteligencia política y diplomática. Sus críticos afirman que el sistema es utilizado también para el espionaje económico y la invasión de privacidad en gran escala. La existencia de “Echelon” fue publicada ya en 1976. • “Carnivore” es el nombre de un software usado por el FBI que tiene un fin similar al de “Echelon”, pero un funcionamiento diferente. Este software se instala en los proveedores de acceso a Internet y, tras una petición proveniente de una instancia judicial, rastrea todo lo que un usuario hace durante su conexión a Internet. En teoría, tiene capacidad para discernir comunicaciones legales de ilegales pero el cómo realiza este análisis, y cuál es su infraestructura y alcance real, es algo que permanece clasificado.
2.2. Legislación, planes y estrategias
En cuanto a la normativa y legislación se refiere, relativa a la Seguridad Nacional y la Ciberdefensa, destaca sobre el resto la siguiente (varias de ellas relacionadas con la creación de los diferentes organismos): • La Directiva Presidencial de Seguridad del Territorio Nacional (“Homeland Security Presidencial Directive 1”, HSPD-1), del 29 de octubre de 2001 y que supuso la creación del HSC. • La Ley de Seguridad del Territorio Nacional (“Homeland Security Act of 2002”) que supuso la creación del DHS. • Como base para todo lo relacionado con la Protección de Infraestructuras Críticas, la legislación más destacable es: o La “Critical Infrastructure Information (CII) Act of 2002”, en la que se especifica qué tipo de información es clasificada como CII: “aquella información sensible sobre infraestructuras críticas (critical infrastructures, CI) o bienes fundamentales (key resources, KR) cuyo conocimiento por partes no autorizadas podría poner en peligro la seguridad y el buen funcionamiento de la Nación”. 53
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:39
Página 54
Seguridad Nacional y Ciberdefensa
o La directiva “Critical Infrastructure Identification, Priorization, and Protection”, HSPD-7, de diciembre de 2003 sobre la identificación y protección de infraestructuras críticas. o La “PCII Program Final Rule” de septiembre de 2006, para el desarrollo de procedimientos de protección de la información de infraestructuras críticas. • La Directiva “National Cyber Security Initiative”, HSPD-23, de enero de 2008 relacionada con la Ciberseguridad.
Por otro lado, las políticas y estrategias relacionadas con la Ciberdefensa más destacables son las que se enumeran a continuación: • Desarrollo de la “Estrategia para la Seguridad del Territorio Nacional” (“National Strategy for Homeland Security”) del año 2002. • Desarrollo de la “Estrategia Nacional para la Seguridad del Ciberespacio” (“Nacional Strategy to Secure Cyberspace”) publicada en febrero de 2003, como complemento de la estrategia del párrafo anterior. • Relacionada con la protección física de las infraestructuras críticas y los bienes fundamentales, se desarrolló la “Estrategia Nacional para la Protección Física de las Infraestructuras Críticas y los Activos Claves” (“National Strategy for the Physical Protection of Critical Infrastructure and Key Assets”), también durante el 2003, así como un programa encargado de clasificar y proteger la información relativa a infraestructuras críticas denominado “Protección de la Información de Infraestructuras Críticas“ (“Protected Critical Infrastructure Information, PCII”). • Desarrollo del Plan de Protección de Infraestructuras Nacionales (“National Infrastructure Protection Plan, NIPP”) en el año 2006. • Actualización de la “Estrategia para la Seguridad del Territorio Nacional” (“National Strategy for Homeland Security”) en el año 2007. • La ejecución de Ejercicios periódicos de Ciberseguridad (“Cyber Storm I” en febrero de 2006 y “Cyber Storm II” en marzo de 2008). • La ejecución de Seminarios periódicos sobre Concienciación en la Ciberseguridad (todos los meses de Octubre con una periodicidad anual).
2.3. Organización y responsabilidades 2.3.1. Área Civil Los esfuerzos realizados en Ciberdefensa dentro de EE.UU. son llevados a cabo principalmente por el DHS, entre cuyas responsabilidades están las siguientes: • Desarrollar un plan integral para asegurar los recursos clave y las infraestructuras críticas de los Estados Unidos, incluyendo las TIC y los bienes tecnológicos y físicos en los que se apoyan; • Proporcionar gestión de las crisis, en respuesta a los ataques que puedan sufrir los sistemas críticos de información; 54
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:43
Página 55
Anexo A
• Proporcionar asistencia técnica al sector privado y otras entidades gubernamentales, con respecto a los planes de recuperación de emergencia para fallos en los sistemas de información críticos. • Coordinarse con otras agencias del gobierno federal para: o Proveer información específica de alarma y consejo sobre las medidas de protección adecuadas y las contramedidas a adoptar por las organizaciones estatales, locales y no gubernamentales incluyendo al sector privado, académico, etc. o Llevar a cabo y financiar la investigación y desarrollo, junto con otras agencias, lo que llevará a nuevos conocimientos científicos y tecnologías en apoyo a la seguridad nacional. Dentro del DHS las responsabilidades en Ciberdefensa han sido asignadas más concretamente a la “División de Ciberseguridad Nacional” de la “Junta Directiva para la Seguridad Nacional y Programas”. El siguiente diagrama muestra la dependencia funcional de la Junta dentro del Departamento:
Figura 10. Organigrama del DHS. Fuente: Documento consultado nº [1]
• La Junta Directiva para la Seguridad Nacional y Programas tiene el objetivo principal de potenciar el trabajo del DHS de reducción de riegos. o La División de Ciberseguridad Nacional (“National Cyber Security Division, NCSD”), trabaja en colaboración con entidades públicas, privadas e internacionales para asegurar el ciberespacio y los ciberrecursos de los Estados Unidos. 55
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:44
Página 56
Seguridad Nacional y Ciberdefensa
Para proteger las infraestructuras de información, la NCSD ha identificado dos objetivos: construir y mantener un sistema nacional efectivo de respuesta para el ciberespacio y, en segundo lugar, implementar un programa de gestión de ciberriesgos para proteger las infraestructuras críticas. • El Centro de Ciberseguridad Nacional (NCSC) es una oficina de nueva formación (el primer director ha sido nombrado a finales de marzo de 2008) dentro del DHS, basándose en los requerimientos de la Directiva Presidencial HSPD-23 “National Cyber Security Initiative” (enero de 2008). Actualmente el DHS aun no ha publicado su misión, áreas a su cargo, etc. • Junto a las áreas descritas con anterioridad, es importante puntualizar que el Servicio Secreto, a parte de proteger al Presidente y a otros altos cargos, investigar las falsificaciones y otros crímenes financieros, se encarga también de investigar los ciberataques ejecutados a las infraestructuras financieras, bancarias y de telecomunicaciones. 2.3.2. Área Militar En el ámbito del DoD, existen diversos grupos y organizaciones relacionados con la Ciberdefensa que son, principalmente, los siguientes: • Cibermando de la Fuerza Aérea (“Air Force Cyber Command”). • Estructura de Mando Conjunta para la Ciberguerra (“Joint Command Structure for Cyberwarfare”). • Mando de Operaciones de Ciberdefensa Naval (“Navy Cyber Defence Operations Command”). • Centro de Cibercrimen del Departamento de Defensa (“DoD Cyber Crime Center”). 2.3.2.1. Cibermando de la Fuerza Aérea. Durante 2007, a la Fuerza Aérea Norteamericana se le asigno la misión de “volar y luchar en el aire, el espacio y el ciberespacio”. Esto significa que las acciones militares en el ciberespacio incluyen la defensa contra la actividad maliciosa en Internet y en cualquier parte de la totalidad del espectro electromagnético (radio, microondas, infrarrojos, rayos-x, etc.), donde la seguridad nacional esté amenazada. El Secretario de la Fuerza Aérea, Michael W. Wynne, declaró que la ciberguerra fluye de manera natural por las misiones tradicionales de las Fuerzas Aéreas, como descargar datos desde plataformas espaciales, y que las capacidades de EE.UU. debían ser expandidas para capacitar la anulación de las redes electrónicas del enemigo. La sección “8th Air Force” dentro de la Fuerza Aérea, fue designada como el cibermando operacional responsable de organizar, entrenar y equipar a la citada Fuerza para las operaciones en el ciberespacio. 56
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 57
Anexo A
Del conjunto de actividades asignadas, gran parte de ellas recaen en la responsabilidad sobre la Seguridad del Territorio Nacional, incluyendo la protección de los sistemas de telecomunicaciones, servicios básicos y transporte. Cabe destacar que esta organización se encuentra aún en fase de construcción y que en el tercer trimestre del 2008 se ha suspendido, al menos de manera temporal, la creación de este cibermando; según la Fuerza Aérea para evaluar requerimientos y sincronizar el programa con otras iniciativas de las citadas Fuerzas. 2.3.2.2. Estructura de mando conjunta para la ciberguerra. Actualmente, el Mando Estratégico de los EE.UU. (“U.S. Strategic Command, USSTRATCOM”) tiene la responsabilidad de las “Operaciones de Redes de Ordenadores”, es decir coordina las operaciones defensivas y ofensivas de las TIC del Departamento de Defensa. Por debajo del USSTRATCOM, hay varios Mandos Funcionales Conjuntos (“Joint Functional Component Commands, JFCCs”): • • • • •
Integración del Ataque Global y del Espacio (“Space and global strike integration”). Inteligencia, Vigilancia y Reconocimiento (“Intelligence, surveillance and reconnaissance”). Guerra de Redes (“Network warfare”). Defensa Integrada de Misiles (“Integrated missile defense”). Combate de las Armas de Destrucción Masiva (“Combating weapons of mass destruction”).
Del conjunto de estos Mandos, el “JFCC-Network Warfare (JFCC-NW)”, y el “JFCC-Space & Global Strike (JFCC-SGS)” tienen la responsabilidad de la Ciberseguridad dentro del DoD. Por otro lado, bajo el JFCC-NW están el “Joint Task Force-Global Network Operations (JTF-GNO)” y el “Joint information Operations Warfare Center (JIOWC)”, ambos con responsabilidad directa en la defensa contra Ciberataques. El JTF-GNO defiende la Red de Información Global del DoD (“DOD Global Information Grid”), mientras que el JIOWC asiste a los Comandos de Combate con un acercamiento integrado a las “Operaciones de Información” . 2.3.2.3. Mando de operaciones de ciberdefensa naval. El objetivo de este Mando es coordinar, monitorizar y supervisar la seguridad de las TIC de la Armada, además de ser responsable de las misiones de Operaciones de Redes de Ordenadores (“Computer Network Operations”) asignadas por el Comandante, el “Naval Network Warfare Command and Commander” o la “Joint Task Force - Global Network Operations (JTF-GNO)”. 57
JV23 045 146.qxp:libro cátedra Isdefe.qxd
7/10/09
09:24
Página 58
Seguridad Nacional y Ciberdefensa
2.3.2.4. Centro de cibercrimen del Departamento de Defensa. El Centro de Cibercrimen del DoD (DoD Cyber Crime Centre, DC3) establece los estándares para: • el procesamiento de evidencias digitales. • el análisis y diagnóstico de cualquier investigación del DoD requiera soporte de análisis forense (informático) para detectar, mejorar o recuperar evidencias digitales, incluidas el audio y el video. Por otro lado, el Centro da asistencia en investigaciones criminales, de contrainteligencia, de contraterrorismo y de fraude, dentro de las Organizaciones de Investigación Criminal de Defensa y las actividades de contrainteligencia del DoD. Finalmente, también proporciona formación en investigación informática a examinadores, investigadores, administradores de sistemas y otros miembros del DoD, que deben velar por la seguridad de las TIC de Defensa desde el punto de vista de acceso, actividades criminales-fraudulentas y de explotación de los servicios de inteligencia extranjeros.
2.4. Ciberdefensa
EE.UU. ha desarrollado diversos planes y capacidades relacionadas con la ciberdefensa tanto en el ámbito civil, como en el ámbito militar. Los siguientes epígrafes detallan los esfuerzos llevados a cabo en cada uno de los citados ámbitos. 2.4.1. Estrategia para la seguridad del territorio nacional EE.UU. dispone de tres estrategias relacionadas con la seguridad nacional que son las siguientes: • Estrategia de Seguridad Nacional (“National Security Strategy”) del año 2002, actualizada en el 2006. • Estrategia Nacional para Combatir el Terrorismo (“National Strategy for Combating Terrorism”) del año 2006. • Estrategia para la Seguridad del Territorio Nacional (“National Strategy for Homeland Security”) del año 2002 y actualizada en el 2007. Del conjunto de estrategias, destaca por sus referencias a la Ciberdefensa la “Estrategia para la Seguridad del Territorio Nacional”, que es complementaria a las otras dos, y cuyo propósito es movilizar y organizar a la nación para asegurarla frente a los ataques terroristas. En la “Estrategia para la Seguridad del Territorio Nacional”, en su última actualización (2007), se reconoce la necesidad de gestionar cualquier evento de tipo catastrófico, desastres naturales o causados por el hombre, por las implicaciones que tiene para la seguridad del territorio nacional. El documento proporciona orientación a los departamentos federales y agencias que tienen algún rol dentro de la seguridad nacional, y ofrece sugerencias para los departamentos locales y organizaciones privadas de cara a mejorar la seguridad. 58
JV23 045 146.qxp:libro cátedra Isdefe.qxd
7/10/09
09:25
Página 59
Anexo A
En resumen, la Estrategia establece un sustrato para organizar los esfuerzos de la nación y priorizar el trabajo a realizar, y para ello en el documento se describen los Objetivos Estratégicos, las Amenazas y Vulnerabilidades y las Áreas Críticas de Actuación. 2.4.1.1. Objetivos estratégicos. La Estrategia identifica tres objetivos ordenados de mayor a menor prioridad que son: • Prevenir los ataques terroristas en la nación. • Reducir la vulnerabilidad de la nación al terrorismo. • Minimizar el daño y la recuperación posteriormente a cualquier ataque. 2.4.1.2. Amenazas y vulnerabilidades. La Estrategia determina dos aspectos de vital importancia en la forma de actuar de los terroristas, y que dan pie a las necesidades de protección definidas en el documento: 1-. Los terroristas eligen sus objetivos deliberadamente basándose en la debilidad que observan, así como el nivel de seguridad y preparación existente. 2-. Los terroristas, aunque continúan empleando medios de ataque tradicional, poseen cada vez más experiencia y conocimiento en otros medios de ataque como son los ciberataques. 2.4.1.3. Áreas críticas de actuación. La Estrategia focaliza y alinea las funciones de seguridad nacional en seis áreas críticas de actuación que son las siguientes: • Inteligencia y Advertencia. • Seguridad de las Fronteras y Transportes. • Contraterrorismo Interior. • Protección de Infraestructuras Críticas y Activos Clave (entre las mayores iniciativas identificadas en este área está la de “Asegurar el Ciberespacio”). • Defensa contra Amenazas Catastróficas. • Preparación y Respuesta ante Emergencias. 2.4.2. Plan de protección de infraestructuras nacionales Como respuesta a la directiva HSPD-7, el DHS y sus socios desarrollaron el Plan Nacional de Protección de Infraestructuras (“National Infrastructure Protection Plan”, NIPP), que junto a los Planes complementarios Específicos por Sector, proporcionan una estructura consistente y unificada para integrar los esfuerzos de protección actuales y futuros relativos a las infraestructuras nacionales. Revisando el contenido del NIPP, se identifica que en este plan se reconoce que la economía y la seguridad nacional de los EE.UU. son alta59
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 60
Seguridad Nacional y Ciberdefensa
mente dependientes de las TIC porque estas posibilitan el funcionamiento de servicios esenciales de la nación. Por otro lado, la proliferación de las TIC aunque mejora la productividad y la eficiencia también incrementa el riesgo de ciberataques contra la nación, si la ciberseguridad no es abordada e integrada de forma apropiada. Para poder abordar los ciberriesgos, el NIPP incluye las “responsabilidades del sector de las Tecnologías de Información (TI)”, entre la lista de infraestructuras críticas se encuentra el sector de las TI, así como un apartado relativo a la “Ciberseguridad Cruzada entre los Sectores”. 2.4.2.1. ¿TI ó TIC?. Inicialmente, cualquier persona se podría preguntar por qué el NIPP focaliza la gestión de los ciberriesgos en el Sector de las TI y no incluye también al Sector de las Comunicaciones. La respuesta a esta pregunta se puede obtener revisando las funciones críticas que han sido asignadas al sector de las TI: • Proporcionar Productos TI y Servicios. • Proporcionar Capacidades de Gestión de Incidentes. • Proporcionar Servicios de Resolución de Nombres de Dominio (Domain Name Resolution, DNS). • Proporcionar Gestión de Identidades y Servicios de Confianza asociados. • Proporcionar Servicios de Comunicación, Información y Contenido Basados en Internet. • Proporcionar Servicios de Conexión, Acceso y Enrutamiento en Internet. Por otro lado, el Sector de las Comunicaciones lo conforman aquellas organizaciones relacionadas con la provisión, uso, protección o regulación de las redes de comunicaciones y servicios. Este sector estaría dividido en cinco industrias: • Línea Cableada (Redes PSTN principalmente y de las empresas). • Líneas Inalámbricas. • Satélites. • Cable (red cableada de televisión, Internet y servicios de voz y que está conectada a la PSTN). • Multidifusión (radio, televisión, etc.). Revisando las características de ambos sectores parece que el Sector de las Comunicaciones, según la categorización realizada dentro de EE.UU., sería el sector que proporciona la infraestructura (Ej. La red física PSTN la ofrecería el Sector de las Comunicaciones, y los servicios de Internet, el Sector de las TI). Después de esta puntualización, podría concluirse que ciertas empresas del sector que cotidianamente se denomina de las “telecomunicaciones” podría incluirse dentro de los dos sectores (TI y Comunicaciones) por lo que este tipo de empresas focalizarían los planes definidos para ambos sectores. 60
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 61
Anexo A
2.4.2.2. Mejora de la seguridad en el sector de las TI. El Plan Específico del Sector de las TI es un documento de planificación y políticas que proporciona una guía de cómo los “actores” del sector público, y privado, trabajarán entre ellos para proteger el citado sector. Para tener éxito en los esfuerzos de protección de las infraestructuras críticas, una sociedad integrada y efectiva de los sectores público y privado es esencial, por lo que aquellas organizaciones relacionadas con la seguridad, son estimuladas a participar en la planificación, iniciativas, organizaciones y mecanismos de información que se describen a continuación para soportar una protección efectiva de las infraestructuras críticas: • Consejo de Coordinación del Sector de TI (IT SCC) Proporciona un marco para los propietarios de infraestructuras del Sector privado de las TI, los operadores y las asociaciones de soporte para “engranarse” con el DHS y el IT GCC. • Consejo de Coordinación Gubernamental del Sector de las TI (IT GCC) Proporciona un Foro para la asociación, coordinación y comunicación con el DHS, la División de Ciberseguridad y otros departamentos federales y agencias con un rol en la protección del Sector de las TI. • Centro de Análisis y Compartición de la Información de TI Proporciona capacidades tácticas y operacionales para compartir información y soportar las actividades de respuesta de incidentes. • US-CERT Coordina la defensa y la respuesta ante los ciberataques a lo largo de la nación, y opera como aglutinador para la compartición de información entre las organizaciones federales, estatales y locales. 2.4.2.3. Ciberseguridad cruzada entre los sectores. La “ciberseguridad cruzada” entre sectores es un esfuerzo colaborativo entre la División de Ciberseguridad Nacional, Agencias Especificas del Sector y otras organizaciones de seguridad para mejorar la ciberdefensa de las infraestructuras críticas, facilitando actividades de reducción de los riesgos. La citada División proporciona guías a todos los sectores para la mitigación de riesgos y el desarrollo de unas medidas de protección apropiadas y efectivas. Además de los esfuerzos de todas las agencias, en el plan se puntualiza que la ciberseguridad concierne a todos los individuos debido a la dependencia de éstos de las TIC, incluida Internet. Todo el mundo juega un papel significativo en la gestión de la seguridad de sus ordenadores personales y en la prevención de ataques contra las infraestructuras críticas (la mayoría de los ataques masivos por Internet se llevan a cabo a través de miles, e incluso millones de ordenadores, de usuarios que han sido infectados y son controlados por el atacante), por lo cual el DHS rea61
JV23 045 146.qxp:libro cátedra Isdefe.qxd
7/10/09
09:26
Página 62
Seguridad Nacional y Ciberdefensa
liza esfuerzos de concienciación publica en ciberseguridad, con el fin de reducir el riesgo global. El DHS trabaja de forma colaborativa con otras entidades públicas, privadas, académicas e incluso internacionales para incrementar el nivel de concienciación y asegurar que los ciberelementos de las infraestructuras públicas son: • Lo suficientemente robustos para resistir ataques sin que éstos causen un daño catastrófico. • Lo suficientemente activos para recuperarse de los ataques de forma oportuna. • Lo suficientemente resistentes para sostener las operaciones críticas de la nación. 2.4.3. Estrategia Nacional para la seguridad del ciberespacio Aparte de los aspectos de ciberdefensa reflejados dentro de la “Estrategia para la Seguridad del Territorio Nacional” y el “Plan de Protección de Infraestructuras Nacionales”, EE.UU. ha desarrollado un documento específico de Ciberdefensa, denominado “Estrategia Nacional para la Seguridad del Ciberespacio” (“National Strategy to Secure Cyberspace”) que fija las cinco prioridades nacionales en esta materia: • Prioridad I: Sistema de Respuesta de la Seguridad del Ciberespacio Nacional; • Prioridad II: Programa de Reducción de las Amenazas y Vulnerabilidades para la Seguridad del Ciberespacio Nacional; • Prioridad III: Programa de Formación y Concienciación de la Seguridad del Ciberespacio Nacional; • Prioridad IV: Asegurar el Ciberespacio Gubernamental; y • Prioridad V: Cooperación entre la Seguridad Nacional y la Seguridad del Ciberespacio Internacional. La primera prioridad se centra en mejorar la respuesta a ciberincidentes y en reducir el daño potencial de dichos sucesos. La segunda, tercera y cuarta prioridades tratan de reducir las amenazas de las vulnerabilidades a ciberataques. La quinta prioridad intenta prevenir ciberataques que puedan dañar los bienes o recursos esenciales para la seguridad nacional y mejorar el tratamiento internacional para dichos ataques. El punto más importante es la fijada como Prioridad I, y por tanto el primer campo de actuación es la creación de un Sistema Respuesta de la Seguridad del Ciberespacio. Para mitigar el daño causado por un ciberataque, la información sobre el mismo debe diseminarse amplia y rápidamente, de esta forma las numerosas capacidades de análisis y respues62
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 63
Anexo A
ta que existen en múltiples organizaciones pueden ser coordinadas para determinar la mejor manera de defenderse frente al ataque. El Sistema de Respuesta de la Seguridad del Ciberespacio tiene que operar de una forma menos formal que un sistema plenamente gubernamental, dado que la mayor parte del ciberespacio no pertenece ni es gestionada por un único grupo (público o privado), sino que se basa en una red colaborativa de organizaciones gubernamentales y no gubernamentales. Como responsable del desarrollo del sistema de respuesta, el DHS está encargado de: • Proporcionar apoyo en la gestión de crisis para responder a las amenazas o ataques a los sistemas de información críticos; y • Coordinarse con otras agencias del gobierno federal para proporcionar información específica de alerta y consejo a las autoridades estatales y locales, al sector privado y al público en general. La legislación que autoriza al DHS a crear el Sistema de Respuesta de Seguridad del Ciberespacio Nacional, también establece la figura de un “delegado de privacidad”, encargado de garantizar que cualquier mecanismo del Sistema de Respuesta cumpla con su misión respetando la libertad civil y la privacidad. Esta figura, consulta periódicamente a abogados, expertos de la industria y al público en general, para tener diferentes opiniones en temas de privacidad, de manera que se adopten soluciones que protejan este derecho a la vez que mejoran la seguridad. Por parte del Gobierno, el desarrollo del Sistema de Respuesta no requiere de un costoso programa federal, dado que la aportación al mismo viene por parte de numerosas agencias gubernamentales. La sinergia que resulta de la integración de los recursos de todas ellas, ayudará a construir la base para el citado Sistema. La Estrategia determina que las redes del sector privado (más extensas que las del sector público) deben ser las primeras en detectar posibles ataques que repercutan en la Nación. Por esto, los ISACs (Information Sharing and Analysis Centers) tienen una creciente importancia en el Sistema de Respuesta, ya que tienen una visión privilegiada de su propia industria, y proporcionan el análisis necesario para apoyar los esfuerzos nacionales. Un ISAC es, típicamente, un mecanismo de un sector industrial encargado de reunir, analizar y transmitir (tanto a los mismos miembros del sector, como a las autoridades) información de seguridad específica de ese sector, además de articular y promulgar mejores prácticas. Los ISAC son designados por los distintos sectores para cumplir sus necesidades, y financiados por sus propios Socios, mientras que el DHS trabaja junto a ellos para asegurar que la información de amenazas se recibe con la suficiente antelación para planificar los esfuerzos de contingencia. 63
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 64
Seguridad Nacional y Ciberdefensa
Las etapas que se siguen en el Sistema de Respuesta son las mostradas en la siguiente figura:
Figura 11. Sistema de respuesta de la Seguridad del Ciberespacio. Fuente: Documento consultado nº [89]
1. Análisis: Proporciona los medios necesarios para desarrollar análisis estratégicos y tácticos de ciberataques y evaluaciones de vulnerabilidades. El análisis táctico examina los factores asociados con incidentes bajo investigación o con vulnerabilidades específicas e identificadas para generar indicaciones y alertas. El análisis estratégico va más allá de los incidentes específicos y considera conjuntos más amplios de incidentes que podrían suponer amenazas, de potencial importancia, a nivel nacional. Las evaluaciones de vulnerabilidades son revisiones detalladas de cibersistemas y sus componentes físicos, para identificar y estudiar sus debilidades. Estas evaluaciones son una parte integral del ciclo de inteligencia de la seguridad del ciberespacio y permiten predecir las consecuencias de posibles ciberataques. El DHS promueve el desarrollo de fuertes capacidades de análisis en estas áreas. 2. Alerta: Dentro de la etapa de alerta, se consideran dos aspectos fundamentales. En primer lugar, el DHS fomenta, dentro del sector privado, el desarrollo de la capacidad de compartir una visión resumida de la salud del ciberespacio. Motivado por ello, el DHS creará un punto de contacto para la interacción del gobierno federal y otros socios, para todo lo referente a 64
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 65
Anexo A
funciones que se presten constantemente, como el análisis, la alerta, el compartir la información, la respuesta a incidentes graves y los esfuerzos de recuperación a nivel nacional. Además, se anima al sector privado a coordinar sus actividades a fin de que pueda proporcionar la visión sinóptica deseada de la salud del ciberespacio. En segundo lugar, dentro de esta etapa de alerta, tiene importancia la expansión la red de información y ciberalertas (Cyber Warning and Information Network, CWIN) para apoyar el papel del DHS como coordinador de la gestión de crisis del ciberespacio. La CWIN proporciona una red (para voz y datos) fuera de banda (out-of-band) privada y segura, para la comunicación entre el Gobierno y la industria, con el propósito de compartir información de alerta. 3. Gestión de Incidentes Nacionales: La gestión de incidentes por parte del Gobierno requiere coordinación con aquellas organizaciones que mantengan responsabilidades que no se hayan transferido al DHS (otros ministerios, oficinas de la Casa Blanca, etc.). Además, la gestión de incidentes integrará oficiales de información estatales y entidades internacionales, cuando sea apropiado. 4. Respuesta y Recuperación: Crear procesos para coordinar el desarrollo voluntario de planes de contingencia y continuidad público-privados y probar los planes de continuidad en los cibersistemas federales. Para el buen funcionamiento del Sistema de Respuesta, es fundamental que la información relativa a amenazas, riesgos y vulnerabilidades sea compartida entre el sector privado y el público. Por este motivo el DHS trata de: • Mejorar y aumentar los procesos y los medios por los cuales la información relativa a ciberataques, amenazas y vulnerabilidades se comparte con el resto de agentes. La legislación debe animar a las empresas a compartir con el DHS la información de ciberseguridad, con la garantía de que dicha información no será revelada de tal forma que pueda dañar a la compañía. Esa misma legislación, establece que el DHS debe compartir la información y los análisis que realice con el sector privado, a fin de proteger la información clasificada y de seguridad nacional. El DHS establece los procedimientos para la recepción, cuidado y almacenamiento por parte de las agencias federales, de la información de infraestructuras claves que se le remita voluntariamente; • Animar a que la información de ciberseguridad se comparta más. Se anima a las universidades a que establezcan uno o más ISAC para tratar los ciberataques y las vulnerabilidades. Aparte de la Prioridad I establecida como principal, el gobierno estadounidense está trabajando en la consecución de las Prioridades II, III y IV a través de los siguientes programas: 65
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 66
Seguridad Nacional y Ciberdefensa
o
Series de Ejercicios Cibertormenta (“Cyber Storm”):
Estos ejercicios bienales de ciberseguridad, dirigidos por el DHS, proveen un marco de actuación a gran escala que ayuda a evaluar las amenazas para la ciberseguridad. Estos ejercicios obligan a los participantes a: Examinar las capacidades de las organizaciones para prepararse, protegerse y responder a los efectos potenciales de los ciberataques; Ejercitar la toma de decisiones estratégicas y la coordinación entre las agencias de respuestas de incidentes de acuerdo a los procedimientos y políticas de nivel nacional; Validar las relaciones de intercambio de información y los caminos de comunicación para recolectar y diseminar la información relativa a la concienciación sobre la situación del ciberincidente, la respuesta al mismo y la recuperación. Examinar las formas y procesos a través de los cuales se comparte información sensible entre diversos sectores y ámbitos, sin comprometer los intereses de seguridad nacionales o privados. o Sesiones de Concienciación en la Ciberseguridad, para sensibilizar que la seguridad es responsabilidad de todo el mundo que utiliza las redes de comunicaciones.
2.4.3.1. Programa Einstein. Como parte de los esfuerzos específicos para la seguridad del Ciberespacio, cabe destacar el desarrollo del programa denominado “Einstein”, que es un proceso automatizado de recolección, correlación, análisis y compartición de información de seguridad informática, a través de diversos organismos federales. Recogiendo información de las agencias gubernamentales federales que participan, el US-CERT construye y mejora el conocimiento sobre la ciberseguridad de Estados Unidos. Este conocimiento facilita la identificación y respuesta frente a ciberataques y otras amenazas, mejora la seguridad de las redes, incrementa la resistencia de los servicios electrónicos críticos que ofrece el gobierno americano y mejorando la supervivencia de Internet. La versión actualizada, Einstein 2, incorporará tecnología de detección de intrusos capaz de alertar al US-CERT de la presencia de actividad maliciosa en las redes de ordenadores de las agencias federales. Einstein 2 confía en las capacidades de detección de intrusos que existen comercialmente, para incrementar el conocimiento que posee el US-CERT. Esta tecnología de detección de intrusos utiliza un conjunto de patrones predefinidos de tráfico malicioso y no está basada en información de identificación personal. 66
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:47
Página 67
Anexo A
2.4.4. Estrategia de Defensa Nacional La Estrategia de Defensa Nacional (“National Defence Strategy”) publicada inicialmente en el año 2005 y actualizada en el año 2008, sirve como piedra angular del Departamento de Defensa de EE.UU. (DoD) para definir sus esfuerzos a largo plazo. Esboza cómo soporta el DoD los objetivos de la Estrategia de Seguridad Nacional (“National Security Strategy”), para lo que define sus propios objetivos, la forma de conseguirlos y los riesgos existentes para la implementación de la estrategia. 2.4.4.1. Objetivos. El Departamento de Defensa fija cinco objetivos para la protección de los ciudadanos de su país: • • • • •
Defender el Territorio Nacional. Ganar la Guerra al Extremismo Violento. Fomentar la Seguridad. Impedir o Disuadir Conflictos. Vencer en las Guerras que Emprenda la Nación.
Del total de objetivos, dos de ellos destacan por su vinculación con los esfuerzos realizados en el área de Ciberdefensa: •
•
En la “Defensa del Territorio Nacional” define los ataques al Ciberespacio como una amenaza (por parte de otras naciones, terroristas etc.) para la Nación. En el objetivo de “Impedir o Disuadir Conflictos”, la Estrategia determina que, entre otros medios, los “enemigos” pueden hacer uso de la Guerra Electrónica y la Ciberguerra.
2.4.4.2. Riesgos. La Estrategia determina que existen una serie de riesgos de cara a su implementación, que agrupa en los siguientes conjuntos: • • • •
Riesgos Riesgos Riesgos Riesgos
Operacionales. de los Desafíos Futuros. en la Gestión de la Fuerza. Institucionales.
Del conjunto de riesgos, la Estrategia dictamina, dentro de los “Desafíos Futuros”, que el uso del Ciberespacio dentro del “campo de batalla”, si bien supone una ventaja competitiva, también introduce amenazas que no existían con anterioridad. Un ejemplo son las tecnologías para la Ciberguerra que China está desarrollando, para neutralizar las ventajas tradicionales que ha tenido el Departamento de Defensa de los EE.UU. 67
JV23 045 146.qxp:libro cátedra Isdefe.qxd
7/10/09
09:27
Página 68
Seguridad Nacional y Ciberdefensa
2.4.5. Capacidades en ciberdefensa del Departamento de Defensa Como se ha podido observar en la Estrategia de Defensa Nacional, aspectos como la protección y uso del Ciberespacio y la Ciberguerra forman parte del entorno de la guerra actual y futura por lo que el DoD ya está llevando a cabo esfuerzos en el área de Ciberdefensa que se verán incrementados durante los próximos años. El DoD ha incluido la Ciberdefensa y la Ciberguerra dentro del concepto más amplio de “Guerra de la Información” que en la actualidad denominan “Operaciones de Información” (“Information Operations, IO”). El valor de la información para el DoD es muy alto, y se ve incrementado por las TIC que capacitan al entorno militar a: • Crear un alto nivel de conocimiento compartido. • Mejorar la sincronización de la inteligencia, el mando y el control. • Trasladar la superioridad informativa en “potencia de combate”. Las IO, para el DoD, son acciones llevadas a cabo durante tiempo de crisis o conflicto que afectan a la información del adversario, mientras defienden los sistemas de información propios para alcanzar objetivos específicos. El foco de las IO es el de alterar o influenciar el proceso de toma de decisiones del adversario. El DoD identifica cinco capacidades para llevar a cabo sus Operaciones de Información: 1-. Operaciones Psicológicas (“Psychological Operations”) 2-. Engaño Militar (“Military Deception”) 3-. Seguridad Operacional (“Operations Security”) 4-. Operaciones de Redes de Ordenadores (“Computer Network Operations”) 5-. Guerra Electrónica (“Electronic Warfare”) Las capacidades en un principio son independientes, pero cada vez más están incrementando su integración para poder alcanzar los efectos deseados. 2.4.5.1. Operaciones psicológicas. El DoD define las Operaciones Psicológicas, como procedimientos para transmitir cierta información preseleccionada a audiencias extranjeras fijadas como objetivo, para influenciar en sus emociones, móviles, razonamiento objetivo y finalmente el comportamiento de gobiernos extranjeros, organizaciones, grupos y personas individuales. Estas operaciones pueden llevarse a cabo, por ejemplo, mediante el envío masivo de mensajes por correo electrónico, fax, Internet, llamadas a teléfonos móviles, etc. Algunos observadores han comentado que EE.UU. seguirá perdiendo terreno en la guerra de medios hasta que desarrolle una estrategia de comunicación coordinada para responder a las noticias de los medios civiles, como el caso de la cadena “Al Jazeera” por ejemplo. En parte, por este motivo, el DoD está enfatizando que las 68
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 69
Anexo A
Operaciones Psicológicas deben ser mejoradas y focalizarse contra la toma de decisiones de adversarios potenciales, incluso a veces previamente a las épocas de conflicto. 2.4.5.2. Engaño militar. El “engaño” conduce al enemigo a cometer errores presentándole información, imágenes o instrucciones falsas. Por ello el “Engaño Militar” se define como las acciones llevadas a cabo para engañar deliberadamente la toma de decisiones militares del adversario, relacionadas con sus capacidades militares propias, causando por lo tanto que el adversario no tome (o falle al tomar) decisiones específicas que contribuirían al éxito de sus operaciones militares. 2.4.5.3. Seguridad operacional. La “Seguridad Operacional” es el proceso de identificar la información que es crítica para las operaciones, y que puede capacitar al adversario para atacar vulnerabilidades de las mismas. La Seguridad Operacional sería utilizada para poder evitar que el enemigo pueda disponer de esa información. Un ejemplo de esta actividad sería eliminar cierta información de páginas Web públicas por el DoD, para que el enemigo no pueda explotar información sensible, pero sin clasificar. 2.4.5.4. Operaciones de redes de ordenadores. Esta capacidad es la que podríamos denominar tradicionalmente como “Ciberdefensa” e incluye la posibilidad y habilidad de: 1-. Atacar e interrumpir o alterar las redes de ordenadores del enemigo. 2-. Defender los sistemas de información militar propios. 3-. Explotar las redes de ordenadores del enemigo, mediante la recolección de información de inteligencia, normalmente a través de código o aplicaciones informáticas (ej. troyanos). Para lograr estas capacidades el DoD ha desarrollado tres mecanismos que son: • Defensa de Redes de Ordenadores (DRO) La DRO se define como las medidas defensivas para proteger la información, los ordenadores y las redes de las alteraciones, interrupciones o destrucciones. La defensa incluye las acciones llevadas a cabo para monitorizar, detectar y responder a actividades no autorizadas. La respuesta a los ataques, por parte de las Fuerzas Norteamericanas, puede incluir el uso de herramientas de seguridad de las TIC pasivas, como cortafuegos o cifrado de la información, o también otras más intrusivas como la monitorización de ordenadores adversarios para determinar sus capacidades, previamente a que puedan intentar un ataque de “Operaciones de Información” contra las citadas Fuerzas. • Explotación de Redes de Ordenadores (ERO) La ERO es el área de las IO que todavía no ha sido claramente definida dentro del DoD. Anteriormente al desarrollo de una crisis, el DoD 69
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 70
Seguridad Nacional y Ciberdefensa
parece preparar la batalla a través de la inteligencia, vigilancia, reconocimiento y actividades de planificación. Todas estas actividades, conllevan recolección de datos para la inteligencia, y en el caso de las IO, se llevan a cabo normalmente a través de herramientas de red que penetran en los sistemas adversarios para obtener información sobre vulnerabilidades de los sistemas, o para hacer copias no autorizadas de ficheros importantes. Las herramientas utilizadas para ERO son similares a aquellas utilizadas para los ataques informáticos, pero configuradas para recabar información en vez de para interrumpir o alterar un sistema. • Ataques de Redes de Ordenadores (ARO) Los ARO se definen como los mecanismos que pretenden interrumpir, alterar o destruir la información que reside en los ordenadores, y en las redes de ordenadores, de los enemigos. Como característica distintiva, los ARO normalmente utilizan “un flujo de datos” como arma para ejecutar el ataque. Por ejemplo, el envío de un flujo de datos a través de la red para dar instrucciones a un controlador para cortar la alimentación eléctrica se considera un ARO, mientras que enviar una señal de alto voltaje a través del cable eléctrico para crear un cortocircuito en el suministro eléctrico se considera “Guerra Electrónica”. Tal como se vio en el epígrafe 2.3.2.2 de este anexo, dentro del DoD, el Joint Functional Component Command for Network Warfare (JFCCNW) y el Joint Information Operations Warfare Command (JIOWC) son los responsables para el desarrollo de los “Ataques a las redes de Ordenadores”. Las capacidades exactas de estas dos organizaciones están clasificadas y los oficiales del DoD nunca han admitido haber lanzado ciberataques contra los enemigos, sin embargo muchos oficiales de seguridad de la información creen que se podrían destruir redes y penetrar en ordenadores enemigos para robar o manipular datos, y tumbar sistemas de mando y control. Estos oficiales también creen que las citadas organizaciones están conformadas por personal de la CIA, de la Agencia Nacional de Seguridad (“National Security Agency, NSA”), el FBI, las ramas militares y civiles e incluso por representantes militares de las Naciones Aliadas. Finalmente, cabe destacar que en febrero del 2003 la Administración de Bush anunció una guía a nivel nacional para determinar cuándo y cómo pueden los EE.UU. lanzar ataques contra las redes de ordenadores de adversarios extranjeros. La guía, que está clasificada, se conoce como la “Directiva Presidencial 16 de Seguridad Nacional” y tiene el objetivo de clarificar las circunstancias bajo las cuales los ataques informáticos son justificados, y de determinar quien tiene la autoridad de lanzar tales ataques. 2.4.5.5. El DOD y las infraestructuras críticas de EE.UU. El DoD conoce que, debido a que un porcentaje importante del comercio de EE.UU. se realiza a través de Internet, los sistemas del DoD deben desarrollar la capacidad de protegerlo adecuadamente. 70
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 71
Anexo A
En la actualidad, para asistir a las redes de telecomunicaciones comerciales, los sistemas de comunicación por satélite y otros sistemas de infraestructuras críticas civiles, el DoD contrató al Instituto de Ingeniería de Software de Carnegie Mellon (Carnegie Mellon’s Software Engineering Institute) para dirigir el Equipo de Respuesta de Incidentes Informáticos (CERT-CC), mientras que el DHS, en sociedad con operadores de la industria privada, dirige una organización paralela llamada US-CERT. Ambas organizaciones están encargadas de monitorizar las tendencias del código malicioso y cibercrimen, enviando alertas sobre amenazas para los sistemas de información, y proporcionando pautas para la recuperación después de un ataque.
2.5. Financiación En el aspecto económico, el DHS cuenta en 2008 con un presupuesto de 47.000 millones de dólares, lo que supone un incremento del 6,8% con respecto al ejercicio fiscal anterior. Esto se produce a pesar de que el incremento del PIB está previsto en un 1,9%. En la Figura 2-3 se muestra la evolución del presupuesto del DHS entre los años 2004 y 2009 (en este último caso, es el presupuesto solicitado al Congreso). En dicho periodo, el presupuesto siempre ha aumentado, en algunos casos muy por encima del incremento del PIB. Tal fue el caso en los años 2004-2005, cuando el incremento fue del 11%, y en los dos últimos años, en los que el presupuesto ha crecido una cantidad en torno al 8-9%.
Figura 12. Evolución del presupuesto del DHS en los años 2004-2009.
Por otro lado, cabe destacar que dentro del presupuesto del DHS para el 2009, la Junta Directiva para la Seguridad Nacional y Programas (área 71
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:49
Página 72
Seguridad Nacional y Ciberdefensa
del DHS) ha solicitado un presupuesto de 293,5 millones de dólares para la División de Ciberseguridad Nacional. Finalmente, según noticias aparecidas en la prensa (periódico “La Vanguardia”, 11-08-2008, http://www.lavanguardia.es/lv24h/20080811/ 53518428244.html), la “Iniciativa para la Ciberseguridad Nacional” (Directiva “National Cyber Security Initiative”, HSPD-23) ha sido presupuestada con una cantidad de 11.000 millones de euros.
2.6. Ciberseguridad en la Era Obama 2.6.1. Durante la campaña electoral Ya durante su campaña electoral, el entonces candidato a la presidencia de los Estados Unidos, Barack Obama, hizo especial hincapié en los cambios que planeaba hacer en materias de ciberdefensa en el caso de ser elegido presidente. Así, durante la campaña, señaló como principales amenazas del siglo 21 las nucleares, biológicas y cibernéticas. Decía que las tres habían sido descuidadas durante la anterior legislatura y aseguraba que había llegado el momento de cambiar la forma de hacerlas frente. Según el entonces candidato es necesario reforzar las ciberdefensas del país. En su discurso electoral, hacía notar que todos los ciudadanos dependen de manera directa o indirecta del sistema de redes de información. Estas son fundamentales para la buena marcha de la economía, las infraestructuras críticas y la seguridad nacional. Por lo que aseguraba que es un objetivo para ataques terroristas. Obama hacía entonces promesas de incrementar la prioridad en materia de ciberseguridad, de declarar las ciber-infraestructuras un activo estratégico y de designar un Asesor Nacional en materia cibernética. Las actuaciones, decía, consistirán en crear una política de ciberseguridad nacional y en trabajar desarrollando estándares para seguridad de la información. Pretende hacer trabajar de forma conjunta a gobierno, industria y universidades para determinar la mejor manera de proteger estas estructuras. Según Obama, es necesario construir la capacidad para identificar, aislar y responder a cualquier ciberataque. También es necesario el desarrollo de estándares para la ciberseguridad que protege las más importantes infraestructuras, desde las instalaciones eléctricas a las depuradores, desde el control de tráfico aéreo a los distintos mercados. Apostaba también por empezar la ciberdefensa desde cada ciudadano, en cada hogar. Por lo que invertir en esta materia es fundamental. 2.6.2. Acciones como presidente A mediados de febrero de 2009, el presidente Obama, pidió a sus consejeros en seguridad nacional que procediesen a una revisión durante 60 días de los planes, programas y actividades a llevar a cabo por el gobierno federal en materia de ciberseguridad. 72
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 73
Anexo A
El objetivo de esta revisión era evaluar las fortalezas y debilidades existentes, desarrollar planes y coordinar el Congreso y el sector privado. De cualquier forma, no se espera que se abandonen los planes principales que se están llevando a cabo. Entre aquellos empezados en la etapa de la administración de Bush se encuentra la iniciativa True Internet Connection, que busca reducir el número de gateways en Internet y la del Departamento de Seguridad Nacional de actualizar Einstein, el sistema federal de monitorización de red. Con la orden de Barack Obama de revisar la estrategia en Ciberdefensa Norteamericana, se abre la posibilidad a un cambio radical de la aproximación a la seguridad cibernética. Actualmente hay un gran número de agentes involucrados en la protección del país de ataques sobre la red, entre ellos el Ministerio de Seguridad Nacional, el Consejo de Seguridad Nacional y varias ramas dentro del campo militar. Esta estructura se pretende simplificar con la revisión anunciada el día 9 de febrero por la Casa Blanca. John Brennan, asistente de Obama en temas de antiterrorismo y seguridad del territorio, afirmaba que “La seguridad nacional y la salud de la economía de los Estados Unidos depende de la seguridad, estabilidad e integridad del ciberespacio de la nación, tanto en el sector público como en el privado. El presidente está profundamente convencido de que seremos capaces de proteger las ciberestructuras críticas de la nación sin violar las leyes y asegurando los derechos de privacidad y las libertades civiles”. La encargada de supervisar esta revisión fue Melissa Hathaway, quien, de forma temporal, asumió el cargo de Director Senior del Ciberespacio, hasta la finalización de los trabajos a finales de abril. Era para entonces cuando estaba previsto que se le presenten las recomendaciones al Presidente con el fin de establecer una organización que encargada de los asuntos relacionados con las infraestructuras y capacidades globales de la información y las comunicaciones. Se pretendía realizar una valoración precisa de cuales son las medidas que se están tomando así como el análisis de planes de futuro en materia de ciberdefensa. Todo esto se consideraba ya un indicativo claro de la concienciación de la Casa Blanca en relación a la ciberdefensa. La seguridad on line es una preocupación creciente para muchos gobiernos alrededor del mundo, sobre todo a medida que las infraestructuras críticas, como comunicaciones, finanzas y transporte dependen cada vez más de Internet para funcionar. El director de la Inteligencia Nacional, Mike McConnell, ya se ha referido a esto: “Si alguien entrase en nuestros sistemas tratando de destruir registros bancarios o de impedir la distribución de energía eléctrica o el mal funcionamiento de la red de transportes, tendría un efecto debilitador para el país.” Otro signo del nivel de concienciación de EE.UU. con respecto a la ciberseguridad son las declaraciones del vicepresidente Joe Biden en las que se refirió a las ciberamenazas como la mayor amenaza en la actualidad. 73
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:51
Página 74
Seguridad Nacional y Ciberdefensa
Aunque de momento no hay ningún informe en el que se afirme el incremento de acuerdos con empresas privadas para ayudar al gobierno, se espera que sí se indique en el informe de Hattaway. Algunos analistas indican que los contratos para trabajar en la ciberseguridad en EE.UU. superarán los 10.000 millones de dólares al final de la etapa Obama en la Casa Blanca. Todavía quedan por resolver algunas dudas de cuál es el rumbo que se va a seguir en EE.UU. Durante la campaña electoral, Obama se solía referir a sus planes para mejorar la ciberseguridad y las relaciones con la industria de la tecnología en general. A pesar de asegurar que crearía la figura de un “Chief Security Officer”, a día de hoy todavía no ha nombrado a nadie para este puesto. Finalmente, a finales de mayo de 2009, el presidente de los EE.UU. Barack Obama hizo públicas algunas de las inicativas que se planteaba llevar a cabo durante su gobierno una vez el informe fue concluido. Obama reconoció en la presentación del informe que ganó las pasadas elecciones presidenciales en parte gracias a la fuerza de la Red y su alcance. También es consciente de que la seguridad cibernética es susceptible de violación, durante su campaña, piratas informáticos entraron en la página web del candidato demócrata y robaron información perteneciente a la base de datos. "Ésa es la gran ironía de la era de la información, las tecnologías que nos permiten construir y crear son las mismas que utilizan aquellos que destruyen y perturban el orden", aseguró. "Es una paradoja que vemos cada día", añadió Obama. En su opinión, Estados Unidos lleva mucho tiempo fracasando en proteger de manera adecuada la seguridad de sus redes cibernéticas. "No estamos lo preparados que deberíamos estar, ni como Gobierno ni como país", prosiguió Obama, quien dijo que los asaltos a las redes informáticas son uno de los peligros económicos y militares más graves a los que se enfrenta EE.UU. La primera diferencia con la política de Bush, se pudo observar en que parte de los resultados del informe fueron presentados de forma pública en un documento de 38 páginas que fue distribuido a las empresas más vulnerables frente a ciberataques. La estrategia de Bush fue completamente clasificada. Durante la presentación, el presidente Obama, calificó de “prioridad nacional” la ciberseguridad de los sistemas de EE.UU. ante el peligro de lo que llamó “las armas de trastorno masivo” y anunció un ambicioso plan para dar máxima prioridad nacional a la seguridad de los sistemas y la protección de las redes digitales, sin las cuales el país se paralizaría. El presidente anunció que uno de los objetivos durante su mandato será que EE.UU. se prepare para iniciar una nueva guerra, en esta ocasión librada en el ciberespacio. Obama comunicó para esta lucha la creación de un alto cargo de ciberseguridad con oficina en la Casa Blanca (al que llamó ciberzar) contra ataques que protegerá tanto las redes ofi74
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 75
Anexo A
ciales como las privadas que los hackers asaltan. El mandatario indicó que la persona designada para el puesto responderá ante el Consejo de Seguridad Nacional y ante el Consejo Económico Nacional, en reconocimiento del papel que la informática desempeña tanto en defensa del país como en la economía. Obama afirmó que el nuevo coordinador tendrá acceso a él con regularidad, igual que el coordinador para amenazas nucleares y convencionales. Ante el anuncio de mayor control y la intención de nombrar un sheriff que vigile el ciberespacio, Obama quiso tranquilizar a aquellos que puedan ver el fantasma de la injerencia gubernamental sobrevolar sobre su privacidad y declaró que el nuevo sistema federal de vigilancia no recortará la libertad en la Red ni "dictará cómo las redes de las empresas privadas deben diseñar sus sistemas de defensa". Se trata de luchar contra el robo de información bancaria, controlar los servicios básicos que ahora se gestionan a través de Internet y evitar la suplantación de la identidad personal en la Red. Otro de los graves asuntos a los que el nuevo zar deberá dar una respuesta es el de la piratería, que hasta ahora ha asumido con un discreto éxito el FBI. Las pérdidas estimadas a causa del robo de datos y propiedad intelectual en 2008 suponen hasta un billón de dólares (720.000 millones de euros). También afirmó que Estados Unidos necesita impartir la educación requerida -desde los colegios- para mantenerse a la par de la tecnología y atraer y retener una fuerza laboral que maneje los conocimientos cibernéticos. Obama reclamó una nueva campaña educativa a fin de alertar al público de los desafíos y amenazas relacionadas con la ciberseguridad. Entre las medidas que adoptará la Casa Blanca para mejorar la seguridad cibernética, el presidente anunció un aumento de la cooperación con los aliados. Para ello será necesario conseguir que los países aliados sean afines en una serie de asuntos, como los baremos técnicos y normas legales aceptables sobre jurisdicción territorial, responsabilidad y soberanía, y uso de la fuerza para luchar contra el cibercrimen. Con iniciativas internacionales de este tipo, el Gobierno de EE.UU. espera que la comunidad internacional comience un debate sobre cómo perseguir a los cibercriminales y establezca un marco legal para juzgarles y castigarles. Desde la Casa Blanca también se quiso hacer un llamamiento para que la nación no se quede atrás en la carrera de la seguridad informática, un campo en el que países como India o China han hecho avances en los últimos años. Los cinco pilares sobre los que se basarán las principales acciones a llevar a cabo son: • Securización de las redes gubernamentales. • Coordinación de las respuestas ante los ciberataques. • Securización de las infraestructuras formadas por las redes privadas. • Aumentar los fondos para investigación. • Reforzar la educación pública. 75
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:52
Página 76
Seguridad Nacional y Ciberdefensa
A pesar de que el presidente no entró en detalles en cuanto a expandir el rol de los mandos militares en ciberoperaciones defensivas y ofensivas, desde el Pentágono se afirmó que se espera también que Obama firme una orden clasificada por la que se creará un nuevo mando militar contra la ciberguerra, algo que demuestra la preocupación de EE.UU. por el número creciente de ordenadores en su arsenal de armas, así como su interés por desarrollar estrategias para su uso como elemento de disuasión o junto a las armas convencionales, en una amplia variedad de posibles conflictos futuros. La creación de un cibercomando especializado en guerra electrónica es un paso importante, aunque cualquier caso no queda aún claro quien va a liderar posibles ofensivas en el ciberespacio, si la NSA o el mismo Pentágono. Sin embargo, la revisión de las políticas de Obama no especifica como se van a llevar acciones de forma práctica para alcanzar los objetivos propuestos y no apunta nada sobre como resolver los conflictos entre el Pentágono, la NSA, el departamento de Seguridad Nacional y otras agencias por conseguir el liderazgo en ciberoperaciones defensivas y ofensivas. A pesar de que la mayoría de las opiniones son positivas con respecto a estas iniciativas, también se han vertido algunas críticas. Principalmente estas vienen originadas porque no se han aclarado totalmente las funciones, responsabilidades y poder de la figura del ciberzar. 2.6.3. Más datos El número de incidentes en redes tanto del gobierno como de redes privadas de los que se informó al Computer Emergency Readiness Team del Departamento de Seguridad del Territorio prácticamente se dobló con respecto al año anterior, pasando de unos 37.000 a 72.000. Se espera que los presupuestos del gobierno de EE.UU. en securizar redes militares, de inteligencia y de otras agencias se incremente un 44%, hasta más de 10.700 millones de dólares en 2013, desde los 7.400 millones de dólares de este año. Los presupuestos crecerán entre un 7 y un 8 por ciento cada año, a un ritmo superior al de las tecnologías de la información, cuyo ritmo fue del 4 por ciento al año durante los últimos cinco años. Michael Chertoff, secretario de seguridad del territorio, declaraba, el 18 de diciembre: “Se necesita tener un plan desarrollado para una cibercrisis”. Si las redes de comunicaciones del gobierno de EE.UU. son atacadas por un grupo terrorista o un gobierno extranjero, Michael Chertoff se pregunta: “¿Se consideraría un acto de guerra? ¿Cómo se debe responder? A día de hoy no tenemos aún una estrategia de este tipo”. 76
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:53
Página 77
Anexo A
2.6.4. Acciones planificadas Barack Obama y Joe Biden –trabajando con la industria privada, la comunidad de investigadores y sus ciudadanos- liderarán un esfuerzo para construir una ciberestructura confiable, que proteja la ventaja competitiva de Norteamérica. Entre los objetivos se encuentran: • Apuntalar la fortaleza en ciberseguridad: Declarar la ciberinfraestructura un activo estratégico y nombrar un asesor nacional en ciberseguridad, quien informará directamente al presidente y será responsable de coordinar las esfuerzos de la agencia federal y el desarrollo de una directiva nacional de seguridad. • Iniciar acciones de investigación y desarrollo en informática segura y endurecer la ciberinfraestructura de la nación: Apoyar una iniciativa para el desarrollo de la nueva generación de ordenadores y elementos de red seguros para aplicaciones de seguridad nacional. Se trabajará con la industria y las universidades para desarrollar y desplegar una nueva generación de hardware y software seguro para las infraestructuras críticas. • Proteger las infraestructuras que mantiene segura la economía nacional: Trabajará con el sector privado para establecer nuevos estándares para ciberseguridad y resistencia física. • Prevención del ciberespionaje corporativo: Se trabajará con el sector privado para desarrollar los sistemas necesarios para proteger los secretos de la nación. • Desarrollo de una estrategia en cibercrimen para minimizar las oportunidades criminales: Desarrollo de herramientas para detectar y perseguir el cibercrimen. • Resolución de estándares para securizar los datos personales y requerimiento a las compañías privadas de revelar las brechas en datos de información personal: Desarrollando estándares para proteger los derechos de los individuos en la era de la información. 2.6.5. El Pentágono La amenaza de un nuevo tipo de terrorismo ha obligado al Pentágono a dotarse de un comando digital. En línea con la nueva estrategia del presidente Barack Obama de reforzar la protección de las redes informáticas de EE.UU., el Ejército estadounidense ha decidido diseñar una unidad operativa que asuma las tareas de ataque y defensa en la Red, creando el primer cibercomando de la historia militar del país. El Departamento de Defensa de EE.UU. recibió, sólo en 2008, 360 millones de intentos anónimos de intrusión en sus redes. Un grupo de ciberterroristas chinos tuvo un acceso casi total al programa Joint Strike Fighter, el más caro de la historia militar de Estados Unidos. Lograron copiar miles de gigas de información sobre la construcción de una nueva generación de aviones militares. En otros episodios separados, un grupo 77
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 78
Seguridad Nacional y Ciberdefensa
de atacantes penetró en el sistema de control de la Fuerza Aérea y otro dejó un rastro de software maligno con el que podría haber llegado a tomar control del suministro eléctrico de EE.UU., del que dependen 300 millones de personas. Para evitar lo que diversos medios en Internet han bautizado como un posible “Pearl Harbor electrónico”, la Administración de Barack Obama ha decidido crear un nuevo comando militar en el ejército dedicado a la lucha contra los ataques cibernéticos, según reveló recientemente el jefe de la Agencia de Seguridad Nacional, el teniente general Keith B. Alexander. “Mantener libertad de acción en el ciberespacio en el siglo XXI es tan importante para los intereses de EE.UU. como la libertad marítima en el siglo XIX o aérea y espacial en el siglo XX”, dijo en una comparecencia ante un subcomité de Servicios Armados de la Cámara de Representantes el pasado 6 de mayo. El nombre de Keith B. Alexander suena, de hecho, como candidato para liderar este equipo que estará bajo la tutela del Comando Estratégico, encargado de la defensa espacial e informática, del escudo de misiles y de la detección de armas de destrucción masiva. En los últimos años, en los pasillos del Pentágono ha crecido la inquietud por un tipo de terrorismo al que no se ha prestado mucha atención. En una comparecencia ante el Comité de Fuerzas Armadas del Senado, el teniente general William Shelton, de la Fuerza Aérea, declaró: “Las amenazas del ciberespacio aumentan a la velocidad de la luz”. Según un informe de la Oficina de Control Gubernamental de junio del año pasado, un 70% de los ordenadores de las 24 agencias de inteligencia y seguridad de EE.UU. no disponía de codificación adecuada que pudiera proteger frente a un posible ataque externo. En general, la inmensa mayoría de estas agencias carece de seguridad adecuada en muchos de sus dispositivos, especialmente los móviles. A pesar de sufrir ataques y filtraciones constantes y de haber sido incapaz de blindar a todas las agencias de inteligencia, sólo en el último semestre el Pentágono se gastó 74 millones de euros en responder a ataques y reparar daños provocados por estos ataques cibernéticos, según reveló en abril el general John Davis.
3. Reino Unido 3.1. Contexto
Los ataques terroristas de Londres del 7 de julio de 2005, a diferencia de los que ocurrieron en Estados Unidos, no puede decirse que supusieran un cambio radical en la política interna de defensa, ya que anteriormente el terrorismo y la seguridad nacional ya habían sido tratados (probablemente debido a la existencia del IRA). Sin embargo, no cabe 78
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 79
Anexo A
duda que este tipo de hechos han impulsado mejoras o actualizaciones, e incluso nuevas políticas y estrategias para la seguridad. En cuanto a los hechos destacables relacionados con la Seguridad Nacional y la Ciberdefensa, podemos resaltar los siguientes: • Año 1782; creación del Ministerio del Interior. • Año 1969; creación del CESG (“Communications-Electronics Security Group”). • Año 2007; creación del CPNI (“Centre for the Protection of National Infrastructure”).
3.2. Legislación, planes y estrategias La legislación más destacable en Reino Unido relativa a la ciberdefensa data del año 1990, y se denominó Ley de Abuso del Ordenador (“The Computer Misuse Act 1990”, CMA). Fue introducida para tratar principalmente los delitos de hacking, y ha sido actualizada recientemente por la Ley de Justicia y Policía (“Police and Justice Act 2006”). Para definir los objetivos relacionados con la seguridad nacional y la ciberdefensa, el Ministerio del Interior, y otros organismos con responsabilidades de seguridad, han elaborado la serie de estrategias y planes que se enumeran a continuación: • Manual contra el Cibercrimen denominado “El futuro del cibercrimen ahora” (“The future of netcrime now”), publicado en el año 2004. • La Estrategia Nacional de Seguridad de la Información (“A National Information Assurance Strategy”) publicada en los años 2003 y 2007. • Creación del Centro para la Protección de Infraestructuras Nacionales (“Centre for the Protection of National Infrastructure”) en el 2007. • Desarrollo del Programa Técnico de Seguridad de la Información (“The Information Assurance Technical Programme, IATP”). • La Estrategia Nacional de Seguridad (“The National Security Strategy of the United Kingdom”) del año 2008.
3.3. Organización y responsabilidades Existe un gran número de organizaciones gubernamentales involucradas en los aspectos de protección de las TIC del Reino Unido. Los organismos más destacados son los siguientes: •
Oficina del Consejo de Ministros de Reino Unido (“UK Government's Cabinet Office”) La Oficina del Consejo de Ministros es la “oficina central” del gobierno y juega un papel fundamental proporcionado guías y estableciendo estándares para el uso de las tecnologías de la información en el gobierno. o Patrocinador Central para la Seguridad de la Información (“Central Sponsor for Information Assurance”, CSIA). 79
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 80
Seguridad Nacional y Ciberdefensa
El CSIA, como unidad de la Oficina del Consejo de Ministros, tiene el rol de coordinar la variedad de proyectos relacionados con la seguridad de los sistemas de información a lo largo de las organizaciones gubernamentales, buscando las necesidades de seguridad o haciendo hincapié en que éstas deben de ser satisfechas. El CSIA trabaja con socios gubernamentales, el sector privado y sus homólogos internacionales para mantener una infraestructura de información nacional confiable, segura y resistente. •
Ministerio del Interior (“Home Office”) Este ministerio desempeña diversas funciones relacionadas con la seguridad de la información. Es el responsable de asegurar que las Infraestructuras Nacionales Críticas de Reino Unido están protegidas y vigilar el cibercrimen. Por otro lado, trata con un amplio rango de iniciativas para la reducción del crimen que tienen un impacto en la seguridad de la información. o Agencia contra el Crimen Organizado (“Serious and Organised Crime Agency”, SOCA) La SOCA está esponsorizada por el Ministerio del Interior, pero es una organización operacionalmente independiente. Dentro de la SOCA, la Unidad de Cibercrimen Nacional (“National Hi-Tech Crime Unit, NHTCU”) pasó a formar parte de la Agencia en 2004, y es la encargada de la lucha contra el cibercrimen. o Centro para la Protección de Infraestructuras Nacionales (“Centre for the Protection of National Infrastructure”, CPNI). (Ver apartado 3.4.2) El CPNI es una organización interdepartamental establecida por el Ministerio del Interior en 1999 para minimizar el riesgo de ataques contra las Infraestructuras Críticas Nacionales de Reino Unido. Trabaja en sociedad con los propietarios de los sistemas que soportan servicios críticos, tanto en el sector privado, como público, y ofrece consejo sobre las mejores prácticas para la protección de los sistemas de información de las organizaciones. •
Ministerio de Justicia (“Ministry of Justice”) Este ministerio es el responsable de dirigir los programas de reforma legal del gobierno, y de la protección e intercambio de información de carácter personal, tanto a nivel doméstico, como representando los intereses nacionales de Reino Unido. •
Cuartel de Comunicaciones del Gobierno (“Goverment Communications Headquarters”, GCHQ) El GCHQ es una organización relacionada con la inteligencia y la seguridad. Esta organización informa al Secretario de Asuntos Exteriores y trabaja estrechamente con otras agencias de inteligencia de Reino Unido (MI5 y MI6). 80
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:55
Página 81
Anexo A
Grupo de Seguridad Electrónica y de Comunicaciones (“Communications-Electronics Security Group”, CESG) El CESG, dependiente del GCHQ, es la autoridad técnica nacional para la seguridad de la información. Proporciona consejos de seguridad a los departamentos gubernamentales, agencias, gobiernos locales y en general el sector público para ayudarles a alcanzar sus objetivos de negocio de forma segura. o
•
Oficina del Comisionado de Información (“Information Commissioner's Office”, ICO) La ICO es una autoridad independiente establecida para promover el acceso a la información oficial y proteger la información personal. La ICO asiste a las organizaciones para que entiendan sus obligaciones, y las mantengan actualizadas cuando estas cambian. •
Departamento para el Negocio, la Empresa y la Reforma Regulatoria (“Department for Business, Enterprise and Regulatory Reform”, BERR) El BERR apunta al incremento de la productividad y a fomentar la confianza en el mundo de los negocios en Reino Unido a través del uso de las nuevas tecnologías de la comunicación e información. El BERR trabaja con las compañías para aumentar la concienciación sobre la importancia de una gestión de la seguridad de la información efectiva, y fomenta la adopción de estándares de seguridad como la ISO/IEC 27001.
3.4. Ciberdefensa 3.4.1. Estrategia Nacional de Seguridad (2008) La Estrategia Nacional de Seguridad no determina exactamente ni objetivos, ni medidas de aplicación relacionadas con la Ciberdefensa, pero en los apartados dedicados a tendencias globales recalca la importancia de gestionar los riesgos de ciberataques dentro de las TIC, por la alta dependencia que tienen de ellas tanto la sociedad, como la economía. Por otro lado, la Estrategia determina que Internet es parte de la infraestructura crítica nacional y que puede ser tanto un objetivo, como un medio para naciones hostiles, terroristas y criminales. 3.4.2. Protección de Infraestructuras Nacionales La protección de las infraestructuras críticas es responsabilidad del Centro para la Protección de las Infraestructuras Nacionales (Centre for the Protection of National Infrastructure, CPNI). El CPNI se formó como resultado de la fusión del Centro de Coordinación de Seguridad de las Infraestructuras (NISCC) y del Centro Nacional de Asesoramiento en Seguridad (NSAC), el cuál era una parte del MI5. 81
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 82
Seguridad Nacional y Ciberdefensa
El NISCC aconsejaba e informaba sobre seguridad en redes y otros asuntos de seguridad de la información y el NSAC aconsejaba en materia de seguridad de las instalaciones y del personal. Tras la fusión de ambos, el CPNI proporciona asesoramiento conjunto en seguridad (de las instalaciones, de las personas y de la información) a las organizaciones y empresas que conforman la infraestructura nacional. Con el asesoramiento del CPNI, se protege la seguridad de la nación reduciendo las vulnerabilidades de las infraestructuras. El CPNI es un centro interministerial, que da apoyo a un gran número de ministerios y agencias gubernamentales. Responde ante el Director General de los Servicios de Seguridad (MI5). El asesoramiento que presta es fruto de la experiencia, los conocimientos y la información de las organizaciones que contribuyen a su trabajo. Entre las actividades del Centro caben destacar: • Patrocinio de la investigación y el trabajo en colaboración con instituciones académicas, otras agencias gubernamentales, instituciones de investigación y el sector privado, para desarrollar instrumentos que puedan reducir la vulnerabilidad frente a ataques terroristas y otros que disminuyan el impacto cuando ocurran los ataques. El asesoramiento incluye formación, publicación de información importante a través de la Web y la elaboración de documentación específica para cada sector. • Publicación de información de ayuda en seguridad para organizaciones y empresas que no formen parte de las infraestructuras nacionales. Dicha información incluye consejos antiterroristas y para la prevención del crimen. El CPNI trabaja a varios niveles para proteger la infraestructura nacional de los ataques (los expertos del Centro producen un conjunto de publicaciones actualizadas, focalizadas en la mitigación del riesgo al que están expuestos los operadores de las infraestructuras nacionales), lleva a cabo sus propios programas de desarrollo e investigación, y trabaja con varios socios para mejorar las capacidades futuras. El trabajo del CPNI está dividido en varias parcelas: • Asesoramiento del Equipo Combinado de Respuesta ante Incidentes de Seguridad (“Combined Security Incident Response Team Advisory”) El servicio es básicamente un CERT (Computer Emergency Response Team) que recibe, revisa y responde a los incidentes de seguridad en los equipos informatizados, proporcionando asesoramiento relacionado con la actividad de cara a la gestión de este tipo de incidentes. • Publicaciones Generales de Seguridad Preventiva El CPNI publica un conjunto de documentos diseñados para pro82
JV23 045 146.qxp:libro cátedra Isdefe.qxd
7/10/09
09:30
Página 83
Anexo A
porcionar asesoramiento claro y conciso. Entre los aspectos incluidos se encuentra el de protección contra el terrorismo o la seguridad del personal. • Sesiones InfoSec Las Sesiones InfoSec del Centro engloban un conjunto de documentos de interés general, que destacan los riesgos a los que se expone la infraestructura nacional. • Notas Técnicas de Seguridad de la Información Las notas están diseñadas para ofrecer consejos prácticos en el tratamiento de los tópicos de seguridad y están dirigidas a los profesionales de seguridad de la información. Las últimas notas incluidas contemplan aspectos de seguridad en las ADSL, implementación de detectores de intrusos y asesoramiento sobre la seguridad de portales Web. • Identificación de Vulnerabilidades InfoSec El Centro lleva a cabo una labor de investigación de vulnerabilidades en los equipos informáticos, para determinar las amenazas, identificar problemas, y trabajar con los proveedores para proporcionar parches para el software. • Guías de Buenas Prácticas El Centro promueve las mejores prácticas entre los operadores de infraestructuras nacionales, reflejando el compromiso del mismo en el intercambio de información. • Punto de Vista Los informes sobre puntos de vista son desarrollados para proporcionar un resumen sobre tecnologías emergentes y otros aspectos relacionados con el sector de las TIC. Cabe puntualizar que estos informes no tienen porque presentar medidas de mitigación de riesgos, como si ofrecen otros productos del Centro. • Intercambios de Información El Centro sirve como punto de recogida e intercambio de información entre todos los Socios, con el fin de que la experiencia acumulada pueda servir de control preventivo para futuras ocasiones. 3.4.3. Estrategia Nacional de Seguridad de la Información Publicada en el 2007 por el CSIA, está dividida en una serie de epígrafes entre los que destacan: 1-. El resultado esperado de la Estrategia: o Mejor capacidad del Gobierno en la provisión de los servicios públicos a través de un uso apropiado de las TIC. o Que la seguridad nacional de Reino Unido sea fortalecida protegiendo la información, y los sistemas de información ante el riesgo de compromiso de los mismos. o Que el bienestar económico y social de Reino Unido sea realzado, a nivel gubernamental y privado, y que los ciudadanos observen las ventajas completas de las TIC. 83
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:56
Página 84
Seguridad Nacional y Ciberdefensa
2-. Las Amenazas y Vulnerabilidades existentes en relación a la seguridad de la información. 3-. Los Beneficios para el Gobierno y Sector Público por la inclusión de la Seguridad de la Información en las TIC son: o Mejora de la confianza en el manejo de la información del Gobierno. o Reducir el riesgo de potenciales daños financieros, reputacionales u operacionales a las organizaciones. o Asegurar que el Gobierno consigue los productos y servicios de seguridad de la información más valiosos y apropiados. 4-. Los Objetivos en los que se focaliza la Estrategia para conseguir el resultado esperado: o Lograr una gestión de riesgos clara y efectiva por parte de las organizaciones. o El acuerdo y cumplimiento sobre los estándares de seguridad de la información apropiados. o El desarrollo y disponibilidad de las capacidades de seguridad de la información apropiadas. 5-. Los Actores en la implementación de la Estrategia: En la Estrategia se aboga porque todos los organismos con responsabilidades en la seguridad de la información (CESG, CSIA, CPNI, etc.) intervengan en la implantación de la Estrategia. 3.4.4. Programa técnico de Seguridad de la Información (ATP) El ATP es un programa dirigido por el CSIA que incluye a diversos organismos gubernamentales, y que está siendo realizado en colaboración con la industria. Este programa surge como piedra angular de la Estrategia Nacional de Seguridad de la Información y parte de una situación o premisas, para obtener unos resultados en 2011: • La situación de partida, en 2004, para el programa era el siguiente: o Una industria de seguridad de la información fragmentada y débil dentro de Reino Unido, debido, entre otras cosas, a la falta de inversión del Gobierno. o Pérdida potencial de soberanía en el sector industrial de la seguridad de la información. o Incapacidad para proporcionar al Gobierno las comunicaciones seguras que necesitaba. o Incremento de las amenazas sobre las redes del Gobierno y el traslado a comunicaciones más complejas y vulnerables para posibilitar el gobierno electrónico y un trabajo flexible. • Los resultados que persigue el Programa son, por un lado, capacitar al gobierno para poder utilizar las TIC más punteras para soportar su negocio, y por el otro, mantener la confidencialidad, integridad y disponibilidad de la información. 84
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
14:57
Página 85
Anexo A
Debido al dinamismo del sector de las TIC, el Programa capacitará al Gobierno a utilizar las mejores soluciones que estén disponibles para gestionar sus operaciones, por lo que el Programa generará un entorno en el que: • El gobierno del Reino Unido pueda trabajar de forma más cercana y cohesionada con la industria de las TIC del Reino Unido. • La Industria del Reino Unido sea capaz de proporcionar soluciones de seguridad de la información más efectivas en cuanto a coste y tiempo de puesta en el mercado se refiere. Para alcanzar el escenario propuesto para 2011, el ATP tiene dos objetivos estratégicos: • La creación y soporte de una soberanía sostenible en el sector industrial de la seguridad de la información (incluyendo el mecanismo “intelligent customer mechanism” para operar entre la industria y el Gobierno). El “Intelligent Customer Mechanism” (ICM) es el corazón del trabajo del Programa. Es un mecanismo colaborativo de trabajo que capacita al gobierno del Reino Unido a gestionar su información de una forma segura. • Desarrollo, junto con la industria y según las necesidades del Gobierno, de una rápida capacitación en la seguridad de la información. 3.4.5. Manual contra el cibercrimen (“The future of netcrime now”) En el desarrollo de la Ciberdefensa del Reino Unido, el primer esfuerzo específico fue realizado por el Ministerio del Interior publicando en 2004 un manual sobre el denominado “cibercrimen”, en el que se proponían una serie de medidas a adoptar para reducir la tasa de criminalidad en delitos perpetrados a través de la red. Las medidas propuestas son las mostradas en la Figura 3-1.
Figura 13. Medidas contra el cibercrimen. Fuente: Documento consultado nº [102] 85
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 86
Seguridad Nacional y Ciberdefensa
Básicamente, las medidas se dividen en 4 grandes grupos: • Las destinadas a aumentar el esfuerzo para lograr más seguridad: diseñar las aplicaciones teniendo en cuenta la seguridad; aumentar la prioridad de la seguridad en TIC; aumentar la concienciación del usuario en seguridad; eliminar los medios que facilitan o promueven actividades ilegales en la red. • Las destinadas a aumentar el riesgo que corre el criminal de ser detectado y atrapado: registrar las transacciones; desarrollar una vigilancia organizativa; desarrollar técnicas de investigación, y planes de formación para especialistas; evaluar el papel del crimen organizado; identificar nuevas fuentes de conocimiento y habilidades; inversión en equipos adecuados; formar a los encargados de reforzar la legalidad; mejorar las instalaciones de la justicia para que puedan presentarse evidencias tecnológicas; revisar la vigilancia policial de la red, fomentar y alentar las denuncias por parte de las víctimas. • Las destinadas a reducir la “recompensa” que obtiene el criminal: analizar qué recompensas obtiene el criminal; garantizar la puesta en marcha de planes de continuidad basados en los riesgos. • Las destinadas a eliminar los motivos de los ataques: campañas de información y de promoción de la navegación segura y legal por Internet, informando a los usuarios de las consecuencias de actos comunes pero ilegales (piratería, acceso no autorizado a sistemas, etc.); aumentar los consejos al usuario por parte de los operadores; comunicar la política de seguridad de las TIC a los miembros de la plantilla en las organizaciones; promover el estándar de seguridad ISO 17799; facilitar los medios (herramientas y software gratuitos, etc.) para aumentar la seguridad de los usuarios de servicios gubernamentales a través de Internet. 3.4.6. Otras iniciativas civiles en ciberdefensa Como se comentó con anterioridad, en el Reino Unido existe un amplio conjunto de organizaciones gubernamentales que realizan funciones relacionadas con la Ciberdefensa y que complementan los planes y estrategias enumerados con anterioridad. Los siguientes epígrafes resumen brevemente el cometido de estas organizaciones. 3.4.6.1. Esfuerzos del CESG. El CESG protege y promueve los intereses de Reino Unido proporcionando consejo y asistencia relativos a la seguridad de las comunicaciones y la información electrónica. Esta organización proporciona políticas de seguridad de la información, así como los servicios y asistencia al Gobierno, y otros clientes, que necesitan para proteger sus servicios de información críticos. En concreto, las actividades del CESG se pueden resumir en los siguientes grupos: 86
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 87
Anexo A
Asistencia Técnica: • Asistencia técnica inicial en el diseño de opciones para arquitecturas TIC seguras. • Consultoría técnica en profundidad en los aspectos de la seguridad de la información. • Ayuda en la interpretación de estándares de seguridad como el BS 7799. • Guía en el uso e implementación de productos criptográficos y otros productos de seguridad de la información certificados. • Consejo sobre el uso e idoneidad de los algoritmos criptográficos. Documentación: • Desarrollo de documentación de seguridad de los sistemas. • Consejo sobre las fuentes y estatus de la documentación técnica. • Feedback verbal y escrito sobre la documentación técnica. Otros Servicios: • Asignación de un consejero durante todo el ciclo de los proyectos. • Información sobre proveedores con productos certificados. • Acceso a fuentes alternativas de asesoramiento técnico. • Formación en aspectos específicos de seguridad de la información. 3.4.6.2. Esfuerzos del BERR. El BERR se ha focalizado en integrar las mejores prácticas de seguridad dentro de las compañías del Reino Unido. Las principales actividades que realiza son: • Desarrollo de unas páginas de consejos de seguridad para las PyMEs, que proporcionan un entendimiento fácil, sin jerga técnica, sobre aspectos relacionados con la seguridad de la información. • Desarrollo bienal de Estudios sobre Incidentes de Seguridad de la Información para ayudar a entender los riesgos existentes para la información. • Colaboración en el desarrollo de un portal de e-learning sobre Seguridad de la Información. • Promoción del desarrollo de los estándares internacionales apropiados, y los marcos regulatorios a través del Comité de Dirección del ENISA, del cual el BERR es miembro. • Trabajo con las compañías para desarrollar soluciones a problemas emergentes. 3.4.6.3. Esponsorización del CSIA de la Iniciativa “Consigue seguridad online” (“Get safe online”). La iniciativa aúna esfuerzos del sector público y privado para incrementar el nivel de concienciación en la seguridad de Internet. La iniciativa consiste en un portal Web que ofrece asesoramiento y guía para incrementar la seguridad on line. 87
JV23 045 146.qxp:libro cátedra Isdefe.qxd
7/10/09
09:36
Página 88
Seguridad Nacional y Ciberdefensa
3.4.7. Esfuerzos del Ministerio de Defensa El Ministerio de Defensa de Reino Unido (Ministry of Defence, MoD), al igual que su homólogo estadounidense, contempla la Ciberdefensa como una capacidad que ha de desarrollar. Considera que el ciberespacio es, y será cada vez más, un nuevo campo de batalla, como lo son el mar, el aire o la tierra tal como puede observarse en los documentos “DCDC Global Strategic Trend 2007-2036” y “The Defence White Paper: Delivery Security in a Changing World”. Basándose en la “aparición de un nuevo campo de batalla”, el MoD ha incluido (dentro de su documento “Estrategia de la Tecnología de Defensa para las demandas del siglo XXI”, enfocado al personal del MoD relacionado con la adquisición de medios para el ejército) los siguientes aspectos de Ciberdefensa como prioritarios: • Dentro de la recolección de información (datos de fuentes reales y entrega de estos datos para labores de inteligencia) destaca la Ciberrecolección, determinando como tecnologías prioritarias aquellas que permitan realizar: o Representación de diagramas de redes (“network mapping”). o Monitorización de tráfico y sistemas. o Análisis de vulnerabilidades. o Análisis e integración de eventos de seguridad. o Fusión de información. • Dentro de la seguridad de la información de las TIC determina como tecnologías prioritarias: o La Criptografía. o La Defensa de Redes de Ordenadores (concepto análogo al de “Operaciones de Redes de Ordenadores” de EE.UU) en donde incluye: Sistemas de Detección de Intrusos. Sensores. Protección de Intrusiones. Análisis e Integración de Eventos de Seguridad. Reacción y Respuesta. Protección contra Virus, Gusanos y Malware. Gestión de Parches de Seguridad. Prevención de Denegaciones de Servicio. o Las Técnicas de Intercambio Seguro de Información. o El Control de Acceso y Gestión de Identidades. La estrategia de Ciberdefensa definida por el MoD, se puede decir que cobra un especial impulso si hacemos caso a las últimas noticias aparecidas en la prensa, en las que personal del DoD admite que aspectos como la “Defensa de Redes de Ordenadores” o la Inteligencia a través de Internet, son áreas de gran interés. 88
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 89
Anexo A
Aparte de la identificación de necesidades, que a fecha de hoy contarán con un nivel mayor o menor de cobertura, cabe destacar que el MoD posee un CERT propio (MoDCERT) y que es miembro del “FIRST” (“Forum of Incident Response Security Teams”) y del “Trusted Introducer Scheme” (el “Trusted Introducer” es la red de confianza para los CERTs en Europa). El MoDCERT es una organización distribuida formada por un Centro de Coordinación (el “Joint Security Co-ordination Centre” o JSyCC) y un “área técnica” (“Defence Equipment & Support Industry Security Services Defensive Information Operations” o DE&S ISS DIO). Por otro lado, este Centro está soportado por diversos Centros de Información y Monitorización (“Monitoring and Reporting Centres, MRCs") y Puntos de Información, Asesoría y Alerta (“Warning, Advice and Reporting Points, WARPs”). El MoDCERT trabaja estrechamente con el GOVCERUK (UK Government CERT) y el CPNI.
4. Alemania 4.1. Contexto
Aunque Alemania no haya sufrido durante los últimos años ningún ataque terrorista significativo, su condición de importante potencia a nivel mundial hace que al igual que en otros países, durante los últimos años, el gobierno haya trabajado en la mejora de la seguridad de su país. Por ello, los hechos más relevantes relacionados con la Seguridad Nacional y la Ciberdefensa que destacamos dentro de Alemania, o que han afectado al país, son los siguientes: • Creación del Ministerio Federal del Interior (BMI) en el año 1949. • Creación del Oficina Federal de Seguridad de la Información (BSI) en el año 1990. • Ciberataques sufridos por Estonia en el año 2007.
4.2. Legislación, planes y estrategias Alemania ha desarrollado legislación relativa a ciberdefensa, entre la que destaca el “paquete” relativo a las Leyes contra el Cibercrimen (ej. Ley anti-hacking aprobada en 2007). Por otro lado, en cuanto a los principales planes y estrategias relacionados con la seguridad nacional y la ciberdefensa se refiere, caben ser destacados los que se enumeran a continuación: • Plan Nacional para la Protección de Infraestructuras de Información (“National Plan for Information Infrastructure Protection, NPIIP”) del año 2005. • Guía del Concepto de Protección de Infraestructuras Críticas (“Protection of Critical Infrastructures-Baseline Protection Concept”) del año 2006. 89
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 90
Seguridad Nacional y Ciberdefensa
4.3. Organización y responsabilidades La agencia encargada de la seguridad interna de Alemania es el Ministerio Federal del Interior (BMI), quien coordina las acciones a tomar en la protección de infraestructuras críticas. En el siguiente diagrama puede observarse la estructura del BMI de forma gráfica:
Figura 14. Estructura y organización en Alemania. Fuente: Documento consultado nº [107].
Dentro del BMI existen los siguientes organismos: • La Oficina Federal de Seguridad de la Información (BSI): esta oficina tiene un papel primordial en la protección de las infraestructuras críticas. Trata todas las áreas relacionadas con la seguridad del ciberespacio (se detallan a continuación) y toma acciones preventivas, analizando las tecnologías de la información y desarrollando las medidas de protección adecuadas: o Internet: análisis, conceptos, asesoramiento a otras agencias. o Gestiona el grupo de respuesta de emergencia (computer emergency response team, CERT) y el centro de virus informáticos. o Aspectos de seguridad en red y criptografía, PKI, biometría. o Protección de Infraestructuras críticas. Dentro del propio BSI, cabe destacar el CERT-Bund que es el CERT central de todas las agencias federales. Este Centro coordina a los CERTs individuales que pudieran tener las propias agencias, y advierte y acon90
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 91
Anexo A
seja sobre vulnerabilidades de seguridad, tanto al sector privado, como al público. En caso de emergencia, proporciona un equipo de especialistas para analizar el problema e informar inmediatamente a los usuarios de los posibles riesgos y sobre cómo deben actuar. Al CERT-Bund también se han unido los CERTs de importantes empresas del sector privado. Finalmente, con el objeto de proporcionar a la pequeña y mediana empresa sin departamento de TIC, un medio de alerta ante amenazas de seguridad, se creó el MCert. • La Oficina Federal para la Protección Civil y Respuesta a los Desastres (BBK), es la encargada de la protección física. • La Oficina Federal de Policía Criminalista (BKA) es la responsable de perseguir los crímenes contra la seguridad (interna o externa) en Alemania, y los crímenes que impliquen el daño o la destrucción de infraestructuras críticas. Además, la BKA es la agencia donde se realizan los análisis de los crímenes de las tecnologías de la información y las comunicaciones. Por otro lado, dado que el 90% de las infraestructuras críticas en Alemania están en manos del sector privado, el Ministerio de Economía y Trabajo (BMWA) también tiene su papel en la protección de las infraestructuras. Así, por ejemplo, una de sus funciones es desarrollar el marco para asegurar el suministro de energía y además, es responsable de garantizar que estén disponibles las infraestructuras y servicios necesarios de telecomunicaciones. Dependiente del BMWA, la Autoridad Reguladora de Telecomunicaciones y Correos (RegTP) tiene como responsabilidad reforzar las normas importantes, en particular aquellas que aseguren la fiabilidad y la seguridad de las redes de telecomunicaciones.
4.4. Ciberdefensa 4.4.1. Protección de infraestructuras críticas El ejercicio que ha realizado Alemania relacionado con la protección de sus infraestructuras críticas se ha basado principalmente en tres pilares. El primero de ellos, relacionado con la identificación de las infraestructuras críticas, como son los siguientes sectores: • • • • • • • •
Transporte y tráfico Energía Materiales peligrosos Telecomunicaciones y tecnologías de la información Finanzas Servicios Administración pública y sistema de justicia Otros: medios de comunicación, edificios simbólicos, centros de investigación. 91
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 92
Seguridad Nacional y Ciberdefensa
Una vez identificadas las infraestructuras a proteger, el gobierno alemán lleva a cabo una estrategia de protección exhaustiva que incluye los siguientes elementos: 1-. Medidas preventivas a todos los niveles. 2-. Mejorar la capacidad de detección temprana y respuesta rápida, tanto para controlar el posible daño como para encontrar a quién lo haya causado. 3-. Limitar los efectos de los ataques exitosos lo máximo posible. 4-. Asegurar que los sistemas afectados continúan funcionando a un nivel mínimo o que su tiempo de recuperación sea lo más breve posible. Para poder llevar a cabo la estrategia de protección, se ha procedido al desarrollo de los otros dos pilares de actuación: • La Guía del “Concepto de Protección de Infraestructuras Críticas”, focalizada principalmente en las compañías privadas. En esta guía no se mencionan objetivos y medidas relativos a Ciberdefensa, pero sí se contemplan las infraestructuras TIC como infraestructuras críticas del país. • Desarrollo del “Plan Nacional para la Protección de Infraestructuras de Información” (“National Plan for Information Infraestructure Protection”), que se analiza en mayor profundidad a continuación. 4.4.2. Plan Nacional para la protección de infraestructuras de información Para garantizar la protección de las infraestructuras de información, Alemania ha establecido 3 objetivos estratégicos en el Plan Nacional para la Protección de Infraestructuras de Información (NPIIP): 1-. Prevención: proteger las infraestructuras de información de forma adecuada. 2-. Preparación: responder de forma efectiva a los incidentes de seguridad de TIC. 3-. Sostenibilidad: mejorar las competencias de Alemania en las TIC y desarrollar estándares internacionales. Con el NPIIP, el gobierno alemán deja claro que la protección de las infraestructuras de la información es la base para el correcto funcionamiento de las infraestructuras de todo el país. Al igual que en la mayoría de países, para proteger las infraestructuras es vital la cooperación entre la administración y el sector privado. En el NPIIP, se marcan una serie de hitos, relacionados con los objetivos estratégicos comentados anteriormente: 1-. Aumentar la concienciación sobre los riesgos relacionados con las tecnologías de la información. 2-. Empleo de productos y sistemas TIC seguros. 3-. Respetar la confidencialidad. 4-. Poner en práctica las salvaguardas. 92
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 93
Anexo A
5-. 6-. 7-. 8-. 9-. 10-. 11-. 12-. 13-.
Crear condiciones y líneas a seguir en el contexto de las TIC. Coordinar las estrategias de seguridad. Dar forma a las políticas nacionales e internacionales. Identificar, registrar y evaluar los incidentes. Informar, alertar y prevenir. Responder a los incidentes de seguridad en las TIC. Promover tecnologías de la información fiables y de confianza. Mejorar las competencias nacionales en seguridad en las TIC. Entrenar en competencias de seguridad en la educación escolar y en el sector profesional. 14-. Promover la investigación y el desarrollo. 15-. Expandir la coordinación internacional y el desarrollo de estándares. En resumen, los hitos del 1 al 7 están relacionados con el primer objetivo estratégico (Prevención), los que van del 8 al 10, con el objetivo estratégico de Preparación y, por último, los cuatro últimos, del 11 al 15, con el objetivo estratégico de Sostenibilidad.
5. España 5.1. Contexto
Los hechos de mayor relevancia que han influido en España, junto a los ataques terroristas del 11 de septiembre del 2001 en EE.UU. y el 7 de julio de 2005 en Reino Unido, en aspectos relativos a la Seguridad Nacional y la Ciberdefensa, son los atentados islamistas del 11 de marzo de 2004 en Madrid y los Ciberataques sufridos por Estonia en el año 2007.
5.2. Legislación, planes y estrategia A diferencia de otros países, la legislación española referente a la Seguridad Nacional y la Ciberdefensa no se encuentra recogida en leyes específicas sino que son aspectos que se tratan de manera más o menos profunda dentro de la legislación. Por lo tanto, destacaríamos dentro de la normativa los siguientes aspectos: • Leyes recogidas en la “Guía Legal de Respuesta Jurídica frente a los Ataques contra la Seguridad de la Información” publicada por Inteco, en la que se relacionan las amenazas, las medidas de protección y las medidas legales relativas a los ataques. • El conjunto de Artículos del Código Penal y Leyes que tratan de manera directa o indirecta el tema del terrorismo. Por otro lado, en cuanto a los principales planes y estrategias relacionados con la Seguridad Nacional y la Ciberdefensa, los más destacados son los siguientes: 93
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 94
Seguridad Nacional y Ciberdefensa
• • • • • •
Directiva de Defensa Nacional de 2004. Plan Nacional de Protección de las Infraestructuras Críticas. Desarrollo del Centro de Alerta Temprana Antivirus (CATA). Desarrollo de diversos CERT´s (públicos y privados). Esfuerzos realizados por el CCN para la mejora de la seguridad de la información en la Administración Publica. MoU del 14 de mayo de 2008 para la participación de España en el Centro de Excelencia de Ciberdefensa Cooperativa.
5.3. Organización y responsabilidades Los organismos vinculados a la Seguridad Nacional y Ciberdefensa en España son los siguientes: • El Ministerio del Interior que tiene asignadas, entre otras, las siguientes responsabilidades: o La preparación y ejecución de la política del Gobierno en relación con la administración general de la seguridad ciudadana. o La promoción de las condiciones para el ejercicio de los derechos fundamentales, especialmente en relación con la libertad y seguridad personal, en los términos establecidos en la Constitución Española y en las leyes que los desarrollen. o El mando superior, la dirección, y la coordinación de las Fuerzas y Cuerpos de Seguridad del Estado. o El ejercicio de las competencias legalmente atribuidas sobre protección civil. Dentro del Ministerio del Interior, existen diversos grupos o unidades relacionadas con actividades de Ciberdefensa entre los que destacan: o La Dirección General de Infraestructuras y Material de Seguridad que es el órgano encargado de desarrollar el Plan Nacional de Protección de Infraestructuras Críticas y que está integrado por las siguientes Subdirecciones Generales: La Subdirección General de Planificación y Gestión de Infraestructuras y Medios para la Seguridad. La Subdirección General de Sistemas de Información y Comunicaciones para la Seguridad.
Grupo de Delitos Telemáticos de la Guardia Civil La misión encomendada a este grupo es la siguiente: Llevar a cabo todas aquellas investigaciones relacionadas con la delincuencia informática que le encomienden las Autoridades judiciales, o que conozca por comunicaciones y denuncias de los ciudadanos, que por su importancia o relevancia social, dificultad técnica o número de afectados, aconsejen la dedicación de los recursos materiales y humanos más técnicos de la Guardia Civil. o
94
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 95
Anexo A
Detección de delitos informáticos en la Red (patrullas cibernéticas). Apoyar las investigaciones, en aquellos aspectos técnicos que se precisen, de la Unidad Central Operativa (UCO), en la que se encuentra encuadrada. Formación del personal de los Equipos de Investigación Tecnológica de las unidades territoriales de la Guardia Civil. Codirección Técnica de los Equipos de Investigación Tecnológica (EDITE,s). Representar y promover la participación de la Guardia Civil en cuantos encuentros, foros o seminarios internacionales se organicen sobre investigación tecnológica y cibercriminalidad. Punto de contacto de cooperación internacional en el ámbito del cibercrimen. Coordinar la participación de la Guardia Civil en investigaciones de cooperación o colaboración internacional en el ámbito del cibercrimen. o Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía La Brigada de Investigación Tecnológica es la Unidad policial destinada a responder a los retos que plantean las nuevas formas de delincuencia como son la pornografía infantil; estafas y fraudes por Internet; fraudes en el uso de las comunicaciones; ataques cibernéticos; piratería, etc. Su misión consiste en obtener las pruebas, perseguir a los delincuentes y poner a unas y otros a disposición judicial. Para poder desarrollar su labor, las “herramientas” que utilizan son: la formación continua de los investigadores; la colaboración con las más punteras instituciones públicas y privadas; la participación activa en los foros internacionales de cooperación policial y la colaboración ciudadana. o El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia, es el Organismo responsable de coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las tecnologías de la información en ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo. o El Instituto Nacional de Tecnologías de la Comunicación (INTECO), promovido por el Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología. Este Instituto desarrolla, entre otras, iniciativas de seguridad tecnológica, accesibilidad e inclusión en la sociedad digital y soluciones de comunicación para particulares y empresas. 95
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 96
Seguridad Nacional y Ciberdefensa
5.4. Ciberdefensa 5.4.1. Estrategia de Seguridad Nacional En España, en Octubre de 2008, aún no se ha desarrollado ninguna estrategia genérica de seguridad nacional, aunque su necesidad ha sido identificada según han anunciado destacados miembros del gobierno: • El presidente del Gobierno, José Luis Rodríguez Zapatero, en su discurso de investidura del 8 de abril de 2008, anunció su intención de proponer una Estrategia de Seguridad Nacional para mejorar la seguridad de la sociedad española. • Por otro lado, el ministro de Interior, Alfredo Pérez Rubalcaba, en su comparecencia del 27 de mayo de 2008 ante la Comisión de Interior, tras enunciar que la seguridad de la nación era la primera tarea del Estado, describió los nuevos riesgos de seguridad que generaban el crimen organizado, el terrorismo de ámbito internacional, los tráficos ilícitos, la proliferación de armas de destrucción masiva y las catástrofes medioambientales. Para afrontar las nuevas condiciones de seguridad, el ministro aseveró que el Gobierno se disponía a elaborar una Estrategia de Seguridad Nacional, según había anticipado el presidente. • Posteriormente, el 30 de junio de 2008, en su primera comparecencia ante la Comisión de Defensa, la ministra de Defensa, Carme Chacón, también manifestó su deseo de elaborar una Estrategia Integral de Seguridad y Defensa para hacer frente a los nuevos desafíos de la seguridad bajo los efectos de la globalización. 5.4.2. Protección de infraestructuras críticas A raíz de los atentados de Madrid en marzo de 2004, la Comisión Europea adoptó la Comunicación sobre protección de las infraestructuras críticas, que contiene propuestas para mejorar la prevención, preparación y respuesta de Europa frente a atentados terroristas que la amenacen. En la misma línea planteada a nivel comunitario, el 7 de mayo de 2007 el Secretario de Estado de Seguridad aprobó el Plan Nacional de Protección de las Infraestructuras Críticas. Una vez aprobado dicho Plan, el Acuerdo firmado en noviembre de 2007 en el Consejo de Ministros recoge los siguientes aspectos: • Se designa a la Secretaría de Estado de Seguridad como órgano responsable de la dirección, coordinación y supervisión de la protección de infraestructuras críticas nacionales. Por ello, dirigirá la aplicación del Plan Nacional de Protección de Infraestructuras Críticas y actuará como punto nacional de contacto con la Comisión Europea y con otros Estados que sean propietarios o gestores de infraestructuras críticas. • La documentación contenida en el Catálogo Nacional de Infraestructuras Estratégicas (se trata de información completa, actualizada y contrastada sobre la totalidad de las infraestructuras estratégicas en el territorio nacional, su ubicación, titularidad, servicio que presta, nivel de 96
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 97
Anexo A
seguridad que precisan, etc.), será calificada como secreto, dada la alta sensibilidad para la seguridad nacional de la información contenida en dicho Catálogo. • Se creará dentro de la Secretaría de Estado de Seguridad, el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) para instrumentar las tareas encomendadas a ese Órgano Superior en la materia. Este Centro custodiará y actualizará el Plan de Seguridad de Infraestructuras Críticas y el Catálogo Nacional de Infraestructuras Críticas. Por otro lado, en cuanto a la relación existente entre la Ciberdefensa y la Protección de Infraestructuras Críticas, caben destacar varias de las funciones asignadas a la Dirección General de Infraestructuras y Material de la Seguridad, en las que tendría cabida el desarrollo de las habilidades en Ciberdefensa: 1-. Desarrollar y coordinar la elaboración de estudios y propuestas conducentes a la definición de políticas, la optimización de infraestructuras organizativas, la mejora de procedimientos de actuación administrativa, la estandarización y homologación de infraestructuras, material, sistemas de información y comunicaciones, codificación y estructuras de datos en el ámbito de la seguridad. 2-. Proponer para su aprobación a la Subsecretaría los planes y programas de infraestructuras, material, sistemas de información y comunicaciones en el ámbito de la seguridad, así como coordinarlos, supervisar su ejecución, evaluarlos y analizar sus costes. 3-. Promover proyectos para la implantación, adquisición y mantenimiento de infraestructuras, medios materiales, sistemas de información y comunicaciones de utilización conjunta o compartida por las Fuerzas y Cuerpos de Seguridad del Estado, coordinar y supervisar la determinación de sus requisitos técnicos, pliegos de condiciones, programación económica y ejecución, así como de aquellos otros proyectos promovidos por unidades u órganos dependientes de la Secretaría de Estado de Seguridad, cuando se financien total o parcialmente con créditos del servicio presupuestario de la Secretaría de Estado. 4-. Coordinar, desarrollar e implantar bases de datos, sistemas de información y sistemas de comunicaciones de utilización conjunta o compartida por los Cuerpos y Fuerzas de Seguridad del Estado, incluyendo los correspondientes al Sistema Schengen y al Sistema de radiocomunicaciones digitales de emergencia del Estado. 5.4.3. Esfuerzos en ciberdefensa Si bien el marco de la Protección de Infraestructuras Críticas es propicio para que en España se puedan desarrollar mayores iniciativas relacionadas con la Ciberdefensa, es importante reseñar aquellos esfuerzos que ya se están realizando por parte de ciertas organizaciones. 97
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 98
Seguridad Nacional y Ciberdefensa
5.4.4. CCN El CCN lleva a cabo las siguientes tareas relacionadas con la seguridad de la información: • Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones de la Administración. Las acciones derivadas del desarrollo de esta función serán proporcionales a los riesgos a los que esté sometida la información procesada, almacenada o transmitida por los Sistemas. • Formar al personal de la Administración especialista en el campo de la seguridad de los sistemas de las tecnologías de la información y las comunicaciones. • Constituir el organismo de certificación del esquema nacional de evaluación y certificación de la seguridad de las tecnologías de información, de aplicación a productos y sistemas en su ámbito. • Valorar y acreditar la capacidad de los productos de cifra y de los sistemas de las tecnologías de la información, que incluyan medios de cifra, para procesar, almacenar o transmitir información de forma segura. • Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los sistemas mencionados. • Velar por el cumplimiento de la normativa relativa a la protección de la información clasificada en su ámbito de competencia. • Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países. • Gestión de incidentes de seguridad a través del CCN-CERT, servicio puesto en funcionamiento a principios de 2007 como CERT gubernamental español y que está presente en los principales foros internacionales en los que se comparte objetivos, ideas e información sobre la seguridad de forma global. 5.4.5. INTECO El INTECO desarrolla los siguientes proyectos en el ámbito de la seguridad tecnológica orientados a prestar servicio a ciudadanos y PyMEs: • Centro de Alerta Temprana Antivirus (CATA) El Centro de Alerta Temprana pretende ser una plataforma para canalizar el flujo de información necesario entre los usuarios, y los expertos del equipo de seguridad, sobre los diferentes virus existentes (con documentación sobre sus características, como gravedad, fecha de aparición, calendario de activación, etc.). Por otro lado, como complemento, ha creado el Centro de Información de Seguridad, con una biblioteca, donde se encuentran las definiciones más importantes y un glosario de términos, y un servicio de documentación (legislación y otros temas relativos a Seguridad). 98
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 99
Anexo A
Aunque actualmente los servicios ofrecidos se orientan al problema de los virus informáticos, próximamente serán ampliados para cubrir otros problemas de seguridad en Internet. • Centro de Respuesta a Incidentes en Tecnologías de la Información para PyMEs y Ciudadanos (Inteco-CERT) Centro que sirve de apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clásicos de un Centro de Respuesta a Incidentes, dando soluciones reactivas a incidentes informáticos, servicios de prevención frente a posibles amenazas y servicios de información, concienciación y formación en materia de seguridad a las PyMEs y ciudadanos españoles, etc. • Observatorio de la Seguridad de la Información Esta organización tiene como misión principal la de analizar, describir, asesorar y difundir la cultura de la seguridad y la confianza en la Sociedad de la Información, mediante la generación de conocimiento especializado en la materia, y la elaboración de recomendaciones y propuestas que permitan definir tendencias válidas para la toma de decisiones en el ámbito de la seguridad. • Centro Demostrador de Seguridad para las PyMEs Centro que tiene como misión principal potenciar el uso de las tecnologías relacionadas con la seguridad en las PyMEs españolas, para ello, proporcionará un catálogo de soluciones de seguridad informática que ayude a cubrir sus necesidades y apoyar su desarrollo. 5.4.6. CCD COE En la parte dedicada a la ciberdefensa específicamente, España participa activamente en el Centro de Excelencia de Ciberdefensa Cooperativa (“Cooperative Cyber Defence Centre of Excellence”, CCD COE) que la OTAN ha establecido en Tallín, Estonia, tras la firma del MoU del 14 de mayo de 2008. El CCD COE es una organización multinacional que proporciona I+D y servicios de formación a la OTAN, entre otras cosas. Está abierto a la participación de todos los miembros de la OTAN y además puede firmar acuerdos con organizaciones ajenas a la OTAN, como universidades, empresas, etc. Centrará su trabajo en las siguientes áreas fundamentales de la Ciberdefensa: • Desarrollo de doctrinas y conceptos. • Formación y concienciación. • Investigación y desarrollo. • Análisis y lecciones aprendidas. • Consulta. 99
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 100
Seguridad Nacional y Ciberdefensa
5.4.6.1. Estructura y organización. La estructura del CCD COE se puede ver en la figura siguiente. Como puede apreciarse, España colabora aportando el jefe de la rama de entrenamiento y personal especializado.
Figura 15. Estructura del CCD COE de la OTAN. Fuente: Documento consultado nº [56]
5.4.6.2. Financiación. El centro cuenta con una financiación inicial de 100.000 euros, aportados de la siguiente manera: Estonia, como país anfitrión, aporta la mitad (50.000 euros); el resto de países participantes (Alemania, Italia, Letonia, Lituania, Eslovaquia y España) aportan los 50.000 euros restantes en función del número de puestos que ocupen.
6. Noruega 6.1. Contexto
En septiembre de 1999, mediante real decreto, se estableció en Noruega la Comisión Gubernamental de “Una Sociedad Vulnerable” que tenía encomendada la tarea de estudiar las vulnerabilidades de la sociedad, desde una perspectiva amplia, lo que se traducía en evaluar las fortalezas y debilidades de los planes de emergencia que existían, identificar las prioridades, facilitar el incremento del nivel de concienciación y debatir sobre las vulnerabilidades existentes. La Comisión identificó varias áreas en las que enfocarse, entre las que se encontraba la de las Infraestructuras Críticas. Aparte de este área, 100
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 101
Anexo A
cabe destacar también que la Comisión puso gran énfasis en las TIC como foco de vulnerabilidad para la sociedad en general. Por otro lado, y previamente al establecimiento de la Comisión, en 1998 el Comité del Secretario de Estado para las TIC, formó un subcomité con el objetivo de informar sobre el estado de las vulnerabilidades de las TIC de Noruega. Posteriormente, y en relación con el mismo tema, se puso en marcha en 1999 el proyecto denominado “Proyecto de Vulnerabilidades TIC” formado por un grupo interdepartamental encargado por el Ministerio de Comercio e Industria y que colaboró con la Comisión de “Una Sociedad Vulnerable”. En el “Proyecto de Vulnerabilidades TIC”, las autoridades responsables de cada sector evaluaron los riesgos, uniendo estos a las funciones específicas del sector. Como resultado, el proyecto desembocó en la publicación de la “Estrategia Nacional de Seguridad de la Información “ en el año 2003.
6.2. Legislación, planes y estrategias Noruega ha integrado la seguridad de la información en multitud de leyes, normas y regulaciones entre las que quizás, las más destacables son las relacionadas con el cibercrimen y que están integradas en el Código Penal: • Código Penal, párrafo 145 (relacionado con el acceso a datos o programas mediante el forzado de mecanismos de protección). • Código Penal, párrafo 151b (relacionado con las interrupciones provocadas a la administración pública u otras partes de la sociedad debido a la alteración o interrupción en la recabación de datos, servicios de telecomunicaciones etc.). • Código Penal, párrafo 291 (relacionado con el vandalismo). • El 4 de noviembre de 2003, el comité de cibercrimen presentó al Ministerio de Justicia una propuesta de inclusión en el código penal, la cual fue promulgada el 8 de Abril del 2005. • Código Penal, párrafo 145b (relacionado con la difusión no autorizada de códigos secretos (ej. Contraseñas) que permite el acceso a la totalidad o parcialidad de los ordenadores). • El 4 de marzo de 2005 la Cámara del Parlamento (Stortinget) recomendó la actualización del código penal y la ratificación de la Convención del Consejo Europeo sobre el Cibercrimen. Por otro lado, los principales planes y estrategias del gobierno noruego relacionados con la ciberdefensa y la seguridad de la información son: • La Estrategia Nacional para la Seguridad de la Información (“National Strategy for Information Security”) del año 2003. • Las “Guías Nacionales para Fortalecer la Seguridad de la Información 2007-2010” (“National Guidelines to Strengthen Information Security 2007-2010”). 101
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 102
Seguridad Nacional y Ciberdefensa
6.3. Organización y responsabilidades En Noruega las responsabilidades en ciberdefensa están repartidas entre varias organizaciones, tanto públicas como privadas. 6.3.1. Agencias públicas Las agencias públicas más importantes relacionadas con la ciberdefensa de forma directa son las siguientes: • Autoridad Nacional de Seguridad Noruega (NSM) El NSM es el encargado de coordinar las medidas preventivas de seguridad. Esta agencia controla el nivel de seguridad y monitoriza la provisión de bienes y servicios de los proveedores privados, a las organizaciones públicas, cuando los productos o servicios están relacionados con la seguridad. Por otro lado, el NSM también desarrolla medidas de seguridad técnicas y administrativas y emite evaluaciones de amenazas e informes de vulnerabilidades. Aparte de las labores descritas con anterioridad, el NSM aglutina las organizaciones que se enumeran a continuación: o SERTIT Es la Autoridad Pública de Certificación de la seguridad de las TIC en Noruega. o Sistema de Alarma para Infraestructuras Digitales (“Warning System for Digital Infrastructures”, VDI). Es una red entre los servicios de inteligencia y los operadores de infraestructuras públicos y privados más importantes. El VDI alerta a sus clientes de brechas e intentos de intrusión en las redes de ordenadores. o NorCERT El NorCERT coordina el trabajo preventivo y responde contra las brechas de seguridad de las TIC relacionadas con las infraestructuras vitales de Noruega (este CERT alerta sobre ataques, amenazas y vulnerabilidades). • Consejo de Coordinación Nacional de Seguridad de la Información (KIS) El KIS depende del Ministerio de la Administración y Reforma del Gobierno, y está compuesto por representantes de los Ministerios con responsabilidades en el área de la seguridad TIC. Desde su creación, el KIS se encarga de coordinar a las agencias gubernamentales en sus esfuerzos preventivos relacionados con la seguridad de la información. También es la entidad responsable de controlar el avance de la implantación de medidas en las áreas de acción y puede, a través del Ministerio de la Administración y Reforma del Gobierno, informar al Gobierno acerca del estado global en seguridad. Otra de sus funciones es la de tomar decisiones para emprender medidas que afecten a varios sectores, sin interferir en la responsabilidad 102
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 103
Anexo A
individual del Ministerio encargado de dicho sector. Por esto, Noruega está estudiando la creación de grupos de trabajo bajo el KIS para preparar medidas concretas para las áreas de acción. Aparte de las agencias enumeradas con anterioridad, otras agencias, de manera indirecta, también están relacionadas con la ciberdefensa: • Directorado para la Protección Civil y los Planes de Emergencia (DSB) El DSB es el encargado de coordinar y llevar a cabo la investigación de las vulnerabilidades y protección de activos críticos en cooperación con otras organizaciones. • Comisión para la Protección de Infraestructuras Críticas en Noruega La Comisión es la encargada de definir e identificar las infraestructuras críticas en Noruega, y evaluar los diferentes medios que pueden implementarse para la protección de las citadas infraestructuras. 6.3.2. Agencias Público-Privadas Aparte de las agencias públicas, existen otras conformadas por actores del sector público y privado. Del conjunto de estas agencias, las que se encuentran más relacionadas con la ciberdefensa en el país son las siguientes: • Centro para la Seguridad de la Información (SIS) El SIS es el responsable de coordinar las actividades relacionadas con la seguridad de las tecnologías de la información y las comunicaciones en Noruega (intercambio de información, competencias, conocimiento sobre amenazas y contramedidas etc.). • UNINETT CERT Es otro equipo de respuesta ante incidentes de las TIC en Noruega, y una red académica para la investigación y el desarrollo. El equipo, formado en 1995, entre otras cosas contribuye a mejorar la seguridad en Internet para las instituciones miembro. Su tarea básica es la de proporcionar asistencia en el manejo e investigación de incidentes en los que los miembros estén involucrados.
6.4. Ciberdefensa 6.4.1. Estrategia Nacional para la Seguridad de la Información El Ministerio de Comercio e Industria publicó esta estrategia para la seguridad de las TIC de Noruega en junio de 2003. Proponía varias iniciativas para la mejora de la seguridad, basadas en las “Guías OECD para la Seguridad de la Información y las Redes”. La Estrategia 103
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 104
Seguridad Nacional y Ciberdefensa
englobaba todos los aspectos de la seguridad de las TIC y las actividades diarias del gobierno para la seguridad de las infraestructuras críticas dependientes de las TIC. La implementación de las medidas de la Estrategia tuvo lugar entre los años 2003 y 2006, llevándose a cabo la mayoría del trabajo dentro de cada sector, principalmente por las agencias y las empresas. La prioridad era la de asegurar las infraestructuras críticas TIC en la sociedad, y se fortaleció para ello la organización del trabajo cruzado entre los sectores. Finalmente, como resultado se obtuvo también una clarificación sobre las responsabilidades ministeriales relacionadas con la coordinación nacional a nivel de advertencia, asesoramiento y asistencia. 6.4.2. Guía nacional para fortalecer la seguridad de la información 2007-2010 Después de lanzar su Estrategia Nacional para la Seguridad de la Información en el 2003, en Noruega destacan el desarrollo de cuatro aspectos tecnológicos relacionados con los usuarios que se han producido en los últimos años: • Incremento de la dependencia de la sociedad en las TIC (y en particular de Internet). La sociedad se ha vuelto vulnerable, incluso a breves interrupciones en los sistemas y las redes. El crecimiento de esta vulnerabilidad es, en parte, un resultado del incremento de la complejidad de sistemas y redes. • Incremento en la tendencia de los ataques a profesionalizarse, personalizarse y fijar objetivos específicos. • Los beneficios financieros siguen siendo la motivación más importante para los atacantes aunque el robo de información confidencial se está viendo incrementado. Se están dando señales claras de la profesionalización de las actividades criminales. Actualmente existe un mercado ilegal de comercialización de herramientas para cometer violaciones de seguridad. • El gran incremento del número de PCs y usuarios de Internet, con variadas habilidades, ha conllevado la necesidad de elevar el nivel de concienciación, compartición de información y formación. Todos los usuarios deberían obtener un mejor entendimiento de sus responsabilidades hacia otros usuarios de Internet, y de las habilidades y conocimientos que necesitan para gestionar esta responsabilidad El gobierno de Noruega, teniendo en cuenta el trabajo realizado y la situación existente en la actualidad, publicó las “Guías Nacionales para Fortalecer la Seguridad de la Información 2007-2010”, que definen tres objetivos generales en seguridad: 1-. Robustecer y asegurar las infraestructuras críticas y dar soporte a los sistemas que prestan funciones sociales críticas. 2-. Una sólida cultura de seguridad en el desarrollo y el uso de sistemas de información y en el contexto del intercambio de datos electrónicos. 104
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 105
Anexo A
3-. Altos niveles de competencia y enfoque en la investigación en seguridad. Por otro lado, en el documento se presenta el plan de Noruega en el marco de la seguridad de la información para el periodo de 2007 a 2010. En primer lugar, los desafíos y tendencias identificados en lo concerniente a la seguridad de la información son: 1-. 2-. 3-.
Creciente interdependencia entre las infraestructuras críticas. Creciente dependencia con respecto a Internet. Creciente vulnerabilidad de la sociedad a ataques en las infraestructuras de las TIC. 4-. Las redes, servicios y terminales se funden, creando complejidad y opacidad. 5-. Los servicios móviles y las redes inalámbricas crean nuevos patrones de uso y aumentan las vulnerabilidades. 6-. El software presenta nuevas vulnerabilidades. 7-. La ausencia de una conciencia de seguridad entre los usuarios supone un alto y creciente riesgo. 8-. La internacionalización debilita gradualmente el control nacional de los sistemas y redes nacionales. 9-. Los cambios en los usos de las tecnología sirven a las organizaciones para crear nuevos retos en seguridad; 10-. Internet crea nuevas tendencias sociales e incrementa la vulnerabilidad de los participantes en las relaciones sociales basadas en él. Una vez identificados los retos a los que debe hacer frente, el gobierno noruego plantea las siguientes áreas de acción para cumplir los objetivos generales del Gobierno: 1-. Se debe mejorar la protección de las infraestructuras sociales de TIC críticas. 2-. Los conjuntos de normas relativos a la seguridad deben ser más consecuentes e inteligibles. 3-. La información y los sistemas de información deben ser clasificados para facilitar la asignación de elementos de acción. 4-. Los análisis de riesgos y vulnerabilidades deben ser llevados a cabo por todo el mundo, especialmente por todos los propietarios de infraestructuras críticas. 5-. Incrementar los esfuerzos para mejorar la concienciación y esparcir el conocimiento. 6-. La notificación y el manejo de eventos de seguridad deben ser rápidos y coordinados. 7-. Todos los Ministerios deben promover el uso de estándares, certificaciones y regulación interna. 105
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 106
Seguridad Nacional y Ciberdefensa
8-. Los Ministerios deben promover la I+D, la formación y el desarrollo de competencias dentro de la seguridad de la información. 9-. Acuerdo coordinado entre los sectores para la gestión de la identidad y la firma electrónica. 10-. Debe desarrollarse la colaboración internacional para la seguridad de la información de los Ministerios.
7. Unión Europea 7.1. Contexto
El conjunto de conflictos y actividades terroristas acaecidos durante los últimos años, tanto en el marco de la Unión Europea, como a nivel internacional, así como la rápida proliferación de las redes de comunicación de datos y su utilización por parte de delincuentes y terroristas, ha conllevado el desarrollo de reglamentación, así como de la puesta en marcha de programas y la creación de estructuras para proteger a la Unión Europea de los riesgos existentes. En cuanto a los hechos más relevantes relacionados con la Seguridad Nacional (en este caso la Defensa de Europa) y la Ciberdefensa caben destacar: • Diciembre de 1991: El Tratado de Maastricht en el que se definió la Política Exterior y de Seguridad Común (PESC) y se hizo referencia a una Política de Defensa Común. • Junio de 1999: En el Consejo Europeo de Colonia se produce el lanzamiento del proyecto de desarrollo de una Política Europea de Seguridad y Defensa (PESD). • Junio de 2003: en el Consejo Europeo de Tesalónica, Javier Solana presenta la primera versión de la Estrategia Europea de Seguridad. En el consejo se confía la tarea del establecimiento de la Agencia de Defensa Europea (European Defence Agency, EDA). • Diciembre del 2003: en el Consejo Europeo se adopta la Estrategia de Seguridad Europea. • Julio de 2004: creación de la EDA.
7.2. Legislación, planes y estrategias La normativa más destacable dentro de la Unión Europea en lo referente a Seguridad y Ciberdefensa es la que se enumera en los siguientes epígrafes: • Decisión Marco 2005/222 JAI del Consejo de febrero de 2005, relativa a los ataques de los que son objeto los sistemas de información: La presente Decisión tiene por objeto reforzar la cooperación judicial en materia penal relativa a los ataques contra los sistemas de información mediante la instauración de instrumentos y procedimientos eficaces. 106
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 107
Anexo A
• Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información (European Network and Information Security Agency, ENISA): Con el fin de garantizar a los usuarios el mayor grado de seguridad, la Unión Europea crea el ENISA, que tiene una función de asesoramiento y coordinación de las medidas adoptadas por la Comisión y los Estados miembro para asegurar sus redes y sistemas de información. • Recomendación del Consejo, de 25 de junio de 2001, relativa a los puntos de contacto en los que se ofrece un servicio ininterrumpido de veinticuatro horas para luchar contra la delincuencia en el ámbito del cibercrimen. El Consejo invita a los Estados miembro a adherirse a la red de información del G8 (accesible día y noche) con el objetivo de tratar cuanto antes y de manera cualificada los distintos tipos de delincuencia vinculada al ciberespacio y de preservar las pruebas en un medio en el que la información puede destruirse rápidamente. Por otro lado, los planes y estrategias más destacados relacionados con la Seguridad Nacional y la Ciberdefensa en la Unión Europea son los que se enumeran a continuación: • Política Exterior y de Seguridad Común (PESC), establecida en el Tratado de Maastricht y actualizada en el Tratado de Amsterdam en 1999. • Política Europea de Seguridad y Defensa (PESD), cuyo texto básico es la declaración del Consejo Europeo de Colonia en junio de 1999. • Estrategia Europea de Seguridad del 12 de diciembre de 2003. • Conjunto de medidas tendentes a reforzar la prevención, la preparación y la respuesta de la Unión ante ataques terroristas contra infraestructuras críticas. • “Programa europeo para la protección de infraestructuras críticas”, cuyo proyecto se aprobó en diciembre de 2004. • La “Estrategia para una sociedad de la información segura”; Comunicación de la Comisión en el año 2006. • La “Propuesta para un enfoque político europeo en seguridad de las redes y de la información”; Comunicación de la Comisión en el año 2001. • La “Lucha contra el Cibercrimen”.
7.3. Organización y responsabilidades La organización con mayor responsabilidad en ciberdefensa dentro de la UE es el ENISA, cuya estructura departamental podemos observar en el siguiente diagrama. 107
JV23 045 146.qxp:libro cátedra Isdefe.qxd
8/10/09
07:44
Página 108
Seguridad Nacional y Ciberdefensa
Figura 16. Estructura de ENISA. Fuente: Documento consultado nº [40]
Como puede observarse, la Agencia está dirigida por un “Director Ejecutivo” que es el responsable de gestionarla, aunque existe también un Consejo de Dirección, que no aparece en el organigrama, y que se asegura que la Agencia lleva a cabo sus tareas bajo las condiciones que regulaban su fundación. Aparte de los departamentos que aparecen por debajo del Director Ejecutivo, este ha establecido un “Grupo de Expertos Permanente”, que representa a los accionistas relevantes de la industria de las TIC, grupos de consumidores y expertos académicos en seguridad de la información. El Grupo de Expertos asesora al Director Ejecutivo en las actuaciones que lleva a cabo, en las propuestas de programas de trabajo para la Agencia y asegurando la comunicación con los accionistas. Aparte de este Grupo, el Director Ejecutivo establece Grupos de Trabajo Ad Hoc compuestos por expertos, para gestionar cuestiones específicas del ámbito técnico y/o científico. Construida sobre los esfuerzos nacionales y comunitarios, la Agencia es un “Centro de Excelencia” en el campo de la seguridad de la información. El ENISA utiliza su conocimiento y experiencia para estimular la cooperación en las acciones realizadas por el sector público y privado. Las actividades de la Agencia consisten en otorgar asesoramiento y recomendaciones sobre seguridad de la información, analizar datos, así 108
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 109
Anexo A
como soportar la mejora de la concienciación y cooperación entre los organismos de la UE y los Estados miembro. Por otro lado, la Agencia proporciona asistencia a la Comisión y los Estados miembro en su diálogo con la industria para dirigir los problemas de seguridad relacionados con los productos hardware o software. Finalmente, la Agencia también sigue el desarrollo de estándares, promueve actividades de evaluación de riesgos por los Estados miembro, así como rutinas de gestión de riesgos, y produce estudios relacionados con estos aspectos dentro de organizaciones, tanto del sector público, como privado.
7.4. Ciberdefensa La UE ha desarrollado tres pilares en lo referente a la Seguridad que son las siguientes políticas y estrategias: • Política Exterior y de Seguridad Común (PESC) • Política Europea de Seguridad y Defensa (PESD) • Estrategia Europea de Seguridad Del conjunto de los tres pilares, cabe destacar el que constituye el marco constitucional de la defensa europea y que no es otra que la PESC, establecida en el Tratado de la Unión Europea firmado en Maastricht. En esta Política, posteriormente se incorporaron un conjunto importante de cambios en el Tratado de Amsterdam de 1999 determinando cinco objetivos: • Salvaguardar los valores comunes, intereses fundamentales y la independencia e integridad de la Unión Europea (UE), en conformidad con el principio de la Carta de Naciones Unidas. • Reforzar la seguridad de la UE en todas sus formas. • Preservar la paz y fortalecer la seguridad internacional, en concordancia con los principios de la Carta de Naciones Unidas. • Promover la cooperación internacional. • Desarrollar y consolidad la democracia, el estado de derecho y el respeto por los derechos humanos y las libertades fundamentales. Del conjunto de objetivos, el segundo de ellos es el que ha dado pie al conjunto de esfuerzos realizados con posterioridad en el ámbito de la Protección de Infraestructuras y Ciberdefensa. 7.4.1. Protección de Infraestructuras Críticas Revisando los esfuerzos de la UE relativos a la protección de infraestructuras críticas que se enumeran a continuación, podría no estar demasiado clara la relación existente entre la Ciberdefensa y la citada Protección de Infraestructuras Críticas. Para resolver esta cuestión, simplemente es necesario revisar una serie de definiciones e identificación de sectores con infraestructuras críticas que se recogen en el Libro Verde sobre un Programa Europeo para la Protección de Infraestructuras Críticas (anexos I y II) para darse cuenta que la Ciberdefensa debe ser un componente esencial de la nombrada Protección: 109
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 110
Seguridad Nacional y Ciberdefensa
1-. Definiciones o Infraestructura Crítica “Infraestructura crítica incluye aquellos recursos físicos, servicios, infraestructuras de tecnologías de la información, redes y activos cuya destrucción o interrupción podría tener un serio impacto en la salud, seguridad o bienestar económico de los ciudadanos, o en el funcionamiento eficaz de los gobiernos. Hay tres grupos de activos de infraestructuras, de los cuales uno de ellos está compuesto por los activos públicos y privados y sus redes físicas y lógicas (ciberredes y/o ciberespacio) interdependientes”. o Servicio Esencial “Aquellos servicios básicos como el agua, gas, electricidad etc. junto con otros como los sistemas eléctricos, los sistemas de control medioambiental o las redes de comunicaciones que si son interrumpidos ponen en riesgo la seguridad y confianza pública, amenazan la seguridad económica o impiden la continuidad del gobierno de los Estados miembro o sus servicios”. o Infraestructura de Información Crítica “Sistemas TIC que son infraestructuras críticas en si, o que son esenciales para la operación de infraestructuras críticas (telecomunicaciones, ordenadores/software, Internet, satélites etc.)”. 2-. Sectores El segundo sector crítico identificado es el Sector de la Información, Comunicación, Tecnologías, TIC y sus productos o servicios como son: o Protección de las redes y sistemas de información o Sistemas SCADA o Internet o Provisión de telecomunicaciones fijas o Provisión de telecomunicaciones móviles o Comunicación por radio y navegación o Comunicación por satélite o Multidifusión Una vez identificada la clara vinculación entre Ciberdefensa y Protección de Infraestructuras Críticas, el trabajo llevado a cabo en la UE parte en el Consejo Europeo de junio de 2004, que solicitó a la Comisión y al Alto Representante que prepararan una estrategia global para proteger las citadas infraestructuras. En respuesta a dicha petición, la Comisión publicó, el 22 de octubre de 2004, la Comunicación sobre protección de las infraestructuras críticas en la lucha contra el terrorismo, que constaba de varias partes: 1-. Descripción de la amenaza. 2-. Definición de que se entiende por Infraestructura Crítica y enumeración de las que tienen tal consideración. 110
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 111
Anexo A
3-. Descripción de los avances en la protección de las infraestructuras críticas a nivel comunitario. 4-. Establecimiento del marco de mejora de la protección mediante el Desarrollo de un Programa Europeo para la Protección de Infraestructuras Críticas (PEPIC). 5-. La determinación de los objetivos del PEPIC y aspectos relativos a la implementación del Programa. 6-. La determinación de los indicadores de éxito del PEPIC Una vez publicada la Comunicación, los esfuerzos realizados relativos a la protección de infraestructuras críticas ha sido los siguientes: 1-. Aceptación del proyecto de la Comisión sobre un Programa Europeo para la Protección de las Infraestructuras Críticas (PEPIC) y una Red de Alerta en relación con las Infraestructuras Críticas (CIWIN), en el Consejo Europeo de 16 y 17 de diciembre de 2004. 2-. Elaboración del programa PEPIC a lo largo de 2005. El 17 de noviembre de 2005, la Comisión adoptó el Libro Verde sobre un Programa Europeo para la Protección de Infraestructuras Críticas (cuyo objetivo es el de recabar puntos de vista en torno a las posibles opciones para el PEPIC). 3-. El 12 de diciembre de 2006 la Comisión presentó una Propuesta de Directiva del Consejo sobre la identificación y designación de las infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (COM (2006) 787 final). El mismo día, la Comisión adoptó también una Comunicación sobre un Programa Europeo para la Protección de Infraestructuras Críticas (COM (2006) 786 final). 4-. A lo largo del año 2007 se definió en un conjunto de áreas, bajo las cuales los proyectos podían ser financiados, que eran las siguientes: Mejora de las medidas de protección de infraestructuras críticas. Vulnerabilidades y resistencia de las infraestructuras críticas, incluyendo el desarrollo de metodologías. o Estrategias de mitigación de riesgos y evaluaciones de amenazas para las infraestructuras críticas. o Desarrollo de planes de contingencia. o Desarrollo de estándares comunes de seguridad e innovación de tecnologías para la protección de infraestructuras críticas. o Proyectos multinacionales (con la involucración de al menos dos países). o o
5-. Durante el año 2008 se está preparando la Directiva del Consejo sobre la identificación y designación de las infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (basada en la Propuesta presentada en el año 2006, y que a la fecha de realización de este estudio se encontraba en fase de borrador). 111
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 112
Seguridad Nacional y Ciberdefensa
La Directiva está estructurada en tres partes: o Una primera parte de consideraciones entre las que destacan: Que el PEPIC debería tener en cuenta todo tipo de riesgo incluyendo las amenazas tecnológicas. Que corresponde, en última instancia, a los Estados Miembro gestionar las disposiciones de protección de infraestructuras críticas y que la responsabilidad principal y última de proteger las Infraestructuras Críticas Europeas (ICE) corresponde a estos junto a los propietarios u operadores de tales infraestructuras (por lo que la participación plena del sector privado es de vital importancia). Que la Directiva constituye un primer paso en la identificación y designación de las ICE. Que la Directiva se concentra en los Sectores de la Energía y de los Transportes y que cuando se revise se evaluará la necesidad de incluir otros sectores como el de las TIC. Que la información correspondiente a la designación de una infraestructura como las ICE debe clasificarse al nivel apropiado. Que en todas las ICE designadas deben existir planes de seguridad del operador o medidas equivalentes que incluyan la identificación de elementos importantes, la evaluación de riesgos y la identificación y selección de contramedidas y procedimientos. Que los Estados miembro deben asegurarse, e intervenir en caso necesario, para que los propietarios u operadores de las ICE tengan los citados planes de seguridad. Que deben nombrarse responsables de seguridad y enlace para todas las ICE (para facilitar la cooperación y comunicación con las autoridades nacionales responsables de la protección de las infraestructuras críticas). Que cada Estado miembro debe recibir información sobre las ICE y la Comisión sobre las vulnerabilidades, amenazas, riesgos y posibles mejoras de los sectores donde haya ICE. Que se podrán desarrollar métodos comunes de identificación y clasificación de vulnerabilidades, amenazas y riesgos sobre los elementos de la infraestructura. Que los propietarios y operadores deben tener acceso a las mejores prácticas y métodos de protección de infraestructuras críticas. Que se debe garantizar un intercambio coherente y seguro de la información por lo que es conveniente proteger la información clasificada con arreglo a la normativa pertinente a escala comunitaria y de los Estados miembro. Que los Estados miembro y la Comisión deben respetar la clasificación de seguridad correspondiente atribuida por la entidad origen de los documentos. Que el intercambio de información sobre las ICE se debe producir en un entorno de confianza y seguridad. 112
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 113
Anexo A
o Una segunda parte que está compuesta por el conjunto de artículos de la Directiva que son los siguientes: Articulo 1 “Objetivo” La Directiva establece un procedimiento de identificación y designación de ICE y un planteamiento común para evaluar la necesidad de mejorar la protección. Artículo 2 “Definiciones” Destaca la Definición de las ICE en la que las identifica como infraestructuras críticas situadas en los Estados miembro cuya perturbación o destrucción afectaría gravemente al menos a dos Estados miembro. Artículo 3 “Identificación de las ICE” Cada Estado miembro, con asistencia de la Comisión si se requiere, identificará las ICE potenciales según unos criterios horizontales (número de víctimas, impacto económico, impacto público ) y sectoriales. Los sectores que se tendrán en cuenta a efectos de la Directiva serán la Energía, y el Transporte, y que en las futuras revisiones se podrán determinar nuevos sectores con prioridad al sector de las TIC. Artículo 4 “Designación de las ICE” Cada Estado miembro informará a los demás que puedan verse afectados por una ICE potencial y entablarán conversaciones bilaterales o multilaterales. Es necesario el acuerdo y aceptación del Estado miembro donde se encuentra la ICE, y de los Estados miembro afectados, para designar a una infraestructura como tal. Los Estados miembro que tenga ICE informarán a los propietarios u operadores de estas infraestructuras, y la información relativa a la asignación se clasificará con un nivel adecuado. Artículo 5 “Planes de Seguridad del operador” Cada ICE dispondrá de un Plan de Seguridad del Operador (PSO) o medidas equivalentes. El Estado miembro garantizará la aplicación del PSO o equivalente en un plazo de un año desde la designación de la infraestructura crítica como ICE y la revisión periódica del citado plan. Artículo 6 “Responsables de seguridad y enlace” Cada Estado miembro valorará si cada ICE de su territorio cuenta con un Responsable de Seguridad y Enlace o un cargo similar y si no existe, garantizará mediante las medidas que considere oportunas la designación de este responsable. Cada Estado Miembro aplicará un mecanismo de comunicación adecuado entre la autoridad competente del citado Estado y el Responsable de Seguridad y Enlace. Este mecanismo no afectará a los requisitos nacionales en materia de acceso a información sensible y clasificada. Artículo 7 “Informes” Cada Estado miembro llevará a cabo una evaluación de amenazas relativa a los subsectores de las ICE, en el plazo de un año desde la designación de una infraestructura crítica categorizada como ICE. 113
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 114
Seguridad Nacional y Ciberdefensa
Los Estados miembro presentará cada dos años a la Comisión datos generales resumidos sobre vulnerabilidades, amenazas y riesgos de cada sector que tenga ICE. Estos informes se clasificarán con el nivel que considere necesario el Estado Miembro de origen del mismo. La Comisión podrá elaborar, en cooperación con los Estados miembro, directrices metodológicas comunes para los análisis de riesgos (su uso será opcional por parte de los Estados miembro). Artículo 8 “Apoyo de la Comisión a las ICE” La Comisión apoyará a las ICE con mejores prácticas y métodos, fomentando la formación e intercambios de información. Artículo 9 “Información sensible sobre protección de las ICE” Toda persona que maneje información clasificada en el marco de esta Directiva será sometida al oportuno procedimiento de habilitación. Esta habilitación se aplica también a la información no escrita. Artículo 10 “Puntos de Contacto para la protección de las ICE” Cada Estado miembro designará un punto de contacto para la protección de infraestructuras críticas europeas (PICE). Artículo 11 “Revisión” La revisión de la Directiva se realizará tres años después de que entre en vigor la misma. Artículo 12 “Aplicación” Los Estados miembro adoptarán las medidas necesarias para dar cumplimiento a lo establecido en la Directiva antes de los dos años después de su entrada en vigor, e informarán a la Comisión de las medidas adoptadas. Artículo 13 “Entrada en vigor” La Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. Artículo 14 “Destinatarios” Los destinatarios son los Estados miembro. o
Una tercera parte compuesta por tres Anexos (2)
Anexo I: Compuesto por la lista de sectores y subsectores. Anexo II: Puntos que debe incluir el procedimiento Plan de Seguridad del Operador (PSO). Anexo III: Paso para la aplicación del “Procedimiento para la identificación por los Estados miembro de infraestructuras críticas”. Finalmente cabe puntualizar, que al no estar aún publicada la Directiva, esta es susceptible de recibir cambios. 114
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 115
Anexo A
7.4.2. Esfuerzos específicos en ciberdefensa Dentro de la Unión Europea se puede decir que existen dos áreas de esfuerzo paralelas y relacionadas entre sí: 1-. Una primera área relacionada con la “Protección”, es decir aquellas estrategias, propuestas, políticas etc., encaminadas a mejorar la protección de las TIC. Dentro de este ámbito podríamos incluir los siguientes esfuerzos: o La Comunicación de la Comisión de 31 de mayo de 2006 “Una estrategia para una sociedad de la información segura - Diálogo, asociación y potenciación”. o La Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones, de 6 de junio de 2001, “Seguridad de las redes y de la información: Propuesta para un enfoque político europeo”. 2-. La segunda área relacionada con la “Lucha contra los delitos”, que abarca la vertiente legislativa y de persecución de delitos, en donde los esfuerzos más destacados son todos aquellos relacionados con la “lucha contra el cibercrimen”. 7.4.2.1. Estrategia para una sociedad de la información segura. La finalidad de la Comunicación “Una estrategia para una sociedad de la información segura - Diálogo, asociación y potenciación”, fue la de revitalizar la estrategia de la Comisión Europea establecida en 2001 sobre “Seguridad de las redes y de la información: Propuesta para un enfoque político europeo”. En la Comunicación, se pasa revista a la situación actual de las amenazas a la sociedad de la información, y se determina los pasos a seguir para mejorar la seguridad de las TIC. Con la Comunicación se pretendía, apoyándose en la experiencia adquirida tanto a nivel de los Estados miembro, como de la Comunidad Europea, seguir desarrollando una estrategia global y dinámica en Europa, basada en una cultura de la seguridad y fundamentada en el diálogo, la asociación y la responsabilización. DIÁLOGO La Comisión propone una serie de medidas destinadas a establecer un diálogo abierto, integrador y multipartito, es decir: • Una evaluación comparativa de las políticas nacionales relacionadas con la seguridad de las redes y de la información. El objetivo consiste en definir las prácticas más eficaces, para aplicarlas más ampliamente en la UE. Este ejercicio debe permitir, en concreto, la definición de las mejores prácticas para sensibilizar de manera más efectiva a los ciudadanos y a las pequeñas y medianas empresas (PYME) sobre los riesgos y los retos relacionados con la seguridad de las redes y de la información. • Un debate multipartito estructurado sobre la mejor manera de 115
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 116
Seguridad Nacional y Ciberdefensa
explotar los instrumentos reguladores existentes. Estos debates se organizarán a través de conferencias y seminarios. ASOCIACIÓN En la Comunicación se determina que la comprensión clara de la naturaleza de los retos es una condición indispensable para la elaboración de una política eficaz, y que para ello conviene disponer de datos estadísticos y económicos fiables actualizados. Así pues, la Comisión concretó que pediría al ENISA: • Que desarrolle una asociación de confianza con los Estados miembro y las partes interesadas con el fin de elaborar un marco adecuado para la recogida de datos. • Que examine la viabilidad de un sistema europeo de comunicación de información y alerta que permita responder eficazmente a las amenazas. Este sistema incluiría un portal multilingüe de la UE destinado a proporcionar información específica sobre amenazas, riesgos y alertas. Paralelamente, la Comisión hacía un llamamiento a los Estados miembro, al sector privado y a los investigadores, a establecer una asociación para garantizar la disponibilidad de datos sobre el sector de la seguridad de las tecnologías de la información y las comunicaciones. RESPONSABILIZACIÓN La Comunicación define que la responsabilización de las partes interesadas es un requisito previo para sensibilizarlas aún más sobre las necesidades y los riesgos en materia de seguridad, a fin de promover la seguridad de las redes y de la información. Ésta es la razón por la que se invita a los Estados miembro, en particular, a: • Participar activamente en el ejercicio propuesto de evaluación comparativa de las políticas nacionales. • Promover, en colaboración con ENISA, campañas de sensibilización sobre los beneficios asociados a la adopción de tecnologías eficaces, buenas prácticas y un comportamiento responsable en relación con la seguridad. • Aprovecharse del despliegue de servicios de administración electrónica para fomentar las buenas prácticas de seguridad. • Estimular la elaboración de programas de seguridad de las redes y de la información dentro de los planes de estudio de la educación superior. También invita a las partes interesadas del sector privado a adoptar iniciativas encaminadas a: • Definir las responsabilidades de los productores de programas informáticos y los proveedores de servicios de Internet, en relación con el suministro de unos niveles de seguridad adecuados y verificables. • Fomentar la diversidad, la apertura, la interoperabilidad, la facilidad de uso y la competencia como elementos clave para impulsar la 116
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 117
Anexo A
seguridad y estimular el despliegue de productos y servicios que mejoren la seguridad, a fin de combatir la sustracción de la identidad y otros ataques contra la vida privada. • Difundir las buenas prácticas en materia de seguridad para operadores de redes, proveedores de servicios y Pymes. • Fomentar los programas de formación en las empresas para dotar a los empleados de los conocimientos y las aptitudes necesarios para aplicar las prácticas de seguridad. • Elaborar sistemas para la certificación de la seguridad de productos, procesos y servicios que sean asequibles y respondan a las necesidades específicas de la UE. • Implicar al sector de los seguros en la elaboración de herramientas y métodos de gestión del riesgo. 7.4.2.2. Seguridad de las redes y de la información: propuesta para un enfoque político europeo. El Consejo Europeo de Estocolmo de los días 23 y 24 de marzo de 2001 concluyó que "el Consejo, en concierto con la Comisión, pondría en marcha una amplia estrategia en materia de seguridad de las redes electrónicas, que previera medidas prácticas de aplicación. Esta estrategia debía estar preparada para el Consejo Europeo de Gotemburgo de junio de 2001". La Comunicación, COM(2001)298, fue la respuesta de la Comisión Europea a dicha petición y se divide en dos partes diferenciadas: 1-. Análisis de los problemas de seguridad de las redes y de la información, en el que resume el conjunto de amenazas en materia de seguridad, agrupándolas en: o Interceptación de las comunicaciones. o Acceso no autorizado a ordenadores y redes de ordenadores. o Diversos ataques a las redes. o Ejecución de programas malintencionados que modifican o destruyen datos. o Robo de identidad. o Accidentes no provocados. 2-. Conjunto de medidas propuestas que conforman el enfoque político europeo relacionado con el ámbito de la seguridad de las redes y de la información. Las medidas propuestas son las siguientes: o Concienciación: Lanzamiento de una campaña de información y educación pública y fomento de las mejores prácticas. o Un sistema europeo de alerta e información: Fortalecimiento por parte de los Estados miembro de sus equipos de respuesta a emergencias informáticas (CERT) y mejora de la coordinación entre los mismos. o Apoyo tecnológico: Apoyo a la investigación y al desarrollo en materia de seguridad (6º y 7º Programa Marco) y relación con una 117
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 118
Seguridad Nacional y Ciberdefensa
estrategia más amplia de mejora de la seguridad de las redes y de la información. o Apoyo a la normalización y certificación orientadas al mercado: Se invitaba a las organizaciones de normalización europeas a que aceleraran sus trabajos sobre interoperabilidad. La Comisión abogaba por continuar apoyando la firma electrónica y el desarrollo de los protocolos IPv6 e IPSec. La Comisión determinó que evaluaría la necesidad de llevar a cabo una iniciativa legal sobre el reconocimiento mutuo de certificados. o Marco legal: Establecimiento de un inventario de las medidas nacionales de aplicación del Derecho comunitario correspondiente, y proposición de legislación en materia de ciberdelincuencia. o La seguridad y la administración pública: Necesidad de incorporación, por parte de los Estados miembro, de soluciones de seguridad efectivas e interoperables en sus actividades electrónicas de administración pública y contratación pública. Refuerzo de la Comisión de sus requisitos en materia de seguridad en su sistema de información y comunicación. o Cooperación internacional: Refuerzo por parte de la Comisión del diálogo con las organizaciones internacionales y sus socios en lo relacionado con la seguridad de las redes y de la información. 7.4.2.3. Lucha contra el cibercrimen. La Comisión ha desarrollado durante años, en estrecha colaboración con los Estados miembro y otras instituciones de la UE, una política de lucha contra el cibercrimen. La política complementa otras actividades de la Comisión, que tenían como objetivo la mejora de la seguridad de las redes y la información (y por lo tanto contribuyendo a la prevención del cibercrimen), y tomaba como punto de partida el marco legislativo existente relativo a las comunicaciones electrónicas y protección de datos. En general, se puede decir que las actividades contra el cibercrimen de la Comisión pueden agruparse en cuatro categorías 1-. Participación en el proceso legislativo. La Comisión sigue de forma estrecha la legislación nacional relativa a la lucha contra el cibercrimen, con el objetivo de armonizar las leyes, y por otro lado propone legislación relativa al tema. Como ejemplo sirva, la Decisión Marco 2005/222 sobre “ataques contra los sistemas de información” que asegura un nivel de aproximación mínimo de la legislación en aspectos como acceso ilegal e interferencias ilegales en sistemas y datos. El Marco incluye también los denominados ataques de hacking o “denegación de servicio” así como la propagación de código malicioso, spyware, malware y virus. 2-. Desarrollo de una cooperación de los cuerpos de protección dentro de las fronteras de la UE. La Comisión está promoviendo de forma activa el estrechamiento de 118
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 119
Anexo A
contactos entre los expertos en cibercrimen de los Estados miembro, a través de la organización de conferencias y otros instrumentos como puntos de contacto 24/7 en los Estados miembro. Otra acción encaminada a reforzar la cooperación, es el desarrollo de una plataforma en la UE para la formación de expertos contra el cibercrimen, financiada y soportada a nivel político también por la Comisión. 3-. Promoción de la cooperación pública y privada para luchar contra el cibercrimen, en particular entre los cuerpos de seguridad y las compañías privadas. La Comisión considera que para formular una política contra el cibercrimen que sea efectiva, es de particular importancia que la información actualizada sobre las actividades cibercriminales sea intercambiada entre los cuerpos de seguridad y la empresa privada. La Comisión organizó, en 2007, un encuentro entre los sectores público y privado para discutir cómo se puede promover la cooperación de una forma más efectiva dentro de la UE. En el 2008 tenía previsto formar un grupo ad hoc para asistir a la Comisión en la formulación de propuestas concretas relacionadas con este ámbito. 4-. Papel de coordinación a nivel internacional La mayoría de los aspectos relacionados con el cibercrimen fueron incorporados en el Consejo de la Convención Europea del Cibercrimen, que comenzó su funcionamiento el 18 de marzo de 2004 y que contribuye a la lucha contra el cibercrimen a nivel internacional. La Comisión también ha tomado parte en grupos de trabajo internacional, como los subgrupos de Crimen Tecnológico del G8. Finalmente cabe destacar que la Política Contra el Cibercrimen fue presentada recientemente en la Comunicación de la Comisión “Hacia una estrategia general en la lucha contra el cibercrimen” de 22 de mayo de 2007.
8. OTAN 8.1. Contexto Los hechos más relevantes relativos a la Ciberdefensa en la OTAN son los que se enumeran a continuación: • Proposición de inclusión de la Protección de Infraestructuras Críticas en el Programa de Defensa Contra el Terrorismo, en la reunión informal de Berlín en septiembre de 2005. • La declaración “Riga Summit Declaration” de 29 de Noviembre de 2006, sobre los desafíos de seguridad del siglo 21. • La guía “Comprehensive Political Guidance” también de 29 de noviembre de 2006, que proporciona un marco y guía política para la transformación continua de la OTAN durante los próximos 10 ó 15 años, estableciendo las prioridades en cuanto a capacidad, planificación e inteligencia. • Ciberataques sufridos por Estonia en abril de 2007 que afectaron 119
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 120
Seguridad Nacional y Ciberdefensa
a las páginas web del parlamento, bancos, ministerios, periódicos etc., y en los que finalmente intervino la OTAN, aunque no fueran ataques dirigidos contra infraestructuras propias de la Organización. • Acuerdo del NC3B de 7-8 de noviembre de 2007 con respecto a: o Soportar el EWG (Executive Working Group) en el desarrollo de la “Política de Ciberdefensa”. o Desarrollo de recomendaciones para mejorar la ciberdefensa. o Soporte en el desarrollo del “Concepto de Ciberdefensa de la OTAN”. • Publicación del informe del “Papel de la OTAN en la Seguridad del Sector Energético” en la Cumbre de Bucarest de abril del 2008.
8.2. Legislación, planes y estrategias Los principales esfuerzos realizados por la OTAN en Ciberdefensa son los siguientes: • Creación del NCIRC (NATO Computer Incident Response Capability) en el año 2004. • Aprobación de la Política de Seguridad en Ciberdefensa de la OTAN (“Nato Policy on Cyber Defense”) el 7 de Enero del 2008. • Acuerdo sobre el Concepto de “Ciberdefensa de la OTAN” (“NATO Cyber Defence Concept”) a comienzos del año 2008, • Asignación de las Responsabilidades en Ciberdefensa y creación de las nuevas estructuras organizativas necesarias para la implementación de la Política de Ciberdefensa entre las que destaca: o NCDMA (NATO Cyber Defence Management Authority), creada en el 2008. o CCD COE (Cooperative Cyber Defence Centre of Excellence), creado en el 2008.
8.3. Organización y responsabilidades En cuanto a la organización y responsabilidades en ciberdefensa de la OTAN, caben destacar las siguientes: • Roles y responsabilidades generales de la OTAN y de los Aliados (extraídos de la Política de Seguridad en Ciberdefensa de la OTAN): o Sistemas TIC propietarios y utilizados por la OTAN La OTAN debe poseer la capacidad de proteger sus propios sistemas TIC críticos. Esta necesidad requiere medidas técnicas, y de los recursos apropiados. o Extensiones nacionales de los sistemas TIC de la OTAN Las Naciones son responsables de la protección de las redes propias que manejan información de la OTAN. La OTAN establece los requerimientos para asegurar que las citadas redes funcionan sin contratiempos. La OTAN y las Naciones coordinarán sus esfuerzos para proteger los 120
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 121
Anexo A
citados recursos contra los ciberincidentes, y por lo tanto comparten la responsabilidad en esta área. o Sistemas TIC Nacionales Las Naciones son las encargadas de la gestión y la protección de sus propios sistemas TIC. La OTAN especifica que, de entre el conjunto de sistemas, tienen una particular importancia aquellos que realizan funciones vitales para las Naciones como los gubernamentales, los de seguridad y los de defensa. Aboga también, por otro lado, por la coordinación entre los gobiernos y las empresas particulares para la protección de las infraestructuras relacionadas con la economía, energía, e infraestructuras de transporte o sanitarias. o Coordinación en la asistencia para proteger sistemas TIC Nacionales La política de ciberdefensa especifica que si cualquier aliado o aliados son víctima de un ciberataque de relevancia nacional o para los aliados, la OTAN debe estar preparada y capacitada, bajo solicitud, para coordinar o proporcionar asistencia en forma de medidas de recuperación y reconstrucción. De la misma forma, especifica que las circunstancias pueden conllevar que aliados, de forma individual, puedan ofrecer asistencia en el tratamiento de ataques a sistemas propios utilizados por la alianza. • Órganos relacionados con la Ciberdefensa En la siguiente figura se muestra el conjunto de “actores” involucrados en la ciberdefensa de la OTAN:
Figura 17. Estructura de Ciberdefensa de la OTAN. 121
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 122
Seguridad Nacional y Ciberdefensa
NATO Cyber Defence Management Authority (NCDMA) Autoridad que gestiona la Ciberdefensa de todos los sistemas de información y comunicaciones de la OTAN y que conduce a los actores clave dentro en las actividades de Ciberdefensa de la OTAN. o NATO Cyber Defence Management Board Autoridad delegada que lleva a cabo las acciones apropiadas en caso de grandes ciberataques o amenaza de ataques en la OTAN o sus Naciones miembro. Este organismo no anula las competencias de las “Autoridades TIC” establecidas a nivel OTAN o Nacional. o NATO Cyber Defence Coordination and Support Centre Coordina las actividades de Ciberdefensa dentro de la OTAN, con las Naciones miembro y con otros órganos externos. En la actualidad tiene asignadas las responsabilidades del Centro de Coordinación NCIRC, evaluación de Ciberamenazas, y personal de soporte a la NCDMA. o CCD COE Como ya se comentó con anterioridad, el CCD COE realiza las siguientes funciones relacionadas con la Ciberdefensa en la OTAN: Desarrollo de doctrinas y conceptos. Formación y concienciación. Investigación y desarrollo. Análisis y lecciones aprendidas. Consulta. o Intercambio de Información La OTAN intercambia información sobre ataques y vulnerabilidades con otros CERT´s públicos y privados de las naciones, y asociaciones internacionales como el FIRST. o
8.4. Ciberdefensa 8.4.1. Protección contra el terrorismo y otras amenazas Las diversas naturalezas que se esconden tras el terrorismo (religioso, independentista, mafioso, etc.) hacen que la OTAN se encuentre involucrada en numerosas iniciativas de diverso carácter: • Político • Operacional • Conceptual • Militar • Tecnológico En todas las iniciativas, la OTAN trabaja conjuntamente con otros socios y organizaciones con el objeto de lograr una amplia cooperación en la lucha contra el terrorismo. El Programa de Defensa Contra el Terrorismo de la OTAN está focalizado en el desarrollo de tecnología que permita la lucha eficiente contra 122
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 123
Anexo A
el mismo, tanto para la protección de las tropas como de los civiles contra los ataques terroristas. El trabajo del programa está dividido en once áreas, donde la tecnología puede ser de vital importancia (los proyectos están siendo liderados por países de la OTAN, a título individual, o grupos de la Conferencia de Directores de Armamento Nacional, CNAD). Del conjunto de áreas destaca una de ellas por su relación con el concepto de Ciberdefensa: • Protección de Infraestructuras Críticas Este concepto fue propuesto por el Ministro de Defensa de Bélgica en la reunión de Berlín en Septiembre de 2005 y ha sido añadido recientemente en la agenda del programa. El alcance del área está siendo definido y será dirigida por Bélgica. 8.4.2. Protección de infraestructuras críticas La OTAN, de forma paralela a las actividades realizadas en el Programa de Defensa Contra el Terrorismo, ha trabajado sobre un sector en concreto que estaría incluido dentro de las infraestructuras críticas, el Energético, para determinar cuál es su papel en la protección de este recurso. Los líderes de la OTAN han reconocido que la interrupción en el flujo de recursos vitales puede afectar a los intereses de la seguridad de la Alianza. Por ello, declararon su intención de apoyar un esfuerzo internacional coordinado para evaluar los riesgos de la infraestructura energética y promover la seguridad de la misma. Como parte de este esfuerzo, y tras el Taller de Investigación de amenazas sobre la Energía (Londres 2004), en la Cumbre de Bucarest de abril de 2008, la Alianza sacó a la luz un informe sobre el Papel de la OTAN en la Seguridad del Sector Energético, el cual identificaba una serie de guías y recomendaciones para realizar actividades posteriores (se espera que en la próxima cumbre de 2009 se revise el avance en este campo). El citado informe identifica cinco áreas clave en las que la OTAN puede proporcionar un valor añadido frente a otras instituciones u organizaciones: • • • • •
Intercambio y fusión de información e “inteligencia”. Proyección de estabilidad. Avances en la cooperación regional e internacional. Soporte a la gestión de las consecuencias. Soporte a la protección de infraestructuras críticas.
En la actualidad, se está estudiando cual será el grado real de involucración de la OTAN, a la vez que un conjunto de programas prácticos dentro de la Alianza y con los Socios de la OTAN se está desarrollando a través de talleres y proyectos de investigación. 123
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 124
Seguridad Nacional y Ciberdefensa
8.4.3. Política de ciberdefensa En el presente epígrafe se profundiza en la Política de Seguridad en Ciberdefensa de la OTAN como base de las actuaciones llevadas a cabo dentro de este ámbito por la OTAN. La política establece los principios básicos y proporciona directrices para los cuerpos militares y civiles de la OTAN, así como recomendaciones para las Naciones de la OTAN para asegurar la acción coordinada y común en ciberdefensa y la respuesta a los ciberataques. 8.4.3.1. Principios. La política de ciberdefensa se basa en los siguientes principios: • Solidaridad Aunque los esfuerzos de la OTAN están focalizados en sus propios sistemas TIC, la OTAN, teniendo en cuenta los recursos disponibles, determina que puede proporcionar soporte relacionado con la defensa de los sistemas TIC a los Aliados, debido a que los sistemas propietarios de la OTAN pueden verse perjudicados por vulnerabilidades existentes en infraestructuras TIC de las Naciones, en el caso de que las citadas naciones sufran ciberataques significativos. • No Duplicidad Al igual que la OTAN, otras organizaciones internacionales están involucradas en la protección de los sistemas de información de los ciberataques. La OTAN por lo tanto, en su política especifica que se debe evitar la duplicidad de esfuerzos a nivel nacional, regional o internacional. La Política especifica que la OTAN debe obtener ventaja de las prácticas, información, herramientas y lecciones aprendidas por el resto de organizaciones cuando ha sido probado que estas han sido efectivas en la protección. • Seguridad La información relacionada con la protección de infraestructuras TIC críticas debe ser etiquetada y manejada apropiadamente, y el acceso debe garantizarse bajo la base de la “necesidad de conocer”. 8.4.3.2. Requerimientos. La Política especifica que la ciberdefensa requiere mecanismos, procedimientos y la mejora de las capacidades para preparar la prevención, detección, respuesta y recuperación, así como el aprendizaje de los incidentes que afecten a la confidencialidad, integridad y disponibilidad de la información y los sistemas y recursos que la soportan. • Preparación y Entrenamiento La Política aboga por tomar medidas preventivas entre las que incluye desde la elaboración de estándares y procedimientos, hasta la ejecución de ejercicios y entrenamiento. • Prevención La Política dictamina que las estrategias preventivas, para que sean efectivas, deben incluir múltiples mecanismos de defensa entre el “obje124
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 125
Anexo A
tivo” y el adversario (implementación del concepto de “defensa en profundidad”) así como verificaciones de su correcto funcionamiento como auditorías de seguridad, test de intrusión, etc. • Detección, Respuesta y Mitigación Dentro de la ciberdefensa, es de vital importancia: o La identificación en tiempo real, o casi real, de la actividad anómala en las redes; o La identificación y aplicación de las medidas necesarias para el aislamiento, con el fin de mitigar las consecuencias; o Alertar a los usuarios apropiados y o Obtener un conocimiento sostenido de la situación. • Recuperación y Realimentación En el último de los requerimientos, la Política determina la importancia de la capacidad para reestablecer el funcionamiento normal de los sistemas y analizar los eventos acaecidos con el fin de mejorar los mecanismos de ciberdefensa implantados. 8.4.3.3. Mecanismos. En cuanto a los mecanismos aplicables en ciberdefensa, la política cita la necesidad de: • Un Mecanismo de Consulta Establecimiento de un mecanismo de consulta para mejorar el conocimiento de la situación, actuar ante un ciberataque por parte de los responsables apropiados, y capacitar para asistir a los aliados con una respuesta inmediata y efectiva. La responsabilidad de desarrollar esta capacidad recae sobre el NC3 Board en coordinación con el NATO Security Comité (NSC) y otros comités relevantes. El mecanismo será incluido en el Manual de Respuesta ante Crisis de la OTAN (NATO Crisis Response System Manual) • Un Canal de Comunicaciones Establecer un canal de comunicaciones entre los Aliados para asegurar el intercambio de información, clasificada y sin clasificar, relativa a las ciberamenazas, y a los ataques e incidentes. 8.4.3.4. Capacidades. Las capacidades de la OTAN en ciberdefensa están focalizadas principalmente en los siguientes órganos: • El NCIRC constituye el principal instrumento técnico que proporciona soporte a los Aliados frente a los ciberataques. Por esta razón la Política dictamina que debe estar entrenado, equipado y organizado adecuadamente para poder llevar a cabo esta tarea (tendrá prioridad en la recepción de los recursos requeridos). El NCIRC debe coordinarse con el Comité de Planificación de Comunicaciones Civiles (Civil Communications Planning Committee, CCPC) para soportar el equipo de acción rápida. Por otro lado, el NCIRC será capaz de reaccionar y comunicarse con los NCIRC equivalentes que son propios de las Naciones. 125
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 126
Seguridad Nacional y Ciberdefensa
• Aparte del NCIRC, el CCD COE proporcionará soporte y experiencia a la OTAN y las Naciones según se determina en los acuerdos de su programa de trabajo.
8.5. Financiación El programa para la Capacitación del NCIRC tiene un coste estimado de 8 millones de euros.
9. Iniciativas en materia de ciberejércitos 9.1. China 9.1.1. Introducción A principio de los 90, el ejército chino reconocía que estaba desarrollando una revolución en asuntos militares que tenían que ver con el resultado de las nuevas posibilidades abiertas por las tecnologías de la información. El ejército chino empezó a considerar los ciberataques como un medio asimétrico para responder a un adversario tecnológicamente superior dentro, y fuera, del campo de batalla. Con el apoyo de un plan nacional integrado, el PLA (People’s Liberation Army) desarrolló una doctrina en ciberguerra, ha implementado entrenamiento para oficiales en el marco de la ciberguerra y ha llevado a cabo ejercicios en esta materia. Hay datos que hacen pensar que el gobierno chino deriva fondos para financiar la comunidad hacker. Por otra parte, los servicios de inteligencia chinos continuamente realizan estudios sobre ciencia y tecnología para ayudar a conseguir los objetivos nacionales. China fabrica productos relacionados con las TIC para conocer sus necesidades tecnológicas. Además de cooperar con Rusia, un país donde también existe un programa de ciberguerra, se sospecha que China tiene su propio modelo de uso de las tecnologías en ciberataques. 9.1.2. Visión del país en ciberguerra En EE.UU. se empezaron a realizar informes sobre las capacidades de China en materia de ciberguerra a finales de los 90. China entonces ya consideraba los ciberataques como un componente en una estrategia integrada para derrotar a una fuerza militar enemiga superior numérica y tecnológicamente. El rápido crecimiento de la economía china posibilitó que el PLA pudiese probar y adoptar nuevas tecnologías de la información en sus planes de modernización. Ya en el año 2000, la CIA hacía pública su preocupación sobre la posibilidad de ciberataques. Aseguraba que la ciberguerra se estaba convirtiendo en una posible estrategia alternativa para países “que saben que en confrontaciones militares convencionales con los Estados Unidos, no 126
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 127
Anexo A
pueden imponerse. Este tipo de países encuentran en este tipo de ataques, lanzados desde dentro o desde fuera de nuestras fronteras, una opción asimétrica de ataque y defensa en una crisis armada”. Hacían creíbles así las palabras de un general chino sin identificar, que aseguraba que eran “capaces de hacer que los centros de mando y control del enemigo queden inutilizables modificando sus sistemas. Podemos hacer que el enemigo tome decisiones incorrectas enviando información falsa. Podemos dominar el sistema bancario del enemigo e incluso su completo orden social”. En julio de 2004, Jiang Zemin, Presidente de la Comisión Militar Central hizo una llamada a las fuerzas militares para equiparse con tecnologías de la información para prepararse para una posible ciberguerra. El desarrollo de una estrategia militar china en el campo de la ciber guerra puede situarse a comienzo de la década de 1990. Tras concluir la Guerra del Golfo, en 1991, el gobierno chino y el PLA comenzaron a analizar la victoria de EE.UU. Las fuerzas americanas y de la coalición utilizaron operaciones coordinadas a través de medios electrónicos con el fin de derrotar al ejército iraquí. Los primeros lanzamientos de misiles por parte de EE.UU. tenían por objetivo destruir las capacidades de mando y control, así como los radares. Tanto China como otras potencias mundiales, vieron la victoria combinando métodos tradicionales y tecnologías de la información como una revolución (RMA, Revolution in Military Affairs). A raíz de los documentos e informes publicados por China en materia de ciberguerra, se aprecian dos principales líneas de actuación. En primer lugar, una estrategia en ciberataques, equiparándola a las estrategias convencionales. En segundo lugar, el desarrollo de capacidades en ciberguerra se convierte en un objetivo nacional más por ser un camino efectivo y relativamente barato en operaciones contra algún adversario. Los comienzos del programa de investigación En una de sus primeras publicaciones, Shen Weiguang, escribió: “Aquellos que toman parte en un ciberataque no son todos soldados. Cualquiera que sepa informática puede convertirse en un luchador en la red. Hay que pensar en la posibilidad de carros de combate no gubernamentales que pueden tomar la decisión de entrar en el conflicto; no sólo hay que buscar la movilización de la gente joven, también industrias relacionadas con las tecnologías de la información serán las primeras en ser movilizadas y formar parte de la guerra,…” Shen, actualmente un reconocido experto en materia de ciberguerra definió el concepto de la “batalla desde el hogar”, en la que China conduciría un tipo de guerra diferente con ordenadores (People’s War). La evolución desde una estrategia para este tipo de guerra hasta la adopción de tecnologías de la información para derrotar a enemigos superiores, se puede ver como un componente integral de un plan de China para llegar a ser un líder a nivel mundial, sin tener que invertir grandes can127
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 128
Seguridad Nacional y Ciberdefensa
tidades de dinero en un ejército tradicional. Varios investigadores de la Academia China Militar de Ciencias y de la Universidad China de Defensa Nacional han publicado libros sobre el uso de la ciberguerra. Se pueden extraer más datos para analizar a través del examen del desarrollo de las estrategias únicas de China en materia de ciberguerra. Las estrategias chinas suelen centrarse más en aspectos psicológicos y de denegación y suplantación de datos militares. Cambios en la estructura del ejército China cuenta con el mayor ejército convencional en el mundo. Aún así, el PLA reconoce su que su efectividad es limitada, dada su incapacidad para proyectar su fuerza de forma lo suficientemente efectiva como para enfrentarse en una guerra convencional con EE.UU. A pesar de que las estimaciones pueden no ser muy precisas, se cree que el gasto en el ejército chino asciende a más de 65000 millones de euros. De este presupuesto, se estima que el 9,6% se destina a la mejora en respuesta rápida y tecnologías de la información en ciberguerras. El general del PLA Guo Boxiong hace hincapié en sus declaraciones en que el ejército chino debe mejorar su capacidad de victoria en el marco de la guerra de alta tecnología. El ejército chino persigue este liderazgo para contrarrestar al de EE.UU. en las operaciones militares convencionales. A este proceso se le ha bautizado en China como “Acupuntura militar”. Se ha definido la “Acupuntura miltar” como el paralizar al enemigo atacando la debilidad del enlace de su mando, control comunicaciones e información, de la misma forma que en Kung-fu se buscan los puntos de acupuntura. Un componente de esta estrategia se basa en el uso de hackers civiles. Desde las autoridades militares se hacen llamamientos para que cualquiera con un ordenador se una en la lucha, multiplicando así su fuerza militar. En un artículo publicado en 2002 por el teniente coronel Thomas de los EE.UU., se afirma que el PLA divide la estrategia en ciberguerra en tres partes: vigilancia, ataque y protección. La vigilancia a través de la red y de equipos electromagnéticos permite al PLA recoger información de objetivos potenciales y desarrollar planes de ataque contra infraestructuras críticas. En cuanto a ataques, se refieren a “operaciones para interrumpir, sabotear y destruir información en los sistemas de red enemigos utilizando equipamiento especializado”. Se entiende por protección, el evitar la vigilancia y ataque por parte del enemigo. Ciberobjetivos estratégicos incluyen redes de ordenadores que enlazan “instalaciones políticas, económicas y militares de un país, así como de la sociedad en general” Entrenamiento Para el PLA es de vital importancia el entrenamiento para futuras operaciones en ciberataques. Dentro de los centros de entrenamiento para ciberguerra, se encuentra la Academia de Mando y Comunicaciones, en 128
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 129
Anexo A
Wuhan, la Universidad de Ingeniería en Información, en Zhengzhou, la Universidad de Ingeniería y Ciencias y la Universidad de Ciencia y Tecnología en Defensa Nacional, en Changsa. Todos estos centros cuentan con profesores expertos en ciberguerra que entrenan a los nuevos soldados. En el entrenamiento de los soldados se incluye teoría básica de ordenadores y aplicaciones; tecnologías de redes de comunicaciones; unidades conectadas por TIC; contramedidas electrónicas; tecnologías RADAR; reglas y regulaciones en ciberguerra; tácticas y estrategias en ciberguerra; sistemas de información, incluyendo el reunir, diseminar y usar la información; mando, monitorización, toma de decisiones, y sistemas de control. Otra parte del entrenamiento de los soldados del PLA incluye el uso de ciberarmas, simulación de ciberguerras, protección de sistemas de información, ataques con virus informáticos y defensa frente a los mismos, jamming y anti-jamming en redes, de comunicaciones. En los ejercicios militares llevados a cabo por el PLA, se llevan incluyendo maniobras de ciberguerra desde hace más de 10 años. Así el primer ejercicio tuvo lugar en octubre de 1997, donde se utilizó un virus informático para paralizar los sistemas de comunicaciones. En este ejercicio se utilizaron medios de tierra, logísticos, médicos y unidades aéreas. Un segundo ejercicio tuvo lugar un año después, en octubre de 1998. Fue un ejercicio de alta tecnología que unió a unidades militares a lo largo de todo el país. Desde entonces, son frecuentes los simulacros de ciberguerras en China. A partir de aquí, China ha trabajado no sólo en estrategias en ciberguerra, sino también en el desarrollo de sus propias tecnologías en materia de ciberguerra. Además, el PLA incrementa continuamente el número de organizaciones implicadas en esta materia. China está desarrollando una estrategia para integrar a la comunidad civil experta en informática en unidades de reserva dentro del PLA. El PLA ha llevado a cabo campañas de reclutamiento para expertos informáticos. Así, el PLA aumenta continuamente su capacidad en ciberataques. Los presupuestos para ello, siguen aumentando, y se mejoran los programas de entrenamiento en C4I. Inversión en Tecnologías de la Información Los esfuerzos de China para adquirir y desarrollar tecnologías de la información para fines militares y civiles son importantes. El Partido Comunista de China promueve la adopción de este tipo de tecnologías, sin embargo, el uso de Internet y otras tecnologías para actividades políticas no autorizadas está muy controlado. China utiliza varios métodos para atraer la inversión extranjera, el conocimiento técnico de la tecnología avanzada y la gestión del conocimiento. El gobierno chino continúa haciendo hincapié en la necesidad de “importar tecnología antes que bienes terminados, y renovar fábricas mediante la adquisición selectiva de nuevas tecnologías antes que mediante la adquisición de plantas enteras”. Desde China se busca inversión extranjera directa, especialmente para desarrollar productos de alta tecnología. 129
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 130
Seguridad Nacional y Ciberdefensa
Se cree que China puede estar utilizando individuos técnicamente muy capaces para llevar a cabo sus actividades hackers. Ya se ha comentado que algunos autores hablan de la movilización de las masas de población chinas para las operaciones con ciberataques. Es difícil establecer la relación de los hackers con el gobierno central. Sin embargo, está claro que ha habido ataques de hackers en paralelo con incidentes físicos. Analistas de EE.UU. aseguran que los hackers en China no están patrocinados por el gobierno, sino controlados por el gobierno. Así, por ejemplo, en mayo de 2000, tras las explosiones en la Embajada china de Belgrado, se registraron ataques en servidores web políticos, militares y civiles de EE.UU. Incidentes similares se produjeron tras el accidente aéreo entre un caza chino y un avión de reconocimiento americano en abril de 2001. Organizaciones hackers han podido también recibir ayuda del gobierno chino a través del desarrollo de software, virus y métodos para atacar redes de ordenadores. Se sospecha que un gran número de worms tienen su origen en China. Hay varios incidentes en los que se ha acusado al gobierno chino de ayudar a los hackers a ejecutar ciberataques sobre objetivos extranjeros. Dos ISPs canadienses sufrieron ataques de denegación de servicio por alojar páginas web de grupos religiosos prohibidos en China. Por otra parte, China continua procurando tecnología de Rusia y otros países. Rusia cuenta con un bien documentado programa de ofensiva en ciberataques. Además, China participa en intercambios con otros países como Pakistán y Corea del Norte. A través de informaciones en los medios, se puede deducir que China adquiere tecnologías de la información de forma ilegal. En noviembre de 2003, Gao Zhan, un investigador en una universidad americana, fue declarado culpable de exportar a China tecnologías en informática. Un informe declaraba que “entre los objetos enviados a China se encontraban microprocesadores que pueden ser usados en control digital aéreo y en sistemas de armas”. 9.1.3. Conclusiones El gobierno chino está desarrollando e implementando una estrategia integrada de directivas diplomáticas, informativas, militares y económicas para alcanzar sus objetivos nacionales. A pesar de que la literatura pública sugiere que desde Beijing se están llevando a cabo programas de ciberguerra, el secretismo alrededor de este tema dificulta una evaluación detallada. La CIA y el DoD de EE.UU. han informado que China ve en la ciberguerra como una estrategia asimétrica viable cuando se enfrenten a adversarios superiores. Las instituciones militares chinas han publicado libros de esta materia. Estos estudios empezaron evaluando la revolución en asuntos militares que supuso la victoria de EE.UU. en la guerra del Golfo de 1991. Analizando los estudios chinos se deduce que desde China se ven los ciberataques como una forma de combatir y neutralizar un enemigo superior. 130
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 131
Anexo A
A pesar de que China cuenta con el mayor ejército convencional, sus capacidades en C4I no son demasiado eficientes. Las autoridades militares chinas han gastado recursos considerables en actualizar sus redes C4I. Estos esfuerzos vienen como resultado de lo que parece ser una apreciación de la potencial vulnerabilidad de los sistemas construidos con tecnología comercial, esta apreciación ha llevado a invertir en la defensa de redes, sobre todo frente a virus. En el ejército chino, se entrena a sus oficiales, entre otros aspectos, en tecnologías de la información. El número de ejercicios que integran ciberataques en escenarios convencionales son corrientes en China. El PLA ha implementado programas para reclutar expertos técnicos para dar soporte a su capacidad de ciberataques.
9.2. India 9.2.1. Introducción India ha experimentado, y sigue haciéndolo, ciberataques de gran variedad de formas. El 7 de junio de 1998, por ejemplo, un grupo antinuclear, “Milw0rm”, hackeó la red del Bhaba Atomic Research Center (BARC) para protestar contra las pruebas nucleares. En el mismo período, grupos hacker paquistaníes, como “Death to India”, “Kill India”, “Dr. Nuker” o “G-Force Pakistan”, hicieron circular instrucciones para lanzar ciberataques a ordenadores de la India. Desde 2001, se fueron intensificando los ataques entre los dos países, destacando los defacements en webs de ambos países. Como consecuencia, los ciberataques suponen más que un reto teórico para el desafío del día a día en la agenda de la seguridad nacional del gobierno. En respuesta a estos ataques, los líderes de las fuerzas armadas del país detectaron la necesidad de un cambio y comenzaron a colaborar con compañías privadas con el fin de crear una fuerza militar enfocada en las nuevas tecnologías. A finales de la década de 1990, desde Nueva Delhi se realizó una revisión de la postura a adoptar dentro del marco de lo que se llamó la Revolución en Aspectos Militares (RMA, Revolution in Military Affairs), llevada a cabo por la aplicación de tecnologías digitales en armas de precisión y comunicaciones instantáneas. En el informe de 2001, Retos para la Gestión de la Seguridad Nacional, los líderes políticos daban especial importancia a los asuntos relacionados con la ciberdefensa y el ciberataque. La transformación pretendida por la India en la doctrina militar estratégica y operacional complementó los cambios en la economía en tecnologías de la información que había empezado a comienzos de los 90. A finales de dicha década, los fabricantes indios trabajaban junto con empresas estadounidenses, ya que ofrecían mano de obra bien entrenada y barata. 131
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 132
Seguridad Nacional y Ciberdefensa
9.2.2. Iniciativas en capacidad de ciberguerra El ejército indio anunció formalmente en 1998, un impulso en su doctrina para abarcar capacidades en guerra electrónica y de información. Esta nueva doctrina, enumeraba planes ambiciosos hasta 2008. En estos planes se contemplaba adquisición y desarrollo de software, hardware y de recursos humanos, con el fin de mejorar la meta de tener soldados mejor entrenados en tecnologías TIC. Así V.P. Malik, uno de los arquitectos de esta nueva doctrina, señalaba que lo que se pretendía era “establecer una infraestructura de tecnologías de la información robusta para actuar como un multiplicador de fuerzas mediante la incorporación de sistemas de información en red y automatizados, complementados por personal entrenado en estas tecnologías”. De forma simultánea con el plan de adoptar una estrategia en TIC por parte del ejército, el sector de las industrias de defensa en la India adoptó medidas similares. Antes del año 2000, la producción y abastecimiento militares se limitaba a empresas propiedad del gobierno por motivos ideológicos y de seguridad. A partir de entonces, sin embargo, las fuerzas armadas se han vuelto más abiertas a la colaboración con empresas tanto públicas como privadas en el sector de defensa. El sector militar ha aprendido que las tecnologías desarrolladas por la industria privada podían fortalecer la seguridad del país. Ya por entonces, un oficial del ejército declaró: “Estamos dentro de la era de la ciberseguridad y debemos crear un nuevo entorno de seguridad, desde que los principales ejércitos en el mundo tienen que hacer frente a unos 3.000 intentos de hackear sus redes”. Fue en el año 2000, los Ministerios de Industria y Defensa decidieron establecer acuerdos para aumentar el papel y el objetivo de la industria en el sector de defensa. Las tareas que se acordaron llevar a cabo fueron, entre otras: una asociación a largo plazo, procesos comerciales y crear una asociación de Industria y Defensa en Investigación y Desarrollo. En 2002, el gobierno hizo un llamamiento a empresas privadas para invertir en tres áreas: tecnologías de la información y ciberguerra; infraestructuras de guerra electrónica y C4I; y movilidad. Este llamamiento se debió al convencimiento de que los productores privados podían ofrecer tecnologías modernas y eficientes, servicios de post-venta y costes menores debido a la competencia en el mercado. Entrenamiento En el libro de ruta establecido en 1998 por el ejército, se establecía que todos los oficiales deberían tener un grado de conocimiento razonable en tecnologías TIC ya en 2002. En 1999, el Instituto de Tecnologías de la Información del ejército presentó su primer curso para enseñar a los soldados las bases de la ciberguerra. De forma simultánea, tres institutos de tecnología del ejército comenzaron a presentar las tecnologías de la información como parte de su plan de estudios. 132
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 133
Anexo A
En 2002, el Ministro de Defensa se planteó la creación de la Universidad de la Defensa Nacional (NDU) en Nueva Delhi, en la que se tratasen, entre otras materias, aspectos de la revolución digital y la ciberguerra. Entre los objetivos de la NDU estaban el cambiar la forma de pensar y de aprender de los nuevos soldados. La NDU debería albergar un Instituto Nacional de Estudios de Estrategias, que sería un centro de investigación con vistas futuristas. Ya se planteaban entonces el realizar simulaciones con juegos de guerra. No sólo se permitiría el acceso a este Instituto a personal militar, sino también al sector civil. En la Academia Nacional de Defensa (NDA), en junio de 2002 se graduó el primer grupo de estudiantes con el Título en Ciencias Informáticas. Según los medios, en estos estudios de tres años de duración se aprenden temas relativos a guerra electrónica y la creciente informatización en las fuerzas armadas, desde interceptar y descifrar señales del enemigo a la utilización de radares y sonares, ya que se es consciente de que las tecnologías TIC tienen un papel primordial en la guerra moderna. Se imparten asignaturas como arquitectura de ordenadores, lenguajes de programación, análisis de sistemas de redes y gestión de sistemas de bases de datos. El ejército indio está invirtiendo recursos significativos para desarrollar tecnologías TIC. Empresas privadas han desarrollado programas para integrar sus tecnologías directamente en las necesidades del sector de Defensa. El CBI (Central Bureau of Investigation) lleva a cabo workshops para la policía para explicar crímenes relacionados con Internet. Estudia también métodos y soluciones para prevenir intrusiones en los servidores del gobierno. Además ha desarrollado una estrategia para la protección de las infraestructuras críticas del país. En relación con la formación, hay que destacar también que la India colabora con EE.UU., habiendo creado el CyberSecurity Forum para promover el intercambio de información en ciberamenazas. El foro fomenta las discusiones bilaterales en protección de infraestructuras civiles y militares, cooperación legal, estándares de seguridad y en el campo de la investigación y el desarrollo. Operaciones A principios de 2002, se estableció la Defence Intelligence Agency (DIA) para coordinar la administración en Inteligencia de los ejércitos de tierra, aire y armada. Es responsable de ejecutar operaciones internacionales y conseguir datos de inteligencia táctica en países cercanos a través de recursos humanos. También se encuentra entre sus responsabilidades la administración del Centro de Procesamiento y Análisis de Imágenes de Defensa. Dependiente de la DIA, se creó la DIWA (Defence Information Warfare Agency), para tratar temas como operaciones psicológicas, ciberguerra y ondas electromagnéticas. Así pues, el gobierno indio ha elaborado una estrategia exhaustiva 133
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 134
Seguridad Nacional y Ciberdefensa
para integrar las tecnologías de la información al sector militar. Los servicios armados han desarrollado planes que conllevan requerimientos a largo plazo para adquirir nuevas tecnologías y también los recursos humanos necesarios para este fin. Por último, cabe destacar la colaboración establecida entre Rusia e India en investigación informática. Estos dos países tomaron medidas para fortalecer lazos tradicionales en el campo de la defensa y armamento militares. Ejemplos de este hecho, son las colaboraciones entre el Departamento de Ciencia y Tecnología de Nueva Delhi y la Academia de las Ciencias de Rusia, o entre el Centro de Desarrollo de Alta Computación de India y el Instituto de Diseño Asistido por Ordenador de Rusia. 9.2.3. Conclusiones Las fuerzas armadas de la India han establecido una doctrina para abarcar de una forma más directa temas de ataque y defensa en ciberguerra, lo que ha impulsado los esfuerzos del país en investigación TIC y desarrollo de software. Dentro de esta doctrina, se han llevado a cabo algunos pasos, como la creación de la Universidad Nacional de Defensa, siendo uno de sus enfoques el software informático y el establecer una nueva agencia de inteligencia y vigilancia electrónica. Desde Nueva Delhi se busca de forma activa cooperación militar con otros países como Rusia o Israel en materias técnicas y científicas, países con conocidas “cibercapacidades”.
9.3. Irán 9.3.1. Introducción Las tecnologías de la información y comunicaciones (TIC) en la cultura civil iraní son complejas. El gobierno, consciente de la importancia de este sector y las consecuencias asociadas con Internet, está determinado a que Irán no se verá excluido de la economía global de las TIC. La población, por lo general culta, consciente de los desarrollos y tendencias a través de contactos externos, clama por tener acceso a estas tecnologías. Irán cuenta con una infraestructura telefónica antigua y obsoleta. Por otra parte, elementos conservadores del régimen religioso piensan que el acceso a la información sin control, llevará consigo levantamientos y tensiones sociales. Los servicios de telecomunicaciones y de Internet en Irán normalmente son considerados rudimentarios comparados con los de otros países de la región del Golfo Pérsico. Algunos analistas atribuyen el no considerar su potencial a contradicciones internas políticas y religiosas. Informes de la CIA señalaban que en 2004 Irán contaba con unos 5000 servidores frente a los 15.900 de Arabia Saudí o los 56.280 de Emiratos Árabes. En cuanto al número de PCs, en 2003, según la Unión Internacional de Telecomunicaciones (ITU), el índice de penetración en 134
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 135
Anexo A
Irán era del 7.5% frente al 13.67% de Arabia Saudí o el 12% en Emiratos Árabes. A pesar de estos datos, en los últimos años el gobierno ha realizado esfuerzos para ponerse al día en el sector de las TIC. En particular, el sector de defensa ha dado una importancia primordial a tener recursos humanos y financieros dedicados a la investigación y desarrollo en guerra electrónica y sus campos relacionados. Irán está decidido a superar la propia percepción de inferioridad militar y tecnológica. Para conseguir esto, en los últimos años, desde el gobierno se están dando pasos para una transformación tanto en su política exterior como en su doctrina de seguridad y en la adquisición de armamento sofisticado. Teherán está invirtiendo en la compra de sistemas avanzados para guerra convencional y también en investigación y desarrollo de tecnología digital y tecnologías de la información relacionadas con el sector militar. Con esto, Irán busca el evitar el aislamiento económico y tecnológico, lo que tiraría al traste las expectativas de alcanzar la fuerza necesaria para convertirse en una referencia política en Asia Central. Con este fin, desde el gobierno se han establecido lazos con vecinos como Rusia e India. 9.3.2. Evolución en capacidad para la ciberguerra En 2004, en EE.UU. se incluyó a Irán dentro de la lista de países capaces de llevar a cabo ciberataques contra sus intereses. Desde la CIA se asegura que Irán ya cuenta con recursos humanos entrenados en ciberguerra, aunque se señalaba que parecía poco probable que se intentase atacar algún objetivo militar y no tanto que sus objetivos fuesen del sector privado. Ya desde la década de los 90, cuando Irán reconoció su inferioridad manifiesta con respecto a otros países en lo relativo a ciberguerra, se procedió a reestructurar las prioridades en defensa y a incrementar los esfuerzos en I+D nacional. En 1999, desde el Consejo Nacional de Inteligencia de EE.UU. se señalaba que Irán e Irak eran ejemplos de estados que “tenderán a explorar la utilidad de las tecnologías de la información en operaciones asimétricas. Para contrarrestar las capacidades militares de EE.UU. estos estados buscarán formas de explotar nuestras vulnerabilidades, incluyendo el empleo de ciberguerras y ciberterrorismo”. En 2002, Irán contaba con unos 250 ISPs, la mayoría de los cuales pertenecían al gobierno o a agencias del estado. Los pocos ISPs que operaban de manera independiente proporcionaban acceso a unos precios que prácticamente limitaban el uso de Internet a usuarios en unas esferas muy reducidas. Los terminales públicos disponibles permitieron la aparición de una nueva “sub-cultura” en las principales ciudades, como Teherán. La proliferación de cibercafés, unido a intentos del gobierno para filtrar determi135
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 136
Seguridad Nacional y Ciberdefensa
nados contenidos y el control del acceso público ha promovido una mentalidad hacker. Como ya se ha señalado, desde el gobierno durante los últimos años, se ha dado una alta prioridad a la modernización militar. Se ha dedicado para ello una parte significativo de los beneficios logrados con el negocio del petróleo en I+D en relación con armas de destrucción masiva, armas avanzadas en el campo tradicional y diversas tecnologías en guerra electrónica. Esfuerzos en investigación A raíz de la Guerra del Golfo, en 1991, Irán se dio cuenta del valor de las tecnologías de la información para fines militares y se tomaron decisiones para asegurar la “digitalización” de sus fuerzas armadas. Desde hace ya más de 10 años, en el Army’s Officer Training College se incluyen asignaturas como software de ordenadores. El Ministro de Defensa iraní, Ali Shamkhani, ya señalaba en el año 2000 que “Irán confía en el potencial de su hardware y software nacional para la seguridad nacional”. Posteriormente, el Ministro señalaba la importancia de la inversión en TIC para mejorar las capacidades en defensa militar. En febrero de 2003, anunció la creación de un “complejo Universitario” para atraer personal para asegurar la mejora continua en el sector de defensa y su modernización. La Universidad Malek Ashtar, en Shahinshar, es conocida como la Universidad de las Ciencias y la Tecnología, está relacionada con diversas actividades en I+D en sectores como el aeroespacial, biotecnología genética y tecnologías de la información y comunicaciones. Además, Teherán busca activamente contactos económicos y militares con productores de tecnología más allá de las fronteras del estado. Se dice, por ejemplo, que la elección de Vladimir Putin en mayo de 2000, significó el comienzo de una nueva era en las relaciones entre Rusia e Irán. Desde entonces, en Irán se han realizado movimientos significativos en torno a la adquisición de tecnologías de defensa rusas. También se han llegado a acuerdos con India, un país volcado con las tecnologías de la información para uso civil y militar. Estos acuerdos buscan el cooperar con Irán en tecnologías de la información, entrenamiento y asuntos terroristas. Ante las dificultades para enviar gente a adquirir conocimientos a EE.UU., la estrategia giró en torno a: establecer centros de educación e investigación nacionales, identificar aliados para compartir conocimientos en tecnología, intercambio de estudiantes e I+D colaborativa. De acuerdo con una evaluación académica publicada en Teherán después de la visita del Ministro de Defensa Sergeyev, los objetivos de Rusia eran: -. Utilizar Irán para frenar la expansión de la OTAN por Asia Central. -. Frustrar las ambiciones de competidores regionales, como Turquía. 136
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 137
Anexo A
-. Desbaratar los objetivos de EE.UU. de controlar la zona del Golfo Pérsico. Hay hechos que hacen pensar que las relaciones entre ambos países tienen como fondo más que una necesidad pragmática. Los intereses de ambos en el sector de defensa son complementarios: La industria de Rusia depende de consumidores extranjeros, mientras que Irán está decidido a actualizar y transformar su capacidad militar y cuenta con beneficios suficientes del petróleo para llevarlo a cabo. Se estima que el valor del programa de venta de armas de 2001, del que Rusia esperaba controlar un tercio del negocio, era de 25.000 millones de dólares. Para Irán, uno de los mayores intereses a largo plazo es el entrenamiento y el acceso al “know-how” tecnológico, prescrito en el marco de acuerdos de cooperación militar. En Teherán se firmaron acuerdos con el ejército ruso mediante los cuales, personal militar iraní recibirá entrenamiento en las academias rusas. Finalmente, las universidades iraníes, como la Universidad de Tecnología Malek Ashtar, tiene lazos con otras universidades rusas y centros de investigación para la formación técnica de los expertos iraníes. 9.3.3. Conclusiones Irán ha sufrido en la última década un proceso de apertura a las tecnologías de la información en respuesta tanto a necesidades militares como civiles. La política actual del gobierno tiene por objetivo transformar el sector TIC. La unión de la inversión en TIC, los conocimientos informáticos y el desempleo entre la juventud ha hecho florecer una cultura hacker en Teherán con un nivel de madurez suficiente para ser explotado por los servicios de inteligencia del país. La percepción por parte de Irán de unas capacidades militares y económicas inadecuadas, han hecho que crezca el interés en el país en armas y tecnologías no convencionales incluyendo las tecnologías de información y comunicaciones. En este marco, hay considerables evidencias de que Irán ha comenzado a fortalecer los vínculos entre la modernización en defensa y la investigación académica en el campo de la ingeniería informática. Estas evidencias han llevado a pensar que el gobierno está potenciando el desarrollo de una capacidad de ciberguerra como una potencial fuerza multiplicativa. Algunos de los hechos que llevan a esta conclusión son: -. Evidencias de estar destinando fondos al entrenamiento de recursos humanos en el campo de las TIC. -. Financiación por parte del Ministerio de Defensa de instalaciones para I+D, enlazando servicios armados y universidades técnicas. -. Existen evidencias de que mediante el régimen religioso se han dado pasos para obtener ayuda técnica en campos como el hardware y el software informático de Rusia y la India. 137
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 138
Seguridad Nacional y Ciberdefensa
9.4. Pakistán 9.4.1. Introducción Actividades de hacking bien documentadas en Pakistán y lazos entre la comunidad hacker y los servicios de inteligencia paquistaníes hacen pensar que Pakistán cuenta con capacidad para llevar a cabo ciberataques. Sin embargo, no se han encontrado documentación “pública” que determine la naturaleza exacta de esta capacidad, es posible que el gobierno de Pakistán sólo haya realizado una inversión mínima en su programa de ciberguerra. Las evidencias encontradas hacen suponer que el principal objetivo de esta capacidad ofensiva es India. Pakistán ha desarrollado la industra TIC, cuenta con programadores informáticos expertos y el hecho de que una de las principales preocupaciones del gobierno sea la seguridad en Cachemira y equipararse a la India puede suponer un entorno susceptible de sufrir una ciberguerra. Desde 1947, año de la independencia de Pakistán frente a India, las tensiones entre ambos países no han disminuido. El principal foco de conflictos se ha llevado a cabo sobre Cachemira, un área disputada al este de Pakistán y al norte de India. Ambos países reclaman el territorio. El resultado del conflicto armado llevó consigo pocos progresos en torno a una resolución de la disputa de dicho territorio. En el conflicto de Cachemira, el ciberespacio se ha convertido en un nuevo frente. Tanto Pakistán como India controlan servidores en Internet que esparcen propaganda on-line con su situación en el conflicto. Mensajes del estilo: “India, tu gente son perdedores... esto es un aviso a la población India para dejar libre Cachemira y deje de soñar con ella” fueron colgados después de un ataque sobre www.zeetv.com (página propiedad del magnate Indio Subhas Chandra), son típicos de las intenciones políticas de una ciberguerra entre ambos países. A pesar de que desde Pakistán se niegue que se estén financiando estos esfuerzos, Islamabad proporciona apoyo diplomático a los luchadores por la libertad de Cachemira y existen rumores de contactos entre los servicios de inteligencia y la comunidad hacker pakistaníes. El problema de un programa potente de ciberguerra pakistaní es doble. En primer lugar, podría desencadenar efectos desestabilizadores en la región del sur de Asia, con ataques a la infraestructura TIC y negocios civiles, así como ciberintrusiones a operaciones secretas nucleares y otras relacionadas con la seguridad. El daño causado a sitios web de India, por ejemplo, ha sido considerable. En 2002, alrededor del 90% de las empresas de India con presencia on line detectaron una brecha de seguridad, de ellas, el 80% informaron de pérdidas económicas debido a este tipo de incidentes. Un segundo problema potencial es que aquel de una carrera de “ciberarmamento” a mayor escala en el subcontinente. El Servicio de Inteligencia y Seguridad de Canadá ha identificado la ciberguerra entre 138
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 139
Anexo A
India y Pakistán por Cachemira como un ejemplo de ciberguerra que ha superado ya la barrera de la teoría. 9.4.2. Iniciativas de Pakistán en relación con ciberguerra En 1998, un artículo publicado en el pakistaní Defence Journal por Syer M. Amir Husain proclamaba la necesidad de una capacidad de ciberguerra del país. En el artículo se detallaban usos potenciales de un programa de este tipo: espionaje industrial, prevenir interrupciones en las telecomunicaciones, lanzamientos de ataques de denegación de servicio, propaganda y difamación y apoyo a las fuerzas armadas. El artículo recomendaba la creación de un CERT (Computer Emergency Response Team) y daba detalles de cómo crear un programa relativo a ciberguerra. El gobierno muestra su preocupación por la seguridad nacional en el sector TIC y cuenta con legislación para arrestar, procesar y perseguir cibercriminales. En 2002, una unidad especial de la policía punjabi fue nombrada como “Unidad de Crímenes Electrónicos” (ECU) con capacidad para hacer frente al cibercrimen dirigido contra objetivos pakistaníes. Entre sus objetivos se incluyen la prevención, detección, recuperación y la disuasión de cibercrímenes y cuentan con la autoridad para perseguir a todo aquel que lleve a cabo actividades hacker “intencionalmente, sin autorización para acceder a ordenadores e instituciones, departamentos o agencias del gobierno para causar efectos dañinos o que afecten al uso de dichos ordenadores”. Los ciberataques a las páginas web del gobierno han traído como resultado los esfuerzos para mejorar la seguridad de sus redes. En octubre de 2003, el gobierno pakistaní formó un “Ala de Cibercrimen” compuesto por representantes de los Ministerios del Interior y de Telecomunicaciones. Este nuevo centro es responsable de securizar las redes de comunicaciones oficiales del gobierno. También se fundó el Centro Nacional de Respuesta ante Cibercrímenes (NR3C), cuya misión es la de servir como foco nacional de reunión de información de amenazas a infraestructuras críticas. En un artículo del comandante Ozair Ahmed publicado en el Defence Journal en 1998, titulado “Concepto de conocimiento de los soldados y soldados del software”, se decía que las operaciones militares relacionadas con las TIC: “Son más que ataques tácticos sobre los radares enemigos o sus redes telefónicas. Cada bando intentará descubrir las acciones del enemigo mediante la manipulación del flujo de inteligencia y de información”. El comandante Ahmed defiende que Pakistán “requería una variedad diferente de especialistas informáticos que programen, procesen y operen el hardware y software militar detrás de la escena, estos serían el activo de la nación de Soldados del Software.” En el mismo artículo, Ahmed hace referencia al reclutamiento de hackers por parte de los servicios de inteligencia. 139
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 140
Seguridad Nacional y Ciberdefensa
“Realmente hay una necesidad de tener un grupo selecto de gente entrenada para ser utilizados como cibersoldados. Estos son normalmente desarrolladores de software, programadores y operadores. Dichos talentos se encuentran normalmente dentro de la comunidad estudiante”. A pesar de que muchos hackers en Pakistán operan de forma independiente, se cree que existen lazos entre elementos de esta comunidad y los servicios de inteligencia pakistaníes. De hecho, los ataques detectados suelen conllevar intereses políticos. Grupos de hackers en Pakistán, con regularidad lanzan ataques contra sistemas y redes en India y continuamente realizan defacements en sitios web del gobierno. Grupos pakistaníes hacen circular información de cómo hackear redes y sitios web de la India. A pesar de esto, no se encuentran evidencias en información no clasificada que confirme la relación de estos grupos con los servicios de inteligencia de Pakistán. Desde los servicios de inteligencia de la India, se cree que estos ataques no forman parte del esquema militar en ciberguerra de Pakistán. Sin embargo, si creen que estos hackers están siendo reclutados por el servicio de inteligencia pakistaní para llevar a cabo acciones de ciberguerra contra objetivos indios. La industria TIC en Pakistán se ha visto apoyada por el gobierno desde finales de la década de los 90. Las inversiones pakistaníes en el sector de las TIC busca desarrollar el actual estado del arte de sus infraestructuras. Las redes de comunicaciones están siendo actualizadas. El entrenamiento en estas tecnologías se está llevando a cabo ampliamente en Institutos y Universidades. Además se están realizando cambios en el régimen regulatorio y legal. El gobierno pakistaní ha iniciado esfuerzos significativos para mejorar sus condiciones económicas invirtiendo en tecnologías de comunicación. Así, lanzó su primer satélite de comunicaciones, el PAKSAT-1, en 2003. Además se busca el ampliar el ancho de banda en las conexiones a Internet, y que esté disponible para una mayor parte de la población. El gobierno ha puesto también un plan de implantación de una PKI para lanzar el comercio electrónico. 9.4.3. Conclusiones Pakistán está dedicando esfuerzos enfocados a contrarrestar las capacidades de la India en materia de ciberguerra. Dado el creciente número de hackers con talento, los cuales han demostrado tener inclinación por involucrarse en conflictos políticos, como el caso de Cachemira, y por los hechos que parecen indicar que Pakistán pueda estar estudiando la posibilidad de construir un programa de ciberguerra potente capaz de interferir en el comportamiento de las redes de India, EE.UU. ha incluido a Pakistán como una amenaza potencial en el ciberespacio. 140
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 141
Anexo A
9.5. Rusia 9.5.1. Introducción Los servicios militares rusos, junto con expertos del sector TIC y de la comunidad académica, han desarrollado un programa robusto de ciberguerra. El “armamento de información” (information weaponry), armas basadas en código de programación, recibe una atención especial en esta doctrina de ciberguerra. El colapso de la Unión Soviética en 1991 llevó a una crisis económica y una significativa fuga de cerebros, viéndose afectadas varias industrias de Rusia y los círculos académicos. A pesar de esto, el Servicio de Seguridad Federal (FSB, Federal Security Service), la Agencia Federal para las Comunicaciones y la Información del Gobierno (FAPSI, Federal Agency for Government Communications and Information) y el sector de la alta tecnología de Rusia no se deben subestimar ya que han contado con el potencial suficiente para el desarrollo de un programa de ciberguerra. Se cree que ambos, FAPSI y FSB, sucesores de los órganos de la KGB, cuentan con potentes programas de adquisición de información, lo que ha conducido a crecientes suspicacias sobre posibles intentos de espionaje. El Departamento de Defensa (DoD, Department of Defense) de EE.UU. permanece desconfiado ante la amenaza que supone la comunidad hacker rusa. Existe documentación de que esta comunidad hacker en 1999 consiguió comprometer dos millones de ordenadores del DoD, en lo que el Pentágono calificó como una campaña de espionaje electrónico ruso. Fue denominada la Operation Moonlight Maze. Los esfuerzos del gobierno por reconstruir la obsoleta infraestructura ha traído consigo un incremento en la confianza y el resurgimiento de la economía rusa. Evaluando la situación del país en materia de ciberguerra, el conflicto checheno es de especial importancia, ya que ha forzado a los servicios de inteligencia rusos a hacer frente a los técnicos expertos chechenos. Sergei Pokrovsky, el editor de la revista rusa Khaker, confirmó que el FSB da empleo a hackers tanto para espionaje internacional como nacional. Hace ya años que existen evidencias de la activa capacidad rusa en materia de ciberguerra. Algunos ejemplos fueron las acciones llevadas a cabo por hackers patrocinados por el gobierno contra Chechenia, o el desarrollo de conceptos doctrinales relevantes, que vienen a confirmar los esfuerzos en investigación en ciberguerra. 9.5.2. Acciones llevadas a cabo por Rusia A pesar de que los servicios militares y de inteligencia han sufrido importantes recortes de presupuesto en los últimos años y de las crisis sufridas por Rusia, que llevaron a su restructuración económica, sus operaciones de comunicaciones y los esfuerzos en investigación en ciberguerra han sido siempre significativos y han supuesto una amenaza considerable para la seguridad informática. 141
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 142
Seguridad Nacional y Ciberdefensa
La información pública apunta a Rusia como una nación cuya capacidad en ciberguerra es, junto con la de EE.UU., la más desarrollada de entre las naciones técnicamente desarrolladas. De acuerdo con análisis realizados por EE.UU., Rusia es un ejemplo de nación altamente involucrada en el desarrollo de su propia capacidad en ciberguerra. Los servicios de inteligencia de EE.UU. consideran que desde Moscú se han destinado importantes fondos para investigación en esta materia. Analistas del gobierno de EE.UU. también creen que el ejército ruso es el que encabeza el desarrollo del programa en ciberguerra y que los servicios de inteligencia están involucrados con la investigación y la utilización de estas tecnologías. Desde la CIA, ya en el año 2000 se señalaba que uno de los objetivos de estos programas podrían tener fines ofensivos. Fuentes militares rusas señalaron entonces que no existía ninguna evidencia que relacionase el programa de ciberguerra con ningún ataque. En Rusia, ya en 1996, en el Duma Subcommittee for Information Security, se trataron temas de seguridad de la información y defensa en materia de ciberguerra. Entonces se sospechaba que equipos de telecomunicaciones recientemente comprados a EE.UU. podrían contener dispositivos en su interior capaces de causar daños irreparables en los sistemas de telecomunicaciones rusos cuando fuesen activados desde algún lugar remoto. Como consecuencia, la seguridad de la información en Rusia se convirtió en una prioridad, y se aumentaron los esfuerzos para securizar su ciberespacio. Parece, por tanto, que el programa oficial de ciberguerra de Rusia surge del miedo a la superioridad de EE.UU en el mundo “ciber”. La posesión de una capacidad avanzada en el sector TIC por parte del ejército de EE.UU. y de sus servicios de inteligencia aparentemente originó el miedo en Moscú de perder una ciberguerra entre las dos naciones. En 2001, el general Vladislav Sherstyuk, ayudante del secretario del Consejo de Seguridad, dijo que la aparición de un área nueva de confrontación en sistemas de información era capaz de provocar el comienzo de una carrera armamentística. El desarrollo de virus informáticos, a diferencia de los misiles nucleares, no requieren de expertos que se puedan encontrar más allá de la población civil. El sector tecnológico ruso y la comunidad académica, junto con el ejército, comenzaron así con el desarrollo del programa de ciberguerra más potente junto con el de EE.UU. Desde Rusia se reconoce que la guerra de la información requiere medidas ofensivas y defensivas para que el programa tenga éxito. El hecho de que la ciberguerra proporcione nuevos medios para afectar a la población civil y militar hace que cambien los principios, tácticas y condiciones de la guerra tradicional. Las “armas software” reciben una gran atención en el programa de ciberguerra ruso. El desarrollo y uso de este tipo de armas requiere una planificación a largo plazo, experiencia técnica e inteligencia sobre 142
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 143
Anexo A
objetivos; con todo lo cual cuentan los servicios secretos rusos como FAPSI o FSB. La lista de armas incluye virus (que causen la pérdida de datos), troyanos, programas capaces de modificar códigos a través de acceso remoto, y destrucción de infraestructuras críticas de forma remota. Durante la fase de investigación de la Operation Moonlight Maze, Michael Vatis, entonces cabeza del Centro de Protección de Infraestructuras Nacionales (NIPC) atribuyó los ataques a Rusia. Vatis reconoció que se había robado información clasificada aunque importante sobre asuntos de investigación en defensa y tecnología. También dijo que las intrusiones se habían producido en el DoD, otras agencias federales y redes del sector privado. En la misma época, el senador de EE.UU. Robert Bennett también afirmaba que la Operation Moonlight Maze certificaba el hecho de que las amenazas en el ciberespacio eran reales y aseguraba que los ataques provenían de la Academia Rusa de las Ciencias. El FBI, por su parte, intentó determinar si dicha Academia era la responsable; el análisis de las trazas y un análisis forense inicial revelaron que las intrusiones tenían como origen líneas telefónicas rusas. Entre las empresas afectadas se encontraba Meganet Corp. una empresa privada dedicada a desarrollar software de cifrado. En un incidente posiblemente relacionado y ocurrido en febrero de 1999, una impresora Hewlett Packard del Navy’s Space and Naval Warfare Systems Command Center (Spawar), en San Diego, fue programada para enviar copias de los documentos impresos a una localización remota en Rusia. Spawar proporciona seguridad electrónica a algunas agencias federales de EE.UU. Las defensas para la seguridad de la información para contrarrestar ciberataques también han sido un foco del complejo militar-industrial existente en Rusia. El gobierno de la Federación Rusa creó una directiva en marzo de 2000 ordenando a las empresas rusas a proporcionar nuevas medidas de seguridad de la información así como medidas operativas de seguridad para usar en sistemas operativos americanos (UNIX y Windows) por el ejército ruso. El conflicto Checheno Un análisis de la guerra de la información entre los ejércitos rusos y chechenos desde la segunda mitad de 1999 hasta el 2000 indica que el ejército ruso y sus servicios de inteligencia cuentan con capacidades de ciberguerra. En el primer conflicto (1994–1996), Chechenia tuvo más puntos a favor en las relaciones públicas, ya que el gobierno ruso negó el acceso a los medios de comunicación en muchas de sus acciones militares. Por otra parte, en Chechenia la presencia de la prensa fue bienvenida, viendo en ella la oportunidad para dar a conocer su mensaje y haciendo que se viese su punto de vista. Al comienzo del segun143
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 144
Seguridad Nacional y Ciberdefensa
do conflicto (1997–2001), sin embargo, el gobierno de Rusia vio la necesidad de controlar la información proveniente de Chechenia. Moscú decidió controlar tanto la cantidad como el tipo de información que se publicaba. Ambos bandos en el conflicto utilizaron nuevos sitios web para describir sus puntos de vista en los eventos. Además de que los servidores chechenos que fueron controlados por los rusos, como kavkaz.org, también hubo otros situados en países aliados, como qoqaz.net.my alojado en Malasia. Moscú utilizó emisoras de radio y televisión controladas por el estado para dar a conocer su punto de vista de los hechos. Rusia también utilizó páginas web para extender su mensaje. En infocentre.ru se encontraban recomendaciones de cómo los periodistas debían informar de las noticias del conflicto. Rusia también publicó un libro con su versión de los hechos y su interpretación del conflicto. En el otro lado, desde Chechenia se dio otra respuesta a esta ciberguerra. En www.qoqaz.net, era posible descargar vídeos de los ataques, ver fotos de las tropas chechenas en acción y de prisioneros de guerra, encontrar noticias, leer perfiles de los comandantes chechenos, y leer entrevistas con varios líderes y soldados chechenos. En caso de caída de este servidor, se mostraban sitios alternativos (www.qoqaz.net.my, www.qoqaz.com, www.qoqz.de...) En estos conflictos se hizo evidente que cada vez era más complicado controlar el tipo de información públicamente disponible, lo que hace que se desarrolle aún más la capacidad en ciberguerra. En 2002, los rebeldes chechenos afirmaban que dos de sus páginas web, kavkaz.org y chechenpress.com, fueron atacadas por los servicios de seguridad rusos FSB. Los ataques sobre chechenpress.com, fueron del tipo de denegación de servicio (DoS), mientras que en el caso del otro sitio web, kavkaz.org, los ataques parecían mucho más sofisticados. De acuerdo con fuentes chechenas, los ataques fueron realizados por hackers del FSB. Ante estos ataques, los rebeldes movieron la información de estos sitios a otra web, kavkazcenter.com. Sin embargo, esta web fue atacada sólo una semana más tarde, también aparentemente por parte de hackers del FSB. Sobre el programa ruso de ciberguerra El programa ruso de ciberguerra coincide en algunos aspectos con otros, como el chino. Uno de estos aspectos es la creencia de que una meta del programa ofensivo debe ser la planificación de la ejecución de de un primer golpe sobre el enemigo. Este “Pearl Harbor digital” se conseguiría si se vence al enemigo sin tener que recurrir a la batalla física. El general Vladimir Belous, afirmaba que “se puede predecir que el campo de batalla del futuro comenzará a cambiar cada vez más hacia el área del efecto intelectual. Un país agresor es capaz de desarrollar, y bajo ciertas condiciones ejecutar, un escenario de ciberguerra contra 144
JV23 045 146.qxp:libro cátedra Isdefe.qxd
5/10/09
21:24
Página 145
Anexo A
otro estado en un intento de vencerle en esas condiciones. En este sentido es posible forzar al enemigo a rendirse sin utilizar las armas tradicionales”. El programa de ciberguerra ruso también describe el momento óptimo para realizar el ataque. Previamente a este primer golpe, todos los objetivos deben ser identificados (incluyendo los sistemas de información enemigos), se debe negar el acceso enemigo a la información, la circulación monetaria y de crédito debe ser interrumpida y la población debe ser sometida a masivas operaciones psicológicas, incluyendo desinformación. Esto debe ser llevado a cabo con una planificación previa y mediante inversiones a largo plazo para reconocer y penetrar en sistemas enemigos. Oficialmente, el gobierno ruso tiene una postura no intervencionista en relación con la aplicación de la ciberguerra. El antiguo Ministro de Defensa Ivanov, fue preguntado en 2001 por si se habían tomado medidas para crear una unidad capaz de lanzar ataques a través de redes de ordenadores, la respuesta fue de algún modo circular y evasiva, donde llegó a decir que “la postura fundamental de Rusia es observar los principios de la no aplicación de la fuerza, la no intervención en asuntos internos, el respeto de los derechos y libertades humanos, y el no permitir que los logros en la esfera de las ciencias de la información y las telecomunicaciones se utilicen para fines que vulneren la Carta de las Naciones Unidas”. Al ser preguntado por el programa Echelon, el sistema de satélites SIGINT de la Agencia de Seguridad Nacional, Ivanov dijo que “FAPSI, el Ministerio de Defensa, el FSB, la Comisión Técnica del Estado y otras autoridades ejecutivas estaban dando pasos orientados a aumentar el nivel de protección de la información que es transmitida”. De estas afirmaciones se puede deducir que Rusia tiene al menos concienciación de una capacidad en ciberdefensa. 9.5.3. Conclusiones Gran parte de la investigación inicial y del desarrollo de capacidades en ciberguerra en Rusia fue debido a lo que el gobierno ruso consideró un desarrollo agresivo por parte de EE.UU. de un programa de guerra de la información. A pesar de que las relaciones entre Washington y Moscú han mejorado desde el fin de la Guerra Fría, algunas tensiones permanecen sobre el aparente estado de calma. Es evidente que Rusia cuenta con capacidad ofensiva en materia de ciberguerra desde el conflicto con Chechenia. Acontecimientos ocurridos durante los últimos años, como los ciberataques sobre Estonia en 2007, Georgia en 2008 o Kyrgyzstan en 2009, no hacen más que confirmar este hecho.
145
JV23 045 146.qxp:libro cátedra Isdefe.qxd
21/9/09
08:29
Página 146
JV23 147 150.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 147
Anexo B Glosario de términos
JV23 147 150.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 148
JV23 147 150.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 149
Anexo B
GLOSARIO DE TÉRMINOS • Ciberdefensa Concepto que engloba todas las actividades ofensivas y defensivas en las que se utilizan como medio aquellos relacionados con las infraestructuras TIC (Ej. Redes de ordenadores, ordenadores, programas informáticos, etc.), y cuyo “campo de batalla” es el Ciberespacio. Las actividades de desarrollo de la ciberdefensa van encaminadas hacia la capacitación de los gobiernos y naciones en la denominada “Ciberguerra”. • Ciberseguridad Sinónimo del termino Ciberdefensa. Normalmente el término Ciberdefensa se suele utilizar en el ámbito militar, y el termino Ciberseguridad en el ámbito civil, aunque en el presente estudio se han utilizado indistintamente ambos términos. • Ciberespacio Conjunto de redes de comunicaciones y ordenadores existentes a nivel mundial que se encuentran interconectados directa o indirectamente entre sí. En ocasiones, este término se suele acotar y centrar en Internet, pero durante el estudio el término se ha utilizado en el sentido más amplio. • Ciberguerra Lucha armada (en este caso las armas son las TIC) entre dos o más naciones o entre bandos de una misma nación, en la que se utiliza el Ciberespacio como campo de batalla. • Guerra de Información Parcela de la guerra relacionada con la información. Normalmente las actividades en este ámbito se refieren a aquellas en las que la información se trata como un arma ofensiva o defensiva ya sea por su conocimiento, por su manipulación, etc. • Operaciones de Información Concepto utilizado por los EE.UU. para definir las actividades relacionadas con la “Guerra de Información”. • Ciberincidente Incidente relacionado con la seguridad de las TIC que se produce en el Ciberespacio. Este término engloba aspectos como los ataques a sistemas TIC, el fraude electrónico, el robo de identidad, el abuso del Ciberespacio, etc. • Cibersistema Sistema o conjunto de sistemas dentro del Ciberespacio. 149
JV23 147 150.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 150
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 151
Anexo C Noticias de prensa sobre ciberdefensa
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 152
Seguridad Nacional y Ciberdefensa
A continuación se muestra un conjunto de noticias, extraídas de la sección de noticias del CCN-CERT (https://www.ccn-cert.cni.es), en las que se observa tanto la dependencia de la Sociedad de las TIC, como la necesidad de desarrollar capacidades de Ciberdefensa por parte de todas las Naciones. Máxima prioridad a la ciberseguridad y a la protección de las redes de EE.UU. Fecha de publicación: Martes, 2 de junio de 2009. Fuente de la noticia: New York Times, Financial Times, La Vanguardia, El País.
El presidente de EE.UU., Barack Obama, ha calificado de "prioridad nacional" la ciberseguridad de los sistemas de EE.UU. ante el peligro de lo que llamó "las armas de trastorno masivo" y ha anunciado un ambicioso plan para dar máxima prioridad nacional a la seguridad de los sistemas y a la protección de las redes digitales, sin las cuales el país se paralizaría y quedaría inerme, según sus propias palabras. Entre otras medidas, destaca la creación de un nuevo cargo en la Casa Blanca, la de coordinador de seguridad cibernética –bautizado ya como ciberzar– que formará parte de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) y el Consejo Económico Nacional (NEC). Obama completará su iniciativa de defensa digital con la firma, en breve, de una orden ejecutiva secreta que dotará al Pentágono de una nueva estructura de mando dedicada en exclusiva al ciberespacio, con la tarea de desarrollar tanto estrategias defensivas como ofensivas. "Nuestra ventaja tecnológica es clave para el dominio militar de EE.UU. –dijo–. Pero nuestras redes de defensa y militares se hallan bajo constante ataque. Al Qaeda y otros grupos terroristas han hablado de su deseo de desencadenar un ciberataque contra nuestro país, ataques que son más difíciles de detectar y de los que defenderse. En efecto, en el mundo de hoy los actos de terrorismo pueden venir no sólo de unos pocos extremistas con chalecos suicidas (con explosivos) sino de unos pocos clics en el ordenador… un arma de trastorno masivo". El presidente recordó la importancia que tienen hoy día las operaciones realizadas a través de Internet para la economía del país, pues el año pasado el valor de las compras a través de este medio ascendió a unos 120.000 millones de dólares. Ante este tráfico masivo, mantener la red libre de virus de forma que se garantice la privacidad de los ciudadanos es todo un reto. Según informó el presidente, se calcula que sólo en 2008, EE.UU. sufrió 72.000 ciberataques diarios, cuyo coste superaron los 8.000 millones de dólares." También, se recuerda que el Departamento de Defensa de EE.UU. recibió, sólo en 2008, 360 millones de intentos anónimos de intrusión en sus redes. Incluso, Obama reconoció que, durante su campaña electoral, los hackers penetraron en su operativo, ganando acceso a correos electrónicos, documentos y planes de viaje del candidato. Eso les obligó a pedir auxilio 152
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 153
Anexo C
al FBI y el Servicio Secreto, y a contratar a personal especial de seguridad cibernética. Obama aseguró, entre risas, que el sitio de Internet dedicado a captar fondos de millones de donantes no fue penetrado por los intrusos informáticos, por lo que los datos financieros de sus simpatizantes no estuvieron en peligro. Entre las funciones del nuevo 'zar' figura el coordinar las medidas de prevención de los organismos públicos y de aquellos privados considerados clave para la seguridad y estabilidad del país, como la bolsa de valores y las compañías aéreas, de forma que a partir de ahora la estrategia de defensa sea integral. Asimismo, también se encargará de diseñar una estrategia de respuesta común que abarque todas las instituciones públicas, incluidas las municipales. Informe estratégico La decisión de Obama es resultado de las conclusiones recogidas en un informe que revisó las medidas de seguridad del Gobierno y que fue ordenado por el presidente el pasado mes de febrero para proteger datos como las declaraciones de impuestos, las solicitudes de pasaporte o informes de alto secreto. El documento, de 40 folios, detalla la "visión estratégica" y los asuntos de los que se ocupará el 'ciberzar'. En él se establece un plan de acción a corto plazo en el que se incluyen las siguientes medidas: nombrar a un responsable que coordine la normativa en materia de ciberseguridad nacional; establecer una dirección fuerte dentro del Consejo de Seguridad Nacional (NSC, por sus siglas en inglés) que a su vez dependa del responsable de ciberseguridad; establecer una estrategia que garantice la seguridad de la infraestructura TIC de la nación; hacer de la ciberseguridad una prioridad para el gobierno; designar a un funcionario especializado en temas de privacidad y libertades civiles dentro de la dirección del Consejo Nacional de Seguridad; establecer una normativa unificada que esclarezca el papel de las autoridades en la materia; iniciar una campaña pública de concienciación sobre la ciberseguridad; fomentar alianzas a nivel internacional y plantear iniciativas; preparar un plan de respuesta ante incidentes e iniciar un diálogo social para reforzar la colaboración entre el sector público y el privado; establecer un marco de investigación (llegando incluso a facilitar el acceso de los investigadores a los documentos oficiales) y construir una visión integral de la gestión de la ciberseguridad. El cibercrimen en España aumentó un 570% en 2008 Fecha de publicación: Miércoles, 20 de mayo de 2009. Fuente de la noticia: ABC, 19-05-2009.
El cibercrimen aumentó en España en 2008 un 570% respecto a 2007 y la mayoría de los ataques están destinados al espionaje industrial y al robo de información empresarial, con el ciberrescate como nueva moda153
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 154
Seguridad Nacional y Ciberdefensa
lidad en la que los hackers exigen dinero a cambio de desencriptar la información. El director general en España de Panda Security, Jorge Gil, ha precisado que este aumento de la delincuencia informática se ha producido durante el "boom" económico de los últimos años y se ha agudizado desde el inicio de la crisis económica. Gil, que ha ofrecido en rueda de prensa los resultados de una encuesta corporativa sobre el uso de antivirus en las pymes, ha explicado que una de las novedades detectadas en el último año corresponde a los ciberrescates, consistentes en atacar el sistema informático de una empresa por parte de un hacker quien después exige, vía e-mail, el pago de una cantidad de dinero a cambio de desencriptar la información. La generación de virus informáticos ha pasado de ser de 40 al día en 2003 a 300.000 al día en 2008, llegando hasta los 21 millones de virus, pese a lo cual el 6% de las pymes de Cataluña no consideran necesario contar con un sistema de seguridad informático. El director de Panda Security ha informado que la colaboración con la Policía es estrecha, pero ha advertido de la enorme dificultad que supone localizar a los ciberdelincuentes y ha señalado a las mafias rusas y chinas, a las que los hackers venden los virus, como los principales responsables de los ciber-rescates. Como resultado de estos ataques, el 11% de las pymes catalanas debieron parar su producción en algún momento en 2008, mientras que un 30% sufrieron pérdidas de datos y el 50% constató un descenso de la productividad. A pesar de ello, el 50% de las pymes catalanas encuestadas aducen el elevado coste económico de los sistemas de seguridad como la razón para no contar con ellos. Así, el 46% de las pymes catalanas invierten menos de 300 euros al año en mejorar la seguridad de sus equipos informáticos, cuyos ataques tienen su origen en un 41% a través de correo comercial no deseado, mientras que sólo el 11% de las infecciones son debidas a descargas de Internet . La seguridad en las infraestructuras críticas debe mejorar. Fecha de publicación: Martes, 12 de mayo de 2009. Fuente de la noticia: Threat Post, 23-04-2009.
Las interconexiones de las redes de las infraestructuras críticas del país, como el agua, la electricidad y el gas, forman un sistema frágil en el que la seguridad se ha convertido en un aspecto prioritario desde hace poco tiempo, según informaron los ponentes de la conferencia RSA celebrada del 20 al 24 de abril pasados. Según los conferenciantes, la prioridad sobre la seguridad en estos entornos coincide con el aumento de ataques contra los sistemas de control de los servicios públicos, redes de telecomunicaciones y demás infraestructuras críticas. Estos objetivos son muy atractivos para los hackers debido a su alto valor y la escasa seguridad que presentan. 154
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 155
Anexo C
"Lo que pasa es que a veces se toman atajos para interconectar estas redes y esto genera problemas", declaró Marcus Sachs, ex asesor de seguridad de la Casa Blanca y actual director ejecutivo de la política de asuntos gubernamentales y seguridad nacional de Verizon. "La gente evita las redes privadas para utilizar las redes de estas empresas de servicios públicos Este problema de interconectividad también afecta a dispositivos no informáticos conectados a estas redes, como puedan ser los dispositivos médicos. "Hemos descubierto que algunos dispositivos de los hospitales como máquinas de resonancia magnética y monitores cardiacos han sido infectados por el Conficker", declaró Sachs. Ciberespías entran a la red nacional eléctrica de EE.UU. Fecha de publicación: Lunes, 13 de abril de 2009. Fuente de la noticia: Eco Diario, 13-04-2009.
Ciberespías de China, Rusia y otros países han penetrado en la red eléctrica de Estados Unidos y dejado en ella programas de software que podrían ser utilizados para interrumpir el sistema, ha publicado recientemente el diario The Wall Street Journal. Según el rotativo financiero, que cita fuentes de la seguridad nacional que pidieron el anonimato, ese ataque se ha producido desde países como China, Rusia y otros, con el objetivo -creen- de "navegar por el sistema eléctrico estadounidense y sus controles". Aunque también señala que esos intrusos no han buscado "dañar la red de suministro u otros aspectos claves de la infraestructura", las fuentes alertaron de que podrían hacerlo durante una crisis o una guerra. "Los chinos han intentado trazar el plano de las infraestructuras de EE.UU., como la red eléctrica, y también los rusos", indicó una fuente de los servicios de información al diario, que también indica que ese espionaje sobre la red de infraestructuras de este país va en aumento y hubo un gran número de casos el pasado año. Asimismo, se indica que quienes detectaron esas presencias no deseadas fueron los servicios de inteligencia del país y no las empresas, por lo que desde esas agencias se teme que los "ciberatacantes" puedan llegar a tomar el control de las instalaciones eléctricas, de una planta nuclear o de las redes financieras vía Internet. El diario indica que las autoridades están investigando esas intrusiones y que ya han encontrado software que podría utilizarse para destruir componentes estructurales, y según sus fuentes, además de la red eléctrica, los sistemas del agua y de depuración de aguas residuales, entre otros, han sido revisados por esos "ciberespías". "En los últimos años hemos visto varios ataques contra infraestructuras esenciales en el exterior, y muchas de las nuestras son tan vulnera155
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 156
Seguridad Nacional y Ciberdefensa
bles como las del extranjero", indicó recientemente a los congresistas el director de Inteligencia Nacional de EE.UU., Dennis Blair. El diario recuerda que el Gobierno del presidente Barack Obama prepara un costoso plan para la protección de la red eléctrica y otras infraestructuras que podría estar completado la próxima semana y en el que podrían incluirse los computadores de las redes privadas. Durante la Administración del ex presidente George W. Bush el Congresó "aprobó fondos secretos por 17.000 millones para proteger las redes gubernamentales", indicó al diario una de sus fuentes. El Pentágono ha gastado en los últimos seis meses cien millones de dólares en reparar los daños cibernéticos que ha tenido. El periódico recuerda un caso en Australia en 2000, cuando un empleado descontento se sirvió del sistema de control informático automatizado para soltar más de 750.000 litros de aguas residuales en parques y ríos en los alrededores de un hotel. La red eléctrica estadounidense está integrada por otras tres redes separadas que incluyen el este y el oeste del país, así como el estado de Texas, y en cada una de ellas hay miles de líneas de transmisión, plantas eléctricas y subestaciones, muchas de ellas conectadas por Internet, lo que aumenta la vulnerabilidad del sistema ante posibles ataques de espías y piratas. El diario indica que rusos y chinos han negado estar involucrados en ese espionaje, aunque según sus fuentes los servicios de inteligencia han logrado trazar los caminos utilizados y llegado hasta ellos. "Eso es pura especulación. Rusia no tiene nada que ver con ataques a la infraestructura de EE.UU. o de cualquier otro país del mundo", dijo al diario el portavoz de la embajada rusa en Washington, Yevgeniy Khorishko. Un portavoz de la embajada china en Washington, Wang Baodong, indicó que Pekín "se opone firmemente a cualquier delito que destruya Internet o la red informática", además de que dispone de leyes que lo prohíben y mostró la disposición de su país a cooperar para contrarrestar esos ataques. El Pentágono gastó más de 100 millones de dólares en reparar daños causados por ciberataques Fecha de publicación: Miércoles, 8 de abril de 2009. Fuente de la noticia: El Mundo, 07-04-2009.
El Pentágono gastó más de 100 millones de dólares en los últimos seis meses combatiendo los ciberataques, según han señalado algunos dirigentes militares en una conferencia sobre el ciberespacio celebrada en Omaha (Nebraska). “Lo importante es que reconozcamos que estamos bajo la amenaza de ataques muy sofisticados con ciertos elementos criminales”, ha apunta156
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 157
Anexo C
do Kevin Chilton, general de las Fuerzas Aéreas y jefe del Comando Estratégico del Departamento de Defensa de EE.UU. Según John Davis, general de Brigada del Ejército y subcomandante de las operaciones de red, el Pentágono invirtió el dinero en recursos humanos y tecnología informática con el fin de reparar los daños causados por los ciberataques. El año pasado, el Departamento de Defensa tuvo que desconectar 1.500 ordenadores a causa de los ataques y además prohibió el uso de dispositivos externos por su capacidad de infectar virus. Ni el General Chilton ni el general Davis fueron capaces de establecer una cifra exacta del gasto, pero aseguraron que era mejor gastar el dinero en prevenir los ataques que después para arreglar los daños. Los ciberataques contra el gobierno de EE.UU. aumentaron más de un 40% durante 2008 Fecha de publicación: Miércoles, 18 de febrero de 2009. Fuente de la noticia: Market Watch, 17-02-2009.
La cantidad de ciberataques registrados en las redes informáticas del gobierno de Estados Unidos aumentó más de un 40% el año pasado, según informó el martes el diario USA Today. Citando algunos datos facilitados por el Equipo de Respuesta ante Incidentes de Seguridad de EE.UU. (US-CERT), el rotativo indicó que en 2008 hubo 5.488 incidentes registrados, tanto de accesos desautorizados a ordenadores gubernamentales como de instalaciones de programas hostiles. Hubo 3.928 incidentes de esta clase en 2007 y 2.172 en 2006, señaló USA Today. “Los sistemas del gobierno están sufriendo constantes ataques”, indicó al diario Joel Brenner, jefe de contraespionaje de la Oficina del Director de Inteligencia Nacional. “Estamos asistiendo a un dramático y consistente aumento del cibercrimen y de las actividades de espionaje”, añadió Brenner. USA Today indicó que también hubo más infiltrados que intentaron distribuir software dañino en los sistemas informáticos del gobierno, en un intento por controlar o robar información sensible. Además, el diario señaló que los datos obtenidos del US-CERT representan sólo una “pequeña muestra” del total de incidentes porque “sólo un 1% de las agencias federales han desarrollado completamente sistemas de seguimiento”. Creada una Unidad de Reconocimiento de Redes en Alemania Fecha de publicación: Jueves, 12 de febrero de 2009. Fuente de la noticia: Der Spiegel, 12-02-2009.
El Ejército alemán o Bundeswehr está formando a sus propios hackers para defender a la nación frente a los ataques DDoS. Se ha creado la 157
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 158
Seguridad Nacional y Ciberdefensa
Unidad de Reconocimiento Estratégico del Bundeswehr, con 6.000 hombres. Esta Unidad, ubicada cerca de Bonn, prueba y analiza los métodos más recientes de infiltración, exploración y manipulación –o destrucción- de redes informáticas. Esta Unidad, conocida oficialmente como “Departamento de Operaciones de Redes Informáticas”, está preparada para actuar ante cualquier emergencia informática. La creación de esta Unidad de hackers responde a la necesidad de defenderse ante los ataques DDoS. Además, a mediados de enero, se aprobó un anteproyecto de ley para “reforzar la seguridad de la información del gobierno federal”. Este anteproyecto de ley está siendo revisado actualmente por el Bundersrat, la Cámara Alta del Parlamento alemán. A principios de marzo, será presentado al Bundestag o Cámara Baja. La urgencia de establecer esta legislación específica proviene de “la necesidad de salvaguardar las comunicaciones del gobierno”. La agencia correspondiente, la Oficina Federal para la Seguridad de las Tecnologías de la Información (BSI) situada en Bonn, se convertirá en una especie de centro de vigilancia de datos para las agencias gubernamentales. El FBI considera los ciberataques la tercera amenaza a la seguridad del país Fecha de publicación: Miércoles, 14 de enero de 2009. Fuente de la noticia: The Inquirer 07-01-2009.
Tras una guerra nuclear y las armas de destrucción masiva, el FBI sitúa a un nuevo término denominado “Cybergeddon” como la tercera mayor amenaza a la seguridad de Estados Unidos. Shawn Henry, responsable de la división cibernética de la Oficina Federal de Investigación, indicó que los terroristas “están intentando crear un nuevo 11 de septiembre virtual, infringiendo el mismo daño en los países occidentales que el que causaron los aviones al estrellarse en las torres gemelas en 2001, aunque sin niveles proporcionales de destrucción visible”. Aunque Estados Unidos no ha sufrido un ataque similar, se pone como ejemplo los ataques de supuestos piratas informáticos rusos a Estonia y Georgia el año pasado o los recientes a varios sitios web israelíes. “Es muy difícil para nosotros su captura; cualquier persona con una tarjeta SIM puede mover dinero y financiar a estos grupos en cualquier parte del mundo”. “La amenaza es en gran medida invisible y las personas no se la toman en serio”, advierten los responsables de la agencia, presionando la llegada del equipo de Obama a la Casa Blanca, a la hora de preparar presupuestos y Leyes al respecto. 158
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 159
Anexo C
Guerra entre “hackers” israelíes y árabes Fecha de publicación: Viernes, 26 de septiembre de 2008. Fuente de la noticia: El Mundo 25-09-2008.
“Son cinco chavales de apenas 18 años. Compaginan sus estudios, fútbol, baloncesto y música 'funk' con un hobby: pirateo informático. Dicen que lo hacen "por ideología y en defensa de Israel". Sus familias les ruegan que lo dejen, "que no es sano", como si el hacker fuera un fumador empedernido. Su ataque más espectacular fue hace unas semanas cuando en un solo día invadieron nueve sitios electrónicos de la zona, como dos de Irán, la página oficial del Banco de Beirut, así como algunas universidades libanesas y palestinas. Como respuesta, piratas informáticos árabes atacaron la web de la Bolsa de Tel Aviv, del Centro Universitario “Technion de Haifa” y de otros 90 sitios israelíes. El bíblico "Ojo por ojo y diente por diente" aplicado a las últimas tecnologías. Nosotros irrumpimos en las webs árabes para que los ciudadanos se rebelen contra sus dictaduras. No lo oculto, hay también un reto informático de demostrar que podemos llegar a ellos", explica Yakir, el líder de este grupo israelí al diario “Calcalist”. Un fallo informático afectó a la mayoría de los aeropuertos de EE.UU. Fecha de publicación: Viernes, 29 de agosto de 2008. Fuente de la noticia: El País, 26-08-2008.
“Un fallo en el sistema informático de los planes de vuelo en EE.UU. afectó el pasado martes a sus principales aeropuertos, originando importantes retrasos. La mayor parte del tráfico aéreo de los principales aeropuertos de Estados Unidos volvió a la normalidad tras los importantes retrasos sufridos. El problema tuvo su origen en un fallo en el sistema informático de clasificación de los planes de vuelo, según ha declarado la Administración Federal Aérea estadounidense. La portavoz de la institución, Kathleen Bergen, afirmó que no se habían producido problemas respecto a la seguridad de los aviones, ya que los pilotos no habían perdido comunicación con los oficiales en tierra. Bergen situó la causa de los retrasos en un fallo del sistema que gestiona la información de los vuelos en las instalaciones de Hampton, en el Estado de Georgia, desde donde se transmiten dichos datos al otro centro de gestión de planes de vuelo en EE.UU, situado en Salt Lake City, capital del Estado de Utah". La guerra de Rusia contra Georgia, también cibernética Fecha de publicación: Miércoles, 13 de agosto de 2008 Fuente de la noticia: www.Vnunet.com 11-08-2008.
“La guerra que enfrenta desde el sábado pasado a la república ex soviética de Georgia con el ejército ruso tiene un nuevo escenario: el 159
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 160
Seguridad Nacional y Ciberdefensa
cibernético. Así lo han anunciado portavoces del gobierno georgiano, que acusan a Rusia de lanzar ataques contra sus páginas web oficiales”. Lituania sufre un ciberataque desde servidores rumanos Fecha de publicación: Miércoles, 23 de julio de 2008. Fuente de la noticia: Sillicon News 23-07-2008.
“Una dependencia del Estado lituano sufrió, durante el fin de semana, un ataque cibernético que provendría desde servidores localizados en Rumania. El sitio de la agencia tributaria estatal comenzó a recibir peticiones masivas, por lo que debió ser puesto fuera de línea por varias horas. Según declaraciones del subjefe del organismo, Gediminas Vysniauskis, los ataques habrían sido planeados con antelación. De acuerdo a lo informado por Reuters, la oficina impositiva se vio obligada a bloquear el acceso desde algunos servidores, para evitar la pérdida de datos y otros daños. Cabe recordar que, el mes pasado, distintos sitios oficiales de Lituania fueron hackeados, después de que el Parlamento local prohibiera la utilización de símbolos soviéticos y la reproducción de la U.R.S.S. en reuniones públicas. Tras esta decisión, varios sitios del Gobierno lituano amanecieron con la hoz y el martillo”. La red informática de San Francisco, bloqueada por un administrador despedido Fecha de publicación: Jueves, 17 de julio de 2008. Fuente de la noticia: San Francisco Chronicle 15-07-2008.
“Un administrador de sistemas de San Francisco ha secuestrado la red informática de la ciudad californiana, lo que impide el acceso a una ingente cantidad de información vital para la administración de la ciudad. Según informa el diario San Francisco Chronicle, Terry Childs, de 43 años, supo hace unos días que sus días en el Departamento de Tecnología del ayuntamiento de San Francisco habían llegado a su fin. Muy cabreado con su despido, decidió eliminar todos los perfiles del nivel administrador (que da acceso al control total del sistema) y mantener únicamente el suyo. El problema es que sólo él conoce la contraseña de acceso y se niega a revelarla”. China niega haber atacado ordenadores estadounidenses Fecha de publicación: Viernes, 13 de junio de 2008. Fuente de la noticia: Los Angeles Times.
“China ha desmentido las acusaciones presentadas por dos legisladores estadounidenses, según las cuales el país asiático habría infectado los ordenadores del Congreso Norteamericano. El jueves, China declaró que no habría sido capaz de realizar un ciberataque tan sofisticado, al ser un país en vías de desarrollo, y que también era una víctima de la ciberdelincuencia”. 160
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 161
Anexo C
ENISA alerta del riesgo de un '11-S electrónico' Fecha de publicación: Martes, 27 de mayo de 2008. Fuente de la noticia: Terra 27-05-2008.
“La Agencia Europea de Redes y Sistemas de Información (ENISA), ha alertado hoy del riesgo de que se produzca 'un 11-S electrónico', provocado por ataques cibernéticos o por la propagación de virus por Internet 'si no se realizan grandes esfuerzos comunitarios' en materia de seguridad digital”. Bélgica sufre ataques provenientes de China Fecha de publicación: Miércoles, 14 de mayo de 2008. Fuente de la noticia: Le Soir 4-05-2008.
“Bélgica quiere reforzar su defensa frente a los intentos de espionaje informático, tras el descubrimiento, por parte de las autoridades, de una serie de ataques provenientes de China y dirigidos contra las redes del Estado. El ministro belga, Jo Vandeurzen (del grupo demócrata-cristiano de Flandes CDV), ha indicado que los Servicios de Inteligencia civil y militar belgas están investigando los intentos de ataque contra varias direcciones de correo electrónico pertenecientes al Estado, confirmando así una noticia publicada por la prensa flamenca. El descubrimiento de estos ataques debería impulsar el proyecto de creación de un servicio oficial encargado de impedir este tipo de acciones y que, según ha precisado Vandeurzen, ya existe desde el año 2005”. El Ejército chino penetra en la red del Pentágono Fecha de publicación: Miércoles, 05 de septiembre de 2007. Fuente de la noticia: El País 4-09-2007.
“Un pirata informático del Ejército Chino de Liberación Popular (ELP) consiguió romper la seguridad del Pentágono y penetró en su red, según denunciaron funcionarios en Washington en una acusación que China ha calificado de "infundada". La infiltración se habría producido en junio pasado, en una red no clasificada utilizada por ayudantes del secretario de Defensa”. La OTAN envía expertos a Estonia para protegerla de una oleada de ataques informáticos Fecha de publicación: Jueves, 17 de mayo de 2007. Fuente de la noticia: El País 17-05-2007.
“Los sistemas de ministerios, bancos, medios de comunicación e incluso el parlamento sufren intentos de intrusión atribuidos a Rusia. El diario británico The Guardian asegura hoy que la Organización del 161
JV23 151 162.qxp:libro cátedra Isdefe.qxd
18/9/09
13:35
Página 162
Seguridad Nacional y Ciberdefensa
Tratado del Atlántico Norte va a enviar a expertos en seguridad informática a Estonia para que refuercen las medidas de seguridad de los sistemas informáticos de Estonia. Tal y como se recogió en este portal del CCN-CERT (13-05-2007) y según el diario, varias organizaciones públicas e incluso medios de comunicación sufren desde hace tres semanas una oleada de ataques desde el extranjero, que las autoridades del país del Báltico atribuyen a Rusia”.
162
JV23 163 178.qxp:libro cátedra Isdefe.qxd
5/10/09
21:44
Página 163
Anexo D Documentación consultada
JV23 163 178.qxp:libro cátedra Isdefe.qxd
5/10/09
21:44
Página 164
Seguridad Nacional y Ciberdefensa
1. Portales web [1] Department of Homeland Security (EE.UU.), http://www.dhs.gov/ [Consultado 09 de septiembre de 2009] [2] Federal Ministry of the Interior (Alemania), http://www.bmi.bund.de [Consultado 09 de septiembre de 2009] [3] Federal Office for Information Security (Alemania) http://www.bsi.bund.de [Consultado 09 de septiembre de 2009] [4] European Commission, http://ec.europa.eu/ [Consultado 09 de septiembre de 2009] [5] El Derecho de la Unión Europea, http://eur-lex.europa.eu [Consultado 09 de septiembre de 2009] [6] Monitoring the state and civil liberties in Europe. http://www.statewatch.org/ [Consultado 09 de septiembre de 2009] [7] The Act Transformation Networking Portal (NATO) http://transnet.act.nato.int [Consultado 11 de noviembre de 2008] [8] North Atlantic Treaty Organization (NATO). http://www.nato.int/ [Consultado 09 de septiembre de 2009] [9] NATO Information Assurance. http://www.infosec.nato.int/ [Consultado 09 de septiembre de 2009] [10] Internet Contract-Soft, http://www.onnet.es/decision.htm [Consultado 11 de noviembre de 2008] [11] NATO Counter-Terrorism Technology Development Programme http://nc3a.info/nctdp/ [Consultado 09 de septiembre de 2009] [12] Consejo de la Unión Europea, http://www.consilium.europa.eu [Consultado 09 de septiembre de 2009] [13] The European´s Comisión Delegation to New Zealand http:// esvc000950. wic024u.server-web.com/newzealand/eu_guide/cfsp.htm [Consultado 09 de septiembre de 2009] 164
JV23 163 178.qxp:libro cátedra Isdefe.qxd
5/10/09
21:44
Página 165
Anexo D
[14] Ministere Des Affaires Étrangères Et Europpéennes (Francia) http://www.diplomatie.gouv.fr [Consultado 09 de septiembre de 2009] [15] National Cyber Security Alliance, http://www.staysafeonline.org/ [Consultado 09 de septiembre de 2009] [16] El Portal de la Unión Europea, http://europa.eu [Consultado 09 de septiembre de 2009] [17] Cabinet Office (Reino Unido), http://www.cabinetoffice.gov.uk [Consultado 09 de septiembre de 2009] [18] International Telecommunication Union Cybersecurity Gateway http://www.itu.int/cybersecurity/gateway/index.html [Consultado 09 de septiembre de 2009] [19] Norwegian National Security Authority (Noruega) http://www.nsm.stat.no [Consultado 09 de septiembre de 2009] [20] The White House (EE.UU.), http://www.whitehouse.gov [Consultado 09 de septiembre de 2009] [21] Cybercrime Law, http://www.cybercrimelaw.net/laws/survey.html [Consultado 09 de septiembre de 2009] [22] United States Strategic Command, http://www.stratcom.mil [Consultado 09 de septiembre de 2009] [23] Center for Defence Information, http://www.cdi.org/terrorism/cyberdefense-pr.cfm [Consultado 09 de septiembre de 2009] [24] Cyberspace and Information Operations Study Center (EE.UU.) http://www.au.af.mil/info-ops/cyberspace.htm [Consultado 09 de septiembre de 2009] [25] Air Force Cyber Command (EE.UU.), http://www.afcyber.af.mil/ [Consultado 11 de noviembre de 2008] [26] The Information Warfare Site, http://www.iwar.org.uk/ [Consultado 09 de septiembre de 2009]
165
JV23 163 178.qxp:libro cátedra Isdefe.qxd
7/10/09
09:47
Página 166
Seguridad Nacional y Ciberdefensa
[27] Security Park, The leading news portal for securiryt professionals http://www.securitypark.co.uk/article.asp [Consultado 09 de septiembre de 2009] [28] Warning, Advice and Reporting Point (Reino Unido) http://www.warp.gov.uk/ [Consultado 09 de septiembre de 2009] [29] Institute for the advance Study of Information Warfare http://www.psycom.net/iwar.1.html [Consultado 09 de septiembre de 2009] [30] CERT del Centro Criptológico Nacional (España) https://www.ccn-cert.cni.es [Consultado 09 de septiembre de 2009] [31] Periódico Público, http://www.publico.es [Consultado 09 de septiembre de 2009] [32] Grupo de Delitos Telemáticos, Unidad Central Operativa de la Guardia Civil (España), https://www.gdt.guardiacivil.es [Consultado 11 de noviembre de 2008] [33] Cuerpo Nacional de Policía (España), http://www.policia.es/bit/index.htm [Consultado 09 de septiembre de 2009] [34] División de “Computer Forensic” de Recovery Labs, http://delitosinformaticos.info/delitos_informaticos/legislacion.html [Consultado 09 de septiembre de 2009] [35] Instituto Nacional de Tecnologías de la Información, INTECO, (España) http://www.inteco.es [Consultado 09 de septiembre de 2009] [36] Centro de Alerta Temprana sobre Virus y Seguridad Informática (España) http://alerta-antivirus.inteco.es/portada/index.php [Consultado 09 de septiembre de 2009] [37] Ministry of Defence (Reino Unido) http://www.mod.uk/DefenceInternet/home [Consultado 09 de septiembre de 2009]
166
JV23 163 178.qxp:libro cátedra Isdefe.qxd
5/10/09
21:44
Página 167
Anexo D
[38] Department of Defence (EE.UU.), http://www.defenselink.mil/ [Consultado 09 de septiembre de 2009] [39] Ministerio de Economía y Hacienda (España), http://www.meh.es/ [Consultado 09 de septiembre de 2009] [40] European Network and Information Security Agency http://www.enisa.europa.eu/ [Consultado 09 de septiembre de 2009] [41] Information for the Government and Ministries (Noruega) http://www.regjeringen.no/en.html?id=4 [Consultado 09 de septiembre de 2009] [42] Premier Ministre Portail du Gouvernement (Francia) http://www.premier-ministre.gouv.fr [Consultado 09 de septiembre de 2009] [43] Présidence de la République (Francia) http://www.elysee.fr [Consultado 09 de septiembre de 2009] [44] La Documentation français, http://lesrapports.ladocumentationfrancaise.fr [Consultado 09 de septiembre de 2009] [45] Serveur Thématique sur la sécurité des systémes d’information (Francia) http://www.ssi.gouv.fr [Consultado 09 de septiembre de 2009] [46] Federal Emergency Management Agency (EE.UU.) http://www.fema.gov [Consultado 09 de septiembre de 2009] [47] United States Computer Emergency ReadinessTeam (EE.UU.) http://www.uscert.gov [Consultado 09 de septiembre de 2009] [48] Federation of American Scientist, http://www.fas.org [Consultado 09 de septiembre de 2009] [49] Development Concepts Doctrine Center Strategic Trends (Reino Unido) http://www.dcdc-strategictrends.org.uk [Consultado 09 de septiembre de 2009]
167
JV23 163 178.qxp:libro cátedra Isdefe.qxd
18/9/09
13:36
Página 168
Seguridad Nacional y Ciberdefensa
[50] Defence Research Suppliers Information Portal (Reino Unido) http://www.science.mod.uk [Consultado 09 de septiembre de 2009] [51] Home Office (Reino Unido), http://www.homeoffice.gov.uk/ [Consultado 09 de septiembre de 2009] [52] Office for Security and Counter Terrorism (Reino Unido) http://security.homeoffice.gov.uk/ [Consultado 09 de septiembre de 2009] [53] Organisation for Economic Co-operation and Development http://www.oecd.org [Consultado 09 de septiembre de 2009] [54] Représentation permanente de la France auprès de l’Union Européenne (Francia) http://www.rpfrance.eu/spip.php?rubrique2 [Consultado 09 de septiembre de 2009] [55] Consejo Superior de Administración Electrónica (España) http://www.csi.map.es/ [Consultado 09 de septiembre de 2009] [56] Cooperative Cyber Defence Centre of Excellence (NATO) http://sivak.mil.ee/k5/index.html [Consultado 11 de noviembre de 2008] [57] Asociación Arbil, http://www.arbil.org/103jclh.htm [Consultado 09 de septiembre de 2009] [58] Blog de Ciberterrorismo, http://cyberterrorism.blogspot.com/ [Consultado 09 de septiembre de 2009] [59] Blog de Wordpress, http://vorzheva.wordpress.com/2007/10/30/ cyberwarfare-la-guerra-electronica/ [Consultado 09 de septiembre de 2009] [60] Página de la Ciudad de Chajari, http://www.paginasdechajari.com.ar/ delitos-informaticos.html [Consultado 09 de septiembre de 2009] [61] Government Communications Headquarters (Reino Unido) http://www.gchq.gov.uk/ [Consultado 11 de noviembre de 2008] 168
JV23 163 178.qxp:libro cátedra Isdefe.qxd
5/10/09
21:44
Página 169
Anexo D
[62] Grupo de Estudios Estratégicos, http://www.gees.org/articulo/4637/8 y http://www.libertaddigital.com:6681/opiniones/opinion_43432.html [Consultados 09 de septiembre 2009] [63] Serious Organised Crime Agency (Reino Unido) http://www.soca.gov.uk/ [Consultado 09 de septiembre de 2009] [64] Joint Task Force - Global Network Operations http://www.stratcom.mil/fact_sheets/fact_jtf_gno.html [Consultado 11 de noviembre de 2008] [65] Noticia era Obama: http://www.observer.com/2008/politics/obamaadds-cyber-security-national-defense-plan [Consultado 09 de septiembre de 2009] [66] Noticia era Obama: http://www.defensedaily.com/sectors/homeland_ defense/Obama-Orders-Cyber-Security-Review_5653.html [Consultado 09 de septiembre de 2009] [67] Noticia era Obama: http://www.guardian.co.uk/technology/2009/feb/ 10/obama-review-cyber-security [Consultado 09 de septiembre de 2009] [68] Noticia era Obama: http://www.whitehouse.gov/blog/09/03/02/Cyberreview-underway/ [Consultado 09 de septiembre de 2009] [69] Noticia era Obama: http://www.fcw.com/Articles/2009/02/23/Obamacyber-review.aspx [Consultado 09 de septiembre de 2009] [70] Actuaciones en EE.UU. en ciberdefensa: http://www.bloomberg.com/apps/news?pid=20601103&sid=an2_Z6u1JPGw [Consultado 09 de septiembre de 2009] [71] Acciones en EE.UU. a llevar a cabo: http://www.whitehouse.gov/agenda/homeland_security/ [Consultado 09 de septiembre de 2009] [72] Resultados del informe solicitado por Obama: h t t p : / / w w w. e l m u n d o. e s / e l m u n d o / 2 0 0 9 / 0 5 / 2 9 / n ave g a n t e / 1243589528.html [Consultado 09 de septiembre de 2009] 169
JV23 163 178.qxp:libro cátedra Isdefe.qxd
18/9/09
13:36
Página 170
Seguridad Nacional y Ciberdefensa
[73] Resultados del informe solicitado por Obama: http://www.nytimes.com/2009/05/29/us/politics/29cyber.html?_r=1&hp [Consultado 09 de septiembre de 2009] [74] Resultados del informe solicitado por Obama: http://www.elpais.com/articulo/internacional/Obama/declara/guerra/cib ercrimen/elpepiint/ 20090530elpepiint_1/Tes [Consultado 09 de septiembre de 2009] [75] Reacciones a las iniciativas propuestas: http://lastwatchdog.com/obama-inserts-white-house-leadership-rolesecure-internet/ [Consultado 09 de septiembre de 2009]
2. Documentos, informes y presentaciones • Francia [76] “Dossier de Presse Livre Blanc Sur la Defense et la Securite Nationale” (Dossier de prensa del “Libro Blanco de la Defensa y la Seguridad Nacional” publicado el 17/06/ junio de 2008. Fuente: www.elysee.fr). [Consultado 09 de septiembre de 2009] [77] “The French White Paper on defence and national security” (Dossier de prensa, en lengua inglesa, del “Libro Blanco de la Defensa y la Seguridad Nacional. Fuente: www.elysee.fr). [Consultado 09 de septiembre de 2009] [78] “Livre Blanc sur la Défense 1994” (Documento “Libro Blanco sobre la Defensa 1994”. Fuente: http://lesrapports.ladocumentationfrancaise.fr). [Consultado 09 de septiembre de 2009] [79] “La France Face au Terrorisme. Livre blanc du Gouvernement sur la sécurité intérieure face au terrorisme” (Documento “Francia contra el Terrorismo. Libro Blanco del Gobierno sobre la seguridad contra el terrorismo”. Editorial La Documentation française,. Junio de 2006. ISBN: 211-006101-4. Fuente: http://www.ladocumentationfrancaise.fr). [Consultado 09 de septiembre de 2009] [80] “Défense et Sécurité Nationale Le Livre Blanc” (Documento “Defensa y Seguridad Nacional, el Libro Blanco”. Editorial Odile Jacob/La Documentation Française, Junio de 2008. ISBN: 978-2-7381-2185-1. 170
JV23 163 178.qxp:libro cátedra Isdefe.qxd
18/9/09
13:36
Página 171
Anexo D
Fuente: http://www.ladocumentationfrancaise.fr). [Consultado 09 de septiembre de 2009] [81] “Plan de Renforcement de la Securite des Systemes d’Information de L’état” (Documento “Plan de Mejora de la Seguridad de los Sistemas de Información del Estado”, Marzo de 2004. Fuente: www.ssi.gouv.fr). [Consultado 09 de septiembre de 2009] [82] “State Information System Security Reinforcement Plan” (Versión en ingles del “Plan de Mejora de la Seguridad de los Sistemas de Información del Estado,. Marzo de 2004. Fuente: www.ssi.gouv.fr). [Consultado 09 de septiembre de 2009] • Estados Unidos de América [83] “National Response Framework brochure” (Folleto “Marco de Respuesta Nacional”. Enero de 2008. Fuente: http://www.fema.gov). [Consultado 09 de septiembre de 2009] [84] “National Response Framework FactSheet” (Hoja Informativa “Marco de Respuesta Nacional”. Fuente: http://www.fema.gov). [Consultado 09 de septiembre de 2009] [85] “The National Security Strategy of the United States of America“ (Documento “Estrategia de Seguridad Nacional de Estados Unidos de America “. Año 2002 y actualización en el año 2006. Fuente: http:// www.whitehouse.gov). [Consultado 09 de septiembre de 2009] [86] “The National Strategy for Combating Terrorism” (Documento “Estrategia Nacional para Combatir el Terrorismo”. Septiembre de 2006. Fuente: http://www.whitehouse.gov). [Consultado 09 de septiembre de 2009] [87] “The National Strategy for Homeland Security” (Documento “Estrategia para la Seguridad del Territorio Nacional”. Año 2002 y actualización en el año 2007. Fuente: http://www.dhs.gov). [Consultado 09 de septiembre de 2009] [88] “The National Strategy for The Physical Protection of Critical Infrastructures and Key Assets” (Documento “Estrategia Nacional para la Protección Física de las Infraestructuras Críticas y los Activos Claves”. 171
JV23 163 178.qxp:libro cátedra Isdefe.qxd
18/9/09
13:36
Página 172
Seguridad Nacional y Ciberdefensa
Febrero de 2003. Fuente: http://www.dhs.gov). [Consultado 09 de septiembre de 2009] [89] “The National Strategy to Secure Cyberspace” (Documento “Estrategia Nacional para la Seguridad del Ciberespacio”. Febrero de 2003. Fuente: http://www.dhs.gov). [Consultado 09 de septiembre de 2009] [90] “NIPP Cyber Security” (Hoja Informativa “Ciberseguridad del Plan de Protección de Infraestructuras Nacionales”. Fuente: http://www.uscert.gov). [Consultado 09 de septiembre de 2009] [91] “National Infrastructure Protection Plan” (Documento “Plan de Protección de Infraestructuras Nacionales”. Año 2006. Fuente: http://www.dhs.gov). [Consultado 09 de septiembre de 2009] [92] “Protected Critical Infrastructure Information (PCII) Program” (Hoja informativa “Programa de Protección de Información de Infraestructuras Críticas”. Fuente: http://www.dhs.gov). [Consultado 09 de septiembre de 2009] [93] “Air Force Cyber Command Strategic Vision” (Folleto “Visión Estratégica del Cibermando de la Fuerza Aérea”. Fuente: http://www.afcyber.af.mil). [Consultado 11 de noviembre de 2008] [94] “Information Operations, Electronic Warfare, and Cyberwar: Capabilities and Related Policy Issues” (Informe “Operaciones de Información, Guerra Electrónica, y Ciberguerra: Política y Capacidades”. Informe para el congreso proporcionado por el Servicio de Investigación del Congreso. Autor: Clay Wilson, especialista en tecnología y seguridad nacional. Código: “Order Code RL31787”. Marzo 2007. Fuente: http://www.fas.org). [Consultado 09 de septiembre de 2009] [95] “Fiscal Year 2009 Overview Congressional Justification” (Documento de presupuestos del DHS para el 2009. Fuente: http://www.dhs.gov/xabout/budget/). [Consultado 09 de septiembre de 2009] [96] “Critical Foundations, Protecting America`s Infrastructures” (Documento: “Fundamentos Críticos, Protegiendo las Infraestructuras de America”. Octubre de 1997. Fuente: http://www.fas.org/sgp/library/pccip.pdf). [Consultado 09 de septiembre de 2009] 172
JV23 163 178.qxp:libro cátedra Isdefe.qxd
18/9/09
13:36
Página 173
Anexo D
[97] “Energy Critical Infrastructure and Key Resources Sector-Specific Plan” (Documento: “Plan Específico del Sector de la Energía de Infraestructuras y Recursos Críticos”. Mayo de 2007. Fuente: http://www.dhs.gov/xprevprot/programs/gc_1179866197607.shtm). [Consultado 09 de septiembre de 2009] • Reino Unido [98] “DCDC Global Strategic Trends Programme 2007-2036” (Documento “El Programa 2007-2036 de Tendencias Estratégicas Globales del Centro de Doctrina, Conceptos y Desarrollo”. Enero de 2007. Fuente: http://www.dcdc-strategictrends.org.uk). [Consultado 09 de septiembre de 2009] [99] “Defence Technology Strategy” (Documento “Estrategia Tecnológica de Defensa”. Diseñado y Producido por el Ministerio de Defensa de Reino Unido. Octubre de 2006. Fuente: http://www.science.mod.uk). [Consultado 09 de septiembre de 2009] [100] “The Home Office Strategy 2008–11” (Documento “Estrategia del Ministerio del Interior 2008-2011”. Fuente: http://www.homeoffice.gov.uk/). [Consultado 09 de septiembre de 2009] [101] “The National Security Strategy of the United Kingdom” (Documento “Estrategia Nacional de Seguridad de Reino Unido“. Marzo de 2008. Fuente: http://www.cabinetoffice.gov.uk). [Consultado 09 de septiembre de 2009] [102] “The Future of Netcrime Now” (Informe Online 62/04 del Ministerio del Interior, “El Futuro del Cibercrimen ahora”. Diciembre de 2004. Autor: Sheridan Morris. Fuente: http://www.homeoffice.gov.uk). [Consultado 09 de septiembre de 2009] [103] “The United Kingdom Security & Counter-Terrorism Science & Innovation Strategy” (Documento “Estrategia de Innovación y Ciencia de la Seguridad y Contraterrorismo del Reino Unido”. Año 2007. Fuente: http://security.homeoffice.gov.uk). [Consultado 09 de septiembre de 2009] [104] “A National Information Assurance Strategy” (Documento “Estrategia Nacional de Seguridad de la Información”. Año 2003 y actualización en el 173
JV23 163 178.qxp:libro cátedra Isdefe.qxd
18/9/09
13:36
Página 174
Seguridad Nacional y Ciberdefensa
año 2007. Fuente: http://www.cabinetoffice.gov.uk/csia/). [Consultado 09 de septiembre de 2009] [105] “Countering International Terrorism: The United Kingdom’s Strategy” (Documento “Respuesta al Terrorismo Internacional: La Estrategia del Reino Unido “. Julio de 2006. Fuente: http://security.homeoffice.gov.uk). [Consultado 09 de septiembre de 2009] • Alemania [106] “Critical Infrastructure Protection Activities in Germany “ (Hoja informativa “Actividades de Protección de Infraestructuras Criticas en Alemania.” Fuente: http://www.bsi.bund.de). [Consultado 09 de septiembre de 2009] [107] “Critical Infrastructure protection in Germany” (Presentación “Protección de Infraestructuras Criticas en Alemania”. Año 2005. Fuente: http:// www.bsi.bund.de). [Consultado 09 de septiembre de 2009] [108] “National Plan for Information Infrastructure Protection” (Documento “Plan Nacional para la Protección de Infraestructuras de Información”. Octubre de 2005. Fuente: http://www.bmi.bund.de). [Consultado 09 de septiembre de 2009] [109] “Protection of Critical Infrastructures-Baseline Protection Concept” (Documento “Guía del Concepto de Protección de Infraestructuras Críticas. Marzo de 2006. Fuente: http://www.bmi.bund.de). [Consultado 09 de septiembre de 2009] • España [110] “Directiva de Defensa Nacional 2004”. (Ministerio de Defensa. Diciembre de 2004. Fuente: http://www.mde.es). [Consultado 09 de septiembre de 2009] [111] “La Respuesta Jurídica Frente a los Ataques Contra la Seguridad de la Información” (Guía Legal publicada por el Inteco. Fuente: http://www.inteco.es). [Consultado 09 de septiembre de 2009]
174
JV23 163 178.qxp:libro cátedra Isdefe.qxd
18/9/09
13:36
Página 175
Anexo D
[112] “Hoja de ruta para una Estrategia de Seguridad Nacional Española “ (Informe del 22/09/ de septiembre de 2008 del Área de Defensa y Seguridad del Real Instituto Elcano. Autor: Félix Arteaga. Código: ARI Nº 112/2008). • Noruega [113] “National Guidelines on Information Security 2007-2010” (“Guías Nacionales para Fortalecer la Seguridad de la Información 2007-2010”. Diciembre 2007. Fuente: http://nsm.stat.no/Om-NSM/ Samarbeids partnere/KIS/Global-meny/Et-annet-valg/). [Consultado 09 de septiembre de 2009] [114] “OECD Studies in Risk Management, Norway Information Security” (Documento “Estudios de Gestión de Riesgos de la Organización para la Cooperación Económica y Desarrollo, Seguridad de la Información en Noruega. Año 2006. Fuente: http://www.oecd.org). [Consultado 09 de septiembre de 2009] [115] “An Information Society for All” (Informe “Una Sociedad de la Información para todos”. Report No. 17 (2006–2007) para el Parlamento de Noruega, “Storting”. Fuente: http://www.regjeringen.no). [Consultado 09 de septiembre de 2009] • Unión Europea [116] “Libro Verde sobre un Programa Europeo para la Protección de Infraestructuras Críticas” (Documento presentado por la Comisión de las Comunidades Europeas en Bruselas el 17/11/ de septiembre de 2005. Código: COM (2005) 576 final. Fuente: http://eur-lex.europa.eu/ LexUriServ/site/es/com/2005/com2005_0576es01.pdf). [Consultado 09 de septiembre de 2009] [117] “Directiva del Consejo sobre la identificación y designación de las infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección” (Documento presentado por la Comisión de las Comunidades Europeas en Bruselas el 12/12/ de Diciembre de 2006. Código: COM(2006) 787 final. Fuente: http://eur-lex.europa.eu/ LexUriServ/site/en/com/2006/com2006_0787en01.pdf). [Consultado 09 de septiembre de 2009] 175
JV23 163 178.qxp:libro cátedra Isdefe.qxd
9/10/09
12:10
Página 176
Seguridad Nacional y Ciberdefensa
[118] “Estrategia Europea de Seguridad” (Documento presentado en Bruselas el 12 /12/de diciembre de 2003. Fuente: http://europa.eu/ legislation _summaries/justice_freedom_security/fight_against_terrorism/r00004_ es.htm). [Consultado 09 de septiembre de 2009] [119] “The European Union Counter-Terrorism Strategy” (Documento presentado en Bruselas el 30/11/ de noviembre de 2005. Código: 14469/4/05 Rev 4. Fuente: http://ec.europa.eu/justice_home/fsj/terrorism/strategies/ fsj_terrorism_strategies_counter_en.htm). [Consultado 09 de septiembre de 2009] [120] “EU Plan of Action on Combating Terrorism” (Documento presentado en Bruselas el 29/11/ de noviembre de 2004. Código: 14330/1/04. Fuente: http://www.statewatch.org/news/2004/nov/terr-action-plan-14330rev1.pdf). [Consultado 09 de septiembre de 2009] [121] “La Unión Europea y la Lucha Contra el Terrorismo” (Folleto informativo publicado en Bruselas el 14 /05/de mayo de 2007. Fuente: http://www. consilium.europa.eu/uedocs/cmsUpload/FactsheetfightagainstterrorismE Srev1.pdf). ) [Consultado 09 de septiembre de 2009] [122] “Guide to the European Security and Defence Policy (ESDP)” (Guía escrita en el año 2005 por la Delegación Francesa para el Comité de Seguridad y Política de la UE. Última actualización en Noviembre de 2006. Fuente: http://www.rpfrance.eu/IMG/Guide_PESD_EN.pdf). [Consultado 09 de septiembre de 2009] [123] “Seguridad de las redes y de la información: Propuesta para un enfoque político europeo” (Documento presentado por la Comisión de las Comunidades Europeas en Bruselas el 6/6/200106 de junio de 2001. Código: COM(2001)298 final. Fuente: http://www.csi.map.es/ csi/pdf/ com2001_0298es01.pdf). [Consultado 09 de septiembre de 2009] • Ciberejércitos [124] “CYBER WARFARE an análisis of the means and motivations of selected Nation States” Institute for Securitty Technology Studies at Darmouth College. Charles Billo, Welton Chang. 2004. 176
JV23 163 178.qxp:libro cátedra Isdefe.qxd
5/10/09
21:44
Página 177
Anexo D
[125] “How China will use cyber warfare to leapfrog in military competitiveness” Jason Fritz. Culture Mandala, Vol. 8, No.1 Octubre de 2008. [126] “Russia / Georgia Cyber War – Findings and Analysis” Project Grey Goose: Phase I Report October Octubre de 2008. • Otros [127] “International CIIP Handbook 2006” (“Libro Internacional sobre la Protección de Infraestructuras de Información Criticas 2006”. ISBN: 3905696-07-X . Editor: Center for Security Studies, ETH Zurich. Autores: Isabelle Abele-Wigert y Myriam Dunn. Fuente: http://www.crn. ethz.ch/publications/crn_team/detail.cfm?id=16651). [Consultado 09 de septiembre de 2009]
177
JV23 163 178.qxp:libro cátedra Isdefe.qxd
18/9/09
13:36
Página 178
JV23 163 178.qxp:libro cátedra Isdefe.qxd
18/9/09
13:36
Página 179
JV23 PORTADA 5/10/09 13:17 P gina 1
Composici n
