Evolución, propagación y percolación de ese ideal llamado Ciberseguridad

La ciberseguridad entendida como seguridad de los sistemas de información que encarnan servicios e infraestructuras críticas, está y va a estar de moda. Ya se han publicado estrategias, y a otras se las espera, por lo que no está de más echar un vistazo a en qué consisten y qué medidas son las propuestas, no vaya a ser que lo que se consiga sea otra cosa.

Ya ha pasado más de una década desde que el primer Ataque por Denegación de Servicio que en 2002 quebró el floreciente establecimiento de los usos comerciales, y de todo tipo, que Internet empezó a tener allá por 1995. Quizás no quedó claro en aquel momento, pero hoy es fácil ver cómo el uso de tecnologías sencillas (http) para mundos utópicos (CERN) como es el caso de la Web que hoy conocemos, ha dotado de pies de barro a un gigante (Internet) que ahora parece aglutinar todos los aspectos de nuestra vida (administración, educación, redes sociales, trabajo, comercio, comando y control, etc.).

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

Esencialmente, la prioridad de la Ciberseguridad es la protección de las Infraestructuras Críticas de Información, en tanto que son los componentes principales de prácticamente todas las demás Infraestructuras Críticas y que, cada día, son más importantes.

Estados Unidos fue la primera nación en darse cuenta de que la seguridad de los sistemas informáticos es importante para todo el mundo; y por dos razones: por una parte, el aumento de la informatización y el crecimiento del comercio electrónico ha hecho que la ciberseguridad sea algo esencial para la economía del este siglo. Asimismo, la ciberseguridad es vital para poder gobernar de forma segura infraestructuras críticas, tales como las comunicaciones, la respuesta a emergencias o la protección de redes la de distribución de la energía eléctrica, por poner un ejemplo.

Las regulaciones norteamericanas son pocas y se centran en sectores industriales muy concretos. La más antigua de ellas fue el “Health Insurance Portability and Accountability Act” de 1996, seguida del “Gramm-Leach-Bliley Act” de 1999 y el “Homeland Security Act” de 2002 con su “Federal Information Security Management Act”. Estas tres regulaciones obligan al sector de la sanidad, a las instituciones financieras y a las agencias federales a proteger sus sistemas de información, pero no incluyen otras industrias relacionadas, como pueden ser los proveedores de Internet (ISPs) o las compañías de software o de servicios, por poner algunos ejemplos. La vaguedad en las redacciones de este tipo de normas deja mucho espacio para la interpretación, por lo que las empresas directamente afectadas solo invertirán suficiente dinero en ciberseguridad si el gobierno las obliga.

La NCSD americana

Cuando las normas no son suficientes, tarde o temprano se termina fundando una nueva institución y, en el caso de la Administración USA ocurrió en junio de 2003 y fue la “National Cyber Security Division” (NCSD), dentro de la Oficina de Ciberseguridad y Comunicaciones, ubicada a su vez dentro del Departamento de Seguridad Nacional. Esas nuevas siglas reúnen en una a la anterior Oficina de Protección de Infraestructuras Críticas, el Centro Nacional de Protección de Infraestructuras, el Centro Federal de Respuesta a Incidentes Informáticos (CERT), y al Sistema Nacional de Comunicaciones.

La misión de la NCSD es la de colaborar con el sector privado, la administración, el ejército y las agencias de inteligencia para evaluar el riesgo cibernético y para disminuir el numero y gravedad de las vulnerabilidades, así como mitigar el efecto de las amenazas sobre las infraestructuras basadas en las tecnologías de la información y sobre todas aquellas actividades que afecten al funcionamiento del gobierno o al sector privado.

NCSD también proporciona el análisis de las vulnerabilidades y los ataques, la posibilidad de una alerta temprana, y la capacidad de respuesta frente a incidentes en el sector público y privado. Además de ello, es la que se encarga de la denominada “Comprehensive National Cybersecurity Initiative”, y todo ello con 378.744 millones de dólares de presupuesto en 2011 y 342 funcionarios federales a dedicación completa.

La firma inicial de la “Comprehensive National Cybersecurity Initiative” de George W. Bush aconteció en 2008 y fue secreta; sin embargo, en el mes de marzo de 2010 el gobierno de Obama desclasificó parte de la información sobre ese proyecto. Los objetivos de esta iniciativa incluyen 1) el establecimiento de una primera línea de defensa frente a la intrusión en redes para defender a los EE.UU. de una amplia panoplia de posibles ataques utilizando técnicas de la contrainteligencia clásica; y 2) reforzar el futuro de la ciberseguridad a través de la educación, coordinación e investigación científica y técnica.

El 6 de enero de 2011 la National Security Agency puso en marcha el primero de una serie de Data Centers que son parte de esa iniciativa, y ese nuevo centro costará, al final, no menos de 1.500 millones de dólares y se le conoce como el Utah Data Center de Camp Williams. Los objetivos del centro no son del todo claros, pero se ha dicho que se trata de superordenadores integrados en el programa de la NSA en “SIGnal INTelligence” cuyo fin es “gain a decisive information advantage for the nation and our allies under all circumstances” ¹; vamos, espionaje del de siempre.

Europa

Por otra parte, iniciativas europeas como la alemana ² reconocen el riesgo que tiene “la tendencia a desarrollar sistemas de información industriales sobre las bases de componentes estándar y conectarlos al ciberespacio, lo cual está motivado principalmente por motivos económicos, e incluye nuevas vulnerabilidades” y recuerda lo que ha representado Stuxnet ³ para algunos productos Siemens.

Como vestigios de nacionalismos pasados aderezando globalidades tácitas, los planes alemanes hacen mención explícita a su intención de “fortalecer cer la soberanía tecnológica de Alemania y su capacidad económica en toda la gama de competencias TI centrales y estratégicas, incluirlas en nuestras estrategias políticas y desarrollarlas aún más”, cuando al final su objetivo más pragmático es el de “utilizar en las áreas de seguridad crítica [solo] componentes que estén certificados frente a estándares reconocidos internacionalmente”.

En el caso francés, la cosa no es diferente e identifica sus cuatro objetivos estratégicos: 1) Ser una potencia mundial en ciberseguridad, 2) Garantizar la libertad de decisión de Francia por la protección de la información soberana, 3) Reforzar la seguridad cibernética de las Infraestructuras Críticas nacionales, y 4) Garantizar la seguridad en el ciberespacio.

Para ello orienta sus planes en siete dimensiones principales: 1) Anticipar y analizar, 2) Detectar, alertar y reaccionar, 3) Aumentar y mantener sus capacidades científicas, técnicas, industriales y humanas en ciberseguridad, 4) Proteger los sistemas de información de los operadores estatales y de la infraestructura vital para Francia, 5) Adaptar las leyes francesas a la nueva ciberrealidad, 6) Expandir sus colaboraciones internacionales y 7) desarrollar las capacidades de comunicación para informar y convencer a sus aliados.

España

España, a diferencia de otros países de nuestro entorno, no ha definido todavía una legislación específica y completa en materia de ciberseguridad y se la esperaba para este verano (a la Estrategia Nacional de Ciberseguridad), pero parece que no ha podido ser. Sin embargo, existe ya legislación sobre el tema en distintos ámbitos ministeriales aunque no hayan sido todavía desarrollados bajo una política común.

El punto de partida es el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que deja fuera a los sectores privados relacionados con la ciberseguridad, como son otras infraestructuras críticas, las empresas y los mismos ciudadanos. Además, existen otras leyes nacionales, europeas e internacionales que afectan a la ciberseguridad, como son la Ley Orgánica de Protección de Datos, la Ley General de Telecomunicaciones y la Ley de la Sociedad de la Información y Comercio Electrónico. A pesar de la existencia de estas normas, su grado de cumplimiento es muy bajo, lo que eleva el riesgo en nuestro mundo Internet.

Las competencias relacionadas con la gestión de la ciberseguridad están repartidas entre varios organismos e instituciones que dependen de diferentes ministerios del Gobierno:

El Centro Criptológico Nacional (CCN), integrado en el Centro Nacional de Inteligencia (CNI), que se encarga de la seguridad del ciberespacio para las administraciones públicas a través de CCN-CERT como centro de alerta y respuesta inmediata.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), que, dependiente del Ministerio de Industria, Turismo y Comercio, gestiona su propio CERT para las pymes españolas y los ciudadanos en su ámbito doméstico.

El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), dependiente del Ministerio del Interior y que se encarga de la ciberseguridad relacionada con estas infraestructuras.

El Grupo de Delitos Telemáticos de la Guardia Civil y la Unidad de Investigación de la Delincuencia en Tecnologías de la Información de la Policía Nacional, dependientes ambos del Ministerio del Interior, que se encargan de combatir la ciberdelincuencia.

Y la Agencia Española de Protección de Datos (AGPD), dependiente del Ministerio de Justicia, responsable de hacer cumplir la normativa en materia de protección de datos personales.

El que EE.UU. haya llevado la iniciativa nos permite ver lo que, muy probablemente, otros países vayan, y vayamos, haciendo detrás de ellos en ciberseguridad. Esencialmente, se trata de reunir legislaciones y cambiar normativas, reasignar competencias, fusionar o reconvertir entidades administrativas, hacer desaparecer alguna, crear alguna otra y, sobre todo, dotar de nuevos presupuestos y personal funcionario a la entidad que deba encargarse de la Ciberseguridad.

Dados los tiempos que corren para los países amablemente denominados por algunos como los “PIIGS”, quizás esto sea lo que posponga durante algunos quinquenios que realmente podamos afrontar el tema de la ciberseguridad en países como España, Portugal, Irlanda, Italia o Grecia. Quizás así durante cierto tiempo, el Mediterráneo (norte y sur) sea un paraíso en parte alejado del cibercontrol de las “Grandes y Europeas” Potencias.

Por su parte, las naciones mejor tratadas por la actual crisis se embarcarán en montar una inmensa red de Centros de Alerta y Respuesta Temprana que, para funcionar, necesitan monitorizar en tiempo real lo que esta pasando en Internet. Además, la información derivada de esa actividad será compartida, no necesariamente siguiendo el “principio de reciprocidad mutua”, entre todas las potencias del mundo a través de sus gobiernos.

Mundialización, espionaje y derechos civiles

No debemos olvidar que con todo esto de la ciberseguridad lo que se está haciendo es que todo el mundo clame por una íntima e intensa cooperación internacional y, como consecuencia, que aceptemos que la lucha contra el rápido crecimiento de la ciberdelincuencia requiere cooperación y coordinación entre las autoridades policiales en todo el mundo, elevando a rango de planetaria la necesidad de una fuerza unificada de investigación y persecución del delito al mejor estilo “distópico” ⁴.

De hecho, la necesidad de que participe la sociedad civil hace que algunos vean en los ISP a los “padres protectores/ delatores” de la Internet que todos utilizamos y que en Europa también se esté estudiando la posibilidad de “que los proveedores tengan que asumir una mayor responsabilidad y asegurar que proporcionan a sus usuarios una colección básica de productos y servicios de seguridad adecuados”.

Recordemos el “Cyber Intelligence Sharing and Protection Act” (CISPA) ⁵, aprobado en abril de este año por la Cámara de Representantes de los EE.UU., y que permite a su administración compartir información sobre el tráfico individualizado en Internet con ciertas compañías tecnológicas y proveedores de servicios. El objetivo es el de ayudar al gobierno norteamericano a investigar ciberamenazas a nivel mundial de modo que puedan proteger sus redes de cualquier ciberataque. CISPA ha sido seriamente criticada a nivel global por los defensores de la privacidad y los derechos civiles en Internet debido a los “escasos” límites que hay en ella al respecto de cuándo y cómo se producen esas monitorizaciones de las pautas individuales de navegación en Internet. De hecho, somos muchos los que creemos que tales nuevos poderes serán utilizados para espiar al público en general, en vez de dirigirse a objetivos concretos judicialmente imputables.

De todos modos, a la vista de los interesantes resultados de algunas campañas de hack, como la del grupo GhostShell ⁶ con un millón de cuentas capturadas, y de los resultados hechos públicos en prestigiosos congresillos como la Black Hat Conference y que obligan a cambiar todas las llaves de muchos hoteles ⁷, o la avanzada tecnología que utilizan los abisales seres de la Internet Profunda como los de “La Ruta de la seda” ⁸, o las fisuras fundamentales enterradas en entornos como Java ⁹, o frente a la creciente sofisticación de genotipos informáticos como los de la serie Stuxnet ¹⁰, Duqu ¹¹, Flame ¹² y Gauss, creo que esto de la ciberseguridad oficial está errando el tiro o, al menos, quedándose muy corto si lo que realmente se pretende es hacer la Internet que conocemos más segura y placentera para los ciudadanos en todas sus dimensiones.

Documento en PDF