Hoy toca criticar, ¿por qué no? Parece que la palabra “ciberseguridad” se ha puesto de moda, cada poco tiempo surgen normas, como si fueran setas, que tienen alguna incidencia en este ámbito. ¡Venga normas, venga protocolos, venga informes y recomendaciones!
Todo esto está muy bien, no decimos que no, sobretodo por la velocidad a la que avanza la tecnología. Pero es que no existe una norma que regule el tema de la ciberseguridad.
Así que mucho bombo y poco platillo. Si estamos hablando de una cuestión tan importante, qué pasa que no existe una norma “suprema”. Tenemos, eso sí, mil y una normas, que, cada una en su ámbito específico, trata, en mayor o menor medida, de esta cuestión.
La ausencia de una norma de referencia, en nuestra opinión, es un error, sobretodo si tenemos en cuenta que la ciberseguridad es una cuestión que afecta directamente a la seguridad de un país. El tema de la regulación universal lo dejamos, de momento, como mera ilusión.
¿Por qué es tan importante la ciberseguridad?
La mitad de los habitantes del planeta son usuarios de Internet.
De hecho, según la estadística sobre el uso de Internet en el mundo, extraída de la web Internet World Stats, a marzo de 2017, existían ya más de 3.700 millones de habitantes en el mundo usuarios de Internet.
Parece incuestionable que el número de personas con acceso a Internet, que el número de dispositivos conectados y que el número de operaciones llevadas a cabo a través de la Red va a seguir creciendo.
En este sentido, según el informe sobre el riesgo cibernético sistémico, elaborado en octubre de 2016 por la World Economic Forum (organización internacional para la cooperación público-privada donde se concentran, entre otros, los principales líderes políticos y empresariales de la sociedad para dar forma a las agendas mundiales, regionales e industriales), el número de dispositivos conectados a Internet se triplicará en 2020, pasando de 13.400 millones a 38.500 millones, aumentando el comercio electrónico del 6% en 2014 al 12,8% en 2019.
Centrándonos en España, según el Informe Anual de Seguridad Nacional de 2016, el Centro de Respuesta a Incidentes de Seguridad e Industria (CERTSI), competente en la prevención, mitigación y respuesta ante incidentes de ciberseguridad en el ámbito de las empresas, los ciudadanos y los operadores de infraestructuras críticas, resolvió en el año 2016 más de 106.000 casos.
Por otro lado, del informe sobre Ciberamenazas y Tendencias para el 2017, en España, la Capacidad de Respuesta de Ciberincidentes del Centro Criptológico Nacional (CCN-CERT, se ocupa de los ciberincidentes que afectan a sistemas del sector público, a empresas y organizaciones de interés estratégico para el país y a cualquier sistema clasificado, por lo que contribuye a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopera y ayuda a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas), gestionó, en el año 2016, 20.940 ciberindidentes, un 14,5% más que en el año 2015.
Además, durante el primer semestre del año 2017, el CERTSI ha gestionado en España 69.644 incidentes de ciberseguridad, de los cuales 69.213 corresponden a ciudadanos, empresas y red académica y 431 a operadores críticos.
Más de la mitad de los incidentes (67,36%) están relacionados con la infección de equipos a través de programas maliciosos que pueden dañar el sistema o dispositivo (malware), seguido de accesos no autorizados (14,91%) y fraudes (10,76%). Completan la clasificación el spam malicioso que sigue con vida en la Red gracias a la ingeniería social, las denegaciones de servicio, los escaneos de redes y sistemas y los intentos de robo de información.
La actividad cotidiana de los ciudadanos, de los profesionales, de las empresas, de los organismos públicos, del Estado, en general, depende de que el conjunto de herramientas tecnológicas (sistemas informáticos y redes de comunicaciones, esencialmente) se encuentren permanentemente operativas y en condiciones de satisfacer las necesidades para las que se han implantado.
En este sentido, el Reglamento (UE) nº 526/2013 relativo a la Agencia de Seguridad de las Redes de la Información de la Unión Europea (ENISA), entiende por “seguridad de las redes y de la información”:
La capacidad de las redes o los sistemas de información para resistir, con un nivel de confianza dado, los accidentes o acciones ilícitas o malintencionada que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios conexos que dichas redes y sistemas ofrecen o hacen accesibles.
ENISA tiene por objetivo contribuir a un nivel elevado de seguridad de las redes y de la información en la Unión y a fin de sensibilizar a la sociedad y desarrollar y promover en ella una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector público de la Unión, contribuyendo así a la realización y al correcto funcionamiento del mercado interior.
Tratándose de un camino sin retorno, es necesario garantizar que las herramientas tecnológicas utilizadas tienen la capacidad de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles (esto es lo que se ha venido a denominar: resilencia).
La universalización del uso de los medios electrónicos en la actividad diaria de las sociedades occidentales supone un enorme aliciente para los agentes de las amenazas, que ven cómo la “superficie de ataque” se ensancha, al tiempo que lo hacen los beneficios derivados de su comportamiento delictivo.
A esto se suma la facilidad de cometer ciberdelitos “gracias” a la venta de las herramientas tecnológicas necesarias para su comisión, apareciendo, así, un nuevo modelo de negocio: el ciberdelito como servicio (crime-as-a-service).
Por tanto,
la ciberseguridad no es una opción
La ciberseguridad debe ser algo más de nuestro día a día, no engañándonos tampoco y teniendo en cuenta que nunca estaremos 100% seguros, con lo que siempre hay un riesgo que tendremos que asumir, pero tenemos que poner las medidas que estén a nuestro alcance para que este riesgo sea el mínimo riesgo aceptable, lo que supone que, previamente, habremos valorado los riesgos a los que estamos expuestos.
La ciberseguridad nos afecta a todos, particulares, empresas privadas y públicas, Administración Pública…, siendo especialmente grave cuando hablamos de infraestructuras críticas, de modo que la ciberseguridad es una cuestión que tiene una repercusión directa en la seguridad de un país.
Sin embargo, para hacer frente de forma efectiva a las ciberamenazas, se requiere de la actuación conjunta de los distintos países, dado el carácter descentralizado y transnacional de Internet, que hace desaparecer las fronteras físicas y que desborda, por ello, las capacidades de control de cualquier Estado.
Los países son conscientes que la ciberseguridad es una cuestión que afecta directamente, y cada vez más, a la seguridad nacional de un país; por ello, dictan normas, elaboran estrategias y recomendaciones, crean órganos especializados en esta materia, se unen a efectos de crear organismos internacionales y firman entre ellos convenios para llevar a cabo una actuación coordinada en materia de ciberseguridad.
En el marco de la OTAN, solo apuntar que, en la Cumbre de Varsovia celebrada en julio de 2016, se reconoció al ciberespacio como el quinto dominio de las operaciones militares (que se añade a los de tierra, aire, mar y espacio).
¿Por qué pueden ser atacados nuestros sistemas de información?
Nuestros sistemas de información pueden ser atacados por muchos motivos, de los cuales vamos a destacar tres:
1. Por el propio software:
- Si el software se hace utilizando algún componente existente que tiene alguna vulnerabilidad, el software también será vulnerable;
- En los programas formativos de programación se atiende más a la funcionalidad y velocidad del software que a su comportamiento seguro;
- La falta de actualización del software, sea por dejadez o porque no existen actualizaciones, lo que puede dar lugar a la aparición de un exploit que se aproveche, que explote, la vulnerabilidad existente en ese software. Seria el caso, por ejemplo, de WannaCry.
En este punto de la falta de actualización, es patente la existencia de una especie de competición entre los fabricantes de los dispositivos móviles por ver cuál de ellos “saca” primero la novedad, siendo lo habitual que la vida útil de un dispositivo móvil sea de 2 años; transcurrido dicho plazo, muchos fabricantes dejan de publicar actualizaciones de seguridad para estos productos que consideran antiguos pero que, sin embargo, están muy presentes en la sociedad, convirtiéndose, de este modo, en potenciales objetivos de los ciberataques.
2. Por la conectividad:
Entre dispositivos que se encuentran interconectados, ya que la inseguridad de uno se traslada al resto.
Y esto lo podríamos ver tanto dentro de una organización como en el ámbito del usuario particular, acrecentado, en este último caso, por el Internet de la Cosas.
Por lo que se refiere al Internet de las Cosas, podríamos decir también que existe una industria en la que parece primar la velocidad a la hora de sacar al mercado nuevos productos, dejando aparcado el tema de la ciberseguridad, con lo que muchos fabricantes no implementan protocolos de comunicaciones seguros o sacan al mercado dispositivos con software con graves vulnerabilidades o contraseñas de acceso débiles, lo que se traduce en millones de dispositivos de uso cotidiano tremendamente vulnerables que nos convierten en potenciales víctimas de sufrir robo de información o de “cómplices” en la comisión de delitos al pasar a formar parte de una red de botnets, por ejemplo.
Sin embargo, y como complemento a lo anterior, decir que especialmente significativo es el caso de las infraestructuras críticas, definidas en la Comunicación de la Comisión al Consejo y al Parlamento Europeo, de 20 de octubre de 2010, sobre la protección de las infraestructuras críticas en la lucha contra el terrorismo, como las instalaciones, redes, servicios, equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de los gobiernos.
Según el Catálogo de Infraestructuras Críticas, que contiene información calificada como secreta, tienen la consideración de infraestructuras críticas más de 3.500 instalaciones e infraestructuras sensibles dentro de las siguientes áreas estratégicas:
* Energía
* Industria Nuclear
* Tecnológicas de la Información
* Transportes
* Suministro de Agua
* Suministro de Alimentos
* Salud
* Sistema Financiero
* Industria Química
* Espacio
* Recursos
* Administración.
Así, la interconexión e interdependencia existente entre las infraestructuras críticas puede dar lugar a efectos encadenados, en cascada o dominó, traduciéndose ésto en qué la pérdida directa de uno de ellos puede conllevar a su vez la pérdida, inoperatividad o inaccesibilidad de otros con los consiguientes perjuicios y daños en servicios esenciales, acarreando graves problemas a la sociedad.
Además, también existe peligro en el caso de una conectividad esporádica. Por ejemplo, si yo, “persona confiable”, que tengo mi dispositivo infectado por un virus -sin saberlo-, te envío un correo electrónico a ti, si en tu dispositivo no tienes instaladas las medidas de seguridad necesarias, seguramente tu dispositivo también se va a ver comprometido, lo que puede dar lugar, de algún modo, a una infección en cascada si tu dispositivo está conectado con otros o pasas el correo a otras personas. Lo mismo pasaría si te paso un USB con un archivo infectado.
3. Por la confianza:
Nos estamos refiriendo a la confianza del usuario del sistema informático en cuestión, ya se trate de una confianza basada en una irreal percepción de que:
- nunca nadie va a dirigir un ciberataque contra él, lo que constituye un campo de abono para la ingeniería social, pudiendo, así, ser víctimas de phishing o spear-phishing (que, a grandes rasgos, es lo mismo que el phishing pero dirigido a una persona determinada, a la cual tienen bien estudiada para no generar sospechas), por ejemplo; o en una confianza de que
- no pasa nada por conectarse a cualquier red, o a cualquier web, o por bajarse cualquier aplicación de cualquier sitio...
En este sentido, hay que tener en cuenta que, en general, hay tres vías principales para la instalación de código dañino en un dispositivo, cuyo éxito depende, en gran medida, del nivel de confianza del usuario, y que son:
- a través de mensajes de correo electrónico que adjuntan archivos maliciosos;
- accediendo a páginas web que descargan este tipo de software; y
- a través de mensajes de correo electrónico que enlazan a las páginas dañiñas.
También existen otros tipos de ataques que no dependen ya de esta confianza, como podrían ser los ataques de denegación de servicio, la inyección SQL... (de los que, si queréis, ya hablaremos en otra ocasión).
Consecuencias de un ciberataque:
La persona, física o jurídica, ciberatacada, puede sufrir, entre otras, las siguientes consecuencias:
- puede ser víctima de ciberespionaje;
- puede que su información se publique o se venda;
- puede ser víctima de ciberextorsión, como en el caso del ransomware;
- en el caso de una empresa u organización, podría sufrir denegación de servicio, con los costes económicos y/o reputacionales que eso le podría provocar;
- …
¿Cuál es la crítica?
La crítica es que, teniendo en cuenta la trascendencia que tiene la ciberseguridad para la seguridad nacional e incluso mundial, no exista una regulación unitaria básica internacional, sin perjuicio de las especificaciones y lo que puedan disponer el resto de normas sectoriales.
Esto dejando a un lado las normas de estandarización internacionales.
Pero claro, hablar de una regulación única internacional cuando dentro del propio territorio español tampoco la tenemos es bastante ilusorio.
A este respecto, el Instituto Nacional de Ciberseguridad de España (INCIBE), en el ámbito de sus funciones, ha elaborado el Código de derecho de la Ciberseguridad, publicado por la Agencia Estatal Boletín Oficial del Estado y que se mantiene permanentemente actualizado.
Sin embargo, y a pesar de que el mencionado Código es un instrumento de gran utilidad, no deja de ser un conglomerado de normas de muy diversas materias que afectan de alguna manera a la ciberseguridad.
Vaya por delante que lo anterior no es una crítica a la labor realizada por INCIBE, al cual es de agradecer su trabajo compilatorio.
Entendemos que la importancia del tema reclama la aprobación de “la norma de ciberseguridad”, sobretodo si tenemos en cuenta que la ciberseguridad una cuestión de Estado; que las ciberamenazas pueden afectar gravemente a la seguridad y estabilidad de un país; y que la interconexión existente que puede provocar efectos en cascada desbastadores incluso a escala mundial.
Lo anterior, sin olvidar que España es un país “de autónomos y microempresas” (según los datos proporcionados por el Ministerio de Empleo y Seguridad Social (MEySS) sobre las empresas inscritas en la Seguridad Social, en junio de 2017, del total de 2.856.394 empresas (incluidos autónomos), 2.678.946 eran autónomos y microempresas), lo que debiera obligar a los "poderes regulatorios" a tenerlos especialmente en consideración y, por tanto, a facilitarles la adopción de las medidas oportunas no ya solo para su autoprotección, sino para la protección de todos (¿recordamos la interconexión?).
Autónomos y microempresas bastante tienen con llevar a flote su negocio como para preocuparse por algo que, en muchos casos, creen erróneamente que no es importante o que no les afecta, como es la ciberseguridad.
Alguien podría replicar y decir que existen organismos que ya se preocupan por “culturizar” de forma gratuita a autónomos y pymes sobre estas cuestiones. Y les damos la razón, es cierto, el propio INCIBE ofrece un curso dedicado a este colectivo con el fin de que se conciencien y adopten medidas para proteger sus datos y los de sus clientes, además de muchos materiales interesantes al respecto.
Pero no es eso, muchos autónomos y microempresas ni siquiera saben de la existencia de estos cursos, no otorgan la importancia suficiente a estas cuestiones, no “pierden” tiempo o dinero en estos menesteres, o entienden prioritarias otras materias que les afectan directamente al bolsillo.
A nuestro humilde entender sería necesaria una norma, y, a lo sumo, otra de desarrollo, de obligado cumplimiento, en que se recojan los diversos escenarios posibles y las medidas mínimas a adoptar. Lógicamente, esta norma debería de actualizarse siempre que ello fuera necesario para adecuarla a los nuevos escenarios y riesgos derivados del acelerado cambio tecnológico.
Sin embargo, somos consciente que, al menos de momento, esto es más una ilusión que algo que pueda convertirse en realidad:
- Por un lado, porque en este tema el legislador no quiere “comerse el marrón”. Un claro ejemplo de esto lo constituye el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, de 27 de abril de 2016), que, con su principio de responsabilidad proactiva, viene a decir (de forma no protocolaria) algo así como: “haz lo que creas que tienes que hacer para proteger los datos personales que tratas, pero, como pase algo y me parezca que no has hecho lo suficiente, lo vas a pagar”.
- Por otro lado, no tenemos muy claro que, si se llegara a aprobar una norma del estilo que proponemos, no quedara obsoleta al poco tiempo por dejadez o por falta de acuerdo o de interés por parte de los responsables de su actualización.