FRANCISCO FERNANDEZ MISER CONGRESO

Transcripción

1 FRANCISCO FERNANDEZ MISER CONGRESO DE ESTUDIOS ESTRATEGICOS Y MILITARES Título: EQUIPOS DE CIBERSEGURIDAD (CERT/CSIRT): INSTITUCIONALIZACION Y GOBERNANZA. ABSTRACT (v 5 líneas) Frente a la relativa simplicidad de los "complejos industriales / militares" del pasado la seguridad informática obliga a crear iniciativas y organismos tales como los CSIRT (o CERT): Computer Emergency Security Information Readiness/Response Team, capaces de hacer frente a amenazas tales como cibercrimen, ciberataques y espionaje en un entorno que trasciende fronteras nacionales y que obliga a considerar actores públicos y privados (no sólo gestoras de infraestructuras sino también compañías de desarrollo de software y material informático y, como demostró el caso Heartbleed, hasta con grupos de desarrollo de software libre, no ligadas a ninguna organización) (v. Larga) Frente a la relativa simplicidad de los "complejos industriales / militares" del pasado la multiplicidad de actores a considerar en relación con el mantenimiento de la seguridad informática en la actual "sociedad de la información" ha obligado a tomar gran número de medidas, tanto tecnológicas como jurídicas y organizativas. Entre estas últimas está la creación de organismos denominados CSIRT (o CERT): Computer Emergency Security/Response Team, con el objetivo de afrontar amenazas tales como cibercrimen, ciberataques y espionaje en un entorno que trasciende fronteras nacionales y que obliga a considerar tanto actores públicos como privados. Los CSIRT no sólo han de interactuar con compañías de infraestructuras y con entes similares de otros países o niveles administrativos sino también con compañías de desarrollo de software y material informático y, como demostró recientemente el caso del agujero de seguridad OpenSSL/Heartbleed, hasta con comunidades de desarrollo de software libre, no ligadas a ninguna organización y sin capacidad de interlocución definida. Aun existiendo entidades similares de origen privado, este artículo estudia las tendencias en la evolución de las que han tomado la forma de institución pública. En cada uno de los países en que surgen su desarrollo se ve impulsado tanto por políticas públicas del propio país como por organizaciones internacionales como la Unión Europea, la OTAN, una organización de carácter económico como es la OCDE (Organización para la Cooperación y el Desarrollo Económicos) o la

2 ITU (International Telecommunication Union), de carácter técnico. Se ha prestado un especial interés al caso español, en el que la diversidad funcional y administrativa ha llevado a la aparición de varios entes, a nivel nacional y a nivel autonómico, académicos y militares, sectoriales y orientados al público en general. Palabras clave: Ciberseguridad, Ciberdefensa, CSIRT, CERT, software libre PERFIL Francisco Fernández Miser, licenciado en Informática y en Ciencias Políticas y de la Administración por la Universidad de Granada. Tras varios años en el sector privado trabajo actualmente en la Junta de Andalucía, habiendo pasado por varias Unidades de Proceso de Datos (departamentos de Informática) en delegaciones de la misma llevando a cabo funciones de de gestión, desarrollo de aplicaciones y bases de datos y mantenimiento informático.

3 LA SEGURIDAD INFORMATICA Y LOS CSIRT La progresiva incorporación de la informática a todos los ámbitos de la vida cotidiana hace que el número de flancos abiertos cuya protección ha de ser tenida en cuenta sea cada vez mayor. En un pasado no muy lejano la informática se limitaba a la gestión de información (contabilidad, nóminas, documentación, etc) la cual, aun de un valor decisivo e incalculable en muchos casos no tenía un impacto directo o, como se denomina en el campo de la ciberdefensa, "cinético", en el sentido de ser capaz de afectar directamente a "carne y hueso" o "cemento y ladrillo". Sin embargo, en el mundo actual numerosos factores obligan a prestar una atención cada vez mayor a la seguridad en la "sociedad de la información" (término que por sí solo da idea del peso de la tecnología en nuestro mundo), según se conoce en el ámbito civil, o el "ciberespacio", ya denominado como el "quinto dominio de la guerra" tras los tradicionales "tierra, mar y aire" y el relativamente más nuevo "espacio". (Joyanes, 2011) La posibilidad cuando no la obligatoriedad del acceso on-line abarca desde los servicios administrativos o financieros hasta los de información llegando a incluir la interacción social misma, como muestran desde las redes sociales profesionales hasta las orientadas al ocio o los viajes. Se ha pasado del paradigma que imperaba en cuanto a seguridad informática en los noventa que comparaba la protección de los sistemas con la defensa de un castillo con un número limitado de accesos por otro en el que lo que se ha de defende es una metrópolis con un constante movimiento de entradas y salidas (OCDE) En esta era "post-pc" la pervasividad de la capacidad de cómputo llega a teléfonos móviles e incluso gafas o automóviles hasta el punto de hablarse de una "internet de las cosas" que llevará a todo tipo de objetos del hogar a interactuar de manera autónoma con una escasa necesidad de supervisión. La incorporación de la conectividad llega a todo tipo de dispositivos industriales, tales como los sistemas SCADA (Supervisory Control and Data Acquisition: Control de Supervisión y Adquisición de Data) que controlan desde fábricas hasta sistemas de iluminación o gestión de aguas, básicos para las futuras "smart cities". Por otra parte, los drones que rápidamente salen del ámbito militar para ser usados en el ámbito civil en tareas de vigilancia o transporte también contribuyen al dibujo de un mundo en el que, literalmente, la fiabilidad del sistema informático es vital. En palabras del general Michael Hayden, antiguo director de la NSA y la CIA "We kill people based on metadata": "Matamos a gente basándonos en metadatos" (Cole, 2014, Miller, 1996). Este acelerado desarrollo de conceptos y servicios no se corresponde con un esfuerzo equivalente para corregir defectos y fallos en los nuevos sistemas. Continuamente llegan informes sobre la aparición de vulnerabilidades en productos de uso masivo o incidentes de seguridad con daño para la intimidad de personas o para la economía (a menudo evitables por una gestión menos deficiente o por usuarios finales más concienciados, cabría añadir).

4 No sólo supone motivo de preocupación la fragilidad de los sistemas tan críticos para la sociedad sino también la entidad de los actores dispuestos a aprovecharla. Durante los años setenta y ochenta empresas e instituciones debían hacer frente además de a espionaje industrial o interestatal a empleados desleales y "hackers" más estimulados por el reto intelectual que por hacer daño en sí (Sterling, 2008) pero, como se dice en "Underground", basado en experiencias del propio Julian Assange, se trata de un "mundo hoy en día desaparecido". Actualmente hay en la delincuencia informática todo un "ecosistema" fuertemente especializado que se extiende ajeno a fronteras capaz de cometer delitos nuevos (phishing, ataques de denegación de servicio,...) además de participar en la comisión de los "tradicionales" (Ablon, 2014). Este sector, cuyo coste se estima en millones de dólares, sería al hacker prototípico encerrado en su cuarto lo que un sistema de producción en cadena "just in time" a un artesano del siglo XIX. El "hacktivismo", del que son caras visibles Wikileaks, Anonymous y LulzSec también parece capaz de dar más de un dolor de cabeza a los administradores tanto de organismos oficiales como de empresas. En cuanto a agresores tradicionales, aunque la posibilidad de que grupos terroristas lleven a cabo ciberataques está muy cuestionada (Awan, 2014) sí que consta el uso que hacen de Internet para financiación y reclutamiento. Por otra parte, como demuestra el caso de Edward Snowden sigue siendo necesario contar con la posibilidad de empleados desleales así como tener en cuenta lo que actualmente se ha dado en llamar APT (Advanced Persistent Threat: Amenaza Persistente Avanzada), actores muy sofisticados con gran cantidad de medios a su disposición. Con un Estado por detrás o no, su objetivo es la obtención de información o la disrupción del funcionamiento de una empresa, un organismo público o incluso la actividad económica entera de un país. Un problema adicional supone la expansión transnacional del nuevo ámbito, ajeno a fronteras y, por tanto, a sistemas judiciales. No sólo hay dependencia tanto de productos como de servicios ubicados en otros países sino que también los accesos hostiles pueden venir aparentemente de cualquier punto del globo (e incluso de varios simultáneamente) y la facilidad para enmascarar su procedencia real hace complicada la atribución a un atacante. También son motivo de preocupación las infraestructuras de carácter estratégico, carácter que, como muestra la amplitud del "Catálogo de Infraestructuras Críticas" elaborado en España, alcanza a una gran cantidad de sectores que a menudo han demostrado ser objeto de ataques o incursiones. Debido a los procesos de privatización una parte importante (energía, transportes, comunicaciones,...) se encuentra en manos privadas, lo cual conduce a la pérdida de control directo que lamenta Richard Clarke, responsable de seguridad en la administración estadounidense durante varios años, en su libro "Guerra en la Red". Esta preocupación se hace particularmente patente con el discurso en 2012 del exdirector de la CIA y secretario de Defensa estadounidense Leon Panetta en el que

5 habla de un "Pearl Harbour digital": "a cyber Pearl Harbor; an attack that would cause physical destruction and the loss of life." ("un Pearl Harbour digital: un ataque que causaría destrucción física y pérdida de vidas" (Panetta, 2012). Por otro lado, el reputado experto Bruce Schneier muestra su escepticismo y su desconfianza ("There is an enormous amount of money and power that results from escalating a cyber war arms race": Hay una enorme cantidad de dinero y poder que resulta de una escalada en la carrera de ciberarmas) (Schneier, 2013) ante las consecuencias de una respuesta equivocada ante esta situación de inseguridad. A pesar de que las referencias anteriores son del ámbito anglosajón, en lo que respecta a desarrollo y, por tanto, dependencia tecnológica, la situación europea y en particular la española no es muy distinta: En el ranking de desarrollo de administración electrónica que elabora Naciones Unidas 13 de las 25 primeras naciones son miembros de la UE y España ocupa el puesto número 12 global (aunque en el informe eespaña 2014 que elabora la Fundación Orange relativo a sociedad de la información ocuparía el puesto 16 de entre las naciones europeas). Sin embargo, a diferencia del caso estadounidense, gran parte del impulso en cuanto a seguridad informática no viene de los Estados, sino de instancias comunitarias y no hay una retórica bélica tan patente. Para hacer frente a esta situación se han tomado medidas desde el campo de la tecnología. Se crean continuamente nuevos productos y servicios (antivirus, firewalls, sistemas de detección...), se insiste en la consideración de la seguridad del producto en todas las fases de diseño, producción y mantenimiento, se desarrolla la informática forense para el análisis de situaciones de intrusión: según la consultora Gartner el gasto mundial en seguridad informática habrá alcanzado en 2013 un total de millones de dólares, partiendo de en Siendo insuficientes las medidas técnicas ha sido necesario también adoptar jurídicas y organizativas. Además de dotar de mejores medios a cuerpos de policía, judiciales y servicios de inteligencia progresivamente se han ido formando unidades especializadas: el Grupo de Delitos Telemáticos de la Guardia Civil, la Fiscalía de Criminalidad Informática, el EC3 (European Cyber Crime Centre de Europol,...), etc. En el ámbito militar se ha considerado de tanta importancia el nuevo dominio que en Estados Unidos se ha creado el mando USCYBERCOM. De manera similar, en España se cuenta con el Mando Conjunto de Ciberdefensa. Por su parte, la OTAN ha creado un "Centro Conjunto de Excelencia en Ciberdefensa" en Tallinn (Estonia). En el campo jurídico se han llevado a cabo procesos regionales de homogeneización. De esta cooperación han surgido la tipificación coordinada en los ordenamientos jurídicos nacionales como delitos de actos que actualmente llamamos cibercrímenes y el establecimiento de acuerdos de colaboración en cuanto a su persecución. Un hito en este sentido es la firma del Convenio de Budapest de Cibercrimen impulsado por el Consejo de Europa que no solo ha establecido criterios comunes en cuanto a delitos (penetración de sistemas, ataques contra la propiedad intelectual) sino que también ha

6 clarificado con vistas a su persecución judicial conceptos como botnets, ataques DDoS,... Aun sin haber sido firmado por Rusia, un actor clave en el ámbito de la ciberseguridad, sí ha conseguido la adhesión de, además de casi todos los miembros de la Unión Europea, varios países no miembros como son son Australia, Japón y Estados Unidos. Por otra parte se busca mejorar la comprensión del usuario final así como del personal encargado del mantenimiento de los sistemas informáticos con vistas a la asunción de una "conciencia de ciberseguridad": anular las vulnerabilidades técnicas aprovechables por los atacantes y evitar las formas de actuar que introducen riesgo es básico para reducir la cantidad de equipos infectados. En el Reino Unido se ha experimentado con la creación de pequeños grupos llamados WARPs (Warning, Advice and Reporting Points) (Centre for the Protection of National Infrastructure) orientados a sectores muy específicos cuya función es contribuir a esta divulgación. En 1988, a causa del incidente del "gusano Morris" (un programa informático autorreplicable que paró un 10% de la Internet del momento) se decidió crear un equipo especializado, el CERT/CC (Computer Emergency Response Team/Coordination Center) en la Universidad Carnegie Mellon en Pittsburgh, el cual sigue siendo hoy en día un punto de referencia en la gestión de este tipo de incidentes. Se han constituido equipos similares en gran número de países y atendiendo tanto a una sola empresa u organismo como a empresas u organismos de un sector (banca, telecomunicaciones, universidad) o a todo un país. En el foro FIRST (Forum of Incident Response and Security Teams), creado como punto de contacto global para CSIRT de todo el mundo hay actualmente 304 entidades dadas de alta. Las funciones que prestaban han ido aumentando con los años: de sólo resolver emergencias puntuales se ha centrado el foco más que en aquellas que tienen un origen fortuito en aquellas que tienen relación con un actor externo. Se ha buscado pasar de un carácter reactivo a uno preventivo y proactivo que también facilite la "resiliencia", entendida como la capacidad de sobreponerse a un incidente, en este caso de seguridad. La tendencia es la institucionalización, que ha llevado a la creación de estructuras estables y permanentes en casi todos los países desarrollados y, con el apoyo de Naciones Unidas, en países de todos los continentes. En cada uno de los países en que surgen su desarrollo se ve impulsado tanto por políticas públicas a nivel estatal como por organizaciones internacionales. Es el caso de la Unión Europea y otras regionales, la OTAN, una organización de carácter económico como es la OCDE y la ITU (International Telecommunication Union), una agencia de Naciones Unidas de carácter técnico. En el caso español, la diversidad funcional y administrativa ha llevado a la aparición de varios organismos, a nivel nacional (CCN-CERT, el Servicio de Respuesta a Incidentes para Infraestructuras Críticas y Operadores Estratégicos,...) y a nivel autonómico (Andalucia -CERT, GV-CERT y CatCERT), así como académicos (IRIS-CERT) y militares (CERT- FA), sectoriales y orientados al público en general. Aunque caben líneas de actuación más agresivas (y de hecho se están tomando, con servicios de inteligencia llevando a cabo

7 vigilancias masivas y contratistas de defensa adquiriendo software que aproveche vulnerabilidades de productos informáticos en el mercado negro, lo que evidentemente, hará que desde el Estado relacionado no se haga nada por reportarlas) este artículo se centrará en una visión "defensiva" e institucionalista. Existen CSIRT privados, especialmente de grandes fabricantes (Microsoft, CISCO, PayPal, etc.), orientados a responder ante problemas relacionados con sus productos o servicios, y grupos de software libre como ocert, que se centran en resolver incidencias que afectan a productos basados en Linux, OpenOffice, etc, pero a lo largo de este artículo se prestará más atención a los institucionalizados, que cuentan con el respaldo de estados, organizaciones transnacionales o entes públicos.

8 DEFINICION Según ENISA (European Network and Information Security Agency), la agencia de la UE dedicada a la seguridad informática, un CSIRT es "un equipo de expertos en seguridad de las TI cuya principal tarea es responder a los incidentes de seguridad informática. El CSIRT presta los servicios necesarios para ocuparse de estos incidentes y ayuda a los clientes del grupo al que atienden a recuperarse después de sufrir uno de ellos." (ENISA, 2006) Dado que el término CERT fue registrado por la Universidad Carnegie Mellon, se ha preferido usar el término CSIRT, por ser más específico. Otros son CSIRC (Computer Security Incident Response Center), SOC (Security Operation Center), IRT (Incident Response Team), IIRT (Investigation and Incident Response Team), IHT (Incident Handling Team)... De meros grupos compuestos por técnicos se ha pasado a la interlocución con policías, organismos de supervisión, etc y también con proveedores de material y servicios de informática y telecomunicaciones y administradores de infraestructuras críticas. La compartición de información no se hace solo en el seno de un país sino que también se hace a través de fronteras y los CERT juegan el papel de ISAC (Information Sharing & Analysis Centers : Centros de Análisis y Compartición de Información), como puntos de contacto, necesarios para formar sistemas de alerta temprana que funcionan las 24 horas del día. Entre las características que permiten clasificar los CSIRT están el público al que dan servicio y la relación de exclusividad con el mismo, su número y la distribución geográfica: Públicos: Generalmente de titularidad pública, no limitan el acceso a sus recursos (formación, consultas, noticias...). Privados: Dan servicio a clientes que tienen un contrato individual o colectivo. Individuales: Tratan con una única organización cliente (generalmente el CSIRT pertenece orgánicamente a una entidad que es su "cliente interno") Sectoriales: Dan servicio a un grupo de empresas u organizaciones académicas, industriales, bancarias... y se especializan en su problemática y en los sistemas que utilizan. Entre ellos caben destacar por su importancia en cuanto a seguridad: Administrativos (prestan servicio a las administraciones de un país, usualmente participando de manera directa en la gestión la estatal y, simplemente asesorando a las de nivel inferior) Militares. Generales: Asesoran o informan a cualquier persona o grupo. Regionales: Atienden un área inferior a la nacional como es el caso de los CERT autonómicos establecidos en España (Andalucia CERT, CesiCat,...) Nacionales: Atienden a un único país y suelen representarlo ante los organismos de coordinación de nivel superior.

9 Supranacionales: Responden de manera coordinada a situaciones de carácter global. FUNCIONES El CERT/CC estadounidense agrupa los posibles servicios que presta un CERT en activos, proactivos, de gestión de calidad y de manejo de objetos. Servicios reactivos: Utilizando la comparación con los equipos contra incendios, estos servicios serían los primordiales, consistentes en conocer del incidente, por el aviso de un tercero o por vigilancia y monitorización, y tratarlo hasta extinguir el problema. Servicios proactivos: Destinados a evitar en el público objetivo incidentes o a reducir su impacto en el caso de darse mejorando su infraestructura y sus procesos de seguridad. Manejo de evidencias: Los archivos o elementos que forman parte del ataque (utilidades, virus, troyanos,...) son estudiados con vistas a conocer su forma de actuar y a encontrar formas de contrarrestarlos. Servicios de gestión de calidad: Dada la relación con equipos similares y la orientación de servicio público de muchos de ellos, resulta importante que el conocimiento obtenido afrontando alertas e incidentes pase a la ciudadanía o a los actores implicados en la seguridad de forma que mejore no sólo la tecnología sino también las prácticas en cuanto a la seguridad que la usa. ETAPAS En los más de 25 años de existencia de los CSIRT las posibles funciones a desempeñar y las relaciones con otros equipos similares han aumentado. En esta evolución se pueden distinguir las cuatro fases que identifica el modelo de Kruidhof (Kruidhof, 2014): a) Servicios reactivos b) Resiliencia contra amenazas y vulnerabilidades c) Proactividad y prevención d) Conexión de CERT colaboradores Una quinta etapa sería la coordinación y el intercambio automático de datos entre equipos tanto públicos como privados (especialmente los adscritos a fabricantes de productos de uso masivo) y el establecimiento de responsabilidades con un soporte jurídico que permita intercambiar datos más allá de fronteras (no olvidemos los distintos estándares que imponen las directivas europeas de la regulación estadounidense). En ese sentido de no solo estimular la colaboración voluntaria sino también de marcar unos cumplimientos mínimos va la obligación que imponen las directivas de la UE de tener un CSIRT en cada país con capacidades de interlocución para atender emergencias. En Estados Unidos existe la obligación de establecer un equipo así en cada agencia gubernamental así como de las reportar incidencias que afecten datos de carácter personal al US-CERT, el CERT global.

10 En el caso de los productos de software libre cuyo uso es masivo o básico (piénsese en un sistema operativo como Linux, un servidor web como Apache o sistemas de bases de datos como PostgresQL o MySQL, que forman la base de un gran número de aplicaciones) se da un problema de falta de interlocución. Salvo en el caso de que el producto esté a cargo de una empresa (por ejemplo MySQL, cuyo desarrollo asume la empresa Oracle o la distribución de Linux RedHat, que tiene su propio CSIRT) o una fundación bien asentada (como es el caso de la Apache Foundation, que tiene a cargo OpenOffice, Apache y un gran número de programas) no existe un equipo que dé soporte como en el caso del software privativo, que tiene detrás un servicio, a menudo de 24*7*365, a cargo de la empresa proveedora o como parte de un contrato de mantenimiento. Ante esta situación han surgido iniciativas como el grupo ocert, que pretende desempeñar estas funciones, y apoyos por parte del gobierno estadounidense para mejorar la seguridad de este tipo de software, lo que no ha evitado casos como el del fallo de seguridad conocido como Heartbleed, que afectó al software OpenSSL, que implementaba funciones criptográficas y que formaba parte de varias versiones de Linux y de Android. SITUACION EN ESTADOS UNIDOS En los años setenta surgen los primeros estudios sobre seguridad informática en los que no se consideraba la posibilidad de que hubiera atacantes desde el exterior de la red local. Sin embargo, ya desde la NSA se elaboraban directrices en cuanto a seguridad informática que pasaron al Departamento de Defensa recogidas en el "Libro Naranja" (TCSEC: Trusted Computer System Evaluation Criteria). Probablemente la conciencia de que las infraestructuras pueden ser atacadas usando medios informáticos venga ya de cuando la propia CIA (Wilson) habría provocado un incidente en un gaseoducto en Siberia. Un programa de control automático desarrollado ex-profeso para crear una presión peligrosa en las válvulas se llevó a Canadá con la intención de que fuera robado por agentes soviéticos. Este software fue robado y tras ser instalado aparentemente fue la causa de una monumental explosión en el gaseoducto trans-siberiano en junio de Entre 1986 y 1988 saltó a la opinión pública el caso narrado en el libro "Cuckoo's egg" de Clifford Stoll (Stoll, 2000), un astrónomo que descubrió de manera fortuita en sus sistemas el espionaje que llevaba a cabo en ordenadores de la red de defensa estadounidense un "hacker". Más que por la descripción de la infraestructura técnica del momento resulta de interés ver en las impresiones de Stoll cómo la colaboración entre organizaciones (FBI, CIA,...) no fue la óptima por intereses de política interna o "pudor" por revelar errores pero sí que lo fue la que surgió entre técnicos que ni siquiera se conocían en persona (algo lógico teniendo en cuenta que el hacker operaba desde la antigua República Federal Alemana y que fue necesario recurrir a técnicos de las universidades cuyos sistemas utilizaba) pero que tomaron conciencia de la necesidad de resolver un problema que afectaba a

11 todos. Como resultado del clima de preocupación generado, el caso del "Gusano Morris" llevó en 1988 a la Defence Advanced Research Projects Agency (DARPA) a establecer el primer CSIRT, el CERT Coordination Centre (CERT/CC), en la universidad Carnegie Mellon en Pittsburgh (Pennsylvania). Adscrito al SEI (Software Engineering Institute: Instituto de Ingeniería del Software), sigue desempeñando esa función de investigación, divulgación, etc hoy en día. Por su parte, en atención a posibles incidentes en infraestructuras críticas, el Departamento de Energía creó el Computer Incident Advisory Capability (CIAC). Aparecieron otros equipos similares en Francia, en la NASA, en la Fuerza Aérea USA,... lo que hizo que en 1990 se creara el FIRST como foro internacional. La seguridad informática no despierta sólo interés en sectores de defensa o de inteligencia. Particularmente en los años anteriores a la generalización masiva del uso de ordenadores había una gran preponderancia de universidades e instituciones públicas de investigación liderando el sector. Así, el National Institute of Standards and Technology (NIST), adscrito al Departamento de Comercio, fue el que por el Acta de Seguridad Informática de 1987 tenia asignada la seguridad de los sistemas federales no clasificados. En el 2002 también quedó encargado, aunque junto a la Office of Management and Budget (OMB), que depende directamente de la Presidencia, por la FISMA (Federal Information Security Management Act) de desarrollar estándares y políticas en cuanto a ciberseguridad para ser aplicados por las agencias federales el año 2002 (por ejemplo, la Minimum Security Requirements for Federal Information and Information Systems publicada en 2006) El DHS (Department of Homeland Security: Departamento de Seguridad Interior), surgió el año 2002 de la reorganización en materia de seguridad que lanzó la administración Bush en respuesta a los ataques del 11-S con la intención de responder a posibles ataques en el ámbito interior. Cuenta con la división nacional de ciberseguridad National Cyber Security Division (NCSD), encargada del programa de gestión de riesgos y requisitos de ciberseguridad, que habrían de aplicarse no sólo a agencias públicas, sino también al sector privado en caso de haber normativa en ese sentido. En 2003 esta división creó el US-CERT como punto focal para entidades federales y no federales con un sistema funcionando las 24 horas del día y los 7 días de la semana. Ese mismo año se publicó la Estrategia Nacional para Segurizar el Ciberespacio con vistas a que el sector privado mejore la infraestructura crítica en cuestión de seguridad informática. En el ámbito militar, en 2009 se estableció el CiberComando de los Estados Unidos (USCYBERCOM) bajo el mando del Comando Estratégico de los Estados Unidos (USSTRATCOM) y asumiendo varias agencias ya existentes. Su función es defensiva en el sentido de dirigir las operaciones y defender las redes de información especificadas por Defensa, pero manteniendo abierta la puerta de llevar a cabo "todo el espectro de operaciones militares en el ciberespacio". Su primer comandante fue el general Keith Alexander, que simultaneó el mando con la dirección de la NSA, dualidad que se

12 ha mantenido con su sucesor el almirante Michael Rogers. INICIATIVAS POR PARTE DE LA OTAN Los ataques de denegación de servicio contra sitios gubernamentales y financieros que sufrió Estonia, miembro de la OTAN (y de la Unión Europea) desde 2004, atribuidos a Rusia con motivo de la retirada en 2007 de una estatua al soldado soviético, obligaron a reexaminar la doctrina OTAN en cuanto al concepto de ataque y si implicaba el recurso al Artículo V del Tratado de Washington, relativo a la defensa colectiva. Aunque ya había surgido el tema en la cumbre de Praga de 2002, se había vuelto insistir en la de Riga de 2006 y en 2008 se había aprobado una primera Política en Ciber Defensa, la cumbre de Lisboa de 2010 fue el punto de partida para la inclusión de las capacidades de ciberdefensa en el Proceso de Planificación de Defensa de la OTAN. Ampliando la visión de la mera defensa territorial se considera desde entonces la necesidad de profundizar en la capacidad de "prevenir, detectar, defenderse y recuperarse de ciberataques", no sólo en la propia OTAN sino como una obligación de sus estados miembros, cuyas capacidades en este sentido varían de manera muy notable de unos a otros. En 2011 se aprobó una segunda Política de CiberDefensa, que insiste en la coordinación de esfuerzos y definió un plan de implementación. Precisamente es en Estonia, uno de los países con mayor penetración de Internet y que ya había solicitado albergarlo, donde se decidió ubicar en 2008 el Centro de Excelencia Cooperativo de Ciberdefensa en la capital, Tallin. Aun sin ser parte de la estructura de la OTAN está acreditado por la misma y sostenido por varios países miembros, entre ellos España. Tras la cumbre de Chicago de 2012 se decidió el establecimiento de la NCIA, la Agencia de Información y Comunicaciones de la OTAN, que unificó todas los organismos relacionados. Asignado a ella se decidió crear un equipo de respuesta, la Computer Incident Response Capability (NCIRC), ubicado en Mons (Bélgica) y dotado con 58 millones de euros para la adquisición de tecnología punta en materia de seguridad, en principio con intenciones puramente defensivas. INICIATIVAS EN EUROPA En Europa el primer CERT fue el de los Países Bajos, surgido en Llamado SURFnet-CERT estaba adscrito a un proveedor académico de Internet. Grupos similares fueron surgiendo, principalmente en los países europeos más a la vanguardia pero sin una coordinación transfronteriza, salvo en el caso del TERENA- CSIRT, un equipo creado en el 2000 para apoyar la red de investigación transeuropea en materia de Internet TERENA (Trans- European Research and Education Networking Association). No es hasta 2004 que se funda la ENISA (European Network and Information Security Agency) para promover un mayor nivel de seguridad informática así como una cultura de seguridad para ciudadanos, empresas y sector público en la Unión. En 2006 siguió la

13 "Estrategia para una Sociedad de la Información Segura", incluida en el marco de la estrategia i2010, relativa al desarrollo de la sociedad de información en Europa que proponía un estudio de las políticas nacionales y de la posibilidad de coordinación. Para paliar la desprotección de infraestructuras clave se creó en el 2004 el Programa Europeo de Protección de Infraestructuras Críticas (PEPIC) y la Directiva 2008/114 que dejan en manos de los Estados y de los operadores la responsabilidad de proteger las infraestructuras críticas. Sin embargo, se determinó el desarrollo de una serie de obligaciones y de actuaciones a incorporar a las legislaciones nacionales. Por otra parte, se ha definido un partenariado público privado en 2009, el European Public-Private Partnership for Resilience (EP3R), con la intención de crear un entorno transeuropeo capaz de incorporar a todos los actores involucrados. La reforma de Telecomunicaciones de 2009 introdujo la obligación a los operadores de reportar brechas de seguridad a las autoridades nacionales. Estas, además, deben reportar a ENISA los incidentes que puedan extenderse a través de las fronteras, lo que incidió en la necesidad de que en cada Estado se cree un equipo especializado al que se encargue esa responsabilidad. Esto se aplicó en 2012 a las propias instituciones de la UE con el establecimiento de un pequeño equipo, el CERT-EU, que lleva funcionando desde 2012 centrado en la respuesta a posibles incidentes de seguridad en su ámbito. El European Cybercrime Centre (EC3) fue creado en 2013 y adscrito a Europol, el órgano de coordinación de la lucha contra la delincuencia de la Unión Europea. Esta línea relativa al esfuerzo policial forma, junto con la de defensa y la de "agenda digital", dedicada al desarrollo de la "sociedad de la información", la base de la estrategia de ciberseguridad que se publicó en 2013 con el título de "Cyber security Strategy of the European Union: An Open, Safe and Secure Cyberspace". Con la intención de que la desarrolle una directiva que se aplique en los Estados miembros hace especial énfasis en la "resiliencia" y pretende estimular el establecimiento de CERT nacionales así como el desarrollo de capacidades de ciberdefensa con la colaboración con las agencias europeas de este campo (ENISA, Europol/EC3 y la Agencia Europea de Defensa). Fuera del marco de la Unión Europea cabe destacar el Convenio sobre Cibercriminalidad desarrollado por el Consejo de Europa en 2001 por su influencia más allá de los límites del continente. Al ser el primer tratado internacional en este sentido se ha convertido en un estándar a la hora de definir delitos, formas de proceso y de colaboración. Sin embargo, el hecho de que el Consejo de Europa sea una organización internacional de cooperación en ámbitos legales, políticos y de derechos humanos sin la capacidad de vincular a sus 47 miembros con que cuenta la Unión Europea se da el caso de que varios de sus miembros (Rusia, Turquía, Luxemburgo...), algunos incluso también miembros de la UE, no lo han ratificado. Por su parte, la OSCE (Organización para la Seguridad y la Cooperación en Europa), que agrupa además de a Estados Unidos y Canadá a todos los países europeos, Turquía y varios países exsoviéticos, se limita a apoyar esfuerzos policiales en esta materia,

14 especialmente en países no pertenecientes a la Unión Europea y a fomentar la cooperación voluntaria en materia de seguridad informática. En ese sentido la Decisión 1106 de 2013 marca el compromiso de establecer normativas nacionales eficaces para la cooperación y nombrar puntos de contacto para facilitar el diálogo. LAS INICIATIVAS DE ORGANIZACIONES TRASNACIONALES El foro que componen algunos de los países más desarrollados, el G7, o G8 durante la presencia de Rusia, que incluye a Alemania, Canadá, Estados Unidos, Francia, Italia, Japón, Reino Unido y que cuenta con una representación de la UE desde 2001 cuenta con un grupo que se reúne tres veces al año dedicado a la lucha contra el terrorismo, el crimen internacional y el delito de alta tecnología. Además, el Subgrupo sobre Crímenes de Alta Tecnología, que pasó a ocuparse de todo lo relativo a Internet, cuenta con una red de contactos relativos a este tipo de criminalidad que funciona en modo 24 * 7 y que se extiende también a países no miembros de todos los continentes. La OCDE es una organización centrada en el desarrollo económico y compuesta por democracias occidentales (EEUU, Canadá, Australia y 21 miembros de la UE, entre ellos España) o con una fuerte conexión con Occidente (Turquía, Japón, México, Corea del Sur, Chile). Enfocada al apoyo del comercio, también ha elaborado guías y estudios relativos a la seguridad informática, obviamente más desde el punto del desarrollo y la generación de confianza en el sector tecnológico y en el comercio electrónico que desde el punto de vista de la defensa o de la seguridad. Preocupada por la privacidad en relación a la informática desde los años ochenta, ya en 1992 emitió las primeras recomendaciones para la elaboración de políticas de ciberseguridad, siendo una de las fundamentales las recogidas en el documento Directrices de la OCDE para la Seguridad de Sistemas y Redes de Información: hacia una cultura de Seguridad de 2002, que posteriormente se revisó para actualizarlo a la nueva situación en Otro foro internacional que también elabora recomendaciones para sus miembros es la APEC (Cooperación Económica en Asia y el Pacífico), que comprende 21 economías que dan a la cuenca del Pacífico. Cuenta con un grupo de trabajo para informática y telecomunicaciones ( TEL ) que promueve el acceso a Internet por parte de los ciudadanos y ha definido una Estrategia APEC de Ciberseguridad con puntos como la creación de una cultura de ciberseguridad y la compartición de experiencia y formación en esa materia. LAS ORGANIZACIONES GLOBALES: ONU/ITU E INTERPOL La ITU, creada como Unión Internacional de Telegrafía en 1865, se adscribió al sistema de Naciones Unidas en Con un status de

15 agencia especializada de naturaleza mixta, en la que además de los Estados participan instituciones académicas y empresas (los miembros sectoriales ) como por ejemplo operadoras de telefonía, y encargada de regular y planificar las telecomunicaciones a nivel mundial, busca la posibilidad de tomar parte también en la regulación de Internet y, en esa línea, promueve iniciativas en pro de la difusión de Internet y la ciberseguridad que cumplan las propuestas que se vienen haciendo por parte de la propia Asamblea General desde comienzos de siglo. Es en ese sentido que en 2007 lanzó su Global Cybersecurity Agenda como un marco de cooperación internacional en materia de ciberseguridad. En 2009 entró en funcionamiento como un partenariado público/privado la iniciativa IMPACT (International Multilateral Partnership Against Cyber Threats) que ha establecido un centro en Malasia para dar apoyo a los miembros de la ITU así como a otras organizaciones de Naciones Unidas, tanto en materia de formación y cooperación como mediante el GRC (Global Response Centre), un centro de respuesta ante emergencias. IMPACT también se dedica a asesorar a países durante la creación de sus propios equipos de respuesta, habiendo prestado ese servicio a 50 países en África, América, Asia y en Europa: Albania, Armenia, Chipre, Macedonia, Monaco, Montenegro y Serbia, ninguno de los cuales, con la excepción de Chipre, bajo el paraguas de la UE. Interpol (International Criminal Police Organization), creada en 1923 e independiente de Naciones Unidas, aunque con un número de estados miembros similar, es una organización internacional dedicada a la cooperación policial que creó ya en el año 2000 su High Tech Crimes Unit. En 2014 ha abierto en Singapur su Complejo Mundial para la Innovación, que alberga el Centro de Crimen Digital, que llevará a cabo análisis forense y en tiempo real de amenazas, y será un centro de coordinación e intercambio de información.

16 CONCLUSION Entre los parámetros a considerar para la evaluación de la disposición en cuanto a ciberseguridad de un país suelen aparecer el desarrollo de una estrategia nacional y la existencia de un CERT nacional como forma de interlocución de otros países y como mecanismo de protección y de concienciación de la ciudadanía. Esta persistencia en considerar el Estado como una pieza clave lleva a Nye a hablar de un cierto regreso del Estado - securing cyberspace has definitely entailed a return of the state but not in ways that suggest a return to the traditional Westphalian paradigm of state sovereignty - (Nye, 2010) pero, salvo en el caso de naciones con el peso de Estados Unidos, Rusia o China, es evidente la iniciativa de organizaciones internacionales como UE y OTAN. Dotadas de atribuciones que van mas allá de la mera elaboración de estudios y recomendaciones, especialmente en el caso de la UE, elaboran indicaciones para cuyo seguimiento los Estados, dada la necesidad de inmediatez en la respuesta que hay en el campo de la ciberseguridad, se ven obligados a asignar recursos y a modificar sus marcos jurídicos. Aun así, la situación actual sigue planteando la enorme dificultad para que, ante un incidente originado fuera de las fronteras de un país, el equipo de ese país encargado de hacerle frente pueda dar una pronta respuesta hasta el punto de cerrar la red criminal, o en caso de venir el incidente causado por un actor estatal, se pueda recurrir a un jus in bello electrónico. La industria tecnológica, incluyendo en ella no sólo a fabricantes de material electrónico sino también a operadoras de telecomunicaciones y a proveedores de servicios como Google o compañías de seguridad informática, también juega un papel importante ya que es la que crea los servicios y productos sobre los que tienen lugar las incidencias de seguridad, por lo general aprovechando las vulnerabilidades en cuyo desarrollo se ha incurrido. Razones de imagen les llevan a oponerse a la posibilidad de que se imponga la obligación de hacer públicas las brechas de seguridad y a preferir la comodidad de que ciudadanos, empresas y gobiernos acepten las condiciones de uso de su producto AS IS sin tener mayores obligaciones una vez vendido el producto. La aparición del software libre (o software de fuentes abiertas o de código abierto ) ha generado una situación en la que parte de la infraestructura del ciberespacio ha sido desarrollada por personas o instituciones no remuneradas a las que, obviamente, no se puede exigir una responsabilidad en cuanto a su mantenimiento (la cual, prácticamente tampoco se le exige al software comercial que tiene detrás una estructura comercial de soporte). Si bien desde un Estado (o desde la Comisión Europea) es posible tener interlocución con Microsoft o Apple, por ejemplo, la frase atribuida a Kissinger respecto a Europa puede reformularse como A quién llamo si quiero hablar con el software libre? sin demasiada dificultad. Por tanto, resulta necesaria la creación de entidades capaces de dar respuesta 24 * 7 a los incidentes que se produzcan en torno a este tipo de software y, generen un mínimo de seguridad en cuanto a su uso.

17

18 BIBLIOGRAFIA Ablon, Lillian, Libicki Martin y Golay, Andrea. Markets for Cybercrime Tools and Stolen Data. Hackers Bazaar, 2014, disponible en: 0/RR610/RAND_RR610.pdf (consultado 8/Agosto/14) Assange, Julian y Dreyfus, Suelette, Underground, Seix-Barral, Barcelona, Awan, Imram, Debating The Term Cyber-Terrorism: Issues And Problems, Internet Journal of Criminology, 2014, accesible en: _Term_Cyber-Terrorism_IJC_Jan_2014.pdf (consultado 6/Agosto/14) Burr, William, Ferraiolo, Hildegard y Waltermire, David. NIST and Computer Security, disponible en: pub_id= (consultado 2/Agosto/14) Centre for the Protection of National Infrastructure. CSIRTs and WARPs: Improving Security Together, disponible en: (consultado 26/Julio/14) Clarke, Richard A. y Knake, Robert K., Guerra en la red. Los nuevos campos de batalla. Ariel, Barcelona, Cole, David. We Kill People Based on Metadata, New York Review of Books, 2014, disponible en (consultado 28/Julio/14) Cole, David."The Johns Hopkins Foreign Affairs Symposium Presents: The Price of Privacy: Re-Evaluating the NSA", disponible en: (consultado 29/Julio/14) Consejo de Europa. Convenio sobre cibercriminalidad del Consejo de Europa : disponible en Consejo de Europa. Signatarios del Convenio sobre cibercriminalidad : disponible en NT=185&CM=8&DF=&CL=ENG (consultado 29/Agosto/14) European Network and Information Security Agency. Cómo crear

19 un CSIRT paso a paso, 2006, disponible en : (consultado 9/Julio/14) European Network and Information Security Agency. CSIRT Services, disponible en : sirt-services (consultado 29/Julio/14) Fundación Orange. eespaña 2014 en formato PDF. 2014, disponible en : pdf (consultado 29/Julio/14) Holt, Matthew, Aligning National Cyber Security Strategies to International Guidance: A First Step Toward Improving Incident Response Capabilities Across NATO, Best Practices in Computer Network Defense: Incident Detection and Response (Hathaway, ed), IOS Press, 2014, disponible en: (consultado 4/Agosto/14) Joyanes Aguilar, Luis. "Introducción. Estado del arte de la ciberseguridad", Ciberseguridad. Retos y Amenazas a la Seguridad Nacional en el Ciberespacio, Cuadernos de Seguridad, 149 (2011) Instituto Español De Estudios Estratégicos Kruidhopf, Olaf. Evolution of National and Corporate CERTs Trust, the Key Factor. Best Practices in Computer Network Defense: Incident Detection and Response (Hathaway, ed), IOS Press, 2014, disponible en: dhof_-_evolution_of_national_and_corporate_certs.pdf (consultado 4/Agosto/14) Miller, Paul. Metadata for the masses, 1996, disponible en (consultado 6/Julio/14) Naciones Unidas. UN E-Government Survey 2014, accesible en: (consultado 4/Agosto/14) National Institute of Standards and Technology. Early Computer Security Papers ( ), Introduction : disponible en (consultado 2/Agosto/14) National Institute of Standards and Technology. Minimum Security Requirements for Federal Information and Information

20 Systems, disponible en : (consultado 5/Agosto/14) Nye, Joseph S. Cyber Power. The Future of Power in the 21st Century, disponible en : (consultado 5/Agosto/14) Organización para la Cooperación y el Desarrollo Económico. The Role of the 2002 Security Guidelines: Towards Cybersecurity for an Open and Interconnected Economy : disponible en (consultado 8/Agosto/14) Panetta, Leon. Remarks by Secretary Panetta on Cybersecurity to the Business Executives for National Security, New York City Accesible en transcriptid=5136 (consultado 5/Julio/14) Schneier, Bruce. Carry On: Sound Advice from Schneier on Security. Wiley, Sertvija, Xavier. Ciberseguridad, Contrainteligencia y Operaciones Encubiertas en el programa nuclear de Irán: De la neutralización Selectiva de objetivos al 'cuerpo Ciber' Iraní, Instituto Español de Estudios Estratégicos. 2013, disponible en: (consultado 9/Agosto/14) Sterling, Bruce. La Caza de Hackers, Ley y Desorden en la Frontera Electrónica. Ajec. Granada, Stoll, Cliff. Stalking the wily hacker, Communications of the ACM, Volume 31 Issue 5, May ACM (American Computing Machinery) New York Stoll, Cliff. The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage. Gallery Books, Unión Internacional de Telecomunicaciones. Understanding Cybercrime: Phenomena, Challenges And Legal Response, disponible en : D/Cybersecurity/Documents/CybcrimeE.pdf (consultado 2/Agosto/14) West-Brown, M. et al. Handbook for Computer Security Incident Response Teams (CSIRTs), 2003, disponible en: pdf (consultado 3/Agosto/14)