Análisis Situacional De La Ciberseguridad En Perú y Países Sudamericanos. Mario Alejandro Huaypuna Cjuno Escuela Profesional de Ingeniería de Sistemas Universidad Nacional de San Agustín Arequipa, Perú
[email protected]
Abstrac Abstract t . - This paper gathers information current and relevant
articles, reports, news and events by experts and specialized analysis and research companies all over the state governments, public and private companies and citizens it is generally reports in the field of cyber security or cyber security, with special focus on countries in South America and among them mainly to Peru.
Resumen.- El presente trabajo reúne información actual y relevante de artículos, reportes, noticias e informes especializados hechos por expertos y compañías de análisis e investigación, todo sobre el estado en el que se encuentra los gobiernos, empresas público y privadas y ciudadanos en general en el ámbito de la seguridad cibernética o ciberseguridad, dando un enfoque especial sobre países de Sudamérica y entre ellos principalmente a Perú. Palabras claves: Amenazas, Ciberataques, Ciberespacio, Ciberseguridad, Cibercriminal, Equipo de respuesta ante incidentes de seguridad cibernética (CSIRT), Infraestructura crítica (IC).
I.
INTRODUCCIÓN
La ciberseguridad es un elemento que ha venido tomando importancia desde la aparición de las amenazas, ataques o crímenes a través del ciberespacio, las cuales han ido acrecentándose con el tiempo y por el mayor uso que se le da al Internet. Ahora hay muchos casos en los que se roba información ha usuarios y organizaciones, sin que estos se hayan dado cuenta, o que se infiltren en sistemas de cómputo con el fin de sabotearlo y afectar a millones de usuarios. Por eso en muchas partes del mundo ven necesario tomar medidas al respecto, partiendo desde los gobiernos y entidades públicas, hasta aquellos usuarios de la internet, con el fin de frenar y disminuir la ola de inseguridad en todos los ámbitos donde se haga presente el uso de redes de cómputo, tecnologías de información y comunicaciones e Infraestructura critica en general, y así evitar poner en riesgo la seguridad de un país y a las organizaciones, entidades y usuarios en general. II.
TRABAJOS RELACIONADOS
Trabajos al respecto se han hecho a lo largo del año pasado y presente como es el caso de la PwC (España) quienes junto a expertos y especialistas han recogido la opinión e ideas de varias empresas e instituciones, sobre ciberseguridad y ciberdefensa, analizando la situación en presentaba en cada caso. Otro de los reportes que ha tomado la mira de los
expertos, es el Informe de ciberseguridad del 2016 del Observatorio de la Ciberseguridad en América Latina y el Caribe, una iniciativa del Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA) quienes han realizado un estudio de la realidad vivida en gran mayoría de países de Sudamérica y el Caribe. III. CIBERSEGURIDAD A. Que es ciberseguridad
Hoy muchos de los gobiernos han promulgado políticas de ciberseguridad, y de seguro habrán encontrado dificultades para identificar los conceptos, los límites y los perímetros de los asuntos a abordar. Ciberseguridad concierne a actividades orientadas a responder frente a amenazas. Esto se hace más complejo por el uso de tecnologías e Internet. Si hablamos de ciberseguridad hablamos de ataques, de entender quién nos ataca y el porqué de ello, así también de las tecnologías involucradas, y este último en mayor medida. [2] Ciberseguridad está relacionado directamente al ciberespacio, un entorno virtual en la que se agrupan y relacionan usuarios para ver páginas web, o realizar llamadas, usar el servicio de correo electrónico, o hasta mirar televisión online, y que además, hoy es el medio donde se desarrollan las actividades económicas, productivas y sociales de las naciones actuales. [1] En resumen se entiende por Ciberseguridad, como un conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y a los usuarios en el ciberespacio. [5, 10] B.
El ciberespacio, nuevo campo de batalla.
Según [5], el ciberespacio se presenta como un nuevo campo de batalla del siglo XXI, que no posee límites lí mites y es asimétrico. Se muestra como una colección de recursos que incluye Estados, negocios, organizaciones y personas los cuales competirán por controlarlo conduciendo inevitablemente a conflictos (ciberconflictos). [5] Hoy los delincuentes buscan ganancia ilegal, de modo que secuestran una parte del ciberespacio, [5] por ejemplo está el caso del ciber lavado, un nuevo enfoque de ocultamiento de acciones criminales [11]. También, los servicios de inteligencia buscan información útil para atacar a partes enemigas del ciberespacio y así obtener
acceso a esa información, [5] está el caso de los ciberataques ocurridos a agencias del gobierno de USA entre abril-junio de 2007 que acabaron con el robo de entre 10 y 20 terabytes de información. [6] Los militares buscan interrumpir las operaciones del enemigo, por ello atacan sistemas de sensores, logísticos, de comunicaciones y control en el ciberespacio enemigo, [5] como es el caso ocurrido en Georgia en 2008, donde por primera vez en la historia una operación militar fue acompañada de una serie de ciberataques a los sitios web del gobierno Georgiano y otras páginas comerciales. [9] Como podrán apreciar los conflictos pueden ser simples o muy complejos y nos revelan un panorama donde coexisten actores de diversas índoles, entre estos figuran organizaciones criminales, terroristas, extremistas, entre otros. [5, 8] C.
Equipos de respuesta ante incidentes de seguridad
Hoy es primordial que existan departamentos u entidades dentro de un estado que tengan la capacidad de responder frente a incidentes de ciberseguridad, [1] bajo esta necesidad se creó el Equipo de respuesta ante Incidentes de Seguridad Informática o CSIRT, por sus siglas en ingles que funciona como un equipo o una entidad dentro de una agencia que proporciona servicios y apoyo a una comunidad en particular con el fin de prevenir, manejar y responder a los incidentes de seguridad de la información. [3] Estos equipos están formados comúnmente por especialistas multidisciplinarios que actúan de acuerdo con los procedimientos y políticas predefinidos para responder rápida y eficazmente a los incidentes de seguridad y para reducir el riesgo de ataques cibernéticos. [3] D.
Infraestructuras Criticas
En la actualidad estamos acostumbrados a usar sistemas basados en el funcionamiento en red. Por tanto, no es posible asegurar el desarrollo y el bienestar social sin garantizar la seguridad y protección de las infraestructuras esenciales para el funcionamiento normal de la vida en sociedad, también conocidas como infraestructuras críticas nacionales y conjuntas, entre las que se incluyen las de la información, [1] ejemplo de ello es la administración, agua, alimentación, energía, espacio, instalaciones de investigación, salud, sistema financiero y tributario, tecnologías de la información y las comunicaciones, etc. [5] E.
Estrategia nacional de seguridad cibernética
Es necesario definir lo que es una estrategia o política nacional en materia de ciberseguridad, un término usado a lo largo de este trabajo. En primer lugar una estrategia o política nacional se resume como un asignador de responsabilidades [3] el cual define una visión completa de la ciberseguridad a nivel nacional, donde los actores son el propio gobierno y ministerios pertinentes los cuales deben coordinar acciones con los interesados relevantes, [12] es decir que los ministerios deben desarrollar fuertes lazos con el sector privado para crear un enfoque de colaboración, en particular con la energía eléctrica, las telecomunicaciones y las finanzas. [3] Los especialistas consideran que un gobierno nacional debe tener organizaciones de seguridad cibernética adecuadamente atendida que incluyan como mínimo un CSIRT nacional, [3] y policía capacitada en seguridad cibernética. [3, 12] Por
último, debe haber un esfuerzo para generar vínculos de cooperación con países vecinos y que contribuya al esfuerzo en conjunto para hacer que el ciberespacio sea más seguro. F.
Sobre las organizaciones en materia de ciberseguridad
En toda organización existe un administrador o administradores, y de ellos depende que la ciberseguridad en sus empresas sea desarrollada con éxito. [2] Ella es la responsable de materializar las iniciativas y poner en marcha los planes de acción. Según [13], las empresas u organizaciones cometen 5 errores principales a la hora de intentar protegerse de los “cibercriminales”. Según su informe se señalan errores como: Creer que se está seguro al 100%, lo cual es incorrecto ya que las experiencias pasadas lo desmienten; Creer que si invertimos en mejores herramientas, estaremos protegidos, también falso porque no se toma en cuenta al factor humano; otro, pensar que nuestras armas son mejores que las de los hackers, también falso porque en el contexto actual los ataques dan un paso más que las defensas; otro, creer que toda regulación en ciberseguridad implica monitoreo efectivo, también falso si dicha organización no asume que los ataques evolucionan ni saben cómo lo hacen; y otro, creer c reer que se tiene un área de ciberseguridad que lo protege, también falso ya que la seguridad cibernética compete a toda las áreas de la empresa y debe ser parte de la política integral de esa empresa. G. Amenazas en la red.
En el ciberespacio existen hackers, crackers, ciberguerreros y delincuentes en general acechando en algún punto ciego en el cual infiltrarse, y para lograr este fin, estos criminales pueden emplear distintos métodos para acceder a los sistemas y conseguir su cometido. Por eso, según [10] enumera los siguientes: Stuxnet :
Es un programa malicioso que permite introducirse en los sistemas que controlan infraestructuras críticas con el fin de sabotear su funcionamiento haciendo que estas se apaguen u suceda otra cosa.
DDoS :
Los ataques DDoS (Distributed Denial of Service) consisten en saturar los servidores web de una institución a tal punto que llega a colapsarse, para esto se utilizan computadoras que se encuentren infectadas por virus (botnets) haciendo que se cree una red, y entonces los usuarios no se dan cuenta que hacen parte del ataque.
Botnets:
(Robots de la Red) Son redes de computadoras utilizadas para dirigir un ataque DDoS. Esto se da por ejemplo, cuando una persona del común abre u correo basura o Spam, este correo se encuentra infectado de virus haciendo que la maquina este a merced de los hackers o ciberguerreros.
Zeus: Es un virus
comúnmente conocido como troyano que se encarga de ingresar a las computadoras de los usuarios con el fin de obtener contraseñas de redes sociales, información bancara entre otra con el fin de realizar acciones de suplantación y robos a cuentas bancarias tarjetas de crédito, etc. Hoy en día también existen comunidades de “geeks”,
formados por personas interesadas en el estudio de software y
hardware, algunos de ellos utilizan su conocimiento para detectar fallos en sistemas operativos, o software especializado; sin embargo otros lo utilizan para perjudicar a empresas y entidades gubernamentales. Según [5, 10] los tipos de atacantes que se encuentra en el ciberespacio se clasifican en: Atacantes patrocinados por Estados, Servicios de Inteligencia y Contrainteligencia, Terrorismo (extremismo político e ideológico), Ataques de delincuencia organizada y Ataques de perfil bajo. [5] IV. A.
CIBERSEGURIDAD: CASO DE PERU
Situación y problemática Actual
En esta parte nos enfocamos en el estado en que encuentra el Perú en materia de ciberseguridad. Actualmente el ente encargado de los protocolos de seguridad de las tecnologías de la información del Estado es la Oficina Nacional De Gobierno Electrónico, y como tal se encarga de liderar los proyectos, pro yectos, la normatividad, y las diversas actividades que en materia de Gobierno Electrónico realiza el Estado. Según [14], el especialista Mario Sánchez Debernardi, refiere que en el Perú, la ciberseguridad en instituciones del estado se encuentra en una etapa inicial, y según [4] en lo que menos se ha avanzado es en aspectos de medidas de organización y capacitación, pues no se cuenta con una Agencia de Nacional de Ciberseguridad, solo la ONGEI, por la tanto es necesario crear una política de protección tecnológica, y más aún cuando sabemos que existen instituciones encargadas del agua, luz, telecomunicaciones, etc, que pueden ser afectados por ciberataques, perjudicando a los consumidores. Además se recalca que en el Perú de 2015, no existe una política nacional sobre ciberseguridad [14], y aunque no se han presentado problemas serios en esa materia, que también justifica el que las empresas no le toman una especial especial atención [15], es importante que se tomen previsiones del caso. Se afirma también que en el Perú, las empresas solo destinan un 3.8 % de su presupuesto de tecnología a la ciberseguridad tanto para protección interna como para la de sus usuarios [16]. El especialista Claudio Caracciolo, Chief Security Ambassador de ElevenPaths reveló que los mayores problemas que afectan hoy ho y a las empresas e mpresas están asociados a ataques de denegación de servicios, a los famosos y mediáticos ataques persistentes (APT), asaltos a bases de datos o de información confidencial, y robo de credenciales tanto a través de medios tradicionales o incluso a través de las plataformas móviles, paso con el portal del Ministerio de defensa, como también al portal del Estado Peruano, que fueron hackeados en el 2015. Digiware, empresa experta en seguridad informática, revela en su informe anual de seguridad informática 2015-2016, que el Perú es el quinto país que más recibe ataques cibernéticos a nivel de América Latina con un 11.22% y que a nivel global, América percibe un 19% de ataques. [18] Explican que esto se debe a que la cantidad de usuarios que acceden a internet es mayor a la implementación de estrategias de ciberdefensa de usuarios y empresas, y por ello Perú se ubica en tal posición dentro de este Top.
Perú debería tener una política de gobierno más robusta en cuestión de ciberataques [14,18], para ello hay que invertir más dinero en seguridad digital dentro de entidades estatales a fin de propiciar una cultura cibernética más segura y de paso motivar a instituciones privadas a sumarse a este cambio. ca mbio. A.1. Informes de Ciberseguridad (2013-2015)
En 2013 Perú tenía una penetración de internet del 38,2% de la población total [19] en comparación al actual que es de un 40% es decir 12 millones de personas. [3] Hoy Perú es un eje regional de actividad y comercio digital y por lo tanto, corren riesgos de seguridad cibernética. Se afirma que los incidentes cibernéticos aumentaron un 30% en 2013 y el país experimentó también un incremento de los ataques de malware durante la Copa Mundial de 2014, que se celebró en Brasil. El Equipo de Respuesta a Incidentes de Seguridad Informática del Perú, PeCERT, fue el encargado de responder con éxito a estos ataques. [3] Además de la respuesta a incidentes, el PeCERT también trabaja con la policía, las fuerzas militares y el sector privado, en lo que asuntos de seguridad se refiere. Recalco que la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) ha asumido la responsabilidad atribuido por la OEA de desarrollar un marco de seguridad cibernética para el país. [3,14] Los informes confirman la ausencia de una estrategia y una cadena de mando clara continúan impidiendo el fortalecimiento de la seguridad cibernética del país [3, 14,18]. Las fuerzas armadas también tienen un nivel básico de capacidad de defensa cibernética, pero no existe una política de defensa cibernética. [3, 14] En el Perú figuran tres leyes que guían el marco legal para la seguridad cibernética del Perú: la Ley 27309, que incluye la delincuencia cibernética en el código penal; la Ley 29733 de Protección de Datos; y la Ley 30096, que establece normas jurídicas en contra de la delincuencia delincuencia cibernética. El sector privado y operadores de Infraestructura crítica nacional han adoptado algunas normas de seguridad, que incluyen a procesos de desarrollo de software. Se afirma también, que la tecnología de seguridad e Infraestructura critica nacional (ICN) son gestionadas de manera informal, infor mal, lo que ocasiona que el número de denuncias responsables siga siendo bajo. Las entidades peruanas discuten la posibilidad de contar con un seguro de delincuencia cibernética y otros mecanismos para proteger mejor la ICN. En [3] se afirma que la conciencia social de la ciberseguridad es en general baja [3,14]. La ONGEI pone a disposición información en línea sobre este tema, pero no se ve una amplia campaña de sensibilización que este hoy, vigente. Las universidades y empresas privadas también brindan capacitación en seguridad cibernética, pero no se cuenta con la tecnología adecuada ni personal educativo experimentado. El informe [3] también presenta una evaluación respecto a diferentes ámbitos en la que esta involucrada la ciberseguridad. Para la calificación define una escala del 1 al
5(1: INICIAL, 2: FORMATIVO, 3: ESTABLECIDO, 4: ESTRATEGICO y 5: DINAMICO), donde el 1 representa un nivel inicial de desarrollo para un componente, y por lo tanto el 5 representa la calificación ideal u óptima. Tabla 1. POLITICA Y ESTRATEGIA COMPONENTES
Nivel De Madurez Promedio
Estrategia Nacional De Seguridad Cibernética Oficial O Documentada Defensa Cibernética
FORMATIVO(1,67) FORMATIVO(1,67)
Tabla 2. CULTURA Y SOCIEDAD COMPONENTES
Nivel de madurez en promedio
Mentalidad De Seguridad Cibernética Conciencia De Seguridad Cibernética Confianza En El Uso De Internet Privacidad En Línea
FORMATIVO(2,0) FORMATIVO FORMATIVO(2,0) ESTABLECIDO(2,5)
Protección de la Infraestructura Crítica Nacional (ICN) Gestión de crisis Redundancia digital Mercado de la ciberseguridad
INICIAL(1,4) FORMATIVO(1,5) FORMATIVO(1,5) INICIAL(1,0)
Como vemos en el análisis anterior, en la mayoría de los componentes identificados en las cinco dimensiones, se encuentran en un nivel formativo, que indica que en promedio ha comenzado a crecer y formularse algunos subfactores inmersos en estos componentes, pero estos pueden presentar malas definiciones y dar signos de desorganización, lo cual indica que aún falta mucho por recorrer si se quiere tener un nivel de madurez más avanzado. Dentro de un escenario futuro, aprecia un avance en el ámbito de las medidas técnicas y legales, [4] y lo que si seguirá siendo una desventaja son aquellos aspectos organizacionales y operativos de respuesta [3] frente a incidentes que amenacen la seguridad cibernética. V.
ANÁLISIS EN PAÍSES DE SUDAMÉRICA
V.1. SEGURIDAD CIBERNÉTICA Y PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS EN SUDAMÉRICA
Tabla 3. EDUCACION COMPONENTES
Nivel de madurez en promedio
Disponibilidad nacional de la educación y formación cibernéticas Desarrollo nacional de la educación de seguridad cibernética Formación e iniciativas educativas públicas y privadas Gobernanza corporativa, conocimiento y normas
FORMATIVO(2,0) INICIAL FORMATIVO FORMATIVO
Tabla 4. MARCOS LEGALES COMPONENTES
Nivel de madurez en promedio
Marcos jurídicos de seguridad cibernética Investigación jurídica Divulgación responsable de la información
ESTABLECIDO(2,75) FORMATIVO(2,0) INICIAL
Tabla 5. TECNOLOGIAS COMPONENTES
Nivel de madurez en promedio
Adhesión a las normas Organización de coordinación de seguridad cibernética Respuesta a incidentes Resiliencia de la infraestructura nacional
FORMATIVO(1,67) FORMATIVO(1,5) FORMATIVO(2,33) FORMATIVO(1,5)
La OEA y Trend Micro realizaron una encuesta cuantitativa en enero de 2015 entre los Jefes de Seguridad de las principales infraestructuras críticas en todos países de América. Asimismo, se incluyeron organizaciones privadas que gestionan la infraestructura crítica en sus países. El objetivo de la encuesta es dar una visión del estado de la seguridad de la infraestructura crítica dentro de estos países para ayudar a identificar las fortalezas y las debilidades que deben reforzarse. [12] A continuación presentamos algunas encuestas que he considerado las más resaltantes: Encuesta: Nivel de Incidentes en el Sistema de Cómputo durante el año pasado (2014-2015)
Indicador: ¿Ha observado un incremento, disminución o un nivel estable de los incidentes en sus sistemas de cómputo durante al año pasado? Incremento: Disminución: Niveles estables:
53% 7% 40%
Indicador: ¿Los incidentes contra las infraestructuras se están volviendo más sofisticados? Si: No: No estoy seguro
76% 5% 19%
Esta encuesta muestra que los incidentes están en aumento o se están volviendo más sofisticados y esto porque los creadores de amenazas podrían estar apuntando a infraestructuras críticas más vulnerables en el futuro. Los resultados también indican que es necesario establecer mejores protecciones, así como mejorar los procesos de respuesta a incidentes (CSIRT). [12] Encuesta: Ataques a la Infraestructura
Indicador: ¿Ha detectado algún ataque/incidente/instrucciones dirigido específicamente a la infraestructura que su organización opera/mantiene/administra? Si: No: No estoy seguro
43% 26% 31%
Es evidente que los ataques se están volviendo más sofisticados (según los encuestados un 76% lo indican así) y por lo tanto es un desafío importante i mportante en la actualidad, y esto hace necesario adoptar controles de monitoreo continuo en mayoría de las organizaciones, para que puedan advertir mejor la presencia de los atacantes en sus redes. r edes. [12] con
varios
incidentes
en
Indicador: Las Instituciones Gubernamentales que experimentaron intentos de manipulación de su equipo a través de una red/sistema de control (por P aís). [12]
Si
No
Argentina Brasil Chile Colombia Paraguay Perú
Bolivia Ecuador Surinam Uruguay
No participo/no hay respuesta Venezuela Guyana
La mayoría de las regiones en las que se aplicó la encuesta indicaron que su equipo ICS/SCADA estaba siendo atacado, lo que revela una gran cantidad de actividad de los creadores de amenazas, y se prevé que más regiones reportaran esto en el futuro ya sea por su mejora en la capacidad de identificar la presencia de ataques, o que sus infraestructuras críticas se vuelvan más conectadas. Encuesta: Percepción de la Preparación Incidentes Cibernéticos, solo Sudamérica.
para
los
Indicador: ¿Cuán preparada está su organización para un incidente cibernético?
No Algo Prepara Preparada da Ecuado Argentina r Brasil Colombia Paraguay Perú Uruguay
Preparada Chile
Encuesta: Presupuesto para la Ciberseguridad en países de Sudamérica.
Indicador: Las Instituciones de gobierno cuyo presupuesto para la ciberseguridad aumentó en el último año.
Los resultados muestran un incremento en ataques a la infraestructura critica (43%), causa alarma que un 31% de encuestados señalen que no estén seguros de haber sido atacados. [12]
Encuesta: Experiencia Sudamérica
preparados deban preocuparse en mejorar sus capacidades de detección, protección y respuesta.
No participo/no hay respuesta Venezuela Guyana Surinam Guyana Francesa
Dado los resultados, es bueno que la mayoría países considere que este algo preparada para un incidente cibernético. Pero, el creciente aumento en el número número y sofisticación de los ataques, hace que los países que no estén preparados o que estén algo
No ha Ha No está No aumentado aumentado seguro participo/no hay respuesta Argentina Chile Bolivia Brasil Uruguay Guyana Colombia Surinam Ecuador Guyana Paraguay Venezuela Perú Los resultados indican que la mitad de los encuestados no han aumentado su presupuesto en el último año, en consecuencia la capacidad de detectar intrusiones no es adecuada puesto que la mayoría de los ataques de hoy no pueden descubrirse utilizando medidas de seguridad tradicionales. [12] Después de este análisis los 500 encuestados confirman un aumento de la sofisticación de los ataques cibernéticos. Américas presenta un panorama no uniforme en la madurez de sus capacidades y hay necesidad de mejoras. [3] Existe ahí un claro peligro directo que muestra la dramática evolución de las capacidades cibernéticas que poseen las entidades privados o no estatales. La solución pasa por elevar el presupuesto para la ciberseguridad y la creación de capacidad así como facilitar un mayor intercambio de información. V.2. CASOS DE ESTUDIO A.
Caso de Argentina
El gobierno de Argentina ha desarrollado un proyecto de Estrategia Nacional de Seguridad Cibernética que hasta el momento no entro en vigencia, y había sido desarrollado por la ONTI durante el periodo 2013-2015. [20 p.20] Además, Argentina hizo historia por haber formado el primer CSIRT nacional en 1994, que desde el 2011 ha funcionado bajo el ICIC. El ICIC-CERT se encarga de mantener un registro central de los eventos y amenazas de seguridad cibernética nacional. [3, 19] En junio de 2015 la Presidencia de la Republica de este país, emitió el Decreto no 1067/2015 que reestructuro el control gubernamental de la ICIC, el cual había sido creado en 2005, [20] estableciendo una Oficina nacional bajo la dirección de la Subsecretaria de Protección de Infraestructuras Criticas de Información y Ciberseguridad (ICIC), [22 p.10] dependiente de la Secretaria de Gabinete de la Jefatura de Gabinete de Ministros. [22 p.10] Este E ste nuevo programa buscara desarrollar normas y estándares de seguridad cibernética. [3] La División de Delitos Tecnológicos de la Policía Federal de Argentina (PFA) es encargado de investigar los delitos informáticos y está capacitado para suministrar información sobre cómo detectar y reportar ataques cibernéticos. [3]
Actualmente, entidades del gobierno han liberado campañas de concientización para educar al público sobre la seguridad cibernética. Dos ejemplos notorios son “Internet Sano” del
ICIC, centrado en las mejores prácticas para el uso seguro de internet, y “Con Vos en la Web” dir igido por el Ministerio de
Justicia, [19] el cual enseña a niños y niñas, padres y maestros sobre la amenaza de la captación de menores en línea o grooming. Además existen universidades que ofrecen programas de grado en seguridad cibernética e Informática forense. [3] B.
Caso de Brasil
Antes de la pasada Copa mundial del 2014, Brasil se convirtió en un objetivo prioritario de los ataques y delitos cibernéticos incluyendo olas de phishing, malware y ataques DDoS. [3, [3 , 23] En 2010 el Departamento de Seguridad de la Información y Comunicaciones publicó la guía de Referencia para la Protección de Infraestructuras Criticas de Información y el Libro Verde de Seguridad Cibernética. Estos documentos sirvieron de base para la recién publicada Estrategia Nacional de Seguridad de las Comunicaciones de Información y Seguridad Cibernética en Brasil. [3] Brasil tiene varios Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT). Por un lado tenemos al Comité Gestor de Internet (CGI.br), que es encargado de coordinar todas las iniciativas de servicios de Internet en el país, y al otro lado está el Centro de Información de la Red Brasileña (NIC.br) que trabaja para implementar este tipo de iniciativas. [3] El equipo Nacional de Respuesta a Incidentes Informáticos de Brasil (CERT.BR) opera bajo el CGI.br y el NIC.br y es responsable de la respuesta y coordinación a incidentes, capacitación y campañas de concientización. [3] En el caso de Brasil, existe la oficina para la Represión de la Delincuencia Cibernética que es la principal encargada de investigar los delitos cibernéticos [19] y cuenta con un laboratorio forense digital. [3] También mantiene un segundo grupo especializado encargado de la lucha contra los delitos relacionados con la pornografía infantil en Internet, GECOP. [19] La sociedad brasileña tiene una comprensión baja en general sobre los problemas de seguridad cibernética en Brasil, por ello, el CGI.br y el NIC.br han emitido numerosos boletines y realizaron campañas de sensibilización para abordar el asunto. [3] Asimismo el Departamento de Seguridad de la Información y Comunicaciones (DSIC), ha desarrollado desarrollado e implementado campañas de sensibilización para fomentar el uso inteligente y responsable de Internet por los ciudadanos individuales. [19] Actualmente las empresas y los operadores de IC han implementado requisitos de privacidad para sus empleados y están desarrollando un estándar en tecnología y adquisiciones. A la vez existe un fuerte mercado nacional de tecnologías de seguridad cibernética (software relacionado con la seguridad cibernética desarrollado a medida para entidades privadas). [19] Aquí también hay variedad de universidades que ofrecen
oportunidades para educación en seguridad cibernética que incluyen programas de maestría y doctorado. [3] C.
Caso de Chile
El Ministerio del Interior y Seguridad Publica, el Secretario General de la Presidencia y la Subsecretaria de Telecomunicaciones son el frente de la seguridad cibernética y son los encargados de poner sobre la mesa las políticas de seguridad cibernética a nivel gubernamental en Chile. [3,19] [ 3,19] En estos tiempos, Chile no ha emitido una estrategia nacional de ciberseguridad, a pesar de ello, la sensibilización entre instituciones del gobierno es generalizada. También la infraestructura de estas entidades presenta tecnología de seguridad actualizada. [3] Chile tiene el desafío a futuro de fortalecer su capacidad de respuesta a incidentes (CSIRT-CL), que funciona desde el 2004 y ofrece respuesta a incidentes para sitios web del gobierno, pero su alcance no es aun para nivel nacional. [3] Las autoridades chilenas han estado trabajando durante varios años para desarrollar una fuerte capacidad nacional de respuesta y gestión para ciberincidentes. Su enfoque de este modo ha sido algo único, hacer hincapié en el desarrollo de procedimientos estandarizados y mejores prácticas para la gestión de incidencias y la ciberseguridad más ampliamente. [19] Las autoridades de Chile informaron que, la suplantación de identidad (phishing), malware y piratería informática son los tipos más frecuentes de ataques cibernéticos en el país. [3] Asimismo en 2012 se informó que el número de incidentes cibernéticos disminuyo en un 33%, así también el fraude electrónico disminuyo en un 122% en general. [20] Las autoridades atribuyeron la disminución de este tipo de incidente, al desmantelamiento de un sindicato notorio responsable de la distribución de malware a gran escala de uso frecuente en defraudar a los bancos y los individuos. [20] Por otro lado la mentalidad de seguridad cibernética en la sociedad chilena, es aun inconsistente. Al respecto el Ministerio de Educación, allá por el 2013, inicio la campaña de Internet Segura para educar a los jóvenes sobre la privacidad y el uso seguro seguro de internet. [3] Actualmente la Universidad de Chile da titulación avanzada en seguridad cibernética y capacitación a empleados mediante cursos presenciales o en línea. [3] D.
Caso de Colombia
En Colombia se estableció una política nacional de seguridad cibernética CONPES 3701 auspiciado por el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), el Ministerio de Defensa, el Departamento Nacional de Planeación Planeación entre otras instituciones instituciones del estado. [3, 19] El Grupo de Respuesta de Emergencias Cibernéticas de Colombia (ColCERT) es el encargado de la defensa y seguridad cibernética y puede coordinar acciones con otros organismos públicos/privados. [3]
Justamente en el 2012, Colombia llevo a cabo la “operación Desenmascarar”, destinada a acabar con un red de
delincuentes transnacionales y hacktivistas como una respuesta a los ataques persistentes contra las infraestructuras críticas en Chile y Colombia. [20] Realizado con un despliegue multinacional, esta operación llevo a la detención de 25 delincuentes y la captura de 250 dispositivos informáticos, así como numerosas tarjetas de crédito robado y dinero en efectivo. [20] Recientemente el Ministro de TIC de Colombia ha informado que una nueva estrategia de seguridad cibernética y defensa cibernética estará lista para finales del 2015. [3] Por otro lado la conciencia actual sobre la importancia de la privacidad, seguridad en Internet y la confianza en los sistemas digitales ha crecido en buena manera, en parte por las campañas nacionales, como la del MinTIC, denominada “En TIC confió”. [3]
Actualmente, existen leyes que obligan a las empresas a implementar políticas de protección de datos en el lugar de trabajo como la Ley 1581 de 2012 y el Decreto 1377 de 2013. [3] Colombia ha logrado un crecimiento notable en el desarrollo de educación de seguridad cibernética, [3] ya que universidades e instituciones ofrecen una amplia gama de programas académicos y de información sobre seguridad cibernética y temas sobre delitos informáticos que incluye a la seguridad en la red y la ciencia forense digital. [19] VI.
CONCLUSIONES
En varios países de Sudamérica no se denuncian delitos informáticos porque no se puede encontrar muchas veces al responsable de esos ataques, por lo cual también se le atribuye la impunidad a los incidentes de seguridad informática. En los últimos años el gobierno peruano ha sufrido constantes robos de información lo que demuestra la falta de acción del propio gobierno para proteger los activos de información del Estado. El Perú actualmente se encuentra en una etapa de desarrollo con miras a mejorar aspectos como la legislación y medidas técnicas en materia de ciberseguridad, ciberseguridad, y es también una prioridad que una estrategia nacional de ciberseguridad ciberseguridad entre en vigencia para que haya un trabajo en conjunto entre el gobierno, los ministerios y organizaciones representativas peruanas, con el fin de poder navegar en un ciberespacio más seguro. Por otro lado los expertos mencionan que Perú esta realizando un trabajo interesante en relación a la ciberseguridad, como es el convenio de Budapest y su participación p articipación en REMJA, lo cual deja claro que este país busca mantener un ciberespacio seguro a toda su nación. Respecto a los países de Sudamérica si bien todos muestran una capacidad de respuesta a incidentes de ciberseguridad (CSIRT) estos no son uniformes pues es notorio que algunos estén más desarrollados que otros, ya que países como
Colombia y Chile son los que están mostrando mayores capacidades en materia de ciberseguridad, En todos los casos expuestos se observa una preocupación por concientizar y capacitar a los ciudadanos sobre seguridad cibernética y el correcto uso de las Tics. VII.
REFERENCIAS
[1] Ministerio de Defensa Documentos de seguridad y defensa 60. Estrategias de información y seguridad en el ciberespacio. Ministerio de Defensa, Secretaria General Técnica. 2014 [2] PwC España. Temas candentes de ciberseguridad. 2015 [3] OEA & BID Informe 2016. 2 016. Ciberseguridad, Estamos preparados en América Latina y el el Caribe. [4] Secretaría de Seguridad y Defensa Nacional. Estudio prospectivo de la seguridad y defensa nacional al 2030. Servicios Gráficos J.M.D. S.R.L. Av. José Gálvez Nº 1549, Lince. 2015 [5] María José Caro Bejarano. Ciberseguridad. Retos y amenazas a la seguridad nacional en el ciberespacio. Alcance y ámbito de la seguridad nacional en el Ciberespacio. Imprenta del Ministerio de Defensa. 2011 [6] José Luis González Cussac. Ciberseguridad. Retos y amenazas a la seguridad nacional en el ciberespacio. Estrategias legales frente a las Ciberamenazas. Imprenta del Ministerio de Defensa. 2011. [7] Juan Salom Clotet. Ciberseguridad. Retos y amenazas a la seguridad nacional en el ciberespacio. El Ciberespacio Y El Crimen Organizado. Imprenta del Ministerio de Defensa. 2011. [8] Néstor Ganuza Artiles. Ciberseguridad. Ciberseguridad. Retos y amenazas a la seguridad nacional en el ciberespacio. Situación De La Ciberseguridad En El Ámbito Internacional Y En La OTAN. Imprenta del Ministerio de Defensa. 2011. [9] Ciberseguridad. Retos y amenazas a la seguridad nacional en el ciberespacio. La Ciberseguridad En El Ámbito Militar. Imprenta del Ministerio de Defensa. 2011. [10] Edisson Mauricio Vargas Vargas. Ciberseguridad y ciberdefensa: ¿qué son y qué implicaciones tienes para la seguridad de un país? [11]Roberto [11] Roberto Uzal. Ciberdefensa y Ciberseguridad. Agresiones Cibernéticas transnacionales potenciadas en el contexto mobile devices / wireless / cloud computing. [12] OEA Trend Micro. Reporte de Seguridad Cibernética e Infraestructura Crítica de las Américas. [13] Rommel García. Informe de KPMG Ciberseguridad: 5 errores que debemos evitar. Editora KPMG. [14] ANDINA: Agencia Peruana de Noticias. Ciberseguridad en instituciones del Perú es aún incipiente, advierten. 2015 http://www.andina.com.pe/agencia/noticiaciberseguridad-instituciones-del-peru-es-aun-incipienteadvierten-555799.aspx [15] Expreso.pe Mirando al futuro. José Callo. 2016 Año de la ciberseguridad. 2016 http://www.expreso.com.pe/opinion/jose-callo/el-2016ano-de-la-ciberseguridad/
[16] Gestion.pe Tecnología. Empresas destinan sólo 3.8% de su presupuesto de tecnología a la ciberseguridad. 2015 http://gestion.pe/tecnologia/empresas-destinan-solo-38su-presupuesto-tecnologia-ciberseguridad-2146254 [17] Gestion.pe Tecnología. Digiware: Seis sectores están en la mira de los ataques cibernéticos. 2015 http://gestion.pe/tecnologia/seis-sectores-estan-miraataques-ciberneticos-2146252 [18] Common Digital Perú. Perú es quinto país de la región que recibe más ataques cibernéticos. 2015 http://www.commondigital.commonperu.com/index.ph p/locales/22666-peru-el-quinto-pais-de-la-region-querecibe-mas-ataques-ciberneticos [19] OEA & Symantec. LATIN AMERICAN AND CARIBBEAN CYBER SECURITY TRENDS Published June, 2014 [20] OEA & Trend Micro. LATIN AMERICAN AND CARIBBEAN CYBER SECURITY TRENDS AND GOVERNMENT RESPONSES. 2013 [21] Julio César Ardita. Manejo de Incidentes de Seguridad dentro de la Organización. CYBSEC Security System [22] ADC.Descubriendo la agenda de ciberseguridad de América Latina: El caso de Argentina. Segunda entrega: Marco normativo. 2016 [23] WeliveSecurity. Noticias, opiniones y análisis de la comunidad de seguridad ESET. Anonymous ataca sitios del Mundial Brasil 2014. http://www.welivesecurity.com/laes/2014/06/13/opworldcup-anonymous-ataca-sitiosmundial-brasil-2014/
