Carlos Ramírez, CAMS, CICA, CPP, CPO/Director de Prisma Consulting

La evolución, complejidad y sofisticación de la delincuencia constantemente implica nuevos retos y desafíos para identificar a los responsables de acciones delictivas y contra productivas, particularmente cuando las conductas criminales están asociadas a las Tecnologías de Información y Comunicación (TIC), haciendo más difícil la prevención y el tratamiento de los llamados ciberdelitos para mitigar el daño y resolver los casos en diligencias administrativas o judiciales

El ciberespacio posibilita múltiples delitos y miles de víctimas simultáneamente en distintas jurisdicciones. En un ambiente donde la velocidad de la transmisión supera la velocidad de la reacción, habrá personas dispuestas a utilizar tecnologías antes de entender los problemas que estas plantean, en consecuencia, además de necesitarse la seguridad de la información también se requerirá de la computación forense. Sin embargo, podemos establecer que desde el momento en que se surge el concepto del ciberespacio también habría de aparecer en el tiempo el relativo al de la ciberseguridad.

El ciberespacio surge en 1981 en la novela de ciencia ficción Neuromante de William Gibson, donde se hacía referencia a una realidad simulada de las redes digitales; para 1996 en Davos, Suiza, ya con el término popularizado se realizaba una “Declaración de Independencia del Ciberespacio” exhortando a los gobiernos para no ejercer soberanía en el ciberinfinito, donde era, además, “el nuevo hogar de la mente”.

Por otra parte, respecto al término ciberseguridad vale la pena saber que la Unión Internacional de Telecomunicaciones (la afamada UIT), estableció una Resolución en noviembre de 2010 en la ciudad de Guadalajara, Jalisco, México, donde se aprobó una definición de ciberseguridad inscrita en la Recomendación UIT-T X.1205, que señala que: “La ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios del ciberentorno…”

La ciberseguridad pretende garantizar que se alcancen y mantengan las propiedades de protección de los activos de la organización y de los usuarios contra los riesgos de seguridad y amenazas en el ciberentorno. Estas propiedades incluyen una triada compuesta por: la disponibilidad, la integridad y la confidencialidad de la información. Se trata de una actividad estratégica que integra personas, tecnología, procesos y prácticas diseñada para salvaguardar las TIC, así como los sistemas contra daños y accesos no autorizados.

En cuanto a la ciberseguridad en México podemos señalar que hay rezagos importantes dentro del sector público algo mayores que los de su contraparte del sector privado, al mostrar una baja conciencia dentro de la madurez de la cultura de seguridad de la información.

Algunas firmas especializadas en seguridad de la información recomiendan utilizar un modelo de madurez, dividido en cuatro etapas que son evolutivas. La etapa inicial denominada: estado reactivo, es donde se encuentran la mayoría de las dependencias de gobierno y muchas empresas grandes, medianas y pequeñas del país, es aquella que le caracteriza una conciencia limitada en relación con el abanico de riesgos y amenazas donde las organizaciones solo implementan medidas básicas de protección como programas antivirus y tecnología de firewall. Además, se trabaja de forma aislada y vertical, como silos y sin apegarse a normas o regulaciones existentes, improvisando su gobernabilidad y, por supuesto, no utilizando mejores prácticas.

Las etapas subsecuentes, denominadas: estado de cumplimiento, estado proactivo y estado óptimo, comprenden elementos vitales como aquellos relacionados con el Compliance regulatorio, gobernabilidad, consolidación y la interoperabilidad que, en consecuencia, proporcionan mayor seguridad y una mejor relación costo-beneficio.

México necesita avanzar más rápido en la ciberseguridad hacia un “estado de cumplimiento” para desarrollar e implementar medidas y controles propios que le permitan cumplir con las regulaciones que impone la industria y el mercado, y que además impulsan la definición de controles y su automatización, como las concebidas en regulaciones como: SOX, PCI, Basilea, ITIL, CoBIT, ISO27000, ISO31000, etcétera.

En este sentido, el tema de la ciberseguridad también tiene su historia en la Organización de los Estados Americanos (OEA), pues en 2004 la Asamblea General aprobó la Estrategia Integral para Combatir las Amenazas a la Seguridad Cibernética, de tal manera que los 35 países miembros, tal es el caso de México, debían incorporar la ciberseguridad como una responsabilidad imperativa en los sectores público y privado.

Esta ha sido una de las razones por las que desde hace algunos años el mes de octubre se dedica a la ciberseguridad, donde varias dependencias gubernamentales, así como corporativos financieros y empresariales realizan distintos eventos de concienciación en esta materia. En octubre 2015, por ejemplo, la División Científica de la Policía Federal Mexicana inserta en la Comisión Nacional de Seguridad (CNS) dependiente de la Secretaría de Gobernación (SEGOB), celebró la semana nacional de la ciberseguridad, en el marco del mes de la ciberseguridad de la OEA.

Este evento se repetirá en el año 2016 y en diversas empresas de distintos sectores comerciales, industriales y financieros; es decir, la ciberseguridad es una responsabilidad que llegó para quedarse, por lo tanto, un referente reconocido e importante del mundo occidental que ha trabajado más de una década en este siglo XXI, ha sido y seguirá siendo la OEA.

Esta organización integra 35 países continentales e insulares de las Américas con una superficie de más de 40 millones de Km2 y cerca de 930 millones de habitantes. Entre los documentos que ha publicado y que están relacionados con la ciberseguridad, se destacan los siguientes:

• Tendencias de Seguridad Cibernética en América Latina y el Caribe (2014).
• Iniciativa de Seguridad Cibernética de la OEA. Foro Global 2015.
• Ciberseguridad. Kit de herramientas para una campaña de concienciación (2015).
• Manual para manejo de incidentes.
• Metodología de respuesta a incidentes/15 procedimientos.

Ahora bien, para la existencia de la ciberseguridad debe también comprenderse el tema de la cibercriminalidad, pues de hecho prácticamente el desarrollo de la primera es consecuencia de la segunda. Viajemos en el tiempo hasta 1988 donde el uso público de Internet estaba en su infancia. En esos años, lo que hoy llamamos coloquialmente “delitos cibernéticos”, o también “incidentes de seguridad contra las tecnologías de información y comunicaciones”, se les conocía como “perjuicios técnicos”. Así estaba referido en el Artículo 9 del Reglamento de las Telecomunicaciones Internacionales (RTI), debido a una de las primeras versiones de software malicioso o “malware” que por esos años circulaba en la naciente súper carretera de la información: el gusano Morris.

En la actualidad, 27 años después, el número de ataques cibernéticos se cuenta por decenas de miles y su grado de sofisticación sigue aumentando de la misma manera que nuestra relación con la Internet. Hoy, vivimos conectados, somos dependientes de las TIC y, por lo tanto, tenemos mucha vulnerabilidad.

Internet es el reino del anonimato. Esto puede parecer sin importancia pero es totalmente relevante, ya que la sociedad entera y el orden jurídico se encuentran sustentados sobre la base de la persona, entendiendo a la misma como un ente conocido. Debido al anonimato de Internet la persona y la personalidad se encuentran en serios problemas, pues la comunicación que se origina, por ejemplo, con el “chat” es impersonal, ya que la mayoría de las personas no se conocen físicamente, sino por este medio de comunicación virtual. Por ello, el sujeto activo del delito informático cometido en la red es difícil de identificar, sino imposible.

Desde un punto de vista jurídico no existe el delito cibernético propiamente dicho, además, hay que considerar también que muchas veces esta conducta ilícita se va a convertir en un “caso internacional”, ya que la información viaja sin tener en cuenta las fronteras de los países. Puede decirse que el delito cibernético no constituye una categoría autónoma jurídica, sino una categoría más bien criminológica, que contiene una gran cantidad de conductas delictivas relacionadas con las computadoras y con los sistemas informáticos.

Una definición común podría ser que los delitos informáticos sería todo delito cometido mediante un sistema de computación y con el aprovechamiento de las características técnicas específicas de todo sistema o medio computacional. En síntesis, cualquier delito que involucre dispositivos electrónicos por definición es un delito cibernético.

No obstante, para entender mejor estos aspectos jurídicos vinculantes de la ciberseguridad con las conductas delictivas, el aumento de las ciberamenazas y la globalización de la ciberdelincuencia es necesario recordar la vigencia del convenio sobre cibercriminalidad, o Convenio de Budapest, elaborado por el Consejo Europeo en la ciudad francesa de Estrasburgo y firmado oficialmente en Budapest, Hungría, en noviembre de 2001. Entró en vigor en julio de 2004 y para octubre 2010, lo habían firmado 46 países. Otros países no europeos, como el caso de México, Argentina, Chile y Uruguay tienen previsto adherirse a la convención, próximamente.

El Convenio de Budapest se reconoce como el primer tratado internacional sobre delitos cometidos por Internet y otras redes informáticas. El objetivo principal del Convenio es definir el marco jurídico para proponer y aplicar una política penal común orientada a la protección de la sociedad y las comunidades contra el cibercrimen, en especial mediante la adopción de una legislación adecuada y el fomento de la cooperación internacional.

En el caso de México, algunos especialistas han señalado que son tres las etapas requeridas para adecuar la legislación vigente con el marco regulatorio establecido por el Convenio sobre cibercriminalidad (Budapest): primero, legislar la existencia de un delito cibernético para que se incluya en los catálogos penales; segundo, acordar los fundamentos metodológicos y periciales que determinan la aplicación criminalística en materia de cómputo forense; y tercero, validar la forma en que la evidencia digital puede acreditarse ante un juez para que sea reconocida como prueba electrónica.

Nuestro Código Penal Federal, por ejemplo, tiene contemplados de manera específica en los artículos 211-bis-1 al 211-bis-7 un capítulo dedicado a lo que pudiesen denominarse “delitos informáticos” al estar tipificado el Acceso ilícito a sistemas y equipos de informática con una pena de prisión máxima de ocho años y de una mitad más cuando la información obtenida se utilice en provecho propio.

Digamos que en términos generales, los “delitos informáticos” en realidad no están legislados en todos los estados del país de una misma manera y en algunos de ellos ni siquiera se aluden, y no son acordes tampoco al Convenio de Budapest de 2001. Cabe mencionar que México, si bien ha participado en varios foros relacionados con el convenio, tiene pendiente suscribirlo y ratificarlo.

Por las razones anteriores, cobra gran relevancia el término ciberseguridad en nuestro país desde la perspectiva de la prevención y no de la persecución punitiva de los ciberdelitos. Debemos convertirnos en unos verdaderos especialistas en la detección de alertas tempranas en lugar de reportar alarmas tardías porque algo sucedió: las alertas son preventivas, las alarmas son correctivas. La actividad estratégica de la ciberseguridad tiene mayor rentabilidad cuando evitamos pérdidas a nuestras organizaciones y no cuando focalizamos el esfuerzo en atrapar a los cibercriminales. Esta última acción incumbe específicamente a las autoridades competentes y para ellos el Convenio de Budapest es su mejor referente de momento.

Asimismo, en el mismo orden de ideas, demos una rápida mirada a los trabajos que sobre ciberseguridad realiza el Grupo de Expertos de Alto Nivel sobre Ciberseguridad (GEANC) de la Unión Internacional de Telecomunicaciones (UIT). Este grupo se estableció también en Europa en octubre de 2007 con la misión de promover y centrarse en cinco pilares estratégicos: medidas legales, medidas técnicas, definición de estructuras institucionales, creación de capacidades de atención y cooperación internacional.

Los avances y resultados del GEANC han sido notables, por cuanto a que ha situado en el debate de la ciberseguridad, legislar sobre amenazas como el correo indeseado (spam), el robo de identidad, los ataques informáticos masivos contra infraestructuras críticas que puede considerase ciberterrorismo, en tal sentido el grupo ha reconocido la Convención de 2005 del Consejo de Europa sobre la Prevención del Terrorismo.

El grupo ha recomendado que la UIT se convierta en un “Centro de excelencia” mundial para recolectar, analizar y diseminar información sobre ciberseguridad; generar mejores prácticas, y crear un marco de criterios comunes globalmente aceptados que evalúe la seguridad de las TIC.

Finalmente, el GEANC también ha recomendado que cada país determine su propia estrategia y el tipo de estructuras organizacionales para desarrollar sus capacidades de ciberseguridad nacional, así como promover la cooperación regional e internacional creando un marco organizacional de ciberseguridad flexible que cada país pueda adoptar y adaptar en función de sus circunstancias particulares.

Para efecto de conocer cómo se encuentra México en el ranking de ciberseguridad de las Américas que cada año realiza la Unión Internacional de Telecomunicaciones que evalúa el grado de desarrollo de la ciberseguridad de cada país y lo publica en el Índice Mundial de Ciberseguridad (IMC), con el objetivo fundamental de fomentar la cultura mundial en esta disciplina y su integración en el mundo de las tecnologías de la información y la comunicación, podemos referir los resultados del estudio realizado en 2014 con la participación de 104 naciones.

En el ranking de las Américas, México se ubica en la posición nueve de 15, por debajo de Brasil (3), Uruguay (4), Colombia (5), Argentina (6), Chile (7), Costa Rica (8), México (9). El lugar 15 le correspondió a Antigua y Barbuda, en tanto que el lugar 1 y 2 lo tienen los Estados Unidos y Canadá, respectivamente.

Existe una línea fina entre la seguridad, la protección de activos y la ciberseguridad, y para darle contexto a esta afirmación repasemos algunos conceptos y temas clave.

La población mundial se estima en unos 7,200 millones de seres humanos, de estos solo 500 millones califican como trabajadores del conocimiento. En ellos opera mejor la “mente” que el “músculo”. Cerca de 2,400 millones de personas son internautas donde 70% se conecta diario. En América Latina hay unos 150 millones de internautas y en México cerca de 50 millones. También se estima que cada día nacen unas 140 mil páginas Web a nivel global y, por lo tanto, las conexiones a Internet, los sitios nuevos que se consultan, los rastros digitales que dejamos en el ciberespacio —en donde es más probable que Google nos conozca mejor que nosotros mismos—, convirtiéndonos en el producto que se vende en lugar de los usuarios que compramos. Irónicamente, las TIC nos acerca a quienes están lejos y nos aleja de quienes están cerca.

La cibercriminalidad es una de las grandes amenazas que enfrentamos personas y organizaciones. Este flagelo tiene enormes implicaciones para la seguridad nacional, la prosperidad económica, la seguridad pública y la seguridad personal.

Actualmente existen unos 8.7 billones de dispositivos conectados a Internet y cada uno de ellos es una amenaza. El ciberespacio no es un país extranjero o una tierra mítica, es una construcción humana infinitamente maleable, tanto por los usuarios como por los habilidosos hackers.

Todo este crecimiento de la población como de los internautas es directamente proporcional al avance y disposición de las TIC, cumpliéndose en la práctica dos leyes básicas: la primera es la famosa Ley de Moore que preveía la duplicación del poder de procesamiento de cómputo cada dos años, pero a la vez el abaratamiento de los dispositivos informáticos; y la segunda es la Ley de Metcalfe que establece que el valor de una red es igual al cuadrado de sus nodos. Esto es, las conexiones entre redes de vínculos aportan gran significado a las relaciones de todo tipo.

De 100 millones de conexiones de maquina con máquina que se calculaban en 2011, para 2020 (dentro de cuatro años), se estima se conectarán 50 mil millones. Pero, conectando persona con persona, máquina con máquina y persona con máquina, todo combinado se cree tendremos 70 mil millones de conexiones en el año 2020. Si estas cifras las comparamos con las 100 mil millones de neuronas que se calcula tiene el cerebro humano, entonces ya podemos imaginar que pronto estaremos viendo y quizá conversando con entidades digitales que tendrán inteligencia artificial.

¿Y, los riesgos de seguridad? De manera similar, evolucionarán aparejados al avance de las TIC, como tendrá que evolucionar o revolucionarse la ciberseguridad. Ya en la actualidad las amenazas son una constante contra los activos críticos de información de organizaciones públicas y empresariales, enfrentamos riesgos a nuestras finanzas, identidad y privacidad por nuestra condición solo como personas. Hoy nuestra forma de vida depende de la tecnología y de la infraestructura crítica, así como de la manera en que estas son utilizadas. Por supuesto, con la movilidad que nos permite el uso de teléfonos y tabletas inteligentes realizando transacciones electrónicas en canales digitales y en línea se incrementan todo tipo de peligros. Nadie es inmune a la cibercriminalidad y el antídoto es la ciberseguridad.

Por otro lado, tendremos que gestionar mucho mejor el conflicto entre la seguridad y la privacidad, no podemos tener ambos derechos a 100%, menos simultáneamente. El péndulo deberá buscar el equilibrio. Nosotros somos el péndulo, y la ciberseguridad es el equilibrio. Una vulnerabilidad reciente es lo que se conoce como “Internet de las cosas” donde todos los objetos que funcionen con electricidad estarán en línea muy pronto, así que robar el poder de cómputo es el nuevo objetivo de los hackers cuyo propósito será infectar justamente las “cosas”.

Asimismo, los hackers actualmente no tienen tanto interés en vernos como objetivos personales, pues las bases de datos se han convertido en el nuevo combustible de la época, similar a la importancia del petróleo del siglo pasado. Las empresas como Google, Facebook, Microsoft, Apple, Amazon, Sony, etc., tienen tanto de nosotros que les hemos dado “voluntariamente”, que en lugar de ser sus clientes nos han transformado en sus productos y en algunos casos “personas de interés” para las autoridades justificadamente o no. Esos conceptos de Big Data y la Analítica se han convertido en la mina de oro de datos e información personal y organizacional, tanto para las empresas que los almacenan y analizan como para la nueva generación de hackers y crackers que buscarán hacerse de una apetecible rebanada de pastel.

Cada vez dependemos más del flujo electrónico de información, lo cual nos hace vulnerables a ciberataques, a naciones hostiles y a organizaciones criminales con alta tecnología que intentarán robarnos, espiarnos y sabotearnos a gran escala. Por ejemplo, una vez que tu computadora ha sido infectada con un “troyano de acceso remoto”, este podría robar tu clave de identificación y clave de acceso, tus credenciales bancarias, monitorear lo que tecleas, y, tal vez, hasta tus acciones físicas mediante la cámara Web de tu dispositivo.

En concreto, es un asunto de clics y de bits que viajan a la velocidad de la luz realizado por la industria del cibercrimen, no solo por delincuentes de cuello blanco o por delincuentes advenedizos de pijamas y pantuflas que sin salir de casa se conectan a la red para buscar incautos. Los cibercriminales crean sus ilícitos en la mente, viven en línea y los materializan en el mundo real.

Para mitigar los riesgos anteriores, la sensibilización de cada persona y organización ante las amenazas latentes de la cibercriminalidad, así como el compromiso y la acción son un elemento clave de la ciberseguridad.

A manera de recomendaciones para fortalecer la ciberseguridad se tiene:

Protocolo cibernético forense

Cuando se presente un incidente con dispositivos electrónicos trata al hardware como al software, donde puede existir evidencia digital, como si fuera un cadáver. No toques y no muevas nada hasta que lleguen los especialistas forenses. Cuida la escena del crimen.

Protocolo cibernético preventivo

• Actualiza con frecuencia los “parches” de seguridad.
• Utiliza claves de acceso con hasta 20 caracteres distintos.
• Realiza descargas solamente de sitios que conozcas sean seguros.
• Opera tu equipo como un usuario sin privilegios de acceso.
• Apaga el equipo cuando no lo uses.
• Mantén discreta y/o secreta tu vida digital.

En este siglo XXI, estamos en un mundo binario donde hay que decidir muy bien en dónde queremos estar. O somos de los buenos o somos de los malos. En materia de ciberseguridad, con el prevenir se corrige y con el corregir se previene.

Referencias

Glenn Greenwald (2014). Snowden, sin un lugar donde esconderse, Ed. B.

La Ciberguerra. Vanguardia Dossier 2015.

Marc Goodman (2015). Future Crimes, Ed. Doubleday.

Óscar Lira (2013). Cibercriminalidad: fundamentos de investigación en México, Ed. INACIPE.

Paul Day (2014). Cyber Attack, Ed. Carlton Books.

“¿Quiénes y cómo espían en México?” Revista Proceso, México, julio 2015.

“Unidad de Investigación Cibernética. Los vigilantes de internet”. Revista b:Secure, México, octubre 2012.

William Gibson (1989). Neuromante, Ed. Minotauro.

sites.oas.org

itu.int