A vueltas con el Caso Sony Pictures

Abogado. CDPP. E|CISO.  Senior Manager. Grupo SIA.

Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA.

Gonzalo Salas Claver
Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA. 

 Los ciberataques es un tema que de un tiempo a esta parte acapara buena parte de la agenda informativa. No hay semana que no aparezca en prensa el caso Sony donde, según parece por las investigaciones llevadas a cabo por el FBI, la unidad 121 de la Oficina General de Reconocimiento de las Fuerzas Armadas de Corea del Norte ha “hackeado” sus sistemas de información con las consecuencias por todos conocidas.

Este hecho ha vuelto a poner de manifiesto, por un lado, la fragilidad de las compañías y la virulencia de los ciberataques, y por otro lado, la dificultad o imposibilidad en muchos otros casos de identificar a sus autores y llevarlos frente a la justicia. Me permito recordar a este propósito y pido perdón por la auto-cita[1]; que carecemos actualmente de mecanismos y procedimientos que aseguren una respuesta rápida a los grandes incidentes de esta naturaleza, que incluya una detención rápida, un juicio sin dilaciones y un castigo severo en esta materia.

Siguiendo el divertidísimo –a la vez que profundo- artículo de Jacobo de Salas: “Cuando la diarrea legislativa no es suficiente. ¿Qué pasaría en un hipotético ataque cibernético de Corea del Norte a la productora de cine El Deseo?[2]” creo que hay seguir profundizando en estas cuestiones y ver qué se hace en otras jurisdicciones.

El Gobierno de Estados Unidos, a través de su Secretario del Tesoro Jacob Lew, está aplicando nuevas sanciones que afectan a tres instituciones norcoreanas y a diez altos funcionarios del régimen. Se ha bloqueado cualquier activo de los afectados en territorio estadounidense y les deniega también otro tipo de acceso al sistema financiero norteamericano. Además, prohíbe a cualquier empresa o ciudadano de EEUU realizar cualquier tipo de transacción con los sancionados.

Casualidades o coincidencias de la vida (yo rara vez creo en ellas; la realidad es un campo de potenciales posibilidades infinitas), la red de comunicaciones móviles y de Internet de Corea del Norte  fue tumbada tres semanas después del ataque a Sony, acusando directamente de ello a Estados Unidos el Gobierno de Corea del Norte.

Por otro lado, la Comisión Nacional de Defensa Norcoreana ha avisado que su ejército está listo para utilizar cualquier tipo de ataque contra EE.UU. “Nuestro contraataque más duro se tomará contra la Casa Blanca, el Pentágono y todo el territorio estadounidense, ese pozo de terrorismo, superando con creces el “contraataque simétricodeclarado por Obama” [Agencia Estatal de Noticias Norcoreana]. Lo que pone de relieve una vez más el uso de los sistemas de información y las redes con fines bélicos.

Como pude leer recientemente en el brillante artículo del Coronel Auditor don Jerónimo Domínguez Bascoy; Ciberguerra y Derecho. El Ius ad Bellum y Ius in Bello en el Ciberespacio de la Revista Española de Derecho Militar (Núm. 100), el profesor en el King´s College de Londres Thomas Rid, mantiene que la ciberguerra nunca ha sucedido en el pasado, que tampoco se está desarrollando en el presente y que nunca tendrá lugar en el futuro. Para este autor, todos los ciberataques que responden a motivaciones políticas no son más que meras versiones sofisticadas de tres actividades que son tan antiguas como la guerra misma; el sabotaje, el espionaje y la subversión.

En esta misma línea por ejemplo en el Memorándum del Instituto de Estudios de Seguridad Nacional de Israel, señala que dentro de las actividades de seguridad contra enemigos en el Ciberespacio, es común distinguir tres áreas:

  • Penetración en los sistemas enemigos con un propósito de espionaje.
  • Modalidades de lo que podría denominarse Soft Cyber Warface, entre las que se incluirían tanto las actividades de guerra psicológica, propaganda y revelación de información secreta, con las que se persigue influir en la opinión y conducta del enemigo y de quienes les apoyan, como las sanciones internacionales, con las que se trata de castigar a quien ha violado las reglas establecidas, con el fin de modificar sus conductas.
  • Ciberguerra, propiamente dicha, que abarcaría las actividades en el ciberespacio dirigidas directamente a causar daño o destrucción al enemigo.

El uso de las tecnologías con fines bélicos no reviste de una única modalidad y se distinguen entre tres conceptos cuya línea que los separa es muy difusa en muchos casos: Ciberguerra, Ciberoperaciones y Ciberataques. Indistintamente de la calificación que uno pueda establecer, el uso de la fuerza en el ciberespacio por el Ejército, se equipara al uso de la fuerza convencional y como tal debe estar sometido al régimen jurídico militar y lo que se denomina: (i) Ius ad bellum (normas que habilitan lícitamente a la apertura de hostilidades), (ii) Ius in bello (normas que gobiernan la conducción de las hostilidades, es decir, el derecho internacional humanitario y su plasmación operativa en las reglas de enfrentamiento de los beligerantes).

En lo que respecta al uso de la fuerza como el que ocurre en el ciberespacio, por otro lado, se encuentra sometido a dos principios:

  • Principio de distinción (Obligación de seleccionar los medios y métodos más apropiados, solo sobre objetivos militares, no civiles y sobre aquellas acciones que se consideren que producen graves daños a las personas, las infraestructuras críticas, el medio ambiente o la salud)
  • Principio de proporcionalidad (Escoger los métodos más idóneos para el cumplimiento de los objetivos)

Impaciente estoy en ver los siguientes pasos de los actores en conflicto, frente a lo que parece ser el incidente más grave acaecido hasta la fecha o por lo menos conocido por el público en general.

Como decían las series de mi infancia: Continuará

[1] La estrategia de Ciberseguridad Nacional. Línea de Acción 4 del Gobierno. Investigación y Persecución del Ciberterrorismo y la Ciberdelincuencia. https://ismsforumspain.wordpress.com/tag/gonzalo-salas/

[2] http://www.confilegal.com/tribunas/diarrea-legislativa-suficiente-29122014-1733

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.

ARABIA SAUDÍ, EL PAIS DEL PETROLEO…Y LA CIBERSEGURIDAD!

Dr. José Ramón Coz

Dr. José Ramón Coz

Dr. José Ramón Coz Fernández
Miembro fundador y Analista Internacional de THIBER. 

Es ampliamente conocido que Arabia Saudí es, sin duda, el país del petróleo. Arabia Saudí dispone de un quinta parte de las reservas petrolíferas de todo el planeta, y es el segundo país del mundo con mayores reservas después de Venezuela. Lo que, posiblemente, no sea tan conocido es su vinculación con la Ciberseguridad. Arabia Saudí, que es una de las veinte economías más poderosas del planeta, y el cuarto país del mundo que más invierte en Defensa, también ha considerado el carácter estratégico de la Ciberseguridad, formulada a través de su Estrategia Nacional de Ciberseguridad (conocida como NISS, Developing National Information Security Strategy for the Kingdom of Saudi Arabia).

Desde hace más una década, Arabia Saudí está invirtiendo cantidades ingentes en fortalecer su Ciberseguridad. Es, lo que se conoce en los ámbitos internacionales de análisis de Ciberseguridad a nivel geoestratégico, unos de los más grandes Consumidores de Ciberseguridad a nivel mundial. El país consume productos, servicios, tecnologías, ingeniería y consultoría de procesos, proyectos de investigación y formación relacionados con la Ciberseguridad, y lo hace de forma masiva. Estas grandes inversiones tienen como principal objetivo la protección de la Ciberespacio y, además, apuntalar la protección de sus Capacidades Defensivas.

En sintonía con el grupo de países más avanzados tecnológicamente y con una gran inversión en Defensa, Arabia Saudí realiza una inversión proporcional y equilibrada en Ciberseguridad, que permite al país protegerse de forma adecuada y minimizar los riesgos a los que está sometida, tanto su defensa como sus infraestructuras críticas, como es el caso particular del sector de la energía y, más en concreto, de la industria del petróleo, a la que se otorga una importancia estratégica.

La inversión del país en Defensa en el año 2013 rondó los sesenta y siete mil millones de dólares y su inversión en Ciberseguridad en el año 2013 fue de aproximadamente unos seis mil millones de dólares, de acuerdo a los últimos estudios realizados por el Departamento de Defensa de los Estados Unidos y el SIPRI (el Instituto Internacional de Investigación sobre la Paz de Estocolmo).

Todos los grandes programas y proyectos que se llevan a cabo en el ámbito de la Ciberseguridad en el país están alineados y coordinados. Esto supone un avance significativo, ya que solamente los países que coordinan de forma estratégica estos programas llegan a alcanzar un alto nivel de madurez en la protección global de su ciberespacio.

Ya en el año 2012 solamente el Ministerio de Finanzas Saudí Gestionaba un programa de Ciberseguridad de unos veinte millones de dólares, y en el caso del Ministerio de Petróleo y Minerales el programa estaba dotado de casi nueve millones de dólares; aunque fue precisamente este año 2012 en el que se produjo un punto de inflexión, con una notable evolución creciente en términos de inversiones en Ciberseguridad.

Después del ataque contra Aramco, la mayor empresa de petróleo del mundo, en el año 2012, que inutilizó los grandes sistemas de la compañía durante 10 días, se anunció un incremento en el presupuesto de Ciberseguridad de la propia compañía pública hasta los treinta millones de dólares. Además, en el año 2013 se produjeron importantes ataques contra las infraestructuras Web de los Ministerios en Arabia Saudí y estos hechos han provocado un crecimiento notable a nivel de inversiones. Según estimaciones del Virginia Economic Development Partnership, la inversión pública y privada podría alcanzar unas cifras cercanas a los treinta y siete mil millones de dólares en el año 2016. También, a modo de ejemplo, mencionaremos que tan solo las aerolíneas Saudíes ya invirtieron del orden de diez millones de dólares en programas de Ciberseguridad en el año 2013.

Estas cifras nos pueden dar una idea del alcance de los programas de ingeniería de soporte a la Ciberseguridad y de su complejidad técnica. Estos programas permiten alcanzar al país un grado de madurez alto, no solo en el ámbito de la Ciberseguridad sino también a la postre en las Tecnologías de la Información y las Comunicaciones.

Pero como todas las evoluciones, no se trata de un asunto reciente o esporádico. Si nos remontamos al año 2002, Arabia Saudita comenzó a crear su Framework Legal sobre Ciberseguridad con la creación de leyes como la Propiedad Intelectual, la ley de Copyright, la ley de Patentes o leyes específicas sobre Tecnología. En el año 2007, además, Arabia Saudita aprobó ya una Ley contra el Delito Cibernético (la famosa Ley del Cibercrimen, 8 Rabi 11428 / 26.03.2007), penalizando actos de piratería y fraude electrónico, así como la difusión electrónica información de socavar la moral pública o el apoyo a organizaciones terroristas. Las tareas llevadas a cabo desde entonces por la Oficina de Investigación y la Fiscalía con el apoyo técnico de la Comisión de la Tecnología de las Comunicaciones y la Información permiten también al país otorgar una garantía razonable de control.

Pese a ser un gran consumidor, y estableciendo las grandes distancias con los grandes desarrolladores de Ciberseguridad, Arabia Saudí está cambiando su visión del ámbito de la Ciberseguridad. Una visión más cortoplacista podría llevar al país a seguir realizando una gran inversión creciente en el consumo de Ciberseguridad, sin embargo, el gobierno Saudí está invirtiendo no solo en grandes proyectos de ingeniería, sino también en educación y formación en este campo. Además, sin duda, el mayor salto cualitativo a futuro es su inversión en Investigación sobre Ciberseguridad.

A modo de ejemplo mencionaremos la ciudad de la investigación KACST (King Abdulaziz City for Science and Technology) que es, en la actualidad, uno de los Centros más avanzados en Investigación del mundo. El programa de Ciberseguridad que gestiona este centro actualmente tiene un valor estimado de unos doce millones de dólares, y se han llevado a cabo desde el año 2011 importantes pactos de gran impacto con organizaciones de enorme prestigio como el MIT, que permiten a sus Universidades y Centros de Investigación seguir avanzando en todos los campos que engloban las TIC.

A nivel nacional, el País tiene una estructura de soporte a la Ciberseguridad coordinada, lo que se traduce en un liderazgo organizado. Destacaremos, en primer lugar, el Gran Centro de Respuesta a Incidentes que a nivel nacional lleva el liderazgo en la gestión de los Ciber-incidentes y la Gestión de Riesgos Tecnológicos. En segundo lugar, mencionaremos el Ciber-comando. Las fuerzas armadas de Arabia cuentan con servicios muy especializados y que están soportados por grandes programas e inversiones, y permiten garantizar la seguridad en los sistemas de la información y los sistemas de mando y control.

Además, existen cuerpos especialistas que actúan como asesoramiento para el resto de los cuerpos y fuerzas de seguridad del estado. Dispone el país, además, de un gran Centro de Operaciones de la Red que tiene como objetivo proteger los servidores y los sistemas de comunicación y proporcionar apoyo técnico, y de un Centro de Seguridad de la red que protege la confidencialidad de la información.

Como principal conclusión podemos destacar que Arabia Saudita, por sus grandes inversiones en todos los campos de la Ciberseguridad, incluyendo la ingeniería, la educación y la investigación principalmente, se convertirá sin lugar a dudas, y a muy corto plazo, en una de las grandes potencias mundiales en el campo de la Ciberseguridad y la Ciberdefensa.

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.

FRANCIA, UN LIDERAZGO EN CIBERDEFENSA

Dr. José Ramón Coz

Dr. José Ramón Coz

Dr. José Ramón Coz Fernández
Miembro fundador y Analista Internacional de THIBER. 

Se puede afirmar, sin lugar a dudas, que Francia es uno de los países que mayor evolución ha tenido en la última década en el campo de la Ciberdefensa, pese a no ser uno de los pioneros en esta área, como puedan ser el Reino Unido, Israel, Rusia o Estados Unidos. Francia ha decido apostar por las Tecnologías de la Información y las Comunicaciones (TIC) desde hace más de tres décadas, sobretodo en el ámbito de las Administraciones Públicas y desde hace aproximadamente unos 5 años ha apostado fuertemente por la Ciberdefensa como un componente más de vital importancia, dentro del campo de las TIC.

Desde que Francia publicara su Estrategia Nacional de Ciberseguridad en Febrero del año 2011 se ha producido un auténtico terremoto que ha cristalizado en el Programa Nacional de Ciberseguridad que ha hecho público este año 2014. Este programa está dotado presupuestariamente con mil millones de euros. La propia Estrategia afirmaba que el mayor reto de la misma era convertir a Francia en una potencia mundial en Ciberseguridad.

Para decidir implicarse en un programa de estas dimensiones se ha producido previamente un trabajo ingente de análisis muy detallado de las inversiones, los programas, los proyectos y los servicios relacionados con la Seguridad de las TIC que estaban llevándose a cabo en todo el país. Todos los países con un grado de madurez alto en este campo han llevado a cabo estos estudios, aunque en el caso de Francia el proyecto es de extrema complejidad, pues su alcance abarca no solo el campo de la defensa y las administraciones públicas, sino también el de las Infraestructuras Críticas. Es importante señalar que estos retos tan complejos solo se pueden realizar con la colaboración estrecha del sector privado, que es responsable de gestionar una gran parte de estas infraestructuras, en la mayoría de los países.

Para llevar a cabo el diseño de este gran programa de inversiones, se ha contado con el liderazgo del Ministerio de Defensa Francés y la Agencia Nacional de Sistemas de Información, en su rol estratégico y de soporte a los Ciber-incidentes de seguridad a nivel nacional, tanto para el sector público como el privado (CERT-FR). El programa de Ciberseguridad convertirá a Francia en una próxima potencia de Ciberseguridad, sin lugar a dudas. Hay otros países con un grado de inversión similar, como el caso de IRAN, Arabia Saudí, Rusia o el Reino Unido, que se podrán destacar en un futuro próximo como las grandes potencias en este campo, siempre bajo el liderazgo de Estados Unidos, que es el desarrollador de la mayor parte de la tecnología de soporte a la Ciberdefensa.

Este gran programa cuenta no solo grandes proyectos de protección de infraestructuras críticas, dotados con un valor de unos cuatrocientos millones de Euros, sino también con importantes programas de I+D+i coordinados con centros de investigación básica y aplicada. El mayor grado de inversión será para los programas de Armamento y Material y la Seguridad de la Defensa. Francia, además, cuenta con una presencia muy relevante dentro de las instituciones internacionales, como la Unión Europea o las Naciones Unidas y está contribuyendo activamente a la formulación y el desarrollo de las estrategias futuras en Ciberdefensa.

Se conocen algunos grandes proyectos declarados oficialmente que cubre el Programa Nacional como el Proyecto de Seguridad en Comunicaciones, el Proyecto de Cifrado o el de Vigilancia de la Red Global de Defensa. Al tratarse de una prioridad para el Ministerio de Defensa, porque su capacidad operativa puede ser gravemente amenazada por las amenazas cibernéticas, se ha dotado de proyectos específicos de Mando y Control que permiten dotar de la seguridad de la información necesaria a los grandes programas de armamento. Esto es un aspecto fundamental, que ya ha sido incorporado en otros países. Como ya se ha mencionado, la mayor parte de las inversiones se destinarán a apuntalar la seguridad en el Ministerio de Defensa y sus socios estratégicos.

Francia, que gasta más dinero en sus fuerzas armadas que cualquier otro país europeo, excepto Gran Bretaña, se dotará en pocos años de la más alta tecnología de soporte a la Ciberdefensa y se pondrá al día con la OTAN en las defensas cibernéticas. También se pondrá en marcha un centro para capacitar al personal en la defensa cibernética, coordinado con las Universidades punteras en tecnología y seguridad, que tendrá un potente brazo de investigación para desarrollar las armas ofensivas de seguridad cibernética de Francia.

Otro aspecto clave es que el personal de la unidad de defensa cibernética en el campo militar se ha multiplicado por seis, y se ha creado un cuerpo específico de abogados especializados que serán capacitados para monitorizar todo el aspecto legal. Este cuerpo se integrará con el sistema judicial. Aquí, la colaboración Defensa y Justicia se considera clave, y existen numerosas líneas de acción para integrar sistemas, procesos y grupos de trabajo con este propósito. Esto es de vital importancia y cada día cobra más impacto en todos los países desarrollados.

Otro de los aspectos ya mencionados, pero absolutamente crítico, es la Ciberseguridad en los Programas de Mando y Control. Hasta la fecha los ataques monitorizados y protegidos por el Gobierno han tenido un foco en sistemas de información, pero el futuro de la Ciberdefensa es la protección de los sistemas críticos de armamento, como los aviones de combate, buques, drones y las plataformas terrestres.

En el caso particular de Francia, tras el acuerdo firmado con el Reino Unido en el año 2010 para el desarrollo común de Grandes Programas de Mando y Control, este Programa de Ciberseguridad Nacional tiene una importancia, si cabe, más estratégica porque las capacidades del Reino Unido en este campo son muy avanzadas y permite a Francia desarrollar potentes interfaces necesarios para la coordinación de estos Grandes Programas. Uno de los programas conjuntos Francia-UK es precisamente el de Ciberseguridad Conjunta, ya acordado como uno de los objetivos del acuerdo del año 2010.

Para llevar a cabo estos Programas Conjuntos y poder seguir avanzado en la protección de la Ciberseguridad nacional, el Programa Nacional de soporte a la Ciberdefensa es absolutamente crítico y por esa razón Francia está apostando fuerte en este campo, que llevará a consolidar al país como una gran potencia en el campo de la Ciberdefensa.

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.

A vueltas con la soberanía nacional en el ciberespacio

Guillem Colom
Guillem Colom Piella
Director de THIBER, the cybersecurity think tank.

El pasado 31 de marzo, el ministro de Defensa, Pedro Morenés, inauguró las Primeras Jornadas de Ciberdefensa de las Fuerzas Armadas que se celebraron en el Centro Superior de Estudios de la Defensa Nacional (CESEDEN). Organizadas por el Mando Conjunto de Ciberdefensa, este encuentro, que contó con la participación de representantes de la milicia, la academia, el sector público y de la empresa privada, sirvió también para la puesta de largo de este mando cuya creación se remonta a febrero de 2013.

Durante su discurso inaugural, Morenés resaltó la extrema importancia de disponer de “…la capacidad industrial para desarrollar nuestros propios mecanismos de seguridad en ciberdefensa”. Esta frase bien podría haber pasado desapercibida como parte del típico discurso de un cargo político, pero nada más lejos de la realidad.

Con estas palabras, el Ministro dejaba clara importancia estratégica que tiene para su departamento potenciar un complejo industrial en materia cibernética integrado dentro de un sistema nacional de ciberseguridad. El objetivo de este movimiento es muy claro: salvaguardar nuestra soberanía nacional en el ciberespacio.

Esta decisión es perfectamente comprensible: tras el sonado escándalo desatado el pasado año a raíz de la filtración de numerosos documentos que señalaban que la Agencia Nacional de Seguridad (NSA) estadounidense había estado espiando de forma sistemática y continuada a sus aliados y socios, han sido muchos los gobiernos que han despertado de su letargo acerca del valor estratégico que posee el ciberespacio y la suma importancia de disponer de capacidades tecnológicas propias que permitan reducir la dependencia externa del país en materia cibernética y minimizar también su exposición a la adquisición de información por parte de terceros por el simple uso de software o hardware de empresas extranjeras.

En octubre del pasado año, cuando se filtró que la NSA había espiado nuestro país, nuestro gobierno todavía no parecía haber identificado la importancia real de este entorno virtual, puesto que el ministro de Asuntos Exteriores y Cooperación aseguró que no le constaba que la agencia hubiera espiado en/a nuestro país. No obstante, lo que sí se sabía es que a raíz de nuestras carencias tecnológicas habíamos proporcionado a Estados Unidos información sobre comunicaciones telefónicas y de Internet para que la NSA se encargara de su procesamiento, filtrado y conversión en inteligencia.

Con la creación del Mando Conjunto de Ciberdefensa, la publicación de la Estrategia Nacional de Ciberseguridad y ahora con estas declaraciones, parece que algo se está moviendo en nuestro país. Aunque esta toma de conciencia se ha debido a factores externos, como el escándalo de la NSA o la presión de la Alianza Atlántica para que sus miembros desarrollen sus propios medios de ciberdefensa, y todavía son muchos los responsables políticos no logran comprender el valor intrínseco del ciberespacio para nuestras vidas, para nuestro desarrollo económico, político y social o para nuestra seguridad personal y nacional, parece que nuestro país, y más específicamente el Ministerio de Defensa, se está empezando a mover en la dirección correcta, pensando ya en la generación de capacidades.

Y para ello, no basta con crear un Mando Conjunto de Ciberdefensa con una reducida financiación, unas líneas de actividad poco claras y sin apenas personal experto, o elaborar una Estrategia Nacional de Ciberseguridad sin presupuesto para su implementación. Falta concienciación dentro y fuera de la Administración, falta participación público-privada de todos los elementos relevantes del país y, falta, sobre todo, no caer en la autocomplacencia.

A pesar de estos escollos que pueden dificultar la creación de un sistema de ciberseguridad fundamentado en capacidades nacionales autónomas y competitivas, las palabras de Morenés son todo un hito porque identifican una de las raíces del problema. Ahora sólo falta continuar en esta dirección.