A vueltas con el Caso Sony Pictures

Abogado. CDPP. E|CISO.  Senior Manager. Grupo SIA.

Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA.

Gonzalo Salas Claver
Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA. 

 Los ciberataques es un tema que de un tiempo a esta parte acapara buena parte de la agenda informativa. No hay semana que no aparezca en prensa el caso Sony donde, según parece por las investigaciones llevadas a cabo por el FBI, la unidad 121 de la Oficina General de Reconocimiento de las Fuerzas Armadas de Corea del Norte ha “hackeado” sus sistemas de información con las consecuencias por todos conocidas.

Este hecho ha vuelto a poner de manifiesto, por un lado, la fragilidad de las compañías y la virulencia de los ciberataques, y por otro lado, la dificultad o imposibilidad en muchos otros casos de identificar a sus autores y llevarlos frente a la justicia. Me permito recordar a este propósito y pido perdón por la auto-cita[1]; que carecemos actualmente de mecanismos y procedimientos que aseguren una respuesta rápida a los grandes incidentes de esta naturaleza, que incluya una detención rápida, un juicio sin dilaciones y un castigo severo en esta materia.

Siguiendo el divertidísimo –a la vez que profundo- artículo de Jacobo de Salas: “Cuando la diarrea legislativa no es suficiente. ¿Qué pasaría en un hipotético ataque cibernético de Corea del Norte a la productora de cine El Deseo?[2]” creo que hay seguir profundizando en estas cuestiones y ver qué se hace en otras jurisdicciones.

El Gobierno de Estados Unidos, a través de su Secretario del Tesoro Jacob Lew, está aplicando nuevas sanciones que afectan a tres instituciones norcoreanas y a diez altos funcionarios del régimen. Se ha bloqueado cualquier activo de los afectados en territorio estadounidense y les deniega también otro tipo de acceso al sistema financiero norteamericano. Además, prohíbe a cualquier empresa o ciudadano de EEUU realizar cualquier tipo de transacción con los sancionados.

Casualidades o coincidencias de la vida (yo rara vez creo en ellas; la realidad es un campo de potenciales posibilidades infinitas), la red de comunicaciones móviles y de Internet de Corea del Norte  fue tumbada tres semanas después del ataque a Sony, acusando directamente de ello a Estados Unidos el Gobierno de Corea del Norte.

Por otro lado, la Comisión Nacional de Defensa Norcoreana ha avisado que su ejército está listo para utilizar cualquier tipo de ataque contra EE.UU. “Nuestro contraataque más duro se tomará contra la Casa Blanca, el Pentágono y todo el territorio estadounidense, ese pozo de terrorismo, superando con creces el “contraataque simétricodeclarado por Obama” [Agencia Estatal de Noticias Norcoreana]. Lo que pone de relieve una vez más el uso de los sistemas de información y las redes con fines bélicos.

Como pude leer recientemente en el brillante artículo del Coronel Auditor don Jerónimo Domínguez Bascoy; Ciberguerra y Derecho. El Ius ad Bellum y Ius in Bello en el Ciberespacio de la Revista Española de Derecho Militar (Núm. 100), el profesor en el King´s College de Londres Thomas Rid, mantiene que la ciberguerra nunca ha sucedido en el pasado, que tampoco se está desarrollando en el presente y que nunca tendrá lugar en el futuro. Para este autor, todos los ciberataques que responden a motivaciones políticas no son más que meras versiones sofisticadas de tres actividades que son tan antiguas como la guerra misma; el sabotaje, el espionaje y la subversión.

En esta misma línea por ejemplo en el Memorándum del Instituto de Estudios de Seguridad Nacional de Israel, señala que dentro de las actividades de seguridad contra enemigos en el Ciberespacio, es común distinguir tres áreas:

  • Penetración en los sistemas enemigos con un propósito de espionaje.
  • Modalidades de lo que podría denominarse Soft Cyber Warface, entre las que se incluirían tanto las actividades de guerra psicológica, propaganda y revelación de información secreta, con las que se persigue influir en la opinión y conducta del enemigo y de quienes les apoyan, como las sanciones internacionales, con las que se trata de castigar a quien ha violado las reglas establecidas, con el fin de modificar sus conductas.
  • Ciberguerra, propiamente dicha, que abarcaría las actividades en el ciberespacio dirigidas directamente a causar daño o destrucción al enemigo.

El uso de las tecnologías con fines bélicos no reviste de una única modalidad y se distinguen entre tres conceptos cuya línea que los separa es muy difusa en muchos casos: Ciberguerra, Ciberoperaciones y Ciberataques. Indistintamente de la calificación que uno pueda establecer, el uso de la fuerza en el ciberespacio por el Ejército, se equipara al uso de la fuerza convencional y como tal debe estar sometido al régimen jurídico militar y lo que se denomina: (i) Ius ad bellum (normas que habilitan lícitamente a la apertura de hostilidades), (ii) Ius in bello (normas que gobiernan la conducción de las hostilidades, es decir, el derecho internacional humanitario y su plasmación operativa en las reglas de enfrentamiento de los beligerantes).

En lo que respecta al uso de la fuerza como el que ocurre en el ciberespacio, por otro lado, se encuentra sometido a dos principios:

  • Principio de distinción (Obligación de seleccionar los medios y métodos más apropiados, solo sobre objetivos militares, no civiles y sobre aquellas acciones que se consideren que producen graves daños a las personas, las infraestructuras críticas, el medio ambiente o la salud)
  • Principio de proporcionalidad (Escoger los métodos más idóneos para el cumplimiento de los objetivos)

Impaciente estoy en ver los siguientes pasos de los actores en conflicto, frente a lo que parece ser el incidente más grave acaecido hasta la fecha o por lo menos conocido por el público en general.

Como decían las series de mi infancia: Continuará

[1] La estrategia de Ciberseguridad Nacional. Línea de Acción 4 del Gobierno. Investigación y Persecución del Ciberterrorismo y la Ciberdelincuencia. https://ismsforumspain.wordpress.com/tag/gonzalo-salas/

[2] http://www.confilegal.com/tribunas/diarrea-legislativa-suficiente-29122014-1733

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.

ARABIA SAUDÍ, EL PAIS DEL PETROLEO…Y LA CIBERSEGURIDAD!

Dr. José Ramón Coz

Dr. José Ramón Coz

Dr. José Ramón Coz Fernández
Miembro fundador y Analista Internacional de THIBER. 

Es ampliamente conocido que Arabia Saudí es, sin duda, el país del petróleo. Arabia Saudí dispone de un quinta parte de las reservas petrolíferas de todo el planeta, y es el segundo país del mundo con mayores reservas después de Venezuela. Lo que, posiblemente, no sea tan conocido es su vinculación con la Ciberseguridad. Arabia Saudí, que es una de las veinte economías más poderosas del planeta, y el cuarto país del mundo que más invierte en Defensa, también ha considerado el carácter estratégico de la Ciberseguridad, formulada a través de su Estrategia Nacional de Ciberseguridad (conocida como NISS, Developing National Information Security Strategy for the Kingdom of Saudi Arabia).

Desde hace más una década, Arabia Saudí está invirtiendo cantidades ingentes en fortalecer su Ciberseguridad. Es, lo que se conoce en los ámbitos internacionales de análisis de Ciberseguridad a nivel geoestratégico, unos de los más grandes Consumidores de Ciberseguridad a nivel mundial. El país consume productos, servicios, tecnologías, ingeniería y consultoría de procesos, proyectos de investigación y formación relacionados con la Ciberseguridad, y lo hace de forma masiva. Estas grandes inversiones tienen como principal objetivo la protección de la Ciberespacio y, además, apuntalar la protección de sus Capacidades Defensivas.

En sintonía con el grupo de países más avanzados tecnológicamente y con una gran inversión en Defensa, Arabia Saudí realiza una inversión proporcional y equilibrada en Ciberseguridad, que permite al país protegerse de forma adecuada y minimizar los riesgos a los que está sometida, tanto su defensa como sus infraestructuras críticas, como es el caso particular del sector de la energía y, más en concreto, de la industria del petróleo, a la que se otorga una importancia estratégica.

La inversión del país en Defensa en el año 2013 rondó los sesenta y siete mil millones de dólares y su inversión en Ciberseguridad en el año 2013 fue de aproximadamente unos seis mil millones de dólares, de acuerdo a los últimos estudios realizados por el Departamento de Defensa de los Estados Unidos y el SIPRI (el Instituto Internacional de Investigación sobre la Paz de Estocolmo).

Todos los grandes programas y proyectos que se llevan a cabo en el ámbito de la Ciberseguridad en el país están alineados y coordinados. Esto supone un avance significativo, ya que solamente los países que coordinan de forma estratégica estos programas llegan a alcanzar un alto nivel de madurez en la protección global de su ciberespacio.

Ya en el año 2012 solamente el Ministerio de Finanzas Saudí Gestionaba un programa de Ciberseguridad de unos veinte millones de dólares, y en el caso del Ministerio de Petróleo y Minerales el programa estaba dotado de casi nueve millones de dólares; aunque fue precisamente este año 2012 en el que se produjo un punto de inflexión, con una notable evolución creciente en términos de inversiones en Ciberseguridad.

Después del ataque contra Aramco, la mayor empresa de petróleo del mundo, en el año 2012, que inutilizó los grandes sistemas de la compañía durante 10 días, se anunció un incremento en el presupuesto de Ciberseguridad de la propia compañía pública hasta los treinta millones de dólares. Además, en el año 2013 se produjeron importantes ataques contra las infraestructuras Web de los Ministerios en Arabia Saudí y estos hechos han provocado un crecimiento notable a nivel de inversiones. Según estimaciones del Virginia Economic Development Partnership, la inversión pública y privada podría alcanzar unas cifras cercanas a los treinta y siete mil millones de dólares en el año 2016. También, a modo de ejemplo, mencionaremos que tan solo las aerolíneas Saudíes ya invirtieron del orden de diez millones de dólares en programas de Ciberseguridad en el año 2013.

Estas cifras nos pueden dar una idea del alcance de los programas de ingeniería de soporte a la Ciberseguridad y de su complejidad técnica. Estos programas permiten alcanzar al país un grado de madurez alto, no solo en el ámbito de la Ciberseguridad sino también a la postre en las Tecnologías de la Información y las Comunicaciones.

Pero como todas las evoluciones, no se trata de un asunto reciente o esporádico. Si nos remontamos al año 2002, Arabia Saudita comenzó a crear su Framework Legal sobre Ciberseguridad con la creación de leyes como la Propiedad Intelectual, la ley de Copyright, la ley de Patentes o leyes específicas sobre Tecnología. En el año 2007, además, Arabia Saudita aprobó ya una Ley contra el Delito Cibernético (la famosa Ley del Cibercrimen, 8 Rabi 11428 / 26.03.2007), penalizando actos de piratería y fraude electrónico, así como la difusión electrónica información de socavar la moral pública o el apoyo a organizaciones terroristas. Las tareas llevadas a cabo desde entonces por la Oficina de Investigación y la Fiscalía con el apoyo técnico de la Comisión de la Tecnología de las Comunicaciones y la Información permiten también al país otorgar una garantía razonable de control.

Pese a ser un gran consumidor, y estableciendo las grandes distancias con los grandes desarrolladores de Ciberseguridad, Arabia Saudí está cambiando su visión del ámbito de la Ciberseguridad. Una visión más cortoplacista podría llevar al país a seguir realizando una gran inversión creciente en el consumo de Ciberseguridad, sin embargo, el gobierno Saudí está invirtiendo no solo en grandes proyectos de ingeniería, sino también en educación y formación en este campo. Además, sin duda, el mayor salto cualitativo a futuro es su inversión en Investigación sobre Ciberseguridad.

A modo de ejemplo mencionaremos la ciudad de la investigación KACST (King Abdulaziz City for Science and Technology) que es, en la actualidad, uno de los Centros más avanzados en Investigación del mundo. El programa de Ciberseguridad que gestiona este centro actualmente tiene un valor estimado de unos doce millones de dólares, y se han llevado a cabo desde el año 2011 importantes pactos de gran impacto con organizaciones de enorme prestigio como el MIT, que permiten a sus Universidades y Centros de Investigación seguir avanzando en todos los campos que engloban las TIC.

A nivel nacional, el País tiene una estructura de soporte a la Ciberseguridad coordinada, lo que se traduce en un liderazgo organizado. Destacaremos, en primer lugar, el Gran Centro de Respuesta a Incidentes que a nivel nacional lleva el liderazgo en la gestión de los Ciber-incidentes y la Gestión de Riesgos Tecnológicos. En segundo lugar, mencionaremos el Ciber-comando. Las fuerzas armadas de Arabia cuentan con servicios muy especializados y que están soportados por grandes programas e inversiones, y permiten garantizar la seguridad en los sistemas de la información y los sistemas de mando y control.

Además, existen cuerpos especialistas que actúan como asesoramiento para el resto de los cuerpos y fuerzas de seguridad del estado. Dispone el país, además, de un gran Centro de Operaciones de la Red que tiene como objetivo proteger los servidores y los sistemas de comunicación y proporcionar apoyo técnico, y de un Centro de Seguridad de la red que protege la confidencialidad de la información.

Como principal conclusión podemos destacar que Arabia Saudita, por sus grandes inversiones en todos los campos de la Ciberseguridad, incluyendo la ingeniería, la educación y la investigación principalmente, se convertirá sin lugar a dudas, y a muy corto plazo, en una de las grandes potencias mundiales en el campo de la Ciberseguridad y la Ciberdefensa.

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.

Desde Rusia con amor

EnriqueFojonChamorro
Enrique Fojón Chamorro
Sub-director de THIBER, the cyber security think tank y miembro del Spanish Cyber Security Institute de ISMS Forum Spain. 

Cuando la Unión Soviética dejó de representar una amenaza existencial para Estados Unidos a raíz de la caída del Telón de Acero, Washington empezó a construir un discurso simplista acerca de la nueva amenaza china, un peligro que también se cernía sobre el ciberespacio. Este discurso funcionó hasta que a mediados del pasado año Edward Snowden filtró miles de documentos en los que se evidenciaba como la Agencia Nacional de Seguridad (NSA) espiaba a sus propios ciudadanos, aliados, socios y enemigos.

Hasta 2013, Estados Unidos y China parecían vivir cómodos en este escenario maniqueo donde ninguna otra potencia mundial parecía hacerles sombra en lo que a ciberdisuasión se refiere. Pero nada más lejos de la realidad: aunque China siempre fue y será un problema, para Estados Unidos y otras muchas naciones la principal amenaza cibernética proviene de Moscú.

Rusia, bien como la principal república de la extinta Unión Soviética o como estado independiente, siempre ha tenido un papel protagonista en los eventos más relevantes acontecidos en los sesenta años de historia del ciberespacio. La puesta en órbita del Sputnik no solo supuso una victoria incuestionable en la carrera espacial; sino que además propició el comienzo de la guerra por el ciberespacio que todavía se libra en la actualidad. Y es que fue precisamente el éxito del Sputnik lo que provocó que el presidente Eisenhower autorizase la creación del Defence Advanced Research Projects Agency (DARPA) y que una década después ARPANET, el precursor de Internet, fuese una realidad.

En Junio de 1982, se producía una enorme explosión en un gasoducto soviético en Siberia, se habla de una potencia de 3 kilotones, que lo destruyó completamente. Supuestamente, ésta se debió a un ciberataque contra los sistemas SCADA del gasoducto por parte de alguna agencia de inteligencia estadounidense. Este episodio no ha sido confirmado ni por el atacante ni la victima pero forma parte ya de la historia del ciberespacio al ser  considerado por muchos como el primer ciberataque contra una infraestructura critica estatal.

En abril y mayo de 2007 Estonia fue víctima de un ciberataque masivo y coordinado. Muchos de los servicios online proporcionados por actores públicos y privados estonios quedaron parcial o totalmente interrumpidos debido a un conjunto de ciberataques supuestamente respaldados por el Kremlin. Este ataque no solo fue el primer ciberataque masivo contra un país sino que además encendió todas las luces de alarma en la OTAN y abrió el debate acerca de si un ataque cibernético entraba en el supuesto contemplado por el Artículo 5 del Tratado de Washington, aquel por el que en caso de un ataque armado contra el territorio de uno de los miembros de la OTAN, el resto de los miembros debería responder de forma colectiva.

En agosto de 2008, Rusia invadía Georgia. Este episodio esclarecía todas las dudas sobre  el modo en el que las tecnologías del ciberespacio se integran y emplean, según las circunstancias operativas de cada momento, en las operaciones militares. Durante la invasión de Georgia, el ejército ruso llevo a cabo un conjunto de ciberoperaciones para conservar la libertad de acción en la dimensión del campo de batalla que constituye el ciberespacio y el espectro electromagnético y, al mismo tiempo, negó  tal libertad al ejército georgiano en el momento y espacio oportunos para permitir diferentes acciones operativas en las otras dimensiones del campo de batalla (mar, tierra y aire).

En octubre de 2010, el FBI detecto que el NASDAQ estaba siendo ciberatacado. Este ataque, dirigido al corazón económico del país, hizo saltar todas las alarmas de la  administración estadounidense, en alerta ante la creciente actividad del cibercrimen de origen ruso. El National Cybersecurity and Communications Intergration Center estadounidense (NCCIC) coordinó la investigación del incidente en la que participaron activamente el FBI y la NSA. El análisis final evidencio que las tecnologías y técnicas utilizadas eran muy similares a las empleadas por la FSB – servicio secreto ruso – en otras ocasiones. Además, la investigación determino que el objetivo del ataque era conocer el funcionamiento de NASDAQ y no, a priori, su inutilización.

Además, los APT´s conocidos más sofisticados son de origen ruso. Entre ellos se encuentra Uroburos, clasificado por el Centro Criptológico Nacional (CCN) como el malware más sofisticado de los conocidos hasta la actualidad, por delante incluso del archiconocido Stuxnet.

En definitiva, no cabe duda de que las capacidades cibernéticas rusas se encuentran entre las principales preocupaciones de los departamentos de seguridad nacional y agencias de inteligencia de muchas naciones del globo.

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.