Transcript
LA RESPUESTA PARA HACER FRENTE DE MANERA EFECTIVA A LAS CIBERAMENAZAS FUTURAS EXIGE UNA RUPTURA CON EL ESQUEMA DE CIBERSEGURIDAD ACTUAL.
AUTOR Juan de Dios Meseguer González. Militar en activo. Abogado en ejercicio. Especialidad principal en Delitos tecnológicos. Perito Judicial Informático Forense en ANTPJI. Doctor en Derecho por la UNED. Tesis sobre el Análisis, tratamiento y respuesta científico legal en la defensa de los Derechos fundamentales afectados por los modi operandi de las amenazas procedentes del ciberespacio.
[email protected]
RESUMEN Las particularidades que revisten los ciberdelincuentes informáticos en cualquiera de sus modalidades, ponen de manifiesto, la necesidad de contar con una nueva regulación normativa en materia de ciberseguridad adaptada a las nuevas y cambiantes realidades tecnológicas. Hay que tener en cuenta, que las distintas modalidades o especialidades delictivas se producen tanto en casos de criminalidad a gran escala1, (en los que se cometen actuaciones delictivas totalmente novedosas y de difícil persecución, como pueden ser los ataques de denegación de servicios), pasando por otro tipo de delitos informáticos menos organizados aunque también más frecuentes (como, por ejemplo, los delitos de pornografía infantil, ciberacoso o ciertos tipos de estafa, como el phishing o el pharming). 1 CESEDEN. “El Ciberespacio: nuevo escenario de confrontación”. 2012. http://www.ieee.es/Galerias/fichero/OtrasPublicaciones/Nacional/CESEDEN_Mono grafia126_CiberespacioNuevoEscenarioConflictos.pdf
Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 1
PALABRAS CLAVE: Ciberdelincuencia, Ciberseguridad, modus operandi.
Tecnología,
Ciberataques,
ABSTRACT The particularities computer Cybercriminals lining in all its forms, indicate the need for new rules on Cybersecurity regulation adapted to new and changing technological realities. Keep in mind that different modalities or specialties criminal cases occur in both large-scale crime, (in which totally new and difficult persecution committed criminal acts, such as the denial of services) through other less organized but also more frequent (for example, child pornography offenses, cyberstalking, or certain types of fraud, such as phishing or pharming) cybercrime. KEYWORDS: Cybercrime, Cybersecurity, Technology, Cyberattacks, modus operandi.
Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 1
INDICE INTRODUCCIÓN……………………………………………….....……….4 NORMATIVA SOBRE CIBERSEGURIDAD EN EL MARCO NACIONAL E INTERNACIONAL ACTUAL…………………….......…..5 III. LA PREVENCIÓN Y RESPUESTA FRENTE A LAS NUEVAS CIBERAMENAZAS, EXIGE PARA QUE SU CONTROL SEA EFECTIVO UNA METODOLOGÍA Y UN TRATAMIENTO NORMATIVO EN CIBERSEGURIDAD ADAPTADO A LOS AVANCES TECNOLÓGICOS……………………………….........................…………..11 IV. CONCLUSIONES…………………………………….....…………………...23 V. BIBLIOGRAFÍA………………………………………….....……………….26 I. II.
Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 2
I.INTRODUCCIÓN: El ciberespacio es un entorno peligroso, estratégicamente apropiado para intervenir por todo tipo de sujetos físicos y/o como programas creados por expertos en informática y que son situados en la red informática con objetivos concretos. Pues bien, esto se debe a que el ciberespacio posee una serie de características diferenciales del resto de los espacios. Resumidamente: 1.-El ciberespacio es un entorno único, en el que el atacante puede estar en cualquier parte del globo. 2.-En la defensa intervienen muchos factores, y no sólo elementos estatales2 sino también privados. Se exige pues una estrecha coordinación entre todos ellos. 3.-La confrontación en el ciberespacio presenta frecuentemente las características de un conflicto asimétrico; y es frecuentemente anónimo y clandestino3. 4.-Permite obtener información sobre objetivos sin necesidad de destruir ni neutralizar ningún sistema, y a menudo, sin delatarse. 5.-Permite también ejercer el chantaje; pero, al mismo, tiempo, la defensa que utiliza para la disuasión. 6.-Evoluciona rápidamente siguiendo la evolución tecnológica de las TIC. Por tanto, lo que la ley va a perseguir y permitir a las unidades militares, policiales, periciales, etc, es la forma de intentar prevenir los ataques (fraudes, chantajes, calumnias, injurias, mensajes ofensivos, injerencias en nuestras vidas y la de nuestras familias…), respecto de un programa informático, en forma de virus, troyanos, malware, etc, porque si pensamos en arrestar al individuo o individuos que lo pusieron en circulación, adelantamos que casi es imposible e improbable su rastreo, aunque sus consecuencias serán visibles: económicas y humanas. 2 CORBACHO PALACIOS, Francisco Javier. “Análisis de la jurisdicción en el plano internacional: Principio de Justicia Universal y efectos internacionales de la jurisdicción de los Estados”. http://noticias.juridicas.com/art.iculos/55-Derecho %20Penal/200707-00214589654125874541.html
3 DEL POZO PÉREZ, M., “El agente encubierto como medio de investigación de la delincuencia organizada en la LECrim”, en Criterio Jurídico, vol. 6, pág. 296. 2006. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 1
Estamos ante las “amenazas emergentes en desarrollo4” que son noticia actualmente y lo seguirán siendo en los próximos años. Aunque el desarrollo de las nuevas tecnologías se centra principalmente en satisfacer la demanda del usuario en los países occidentales5, los países en desarrollo también pueden beneficiarse de estas nuevas tecnologías, pero los particulares ciberdelincuentes y ciberterroristas, se aprovecharán de esos avances y de sus vulnerabilidades, para producir caos en la red. II.NORMATIVA SOBRE CIBERSEGURIDAD EN MARCO NACIONAL E INTERNACIONAL ACTUAL.
EL
En un mundo como el actual, plenamente dependiente de las nuevas tecnologías y para el que se precisa una urgente modernización y actualización tanto de la normativa legal como de la forma de actuar de los distintos agentes implicados, se hace preciso, previamente, tomar conciencia de toda una variada gama de figuras que atentan a los Derechos fundamentales de los ciudadanos, lo que en definitiva afecta al concepto de “Estrategia de Ciberseguridad Nacional”, y con el fin de dar respuesta al enorme desafío que supone la preservación del ciberespacio de los riesgos y amenazas que se ciernen sobre él. Siguiendo lo indicado en el documento de “Estrategia de Ciberseguridad Nacional” aprobado por el gobierno en el 2013, se presentan los siguientes Riesgos y amenazas que atentan a la Ciberseguridad nacional:
4 FARALDO CABANA, Patricia, “Los conceptos de manipulación informática y artificio semejante en el delito de estafa informática”, Eguzkilore, San Sebastián, núm. 21, pág. 36, 2007. 5 DÍAZ GÓMEZ, Andrés. “El delito informático, su problemática y la cooperación internacional como paradigma de su solución: el convenio de Budapest”, Cap. III.1.3. El problema de las múltiples jurisdicciones: “todo ello origina una laguna normativa internacional en el ámbito de la jurisdicción competente en materia de delitos informáticos, que origina numerosos conflictos, siendo finalmente perjudicado, especialmente, el particular. La inseguridad que ello genera es elevada. Muchas veces es difícil determinar cuál es la legislación nacional que se estaría violando, de existir alguna, ya que todo el contenido de Internet aparece simultáneamente en todo el mundo. Dentro de este contexto, prácticamente todas las actividades en Internet tienen un aspecto internacional que podría involucrar múltiples jurisdicciones o provocar el llamado efecto indirecto”. http://www.unirioja.es/dptos/dd/redur/numero8/diaz.pdf Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 2
Frente a este decálogo de riesgos y amenazas 6, ¿cuáles son las infraestructuras7 en peligro en general y para el caso concreto de España?
6 FELIU ORTEGA, Luis. “La Ciberseguridad y la Ciberdefensa. El Ciberespacio: Nuevo escenario de confrontación”. Monografías del CESEDEN. 2010. 7 GEERS, Kenneth. “The Cyber Threat to National Critical Infrastructures: Beyond theory . Information Security Journal: A global perspective”, Cap. 18, págs. 1-7. 2009. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 3
La normativa que pretende planificar y protegernos frente a las ciberamenazas: A.-AMBITO NACIONAL: ¿En qué normas y principios se concreta la normativa nacional española sobre Ciberseguridad? -La Orden Ministerial 10/2013, de 19 de febrero, por la que se crea el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas. - La Estrategia de Ciberseguridad Nacional, en sintonía con los principios informadores de la Estrategia de Seguridad Nacional, y como extensión de éstos, se sustenta e inspira en los siguientes Principios Rectores: 1. 2. 3. 4.
Liderazgo nacional y coordinación de esfuerzos. Responsabilidad compartida. Proporcionalidad, racionalidad y eficacia. Cooperación internacional.
-Todo lo anterior, se realiza respetando: a) La Constitución española de 1978. b) Declaración Universal de Derechos Humanos, el Pacto Internacional de Derechos Civiles y Políticos. c) El Convenio Europeo para la protección de los Derechos Humanos y las Libertades Fundamentales. B.-ÁMBITO INTERNACIONAL (citamos dos alternativas): 1.-EE.UU:
Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 4
-Ciberseguridad de EE. UU.: protección de infraestructuras críticas que comenzaron durante la Administración Clinton, Orden Ejecutiva 13010, Protección de las Infraestructuras Críticas, de 1996. -La Estrategia Nacional para Asegurar el Ciberespacio del presidente George W. Bush fue publicada en 2003. -La Administración Bush publicó en 2006 el Plan Nacional de Protección de Infraestructuras. -La Iniciativa nacional integral de Ciberseguridad en 2008. 2.-Europa: -La Directiva comunitaria 31/2000 de 8 de Junio sobre Servicios de la Sociedad de la Información y el comercio electrónico. -Dictamen 4/2001 acerca del proyecto de convenio del Consejo de Europa sobre el ciberdelito, aprobado el 22 de marzo de 2001. - El Convenio sobre delincuencia informática, Budapest 21 de noviembre de 2001. -La Decisión marco 2005/222/JAI, relativa a ataques contra los sistemas de información, adoptada por el Consejo de Europa el 17 de enero de 2005. -Directiva 2009/136/CE/ del Parlamento Europeo y del Consejo, de 25 de noviembre, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación en materia de protección de los consumidores. -Directiva 2009/140/CE del Parlamento Europeo y del Consejo, de 25 de noviembre, por la que se modifican la Directiva 2002/21/CE relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/19/CE relativa al acceso a las redes de comunicaciones electrónicas y recursos asociados, y a su interconexión, y la Directiva 2002/20/CE relativa a la autorización de redes y servicios de comunicaciones electrónicas. -La directiva europeas.
2008/114/CE.
Sobre
infraestructuras
críticas
-Cybex crea el primer Fondo Documental Europeo del cibercrimen y la Prueba Electrónica, el 2 de febrero de 2009. Los principales riesgos y amenazas para la seguridad a los que se enfrenta hoy Europa, son: el terrorismo en cualquiera de sus formas, la delincuencia organizada y grave, el tráfico de drogas, la Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 5
ciberdelincuencia, la trata de seres humanos, la explotación sexual de menores y la pornografía infantil, la delincuencia económica y la corrupción, el tráfico de armas y la delincuencia transfronteriza. Todos estos riesgos, desarrollan técnicas para delinquir, pero requieren de métodos, que les permita adaptarse muy rápidamente a la evolución científica y tecnológica, en su intento de aprovecharse ilegalmente y socavar los valores y la prosperidad de nuestras sociedades abiertas. Es por ello, que aprender los factores que favorecen la evolución de estos grupos, se hace básico y vital para todo Estado, por lo que todos los países se ven obligados a adaptar sus métodos ordinarios de control a escala nacional para hacer frente a los delitos que se cometen en el ciberespacio. Los factores de expansión del modus operandi de estos grupos, permite definir que nuevos modi operandi son los más destacados por ciberdelincuentes y ciberterroristas. En cuanto a dichos modus8: 1.-Uso de malware contra móviles y explotación de teléfonos móviles para cometer fraudes (fundamentalmente en el sistema operativo android: exploits, banca online, botnets). 2.-Malware en la empresa. 3.-Guerras de troyanos: la competencia entre los desarrolladores de malware en el mercado negro dará lugar a nuevas funciones y ciclos de desarrollo más breves. 4.-En el entorno clandestino van a seguir proliferando los troyanos desarrollados de forma privada y diseñados para llevar a cabo ataques con un alto grado de especialización. 5.-Evolución de los ataques de robo de identidad y de las organizaciones contra las que se dirigen. 6.-Delincuencia financiera: tarjetas de pago, blanqueo de capitales, moneda y documentos de seguridad falsos, estafa (como el timo de la lotería y la denominada “estafa nigeriana” que se ha analizado anteriormente). 8 GONZÁLEZ RUS, J.J. “Los ilícitos en la red (I): hackers, crackers, cyberpunks, sniffers, denegación de servicios y otros comportamientos semejantes”, Granada 2006, pp. 248 y ss.; GUTIÉRREZ FRANCÉS, M.L. “Delincuencia económica e informática en el nuevo Código Penal”, Cuadernos de Derecho Judicial, 2001, pp. 291 y ss.; ROMEO CASABONA, C.M. “Los delitos de daños en el ámbito informático”, en el Cibercrimen: Nuevos retos jurídicos-penales, pág. 91. Granada 2006. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 6
7.-La inserción del dinero ilegal en la economía formal se lleva a cabo mediante una máscara que permita no sospechar de su procedencia mediante un esquema de simulación y penetración en los mercados financieros. Se puede decir, que el proceso de lavado de dinero es en sí mismo un proceso destinado y empleado para seguir cometiendo otro tipo de ilícitos, porque no olvidemos, que la falta de recursos es vital para frenar las actividades terroristas, pero si se autofinancian por medio de la falsificación o la inserción ilegal de capital o dinero, al final, estos modus operandi, se convierten en las fuentes para continuar con sus objetivos. El crecimiento exponencial de los dispositivos móviles como ordenadores de uso general “sobre la marcha” los ha convertido en un objetivo atractivo para los ciberdelincuentes. Atendiendo a todos estos antecedentes normativos y la realidad tecnológica, descolla principalmente el Convenio sobre la Ciberdelincuencia, adoptado en Budapest el 23 de noviembre de 2001. Este Convenio surge como consecuencia del desarrollo y utilización cada vez mayor de las tecnologías de la información y la comunicación y de las posibilidades consiguientes que ofrecen tales medios para la comisión de nuevos tipos de delitos, así como de la necesidad de aplicar una política penal común encaminada a proteger a la sociedad frente a la ciberdelincuencia, a cuyo fin ordena a las partes la adopción de una legislación que dé respuesta adecuada a tales nuevas formas de delincuencia informática y el establecimiento de una política de cooperación internacional. Sin embargo, requiere de una actualización, porque no se muestra efectivo actualmente a los nuevos modi operandi de la cibercriminalidad que conocemos. Además, algunos Estados miembros todavía no han ratificado el Convenio o lo han hecho tan recientemente (como es el caso de España, que lo hizo el 3 de junio de 2010) que no han conseguido actualizar su normativa interna, al nuevo marco jurídico internacional, lo que hace que en esta nueva etapa que afrontamos, sea el momento oportuno para plantear algunos problemas procesales relativos a la investigación de este tipo de delitos para, al menos, provocar la reflexión acerca de los principales temas que requieren atención legislativa. III.LA PREVENCIÓN Y RESPUESTA FRENTE A LAS NUEVAS CIBERAMENAZAS, EXIGE PARA QUE SU CONTROL SEA EFECTIVO UNA METODOLOGÍA Y UN TRATAMIENTO NORMATIVO EN CIBERSEGURIDAD ADAPTADO A LOS AVANCES TECNOLÓGICOS. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 7
Dado el carácter internacional del ciberdelito, la armonización de las leyes nacionales y de las técnicas resulta indispensable para combatirlo. Sin embargo, esta armonización debe tener en cuenta las demandas y capacidades regionales. La importancia de los aspectos regionales en la implementación de las estrategias anti-ciberdelito, viene realzada por el hecho de que, muchas normas jurídicas y técnicas hayan sido acordadas entre países industrializados, sin incluir varios aspectos importantes para los países en desarrollo. Sería conveniente incluir los factores regionales europeos y que se ha demostrado producen resultados efectivos en dichos sistemas penales, para implementarlos en aquellos otros países, cuyo tratamiento anti-ciberdelito no está respondiendo para frenar la fenomenología que nos acecha. Muestra de que seguir el reflejo del éxito demostrado en otros países, resulta efectivo penalmente, es lo que ha quedado comprobado en diversos congresos, que actuando de ese modo, nos ha permitido un mejor entendimiento de la problemática mundial9, como paso previo para alcanzar soluciones conjuntas. Dichos resultados, nos pueden y deben servir para reflexionar y limar de manera diferente nuestras lagunas actuales, dentro de una era tecnológica que se transforma constantemente, cuyo ritmo de crecimiento y adaptación, lamentablemente no puede ser soportado ni por el usuario individual ni por todos los estados en sus distintas administraciones. La propia evolución tecnológica, que tampoco entiende de situaciones económicas de austeridad, también ha provocado cierta inestabilidad que han aprovechado los ciberdelincuentes y ciberterroristas, dado que junto al fruto del ansia empresarial generalizada por innovar y mostrarnos nuevo software y dispositivos, han aparecido ciertos bugs o agujeros que provienen de errores cometidos de forma accidental e involuntaria por los programadores, de los que se han servido los sujetos ciberdelicuentes, para vulnerar la seguridad en los sistemas informáticos y en consecuencia, nuestros derechos fundamentales. Desde el campo penal, a nivel comparado se observan tres técnicas normativas que pudieran ser efectivas: a) el recurso a Leyes penales especiales; b) la tipificación de nuevas figuras delictivas en el Código Penal, y c) la elaboración de normas internacionales. 9 GONZÁLEZ RUS, Juan José. “Precisiones conceptuales y políticocriminales sobre la intervención penal en Internet”, en Cuadernos penales José María Lidón, 4, págs.13-41. 2007. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 8
Han optado por la primera vía países como Francia, Gran Bretaña, Holanda, Estados Unidos, Chile o Venezuela, que han elaborado Leyes penales especiales para abordar este fenómeno. El ciberespacio representa el ejemplo más claro de un nuevo entorno “fuera de todo espacio físico" generado por las nuevas tecnologías y que se sitúa por completo al margen del concepto tradicional de fronteras nacionales. La indefinición de las fronteras entre lo legal y lo ilegal que caracteriza al espacio cibernético, las facilidades que ofrece para situarse al margen de las regulaciones legales de cada país y las inmensas posibilidades que ofrece para nuevas iniciativas lo convierten en un ámbito fundamental para la actividad delictiva. Hasta la aprobación, en mayo de 2011, de la vigente Estrategia Nacional de Seguridad que se desarrolla en consonancia actualmente y desde el 2013 con la Estrategia de Ciberseguridad Nacional, no se había identificado, de manera formal, al ciberespacio como una amenaza real para la seguridad nacional. Las amenazas han adquirido un potencial de peligrosidad 10, que en cualquiera los sectores críticos que se han expresado gráficamente, el grado de penetración del ciberespacio, tanto para la gestión interna como para la provisión de servicios, alcanzó su grado crítico ya hace tiempo. Cualquier contingencia que pudiese afectar a alguno de los activos clave pertenecientes a cualquiera de los 12 sectores estratégicos podría comprometer la seguridad nacional. En cuanto al sistema empresarial español, la gran mayoría de las grandes empresas disponen de una organización interna que les permite implementar las actividades y medidas que se enmarcan dentro de las prácticas de seguridad de la información, si bien, atendiendo a que en nuestro país, el 44% de los directivos consultados aseguran que los incidentes de seguridad dentro de su empresa han aumento un 5% durante la pasado año, es por lo que se deduce falta de respuesta efectiva en la adaptación a la nueva realidad tecnológica y a los riesgos de seguridad. El Spanish Cyber Security Institute (SCSI), en su informe “La ciberseguridad nacional”, un compromiso de todos (14), deja muy claro que el estado de concienciación en ciberseguridad de la sociedad civil es muy bajo; que las campañas desarrolladas por el INTECO, el CCN y el propio SCSI «de momento, estas iniciativas tienen una 10 GONZÁLEZ DE LA GARZA, Luis M. “Seguridad nacional en la cloud computing (computación en nube y sus riesgos) -prepararse para lo peor y esperar lo mejor”. III Actas de Seguridad en IUGM. págs. 1303-1322. Madrid, 2011. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 9
repercusión insuficiente en la sociedad civil», y enumera una serie de causas que divide en cuatro grupos: «organizacionales, operacionales, jurídicas y políticas11». De entre las causas enumeradas en el citado informe quiero resaltar las siguientes: -“Escaso protagonismo de los actores privados en materia de ciberseguridad. La ciberseguridad nacional, hoy en día, es un sistema cerrado y exclusivo de los actores gubernamentales”. -“En la actualidad, más del 80% de las infraestructuras críticas de nuestro país son propiedad, están dirigidas y gestionadas por el sector privado (empresas nacionales e internacionales). Por tanto, la aportación del sector privado al proceso de construcción de la ciberseguridad nacional resulta esencial”. -“Ausencia de una política estatal en materia de ciberconcienciación y cibereducación. Muchos países de nuestro entorno están desarrollando ambiciosas políticas en materia de ciberconcienciación y ciberseguridad como eje fundamental para la creación de una cultura de ciberseguridad.” -“Estas políticas han sido desarrolladas e impulsadas, en primera instancia, por el sector privado y, posteriormente, han recibido un fuerte apoyo gubernamental. En este caso, cabe destacar una doble función, por un lado, concienciar y educar al conjunto de la ciudadanía de los riesgos del ciberespacio y, por otro, identificar futuros talentos en el campo de la ciberseguridad dentro de la comunidad escolar y universitaria”. Ante esta situación, podemos diagnosticar lo que está ocurriendo a nivel empresarial y a modo de pronóstico, lo que ocurrirá en este sector. Muchas compañías se han dado cuenta del alcance y las consecuencias que supone para ellas sufrir un ataque sobre sus sistemas de información, por lo que al menos, el 80% de las mismas cuenta con un alto directivo responsable de la seguridad informática: Chief Information Officer (CIO), un porcentaje que a nivel global alcanza el 70% pero insuficiente12.
11 JAHANKHANI, H. y AL-NEMRAT, A. (n.d.) “Examination of Cybercriminal Behaviour”, International Journal of Information Science and Management. http://www.srlst.com/ijist/special%20issue/ijism-specialissue2010_files/Special-Issue201041.pdf 2011. 12 Esta es la principal conclusión de la decimosexta edición de la Encuesta Global de Seguridad de la Información de EY, titulada Under Cyber Attack. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 10
Existen dos factores de peso que explica también los resultados en cuanto a vulnerabilidad y respuesta efectiva contra las ciberamenazas. Nos referimos a la falta de ciberconcienciación y cibereducación así como la escasez de recursos económicos y humanos que impiden la adecuada implementación de las medidas de ciberseguridad, limitándose a actividades centradas en las TIC. En España se ha reaccionado a las amenazas emergentes procedentes del ciberespacio, desde un ámbito normativo, de manera tardía y poco efectiva, lo que ha generado un escenario de inseguridad jurídico-legal palpable gráficamente:
La realidad tecnológica, la actuación anónima de los ciberatacantes aprovechando las diversas vulnerabilidades y en consonancia, una realidad legislativa desfasada con dicho panorama de riesgos y amenazas, nos ha enseñado que dichas modalidades delictivas no siempre pueden ser adecuadamente engarzadas por los tipos penales clásicos, diseñados y redactados para prevenir y reprimir la delincuencia tradicional, y que resultan ajenos a los modernos mecanismos13 de agresión de bienes jurídicos. Tampoco la metodología seguida por los usuarios, instituciones y empresas, ha sido correcta a las circunstancias cambiantes del ciberespacio. Se requiere, en consonancia, la fusión de todas las políticas de seguridad para dotar a la sociedad de un modelo de seguridad integral que garantice: a) Con carácter general: la seguridad nacional que no está restringida a la defensa de sus fronteras y su soberanía, dado que el 13 Ministerio de Defensa. “La inteligencia, factor clave frente al terrorismo internacional”. Cuadernos de Estrategia nº 141, 2009. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 11
Ciberespacio no entiende de fronteras ni estas se pueden delimitar técnicamente a como se hace política o geográficamente. b) Con carácter específico: los derechos fundamentales de los ciudadanos. Concretamente: intimidad personal, familiar, propia imagen, inviolabilidad del domicilio y el secreto de las comunicaciones. A lo que habría que añadir un uso seguro de las tecnologías. Los riesgos, en términos de seguridad, se caracterizan por lo general mediante la siguiente ecuación: riesgo = (amenaza * vulnerabilidad) / contramedida La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad (conocida a veces como falencias ((flaws) o brechas (breaches)) representa el grado de exposición a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las acciones que se implementan para prevenir la amenaza. Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también reflejan la capacitación y la toma de conciencia por parte del usuario, además de reglas claramente definidas. Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever el curso de acción del atacante. Por tanto, uno de los objetivos de este estudio es brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas, y dar una idea de cómo funcionan para conocer la mejor forma de reducir el riesgo de intrusiones, lo que implica un análisis del perfil de estos sujetos. Todo ello, frente a los riesgos y amenazas transfronterizos, asimétricos14 y tecnológicos, como consecuencia de la aparición de actores (ciberatacantes) con ubicación y motivaciones heterogéneas: antisistema, desestabilización de la economía, alarma social y puesta en duda de los sistemas militares de defensa tradicionales y actuales, etc. Llegados a este punto, se propone como metodología y tratamiento en la lucha frente a las ciberamenazas, reestructurar el sistema actual de estrategias sobre ciberseguridad seguidas hasta el momento en prevención de los distintos riesgos y amenazas, lo que implica una ruptura con las formas tradicionales.
14 http://www.ieee.es/Galerias/fichero/docs_opinion/2011/DIEEEO722011AmenazasNBQGSalazar.pdf Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 12
Actualmente, en el caso concreto de España:
Los problemas que se observan sobre esta estructura en Ciberseguridad Nacional son: -La autoridad Nacional de seguridad no muestra coordinación o enlace con otro escalón externo en la estructura definida. Por ejemplo, en un ataque de denegación de servicio (DDoS) puede tener como objetivo un sector concreto nacional, pero iniciarse en diversos puntos del exterior: Europa, América, Asia, etc, por lo que se hace necesario controlar la actividad en la red no solo “desde y por” una única autoridad. -En una organización típica, estos eventos DDoS darán lugar a una escalada en el Network Operations Center (NOC), y el equipo o la organización afectada podría responder de estar coordinada según el protocolo para evitar así limitar su eficacia y permitir que la organización se recuperé más rápido en cuanto se detecten solicitudes en un período de tiempo tan corto que en principio sin coordinación sería imposible contrarestar. -Los ataques DDOS son bastante simples, pero letales. Las redes de miles de computadoras infectadas, conocidas como botnets, acceden simultáneamente a la página objetivo del ataque, que queda saturada por el volumen en tráfico, y por lo tanto inhabilitada. Las principales políticas de seguridad deberían ir dirigidas a fomentar y desarrollar: • La resiliencia cibernética de nuestros sistemas informáticos y consecuencia inmediata de lo que se produce en el ciberespacio. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 13
• La fusión entre lo técnico, jurídico y la ciberseguridad. • La colaboración entre Ejército y organismos civiles • La educación y concienciación desde las tempranas edades. • El I+D+i en nuevas tecnologías que deberían exigirse en todos los Ministerios y empresas por medio de auditorías (Hacking Etico) que confirmase el estado de respuesta frente a las vulnerabilidades. • La colaboración internacional: militar, policial, judicial, empresarial y gubernativos. Por medio de examen conjunto de la capacidad de respuesta operativa de cada agente en respuesta a un ciberataque. • Preparación y especialización de todos los operadores: militares, policiales y judiciales. • El diseño de una Ciberlegislación sobre Internet15, que necesariamente tiene que provenir de la participación y ratificación común de todos los Estados. Lo que se traduce en: a) La gobernanza de Internet desde un organismo creado con potestad internacional para autorizar o restringir el acceso y para sancionar las conductas transgresoras (Autoridad Conjunta de Internet-ACONINT). Sede central rotativo cada 5 años que variase entre los estados ratificantes y una delegación en cada continente. b) La pérdida de intereses estatales heredados de otros campos en pro de garantizar una seguridad efectiva en la navegación, control y punición de conductas provenientes de la web. c) Marco legislativo global, compatible a todos los estados, capaz de gestionar y garantizar la explotación del ciberespacio internacional. d) Eliminación del sistema de vetos • La ruptura con el modelo de Internet actual: protocolos, lenguajes de programación, certificación y versiones. Es preciso separar el Internet tradicional que actualmente fusiona ocio, actividades empresariales, seguridad y gobiernos, por otras dos versiones, que disgregue lo ocioso de lo que requiere un control y seguridad. • Sería aconsejable un Internet con acceso restringido y no accesible públicamente. Implantar tres tipos de Internet: a) Una navegación para los usuarios domésticos (libre y gratis); b) Internet empresarial (acceso limitado y para empresas abonadas que satisfacen un pago); c) Internet gubernativo (acceso restringido). La autenticación que se requiere, se refiere a que el sistema debe ser capaz de verificar que un usuario identificado que accede a un sistema de información es efectivamente quien dice ser 15 http://www.sela.org/attach/258/EDOCS/SRed/2013/03/T0236000049820-IF_Taller_Regional_sobre_Ciberlegislacion.pdf Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 14
Dado que la Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo para posteriormente implementar mecanismos que permitan controlarlo, lo que se observa no se realiza actualmente en España plena y efectivamente. Es por ello, que es necesario dividir la Gestión de Riesgo16 en cuatro fases: Análisis, Clasificación, Reducción y Control, las cuales se citan a continuación:
16 ERB, Markus, Gestión de Riesgo en la Seguridad Informática [En línea],
, [Citado el 7 de Septiembre de 2011]
Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 15
Análisis: En la fase de análisis se determina los componentes del sistema que requieren protección, las vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el objetivo de revelar su grado de riesgo. Por lo tanto al identificar las vulnerabilidades y las amenazas del sistema, permitirá conocer los riesgos potenciales que atentan la seguridad del sistema. Clasificación: En la fase de Clasificación se determina si los riesgos encontrados y los riesgos restantes son aceptables. Reducción: En la fase de Reducción se define e implementa las medidas de protección y de igual forma se sensibiliza y capacita a los usuarios conforme a las necesidades. Control: En la fase de Control se analiza el funcionamiento, la efectividad y el cumplimiento de las medidas y si es el caso ajustarlas. Tampoco se observan mecanismos de seguridad adecuados para poder asegurar que se dispone de las herramientas de contra-respuesta (contramedidas). Es por ello, que se se debería clasificar las mismas según la función que desempeñen. Estos mecanismos pueden ser Preventivos, Detectores o Correctores. 1. Preventivos: Los mecanismos preventivos actúan antes de que se produzca un ataque, su misión principal es evitar el ataque.
Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 16
2. Detectores: Los mecanismos detectores actúan cuando el ataque se ha efectuado y antes de que éste cause daños en el sistema. 3. Correctores: Los mecanismos correctores actúan después de que se ha presentado un ataque y se haya producido daños. Su principal objetivo es el de corregir las consecuencias del daño. La seguridad informática debería ser integrada en el modelo de estructura que se definido para el modelo español. En este sentido:
IV.CONCLUSIONES. Para alcanzar los objetivos descritos en el presente análisis, será necesario llevar a cabo un conjunto de acciones que permitan: • Mejorar el conocimiento de ciber-situación. • Mejorar las capacidades de detección y análisis en ciberamenazas. • Mejorar los canales de comunicación entre los diferentes actores involucrados en la Ciberseguridad Nacional. • Mejorar la resiliencia y seguridad del ciberespacio nacional. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 17
• Fortalecer el marco jurídico nacional e internacional en materia de ciber-crimen. • Mejorar la concienciación, educación, formación y desarrollo profesional en materia de ciberseguridad. • Fomentar programas de I+D+i en materia de ciberseguridad. • Apoyar la competitividad del sector privado en materia de ciberseguridad. • Fomentar la cooperación internacional. • Mejorar y ampliar la red de sensores de alerta temprana. • Mejorar las capacidades de monitorización. • Mejorar las capacidades de análisis de vulnerabilidades. • Mejorar las capacidades de resolución de incidencias cibernéticas. A la vista de lo analizado, la situación futura es ciertamente preocupante. Se considera que en la situación actual sin modificar la legislación y las medidas de respuesta conocidas, la posibilidad de que el autor de un delito informático resulte, detectado, perseguido, imputado y condenado es de una entre veintisiete mil, lo que atenta seriamente a nuestra ciberseguridad y pone en evidencia cualquier plan al respecto actual. Y ello es debido a tres circunstancias clave: 1.-La casi total ausencia de medidas de seguridad. 2.-La falta de una legislación adecuada. 3.-La gran inexperiencia existente para investigar los fraudes informáticos y reunir pruebas que puedan inculpar a sus autores. Existen tres factores esenciales que pueden condicionar de forma absoluta el futuro de los delitos informáticos: 1.-La incorporación de nuevos avances tecnológicos al trabajo diario, sin haber medido previamente sus repercusiones sobre las condiciones de seguridad. 2.-La paulatina constatación, por parte de las personas que trabajan en contacto con los sistemas informáticos, de lo fácil que es defraudar utilizando las deficiencias de los sistemas y la escasa probabilidad de ser descubierto y castigado. 3.-La entrada de organizaciones criminales profesionales en un campo delictivo tan prometedor como el de los delitos informáticos. La estructura correcta que proponemos: Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 18
Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 19
V. BIBLIOGRAFÍA ARTEAGA, FÉLIX “Propuesta para la implantación de una Estrategia de Seguridad Nacional en España” DT 19/2011. Diciembre 2011. Real Instituto Elcano. BETZ, DAVID J. & STEVENS, TIM “Cyberspace and the State. Toward a strategy for cyberpower”. Junio 2011.IISS. CESEDEN. “El Ciberespacio: nuevo escenario de confrontación”. 2012. http://www.ieee.es/Galerias/fichero/OtrasPublicaciones/Nacional/CES EDEN_Monografia126_CiberespacioNuevoEscenarioConflictos.pdf CLARKE, RICHARD & KNAKE, ROBERT “CYBERWAR”. Febrero 2010. Ed HarperCollins. CORBACHO PALACIOS, Francisco Javier. “Análisis de la jurisdicción en el plano internacional: Principio de Justicia Universal y efectos internacionales de la jurisdicción de los Estados”. http://noticias.juridicas.com/art.iculos/55-Derecho%20Penal/20070700214589654125874541.html COZ FERNÁNDEZ, JOSÉ RAMÓN & FOJÓN CHAMORRO, ENRIQUE “La Geoestrategia del Conocimiento en Ciberseguridad”. Enero 2012. Revista RED SEGURIDAD. COZ FERNÁNDEZ, JOSÉ RAMÓN & FOJÓN CHAMORRO, ENRIQUE “Un modelo educativo para una Estrategia Nacional de Ciberseguridad”. Octubre 2011. Congreso ENISE (Encuentro Internacional de la Seguridad de la Información). DÍAZ GÓMEZ, Andrés. “El delito informático, su problemática y la cooperación internacional como paradigma de su solución: el convenio de Budapest”, Cap. III.1.3. El problema de las múltiples jurisdicciones: “todo ello origina una laguna normativa internacional en el ámbito de la jurisdicción competente en materia de delitos informáticos, que origina numerosos conflictos, siendo finalmente perjudicado, especialmente, el particular. La inseguridad que ello genera es elevada. Muchas veces es difícil determinar cuál es la legislación nacional que se estaría violando, de existir alguna, ya que todo el contenido de Internet aparece simultáneamente en todo el mundo. Dentro de este contexto, prácticamente todas las actividades en Internet tienen un aspecto internacional que podría involucrar múltiples jurisdicciones o provocar el llamado efecto indirecto”. http://www.unirioja.es/dptos/dd/redur/numero8/diaz.pdf DEL POZO PÉREZ, M., “El agente encubierto como medio de investigación de la delincuencia organizada en la LECrim”, en Criterio Jurídico, vol. 6, pág. 296. 2006. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 20
FARALDO CABANA, Patricia, “Los conceptos de manipulación informática y artificio semejante en el delito de estafa informática”, Eguzkilore, San Sebastián, núm. 21, pág. 36, 2007. FELIU ORTEGA, Luis. “La Ciberseguridad y la Ciberdefensa. El Ciberespacio: Nuevo escenario de confrontación”. Monografías del CESEDEN. 2010. FOJÓN CHAMORRO, ENRIQUE & SANZ VILLALBA, ÁNGEL FRANCISCO “Ciberseguridad en España: Una propuesta para su gestión” ARI 102/2010. Junio 2010. Real Instituto Elcano. FOJÓN CHAMORRO, ENRIQUE & COZ FERNÁNDEZ, JOSÉ RAMÓN “Panorama Internacional en el establecimiento de Estrategias Nacionales de Ciberseguridad. Junio 2011. Revista SIC”. Seguridad, Informática y Comunicaciones. FOJÓN CHAMORRO, ENRIQUE & SANZ VILLALBA, ÁNGEL FRANCISCO “El ciberespacio: La nueva dimensión del entorno operativo” perteneciente al documento de seguridad y defensa nº 44 “Adaptación de la fuerza conjunta a la guerra asimétrica”. Noviembre de 2011. Centro Superior de la Defensa Nacional (CESEDEN). http://www.defensa.gob.es/ceseden/ Galerias/destacados/publicaciones/docSegyDef/ficheros/DSEGD_44.p df GEERS, Kenneth. “The Cyber Threat to National Critical Infrastructures: Beyond theory . Information Security Journal: A global perspective”, Cap. 18, págs. 1-7. 2009. GONZÁLEZ RUS, J.J. “Los ilícitos en la red (I): hackers, crackers, cyberpunks, sniffers, denegación de servicios y otros comportamientos semejantes”, Granada 2006, pp. 248 y ss.; GUTIÉRREZ FRANCÉS, M.L. “Delincuencia económica e informática en el nuevo Código Penal”, Cuadernos de Derecho Judicial, 2001, pp. 291 y ss.; ROMEO CASABONA, C.M. “Los delitos de daños en el ámbito informático”, en el Cibercrimen: Nuevos retos jurídicos-penales, pág. 91. Granada 2006. GONZÁLEZ RUS, Juan José. “Precisiones conceptuales y políticocriminales sobre la intervención penal en Internet”, en Cuadernos penales José María Lidón, 4, págs.13-41. 2007. KNAPP, ERIC D. “Industrial Network Security”. Septiembre 2011. Ed. SYNGRESS. LIBICKI, MARTIN “Cyberdeterrence and Cyberwar”. Octubre 2009. RAND project Air Force. Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 21
LINARES, SAMUEL “Los amigos se escogen, la familia …no“. Junio 2012. Revista RED SEGURIDAD. Ministerio de Defensa. “La inteligencia, factor clave frente al terrorismo internacional”. Cuadernos de Estrategia nº 141, 2009. MULLIGAN, DEIRDRE K. & SCHNEIDER, FRED B. “Doctrine for Cybersecurity“. Septiembre 2011. Universidad de Berkley. SHOSTACK, ADAM & STEWART,ANDREW “The new school of information security”. Abril 2008. Ed Addison-Wesley. STIENNON, RICHARD “Surviving Cyberwar”. Enero 2010.
Juan de Dios Meseguer González. Militar y Abogado. Doctor en derecho. Página 22