la ciberamenaza: un riesgo del siglo xxi servicio de ... ic monografia... · específico el riesgo...
TRANSCRIPT
Serv
icio
de S
opor
te a
la g
estió
n de
Cris
is (S
SgC)
Serv
icio
de G
estió
n de
Cris
is y
Resil
iencia
de
las O
rgan
izacio
nes
(SeC
RO)
Septiembre de 2017
Monografía 3
La Ciberamenaza: un riesgo del siglo XXI
Monografía 3
La Ciberamenaza: un riesgo del siglo XXISeptiembre de 2017
Servicio de Soporte a la gestión de Crisis (SSgC)Servicio de Gestión de Crisis y Resiliencia de las Organizaciones (SeCRO)
Institut Cerdà es una fundación privada independiente con una trayectoria de
más de 30 años asesorando y facilitando la toma de decisiones estratégicas para
el desarrollo del territorio. El Institut, integrado por más de 60 profesionales
de diversas áreas, promueve la innovación y la colaboración permanente entre
los diferentes agentes (empresariales, gubernamentales y ciudadanos) que
vertebran la sociedad, el territorio y la economía. Sus áreas de conocimiento
tradicionales son la logística, la energía, el medio ambiente y la distribución; y
más recientemente, la resiliencia, el emprendimiento y la RSC.
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
4
1 Presentación ......................................5
2 “Tú pagas, nosotros ayudamos” .......8
¿Qué pasó? ..................................... 9
¿Pagar o no pagar? ......................... 10
Repercusión .................................... 10
Cierre .............................................. 10
3 ¿De qué hablaremos? ........................12
4 Pero ¿de dónde sopla la tormenta? .........................................15
El riesgo cero no existe ................... 16
Conectados y vulnerables ............... 17
Dependencia en la tecnología ......... 18
Auge de nuevas tecnologías ........... 18
¿Dónde ponemos el paraguas? ....... 18
¿Quiénes son los malos? ................. 20
¿Por qué lo hacen? .......................... 21
Cada día más y más peligrosos ....... 23
¿Sólo para los grandes del patio? ... 24
5 Siempre estamos cubriendo riesgos .................................26
Cuando no llueve, graniza ............... 27
Empezamos como siempre .............. 28
¿Qué herramienta usamos? ............ 30
¿Crisis, qué crisis? ........................... 31
6 ¿Qué hacer? .......................................33
La crisis inevitable ......................................34
7 Grandes y pequeños: los 12 pasos ante el ciberriesgo ........................................36
8 ¿Y ahora qué? ....................................45
9 Anexo A: Glosario ..............................48
10 Anexo B: Bitcoin, el dinero que no se ve ..........................50
11 Anexo C: Consideraciones legales para empresas en España ........51
Aplicación del nuevo reglamento 2016/279 de la Unión Europea en las PYMES .................................. 51
¿Qué debe hacerse? ........................ 52
12 Anexo D: Consideraciones legales para empresas en Chile ............55
13 Anexo E: Blockchain.........................56
14 Bibliografía ......................................58
Presentación
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
6
Presentación La presente monografía forma parte de las actividades que el Institut Cerdà realiza en el ámbito de la gestión de crisis y resiliencia de las organizaciones, en España, a través del Servicio de Soporte a la gestión de Cri-sis (SSgC), y en Chile, a través del Servicio de Gestión de Crisis y Resiliencia de las Organi-zaciones (SeCRO).
Se trata de un proyecto innovador, pionero a nivel mundial, a través del cual se promue-ve un trabajo permanente de conocimiento, coordinación, comunicación y mejora cons-tante entre las empresas y las instituciones de gobierno, con la finalidad de prevenir y minimizar el impacto de las crisis.
En abril de 2015, se presentó una primera monografía titulada Gestión de riesgos y crisis: la visión de la empresa española. Aquel primer estudio aspiraba a convertirse, con el paso del tiempo, en una colección de informes monográficos sobre temas relevan-tes en materia de gestión de riesgos y crisis. Un año después, abril de 2016, presentamos la segunda monografía, sobre Las redes
sociales en la gestión de crisis: decálogo de buenas prácticas.
El Servicio, entendiendo como tal la suma del SSgC y del SeCRO, nació para ayudar a las empresas a estar mejor preparadas para gestionar las crisis, especialmente ante aque-llos elementos externos que condicionan sus estrategias y acciones, intensificando la cola-boración entre los actores más relevantes. La presente colección de monografías pretende ser una herramienta más en este sentido.
Esta tercera monografía aborda de un modo específico el riesgo de ciberseguridad, su na-turaleza, constante evolución y crecimiento en el tiempo, los distintos modos en que se concreta la amenaza, así como los actores que intervienen y, principalmente, las estrate-gias que las empresas pueden adoptar para cubrirlo, siempre desde el punto de vista de la gestión de riesgos y crisis, objeto principal del Servicio.
Empresas del Servicio de Soporte a la gestión de Crisis (SSgC), en España
1
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
7
Los objetivos principales del Servicio se resumen en tres: aumentar las capacidades de las organizaciones; potenciar la colaboración público-privada y privada-privada; y proyectar a las empresas integrantes como un referente en gestión de riesgos y crisis.
Desde el Institut Cerdà creemos que la resiliencia de un país depende también de la resiliencia de sus empresas o, dicho de otra forma, que la resiliencia de las empresas contribuye a fortalecer las capacidades técnicas y humanas de una sociedad, para afrontar exitosamente los riesgos y las crisis que inevitablemente tendrá que afrontar en el futuro.
La monografía se centra de un modo exclusi-vo en aspectos relacionados con la gestión de este tipo de amenaza, evitando de un modo deliberado aspectos tecnológicos es-pecíficos cuya muy rápida evolución requiere un seguimiento constante. Asimismo, se pre-tende contribuir a incrementar el grado de conciencia de las empresas sobre los riesgos de los ciberataques, de modo que implemen-ten las medidas paliativas necesarias, tenien-do en cuenta que el riesgo cero no existe y, por lo tanto, deben estar preparadas para el día que se produzca la crisis.
Empresas del Servicio de gestión de Crisis y Resiliencia de las Organizaciones (SeCRO), en Chile
2 “Tú pagas, nosotros ayudamos”
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
9
Esto decían un grupo de cibercriminales au-todenominados “stopper@india” a la em-presa chilena GERSA (Gestión Ecológica de Residuos SA), un sábado del mes de enero de 2017, después de que en las pantallas de sus ordenadores hubiera aparecido el mensaje de la figura 1.
El modus operandi de estos delincuentes es simple: penetran en el sistema informático, encriptan todos los datos y piden un resca-te por ellos. Este tipo de agresión, conocido como ransomware, se hizo mundialmente famoso a raíz del ciberataque que el 12 de mayo de 2017 infectó 200.000 ordenadores en 150 países. El malware, conocido como WannaCry, afectó a grandes empresas en todo el mundo.
Sin embargo, los ataques mediante ranso-mware llevan años produciéndose y se han convertido en una de las principales cibera-menazas contra las empresas: en 2016 las nuevas familias de ransomware aumentaron un 752% a nivel mundial y tuvieron un im-pacto de 1.000 millones de dólares en pér-didas económicas para empresas de todo el
mundo [1]. Durante 2016 el ransomware se cebó con las PYMES, sobre todo en España y Latinoamérica, donde los ataques crecieron un 800% [2].
¿Qué pasó?
Parte del personal de GERSA cuenta con un servicio de escritorio remoto que les permite trabajar desde casa. Esta herramienta, que sin duda aumenta la productividad de los
2
“Tú pagas, nosotros
ayudamos”
Fig. 1 Mensaje de rescate.
Figura. 1
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
10
trabajadores, se convierte a la vez en una vulnerabilidad. Para acceder al escritorio re-moto es necesario disponer de nombre de usuario y password. Desafortunadamente, un password demasiado débil permitió a los hackers “adivinar” la contraseña y poder acceder al sistema. Una vez dentro, tuvieron total libertad para expandir el ransomware.
La empresa está abierta 24 horas al día 7 días a la semana, pero durante los sábados y domingos no hay personal administrativo. Los hackers realizaron el ataque un sábado a las 6:30 h. de la mañana. Esto indica que estudiaron con detalle los hábitos de trabajo de la compañía para determinar los horarios de menor actividad y, así, poder penetrar en el sistema sin ser descubiertos.
Entre los archivos encriptados estaba toda la información crítica de la empresa: las bases de datos de contabilidad, clientes, programas de gestión y estudios de ingeniería.
Ante la petición de rescate de los hackers por la información secuestrada (ver figura 1), la compañía se puso en contacto con una empresa especializada en la recuperación de archivos encriptados y en negociación con piratas informáticos. En un primer momento, se intentaron desencriptar los datos con las herramientas disponibles sin éxito. Fue en-tonces cuando se pusieron en contacto con los hackers para iniciar las negociaciones.
Como se ve en el mensaje inicial, los ciber-delincuentes pedían 4 bitcoins (ver Anexo B), que en aquel momento tenían un valor de 3.800 EUR o 4.260 USD en total. Los hac-kers advertían de que el precio iría subiendo a medida que pasaran los días, si el pago no se efectuaba.
¿Pagar o no pagar?
Pagar no siempre es garantía de que se va-yan a recuperar los archivos. Además hacerlo alimenta el negocio de los ciberdelincuentes. Por otro lado, si se paga existe el riesgo de entrar en una “lista negra” de empresas que son fáciles de extorsionar y que otros ciber-delincuentes vuelvan a intentarlo.
Después de negociar, se acordó el pago de 2,5 bitcoins (2.375 EUR o 2.650 USD en aquel momento). Sin embargo, los problemas no terminaron ahí.
Primero, los hackers explicaron el proceso de desencriptación de los archivos, que resultó ser tremendamente complejo. Una vez en la empresa, aprendieron a utilizar el proce-dimiento, se percataron de que sólo podían desencriptar los archivos Office, pero no las bases de datos, que era precisamente la in-formación más valiosa. Para recuperarlas, los ciberdelincuentes pedían más dinero.
Finalmente, decidieron no pagar más y solu-cionaron el problema por su cuenta. Por un lado, reconstruyeron la contabilidad a partir de hojas Excel que habían exportado ante-riormente del programa de contabilidad y, por otro, recuperaron la base de datos desde el ordenador de un asesor externo.
Repercusión
Durante el tiempo que duró el secuestro de los datos, la empresa no detuvo su actividad logística, pero la parte administrativa se vio fuertemente afectada:
• No se podían emitir facturas, con la con-siguiente repercusión en la tesorería de la empresa.
• El pesaje de los camiones debía hacerse de forma manual, ya que el programa que gestionaba esa tarea estaba encriptado.
• Los pagos de las nóminas debían hacerse también de forma manual.
Cierre
Como se apuntaba anteriormente, pagar no es ni mucho menos garantía de recuperar todos los datos encriptados. Es una práctica habitual que los hackers devuelvan solo una parte de los archivos y quieran renegociar el rescate. Otra opción es que, directamente, no devuelvan ninguno y desaparezcan una vez pagada la cantidad demandada.
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
11
Desde el punto de vista de la gestión de la ciberseguridad por parte de la empresa, toda esta situación podría haberse solventado de un modo mucho más eficiente si se hubiesen realizado con mayor periodicidad copias de seguridad de los archivos críticos, como la contabilidad o las bases de datos, y se hubieran utilizado contraseñas más complejas.
GERSA es una empresa ubicada en Santiago de Chile que se dedica a actividades
medioambientales y a la gestión de residuos (concretamente a la recogida de basuras). Se
trata de una mediana empresa que cuenta con 200 trabajadores y tiene un volumen de
facturación anual de 12 millones de euros.
Cabe destacar que la gerencia de GERSA aprendió la lección y se tomaron un conjunto muy amplio de medidas:
• Cambio del proveedor del servicio de se-guridad informática.
• Servicio de backup que genera copias de seguridad diarias.
• Las copias de seguridad se guardan fuera de la oficina y en un lugar seguro.
• Cambios en los perfiles de los usuarios, de forma que solo puedan acceder al sistema los usuarios imprescindibles.
• Mejora obligatoria de todos los passwords.
• Implementación de un firewall más poten-te que bloquea la descarga de programas y visitas a páginas de alto riesgo.
El ciberataque, si bien en este caso no in-terrumpió la actividad de negocio, provocó graves afectaciones en la parte administra-tiva de la empresa, que no se recuperó por completo hasta tres semanas después del incidente.
2
3 ¿De qué hablaremos?
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
13
3
12 ACTUACIONES PARA ABORDAR EL CIBERRIESGO
1 La ciberseguridad va más allá de “una cuestión de informática”
2 ¿Qué información manejamos?
3 Todos los programas informáticos legales y actualizados
4 Internet, visibilidad, exposición
5 Medios tecnológicos de protección
6 Aprobación por parte de la organización de las herramientas informáticas a usar
7 Ninguna información y ninguna aplicación sin protección
8 Contraseñas y cuentas de usuario
9 Los proveedores son parte de la seguridad de la organización
10 Pruebas y verificaciones
11 Copias de seguridad
12 Teléfonos móviles y tabletas son ordenadores
Estados Nación
Ciberactivistas Cibercriminales
Actores
Fases
Modelo de madurez
¿De qué hablaremos?
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
14
7 MEDIDAS ESPECÍFICAS PARA SMARTPHONES Y TABLETS
1 Usar una contraseña de desbloqueo con un mínimo de complejidad
2 Instalar un programa de protección
3 Escaneo de las aplicaciones instaladas
4 Control de navegación a páginas web maliciosas
5 Cifrado del dispositivo
6 Bloqueo automático con contraseña del dispositivo por inactividad
7 Realizar copias de seguridad de manera regular
Ciberataques
Atributos
14 Legislación en materia de ciberseguridad aplicable en:
CASOS DE CIBERATAQUES A GRANDES COMPAÑÍAS Y PYMES
CHILE/AMÉRICA LATINAESPAÑA/EUROPA
CIBERGUERRA CIBERESPIONAJEHACKTIVISMO CIBERCRIMEN
5%9%
14%72%
Confidencialidad
Integridad Disponibilidad
Sistemas de Información
4 Pero ¿de dónde sopla la tormenta?
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
16
4
El riesgo cero no existe
Las brechas de seguridad informática no sólo son posibles, son casi inevitables. Ello se debe a que las técnicas que utilizan los cibercrimi-nales evolucionan mucho más rápidamente de lo que lo hacen los sistemas de seguridad informática, sobre todo en pequeñas y me-dianas empresas.
Además, mientras que para los atacantes es suficiente tener éxito una sola vez, los siste-mas de seguridad deben ser seguros el 100% de las ocasiones para evitar la agresión.
Por lo tanto, dado que el objetivo de ser in-vulnerable el 100% del tiempo es complica-do, todas las empresas, ya sean grandes, me-dianas o pequeñas, deben estar preparadas para afrontar un ataque informático y no mo-rir en el intento. Esto quiere decir que además de usar sistemas de seguridad cada vez más sofisticados, deben incrementar su resiliencia cibernética: la habilidad para prevenir, sopor-tar y recuperarse de ciberataques.
Según el Allianz Risk Barometer [3], el riesgo cibernético es el riesgo más subestimado por las empresas. Esto puede traer consecuencias graves cuando son atacadas. Hace algunos años, la seguridad cibernética era responsa-bilidad del departamento de TI (Tecnologías de la Información) y, básicamente, se limitaba al uso de antivirus. Sin embargo, el gran nú-mero de ciberataques dirigidos contra com-pañías de distinto tipo en los últimos años y la evolución de la complejidad de las amena-zas han provocado que los usuarios tomen conciencia del peligro que entrañan los ata-ques contra la seguridad de la información. Por otra parte, las empresas dependen cada vez más de las tecnologías de la información y las comunicaciones y son conscientes de que una brecha en la ciberseguridad compro-mete la compañía en su totalidad y, por lo tanto, ya no es un asunto que afecte única-mente al departamento de TI.
Ante esta amenaza, las empresas en gene-ral deberían pensar de manera diferente so-bre la gestión del riesgo digital. En muchos casos, las protecciones que están tomando pueden ser importantes y necesarias, pero no suficientes. Los ciberataques no son un “si sucede” sino un “cuándo y cómo”; las amenazas son demasiado frecuentes y muy variadas [4]. Los atacantes requieren poca inversión de capital y recursos para diseñar y ejecutar sus agresiones. Muchas veces no usan las técnicas más sofisticadas, sino que aplican la versión digital de un principio físico antiguo: si golpeas un muro con un martillo un número suficiente de veces, el muro caerá.
Pero ¿de dónde
sopla la tormenta?
Tipología: Ransomware.
Víctima: Multitud de empresas en todo el mundo.
Atacante: Sin identificar.
Fecha: 12 de mayo de 2017.
Suceso: El ransomware mundialmente conocido como WannaCry infectó 200.000 ordenadores de multitud de compañías en todo el mundo.
Motivación: Económica (pedir un rescate). Existe un gran número de teorías alternativas.
Efectos: El área de seguridad de muchas compañías ordenó el apagado inmediato de los equipos y la desactivación de la red VPN. Muchas empresas que no estaban infectadas tomaron las mismas medidas como forma de protección. La recaudación de los hackers, sin embargo, fue extremadamente baja, ya que apenas recaudaron 100.000 dólares en todos los países. Todavía hoy se especula con el objetivo real del ataque y quiénes fueron sus autores.
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
17
Conectados y vulnerables
En la red se reproduce también uno de los conflictos tradicionales de las sociedades postmodernas: el dilema entre la libertad individual y colectiva y el nivel de control ne-cesario para garantizar la mínima seguridad que la convivencia necesita. Este hecho forma parte de las características de Internet desde sus inicios; ya en el año 2001 lo apuntaba un prestigioso sociólogo [5]: “La vulnerabili-dad de los sistemas informáticos plantea una contradicción entre seguridad y libertad en la red”. Nos encontramos a menudo que, con el objetivo de proteger la información en la red, muchas administraciones tienen la tentación de controlar la libre comunicación entre sus actores.
Un ejemplo claro se puede ver en Estados Unidos donde, en 1996 y en el 2000, sus tribunales, con sentencias ratificadas por el Tribunal Supremo, declararon como inconsti-tucional la ley que pretendía acabar con la difusión de pornografía a través de Internet (Ley de Decencia en las Comunicaciones). Fue la primera vez que el Tribunal Supremo aplicaba a Internet las protecciones que la Primera Enmienda de la Constitución esta-dounidense aplica sobre la libertad de expre-sión en una decisión que, sin duda, no deja a nadie indiferente.
En este contexto, es necesario tener en cuenta las principales características de la sociedad y la economía digitales que indudablemente condicionan el diseño de las relaciones en el entorno digital:
• Se manejan grandes cantidades de datos y hay un gran volumen de información a disposición de todas las personas y de to-das las organizaciones.
• Gran dinamismo, que incluye una rápida propagación de la información.
• Gran influencia de las opiniones (positivas o negativas) de los usuarios o líderes de opinión (influencers) en redes sociales y medios de comunicación.
• A través de Internet, universalidad de la presencia y de la exposición (no hay fron-teras, la sociedad es global).
• La capacidad de las autoridades es local y lenta en relación a la globalidad del entor-no digital y a su gran dinamismo.
Por otro lado, el aumento de la vulnerabilidad en materia de seguridad de la información viene influenciado por los diferentes factores que se desarrollan a continuación.
Tipología: Ciberespionaje.
Víctima: Angela Merkel.
Atacante: Se sospecha de la NSA (National Security Agency). Sin confirmación oficial.
Fecha: Entre 2002 y 2013.
Suceso: La NSA habría interceptado conver-saciones mantenidas por la canciller alemana a través de su teléfono móvil durante 11 años.
Motivación: Ciberespiona-je (obtener información sensible).
Efectos: La noticia se hizo pública a raíz de las filtraciones del exempleado de la NSA, Edward Snowden. Este hecho provocó una fuerte tensión diplomática entre Alemania y EE.UU. La canciller alemana afirmó que rechazaba este tipo de prác-ticas que considera del todo inaceptables.
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
18
4
Dependencia en la tecnología
Las empresas no quieren quedarse atrás res-pecto a sus competidores y, constantemente, introducen avances tecnológicos para crear nuevas oportunidades de negocio (pagos electrónicos en el e-commerce, pagos con el smartphone, coches inteligentes, etc.). Sin embargo, cada elemento adicional introdu-cido en la relación empresa-cliente puede suponer una nueva vulnerabilidad. Muchas veces estas tecnologías no son lo suficiente-mente maduras y, ante la premura por salir al mercado, su seguridad no está correctamen-te desarrollada: no iniciar la comercialización no es una opción para las empresas ya que eso podría dar ventaja a sus competidores.
Auge de nuevas tecnologías
Internet of Things: de acuerdo con el Inter-net World Stats [6], más de 3 mil millones de personas están conectadas a Internet actual-mente. Según el CEO de la compañía de te-lecomunicaciones Ericsson, Hans Vestburg, se calcula que en 2020 habrá más de 50 mil mi-llones de dispositivos conectados a la red [7]. Sin duda, el desarrollo del Internet of Things (IoT) creará nuevas vulnerabilidades. Todo, desde los controles industriales hasta las ne-veras o las cafeteras podrán estar conectadas a Internet. Esto planteará una nueva dimen-sión de riesgos potenciales. El IoT generará nuevas oportunidades de negocio para las empresas, pero también traerá consigo una serie de nuevas amenazas de seguridad.
Cloud: otra fuente de riesgo es el uso de fuen-tes externas de almacenaje de datos como la nube (Cloud). Este sistema incorpora muchos beneficios, sin embargo, también introduce nuevos riesgos: una brecha de seguridad en un proveedor de este servicio podría causar daños a un gran número de las empresas que lo utilicen. Además, el hecho de tener toda la información de una empresa centralizada en un servidor que no está “en casa”, pertenece a un tercero y no está del todo bajo nuestro control, es poco tranquilizador para muchos.
Smartphones y tablets: los dispositivos móvi-les se han convertido en un activo indispen-sable para las empresas. En ellos se guardan documentos sensibles, claves de acceso, etc. Esto ha captado la atención de los hackers que saben que este tipo de dispositivos no suelen contar con las estrictas medidas de seguridad de las que dispone la red interna de una compañía. Los smartphones cuentan con tres capas de seguridad [8] y todas deben estar activas:
• Protección del dispositivo: si el teléfo-no se pierde o es robado, se deben poder eliminar los datos remotamente.
• Protección de la información: los datos deben estar seguros dentro del teléfono para que no se pueda acceder a ellos sin autorización.
• Seguridad en las aplicaciones: se debe comprobar que las aplicaciones instaladas no ponen en riesgo la seguridad del dis-positivo.
¿Dónde ponemos el paraguas?
Hace unos años las empresas disponían de sistemas informáticos y de un departamen-to que los desarrollaba a la medida de sus necesidades y se ocupaba de su mejora y mantenimiento. Posteriormente, el sector evolucionó hacia plataformas estándar más o menos flexibles a las que las organizacio-nes se adaptaban tan bien como podían (los ERP o Enterprise Resource Planning). Estos, a su vez, crecieron abarcando mayores áreas de actividad e incluyendo nuevas siglas (CRM o Customer Relationship Management, DRP o Distribution Resource Planning, etc.). Todo ello con interrelaciones constantes con las capacidades incrementales de internet, con las redes globales de comunicaciones (2G, 3G, 4G, 5G) y los ubicuos dispositivos móvi-les, hasta disponer de una amplia tipología de sistemas en paralelo, subsistemas relacio-nados y la coexistencia de tipologías origina-das en distintos momentos de un tiempo que, a pesar de ser cronológicamente cercano, acaba siendo tecnológicamente atávico.
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
19
Intentar sintetizar el fruto de esta evolución, que además está en constante cambio, es complicado; no obstante, de un modo simpli-ficado se pueden apuntar cuatro tipos de sis-temas de información en las organizaciones:
IT (Information Technology): consiste en el uso de ordenadores y otros equipos de telecomunicación para almacenar, recuperar, transmitir y manipular datos [9]. La IT abarca el hardware, el software y las redes usadas con estos fines. En el mundo empresarial se usa para la gestión de las nóminas, enviar y recibir e-mails, imprimir documentos, etc.
OT (Operational Technology): consiste en “lo industrial”, todo aquel hardware o software dedicado a monitorizar, contro-lar y alterar el estado físico de un sistema.
Incluye los sistemas de control industrial como SCADA (Supervisory Control and Data Acquisition), los robots en una línea de pro-ducción, los programas de control de los silos de almacenamiento en plataformas logísti-cas, etc.
Cloud: consiste en el procesamiento y alma-cenamiento masivo de datos en servidores conectados mediante Internet, sin necesidad de disponer de la capacidad de almacena-miento necesaria en nuestro sistema. No se requiere disponer de una gran infraestructura para que todas las personas autorizadas pue-dan acceder a la información íntegramente.
Shadow IT: consiste, principalmente, en de-sarrollos informáticos llevados a cabo de un modo independiente por miembros de los distintos departamentos de las compañías ante la incapacidad de los sistemas estándar de dar satisfacción a necesidades muy con-cretas (o ante el alto coste de que lo hicie-ran). Se trata, por lo tanto, de bases de datos, desarrollos específicos, aplicaciones tecno-lógicas muy concretas encargadas adhoc o desarrolladas por los propios empleados, que con el tiempo han quedado fuera de las polí-ticas generales de protección impulsadas por la compañía (de ahí el nombre de “shadow IT”), pero que juegan un rol muy importante en algunos aspectos clave de su actividad. Son importantes pero están en la sombra, las acciones de protección no las alcanzan y, por lo tanto, no se tienen en cuenta las posibles “puertas traseras” que pueden presentar o el uso de versiones de sistemas operativos que hace tiempo han dejado de estar soportados por las empresa que en su día los generaron.
En este contexto, desde el punto de vista de la seguridad de la información de los siste-mas, se pueden apuntar tres aspectos clave que los caracterizan:
Tipología: Afectación de sistemas de control industriales.
Víctima: Central nuclear Natanz (Irán).
Atacante: Se sospecha de EE.UU. y de Israel. Sin confirmación.
Fecha: Enero de 2010.
Suceso: El gusano informático Stuxnet tomó el control de 1.000 centrifugadoras de las 5.000 que tenía la central nuclear de Natanz.
Motivación: Ciberguerra (sabo-tear el programa nuclear de Irán).
Efectos: El gusano dio instrucciones a las centri-fugadoras para que siguieran ciclos en los que se combinaban giros a altísimas revoluciones, con giros a muy bajas revoluciones. Esto provocó que las centrifugadoras se desintegraran, quedando el 20% inoperativas. Este incidente retrasó el programa nuclear iraní.
Fig.2. Características de los Sistemas de Información.
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
20
4
• Confidencialidad: la información alma-cenada debe ser plenamente confidencial y, por lo tanto, el acceso al sistema debe estar limitado a usuarios autorizados.
• Integridad: los datos guardados deben ser siempre fiables y completos lo cual implica que la información sólo puede ser borrada o modificada por sus dueños o usuarios autorizados.
• Disponibilidad: la información debe ser totalmente accesible por los usuarios au-torizados dentro de un límite de tiempo razonable.
La confidencialidad (C), la integridad (I) y la disponibilidad (D) definen de un modo inte-rrelacionado la información y actúan comple-mentariamente para garantizar la seguridad de dichos datos en un sistema de gestión.
Se observa, no obstante, que aun siendo los tres atributos indispensables en cualquiera de los sistemas mencionados anteriormente, las prioridades en cuanto a su acceso en los dos primeros (los primordiales) varían consi-derablemente:
IT: por el tipo de información que manejan los sistemas de IT, la confidencialidad es de la máxima importancia, dando por sentada su integridad e interesando que se pueda acce-der en un periodo razonable de tiempo (por ejemplo, una breve interrupción en el correo electrónico o en el programa de nóminas no es crucial).
OT: en el caso de la Operational Technology, no obstante, la capacidad de disponer de for-ma inmediata de la información prima por encima del resto de características ya que
los esquemas online de control normalmen-te asociados requieren de dicha inmediatez (una interrupción en estos sistemas, aun bre-ve, puede tener efectos graves). Igualmente, la integridad se da por sentada y, por último, puede suceder que la confidencialidad sea en este caso menos importante.
Como se puede ver en la figura 3, las carac-terísticas se invierten según hablemos de IT o de OT que son los dos tipos de sistemas esenciales, lo cual impone distintos tipos de tratamiento en cada caso, siendo necesario aplicar diferentes medidas y establecer dis-tintos responsables según el tipo, todo ello redundando en una mayor complejidad de la gestión de los sistemas y, eventualmente, incrementando su vulnerabilidad.
¿Quiénes son los malos?
Los ciberataques se dividen en cuatro catego-rías generales:
Por otro lado, la tipología de actores que las siguen puede resumirse en tres grupos [10]:
Fig. 4 Ciberataques en 2016 según categorías. Institut Cerdà a partir de [53].
Estados Nación
Ciberactivistas Cibercriminales
Fig.3. Importancia de las premisas para el sistema de IT y OT.
Fig. 5 Actores del cibercrimen
CIBERGUERRA CIBERESPIONAJEHACKTIVISMO CIBERCRIMEN
5%9%
14%72%
Figura. 3
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
21
Tipología: Afectación de sistemas de control industriales.
Víctima: Hunter Watertech (empresa australiana dedicada a la instalación de sistemas SCADA)
Atacante: Vitek Boden.
Fecha: Abril de 2000.
Suceso: Vitek Boden trabajaba para Hunter Watertech, una compañía que instalaba sistemas de alcantarillado controlado por SCADA en la co-marca australiana de Maroochy Shire. Boden no estaba satisfecho con el trato recibido por su em-presa, de modo que llevo a cabo un ataque desde dentro. Instaló en su coche un equipo de radio robado y circuló por la comarca emitiendo seña-les de radio para manipular el sistema SCADA.
Motivación: Venganza contra la compañía.
Efectos: Como consecuencia del ataque se vertieron 800.000 litros de aguas residuales sin procesar. El impacto ambiental fue muy grave: muerte de fauna local, fuertes olores en toda la comarca, contaminación del río, etc. Boden fue condenado a dos años.
Estados nación: típicamente son los actores que realizan los ataques más sofisticados. Sus motivaciones son políticas o económicas. Pueden realizar ciberespionaje para obtener información sensible que beneficie a su país o que desestabilice un país rival o pertene-ciente a un ámbito ideológico o geoestraté-gico distinto. Otros reúnen información de carácter industrial que pueda beneficiar a compañías nacionales o de un aliado político.
Cibercriminales: motivados principalmente por el factor económico. Pueden lograrlo me-diante el robo de datos de tarjetas de crédito, de información personal que se vende en el mercado negro de Internet, de cuentas para realizar compras fraudulentas, etc.
Ciberactivistas (o Hacktivistas): sus motiva-ciones son políticas y de justicia social. Sue-len utilizar técnicas más rudimentarias pero muy efectivas como ataques distribuidos de denegación de servicio (DDoS – ver Glosario).
¿Por qué lo hacen?
Como en cualquier ámbito de la actividad hu-mana, las motivaciones que hacen que una persona intente introducirse en un entorno privado pueden ser bien diversas. Para los sistemas de información, y de un modo resu-mido, se pueden indicar los tipos de motiva-ción siguientes:
Económica: se entiende que el principal mo-tivo de los ciberdelincuentes para cometer un ataque es sacar un beneficio económico, as-pecto común en la delincuencia sea cual sea su origen. En este caso hay muchas formas de hacerlo: acceder a datos bancarios para realizar compras fraudulentas, encriptar in-formaciones críticas de una empresa y pedir un rescate (ransomware) o robar datos per-sonales para venderlos en la deep web 1.
Desafío intelectual: la complejidad inhe-rente a los sistemas de gestión de la infor-mación y de las comunicaciones, así como el mero reto de superar las protecciones desa-rrolladas por las organizaciones, hacen de la satisfacción de sobrepasar dichas barreras motivo suficiente para que algunas personas lo intenten sin buscar necesariamente bene-
ficios de tipo económico. De hecho, hay quien diferencia entre “cracker” – quien entra en un sistema con propósitos ilícitos – y “hac-ker” – quien entra para poner de manifiesto su vulnerabilidad a fin de que sea solucio-nada –. No obstante, en el lenguaje común el segundo término ha incluido el primero e incorpora su connotación negativa.
Hacktivismo: se trata de una contracción de “hacker” y “activismo” e incluye la defensa de ideales políticos o sociales de distinto tipo mediante acciones en la red normalmente no violentas pero ilegales.
1 Conocida también como el “Internet profundo”, la deep web la forman todas las páginas web que los buscadores tradicionales como Google, Yahoo! o Bing, no son capaces de indexar. En la deep web encontramos todo tipo de actividades ilegales, desde venta de armas a tráfico de menores.
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
22
4
Venganza: empleados descontentos, candi-datos rechazados o gente que se ha sentido perjudicada por la actividad de la empresa y que busca compensar su desagravio median-te ciberataques.
Subversión: busca desestabilizar política o socialmente una organización, región o país mediante acciones agresivas en la red. Un ejemplo de ello se vio cuando en 2014 el gru-po Guardians of Peace realizó un ciberataque contra la empresa Sony, con el fin de que se detuviera el estreno de una película en la que se recreaba el asesinato del máximo manda-tario norcoreano.
Notoriedad: el hacking es como un deporte y los cibercriminales muy a menudo realizan ataques simplemente para ganar populari-dad entre su comunidad.
Es también distinta la tipología de ciberagre-siones normalmente utilizadas. A continua-ción, se describen las principales:
APT (Advanced Persistent Threat o Amenaza Avanzada Persistente): Consiste en penetrar en un sistema para ex-traer información o impedir que se lleve a cabo un determinado proceso, pasando des-apercibido el mayor tiempo posible. Este tipo de ataque es uno de los más sofisticados (de ahí el adjetivo “avanzado”), es perpetrado por hackers muy habilidosos cuyo ataque se prolonga durante el mayor tiempo posible (de ahí el adjetivo “persistente”) sin ser detecta-do. Suele ser realizado por Estados Nación ya que son los únicos que cuentan con la pericia y los medios necesarios para lanzarlos.
DDoS (Distributed Denial of Service o Ataque de Denegación de Servicio): consiste en atacar un servidor desde muchos ordenadores al mismo tiempo para que deje de funcionar. Cuando se registran demasia-das peticiones a la vez hacia un servidor, este se bloquea y deja de funcionar hasta que o bien se detienen los ataques o se logran eli-minar las conexiones ilegítimas.
Un ataque DDoS se diferencia de un ataque DoS (Denial of Service) en que el primero re-quiere el ataque coordinado de muchos orde-nadores, mientras que el segundo, se realiza desde un único ordenador.
Defacement: hace referencia a la deforma-ción de una página web de forma intenciona-da por parte de un atacante (defacer) que ha accedido de forma ilegítima a su contenido.
Inyección SQL: consiste en introducir código intruso en una base de datos para acceder a la información que contiene. Se vale de una vulnerabilidad informática presente en cual-quier lenguaje de programación (SQL en este caso) que esté embebido dentro de otro.
Malware: también conocido como software malicioso, código maligno o simplemente vi-rus informático, es un tipo de software que
2 Para abundar en la cuestión, la Wikipedia hace la siguiente diferenciación para “hacker”: “en seguridad informática este término concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet (Black hats). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas (White hats) y a los de moral ambigua como son los Grey hats”.
Tipología: Afectación de sistemas de control industriales.
Víctima: Saudi Aramco.
Atacante: “Cutting Sword of Justice”
Fecha: 15/08/2012.
Suceso: Un grupo de hackers atacó el sistema informático de Aramco, el cual estuvo inhabilita-do durante un mes (más de 30.000 ordenadores y unos 2.000 servidores resultaron afectados).
Motivación: Hacktivismo (protestar contra el apoyo de Aramco al régimen de la familia real Al Saud).
Efectos: La compañía se vio obligada a volver a la tecnología de 1970 usando máquinas de escribir. Cuando se recuperó, la empresa compró 50.000 discos duros, provocando que el suminis-tro mundial de discos duros se detuviera durante un tiempo.
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
23
tiene como objetivo dañar un sistema infor-mático o infiltrarse en él sin el consentimien-to de su propietario.
Phising: consiste en suplantar la identidad de un servicio, organización, etc., para obte-ner datos de usuarios. El cibercriminal utiliza algún método de comunicación, como puede ser un correo electrónico, para ponerse en contacto con la víctima haciéndose pasar por una persona o empresa de confianza para requerir algún tipo de información como con-traseñas, números de cuentas, etc.
POS Malware (Point-Of-Sale Malware o Malware de Punto de venta): se trata de un software malicioso expresamente diseña-do para robar datos bancarios de clientes de tiendas minoristas. Lo más habitual es sus-traer información de la tarjeta de crédito o de débito leyendo la memoria del dispositivo desde el que se realiza el pago en el punto de venta.
Ransomware: tipo de ataque informático que consiste en restringir el acceso a conte-nido crítico de una empresa o un particular y pedir un rescate a cambio de quitar esa res-tricción.
Cada uno de los actores mencionados an-teriormente tiende a utilizar determinados tipos de ataque, tal como se resume en la figura 6.
Cada día más y más peligrosos
El tipo de ataque utilizado por los cibercri-minales ha evolucionado con los años. En el siguiente gráfico se muestran los más repre-sentativos (véase su definición en el Glosario del Anexo A).
Pero no sólo la sofisticación y magnitud de las amenazas se han ido incrementando con el tiempo, sino que también el número de ci-berataques a empresas han aumentado año tras año. “He estado con Fortinet por más de 12 años. En 2004, registramos medio millón de virus durante todo el ejercicio. Hoy en día, podemos registrar más de 2 millones de nue-vos virus en un solo día y monitorizamos más de 50 mil millones de amenazas potenciales
Tipología: Robo de datos.
Víctima: City Newsstand Inc. (pequeña empresa dedicada a la venta de revistas en Chicago).
Atacante: Sin identificar.
Fecha: Julio de 2011.
Suceso: Un grupo de ciberdelincuentes instalaron un software en las cajas regis-tradoras de las dos tiendas de revistas de la pequeña empresa City Newsstand.
Motivación: Económica (obtener datos de las tarjetas de crédito para realizar compras).
Efectos: Los costes derivados del ataque supu-sieron para el propietario, Joe Angelastri, unas pérdidas de 22.000 dólares (casi la mitad de sus ganancias anuales).
Ciberactivistas
Amenaza Baja
Amenaza Alta
Cibercriminales
· DDoS· Defacement· Inyección SQL
· POS Malware· Ransomware· Phising
· Advanced Persistent Threat· Malware
Estado | Nación
Fig. 6 Tipo de ataque común según el tipo de actor. Institut Cerdà a partir de [10]
Fig. 7 Evolución de los ciberataques. Institut Cerdà a partir de [54]
Aparece el primer virus infromático de la historia:
Morris Worm.
1998 2004 2007
Presente20132010
Código malicioso, troyanos, gusanos
avanzados.
Robo de identidad, Phising.
Ataque DoS, auge de Botnets, ataques SQL, webs
anti-spam.
Ingeniería social, Botnets, DDoS, emails maliciosos,
ransomware, PoS.
Malware bancario,Keyloger,ladrones de Bitcoins, robo de identidad, secuestro de móviles, ransomware, PoS,
cibreguerra…
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
24
4
en todo el mundo a diario” [11], afirma Derek Manky, jefe de estrategia de Seguridad Glo-bal en la compañía Fortinet.
Es muy difícil conocer el número exacto de ciberataques que se cometen a nivel mundial, ya que la mayoría no se denuncian. El portal de Internet “Hackmageddon” [12] se dedi-ca a recopilar los grandes ciberataques que suceden a nivel mundial a partir de noticias, blogs y foros. En el siguiente gráfico se mues-tra su evolución en los últimos años:
Pese a no representar el 100% de los ataques, el gráfico anterior permite dar una idea de la tendencia ascendente del número de grandes ciberataques a escala mundial.
Extrapolando las tendencias mostradas se puede afirmar que el panorama del riesgo cibernético será muy distinto en el inmediato futuro de lo que es hoy, ya que los avances en tecnología y el modo cómo estos son uti-lizados dibujan una tendencia creciente aun-que de difícil estimación, pero que será clave para determinar el futuro de dicho riesgo. Por otro lado, el crecimiento en la popularidad de dispositivos móviles, como smartphones, relojes o gafas conectados a la red y entre sí, también aumentará el riesgo global, todo lo cual introduce una gran complejidad en la anticipación de las medidas a tomar.
En este sentido, hay tres líneas argumentales que explican por qué los ataques son cada vez más severos [13]:
1.Cada vez más individuos tienen la capaci-dad técnica para perpetrar este tipo de ata-ques.
2.Los potenciales objetivos son cada vez más ubicuos. Mientras que en el pasado los siste-mas informáticos se reservaban a funciones específicas dentro de la empresa, hoy pue-den llegar a estar en todas partes (Internet of Things).
3.La creciente interconectividad de dispositi-vos a través de la red hace que ataques sim-ples como el de denegación de servicio distri-buido (DDoS) sean más fáciles de articular y puedan causar daños enormes.
¿Sólo para los grandes del patio?
No se debe caer en el error de pensar que los ciberataques se centran sólo en las grandes corporaciones porque pueden proporcionar mayores beneficios económicos a los delin-cuentes. Los ciberataques se han convertido en algo cotidiano que afecta tanto a grandes como a pequeñas y medianas empresas (PY-MES).
Fig. 8 . Ciberataques registrados en Hackmageddon. Institut Cerdà a partir de [12].
Tipología: Interrupción de negocio.
Víctima: Afixcal (pequeña empre-sa española dedicada a la asesoría).
Atacante: Sin identificar.
Fecha: 2015.
Suceso: La empresa Afixcal sufrió un ciberata-que en el que un virus se infiltró en su servidor y borró los datos de más de 200 clientes. Se trata de una pequeña empresa dedicada a la asesoría fiscal, contable, laboral y legal.
Motivación: Desconocida.
Efectos: El incidente provocó que se perdieran documentos en los que se había estado meses trabajando. Todo ese volumen de trabajo tuvo que rehacerse desde cero.
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
25
Según un estudio de la compañía de ciber-seguridad ZeedSecurity [14], el 70% de los ciberataques en España se dirigen contra PYMES. Igualmente, el informe “Vulnerabi-lidad de Empresas en Ciberseguridad” de la Cámara Nacional de Comercio, Servicios y Turismo (CNC) [15], advierte de que en Chile un 34,6% de las PYMES ya ha sido víctima de algún ciberataque. Los hackers focalizan sus agresiones en este tipo de empresas debido a que sus infraestructuras digitales están rela-tivamente desprotegidas si las comparamos con las de las grandes corporaciones, tenien-do así más facilidad a la hora de obtener in-formación sensible de la empresa.
Según un informe de Kaspersky Lab [16], una de las compañías punteras a nivel mundial en materia de seguridad informática, los daños económicos causados por ataques contra PY-MES costaron de media unos 35.000 euros por ataque en 2015 a nivel mundial. Estos costes incluyen los daños causados por la pérdida de oportunidad de negocio y los deri-vados de la interrupción de la actividad (unos 15.000 euros), los costes de contratación de especialistas en seguridad informática para paliar los efectos del ataque (10.000 euros) y los costes generados por la pérdida de repu-tación (valorada en otros 10.000 euros).
Otros datos recabados señalan que un 90% de las empresas se enfrentaron a cibera-menazas de tipo externo por lo menos una vez en 2015, mientras que un 73% tuvo que hacer frente a amenazas internas genera-das por vulnerabilidades del software o por el descuido de empleados que extraviaron dispositivos móviles. En este sentido, casi un 40% de las empresas consultadas admitieron haber perdido información sensible sobre ellas mismas o sus clientes por culpa de ci-berataques [17].
Los grandes buscadores de Internet (Goo-gle, Yahoo!, Bing, etc.) están penalizando las webs inseguras, provocando una pérdida notoria de su visibilidad, creando un impacto económico en la actividad de las empresas. Desde enero de 2017, con el lanzamiento por parte de Google de la versión Chrome 56, se introdujo una modificación que alerta a los usuarios de las páginas que utilizan HTTP en
vez de HTTPS (el segundo es la versión “se-gura” del primero) (ver figura 10).
Si la página web en cuestión no dispone del protocolo HTTPS, la web es considerada como web no segura y aparece el mensaje de la figura 9.
De acuerdo con Google, el protocolo HTTPS (HyperText Transfer Protocol Secure, Proto-colo de transferencia segura de hipertexto) consiste en “un protocolo de comunicación de Internet que protege la integridad y la confidencialidad de los datos de los usua-rios entre sus ordenadores y el sitio web”. El envío de datos mediante el protocolo HTTPS proporciona tres capas de seguridad:
1.Cifrado: los datos intercambiados du-rante la navegación por un sitio web están cifrados, de forma que nadie pueda realizar un seguimiento de las actividades de un de-terminado usuario en esa web.
2.Integridad de los datos: los datos no pueden modificarse ni dañarse durante las transferencias sin que se detecte.
3.Autenticación: garantiza que los usuarios se comuniquen con el sitio web previsto.
Una web es considerada como no segura cuando no se cumple alguno de estos tres requisitos.
El daño que puede causarle a una empresa que aparezca un mensaje como el de la fi-gura 9 en su página web calificando el sitio como “no seguro” es muy alto. Ese mensaje provoca una pérdida de credibilidad instantá-nea por parte de los usuarios y lo más proba-ble es que, ante la duda, la mayoría terminen por abandonar la página web, creando un fuerte impacto en la actividad de la compañía
Fig. 9 . HTTPS vs. HTTP.
Fig. 10 . Mensaje de Chrome para webs inseguras [55].
Figura. 9
Figura. 10
5 Siempre estamos cubriendo riesgos
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
27
Cuando no llueve, graniza
En general las empresas que abordan la ges-tión de riesgos han incidido históricamente en los de tipo financiero (para evitar la mora) y en los operativos (para evitar las emergencias y la interrupción del servicio).
Desde el punto de vista estricto de los siste-mas de información (IT y OT principalmente), también aquí se observa una evolución desde el estricto DRP (Disaster Recovery Plan o Plan de Recuperación de Desastres), muy centrado en recuperar los sistemas de información ante fenómenos externos de origen atmosférico o geológico hasta los esquemas más completos de continuidad del negocio actualmente exis-tentes.
Cuando en la empresa a estos conceptos se incorpora el más amplio de Gestión de Crisis es necesario incrementar el ámbito de riesgos contemplados, así como integrar de un modo armónico protocolos de actuación proceden-tes de distintas disciplinas existentes enfoca-das a la resolución de emergencias, así como desarrollar otros nuevos derivados de los ries-gos adicionales identificados.
De un modo sintético e incorporando lo apun-tado hasta el momento, estos riegos pueden ser:
• Riesgos operativos.
• Riesgos económico-financieros vincula-dos a la evolución del negocio y a los ciclos económicos.
• Los derivados de los procesos críticos (campo de la Continuidad de Negocio).
• Los externos cuyo origen está en los ac-tores que comparten ubicaciones geo-gráficas con activos de la compañía.
• Los puramente reputacionales, que no dependen de cuestiones operativas ni de relación con los grupos de interés más habituales. Son difíciles de identificar; en muchos casos de lo que se trata es de de-finir los recursos y la organización que les hará frente y de mantener ésta permanen-
temente entrenada.
• Los de la seguridad de la información, con actores y stakeholders que, como se ha visto anteriormente, tienen orígenes y mo-tivaciones muy particulares, utilizan herra-mientas de gran complejidad y constante evolución, y en muchos casos disponen de recursos más propios de un estado que de una compañía.
Las características de este último tipo de ries-gos pueden hacer pensar en la definición de un esquema adhoc para abordar la amenaza que pueden representar. Aun siendo eso cier-to, en relación a las herramientas particulares que pueda ser necesario utilizar, no lo es en cuanto a los sistemas de gestión que la em-presa debe adoptar. Hay que huir de los ni-chos que abordan la cobertura individual de cada tipo de riesgo para implantar sistemas holísticos de gestión de riesgos con estructu-ras comunes.
Como consecuencia, es también necesario integrar bajo el ámbito de la Gestión de Crisis los planes de actuación existentes asociados a los riesgos que se hayan conside-rado hasta el momento y desarrollar nuevos planes para los adicionales incorporados a la gestión.
Dichos planes de acción deben alinearse con un Manual de Gestión de Crisis de amplio espectro que determine los recursos, mecanismos y herramientas de gestión que la compañía debe dedicar a cada uno de los es-cenarios previamente definidos (incluyendo el escenario de que suceda algo que no se haya imaginado o previsto).
La figura 11 ilustra este concepto. Es impor-tante aquí insistir en la necesidad de que los distintos planes de actuación sean coheren-tes con el Manual de Crisis, de modo que los conceptos de gestión que en él se definan (riesgos principales, estados de la compañía, Comité de Crisis, cuándo y quién lo convoca, componentes fijos y variables, equipos de so-porte, etc.) estén también contemplados en dichos planes indicando claramente las accio-nes a abordar en función de lo que se indique en el Manual.
Siempre estamos
cubriendo riesgos
5
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
28
Empezamos como siempre
La gestión de los riesgos de una organización sigue los postulados propuestos en los siste-mas de continuidad de negocio y se basa en la ejecución de las siguientes etapas:
1. Identificar el riesgo: se deben identificar todos los que pueden amenazar la continui-dad de nuestro negocio y la probabilidad de que ocurran.
2. Analizar el impacto para el negocio: consiste en realizar el BIA (Business Impact Analysis). En este análisis se determinan las funciones críticas de la empresa y la afecta-ción que podría padecer una organización como resultado de la interrupción de estas funciones.
3. Diseño de la estrategia: en esta etapa se desarrollan estrategias de mitigación y re-cuperación ante los incidentes identificados anteriormente.
4. Ejecución de planes: debe detallarse la estrategia definida en el punto anterior en un documento fácil de seguir por los empleados de la empresa. A continuación, se publicará y se distribuirá el plan entre los empleados y se les impartirá la formación necesaria para que lo puedan usar debidamente.
5. Seguimiento y mejora continua: el plan debe ponerse a prueba mediante ensayos. Sólo así se identificarán sus fallos y se podrán tomar las medidas correctoras pertinentes.
La figura 12 muestra la relación entre los ries-gos y cómo, a través de su identificación y del análisis de su impacto, se define la estructura de gestión que los debe abordar y su vincu-lación con los planes de actuación, stakehol-ders, manual y comité de crisis y ejercicios de simulación y entrenamiento.
Planes de Continuidad
Plan de Comunicaciones
Planes Operativos
Plan de Sistemas
Guías Especí�cas
Otros Planes
Plan de Seguridad de la Información
Fig. 11 . Estructura general de Gestión de Crisis.
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
29
Fig. 13 . Esquema de madurez en ciberseguridad. Institut Cerdà a partir de WEF [18].
Fig. 12 . Del riesgo a los planes de acción.
Determinación
Impacto
Manual de Crisis
Planes Funcionales
KPIs
RIESGOSESTRUCTURA
DE GESTIÓN DE RIESGOS
STAKEHOLDERS
FORMACIÓN E INFORMACIÓN
EJERCICIOS PRÁCTICOS
PLANES Y COMITÉ
La organización ve el ciberries-go como algo irrelevante.
No se incluye el ciberriesgo en la política de ges-tión de riesgos de la empresa.
La empresa reconoce la hi-perconectividad como un factor de riesgo.
Sin embargo, aún tiene un enfoque frag-mentado del ciberriesgo.
El CEO de la compañía deci-de implementar un programa de respuesta para el ciberriesgo de arriba a abajo. Sin embargo, todavía no considera esas medidas como una ventaja competitiva.
La dirección de la empresa toma responsa-bilidad total de la gestión del ciberriesgo. En esta fase ya se entienden las vulnerabilidades que tiene la empresa.
Las organizacio-nes comparten información entre ellas de cara a mitigar ciberriesgos.
Fase 1 Fase 2 Fase 3 Fase 4 Fase 5
5
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
30
¿Qué herramienta usamos?
Como se ha apuntado anteriormente, aun siendo un riesgo muy particular y de carac-terísticas específicas, la ciberamenaza es un riesgo más y forma parte del abanico al que la compañía está expuesta. Por lo tanto, debe ser abordado mediante las herramientas de gestión de riegos y seguridad que la empresa decida utilizar.
Desde este punto de vista, esquemas de ges-tión del riesgo como la ISO 31000 o de conti-nuidad de negocio como la familia de la ISO 23000 suponen marcos de referencia útiles y aceptados que, además, en muchos casos coinciden con otros sistemas de gestión ISO de la empresa lo cual facilita su implantación.
No obstante, no se trata sólo de disponer de una estructura sólida y adecuada de gestión de riesgos y crisis, sino de complementar este apartado con otro tipo de medidas encami-nadas a aumentar la resiliencia de la organi-zación.
En este sentido, es bueno reproducir el esque-ma de la figura 13 propuesto por el Word Eco-nomic Forum [18] en cuanto al modelo de ma-durez de la ciberseguridad de una empresa.
El contenido de la figura 13 ya da pistas sobre aquellos aspectos relevantes para abordar el ciberriesgo: el liderazgo, y el networ-king y la colaboración. Estos importantes elementos se pueden completar con otros igualmente de naturaleza “soft” pero con una gran incidencia sobre la resiliencia de la organización:
• Desarrollar una conciencia profunda sobre el ciberriesgo entre los miembros de la compañía hasta hacer que dicha con-ciencia forme parte de su cultura empresa-rial.
• Implantar sistemas de gestión de riesgos y crisis con una clara atribución de respon-sabilidades dentro de la organización.
• Liderar la lucha contra el ciberriesgo desde la más alta dirección de la compañía con muestras explícitas de preocupación y com-promiso. Hacer llegar esta concienciación y
compromiso a los miembros del Consejo de Administración / Directorio.
• Desarrollar partenariados de ciberre-siliencia, tanto a nivel privado (grupos de empresas de sectores distintos intercam-biando información y experiencias) como público-privado (no hay que olvidar que hay un gran componente de inteligencia alrededor del riesgo ciber de la que los Es-tados disponen, además, de la capacidad preventiva y de coordinación de los entes públicos especializados).
• Promover la adopción de todas estas bue-nas prácticas en la cadena de suminis-tro de la compañía. La relación cliente-pro-veedor con una posición preponderante de la compañía cliente es en muchos casos un motivo suficiente para considerar la adop-ción de medidas de seguridad.
Tipología: Robo de datos.
Víctima: Target Corporation.
Atacante: Sin identificar.
Fecha: Septiembre de 2013.
Suceso: Un grupo de hackers obtuvo acce-so a los datos confidenciales de 110 millo-nes de clientes (40 millones de tarjetas de crédito y 70 millones de datos personales).
Motivación: Económica (obtener datos de las tarjetas de crédito para realizar compras o para venderlos).
Efectos: El incidente tuvo un coste de 61 millo-nes de dólares para la compañía, además de la pérdida de reputación.
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
31
5
Desde esta perspectiva, se puede establecer una secuencia desde la amenaza hasta las posibles medidas a tomar tal como se resume en la figura 14.
Teniendo en cuenta que, como cualquier otro riesgo, el impacto del ciberriesgo se deriva del producto de su gravedad por la probabilidad de que ocurra y que, en cuanto la seguridad
de la información, dicho impacto viene dado por la pérdida de alguna de las cualidades de ésta (confidencialidad, integridad o disponi-bilidad), se observa que los valores en riesgo pueden tener una importancia crucial para la empresa hasta el punto de amenazar directa-mente su supervivencia, si no se han tomado las medidas necesarias.
El éxito de dichas medidas, como indica la figura 14, no tiene que ver únicamente con las tradicionalmente adoptadas (manuales, procedimientos) sino que dependen de una amplia gama de herramientas que tiene que ver con la pertenencia de la empresa en un entorno social complejo (medidas sistémicas y comunitarias). De ahí la importancia de contemplar aspectos como el partenariado, el desarrollo de la cultura empresarial o el lide-razgo claro ante la amenaza ciber.
¿Crisis, qué crisis?
Como ya se ha comentado, hay que evitar creer que los riesgos de seguridad de la in-formación han de ser abordados de un modo unilateral por el departamento de Tecnologías de la Información de la empresa, ni tan sólo por el de Seguridad de la Información, de reciente creación en las corporaciones con-cienciadas sobre el problema. Se trata de un riesgo crítico que afecta a la totalidad de la compañía.
Las empresas dedican tiempo y dinero a intentos inútiles de construir un muro impenetrable alrededor de sus sistemas. Incluso si fuera posible construir una protec-ción segura al 100%, no podría proteger la
Tipología: Interrupción de negocio.
Víctima: Transporte público de San Francisco.
Atacante: Sin identificar.
Fecha: 26/11/2016.
Suceso: Un ciberataque inutilizó los sistemas de pago y los monitores de las estaciones, impidiendo que los viajeros pudieran pagar.
Motivación: Hacktivismo (protestar con-tra el precio del transporte público).
Efectos: El incidente inutilizó las máquinas de venta de tickets, por lo que la empresa municipal, MUNI, tuvo que “regalar” los billetes durante toda la jornada.
Fig. 14 . Esquema de la secuencia de las ciberamenazas. Adaptación de WEF [18].
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
32
creciente cantidad de datos que escapan del control de la compañía a través de disposi-tivos que están fuera de su control directo como smartphones, portátiles o tablets.
Es por lo tanto imprescindible protegerse. No obstante, no hay que hacerlo de un modo apresurado ni a cualquier precio. En el merca-do hay una creciente oferta de herramientas de ciberseguridad hasta el punto de la satu-ración. Algunas empresas, ante el sentimiento de urgencia de hacer algo al respecto, adop-tan medidas muy caras que no son las ópti-mas para su perfil y al tener un incidente de ciberseguridad posterior acaban pleiteando en los juzgados con su proveedor.
Para evitar estos problemas, en primer lugar, es necesario identificar y priorizar aquello que la empresa necesita proteger de un modo par-ticular en función de su modelo de negocio (bases de datos, redes, comunicaciones …). A continuación, hay que analizar las soluciones que el mercado ofrece en base a criterios téc-nicos rigurosos; en este sentido, para valorar una oferta puede ser necesario involucrar a los proveedores existentes (de red, software, etc.) para asegurar la efectividad de la alter-nativa. Las empresas que ofrecen productos y servicios de ciberseguridad, en muchos ca-sos desarrollan un diagnóstico inicial gratui-to (proof of concept o prueba de concepto) de utilidad en muchos casos ya que permite identificar las principales vulnerabilidades de aquellas aplicaciones de la compañía a las que previamente se ha decidido dar una prio-ridad estratégica. Es importante considerar y estudiar diversas opciones; en muchos casos la más efectiva en cada situación estará lejos de ser la más cara.
En general, se aconseja centrar la estrategia en dos aspectos: identificar y proteger los ac-tivos de IT/OT críticos de la compañía y averi-guar cómo evitar o mitigar los daños cuando se produzcan los ataques (estrategias de pre-vención, mitigación y minimización).
Por otro lado, la formación preventiva gene-ralizada en ciberseguridad es fundamental ya que este es un campo que evoluciona conti-nuamente y la reacción individual (no abrien-do un mensaje sospechoso, por ejemplo) es
la primera barrera que hay que levantar. En muchas ocasiones se falla al no reconocer la importancia de mantener la concienciación y formación continua de los colaboradores.
Es importante que las organizaciones compar-tan información para aprender las unas de las experiencias de las otras. Si bien los detalles del ataque a una compañía no serán accesi-bles al 100%, por otras empresas, por motivos de confidencialidad, las organizaciones pue-den ganar conocimiento y prepararse mejor si comparten este tipo de información. Es un muy buen ejercicio la realización por parte de las empresas de revisiones de incidentes que afecten a organizaciones similares.
Tipología: Interrupción de la cadena de sumi-nistro.
Víctima: Puerto de Amberes.
Atacante: Hackers vinculados con narcotraficantes mexicanos.
Fecha: 2011-2013
Suceso: Un grupo de hackers atacó el sistema informático del Puerto de Amberes y consi-guió manipular los controles que se hacían en la aduana para que los contenedores que les interesaban no pasaran ninguna revisión y poder así introducir droga en el puerto.
Motivación: Económica (introducir droga en Europa).Efectos: No fue hasta junio de 2013 que se descubrió el ciberataque. 12 personas fueron detenidas y se decomisaron unos 1.000 kg de heroína y 1.000 kg de cocaína.
6 ¿Qué hacer?
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
34
¿Qué hacer?
La crisis inevitable
Se pueden caracterizar las crisis en sus tres fases cronológicas inevitables: el antes, el du-rante y el después (ver figura 15). La primera fase, el antes, se correlaciona con las tareas de gestión de los riesgos, mientras que la segunda y tercera fase, el durante y el des-pués, corresponden al periodo de gestión de la crisis propiamente dicha.
Desde el punto de vista de la gestión de la ci-berseguridad, estas fases se pueden extender relacionándolas con un esquema de mejora continua específico [19] [20]:
1.Identificación del riesgo.2.Protección.3.Detección.4.Respuesta.5.Recuperación
1. Identificación del riesgo: las empre-sas deben aprender a identificar rápida-mente si un ataque está teniendo lugar o no. El denominado penetration testing 3 es una forma de identificar debilidades de forma anticipada y proactiva. En general, los esfuerzos deben centrarse en prevenir los ataques y las brechas de seguridad en vez de minimizar el coste de las violacio-nes después de que estas ocurran. Esta
etapa incluye la evaluación de riesgos, la gestión de activos y el desarrollo de es-quemas de gobernanza que contemplan la gestión de estos riesgos.
2. Protección: se deben realizar com-probaciones de seguridad con el fin de implementar las medidas de protección adecuadas. Una buena formación es im-portante para mejorar las capacidades de prevención. Esta etapa incluye, entre otros, el control de accesos, la seguridad de datos y la formación.
3. Detección: es un proceso que utiliza herramientas que examinan los patro-nes del pasado para determinar si se ha producido una violación. Para que la vigi-lancia pueda aprovechar plenamente su potencial, se deben tomar medidas de for-ma preventiva en lugar de esperar a que ocurra un incidente. En esta fase debemos apoyarnos en los sistemas de monitoriza-ción continua y detección de intrusiones.
4. Respuesta: desarrollar y llevar a cabo las acciones apropiadas cuando tiene lu-gar un ataque. Incluye la validación de que el ataque está sucediendo, la movilización del equipo de respuesta, puesta en mar-cha los mecanismos para cerciorarse de que la amenaza no se está expandiendo,
Fig. 15 . Esquema de la secuencia de las ciberamenazas. Adaptación de WEF [18].
Toma de decisiones
GESTIÓN DE RIESGOS
ANTES DURANTE DESPUÉS
GESTIÓN DE CRISIS
CRISIS GRAVE
CRISIS LEVE
ESTADO DE ALERTAanálisis final
RecuperaciónTRANQUILIDAD
COMUNICACIÓN DURANTE LA CRISIS
Organización Interna
Diagnóstico
Detección previa de señales
Cultura
6
3 También conocido como pentest consiste en atacar un sistema informático con la intención de detectar vulnerabilidades. Permite determinar el nivel de seguridad de un sistema, las medidas de protección con las que cuenta y si éstas son efectivas.
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
35
decisión de cuál es el momento de alertar a las autoridades y reguladores, así como a los medios de comunicación si fuera ne-cesario. También se deben gestionar cui-dadosamente las relaciones públicas.
5. Recuperación: recuperar cualquier ca-pacidad y servicio que fuera comprometi-do durante el ataque. El objetivo debe ser proteger la red de futuras agresiones.
Fig. 16 . Fases de una crisis. Fuente: elaboración propia (Institut Cerdà).
3. Se debe impartir una correcta formación a los usuarios, desde los em-pleados hasta los miem-bros de los Consejos de Administración o Direc-torios. Cualquiera puede comprometer la seguridad de la empresa si no sigue las directrices marcadas en materia de ciberseguridad.
4. Dichos Directorios de-ben conocer las implica-ciones legales en caso de sufrir un ciberataque. Así mismo, los consejos deben dedicar tiempo regular-mente a discusiones sobre la gestión de la cibersegu-ridad.
5. La ciberseguridad debe abarcar también dispositi-vos extraíbles (pendrives) y dispositivos móviles como smartphones, portá-tiles o tablets.
Teniendo en cuenta el esquema general de actuación descrito, se recomienda que las empresas sigan los siguientes pasos para incrementar la ciberseguridad y hacer que llegue a todos sus niveles:
1. La compañía en su conjunto debe en-tender y abordar la ciberseguridad como un problema de gestión de riesgos de toda la empresa y no sólo como un problema del departamento de IT.
2. Se deben identificar qué riesgos evitar, aceptar, mitigar o transferir a través de se-guros.
7 Grandes y pequeños: los 12 pasos ante el ciberriesgo
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
37
La mayoría de guías en materia de cibersegu-ridad están enfocadas a grandes empresas. Sin embargo, como se ha explicado en este documento, las PYMES son un blanco muy importante de los ciberataques hoy en día, debido a sus menores medidas de seguridad. Por ello, en el presente trabajo se ha hecho un esfuerzo importante para indicar los ele-mentos particulares que deben considerar las pequeñas y medianas empresas para abordar el ciberriesgo indicado. No obstante, la apli-cación de los principios a las grandes compa-ñías es igualmente válida siendo la diferen-cia, principalmente, una cuestión de escala en las medidas a adoptar.
A continuación, se describen doce actuacio-nes clave que las organizaciones deben tener en cuenta para abordar el ciberriesgo con ga-rantías de éxito:
1. La ciberseguridad va más allá de “una cuestión de informática”:
Si bien los ataques de los piratas informáti-cos se producen sobre recursos tecnológicos, hay que abordar la protección desde fuera de estos, valorando que los impactos son para toda la organización y pueden llegar a ame-nazar la supervivencia de ésta. Por lo tanto, la dirección debe participar de las decisiones principales como son los gastos e inversiones y conocer los riesgos. Tener buenos hábitos de trabajo y sensibilidad sobre la seguridad de la información son una base para muchas otras medidas. Acciones:
• Todas las personas de la organización de-ben saber qué es lo que se puede hacer y lo que hay que evitar.
• Guardar discreción sobre todo tema pro-fesional, especialmente fuera del entorno de trabajo.
• Conservar y almacenar solo aquella infor-mación imprescindible para el desarrollo de la actividad de la organización.
• No mostrar ni dejar a la vista aquella in-formación que no se necesite.
2. ¿Qué información manejamos? ¿Delicada o sensible? ¿Crítica?:
Deben identificarse los datos necesarios para la actividad de la organización, clasificarlos según sensibilidad y en base a esta determi-nar la protección y las restricciones de acceso a aplicar. La legislación obliga a controlar y registrar el acceso a determinados datos con-siderados sensibles o críticos. Finalmente, de-ben considerarse las consecuencias del robo o la destrucción de datos. Acciones y puntos a analizar:
7
Grandes y pequeños: los 12 pasos ante el ciberriesgo
12 ACTUACIONES PARA ABORDAR EL CIBERRIESGO
1 La ciberseguridad va más allá
de “una cuestión de informática”
2 ¿Qué información manejamos?
¿Delicada o sensible? ¿Crítica?
3 Todos los programas
informáticos legales y actualizados
4 Internet, visibilidad, exposición
5 Medios tecnológicos de protección
6 Aprobación por parte de la organización
de las herramientas informáticas a usar
7 Ninguna información y ninguna aplicación
sin protección
8 Contraseñas y cuentas de usuario
9 Los proveedores son parte de la seguridad
de la organización
10 Pruebas y verificaciones
11 Copias de seguridad
12 Teléfonos móviles y tabletas son
ordenadores
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
38
• Determinar qué tipos de datos se gestio-nan; ¿Son personales? ¿Constituyen cono-cimiento técnico o científico esencial para el funcionamiento o la supervivencia de la organización?
• ¿Se dispone de datos personales especial-mente sensibles, como por ejemplo sobre salud, fiscales, económicos o judiciales?
• ¿Se gestiona un volumen masivo datos personales?
• ¿Se almacenan todos los datos en soporte informático? Los archivos en papel o las impresiones son tan importantes como la información grabada en disco, memoria o cinta.
3. Todos los programas informáti-cos legales y actualizados:
El uso de programas de ordenador obtenidos de manera ilegal puede traer consecuencias importantes tales como el bloqueo de todos los medios informáticos por parte de las au-toridades. Además, cuando se obtienen de manera irregular no tienen ninguna garantía y pueden constituir un vehículo para progra-mas espía y de secuestro de datos. Por otro lado, los piratas informáticos buscan cons-tantemente vulnerabilidades y los fabricantes van aportando mejoras y correcciones a sus productos para compensarlas y hacerlos más resistentes a los ataques. Sólo manteniendo los programas actualizados se mantiene su capacidad de resistencia a las agresiones. Acciones:
• Los programas informáticos deben obte-nerse de fuentes fiables y autorizadas.
• Los programas y las aplicaciones en uso deben estar en mantenimiento y en ver-siones con soporte y actualizaciones por parte de los fabricantes; deben aplicarse los parches proporcionados dado que es-tos corrigen errores y deficiencias.
4. Internet, visibilidad, exposición:
¿Dispone la organización de página web? ¿Hay un apartado de la página web para clientes o para proveedores? A través de la Web, ¿se accede a sistemas internos? ¿Y a datos sensibles, como por ejemplo de salud, o claves por el negocio? Cada respuesta in-dicará un nivel de seguridad necesario. Cual-quier medio que incorpore tecnologías de la información y que tenga conexión a Internet o WiFi es susceptible de sufrir un ataque in-formático desde el exterior de la organiza-ción. Acciones:
• Desactivar todos los accesos desde el ex-terior o de WiFi (o cualquier otro enlace por radio) no imprescindibles.
Tipología: Ciberespionaje.
Víctima: Irán.
Atacante: Se sospecha de EE.UU. e Israel. Sin confirmación.
Fecha: Enero de 2012.
Suceso: Sistemas informáticos de la administra-ción iraní fueron infectados con el virus Flame.
Motivación: Ciberespionaje (robo de datos sensibles e interceptación de comunicaciones).
Efectos: El virus fue diseñado para rastrear de forma secreta las redes informáticas de la admi-nistración iraní y controlar los ordenadores de un gran número de funcionarios.
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
39
7
• Los enlaces externos de la organización deben concentrarse en un solo punto controlado y securizado con cortafuegos y con protección contra programas malin-tencionados.
• Restringir accesos externos a personas y entidades si no están debidamente auto-rizadas por la organización.
• Si clientes o proveedores acceden a sis-temas de la organización desde Internet, deben compartimentarse redes y sistemas, creando diferentes segmentos (“zonas desmilitarizadas”).
5. Medios tecnológicos de protección:
Los sistemas antivirus, o sus variantes ac-tuales más conocidas como herramientas de “protección del puesto de trabajo”, son indispensables. Pero no son las únicas. Accio-nes:
• Todos los ordenadores de sobremesa, por-tátiles, tabletas y teléfonos móviles inteli-gentes (smartphones) deben disponer de protección contra virus y contra progra-mas malintencionados.
• La salida y navegación en Internet debe gestionarse de manera centralizada, me-diante un único punto de conexión al exterior y a través de un sistema de pro-tección contra acceso a páginas inseguras y contra contenido no permitido (filtrado del tráfico por un sistema Proxy).
• Todo correo electrónico entrante debe pa-sar un filtro de seguridad.
• El uso de dispositivos extraíbles debe li-mitarse a aquellos usuarios y dispositivos autorizados por la organización por me-dio de la adecuada configuración de los equipos y la instalación de un sistema de gestión de dispositivos conectados.
6. Aprobación por parte de la organización de las herramientas informáticas a usar:
Para ser eficiente, la organización debe esco-ger herramientas con garantía de funciona-miento, seguridad y continuidad que puedan ser utilizadas por el mayor número posible de personas, reduciendo la variedad en benefi-cio de la eficiencia general. Este proceso de selección permite a la organización valorar la seguridad de las herramientas escogidas. Acciones:
Tipología: Afectación de sistemas de control industriales.
Víctima: Red eléctrica de Ucrania.
Atacante: Se sospecha de Rusia. Sin confirmación.
Fecha: 23 de diciembre de 2015.
Suceso: El virus BlackEnergy penetró en la red de diferentes centrales eléctricas ucra-nianas mediante un archivo adjunto en un correo electrónico. Una vez dentro del sis-tema, el virus abría una puerta trasera que conectaba los ordenadores con los ciberdelin-cuentes. Éstos manipularon remotamente los ordenadores y destruyeron los discos duros.
Motivación: Ciberguerra (dañar in-fraestructuras críticas de otro país).
Efectos: El incidente dejó sin electricidad a más de 80.000 personas durante 6 horas.
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
40
• Solo aquellas personas o departamentos específica y formalmente encargados de la adquisición, puesta en producción y posterior soporte pueden autorizar el uso de herramientas tecnológicas.
• Los equipos informáticos deben configu-rarse de forma que solo los técnicos au-torizados puedan instalar programas o modificar las configuraciones de los pro-gramas o de lo propios equipos.
• Usar solo dispositivos de memoria extraí-bles (memorias o discos USB) cifrados y con contraseña.
• Debe exigirse a proveedores de herra-mientas y servicios tecnológicos que sus productos y sus servicios hayan pasado por un test de seguridad que muestre que no se han detectado problemas o deficien-cias según los estándares reconocidos.
7. Ninguna información y ninguna aplicación sin protección:
Habitualmente se presta atención a la segu-ridad de los datos. Aun así todo programa que trate datos tiene también que incorpo-rar medidas de protección, que dependerán de la funcionalidad y de los datos tratados. Acciones:
• Si el sistema gestiona datos que no sean públicos, su acceso debe estar restringido a usuarios acreditados, con credenciales personalizadas y con protección contra pruebas repetidas de código de usuario y de contraseña.
• La entrada de datos a través de formula-rios ha de tener protección contra repeti-ciones masivas.
• Los datos entrados, por usuario o a través de procesos automáticos, deben pasar por un filtro de validación antes de ser aceptados con el fin de evitar la entrada de caracteres que pudieran generar un comportamiento erróneo o destructivo del sistema.
• Todo archivo recibido debe pasar por una
validación y verificación de seguridad.
• Ningún dato sensible debe ser accesible sin identificación y registro de quien ac-cede.
• No debe poderse modificar ningún dato sin registrar el autor de la modificación.
8. Contraseñas y cuentas de usuario:
Cada usuario tiene definida una actividad y un área de responsabilidad. Su identificador (código de usuario) y su contraseña forman las credenciales que le dan acceso a herra-mientas y datos necesarios para el ejercicio de su actividad profesional. Acciones y reque-rimientos:
• Las credenciales son personales y únicas, y no se deben compartir entre varios usua-rios.
• La contraseña tiene que tener un nivel de complejidad adecuado a la sensibilidad de los procesos y datos gestionados; por ejemplo, los usuarios finales deberían usar contraseñas de una longitud mínima de ocho posiciones y formadas por caracteres tomados de tres conjuntos distintos como son cifras numéricas, letras mayúsculas y letras minúsculas; los administradores del sistema deberían usar contraseñas de una longitud mayor; en el caso de los clientes usuarios registrados del sistema, los re-querimientos de contraseña variarán en función de la información accedida y del tipo de actividad con el sistema (no es lo mismo consultar la reserva de pistas en un club que la gestión de los datos sanitarios personales).
• Los privilegios de acceso deben ser los mí-nimos para que la persona pueda realizar sus tareas.
• Las contraseñas deben renovarse periódi-camente como mínimo cada dos meses.
• Además de utilizar contraseñas para la autenticación, también se pueden utili-zar tokens que permiten lo que se cono-
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
41
7
ce como doble factor de autenticación. Un token de seguridad es un dispositivo electrónico físico (se puede introducir en una entrada USB) que sirve para facilitar el proceso de autenticación. Suelen tener un tamaño pequeño que permite llevarlos en el bolsillo o la cartera. Se usan para almacenar claves criptográficas como fir-mas digitales o datos biométricos, como huellas digitales. No hay que confundirlo con la autenticación en dos pasos en la que se utilizan dos factores del tipo: una contraseña y un código que nos envían por SMS al móvil.
9. Clientes y proveedores son parte de la seguridad de la organización:
La dependencia de proveedores especializa-dos, de tecnología o habitualmente presen-tes en las instalaciones de la organización, convierte el cuidado de la seguridad de sus accesos en un elemento de protección nece-sario. Igualmente, el acceso de clientes a los sistemas de información para, por ejemplo, entrar pedidos o fechas de entrega o consul-tar aspectos logísticos o de disponibilidad de producto, debe contemplar las protecciones necesarias para evitar que pueda suponer una puerta de entrada indeseada para ciber-delincuentes. Los proveedores de tecnología deben incorporar la seguridad en sus pautas de trabajo y a sus productos. Acciones:
• Los proveedores que accedan a las ins-talaciones, o a la información de la or-ganización, deben mantener una política de seguridad de la información al día y conocida por todos sus empleados; en el caso de servicios básicos, como puedan ser los de limpieza, la política será simple (versará sobre aspectos esenciales como la discreción, el acceso a archivos o la ob-servación del contenido de las pantallas), y será importante que todas las personas que lleven a cabo el servicio conozcan las normas.
• Toda persona o empresa ajena a la organi-zación (clientes, proveedores y otros) que acceda a las instalaciones o a información de la organización por cuestiones profe-
sionales debe firmar una cláusula de con-fidencialidad desde el primer momento en que se inicia el contacto.
• Proveedores de tecnología: deben cono-cerse sus certificaciones y pruebas y me-didas de seguridad para el ámbito de sus productos o servicios.
10. Pruebas y verificaciones:
Para conocer la situación y el nivel de protec-ción es necesario llevar a cabo como mínimo pruebas técnicas de los recursos tecnológi-cos. Uno de los resultados fundamentales será saber cuan fácil es para un pirata lanzar un ataque con éxito. Estas pruebas deben ser realizadas por empresas o profesionales especializados y, a partir de ellas, se podrán emprender las correspondientes mejoras. Ac-ciones:
• Llevar a cabo de forma periódica un escaneo de vulnerabilidades de la red y de los equipos, tanto de servidores como de los puestos de trabajo de los usuarios; puede ser realizado por los profesionales informáticos que habitualmente dan so-porte a la organización en estos temas, aunque la participación de una empresa exterior especializada sería de gran ayuda, tanto en el diagnóstico como en el segui-miento
• Ejecutar tests de vulnerabilidades (pentesting), especialmente de aquellas que sean accesibles desde el exterior; de-ben ser realizados por una empresa espe-cializada independiente del fabricante de las aplicaciones.
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
42
11. Copias de seguridad:
Una copia de seguridad diaria permitirá la recuperación de un buen número de situacio-nes adversas. Acciones:
• Verificar periódicamente el contenido de las copias y guardarlas en lugar seguro (lugar bajo llave e ignífugo).
• Conservar el histórico exigido por clientes, autoridades y normas internas.
• Llevar a cabo periódicamente pruebas de recuperación.
12. Teléfonos móviles y tabletas son ordenadores:
Los smartphones y las tabletas permiten el acceso a procesos y a datos y a trabajar en remoto con la misma potencia y funcionali-dad que un ordenador de sobremesa o que un ordenador portátil. Además, teléfonos mó-viles y tabletas presentan algunas caracterís-ticas que implican considerar su seguridad de una forma más rigurosa que para el caso de los ordenadores portátiles; o de sobremesa; entre otras, pueden mencionarse:
• Tamaño reducido.
• Mayor control por parte del usuario que en el caso de los ordenadores de sobre-mesa o portátiles, lo cual redunda en una pérdida de control de las aplicaciones ins-taladas y su calidad y seguridad.
• Exposición permanente en Internet.
• Captura y transmisión de datos por par-te de aplicaciones instaladas (habitual en buen número de aplicaciones para móvi-les).
• Uso intensivo (chats, conexión permanen-te, tasa de uso elevada).
Tipología: Defacement.
Víctima: Celulosa Arauco (empresa chilena dedicada a la fabricación de pulpa de celulosa).
Atacante: Desconocidos.
Fecha: Febrero de 2017.
Suceso: La empresa ARAUCO fue víctima de un ciberataque en su página web (de-facement). Modificaron su web para que apareciera un mensaje en el que se les ha-cía responsables de un incendio forestal.
Motivación: Hacktivismo (dañar la imagen de una empresa).
Efectos: El ataque dañó gravemente la imagen de la compañía, dado que se les hacía respon-sable de un asunto tan delicado como es un incendio forestal.
7 MEDIDAS ESPECÍFICAS PARA SMARTPHONES Y TABLETS
1 Usar una contraseña de desbloqueo con un mínimo de complejidad
2 Instalar un programa de protección
3 Escaneo de las aplicaciones instaladas
4 Control de navegación a páginas web maliciosas
5 Cifrado del dispositivo
6 Bloqueo automático con contraseña del dispositivo por inactividad
7 Realizar copias de seguridad de manera regular
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
43
• Ubicuidad: en cualquier momento puede hallarse en un entorno al alcance de una conexión directa por parte de hackers.
• Pasa un mínimo de un 66% del tiempo en un entorno no controlado físicamente por la organización (tiempo que permanece fuera del entorno profesional).
• Configuración difícilmente controlable por las características de los sistemas opera-tivos.
Por otro lado, son dispositivos con un uso cre-ciente para la conexión a los sistemas y aplica-ciones internos de la organización, por lo que si son pirateados constituyen una puerta de entrada a recursos en general críticos y a datos sensibles. De esta forma, se hace imprescindi-ble tomar medidas de seguridad específicas; unas medidas mínimas son:
1. Usar una contraseña de desbloqueo con un mínimo de complejidad; las típicas de 4 dígitos numéricos son fáciles de observar y memorizar cuando las introducimos y relati-vamente fáciles de adivinar, especialmente si el número de reintentos no se limita a unos pocos.
2. Instalar un programa de protección de dispositivo móvil que incorpore antivirus y vi-gilancia contra software malicioso.
3. Escaneo de las aplicaciones instala-das: esta es una funcionalidad que tiene el objetivo de evitar la instalación de programas maliciosos, o la modificación no deseada de programas ya instalados; normalmente, esta funcionalidad la proporcionan los programas de protección indicados en el punto anterior, se ejecuta en el mismo dispositivo y debe con-figurarse para que se ejecute automáticamen-te, tanto de forma periódica como al instalar o actualizar las aplicaciones en el dispositivo.
4. Control de navegación a páginas web maliciosas: esta funcionalidad evitará o avi-sará cuando desde el dispositivo móvil se in-tente acceder a una página web identificada como peligrosa o con contenido malicioso, desde la cual podría contaminarse el dispo-sitivo móvil con virus, gusanos o programas espía.
5. Cifrado del dispositivo: se lleva a cabo con una clave local ligada a la contraseña del usuario y evita que, en caso de pérdida o robo, se pueda acceder directamente al contenido almacenado (por ejemplo, libreta de direccio-nes, fotos, etc.); el nivel de protección vendrá determinado por la complejidad de la contra-seña usada por el usuario, si se usa un contra-seña corta y fácil de adivinar, se podrá acceder de todas formas al contenido.
6. Bloqueo automático con contraseña del dispositivo por inactividad de más de dos minutos y con limitación del número de rein-tentos a tres.
7. Si se usa el dispositivo de forma intensiva para trabajar y almacenar datos es imprescin-dible realizar copias de seguridad de mane-ra regular, las cuales deben comprobarse.
Existen varios productos gratuitos en el mer-cado, de fabricantes de primera línea, que gestionan estas medidas. Algunos de ellos permiten, además, el bloqueo o el borrado del dispositivo en remoto para los casos de pérdida o robo. Finalmente, también exis-ten servicios de gestión de la seguridad del dispositivo los cuales por una módica cuota mensual proporcionan todas estas funciona-lidades y un bloqueo en remoto del dispositi-vo al notificarse su pérdida o robo.
7
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
44
Tipología: Ransomware.
Víctima: Ayuntamiento de Rialp, España.
Atacante: Desconocido.
Fecha: 13/04/2017.
Suceso: El ataque bloqueó el servidor del pequeño ayuntamiento y dejó inutilizables todos los archivos que tenían almacena-dos en sus ordenadores. Los hackers pedían un rescate para recuperar la información.
Motivación: Económica (pedir un rescate).
Efectos: Durante 6 días el ayuntamiento fun-cionó sin su sistema informático. Gracias a que disponían de copias de seguridad, no tuvieron que pagar el rescate.
8 ¿Y ahora qué?
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
46
8
La economía digital, el uso de Internet y las nuevas tecnologías proporcionan numerosas nuevas oportunidades de negocio, de servicio y de relación. Hoy en día resulta ya difícil con-cebir ninguna forma de relación económica o social sin ellas. En este contexto, mantener la seguridad es un reto importante al que las pequeñas organizaciones no son ajenas; de hecho, muchas de ellas son actualmente objetivo directo de ataques de robo de datos y de secuestro de recursos informáticos con peticiones de rescate.
Por otro lado, la legislación ha desarrollado requerimientos importantes. Como normas de aplicación en todos los casos debe tenerse en cuenta:
• en Chile, debemos tener en cuenta que el sistema de protección de datos personales podría cambiar radicalmente si finalmente se aprueba el Proyecto de Ley que la Pre-sidenta de la República envió al Senado el 13 de marzo de 2017. Todas las medidas contempladas en esta reforma se especifi-can en el “Anexo D: Consideraciones lega-les para empresas en Chile”.
• en España, la Ley Orgánica de Protección de Datos personales (LOPD, Ley Orgánica 15/1999 y Reglamento aprobado en Real Decreto 1720/2007), y el Reglamento de la Unión Europea sobre protección de da-tos personales, el cual representa un salto adelante muy importante para empresas y organizaciones de todo tipo y tamaño (Re-glamento (UE) 2016/679 del Parlamento Europeo y del Consejo); si además la orga-nización proporciona servicios a través de Internet, es de aplicación la Ley de Servi-cios de la Sociedad de la Información y de Comercio Electrónico (LSSI, Ley 34/2002).
Además, en función del sector, puede resultar de aplicación alguna norma específica, como por ejemplo la Directiva de la Unión Europea sobre seguridad de las redes y los sistemas de información en infraestructuras críticas (Direc-tiva (UE) 2016/1148 del Parlamento Europeo y del Consejo). En el “Anexo C: Consideracio-nes legales para empresas en España” se en-tra en más detalle en todas estas cuestiones.
Es necesario que cada organización conozca los requisitos legales que le son de aplicación y tome las medidas adecuadas para su cum-plimiento.
Las medidas de protección pueden implicar gastos (¿inversiones?) adicionales. Fabrican-tes y empresas de servicios han desarrollado servicios gestionados en la nube que permi-ten unos costes accesibles así como modular el gasto a la medida de la organización y a sus prioridades.
Para implementar un nivel adecuado de ci-berseguridad es imprescindible identificar las carencias, planificar las acciones establecien-do prioridades, elaborar el correspondiente presupuesto y ejecutar el plan con rigor y con el adecuado seguimiento. Debe analizarse la actividad de la organización y su contexto, los requerimientos legales (por ejemplo, la LOPD o el nuevo Reglamento de la Unión Europea sobre privacidad), los medios tecno-lógicos y el funcionamiento de la organiza-ción (qué actividades lleva a cabo, cómo, qué datos maneja y con qué herramientas, y qué funciones realiza cada persona).
Esta tarea, muy sencilla en el caso de una organización pequeña y compleja en el caso de una gran organización, permitirá estable-cer el correspondiente análisis de riesgo y de impacto, conducirá a determinar las medidas específicas a aplicar y permitirá determinar su coste.
¿Y ahora qué?
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
47
Se podrán entonces decidir las prioritarias (aquellas que nos protejan de los riesgos más probables y de más impacto) y establecer un calendario. Dicho calendario puede extender-se sobre varios años y debe revisarse periódi-camente (al menos cada año).
Y, muy importante, no debe olvidarse el gasto de mantenimiento, la seguridad no es sólo una cuestión de acciones puntuales, es una cuestión de mejora continua.
Los profesionales y las organizaciones con capacidad y conocimiento sobre los cuatro ejes principales de la ciberseguridad (legis-lación, funcionamiento de la organización, tecnología y análisis de riesgos) han de ser un apoyo fundamental, diseñando el corres-pondiente plan convenientemente evaluado en tiempo y coste.
Además, podrán colaborar activamente tanto en el seguimiento de las mejoras y del nivel de seguridad, como en el tratamiento de as-pectos técnicos de detalle por parte de profe-sionales o empresas especializadas.
Finalmente, un seguro contra ciberriesgos permitirá reducir significativamente, que no eliminar, el impacto de aquellos accidentes que siempre es posible tener, aun habiendo implementado las medidas de protección ne-cesarias.
Así pues, la seguridad, con la implementación y el seguimiento de las medidas adecuadas, y la observación del correcto cumplimiento de los requerimientos legales son parte del servicio o producto proporcionado por la or-ganización. La adecuada protección son base del funcionamiento ininterrumpido de la ac-tividad, de adquisición de la confianza de los clientes y también pueden constituirse como una ventaja competitiva importante.
Tipología: Interrupción de negocio
Víctima: TV5 Monde.
Atacante: Hackers vinculados al Estado Islámico.
Fecha: 09/04/2015.
Suceso: La cadena francesa fue víctima de un ataque en el que sus páginas web y sus cuentas en redes sociales mostraron propaganda del Estado Islámico mientras duró el ataque.
Motivación: Hacktivismo (protestar con-tra la acción militar francesa en Irak).
Efectos: Durante el incidente, la emisión de los 11 canales de la cadena se vio interrumpida.
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
48
APT (Advanced Persistent Threat o Ame-naza Avanzada Persistente): Consiste en penetrar en un sistema para extraer informa-ción o impedir que se lleve a cabo un deter-minado proceso, pasando desapercibido el mayor tiempo posible. Este tipo de ataque es uno de los más sofisticados posible (de ahí el adjetivo “avanzado”), perpetrados por hac-kers muy habilidosos, cuyo ataque se prolon-ga durante el mayor tiempo posible (de ahí el adjetivo “persistente”) sin ser detectado.
Blockchain: El blockchain (cadena de blo-ques) es una base de datos de transacciones en la red de Bitcoin compartida por todos los ordenadores que participan en la red.
Botnet: Es un término que hace referencia a un conjunto o red de robots informáticos o bots que se ejecutan de manera autónoma y automática.
Cloud: Sistema que permite ofrecer servicios de computación a través de Internet de modo que todos los datos se almacenan en un ser-vidor remoto.
Código malicioso: Consiste en un código informático diseñado para dañar un sistema informático.
Cracker: Este término se utiliza para referir-se a expertos en seguridad informática que utilizan sus conocimientos para realizar acti-vidades ilegales. Teóricamente, se debería di-ferenciar entre cracker (malo) y hacker (bue-no), pero en la práctica el término hacker ha adquirido la connotación negativa de cracker y ambos términos se usan indistintamente.
DDoS (Distributed Denial of Service o Ataque de Denegación de Servicio): Con-siste en atacar un servidor desde muchos or-denadores al mismo tiempo para que deje de funcionar. Cuando se registran demasiadas peticiones a la vez hacia un servidor, este se bloquea y deja de funcionar hasta que o bien se detienen los ataques o se logran eliminar las conexiones ilegítimas.
Defacement: Hace referencia a la deforma-ción de una página web de forma intencio-nada por parte de un atacante (defacer) que ha accedido de forma ilegítima al contenido de la web.
E-commerce: El e-commerce consiste en la compra, venta, marketing y suministro de productos o servicios a través de Internet.
Gusano: Es un malware que tiene la capaci-dad de duplicarse a sí mismo y propagarse de ordenador a ordenador.
Hacker: Se define en la RAE como “pirata in-formático, persona con grandes habilidades en el manejo de ordenadores, que utiliza sus conocimientos para acceder ilegalmente a sistemas o redes ajenos”. Sin embargo, entre la comunidad informática, el término hacker se refiere a todo aquél con elevados cono-cimientos de la ciencia informática, espe-cialmente de seguridad y programación. Por tanto, un hacker no tiene por qué dedicarse a actividades ilegales. Los hackers utilizan otros términos para referirse a los expertos en informática que utilizan sus conocimien-tos con fines ilícitos: crackers o piratas infor-máticos.
Hacktivista: Utiliza ataques simples pero efectivos como defacement o DDoS para pro-testar por temas como derechos humanos, libertad de expresión, etc.
Ingeniería social: Consiste en todas aque-llas prácticas destinadas a obtener informa-ción confidencial a través de la manipulación de los usuarios de un determinado sistema.
Internet of Things: El Internet de las Cosas se refiere a la interconexión digital de objetos cotidianos con Internet: lavadoras, cafeteras, coches, relojes, etc.
Inyección SQL: Consiste en introducir códi-go intruso en una base de datos para acceder a la información que contiene. Se vale de una vulnerabilidad informática presente en cual-quier lenguaje de programación (SQL en este caso) que esté embebido dentro de otro.
Anexo A: Glosario
9
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
49
Keylogger: Se usa para registrar las pulsa-ciones introducidas en un teclado para ob-tener contraseñas, números de tarjetas de crédito, etc.
Malware: También conocido como software malicioso, código maligno o simplemente vi-rus informático, es un tipo de software que tiene como objetivo dañar un sistema infor-mático o infiltrarse en él sin el consentimien-to de su propietario.
Penetration Testing: También conocido como “pentest”, consiste en atacar un siste-ma informático con la intención de detectar vulnerabilidades. Permite determinar el nivel de seguridad de un sistema, las medidas de protección con las que cuenta y si éstas son efectivas.
Phising: Consiste en suplantar la identidad de un servicio, organización, etc., para obte-ner datos de usuarios. El cibercriminal utiliza algún método de comunicación, como puede ser un correo electrónico, para ponerse en contacto con la víctima haciéndose pasar por una persona o empresa de confianza para requerir algún tipo de información como con-traseñas, números de cuentas, etc.
POS Malware (Point-Of-Sale Malware o Malware de Punto de venta): Se trata de un software malicioso expresamente diseña-do para robar datos bancarios de clientes de tiendas minoristas. Lo más habitual es sus-traer información de la tarjeta de crédito o de débito leyendo la memoria del dispositivo desde el que se realiza el pago en el punto de venta.
Ransomware: Es un tipo de ataque infor-mático que consiste en restringir el acceso a contenido crítico de una empresa o un parti-cular y pedir un rescate a cambio de quitar esa restricción.
Script: Es un conjunto de órdenes guardadas en un archivo de texto, que es ejecutado por lotes o línea a línea, en tiempo real por un intérprete.
Token: Un token de seguridad es un disposi-tivo electrónico físico que sirve para facilitar el proceso de autenticación. Suelen tener un tamaño pequeño que permite llevarlos en el bolsillo o la cartera. Se usan para almacenar claves criptográficas como firmas digitales o datos biométricos, como huellas digitales.
Troyano: Se trata de programas informáticos que simulan ser legítimos e inofensivos pero que una vez instalados en un equipo propor-cionan un acceso remoto al atacante.
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
50
El Bitcoin, abreviado como BTC, es una di-visa electrónica que sirve para intercambiar bienes y servicios. La principal diferencia res-pecto al resto de divisas es que se trata de una moneda descentralizada: no está respal-dada por ningún gobierno ni depende de la confianza hacia un emisor central. Además, no hay intermediarios: las transacciones se hacen directamente de persona a persona. Respecto a la seguridad, hasta el momen-to se considera imposible su falsificación o duplicación gracias a su sofisticado sistema criptográfico (blockchain – ver Anexo E). Uno de los aspectos más controvertidos de esta moneda es que no es necesario revelar la identidad del usuario al utilizarla.
Hasta la creación del bitcoin era obligado que todos los pagos en el comercio electrónico se realizaran mediante entidades tales como bancos o empresas financieras que gestiona-ban un seguimiento de todas las transaccio-nes. Con el bitcoin, esto ha dejado de ser así, lo cual explica que sea la escogida por los ci-bercriminales para monetizar sus actividades delictivas. Sus principales características son:
El rastreo e identificación del origen o procedencia del dinero es muy comple-jo: a diferencia de una cuenta bancaria que va asociada a una numeración fija, en la red bitcoin cualquiera puede generarse su pro-pio número de cuenta y estos números son aleatorios, no puede saberse a quién están asociados.
• La tendencia alcista de esta divisa desde su creación: los bitcoins cotizan 24 horas al día, los 365 días del año. Como puede verse en la figura 17, el valor de los bitcoins (respecto al USD) no ha dejado de subir. Por lo tanto, es un valor seguro para los ciberdelincuentes que saben que el va-lor de sus BTC se revaloriza día tras día.
Tanto ha crecido el valor de los Bitcoin, que se han podido leer en los medios de comuni-cación noticias fascinantes sobre gente que tuvo la visión (o simplemente la suerte) de invertir en esta moneda. Kristoffer Koch, un joven estudiante noruego, compró 5.000 bit-coins por valor de 26,60 USD en 2009 para un experimento en su tesis doctoral sobre cifrado en Internet. El joven, una vez finali-zada la tesis, olvidó por completo su “peque-ña” inversión hasta que, 4 años más tarde, en 2013, leyó noticias en Internet sobre el crecimiento de esta moneda electrónica. Le llevó algún tiempo recordar la contraseña de su monedero electrónico, pero cuando lo hizo, y accedió a él, se llevó la sorpresa de su vida: los 5.000 BTC que compró por ape-nas 26 USD, tenían un valor de 886.000 USD. ¡Bendita tesis doctoral! Con ese dinero el muchacho se compró una propiedad en una de las zonas más exclusivas de Oslo. Vale la pena considerar que, si hubiese mantenido su inversión, a día de hoy 5.000 BTC tienen un valor superior a 20.000.000 USD.
Anexo B: Bitcoin, el
dinero que no se ve
Fig. 17 . Evolución del BTC-USD [56]
Figura. 17
10
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
51
APLICACIÓN DEL NUEVO REGLAMENTO 2016/279 DE LA UNIÓN EUROPEA EN LAS PYMES
El nuevo Reglamento de la Unión Europea (UE), sobre protección de datos personales (Reglamento (UE) 2016/279), plantea un nue-vo escenario para todas las empresas y para todas las personas jurídicas en general, en cuanto al cumplimiento de la legislación en materia de protección de datos personales y de su tratamiento. Se consideran tanto los tratamientos automatizados como los que no lo son. En consecuencia, este Reglamento (UE) 2016/279 impacta en todas las áreas y en todas las herramientas vinculadas al trata-miento de datos personales, tanto las tecnoló-gicas como las organizativas. Y, sin olvidar las personas que efectúan parte de dichos trata-mientos, en muchos casos en contacto direc-to con clientes y usuarios que son personas físicas. No menos importante, el Reglamento (UE) 2016/279 fija multas de hasta el 4% del volumen de negocio total de la empresa para unos determinados supuestos (puntos 4, 5 y 6 del artículo 83 del Reglamento).
En cuanto al enfoque general de la norma, se pasa de un modelo con unos supuestos cla-ramente tasados, indicados en la LOPD y en el reglamento que la desarrolla, a uno en el que se asigna a las empresas y a las admi-nistraciones la responsabilidad de analizar e implementar las acciones necesarias para ga-rantizar la seguridad de los datos personales que gestionan.
Con esta nueva visión, se exige a las empre-sas diligencia en la puesta en práctica de la protección de privacidad de datos, transpa-rencia hacia los interesados cuyos datos se tratan, formalidad en las acciones tomadas (decisiones razonadas, documentación de las decisiones y de su razonamiento, de las acciones y de los incidentes) y mejora conti-nua. Conceptualmente, el Reglamento (UE) 2016/279 exige la puesta en práctica en toda su extensión de un sistema de gestión de la Seguridad de la Información para el ámbito de los datos personales.
El ámbito geográfico tomado en considera-ción en este documento es el de una empre-sa española con un solo establecimiento en España, vendiendo y suministrando bienes y servicios en la Unión Europea y llevando a cabo todo el tratamiento de datos persona-les en la Unión Europea a este respecto, debe señalarse que la utilización de servicios en la nube debe ser cuidadosamente analizada, dado que la contratación de un servicio, cuyo almacenamiento (servidores) esté fuera de la Unión Europea está sujeta a especiales res-tricciones (constituye una transferencia inter-nacional de datos).
Se dan aquí unas pautas generales que per-mitirán a una organización poner en mar-cha las medidas básicas de cumplimiento. Sin embargo, debe tenerse en cuenta que la seguridad de datos de una especial sensibili-dad (por ejemplo, datos sobre la salud), o las transferencias internacionales de datos (fuera de la UE) presentan cierta complejidad por lo que es recomendable acudir a profesionales expertos en cumplimiento normativo y de estándares para la puesta en marcha de las adecuadas medidas organizativas, técnicas e informáticas.
Es necesario tener en cuenta que el legislador español está, en el momento de la publicación de este documento, estudiando las modifica-ciones de la LOPD (Ley Orgánica 15/1999) y del reglamento que la desarrolla (Real Decre-to 1720/2007), por lo que pueden aparecer cambios en la legislación española. En cual-quier caso, el Reglamento (UE) 2016/279 es de obligado cumplimiento.
Finalmente, debe incidirse en que el Regla-mento (UE) 2016/279 está actualmente en vigor (es un texto legal válido) y es de apli-cación a partir del 25 de mayo de 2018; en consecuencia, todos los requerimientos son plenamente exigibles a partir del 25 de mayo de 2018. A partir de esta fecha, las organiza-ciones que traten datos personales deberán hacerlo según el Reglamento (UE) 2016/279 o interrumpir dicho tratamiento; de lo contrario, se arriesgan a fuertes sanciones y al requeri-miento por parte de la Agencia Española de Protección de Datos de cesar los tratamientos.
Anexo C: Consideraciones
legales para
empresas en
España
11
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
52
¿Qué debe hacerse?
Principios generales
Para todo tratamiento de datos personales, deben tenerse en cuenta los siguientes aspec-tos:
1. Licitud del tratamiento: el tratamiento es lícito si existe consentimiento del interesa-do del que se quieran procesar los datos, si es necesario para la ejecución de un contra-to con el interesado, si existe una obligación legal, si es necesario para proteger los inte-reses vitales del interesado o de otra perso-na física, o si es necesario para satisfacer un interés legítimo de la empresa que realiza el tratamiento, siempre y cuando no prevalezcan los derechos o libertades fundamentales del interesado
2. Los datos personales solo se pueden re-coger y tratar con un fin específico y determi-nado; cada nuevo uso obliga a un nuevo pro-ceso de alta y aceptación (en particular, del consentimiento por parte de los interesados cuyos datos se vayan a procesar); para cada tratamiento debe verificarse si este es nece-sario para:
a) El fin del tratamientob) La realización de las actividades de la organización, tanto principales (por ejem-plo, suministrar un bien o servicio) como auxiliares (por ejemplo, cobro de facturas)c) El cumplimiento de un contrato con la persona cuyos datos se tratand) El cumplimiento de una obligación legale) Un interés vital de la persona cuyos da-tos se tratan, o para otrasf) Un interés legítimo de la organización (prevaleciendo siempre los derechos fun-damentales de las personas sobre el le-gítimo de la organización, y teniendo en cuenta siempre los casos específicamente recogidos en la legislación
3. Minimización: solo se recabarán, almace-narán y tratarán los datos estrictamente nece-sarios para las funciones, fines, tratamientos y usos formalmente aprobados y documen-tados (no cabe el guardar datos adicionales “por si acaso”) y se conservarán durante el
tiempo mínimo imprescindible (determinado por el fin del tratamiento, la vigencia de un contrato con un cliente o la legislación vigen-te, como por ejemplo en materia de reclama-ciones de clientes, del sector bancario o de lucha contra el blanqueo de capitales)
4. Transparencia: salvo en aquellos casos re-lacionados con investigaciones policiales o ju-diciales y en aquellos recogidos en legislación específica, en el momento de la obtención de datos personales la organización deberá infor-mar al interesado del que se obtienen sus datos:
a) Identidad y datos de contacto de la or-ganizaciónb) Datos de contacto del Delegado de Pro-tección de Datos personales en caso de existir (el Reglamento (UE) 2016/279 no exige esta figura en empresas de menos de 250 empleados)c) Finalidad del tratamiento (para qué se van a usar los datos personales)
5. Consentimiento informado y específi-co: salvo en las excepciones legalmente es-tablecidas (por ejemplo, en investigaciones judiciales o policiales) solo se puede llevar a cabo un tratamiento y se pueden conservar los datos personales necesarios para ese tra-tamiento cuando los interesados de los que se van a tratar los datos han dado su consen-timiento
6. Proactividad: cada empresa es respon-sable de implementar las medidas adecua-das de seguridad sobre los datos personales y sus tratamientos en función de un análisis de riesgos y de impactos; además, debe man-tener constantemente un nivel de seguridad aceptable y una mejora continua.
7. Cada empresa debe poder demostrar, en todo momento, que realiza siempre, y de forma activa, la puesta en práctica de medidas de protección en función de los riesgos e impactos formalmente identificados; ello implica:
a) Documentar todos los análisis llevados a cabo, así como las acciones tomadasb) Basar todas las decisiones en un análisis
11
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
53
razonado, que deberá también ser docu-mentadoc) Guardar registros de los incidentes y de las acciones correctorasd) Conservar los consentimientos dados por las personas cuyos datos se conservan y tratan
8. Se conservarán registros de toda acti-vidad llevada a cabo con datos persona-les; esto implica que aplicaciones y sistemas informáticos generen registros (logs) de altas, modificaciones y supresión de datos persona-les, tratamientos llevados a cabo, usuario que los ha ejecutado, en qué fecha y hora, y dato afectado.
Seguridad y privacidad por diseño
Las organizaciones deberán tomar en consi-deración la seguridad de los datos personales, a partir del mismo momento en que se diseñe una nueva actividad o negocio, o cualquier proceso o herramienta que tenga por objeti-vo dar soporte al tratamiento de datos per-sonales. Este requerimiento no tiene un único punto de aplicación, pero la organización de-berá poder demostrar que se tiene en cuenta aportando bien una norma general, bien do-cumentación de que se ha razonado y tenido en cuenta en las fases de diseño. El ejemplo típico es el de una página web, si en ella se manejan datos personales, debe poder de-mostrarse que desde el diseño se han tenido en cuenta los requerimientos del Reglamento (UE) 2016/279.
Seudonimización, cifrado y comunicacio-nes seguras
La seudonimización consiste en la sustitución o eliminación de los identificadores persona-les de la información que se trate. Se susti-tuiría el identificador de la persona de los propios datos; de esta forma, por ejemplo, si datos de salud estuviesen relacionados con un DNI, este podría ser sustituido por un identificador interno no nominal, permitiendo determinados tratamientos; la relación entre identificador interno y DNI debería entonces restringirse y preservarse al máximo.
El cifrado consiste en proceso de transfor-mación de los datos, mediante un cálculo matemático y combinándolos con una clave de cifrado. De esta forma, los datos son inin-teligibles si no se dispone de la clave de ci-frado. Con ello, se garantiza que un intruso accediendo directamente a los datos no los podría usar. El cifrado debe usarse siempre para almacenado de datos sensibles o de tipo especial (por ejemplo, datos de salud).
El acceso a datos personales, tanto por par-te de personas de la organización como por parte de clientes y usuarios, debe llevarse a cabo siempre con comunicaciones seguras (por ejemplo, con protocolo HTTPS en lugar de http); debe tenerse en cuenta que todo acceso y uso autenticado de un sistema informático por Internet debe realizarse siempre con co-municaciones seguras.
Registro y notificación de incidentes de seguridad
Todo incidente de seguridad en relación a da-tos personales debe ser registrado.
Todo incidente de seguridad con probable riesgo para los derechos y las libertades de las personas físicas deberá ser comunicado a la Agencia Española de Protección de Datos en un máximo de 72 horas.
Todo incidente de seguridad sobre datos per-sonales que sea probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas será comunicado sin dila-ción a las personas físicas que puedan verse afectadas. En caso de que la comunicación personal entrañe un coste desproporcionado, esta podrá realizarse con una comunicación pública.
El consentimiento del interesado
Dada la importancia del consentimiento para el tratamiento de datos personales, se deta-llan aquí los requerimientos básicos:
1. El consentimiento debe ser explíci-to: no son válidas las casillas previamente marcadas, o el consentimiento implícito en un texto con múltiples otras cláusulas
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
54
2. En aquellos tratamientos justifica-dos con el consentimiento del interesado del que se tratan o han tratado los datos personales, la empresa debe en todo mo-mento poder demostrar que obtuvo el con-sentimiento del interesado
3. El interesado tiene derecho a retirar el consentimiento en cualquier momento (no afectaría a los tratamientos ya efectua-dos anteriormente a dicha retirada)
Categorías especiales de datos
Estos datos son objeto de una especial vigi-lancia y restricción, pudiéndose aplicar restric-ciones legales adicionales a las del Reglamen-to (UE) 2016/279, especialmente en cuanto a personas que puedan efectuar su tratamiento.
Las categorías especiales de datos personales son aquellos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos di-rigidos de identificación de una persona física, los datos relativos a la salud, los datos rela-tivos a la vida sexual o las orientaciones se-xuales de una persona física, y los datos per-sonales relativos a condenas e infracciones penales. Como ejemplo, citar que los datos de salud en el ámbito de la asistencia médica o sanitaria requieren ser tratados por personas sujetas al secreto profesional.
El Delegado de Protección de Datos (DPD, Data Privacy Officer DPO)
Deben designar un Delegado de Protección de Datos todas las entidades públicas (a excepción de los tribunales) y todas aquellas organizacio-nes privadas que lleven a cabo tratamientos:
• Que requieran una observación a gran es-cala habitual y sistemática de interesados
• Sobre categorías especiales de datos
El DPD es una figura que solo rendirá cuentas al jerárquico más alto de la organización, y no debe recibir instrucciones en el desempeño de sus funciones. Se encargará de:
• Informar, asesorar y supervisar el cumpli-miento de las obligaciones en materia de protección de datos personales, en todos sus aspectos y áreas de la organización
• Asesoramiento en las evaluaciones de ries-go e impacto
• Contacto y cooperación con la Agencia Es-pañola de Protección de Datos
• Supervisión de las correspondientes audi-torías
11
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
55
Anexo D: Consideraciones
legales para
empresas en Chile
El sistema de protección de datos personales en Chile podría cambiar de forma radical si se aprueba el Proyecto de Ley que regula la pro-tección y el tratamiento de datos personales, lo que implicará nuevas responsabilidades para las empresas.
El Proyecto surge ante la necesidad de actua-lizar una ley que data de 1998 y que ha que-dado obsoleta. Por ello, en 2010 se acordó alcanzar los estándares que mantienen los países de la OCDE.
El 13 de marzo de 2017, la presidenta de la República envió al Senado el Proyecto de Ley que modificará sustancialmente la Ley Nº 19.628 sobre la Protección de la Vida Privada.La nueva Ley establece las siguientes nove-dades respecto a su predecesora [21] [22]:
1. Se crea la Agencia de Protección de Datos Personales: autoridad administra-tiva con facultades de fiscalización y san-ción a los responsables de bases de datos.
2. Se establecen nuevos derechos de Acceso, Rectificación, Cancelación y Opo-sición (derechos ARCO).
3. Se regula el concepto y requisitos del consentimiento. Debe involucrar “un acto afirmativo que dé cuenta con claridad de la voluntad del titular”.
4. Se regulan con mayor detalle los datos sensibles (como los biométricos, biológicos y de salud). Adicionalmente, se resguardan los datos personales de niños y adolescentes.
5. Se establece la obligatoriedad de disponer de una casilla electrónica o vía similar para reclamos, además de disponer de políticas de privacidad en las empresas.
6. Las empresas que gestionan bases de datos deberán hacer certificacio-nes de modelos de prevención ante la Agencia de Protección de Datos, las cuales tendrán una duración de tres años.
7. Se crea un Registro Nacional de Cumplimiento y Sanciones.
8. Se establecen nuevos procedimien-tos para perseguir responsabilidades.
9. Se regula la transferencia interna-cional de datos.
10. Se regula la obligación de adoptar las medidas de seguridad pertinentes y se establecen las obligaciones de reportar violaciones en los sistemas de seguridad.
En caso de aprobación del Proyecto, éste entraría en vigor trece meses después de su publicación. Sin embargo, las empresas con bases de datos constituidas con anterioridad a esa fecha disponen de cuatro años para in-troducir las medidas correctivas necesarias.
12
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
56
Anexo E: Blockchain
La palabra blockchain está de moda, espe-cialmente debido a que los Bitcoins utilizan este tipo de registro en sus transacciones, pero ¿qué es exactamente el blockchain o cadena de bloques?
Según Marc Andreessen, cofundador de la empresa Netscape Communications Corporation: “Una cadena de bloques es esencialmente un registro, un libro mayor de acontecimientos digitales que está distribui-do o es compartido entre muchas partes dife-rentes. Sólo puede ser actualizado a partir del consenso de la mayoría de participantes del sistema y, una vez introducida, la información no puede ser borrada. La cadena de bloques de Bitcoin contiene un registro certero y veri-ficable de todas las transacciones que se han hecho en su historia.”
Para hacerlo más sencillo, una cadena de bloques es como un gran registro que está disponible en miles de ordenadores al mismo tiempo (nodos) y se tiene la seguridad de que ninguno de esos nodos puede alterar el re-gistro de forma independiente. Además, aun-que uno de esos ordenadores (o nodos de la red) desapareciera, no pasaría nada pues el registro sigue estando duplicado en el resto de nodos.
Para conseguir “hackear” el registro, es decir, introducir una entrada falsa en la cadena, se debería conseguir que todos los nodos “min-tieran” de la misma forma y al mismo tiempo, algo muy complicado de realizar, por no decir imposible.
Por otra parte, los datos introducidos en el blockchain no pueden eliminarse. De hecho, tanto el borrado como la modificación no son posibles en el blockchain, tan sólo se pueden añadir datos, y esto último sólo bajo consen-so de la mayoría de nodos.
En el mundo del Bitcoin, el blockchain equi-vale a un gigantesco “libro de contabilidad” que lleva el registro de todas las transaccio-nes realizadas y, además, impide su falsifica-ción.
Otra característica del blockchain es que ga-rantiza la privacidad de sus usuarios. Este es otro motivo por el cual los hackers están uti-lizando el Bitcoin en sus actividades ilegales, ya que se garantiza su anonimato.
En un sentido más técnico, el blockchain en la red Bitcoin consiste en un registro de las transacciones realizadas divididas en bloques que son verificados por “mineros”.
Los “mineros” no son más que ordenadores que proporcionan poder computacional a la cadena para verificar las transacciones regis-tradas. La red de nodos del Bitcoin es la red computacional más poderosa del mundo, por encima de gigantes como la NASA o Google [23].
Se observa en este punto la aparición de una nueva actividad económica de gran desarrollo en los últimos meses: la “mi-nería”. Esta actividad es simple: alguien que dispone de gran capacidad computacional permite a la cadena de bloques que utilice esa capacidad, a cambio de una recompensa económica (en bitcoins, por supuesto).
Por tanto, las posibilidades que brinda el blockchain en el mundo de las transaccio-nes son enormes: garantiza la transparencia y la total confianza de todas las partes a la vez que crea nuevas actividades económicas como la “minería”. Y no sólo es interesante para el sector financiero, el blockchain tiene un gran potencial en campos como el registro de la propiedad o patentes, el voto electróni-co o el almacenamiento en la nube.
13
14 Bibliografía
Ins
titu
t C
erd
à |
La
Cib
era
me
na
za
: u
n r
ies
go
de
l s
iglo
XX
I
58
[1] TrendMicro, «Balance de seguridad 2016: año récord para las amenazas empresariales,» 2017.
[2] Emagister, 2017. [En línea]. Available: http://www.emagister.com/blog/2016-ransomware-cre-cio-800-2017-ha-empezado-atacar-grandes-empre-sas-operadores-servicios-esenciales/.
[3] Allianz, «Allianz Risk Barometer,» 2016. [En línea]. Available: http://www.agcs.allianz.com/assets/PDFs/Re-ports/AllianzRiskBarometer2016.pdf.
[4] Accenture, «Making your Enterprise Cyber Resilient».
[5] M. Castells, Internet, libertad y sociedad: una pers-pectiva analítica, 2001.
[6] Internet World Stats, 2014. [En línea]. Available: http://www.internetworldstats.com/stats.htm.
[7] «Spectrum,» 2016. [En línea]. Available: http://spec-trum.ieee.org/tech-talk/telecom/internet/popular-inter-net-of-things-forecast-of-50-billion-devices-by-2020-is-outdated.
[8] Kaspersky, «Seguridad para Smartphones,» [En línea]. Available: https://www.kaspersky.es/resour-ce-center/threats/smartphones.
[9] «Wikipedia,» [En línea]. Available: https://es.wiki-pedia.org/wiki/Tecnolog%C3%ADa_de_la_informaci%-C3%B3n.
[10] C. Risks, «Amenazas cibernéticas al sector financie-ro mexicano,» 2015.
[11] Racounter, 2016. [En línea]. Available: https://www.raconteur.net/cyber-security-2016.
[12] Hackmageddon. [En línea]. Available: http://www.hackmageddon.com/2017/01/19/2016-cyber-attac-ks-statistics/.
[13] C. Risks, «Amenazas cibernéticas al sector financie-ro mexicano,» 2015. [En línea].
[14] «ZeedSecurity,» 2015. [En línea]. Available: https://zeedsecurity.com/prensa/las-pymes-sufren-el-70-de-los-ciberataques/.
[15] S. y. T. Cámara Nacional de Comercio, 2016. [En lí-nea]. Available: http://www.observatoriocomercioilicito.cl/wp-content/uploads/2016/11/Informe-Estudio-Vulne-rabilidad-de-Empresas-en-Cyberseguridad-dic-2016.pdf.
[16] «Awerty,» 2015. [En línea]. Available: http://www.awerty.net/blog/alerta-pymes-se-disparan-las-perdi-das-por-ciberataques/.
[17] Awery, 2016. [En línea]. Available: http://www.awerty.net/blog/alerta-pymes-se-disparan-las-perdi-das-por-ciberataques/.
[18] W. E. Forum, «Risk and Responsibility in a Hypercon-nected World,» 2012.
[19] Accenture, «Making your Enterprise Cyber Resi-lient,» 2015.
[20] FireEye, «The Cyber Security Playbook,» 2015.
[21] R. León, «Ley para protección de datos personales
en chile: ¿nuevos riesgos?,» 29 marzo 2017. [En línea]. Available: https://www.silva.cl/ley-proteccion-datos-per-sonales-chile-nuevos-riesgos/.
[22] «Proyecto de Ley que Regula la Protección y el Tra-tamiento de los Datos Personales y Crea la Agencia de Protección de Datos Personales,» [En línea]. Available: http://www.carey.cl/proyecto-de-ley-que-regula-la-pro-teccion-y-el-tratamiento-de-los-datos-personales-y-crea-la-agencia-de-proteccion-de-datos-personales/#.WWykQrpuLct. [Último acceso: 2017 julio 17].
[23] «Bit 2 me,» [En línea]. Available: http://blog.bit2me.com/es/que-es-cadena-de-bloques-blockchain/. [Último acceso: 18 julio 2017].
[24] R. C. Chandler, «The Benefits of Mobility: Commu-nication and Citizen Response in a Crisis,» Everbridge, 2014.
[25] Everbridge, «The Impacts and Opportunities of so-cial Media on Mass Notification,» 2012.
[26] E. Lostalé y J. Liege, «El coste de una crisis en redes sociales,» Kanlli, 2014.
[27] N. Sara, 4 junio 2015. [En línea]. Available: http://nataliasara.com/2015/06/04/redes-sociales-emergen-cias-catastrofes-y-gestion-de-crisis/. [Último acceso: 23 julio 2015].
[28] A. Punter, «Supply Chain Failures,» Airmic, 2013.
[29] R. Rawson, «8 Social Media Crisis Ma-nagement Best Practices,» 13 junio 2014. [En línea]. Available: https://www.linkedin.com/pul-se/20140613031724-8582183-8-social-media-crisis-ma-nagement-best-practices. [Último acceso: 24 julio 2015].
[30] N. Sara, «Redes sociales, emergencias, catástrofes y gestión de crisis,» 4 junio 2015. [En línea]. Available: http://nataliasara.com/2015/06/04/redes-sociales-emer-gencias-catastrofes-y-gestion-de-crisis/. [Último acceso: 27 julio 2015].
[31] Protivity, «Guide to business continuity manage-ment: frequently asked questions,» 2013.
[32] M. Castells, Comunicación y poder, Madrid: Alianza Editorial, 2009.
[33] Federación de Asociaciones de Periodistas, «Decá-logo de recomendaciones para informar sobre tragedias en la era digital,» 8 mayo 2015. [En línea]. Available: http://fape.es/decalogo-de-recomendaciones-para-infor-mar-sobre-tragedias-en-la-era-digital/. [Último acceso: 23 julio 2015].
[34] Institut Cerdà, «Incendio de Campofrío,» Servicio de Soporte a la Gestión de Crisis, Ficha Descriptiva nº 4., Barcelona, 2015.
[35] L. Serrano, «Programar Tweets. Una jugarre-ta en situaciones de crisis,» 16 noviembre 2014. [En línea]. Available: http://luisserranor.com/progra-mar-tweets-una-jugarreta-en-situaciones-de-crisis/. [Úl-timo acceso: 29 julio 2015].
Bibliografía
14
Se
rvic
io d
e S
op
ort
e a
la
ge
sti
ón
de
Cri
sis
(S
Sg
C)
Se
rvic
io d
e G
es
tió
n d
e C
ris
is y
Re
sil
ien
cia
de
la
s O
rga
niz
ac
ion
es
(S
eC
RO
)
59
[36] E. Ramos, «Errores y crisis en las redes socia-les: 8 marcas que lo hicieron mal,» 31 mayo 2012. [En línea]. Available: http://eduardramos.com/2012/05/errores-y-crisis-en-las-redes-sociales-8-marcas-que-lo-hicieron-mal/. [Último acceso: 29 julio 2015].
[37] Institut Cerdà, «La tragedia de Germanwings,» Ser-vicio de Soporte a la Gestión de Crisis, Ficha Descriptiva nº 5., Barcelona, 2015.
[38] M. G. Pascual, «¿Cómo gestionan las aerolíneas una catástrofe?,» Cinco Días, 01 julio 2015.
[39] R. Céspedes, «Lufthansa, un ejemplo de cómo ges-tionar una crisis pública en tiempos de Twitter,» La Infor-mación, 31 marzo 2015.
[40] D. Carroll, «Dave Carroll Music,» 2012. [En línea]. Available: http://www.davecarrollmusic.com/bio/. [Último acceso: 25 agosto 2015].
[41] M. Tran, «Singer gets his revenge on Uni-ted Airlines and soars to fame,» 23 julio 2009. [En línea]. Available: http://www.theguardian.com/news/blog/2009/jul/23/youtube-united-breaks-guitars-video. [Último acceso: 25 agosto 2015].
[42] Financial Post, «A man and his guitar,» agosto 2009. [En línea]. Available: http://www.financialpost.com/scripts/story.html?id=f9065720-c55a-4612-84eb-e168f-d37ed1f&k=15437. [Último acceso: 25 agosto 2015].
[43] M. Agnes, «Interview with Dave Ca-rroll: How Businesses Can Protect Themsel-ves From Social Media Crises,» 5 junio 2012. [En línea]. Available: http://melissaagnes.com/inter-view-with-dave-carroll/. [Último acceso: 25 agosto 2015].
[44] D. Carroll, United Breaks Guitars: The Power of One Voice in the Age of Social Media., Estados Unidos: Hay House Publishing, 2012.
[45] R. Wilson, «A Public Relations Disaster,» 2011. [En línea]. Available: http://sentium.com/a-public-rela-tions-disaster-how-saving-1200-cost-united-airlines-10772839-negative-views-on-youtube/. [Último acceso: 25 agosto 2015].
[46] Institut Cerdà, «La crisis de Toyota,» Servicio de Soporte a la Gestión de Crisis, Ficha Descriptiva nº 3., Barcelona, 2014.
[47] T. Hoskins, «3 case studies in social media crisis management,» 2 abril 2010. [En línea]. Available: http://www.imediaconnection.com/content/26380.asp#single-view. [Último acceso: 26 agosto 2015].
[48] M. Agnes, «The Makings of a Great Crisis Response: Fontaine Santé,» 28 marzo 2012. [En línea]. Available: http://melissaagnes.com/the-makings-of-a-great-crisis-plan-fontaine-sante/. [Último acceso: 26 agosto 2015].
[49] N. Sara, «El poder de hablar en tus perfiles socia-les ante una crisis,» 28 abril 2015. [En línea]. Available: http://nataliasara.com/2015/04/28/el-poder-de-hablar-en-tus-perfiles-sociales-ante-una-crisis/. [Último acceso: 8 septiembre 2015].
[50] E. Stewart, «Volkswagen’s Big Scandal - Social Me-dia Shows How Big a Blow Emissions Scandal Is,» 25 09 2015. [En línea]. Available: http://www.thestreet.com/story/13301990/1/volkswagen-s-big-scandal-social-me-dia-shows-how-big-a-blow-emissions-scandal-is.html. [Último acceso: 03 02 2016].
[51] J. Sesma, «La medición del desempeño social em-presarial a través de las redes sociales,» Contaduría y Administración, pp. 121-143, 2014.
[52] B. Pang y L. Lee, «Opinion mining and sentiment analysis,» Foundations and Trends in Information Retrie-val, pp. 1-90, 2008.
[53] «Hackmageddon,» 2016. [En línea]. Available: http://www.hackmageddon.com/2017/01/19/2016-cy-ber-attacks-statistics/.
[54] I. Shakeel, «Infosec Institute,» 2017. [En línea]. Avai-lable: http://resources.infosecinstitute.com/evolution-in-the-world-of-cyber-crime/#gref.
[55] «Webbingbcn,» [En línea]. Available: https://web-bingbcn.es/web-segura-google-chrome/. [Último acceso: 16 junio 2017].
[56] «Coindesk,» [En línea]. Available: http://www.coin-desk.com/price/. [Último acceso: 28 junio 2017].
© Institut Cerdà | septiembre 2017
Numància, 185 · 08034 Barcelona · Tel. +34-932 802 323
Diego de León, 30 · 28006 Madrid · Tel. +34W915 639 572
Avenida Suecia , 414. Providencia, Santiago de Chile
www.icerda.org @InstitutCerdà InstitutCerdà
Servicio de Soporte a la gestión de Crisis
(SSgC)Servicio de Gestión
de Crisis y Resiliencia de las Organizaciones
(SeCRO)Monografía 3
La Ciberamenaza: un riesgo del siglo XXI