Arquitectura de ciberseguridad: Normativa y seguridad en sistemas José Ant. Gómez y Margarita Robles Grupo UCyS Universidad de Granada – 30 de abril de 2015 1 Sumario ► El estado de la ciberseguridad ► La ciberseguridad: un fenómeno multidimensional ► El desafío cibernético ► La arquitectura Jurídica de la ciberseguridad: ■ Caracteres de la cooperación internacional ■ Estructura de cooperación ■ Articulación normativa Arquitectura de Ciberseguridad - Grupo UCyS 2 I. El estado de la ciberseguridad ► Caso Estonia (2007) ► Caso Georgia (2008) ► Caso Stuxnet-Irán (2010) ► Caso Bin Laden (2011) Arquitectura de Ciberseguridad - Grupo UCyS 3 1. ESTONIA 2007: UN ACTO DE AGRESIÓN? ► Contexto fáctico: la historia del Soldado de Bronce ► Naturaleza y objetivos del ciberataque ► Motivos ► Respuesta técnica ► Respuesta política ► Conclusiones Arquitectura de Ciberseguridad - Grupo UCyS 4 2. Georgia 2008: El uso combinado del ataque cinético y cibernético ► Contexto fáctico: una situación de conflicto armado ► Naturaleza y objetivos del ciberataque ► Respuesta técnica ► Respuesta política ► Conclusiones Arquitectura de Ciberseguridad - Grupo UCyS 5 3. El ciberataque: una alternativa? a) Caso Stuxnet/irán (2010) ■ ■ ■ Contexto: la amenaza nuclear Caracteres del ciberataque Conclusiones b) Caso Bin Laden (2011) ■ ■ ■ Contexto: la amenaza terrorista Caracteres del ciberataque Conclusiones Arquitectura de Ciberseguridad - Grupo UCyS 6 II. Ciberseguridad: un fenómeno multidimensional 1. Una cuestión de seguridad internacional 2. Un desafío para el modelo económico, financiero y comercial 3. Un reto para las tradiciones y sistemas y socio-políticos y culturales 4. Un problema jurídico y un problema real Arquitectura de Ciberseguridad - Grupo UCyS 7 1. Un “nuevo“ paradigma económico: la economía del conocimiento ► Modelo económico: historia y crisis ► Volumen ■ ■ de negocio el mercado mundial va a pasar de los 68.000 millones de dólares en 2013 a los 120.000 millones en 2020 en 2020 estarán interconectados 6.000 millones de usuarios y 25.000 millones de máquinas. ► Cifras ■ ■ ■ en el ciberespacio: Más de 2.300 millones de suscripciones móviles de banda ancha a finales de 2014. Más de 3.000 millones de usuarios de Internet (+ 40% de la población mundial) Más de 5.000 millones de dispositivos conectados. Se esperan 25.000 millones para 2020. Arquitectura de Ciberseguridad - Grupo UCyS 8 2. Un “nuevo” contexto socio-político y cultural: la sociedad del conocimiento ► Internet ■ ■ ■ ■ en cifras: 14,3 billones de páginas web 672.000.000.000 Gigabytes de información accesible (672 exabytes) 43.639 Petabytes de trafico al año (2013) 1 Yottabyte=10^24 bytes de datos almacenados ► Preocupación ■ ■ ■ ■ de los usuarios europeos de Internet (Eurostat, 2014): 89% evitan publicar información personal en Internet 85% consideran que el riesgo de ser víctima del cibercrimen está aumentando 73% temen que su información personal no sea guardada de manera segura por las páginas web 67% temen que su información personal no sea guardada de manera segura por las administraciones públicas Arquitectura de Ciberseguridad - Grupo UCyS 9 3. Un “nuevo” contexto jurídico ► 3/4 cuartas partes de las actividades ilegítimas cometidas en el ciberespacio corresponden a alguna variante de cibercrimen ► La ciberdelincuencia es la actividad criminal con mayor crecimiento (casi 175% anual). ► Los ciberataques aumentan en: número, impacto, complejidad, diversificación de objetivos y alcance. ► El coste del cibercrimen supera anualmente: ■ Los 400.000 millones de dólares ■ Más de 400 millones de víctimas al año (un millón y medio al día) ■ Un número de incidentes que ronda los 40 millones anuales. ► Modelo de crecimiento: cuanto mayor es la organización, mayor es el coste de un incidente, disparándose un 25% para las para las medianas empresas o un espectacular 52% para las grandes compañías a lo largo de 2014. Arquitectura de Ciberseguridad - Grupo UCyS 10 4. Una “nueva” realidad: España en datos ► Pérdidas anuales por robo de datos: superan los 500 millones € ► Memoria de la Fiscalía General del Estado: aumento de las estafas informáticas de un 60% (más de 9.000 procedimientos) ► Negocio ■ ■ del sector de soluciones frente a la ciberdelincuencia: Supera los 150 millones de euros en España. Mercado controlado por: ● Ciertas empresas: Telefónica, Indra, Unitronics, Nextel, Dimension Data, HP, IBM , ● Grupos: Sia, Cisco, Checkpoint, Fortinet, Paloalto Networks, S21Sec y ● Gigantes de los antivirus ● Las big four: Deloitte, PwC, KPMG y EY. Arquitectura de Ciberseguridad - Grupo UCyS 11 ESPAÑA EN DATOS ►Diariamente: ■ ■ ■ se identifican 160.000 webs que tienen puntos débiles de seguridad; más de 320.000 direcciones IP registran actividad maliciosa En 2014: la Policía registró en 2014 hasta 70.000 ataques en España ►Naturaleza de las incidencias ►Incidentes ■ ■ más habituales: accesos no autorizados a información confidencial (un 37% de los casos) y fraudes tipo phishing (suplantación de identidad para robar datos o información personal como números de tarjetas de crédito, contraseñas o datos de cuentas bancarias). Arquitectura de Ciberseguridad - Grupo UCyS 12 España en datos ►Informes ■ ■ ■ ■ ■ ■ ■ ►El oficiales: Acceso no autorizado: 37,94% Fraude: 23, 90 % Virus, troyanos, gusanos y Spyware: 9,76% Spam: 5, 62% Denegación de Servicio: 4,41 % Escaneos en la Red: 2,38 % Robo de información: 0,45 % Otros: 15,55% Dilema del Iceberg Arquitectura de Ciberseguridad - Grupo UCyS 13 III. El desafío cibérnetico ► Quienes ■ ■ ■ son sus destinatarios? Instituciones Usuarios Profesiones ► Cuáles ■ ■ son los motivos?: Cambios en los parámetros clásicos de organización política: ● La superación del marco estatal y ● La definición de la competencia territorial Cambios en los parámetros tradicionales de organización jurídica: ● El marco de aplicación de la legislación y ● El ámbito de ejercicio de la jurisdicción Arquitectura de Ciberseguridad - Grupo UCyS 14 Interrogantes ► Qué normativa o normativas debo respetar? ► Qué instituciones o agencias me pueden investigar? ► Qué órgano u órganos me pueden enjuiciar? ► Qué responsabilidad o responsabilidades me pueden exigir? ► Cómo puedo saber si, cómo, cuando y porqué he superado el margen de la legalidad? Arquitectura de Ciberseguridad - Grupo UCyS 15 1. El Ciberespacio: una realidad diferente ►Escenario estratégico, operacional y táctico. ►Dominio prácticamente infinito e integrado en los otros dominios: tierra, mar, aire y espacio. ►Naturaleza artificial. ►Ritmo ■ ■ y velocidad de evolución mayor por su propia capacidad de expansión debida a la tecnología y por su propia capilaridad en relación con el espacio físico ►Disponibilidad de medios Arquitectura de Ciberseguridad - Grupo UCyS 16 2. El Ciberespacio: una criminalidad diferente ► Caracteres de la criminalidad cibernética: ■ Fenómeno de la era informática ■ Parámetros nuevos de comprensión de la relación criminal ■ Especificidad del delito ■ Transnacionalización de la delincuencia ►Tipos: ■ ■ ■ Ciberataques puros Ciberataques réplica Ciberataques de contenido Arquitectura de Ciberseguridad - Grupo UCyS 17 3. La ciberdelincuencia: la calificación jurídica ► Categorías genéricas: ■ Ciberdelito ■ Cibercrimen ■ Ciberespionaje ■ Ciberterrorismo ■ Ciberguerra ► La cuestión del sujeto ► La relevancia de la intención ► La determinación de los efectos Arquitectura de Ciberseguridad - Grupo UCyS 18 IV. La arquitectura jurídica del Ciberespacio ►La calificación de las acciones/ataques ►La determinación de la normativa aplicable ►La definición de la jurisdicción competente ►La interacción internacional/nacional ■ Caracteres de la cooperación (I) ■ Pluralidad de estructuras internas/internacionales (II) ■ Pluralidad de normas: acumulación y diversificación de derechos y obligaciones (III) Arquitectura de Ciberseguridad - Grupo UCyS 19 1. CARACTERES DE LA COOPERACIÓN INTERNACIONAL ► Una aproximación internacional: ■ estructuralmente fragmentaria y ■ funcionalmente especializada ► Un proceso de afganización del ciberespacio ► Una superposición de estructuras: ■ universales y regionales ■ formales e informales Arquitectura de Ciberseguridad - Grupo UCyS 20 2. ESTRUCTURAS DE COOPERACIÓN INTERNACIONAL ► UNIVERSALES: ■ ■ ■ ■ ■ ONU Unión Internacional de Telecomunicaciones (ITU) International Standards Organisation (ISO) OMC Organismos especializados ►REGIONALES: ■ ■ ■ ■ OEA UA CONSEJO DE EUROPA UNIÓN EUROPEA ► INTERREGIONALES: ■ ■ ■ ■ ■ OCDE APEC COMMONWEALTH OSCE OTAN Arquitectura de Ciberseguridad - Grupo UCyS 21 La ONU: objetivos y funciones ► Lucha ■ ■ ■ ■ contra la delincuencia informática Resoluciones de la AGNU UNODC: Oficina de la ONU para las drogas y el crimen Congresos Mundiales sobre Prevención del Delito y Justicia Penal Convención contra la Delincuencia Organizada ► Impulso de la sociedad de la información: Cumbres Mundiales de la Sociedad de la Información (CMSI) ■ Ginebra 2003: Declaración de Principios Construir la Sociedad de la Información: un desafío global para el nuevo milenio y Plan de Acción de Ginebra ■ Túnez 2005: Compromiso de Túnez y Agenda de Túnez para la Sociedad de la Información ■ Agenda de la Solidaridad Digital Arquitectura de Ciberseguridad - Grupo UCyS 22 LA ITU: objetivos y funciones ► Organismo ► Origen, especializado de las Naciones Unidas para las TICs evolución y estructura ► Composición: 193 países miembros y más de 700 entidades del sector privado e instituciones académicas. ► Sede en Ginebra (Suiza) y 12 oficinas regionales y de zona en todo el mundo ► Agenda de Ciberseguridad Global: siete objetivos estratégicos principales basados en cinco áreas de trabajo siguientes: ■ Medidas legales; ■ Medidas técnicas y de procedimiento; ■ Estructuras institucionales; ■ Creación de capacidades y ■ Cooperación internacional Arquitectura de Ciberseguridad - Grupo UCyS 23 Estructuras interregionales ► OCDE: ■ ■ ■ Armonización del derecho penal contra el ciberdelito Directrices de seguridad de los sistemas y redes de información Principios complementarios ► OSCE: ■ ■ Aproximación Omnicomprensiva a la Seguridad Cibernética Medidas de Fomento de la Confianza y Medidas de Fomento de la Confianza y la Seguridad: ► APEC ► Commonwealth ► Consejo de Cooperación del Golfo ►OTAN Arquitectura de Ciberseguridad - Grupo UCyS 24 Estructuras regionales ► OEA ► UA ► UNIÓN ■ ■ ■ EUROPEA Lucha contra la ciberdelincuencia Sociedad de la información Protección de datos ► CONSEJO ■ ■ DE EUROPA: Objetivos: Protección de datos, lucha contra la ciberdelincuencia Instrumentos. ● Convenio sobre la Ciberdelincuencia (2001) ● Protocolo Adicional del Convenio sobre la Ciberdelincuencia, relativo a la penalización de los actos de naturaleza racista y xenófoba cometidos por medio de sistemas informáticos (2003). ● Convenio del Consejo de Europa para la protección de los niños contra la explotación y el abuso sexual. Arquitectura de Ciberseguridad - Grupo UCyS 25 3. Articulación normativa ► Tipología de infracciones: ■ Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos; ■ Delitos informáticos; ■ Delitos relacionados con el contenido; y ■ Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines. ► Esta clasificación no es totalmente coherente por dos motivos: ■ No se basa en un sólo criterio ■ Algunas acciones pueden pertenecer a varias categorías Arquitectura de Ciberseguridad - Grupo UCyS 26 A) Delitos contra la C-I-D ► Bienes jurídicos protegidos: confidencialidad, integridad y disponibilidad de los Datos y Sistemas informáticos ► Categorías delictivas ■ Acceso ilícito ■ Espionaje de datos ■ Intervención ilícita ■ Manipulación de datos ■ Ataques contra la integridad del sistema Arquitectura de Ciberseguridad - Grupo UCyS 27 a) Acceso ilícito (pirateria de sistemas y programas) ►Casos: ■ ■ ■ ■ ■ La irrupción en sitios web protegidos con contraseña La burla de la protección de contraseña en un computador. La utilización de equipos o programas para obtener una contraseña e irrumpir en el sistema informático La creación de sitios web "falsos" para lograr que el usuario revele su contraseña; y La instalación por hardware y software de interceptores de teclado ("keyloggers ►Causas: ■ ■ ■ Protección inadecuada e incompleta de los sistemas informáticos Aparición de herramientas informáticas automatizando los ataques El uso creciente de los ordenadores privados ►Naturaleza: equivalente al acceso ilícito a una propiedad ►Régimen ■ ■ jurídico no uniforme: Delito: El mero acceso Delito: El acceso sólo cuando ● los sistemas accedidos están protegidos por medidas de seguridad; y/o ● el autor tiene malas intenciones; y/o ● se obtienen, modifican o dañan datos. Arquitectura de Ciberseguridad - Grupo UCyS 28 b) Espionaje de datos ► Motivación: el valor de la información confidencial y la capacidad de acceder a la misma a distancia. ► Técnicas: ■ ■ ■ software para explorar los puertos desprotegidos; software para burlar las medidas de protección; e "ingeniería social". ► Protección de datos: privados, comerciales y políticos ► Métodos: ■ ■ acceder a sistemas informáticos o a un dispositivo de almacenamiento y extraer la información; o manipular a los usuarios para que revelen la información o los códigos de acceso que permitan al delincuente acceder a la información. ► Normativa Arquitectura de Ciberseguridad - Grupo UCyS 29 c) Intervención ilícita ► Casuística: ■ ■ intervenir las comunicaciones entre usuarios (como mensajes e-mail), interceptar transferencias de datos (cuando los usuarios suben datos a los servidores web o acceden a medios de almacenamiento externos por la web) con el fin de registrar el intercambio de información. ► Objetivo: ■ ■ cualquier ... infraestructura de comunicaciones (por ejemplo, líneas fijas o inalámbricas) y servicio Internet (por ejemplo, e-mail, charlas o comunicaciones VoIP). ► La mayoría de los procesos de transferencia de datos entre proveedores de infraestructura de Internet o proveedores de servicios Internet están debidamente protegidos y son difíciles de intervenir. No obstante: ■ resultan vulnerables las comunicaciones inalámbricas ■ se pueden pinchar las comunicaciones en líneas fijas Arquitectura de Ciberseguridad - Grupo UCyS 30 d) Manipulación de datos ► Los datos informáticos son esenciales para los usuarios privados, las empresas y las administraciones ► La carencia de acceso a los datos puede causar daños (económicos) considerables. ► Los infractores pueden atentar contra la integridad de los datos de las siguientes formas: ■ borrarlos; y/o ■ suprimirlos; y/o ■ alterarlos; y/o ■ restringir el acceso a los mismos. ► Método: Los virus son un ejemplo común de supresión de datos que han evolucionado y se ha generalizado su capacidad de infección por: ■ la manera en que los virus se distribuyen; y ■ los efectos. Arquitectura de Ciberseguridad - Grupo UCyS 31 e) Ataques contra la integridad del sistema ► Categoría autónoma: los ataques a los *sistemas informáticos suscitan las mismas preocupaciones que los ataques a los *datos informáticos agravada: ■ por su capacidad de generar grandes pérdidas económicas y ■ la posibilidad de realizar ataques físicos a los sistemas informáticos. ► Marco ■ ■ ■ general: Penalmente, el daño físico es similar al clásico de daño o destrucción de propiedad. En el comercio electrónicos, las pérdidas económicas causadas a los sistemas informáticos son mucho mayores que el costo de los equipos informáticos. Ejemplos de ataques a distancia contra sistemas informáticos son: ● gusanos informáticos; o ● ataques de denegación del servicio (DoS). Arquitectura de Ciberseguridad - Grupo UCyS 32 B) Delitos relacionados con el contenido ► Objeto ► Diversidad ■ ■ ■ y complejidad normativas qué es delito y donde es delito qué bien jurídico prevalece qué finalidad? ► Debate ontológico ► Técnicas de control: bloqueo de acceso o establecimiento de filtros ► Categorías: ■ ■ ■ ■ ■ ■ ■ ■ Material erótico o pornográfico (salvo infantil ) Pornografía infantil Racismo, lenguaje ofensivo, exaltación de la violencia Delitos contra la religión Juegos ilegales y juegos en línea Difamación e información falsa Correo basura y amenazas conexas Otras formas de contenido ilícito Arquitectura de Ciberseguridad - Grupo UCyS 33 a) Material erótico o pornográfico ►Ventajas ■ ■ ■ del comercio en internet: Intercambio menos oneroso Acceso mundial Anonimato ►Comercialización: ■ ■ ■ sitios web, sistemas de intercambio de ficheros; salas de charla cerradas. ►Penalización ►Problemas variable: general o sólo infantil de la persecución: incriminación simple o doble. Arquitectura de Ciberseguridad - Grupo UCyS 34 b) Pornografía infantil ►Penalización generalizada: normativas internacionales e internas ►Problema: actividad lucrativa y anónima ►Problemas ■ ■ en la investigación: La utilización de divisas y pagos anónimos La utilización de tecnología de cifrado Arquitectura de Ciberseguridad - Grupo UCyS 35 c) Racismo, lenguaje ofensivo, exaltación de la violencia ►Origen: ►La grupos radicales y divulgación de propaganda distribución por Internet ofrece varias ventajas: ■ los menores costes de distribución, ■ la utilización de equipos no especializados y ■ una audiencia mundial ►Régimen ■ ■ jurídico: Prohibición o Libertad de expresión ►Penalización: no uniforme Arquitectura de Ciberseguridad - Grupo UCyS 36 d) Delitos contra la religión ►Facilidades ►Diversidad ►Debate: de Internet cultural, ideológica y religiosa Libertad religiosa v. Libertad de expresión ►Divergencia normativa ►Penalización no uniforme Arquitectura de Ciberseguridad - Grupo UCyS 37 e) Juegos ilegales y juegos en línea ►Ventajas de Internet: Actividad en expansión y elusión de la prohibición de juego ► Uso ■ ■ ■ con fines delictivos: intercambio y presentación de pornografía infantil; fraude; casinos en línea. ►Ingresos en concepto de juegos en línea: de 3 100 millones USD en 2001 a 24 000 millones USD en 2010 ►Régimen jurídico no uniforme, divergencias y lagunas legislativas ►Dificultad de la persecución: Incriminación de los proveedores de servicios financieros Arquitectura de Ciberseguridad - Grupo UCyS 38 f) Difamación e información falsa ►Acciones ■ ■ ■ delictivas: publicar información falsa (por ejemplo, sobre los rivales); difamar (por ejemplo, escribir mensajes difamatorios o calumnias); revelar información confidencial (por ejemplo, publicar secretos de Estado o información comercial confidencial). ►La difamación daña la reputación y la dignidad de las víctimas en un grado considerable por varios motivos: ■ las declaraciones en línea son accesibles por la audiencia mundial; el autor pierde el control de la información; y ■ aunque la información se corrija o se suprima, puede haber sido duplicada ("en servidores espejo") y estar en manos de personas que no desean retirarla o suprimirla. ►Equilibrio entre libertad de expresión y protección de la víctimas Arquitectura de Ciberseguridad - Grupo UCyS 39 g) Correo basura y amenazas conexas y h) otras formas de contenido ilícito ►Correo ■ ■ ■ basura y amenazas conexas: Actividad lucrativa con un coste mínimo Técnicas de filtrado Problema en los PVD ►Otras formas de contenido ilícito: Internet se utiliza para ataques directos y como foro para: ■ solicitar, ofrecer e incitar el crimen; ■ la venta ilegal de productos; ■ dar información e instrucciones para actos ilícitos (por ejemplo, sobre cómo construir explosivos); ■ Eludir las normas sobre el comercio de diversos productos: médico, farmacéutico, material militar. ►El contrabando dificulta el control de ciertos productos restringidos en un territorio. ►Las tiendas por la web situadas en países sin restricción alguna pueden vender productos a clientes de otros países, menoscabando así esas limitaciones. Arquitectura de Ciberseguridad - Grupo UCyS 40 C) Delitos en materia de derechos de autor y de marcas ►Función ■ ■ esencial de Internet: la difusión de información Las relaciones económicas y comerciales ►Hay dos grandes categorías de problemas: ■ Los falsificadores: pueden utilizar la imagen de marca y el diseño de una determinada empresa para comercializar productos falsificados, copiar logotipos y productos, y registrar su nombre de dominio ■ Las empresas distribuidoras por Internet: pueden tener problemas de carácter jurídico con las violaciones de los derechos de autor puesto que sus productos se pueden teledescargar, copiar y distribuir. Arquitectura de Ciberseguridad - Grupo UCyS 41 a) Delitos en materia de derechos de autor ►Digitalización de los productos, servicios y prestaciones ►Modalidades ■ ■ de violación de derechos de autor: intercambio, en sistemas de intercambio de archivos, de programas informáticos, archivos y temas musicales protegidos con derechos de autor; elusión de los sistemas de gestión de derechos en el ámbito digital. ►Tráfico ► entre tecnologías pares (P2P): más de 50% Efectos económicos Arquitectura de Ciberseguridad - Grupo UCyS 42 b) Delitos en materia de marcas ► Tipificación no uniforme de las violaciones en materia de marcas. ► Los delitos más graves son: ■ utilización de marcas en actividades delictivas con el propósito de engañar; ■ y, los delitos en materia de dominios y nombres. ► Violaciones ■ ■ ■ ■ más frecuentes: La utilización de nombres genéricos y marcas de forma fraudulenta en numerosas actividades en las que se envían a los usuarios de Internet millones de correos electrónicos similares a los de empresas legítimas consignando su marca. Los delitos en materia de dominios, por ejemplo la ciberocupación ilegal, que describe el procedimiento ilegal de registrar un nombre de dominio idéntico o similar al de la marca de un producto o de una empresa. Las tentativas de vender el dominio a la empresa a un precio más elevado o utilizarlo para vender productos o servicios engañando a los usuarios con su supuesta conexión a la marca. La "apropiación indebida de dominio" o registro de nombres de dominio que han caducado accidentalmente. Arquitectura de Ciberseguridad - Grupo UCyS 43 D) Delitos informáticos ►Fraude y fraude informático ►Falsificación ►Robo informática de identidad ►Utilización indebida de dispositivos ►Combinación ■ ■ ■ ■ de delitos: Ciberterrorismo Ciberguerra Ciberblanqueo de dinero Peska Arquitectura de Ciberseguridad - Grupo UCyS 44 a) Fraude y fraude informático ►Caracteres ►Tipificación: ►Distinción entre fraude informático y fraude tradicional ►Los fraudes más comunes son: ■ Subasta en línea: ● ofrecer mercancías no disponibles para la venta y exigir su pago antes de la entrega; o ● adquirir mercancías y solicitar su envío, sin intención de pagar por ellas. ■ Estafa nigeriana Arquitectura de Ciberseguridad - Grupo UCyS 45 b) Falsificación informática ►Falsificación informática: manipulación de documentos digitales, por ejemplo: ■ crear un documento que parece provenir de una institución fiable; ■ manipular imágenes electrónicas (por ejemplo, imágenes aportadas como pruebas materiales en los tribunales); o ■ alterar documentos. ►Ejemplo: phishing ►Problema: crecimiento de la documentación digital Arquitectura de Ciberseguridad - Grupo UCyS 46 c) ROBO DE IDENTIDAD ►Concepto: el acto delictivo de obtener y adoptar de forma fraudulenta la identidad de otra persona. ►Etapas ■ ■ ■ diferentes: Obtención de información relativa a la identidad mediante, por ejemplo, programas informáticos dañinos o ataques destinados a la peska. Interacción con la información obtenida antes de utilizarla en el marco de una actividad delictiva: venta Utilización de la información relativa a la identidad en relación con una actividad delictiva: robo/fraude. ►Métodos ►Datos Arquitectura de Ciberseguridad - Grupo UCyS 47 d) UTILIZACIÓN INDEBIDA DE DISPOSITIVOS ►Objetivo: la comisión de un delito ►Herramientas: variedad y disponibilidad ►Ciberdelitos ■ ■ ■ ■ más usuales: cometer ataques por denegación de servicio (DoS); diseñar virus informáticos; desencriptar información; y acceder en forma ilegal a sistemas informáticos ►Impacto: ■ ■ aumento exponencial de la ciberdelincuencia por: Accesibilidad Anonimato Arquitectura de Ciberseguridad - Grupo UCyS 48 Conclusiones 1) La cooperación internacional: una obligación y una necesidad 2) Principios rectores: ■ COMPLEMENTARIEDAD, ■ SIMPLIFICACIÓN Y ■ TRANSPARENCIA 3) Uniformación/homogeneización normativa Arquitectura de Ciberseguridad - Grupo UCyS 49 España: Normativas ►Esquema Nacional de Seguridad (ENS, 5/2013) – Directrices para la utilización eficiente de los recursos para preservar la Seguridad Nacional. ■ Capítulo 3 – Ciberamenazas: líneas de acción: ● Incremento de la capacidad de prevención, detección, investigación y respuesta. ● Garantía de los SIs de las AAPP ● Colaboración internacional ● Cultura de la Ciberseguridad para garantizar el uso seguro de redes y sistemas de información Arquitectura de Ciberseguridad - Grupo UCyS 50 Normativas (ii) ►Estrategia de Ciberseguridad Nacional (ECN, 2013) – Modelo de Ciberseguridad integrado que garantice la seguridad y progreso de España a través de la coordinación de todas las administraciones públicas entre sí, el sector privado y los ciudadanos, canalizando las iniciativas y esfuerzos internacionales en defensa del ciberespacio. Arquitectura de Ciberseguridad - Grupo UCyS 51 España: Organismos gubernamentales centráles ► INCIBE – M. Industria, OARI* ► CCN – M. Presidencia, OARIN ► CNPIC – M. Interior, OARIN ► RedIris – M. Industria, OAR ► Unidad/Brigada de Delitos Telemáticos de la Policia/Guardia Civil – M. Interior, OAR ► Agencia Española de Protección de Datos – M. Justicia, C (análisis y sansión de incidentes) ► Mando Conjunto de Ciberdefensa – M. Defensa, OARN * O=Operacional A=Análisis R=Respuesta de incidentes I=Relaciones internacionales N= Normativa F=Asesoramiento y formación C=Regulador y autoridad de control Arquitectura de Ciberseguridad - Grupo UCyS 52 España: organismos autonómicos ► Unidades de Delitos Informáticos de los Mossos de Escuadra y de la Ertzaintza - OAR ► CSIRT-CV - OAR ► CESICAT - OARF ► CERT Andalucía - OAR ► Agencias de Protección de Datos Catalana, Comunidad de Madrid y del País Vasco - C Arquitectura de Ciberseguridad - Grupo UCyS 53 INCIBE ► El Instituto Nacional de Ciberseguridad es responsable de gestionar a través de su CERT la defensa del ciberespacio relacionado con las PYMES españolas y los ciudadanos en su ámbito doméstico Arquitectura de Ciberseguridad - Grupo UCyS 54 CCN ►El Centro Criptológico Nacional, dependiente del CNI, gestiona la seguridad del ciberespacio dependiente de cualquiera de los tres niveles de las administraciones públicas: estatal, autonómico y local. ►El CNN-CERT es el centro de alerta nacional que coopera con todas las administraciones públicas para responder a los incidentes de seguridad. Arquitectura de Ciberseguridad - Grupo UCyS 55 CNPIC ► El Centro Nacional para la Protección de las Infraestructuras Críticas impulsa, coordina y supervisa todas las actividades relacionadas con la protección de infraestructuras críticas fomentando la participación de todos los agentes del sistema en sus correspondientes ámbitos competenciales. ► Infraestructura Crítica (Ley 8/2011): las infraestructuras estratégicas, es decir, aquellas que proporcionan servicios esenciales cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales: alimentación, energía, financieras/tributarias, agua, industria, salud, transporte, etc. Arquitectura de Ciberseguridad - Grupo UCyS 56 CERT ► Se denomina CERT (Computer Emergency Response Team) a un conjunto de medios y personas responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. También denominados CSIRT (Computer Security Incident Response Team). ► Servicios ■ ■ ■ ■ ■ ■ preventivos: Avisos de seguridad Búsqueda de vulnerabilidades Auditorías o evaluaciones de seguridad Configuración y mantenimiento de herramientas de seguridad, aplicaciones e infraestructuras Desarrollo de herramientas de seguridad Propagación de información relacionada con la seguridad ► Servicios ■ ■ reactivos Gestión de incidentes de seguridad (análisis, respuesta, soporte y coordinación de incidentes de seguridad) Gestión de vulnerabilidades (análisis, respuesta y coordinación de vulnerabilidades detectadas) Arquitectura de Ciberseguridad - Grupo UCyS 57 Gestión frente a ciberincidentes Arquitectura de Ciberseguridad - Grupo UCyS 58 Sistemas de Alerta Temprana de Internet (SAT) ► Detección en tiempo real de las amenazas e incidentes existentes en el tráfico de la red interna de un Organismo e Internet (tráfico direccionamiento público). ► El sistema normaliza la información recolectada por las distintas fuentes. ►Los eventos se consolidan y se centralizan en un único sistema, revisándolos a través de una única consola. ►La correlación avanzada permite detectar eventos mucho más complejos que pudieran involucrar a distintos organismos. Arquitectura de Ciberseguridad - Grupo UCyS 59 Sistemas Alerta Temprana (SAT) ► Red ■ ■ ■ SARA: Servicio para la Intranet Administrativa Coordinado con MINHAP 49/54 áreas de concexión ► Sondas ■ ■ ■ de Salida de Internet AAPP: Servicio por suscripción de Organismos Despliegue de sensores 50 organismos / 60 sondas ► Sistema ■ ■ ■ Carmen: Análisis de log perimetrales (proxy, …) Búsqueda de anomalías de tráfico 6 sondas Arquitectura de Ciberseguridad - Grupo UCyS 60 SAT de la Red SARA ►Sistema de correlación de logs de la Red SARA (Sistemas de Aplicaciones y Redes para las Administraciones) que proporciona de forma continua un índice de compromiso y emite alarmas antes cualquier incidente. ►Detecta de forma proactiva las anomalías y ataques del tráfico entre ministerios y organismos ► Dado el volumen de tráfico las alertas se clasifican en niveles de criticidad. Arquitectura de Ciberseguridad - Grupo UCyS 61 SAT-SARA: Arquitectura Arquitectura de Ciberseguridad - Grupo UCyS 62 Calsificación de los incidentes ►APT con exfiltración de información Crítico ►DDoS ►Ataques dirigidos ►DoS ►Código Muy alto Dañino específico ►Mayoría de incidentes ►Ataques externos sin consecuencias ►Código Bajo / Medio / Alto dañino genérico Arquitectura de Ciberseguridad - Grupo UCyS 63 Sonda de Internet: elementos ►Consta: ■ ■ Sonda individual – servidor dedicado de alto rendimiento con herramientas de detección y monitorización (snort, arpwatch, ntop, p0f, etc.). Dos interfaces de red: ● Interfaz de análisis – sin IP, lee trafico relevante de salida o zona DMZ. Corre agente SIE OSSIM para depuración/envío eventos. ● Interfaz de gestión – conecta con el sistema central (túnel OpenVPN) Sistema central – correlación entre eventos y dominios, notificación al organismo. Consta de servidor en tiempo real, portal web de informes y consola de visualización Arquitectura de Ciberseguridad - Grupo UCyS 64 Sondas de Internet: aquitectura Arquitectura de Ciberseguridad - Grupo UCyS 65 Sonda de Internet ►Clasificación y porcentaje de incidentes notificados: Arquitectura de Ciberseguridad - Grupo UCyS 66 SAT Carmen ► El Centro de Análisis de Registros y Minería de Eventos Nacionales es una herramienta desarrollada por el CCN-CERT que permite el análisis en tiempo real de diversas fuentes de logs. ► Objetivo: Búsqueda de APT ►Basado en diversos modelos matemáticos, utiliza minería de datos. ► Realiza: histogramas de conexiones, bytes transmitidos, duración conexiones. Arquitectura de Ciberseguridad - Grupo UCyS 67 Incidentes por sistema y año Arquitectura de Ciberseguridad - Grupo UCyS 68 Estadísticas incidentes gestionados por CCN-CERT Arquitectura de Ciberseguridad - Grupo UCyS 69 ¡ Gracias por su atención ! Arquitectura de Ciberseguridad - Grupo UCyS 70 Arquitectura de ciberseguridad: Normativa y seguridad en sistemas José Ant. Gómez y Margarita Robles Grupo UCyS Universidad de Granada – 30 de abril de 2015 1 Sumario ► El estado de la ciberseguridad ► La ciberseguridad: un fenómeno multidimensional ► El desafío cibernético ► La arquitectura Jurídica de la ciberseguridad: ■ Caracteres de la cooperación internacional ■ Estructura de cooperación ■ Articulación normativa Arquitectura de Ciberseguridad - Grupo UCyS 2 I. El estado de la ciberseguridad ► Caso Estonia (2007) ► Caso Georgia (2008) ► Caso Stuxnet-Irán (2010) ► Caso Bin Laden (2011) Arquitectura de Ciberseguridad - Grupo UCyS 3 1. ESTONIA 2007: UN ACTO DE AGRESIÓN? ► Contexto fáctico: la historia del Soldado de Bronce ► Naturaleza y objetivos del ciberataque ► Motivos ► Respuesta técnica ► Respuesta política ► Conclusiones Arquitectura de Ciberseguridad - Grupo UCyS 4 2. Georgia 2008: El uso combinado del ataque cinético y cibernético ► Contexto fáctico: una situación de conflicto armado ► Naturaleza y objetivos del ciberataque ► Respuesta técnica ► Respuesta política ► Conclusiones Arquitectura de Ciberseguridad - Grupo UCyS 5 3. El ciberataque: una alternativa? a) Caso Stuxnet/irán (2010) ■ ■ ■ Contexto: la amenaza nuclear Caracteres del ciberataque Conclusiones b) Caso Bin Laden (2011) ■ ■ ■ Contexto: la amenaza terrorista Caracteres del ciberataque Conclusiones Arquitectura de Ciberseguridad - Grupo UCyS 6 II. Ciberseguridad: un fenómeno multidimensional 1. Una cuestión de seguridad internacional 2. Un desafío para el modelo económico, financiero y comercial 3. Un reto para las tradiciones y sistemas y socio-políticos y culturales 4. Un problema jurídico y un problema real Arquitectura de Ciberseguridad - Grupo UCyS 7 1. Un “nuevo“ paradigma económico: la economía del conocimiento ► Modelo económico: historia y crisis ► Volumen ■ ■ de negocio el mercado mundial va a pasar de los 68.000 millones de dólares en 2013 a los 120.000 millones en 2020 en 2020 estarán interconectados 6.000 millones de usuarios y 25.000 millones de máquinas. ► Cifras ■ ■ ■ en el ciberespacio: Más de 2.300 millones de suscripciones móviles de banda ancha a finales de 2014. Más de 3.000 millones de usuarios de Internet (+ 40% de la población mundial) Más de 5.000 millones de dispositivos conectados. Se esperan 25.000 millones para 2020. Arquitectura de Ciberseguridad - Grupo UCyS 8 2. Un “nuevo” contexto socio-político y cultural: la sociedad del conocimiento ► Internet ■ ■ ■ ■ en cifras: 14,3 billones de páginas web 672.000.000.000 Gigabytes de información accesible (672 exabytes) 43.639 Petabytes de trafico al año (2013) 1 Yottabyte=10^24 bytes de datos almacenados ► Preocupación ■ ■ ■ ■ de los usuarios europeos de Internet (Eurostat, 2014): 89% evitan publicar información personal en Internet 85% consideran que el riesgo de ser víctima del cibercrimen está aumentando 73% temen que su información personal no sea guardada de manera segura por las páginas web 67% temen que su información personal no sea guardada de manera segura por las administraciones públicas Arquitectura de Ciberseguridad - Grupo UCyS 9 3. Un “nuevo” contexto jurídico ► 3/4 cuartas partes de las actividades ilegítimas cometidas en el ciberespacio corresponden a alguna variante de cibercrimen ► La ciberdelincuencia es la actividad criminal con mayor crecimiento (casi 175% anual). ► Los ciberataques aumentan en: número, impacto, complejidad, diversificación de objetivos y alcance. ► El coste del cibercrimen supera anualmente: ■ Los 400.000 millones de dólares ■ Más de 400 millones de víctimas al año (un millón y medio al día) ■ Un número de incidentes que ronda los 40 millones anuales. ► Modelo de crecimiento: cuanto mayor es la organización, mayor es el coste de un incidente, disparándose un 25% para las para las medianas empresas o un espectacular 52% para las grandes compañías a lo largo de 2014. Arquitectura de Ciberseguridad - Grupo UCyS 10 4. Una “nueva” realidad: España en datos ► Pérdidas anuales por robo de datos: superan los 500 millones € ► Memoria de la Fiscalía General del Estado: aumento de las estafas informáticas de un 60% (más de 9.000 procedimientos) ► Negocio ■ ■ del sector de soluciones frente a la ciberdelincuencia: Supera los 150 millones de euros en España. Mercado controlado por: ● Ciertas empresas: Telefónica, Indra, Unitronics, Nextel, Dimension Data, HP, IBM , ● Grupos: Sia, Cisco, Checkpoint, Fortinet, Paloalto Networks, S21Sec y ● Gigantes de los antivirus ● Las big four: Deloitte, PwC, KPMG y EY. Arquitectura de Ciberseguridad - Grupo UCyS 11 ESPAÑA EN DATOS ►Diariamente: ■ ■ ■ se identifican 160.000 webs que tienen puntos débiles de seguridad; más de 320.000 direcciones IP registran actividad maliciosa En 2014: la Policía registró en 2014 hasta 70.000 ataques en España ►Naturaleza de las incidencias ►Incidentes ■ ■ más habituales: accesos no autorizados a información confidencial (un 37% de los casos) y fraudes tipo phishing (suplantación de identidad para robar datos o información personal como números de tarjetas de crédito, contraseñas o datos de cuentas bancarias). Arquitectura de Ciberseguridad - Grupo UCyS 12 España en datos ►Informes ■ ■ ■ ■ ■ ■ ■ ►El oficiales: Acceso no autorizado: 37,94% Fraude: 23, 90 % Virus, troyanos, gusanos y Spyware: 9,76% Spam: 5, 62% Denegación de Servicio: 4,41 % Escaneos en la Red: 2,38 % Robo de información: 0,45 % Otros: 15,55% Dilema del Iceberg Arquitectura de Ciberseguridad - Grupo UCyS 13 III. El desafío cibérnetico ► Quienes ■ ■ ■ son sus destinatarios? Instituciones Usuarios Profesiones ► Cuáles ■ ■ son los motivos?: Cambios en los parámetros clásicos de organización política: ● La superación del marco estatal y ● La definición de la competencia territorial Cambios en los parámetros tradicionales de organización jurídica: ● El marco de aplicación de la legislación y ● El ámbito de ejercicio de la jurisdicción Arquitectura de Ciberseguridad - Grupo UCyS 14 Interrogantes ► Qué normativa o normativas debo respetar? ► Qué instituciones o agencias me pueden investigar? ► Qué órgano u órganos me pueden enjuiciar? ► Qué responsabilidad o responsabilidades me pueden exigir? ► Cómo puedo saber si, cómo, cuando y porqué he superado el margen de la legalidad? Arquitectura de Ciberseguridad - Grupo UCyS 15 1. El Ciberespacio: una realidad diferente ►Escenario estratégico, operacional y táctico. ►Dominio prácticamente infinito e integrado en los otros dominios: tierra, mar, aire y espacio. ►Naturaleza artificial. ►Ritmo ■ ■ y velocidad de evolución mayor por su propia capacidad de expansión debida a la tecnología y por su propia capilaridad en relación con el espacio físico ►Disponibilidad de medios Arquitectura de Ciberseguridad - Grupo UCyS 16 2. El Ciberespacio: una criminalidad diferente ► Caracteres de la criminalidad cibernética: ■ Fenómeno de la era informática ■ Parámetros nuevos de comprensión de la relación criminal ■ Especificidad del delito ■ Transnacionalización de la delincuencia ►Tipos: ■ ■ ■ Ciberataques puros Ciberataques réplica Ciberataques de contenido Arquitectura de Ciberseguridad - Grupo UCyS 17 3. La ciberdelincuencia: la calificación jurídica ► Categorías genéricas: ■ Ciberdelito ■ Cibercrimen ■ Ciberespionaje ■ Ciberterrorismo ■ Ciberguerra ► La cuestión del sujeto ► La relevancia de la intención ► La determinación de los efectos Arquitectura de Ciberseguridad - Grupo UCyS 18 IV. La arquitectura jurídica del Ciberespacio ►La calificación de las acciones/ataques ►La determinación de la normativa aplicable ►La definición de la jurisdicción competente ►La interacción internacional/nacional ■ Caracteres de la cooperación (I) ■ Pluralidad de estructuras internas/internacionales (II) ■ Pluralidad de normas: acumulación y diversificación de derechos y obligaciones (III) Arquitectura de Ciberseguridad - Grupo UCyS 19 1. CARACTERES DE LA COOPERACIÓN INTERNACIONAL ► Una aproximación internacional: ■ estructuralmente fragmentaria y ■ funcionalmente especializada ► Un proceso de afganización del ciberespacio ► Una superposición de estructuras: ■ universales y regionales ■ formales e informales Arquitectura de Ciberseguridad - Grupo UCyS 20 2. ESTRUCTURAS DE COOPERACIÓN INTERNACIONAL ► UNIVERSALES: ■ ■ ■ ■ ■ ONU Unión Internacional de Telecomunicaciones (ITU) International Standards Organisation (ISO) OMC Organismos especializados ►REGIONALES: ■ ■ ■ ■ OEA UA CONSEJO DE EUROPA UNIÓN EUROPEA ► INTERREGIONALES: ■ ■ ■ ■ ■ OCDE APEC COMMONWEALTH OSCE OTAN Arquitectura de Ciberseguridad - Grupo UCyS 21 La ONU: objetivos y funciones ► Lucha ■ ■ ■ ■ contra la delincuencia informática Resoluciones de la AGNU UNODC: Oficina de la ONU para las drogas y el crimen Congresos Mundiales sobre Prevención del Delito y Justicia Penal Convención contra la Delincuencia Organizada ► Impulso de la sociedad de la información: Cumbres Mundiales de la Sociedad de la Información (CMSI) ■ Ginebra 2003: Declaración de Principios Construir la Sociedad de la Información: un desafío global para el nuevo milenio y Plan de Acción de Ginebra ■ Túnez 2005: Compromiso de Túnez y Agenda de Túnez para la Sociedad de la Información ■ Agenda de la Solidaridad Digital Arquitectura de Ciberseguridad - Grupo UCyS 22 LA ITU: objetivos y funciones ► Organismo ► Origen, especializado de las Naciones Unidas para las TICs evolución y estructura ► Composición: 193 países miembros y más de 700 entidades del sector privado e instituciones académicas. ► Sede en Ginebra (Suiza) y 12 oficinas regionales y de zona en todo el mundo ► Agenda de Ciberseguridad Global: siete objetivos estratégicos principales basados en cinco áreas de trabajo siguientes: ■ Medidas legales; ■ Medidas técnicas y de procedimiento; ■ Estructuras institucionales; ■ Creación de capacidades y ■ Cooperación internacional Arquitectura de Ciberseguridad - Grupo UCyS 23 Estructuras interregionales ► OCDE: ■ ■ ■ Armonización del derecho penal contra el ciberdelito Directrices de seguridad de los sistemas y redes de información Principios complementarios ► OSCE: ■ ■ Aproximación Omnicomprensiva a la Seguridad Cibernética Medidas de Fomento de la Confianza y Medidas de Fomento de la Confianza y la Seguridad: ► APEC ► Commonwealth ► Consejo de Cooperación del Golfo ►OTAN Arquitectura de Ciberseguridad - Grupo UCyS 24 Estructuras regionales ► OEA ► UA ► UNIÓN ■ ■ ■ EUROPEA Lucha contra la ciberdelincuencia Sociedad de la información Protección de datos ► CONSEJO ■ ■ DE EUROPA: Objetivos: Protección de datos, lucha contra la ciberdelincuencia Instrumentos. ● Convenio sobre la Ciberdelincuencia (2001) ● Protocolo Adicional del Convenio sobre la Ciberdelincuencia, relativo a la penalización de los actos de naturaleza racista y xenófoba cometidos por medio de sistemas informáticos (2003). ● Convenio del Consejo de Europa para la protección de los niños contra la explotación y el abuso sexual. Arquitectura de Ciberseguridad - Grupo UCyS 25 3. Articulación normativa ► Tipología de infracciones: ■ Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos; ■ Delitos informáticos; ■ Delitos relacionados con el contenido; y ■ Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines. ► Esta clasificación no es totalmente coherente por dos motivos: ■ No se basa en un sólo criterio ■ Algunas acciones pueden pertenecer a varias categorías Arquitectura de Ciberseguridad - Grupo UCyS 26 A) Delitos contra la C-I-D ► Bienes jurídicos protegidos: confidencialidad, integridad y disponibilidad de los Datos y Sistemas informáticos ► Categorías delictivas ■ Acceso ilícito ■ Espionaje de datos ■ Intervención ilícita ■ Manipulación de datos ■ Ataques contra la integridad del sistema Arquitectura de Ciberseguridad - Grupo UCyS 27 a) Acceso ilícito (pirateria de sistemas y programas) ►Casos: ■ ■ ■ ■ ■ La irrupción en sitios web protegidos con contraseña La burla de la protección de contraseña en un computador. La utilización de equipos o programas para obtener una contraseña e irrumpir en el sistema informático La creación de sitios web "falsos" para lograr que el usuario revele su contraseña; y La instalación por hardware y software de interceptores de teclado ("keyloggers ►Causas: ■ ■ ■ Protección inadecuada e incompleta de los sistemas informáticos Aparición de herramientas informáticas automatizando los ataques El uso creciente de los ordenadores privados ►Naturaleza: equivalente al acceso ilícito a una propiedad ►Régimen ■ ■ jurídico no uniforme: Delito: El mero acceso Delito: El acceso sólo cuando ● los sistemas accedidos están protegidos por medidas de seguridad; y/o ● el autor tiene malas intenciones; y/o ● se obtienen, modifican o dañan datos. Arquitectura de Ciberseguridad - Grupo UCyS 28 b) Espionaje de datos ► Motivación: el valor de la información confidencial y la capacidad de acceder a la misma a distancia. ► Técnicas: ■ ■ ■ software para explorar los puertos desprotegidos; software para burlar las medidas de protección; e "ingeniería social". ► Protección de datos: privados, comerciales y políticos ► Métodos: ■ ■ acceder a sistemas informáticos o a un dispositivo de almacenamiento y extraer la información; o manipular a los usuarios para que revelen la información o los códigos de acceso que permitan al delincuente acceder a la información. ► Normativa Arquitectura de Ciberseguridad - Grupo UCyS 29 c) Intervención ilícita ► Casuística: ■ ■ intervenir las comunicaciones entre usuarios (como mensajes e-mail), interceptar transferencias de datos (cuando los usuarios suben datos a los servidores web o acceden a medios de almacenamiento externos por la web) con el fin de registrar el intercambio de información. ► Objetivo: ■ ■ cualquier ... infraestructura de comunicaciones (por ejemplo, líneas fijas o inalámbricas) y servicio Internet (por ejemplo, e-mail, charlas o comunicaciones VoIP). ► La mayoría de los procesos de transferencia de datos entre proveedores de infraestructura de Internet o proveedores de servicios Internet están debidamente protegidos y son difíciles de intervenir. No obstante: ■ resultan vulnerables las comunicaciones inalámbricas ■ se pueden pinchar las comunicaciones en líneas fijas Arquitectura de Ciberseguridad - Grupo UCyS 30 d) Manipulación de datos ► Los datos informáticos son esenciales para los usuarios privados, las empresas y las administraciones ► La carencia de acceso a los datos puede causar daños (económicos) considerables. ► Los infractores pueden atentar contra la integridad de los datos de las siguientes formas: ■ borrarlos; y/o ■ suprimirlos; y/o ■ alterarlos; y/o ■ restringir el acceso a los mismos. ► Método: Los virus son un ejemplo común de supresión de datos que han evolucionado y se ha generalizado su capacidad de infección por: ■ la manera en que los virus se distribuyen; y ■ los efectos. Arquitectura de Ciberseguridad - Grupo UCyS 31 e) Ataques contra la integridad del sistema ► Categoría autónoma: los ataques a los *sistemas informáticos suscitan las mismas preocupaciones que los ataques a los *datos informáticos agravada: ■ por su capacidad de generar grandes pérdidas económicas y ■ la posibilidad de realizar ataques físicos a los sistemas informáticos. ► Marco ■ ■ ■ general: Penalmente, el daño físico es similar al clásico de daño o destrucción de propiedad. En el comercio electrónicos, las pérdidas económicas causadas a los sistemas informáticos son mucho mayores que el costo de los equipos informáticos. Ejemplos de ataques a distancia contra sistemas informáticos son: ● gusanos informáticos; o ● ataques de denegación del servicio (DoS). Arquitectura de Ciberseguridad - Grupo UCyS 32 B) Delitos relacionados con el contenido ► Objeto ► Diversidad ■ ■ ■ y complejidad normativas qué es delito y donde es delito qué bien jurídico prevalece qué finalidad? ► Debate ontológico ► Técnicas de control: bloqueo de acceso o establecimiento de filtros ► Categorías: ■ ■ ■ ■ ■ ■ ■ ■ Material erótico o pornográfico (salvo infantil ) Pornografía infantil Racismo, lenguaje ofensivo, exaltación de la violencia Delitos contra la religión Juegos ilegales y juegos en línea Difamación e información falsa Correo basura y amenazas conexas Otras formas de contenido ilícito Arquitectura de Ciberseguridad - Grupo UCyS 33 a) Material erótico o pornográfico ►Ventajas ■ ■ ■ del comercio en internet: Intercambio menos oneroso Acceso mundial Anonimato ►Comercialización: ■ ■ ■ sitios web, sistemas de intercambio de ficheros; salas de charla cerradas. ►Penalización ►Problemas variable: general o sólo infantil de la persecución: incriminación simple o doble. Arquitectura de Ciberseguridad - Grupo UCyS 34 b) Pornografía infantil ►Penalización generalizada: normativas internacionales e internas ►Problema: actividad lucrativa y anónima ►Problemas ■ ■ en la investigación: La utilización de divisas y pagos anónimos La utilización de tecnología de cifrado Arquitectura de Ciberseguridad - Grupo UCyS 35 c) Racismo, lenguaje ofensivo, exaltación de la violencia ►Origen: ►La grupos radicales y divulgación de propaganda distribución por Internet ofrece varias ventajas: ■ los menores costes de distribución, ■ la utilización de equipos no especializados y ■ una audiencia mundial ►Régimen ■ ■ jurídico: Prohibición o Libertad de expresión ►Penalización: no uniforme Arquitectura de Ciberseguridad - Grupo UCyS 36 d) Delitos contra la religión ►Facilidades ►Diversidad ►Debate: de Internet cultural, ideológica y religiosa Libertad religiosa v. Libertad de expresión ►Divergencia normativa ►Penalización no uniforme Arquitectura de Ciberseguridad - Grupo UCyS 37 e) Juegos ilegales y juegos en línea ►Ventajas de Internet: Actividad en expansión y elusión de la prohibición de juego ► Uso ■ ■ ■ con fines delictivos: intercambio y presentación de pornografía infantil; fraude; casinos en línea. ►Ingresos en concepto de juegos en línea: de 3 100 millones USD en 2001 a 24 000 millones USD en 2010 ►Régimen jurídico no uniforme, divergencias y lagunas legislativas ►Dificultad de la persecución: Incriminación de los proveedores de servicios financieros Arquitectura de Ciberseguridad - Grupo UCyS 38 f) Difamación e información falsa ►Acciones ■ ■ ■ delictivas: publicar información falsa (por ejemplo, sobre los rivales); difamar (por ejemplo, escribir mensajes difamatorios o calumnias); revelar información confidencial (por ejemplo, publicar secretos de Estado o información comercial confidencial). ►La difamación daña la reputación y la dignidad de las víctimas en un grado considerable por varios motivos: ■ las declaraciones en línea son accesibles por la audiencia mundial; el autor pierde el control de la información; y ■ aunque la información se corrija o se suprima, puede haber sido duplicada ("en servidores espejo") y estar en manos de personas que no desean retirarla o suprimirla. ►Equilibrio entre libertad de expresión y protección de la víctimas Arquitectura de Ciberseguridad - Grupo UCyS 39 g) Correo basura y amenazas conexas y h) otras formas de contenido ilícito ►Correo ■ ■ ■ basura y amenazas conexas: Actividad lucrativa con un coste mínimo Técnicas de filtrado Problema en los PVD ►Otras formas de contenido ilícito: Internet se utiliza para ataques directos y como foro para: ■ solicitar, ofrecer e incitar el crimen; ■ la venta ilegal de productos; ■ dar información e instrucciones para actos ilícitos (por ejemplo, sobre cómo construir explosivos); ■ Eludir las normas sobre el comercio de diversos productos: médico, farmacéutico, material militar. ►El contrabando dificulta el control de ciertos productos restringidos en un territorio. ►Las tiendas por la web situadas en países sin restricción alguna pueden vender productos a clientes de otros países, menoscabando así esas limitaciones. Arquitectura de Ciberseguridad - Grupo UCyS 40 C) Delitos en materia de derechos de autor y de marcas ►Función ■ ■ esencial de Internet: la difusión de información Las relaciones económicas y comerciales ►Hay dos grandes categorías de problemas: ■ Los falsificadores: pueden utilizar la imagen de marca y el diseño de una determinada empresa para comercializar productos falsificados, copiar logotipos y productos, y registrar su nombre de dominio ■ Las empresas distribuidoras por Internet: pueden tener problemas de carácter jurídico con las violaciones de los derechos de autor puesto que sus productos se pueden teledescargar, copiar y distribuir. Arquitectura de Ciberseguridad - Grupo UCyS 41 a) Delitos en materia de derechos de autor ►Digitalización de los productos, servicios y prestaciones ►Modalidades ■ ■ de violación de derechos de autor: intercambio, en sistemas de intercambio de archivos, de programas informáticos, archivos y temas musicales protegidos con derechos de autor; elusión de los sistemas de gestión de derechos en el ámbito digital. ►Tráfico ► entre tecnologías pares (P2P): más de 50% Efectos económicos Arquitectura de Ciberseguridad - Grupo UCyS 42 b) Delitos en materia de marcas ► Tipificación no uniforme de las violaciones en materia de marcas. ► Los delitos más graves son: ■ utilización de marcas en actividades delictivas con el propósito de engañar; ■ y, los delitos en materia de dominios y nombres. ► Violaciones ■ ■ ■ ■ más frecuentes: La utilización de nombres genéricos y marcas de forma fraudulenta en numerosas actividades en las que se envían a los usuarios de Internet millones de correos electrónicos similares a los de empresas legítimas consignando su marca. Los delitos en materia de dominios, por ejemplo la ciberocupación ilegal, que describe el procedimiento ilegal de registrar un nombre de dominio idéntico o similar al de la marca de un producto o de una empresa. Las tentativas de vender el dominio a la empresa a un precio más elevado o utilizarlo para vender productos o servicios engañando a los usuarios con su supuesta conexión a la marca. La "apropiación indebida de dominio" o registro de nombres de dominio que han caducado accidentalmente. Arquitectura de Ciberseguridad - Grupo UCyS 43 D) Delitos informáticos ►Fraude y fraude informático ►Falsificación ►Robo informática de identidad ►Utilización indebida de dispositivos ►Combinación ■ ■ ■ ■ de delitos: Ciberterrorismo Ciberguerra Ciberblanqueo de dinero Peska Arquitectura de Ciberseguridad - Grupo UCyS 44 a) Fraude y fraude informático ►Caracteres ►Tipificación: ►Distinción entre fraude informático y fraude tradicional ►Los fraudes más comunes son: ■ Subasta en línea: ● ofrecer mercancías no disponibles para la venta y exigir su pago antes de la entrega; o ● adquirir mercancías y solicitar su envío, sin intención de pagar por ellas. ■ Estafa nigeriana Arquitectura de Ciberseguridad - Grupo UCyS 45 b) Falsificación informática ►Falsificación informática: manipulación de documentos digitales, por ejemplo: ■ crear un documento que parece provenir de una institución fiable; ■ manipular imágenes electrónicas (por ejemplo, imágenes aportadas como pruebas materiales en los tribunales); o ■ alterar documentos. ►Ejemplo: phishing ►Problema: crecimiento de la documentación digital Arquitectura de Ciberseguridad - Grupo UCyS 46 c) ROBO DE IDENTIDAD ►Concepto: el acto delictivo de obtener y adoptar de forma fraudulenta la identidad de otra persona. ►Etapas ■ ■ ■ diferentes: Obtención de información relativa a la identidad mediante, por ejemplo, programas informáticos dañinos o ataques destinados a la peska. Interacción con la información obtenida antes de utilizarla en el marco de una actividad delictiva: venta Utilización de la información relativa a la identidad en relación con una actividad delictiva: robo/fraude. ►Métodos ►Datos Arquitectura de Ciberseguridad - Grupo UCyS 47 d) UTILIZACIÓN INDEBIDA DE DISPOSITIVOS ►Objetivo: la comisión de un delito ►Herramientas: variedad y disponibilidad ►Ciberdelitos ■ ■ ■ ■ más usuales: cometer ataques por denegación de servicio (DoS); diseñar virus informáticos; desencriptar información; y acceder en forma ilegal a sistemas informáticos ►Impacto: ■ ■ aumento exponencial de la ciberdelincuencia por: Accesibilidad Anonimato Arquitectura de Ciberseguridad - Grupo UCyS 48 Conclusiones 1) La cooperación internacional: una obligación y una necesidad 2) Principios rectores: ■ COMPLEMENTARIEDAD, ■ SIMPLIFICACIÓN Y ■ TRANSPARENCIA 3) Uniformación/homogeneización normativa Arquitectura de Ciberseguridad - Grupo UCyS 49 España: Normativas ►Esquema Nacional de Seguridad (ENS, 5/2013) – Directrices para la utilización eficiente de los recursos para preservar la Seguridad Nacional. ■ Capítulo 3 – Ciberamenazas: líneas de acción: ● Incremento de la capacidad de prevención, detección, investigación y respuesta. ● Garantía de los SIs de las AAPP ● Colaboración internacional ● Cultura de la Ciberseguridad para garantizar el uso seguro de redes y sistemas de información Arquitectura de Ciberseguridad - Grupo UCyS 50 Normativas (ii) ►Estrategia de Ciberseguridad Nacional (ECN, 2013) – Modelo de Ciberseguridad integrado que garantice la seguridad y progreso de España a través de la coordinación de todas las administraciones públicas entre sí, el sector privado y los ciudadanos, canalizando las iniciativas y esfuerzos internacionales en defensa del ciberespacio. Arquitectura de Ciberseguridad - Grupo UCyS 51 España: Organismos gubernamentales centráles ► INCIBE – M. Industria, OARI* ► CCN – M. Presidencia, OARIN ► CNPIC – M. Interior, OARIN ► RedIris – M. Industria, OAR ► Unidad/Brigada de Delitos Telemáticos de la Policia/Guardia Civil – M. Interior, OAR ► Agencia Española de Protección de Datos – M. Justicia, C (análisis y sansión de incidentes) ► Mando Conjunto de Ciberdefensa – M. Defensa, OARN * O=Operacional A=Análisis R=Respuesta de incidentes I=Relaciones internacionales N= Normativa F=Asesoramiento y formación C=Regulador y autoridad de control Arquitectura de Ciberseguridad - Grupo UCyS 52 España: organismos autonómicos ► Unidades de Delitos Informáticos de los Mossos de Escuadra y de la Ertzaintza - OAR ► CSIRT-CV - OAR ► CESICAT - OARF ► CERT Andalucía - OAR ► Agencias de Protección de Datos Catalana, Comunidad de Madrid y del País Vasco - C Arquitectura de Ciberseguridad - Grupo UCyS 53 INCIBE ► El Instituto Nacional de Ciberseguridad es responsable de gestionar a través de su CERT la defensa del ciberespacio relacionado con las PYMES españolas y los ciudadanos en su ámbito doméstico Arquitectura de Ciberseguridad - Grupo UCyS 54 CCN ►El Centro Criptológico Nacional, dependiente del CNI, gestiona la seguridad del ciberespacio dependiente de cualquiera de los tres niveles de las administraciones públicas: estatal, autonómico y local. ►El CNN-CERT es el centro de alerta nacional que coopera con todas las administraciones públicas para responder a los incidentes de seguridad. Arquitectura de Ciberseguridad - Grupo UCyS 55 CNPIC ► El Centro Nacional para la Protección de las Infraestructuras Críticas impulsa, coordina y supervisa todas las actividades relacionadas con la protección de infraestructuras críticas fomentando la participación de todos los agentes del sistema en sus correspondientes ámbitos competenciales. ► Infraestructura Crítica (Ley 8/2011): las infraestructuras estratégicas, es decir, aquellas que proporcionan servicios esenciales cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales: alimentación, energía, financieras/tributarias, agua, industria, salud, transporte, etc. Arquitectura de Ciberseguridad - Grupo UCyS 56 CERT ► Se denomina CERT (Computer Emergency Response Team) a un conjunto de medios y personas responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. También denominados CSIRT (Computer Security Incident Response Team). ► Servicios ■ ■ ■ ■ ■ ■ preventivos: Avisos de seguridad Búsqueda de vulnerabilidades Auditorías o evaluaciones de seguridad Configuración y mantenimiento de herramientas de seguridad, aplicaciones e infraestructuras Desarrollo de herramientas de seguridad Propagación de información relacionada con la seguridad ► Servicios ■ ■ reactivos Gestión de incidentes de seguridad (análisis, respuesta, soporte y coordinación de incidentes de seguridad) Gestión de vulnerabilidades (análisis, respuesta y coordinación de vulnerabilidades detectadas) Arquitectura de Ciberseguridad - Grupo UCyS 57 Gestión frente a ciberincidentes Arquitectura de Ciberseguridad - Grupo UCyS 58 Sistemas de Alerta Temprana de Internet (SAT) ► Detección en tiempo real de las amenazas e incidentes existentes en el tráfico de la red interna de un Organismo e Internet (tráfico direccionamiento público). ► El sistema normaliza la información recolectada por las distintas fuentes. ►Los eventos se consolidan y se centralizan en un único sistema, revisándolos a través de una única consola. ►La correlación avanzada permite detectar eventos mucho más complejos que pudieran involucrar a distintos organismos. Arquitectura de Ciberseguridad - Grupo UCyS 59 Sistemas Alerta Temprana (SAT) ► Red ■ ■ ■ SARA: Servicio para la Intranet Administrativa Coordinado con MINHAP 49/54 áreas de concexión ► Sondas ■ ■ ■ de Salida de Internet AAPP: Servicio por suscripción de Organismos Despliegue de sensores 50 organismos / 60 sondas ► Sistema ■ ■ ■ Carmen: Análisis de log perimetrales (proxy, …) Búsqueda de anomalías de tráfico 6 sondas Arquitectura de Ciberseguridad - Grupo UCyS 60 SAT de la Red SARA ►Sistema de correlación de logs de la Red SARA (Sistemas de Aplicaciones y Redes para las Administraciones) que proporciona de forma continua un índice de compromiso y emite alarmas antes cualquier incidente. ►Detecta de forma proactiva las anomalías y ataques del tráfico entre ministerios y organismos ► Dado el volumen de tráfico las alertas se clasifican en niveles de criticidad. Arquitectura de Ciberseguridad - Grupo UCyS 61 SAT-SARA: Arquitectura Arquitectura de Ciberseguridad - Grupo UCyS 62 Calsificación de los incidentes ►APT con exfiltración de información Crítico ►DDoS ►Ataques dirigidos ►DoS ►Código Muy alto Dañino específico ►Mayoría de incidentes ►Ataques externos sin consecuencias ►Código Bajo / Medio / Alto dañino genérico Arquitectura de Ciberseguridad - Grupo UCyS 63 Sonda de Internet: elementos ►Consta: ■ ■ Sonda individual – servidor dedicado de alto rendimiento con herramientas de detección y monitorización (snort, arpwatch, ntop, p0f, etc.). Dos interfaces de red: ● Interfaz de análisis – sin IP, lee trafico relevante de salida o zona DMZ. Corre agente SIE OSSIM para depuración/envío eventos. ● Interfaz de gestión – conecta con el sistema central (túnel OpenVPN) Sistema central – correlación entre eventos y dominios, notificación al organismo. Consta de servidor en tiempo real, portal web de informes y consola de visualización Arquitectura de Ciberseguridad - Grupo UCyS 64 Sondas de Internet: aquitectura Arquitectura de Ciberseguridad - Grupo UCyS 65 Sonda de Internet ►Clasificación y porcentaje de incidentes notificados: Arquitectura de Ciberseguridad - Grupo UCyS 66 SAT Carmen ► El Centro de Análisis de Registros y Minería de Eventos Nacionales es una herramienta desarrollada por el CCN-CERT que permite el análisis en tiempo real de diversas fuentes de logs. ► Objetivo: Búsqueda de APT ►Basado en diversos modelos matemáticos, utiliza minería de datos. ► Realiza: histogramas de conexiones, bytes transmitidos, duración conexiones. Arquitectura de Ciberseguridad - Grupo UCyS 67 Incidentes por sistema y año Arquitectura de Ciberseguridad - Grupo UCyS 68 Estadísticas incidentes gestionados por CCN-CERT Arquitectura de Ciberseguridad - Grupo UCyS 69 ¡ Gracias por su atención ! Arquitectura de Ciberseguridad - Grupo UCyS 70 Arquitectura de ciberseguridad: Normativa y seguridad – Mapas José Ant. Gómez y Margarita Robles Grupo UCyS Universidad de Granada – 30 de abril de 2015 1 Listado de Mapa ► ONU ► ITU ► ISO ► OMC ► OTAN ► OCDE ► OSCE ► Commonwealth ► APEC ► OAE ► AU ► Consejo ► Unión de Europa Europea Arquitectura de Ciberseguridad - Grupo UCyS 2 Organización de Naciones Unidas (ONU) Arquitectura de Ciberseguridad - Grupo UCyS 3 Unión Internacional de Telecomunicaciones (ITU) Arquitectura de Ciberseguridad - Grupo UCyS 4 International Organization for Standardization (ISO) Arquitectura de Ciberseguridad - Grupo UCyS 5 Organización Internacional del Comercio(OMC) Arquitectura de Ciberseguridad - Grupo UCyS 6 Organización del Tratado del Atlantico Norte (OTAN) Arquitectura de Ciberseguridad - Grupo UCyS 7 Organización para la Cooperación y el Desarrollo Económicos (OCDE) Arquitectura de Ciberseguridad - Grupo UCyS 8 Organización para la Seguridad y Cooperación en Europa (OSCE) Arquitectura de Ciberseguridad - Grupo UCyS 9 Commonwealth of Nations Arquitectura de Ciberseguridad - Grupo UCyS 10 Foro Cooperación Económica AsiaPacífico (APEC) Arquitectura de Ciberseguridad - Grupo UCyS 11 Organización de Estados Americanos (OAE) Arquitectura de Ciberseguridad - Grupo UCyS 12 Unión Africana (AU) Arquitectura de Ciberseguridad - Grupo UCyS 13 Consejo de Europa Arquitectura de Ciberseguridad - Grupo UCyS 14 Unión Europea Arquitectura de Ciberseguridad - Grupo UCyS 15
© Copyright 2024