"Arquitectura de ciberseguridad: Normativa y seguridad. Mapas".

Arquitectura de ciberseguridad:
Normativa y seguridad en sistemas
José Ant. Gómez y Margarita Robles
Grupo UCyS
Universidad de Granada – 30 de abril de 2015
1
Sumario
►
El estado de la ciberseguridad
►
La ciberseguridad: un fenómeno multidimensional
►
El desafío cibernético
►
La arquitectura Jurídica de la ciberseguridad:
■ Caracteres de la cooperación internacional
■ Estructura de cooperación
■ Articulación normativa
Arquitectura de Ciberseguridad - Grupo UCyS
2
I. El estado de la ciberseguridad
►
Caso Estonia (2007)
►
Caso Georgia (2008)
►
Caso Stuxnet-Irán (2010)
►
Caso Bin Laden (2011)
Arquitectura de Ciberseguridad - Grupo UCyS
3
1. ESTONIA 2007: UN ACTO DE AGRESIÓN?
►
Contexto fáctico: la historia del Soldado de Bronce
►
Naturaleza y objetivos del ciberataque
►
Motivos
►
Respuesta técnica
►
Respuesta política
►
Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS
4
2. Georgia 2008: El uso combinado del
ataque cinético y cibernético
►
Contexto fáctico: una situación de conflicto armado
►
Naturaleza y objetivos del ciberataque
►
Respuesta técnica
►
Respuesta política
►
Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS
5
3. El ciberataque: una alternativa?
a) Caso Stuxnet/irán (2010)
■
■
■
Contexto: la amenaza nuclear
Caracteres del ciberataque
Conclusiones
b) Caso Bin Laden (2011)
■
■
■
Contexto: la amenaza terrorista
Caracteres del ciberataque
Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS
6
II. Ciberseguridad: un fenómeno
multidimensional
1. Una cuestión de seguridad internacional
2. Un desafío para el modelo económico,
financiero y comercial
3. Un reto para las tradiciones y sistemas y
socio-políticos y culturales
4. Un problema jurídico y un problema real
Arquitectura de Ciberseguridad - Grupo UCyS
7
1. Un “nuevo“ paradigma económico: la
economía del conocimiento
► Modelo
económico: historia y crisis
► Volumen
■
■
de negocio
el mercado mundial va a pasar de los 68.000 millones de
dólares en 2013 a los 120.000 millones en 2020
en 2020 estarán interconectados 6.000 millones de usuarios y
25.000 millones de máquinas.
► Cifras
■
■
■
en el ciberespacio:
Más de 2.300 millones de suscripciones móviles de banda ancha
a finales de 2014.
Más de 3.000 millones de usuarios de Internet (+ 40% de la
población mundial)
Más de 5.000 millones de dispositivos conectados. Se esperan
25.000 millones para 2020.
Arquitectura de Ciberseguridad - Grupo UCyS
8
2. Un “nuevo” contexto socio-político y
cultural: la sociedad del conocimiento
► Internet
■
■
■
■
en cifras:
14,3 billones de páginas web
672.000.000.000 Gigabytes de información accesible (672
exabytes)
43.639 Petabytes de trafico al año (2013)
1 Yottabyte=10^24 bytes de datos almacenados
► Preocupación
■
■
■
■
de los usuarios europeos de Internet (Eurostat, 2014):
89% evitan publicar información personal en Internet
85% consideran que el riesgo de ser víctima del cibercrimen está
aumentando
73% temen que su información personal no sea guardada de
manera segura por las páginas web
67% temen que su información personal no sea guardada de
manera segura por las administraciones públicas
Arquitectura de Ciberseguridad - Grupo UCyS
9
3. Un “nuevo” contexto jurídico
► 3/4
cuartas partes de las actividades ilegítimas cometidas en el
ciberespacio corresponden a alguna variante de cibercrimen
► La
ciberdelincuencia es la actividad criminal con mayor crecimiento (casi
175% anual).
► Los
ciberataques aumentan en: número, impacto, complejidad,
diversificación de objetivos y alcance.
► El
coste del cibercrimen supera anualmente:
■ Los 400.000 millones de dólares
■ Más de 400 millones de víctimas al año (un millón y medio al día)
■ Un número de incidentes que ronda los 40 millones anuales.
► Modelo
de crecimiento: cuanto mayor es la organización, mayor es el
coste de un incidente, disparándose un 25% para las para las medianas
empresas o un espectacular 52% para las grandes compañías a lo largo
de 2014.
Arquitectura de Ciberseguridad - Grupo UCyS
10
4. Una “nueva” realidad: España en datos
► Pérdidas
anuales por robo de datos: superan los 500 millones €
► Memoria
de la Fiscalía General del Estado: aumento de las
estafas informáticas de un 60% (más de 9.000 procedimientos)
► Negocio
■
■
del sector de soluciones frente a la ciberdelincuencia:
Supera los 150 millones de euros en España.
Mercado controlado por:
● Ciertas empresas: Telefónica, Indra, Unitronics, Nextel,
Dimension Data, HP, IBM ,
● Grupos: Sia, Cisco, Checkpoint, Fortinet, Paloalto
Networks, S21Sec y
● Gigantes de los antivirus
● Las big four: Deloitte, PwC, KPMG y EY.
Arquitectura de Ciberseguridad - Grupo UCyS
11
ESPAÑA EN DATOS
►Diariamente:
■
■
■
se identifican 160.000 webs que tienen puntos débiles de
seguridad;
más de 320.000 direcciones IP registran actividad maliciosa
En 2014: la Policía registró en 2014 hasta 70.000 ataques en
España
►Naturaleza
de las incidencias
►Incidentes
■
■
más habituales:
accesos no autorizados a información confidencial (un 37%
de los casos) y
fraudes tipo phishing (suplantación de identidad para robar
datos o información personal como números de tarjetas de
crédito, contraseñas o datos de cuentas bancarias).
Arquitectura de Ciberseguridad - Grupo UCyS
12
España en datos
►Informes
■
■
■
■
■
■
■
►El
oficiales: Acceso no autorizado: 37,94%
Fraude: 23, 90 %
Virus, troyanos, gusanos y Spyware: 9,76%
Spam: 5, 62%
Denegación de Servicio: 4,41 %
Escaneos en la Red: 2,38 %
Robo de información: 0,45 %
Otros: 15,55%
Dilema del Iceberg
Arquitectura de Ciberseguridad - Grupo UCyS
13
III. El desafío cibérnetico
► Quienes
■
■
■
son sus destinatarios?
Instituciones
Usuarios
Profesiones
► Cuáles
■
■
son los motivos?:
Cambios en los parámetros clásicos de organización política:
● La superación del marco estatal y
● La definición de la competencia territorial
Cambios en los parámetros tradicionales de organización
jurídica:
● El marco de aplicación de la legislación y
● El ámbito de ejercicio de la jurisdicción
Arquitectura de Ciberseguridad - Grupo UCyS
14
Interrogantes
►
Qué normativa o normativas debo respetar?
►
Qué instituciones o agencias me pueden investigar?
►
Qué órgano u órganos me pueden enjuiciar?
►
Qué responsabilidad o responsabilidades me
pueden exigir?
►
Cómo puedo saber si, cómo, cuando y porqué he
superado el margen de la legalidad?
Arquitectura de Ciberseguridad - Grupo UCyS
15
1. El Ciberespacio: una realidad diferente
►Escenario
estratégico, operacional y táctico.
►Dominio
prácticamente infinito e integrado en los otros
dominios: tierra, mar, aire y espacio.
►Naturaleza
artificial.
►Ritmo
■
■
y velocidad de evolución mayor
por su propia capacidad de expansión debida a la
tecnología y
por su propia capilaridad en relación con el
espacio físico
►Disponibilidad
de medios
Arquitectura de Ciberseguridad - Grupo UCyS
16
2. El Ciberespacio: una criminalidad diferente
►
Caracteres de la criminalidad cibernética:
■ Fenómeno de la era informática
■ Parámetros nuevos de comprensión de la relación
criminal
■ Especificidad del delito
■ Transnacionalización de la delincuencia
►Tipos:
■
■
■
Ciberataques puros
Ciberataques réplica
Ciberataques de contenido
Arquitectura de Ciberseguridad - Grupo UCyS
17
3. La ciberdelincuencia: la calificación jurídica
►
Categorías genéricas:
■ Ciberdelito
■ Cibercrimen
■ Ciberespionaje
■ Ciberterrorismo
■ Ciberguerra
►
La cuestión del sujeto
►
La relevancia de la intención
►
La determinación de los efectos
Arquitectura de Ciberseguridad - Grupo UCyS
18
IV. La arquitectura jurídica del Ciberespacio
►La
calificación de las acciones/ataques
►La
determinación de la normativa aplicable
►La
definición de la jurisdicción competente
►La
interacción internacional/nacional
■ Caracteres de la cooperación (I)
■ Pluralidad de estructuras
internas/internacionales (II)
■ Pluralidad de normas: acumulación y
diversificación de derechos y obligaciones (III)
Arquitectura de Ciberseguridad - Grupo UCyS
19
1. CARACTERES DE LA COOPERACIÓN
INTERNACIONAL
►
Una aproximación internacional:
■ estructuralmente fragmentaria y
■ funcionalmente especializada
►
Un proceso de afganización del ciberespacio
►
Una superposición de estructuras:
■ universales y regionales
■ formales e informales
Arquitectura de Ciberseguridad - Grupo UCyS
20
2. ESTRUCTURAS DE COOPERACIÓN
INTERNACIONAL
► UNIVERSALES:
■
■
■
■
■
ONU
Unión Internacional de
Telecomunicaciones (ITU)
International Standards
Organisation (ISO)
OMC
Organismos especializados
►REGIONALES:
■
■
■
■
OEA
UA
CONSEJO DE EUROPA
UNIÓN EUROPEA
► INTERREGIONALES:
■
■
■
■
■
OCDE
APEC
COMMONWEALTH
OSCE
OTAN
Arquitectura de Ciberseguridad - Grupo UCyS
21
La ONU: objetivos y funciones
► Lucha
■
■
■
■
contra la delincuencia informática
Resoluciones de la AGNU
UNODC: Oficina de la ONU para las drogas y el crimen
Congresos Mundiales sobre Prevención del Delito y Justicia Penal
Convención contra la Delincuencia Organizada
► Impulso
de la sociedad de la información: Cumbres Mundiales de la
Sociedad de la Información (CMSI)
■ Ginebra 2003: Declaración de Principios Construir la Sociedad de
la Información: un desafío global para el nuevo milenio y Plan
de Acción de Ginebra
■ Túnez 2005: Compromiso de Túnez y Agenda de Túnez para la
Sociedad de la Información
■ Agenda de la Solidaridad Digital
Arquitectura de Ciberseguridad - Grupo UCyS
22
LA ITU: objetivos y funciones
► Organismo
► Origen,
especializado de las Naciones Unidas para las TICs
evolución y estructura
► Composición:
193 países miembros y más de 700 entidades del
sector privado e instituciones académicas.
► Sede
en Ginebra (Suiza) y 12 oficinas regionales y de zona en todo
el mundo
► Agenda
de Ciberseguridad Global: siete objetivos estratégicos
principales basados en cinco áreas de trabajo siguientes:
■ Medidas legales;
■ Medidas técnicas y de procedimiento;
■ Estructuras institucionales;
■ Creación de capacidades y
■ Cooperación internacional
Arquitectura de Ciberseguridad - Grupo UCyS
23
Estructuras interregionales
► OCDE:
■
■
■
Armonización del derecho penal contra el ciberdelito
Directrices de seguridad de los sistemas y redes de
información
Principios complementarios
► OSCE:
■
■
Aproximación Omnicomprensiva a la Seguridad Cibernética
Medidas de Fomento de la Confianza y Medidas de Fomento
de la Confianza y la Seguridad:
► APEC
► Commonwealth
► Consejo
de Cooperación del Golfo
►OTAN
Arquitectura de Ciberseguridad - Grupo UCyS
24
Estructuras regionales
► OEA
► UA
► UNIÓN
■
■
■
EUROPEA
Lucha contra la ciberdelincuencia
Sociedad de la información
Protección de datos
► CONSEJO
■
■
DE EUROPA:
Objetivos: Protección de datos, lucha contra la ciberdelincuencia
Instrumentos.
● Convenio sobre la Ciberdelincuencia (2001)
● Protocolo Adicional del Convenio sobre la Ciberdelincuencia, relativo
a la penalización de los actos de naturaleza racista y xenófoba
cometidos por medio de sistemas informáticos (2003).
● Convenio del Consejo de Europa para la protección de los niños
contra la explotación y el abuso sexual.
Arquitectura de Ciberseguridad - Grupo UCyS
25
3. Articulación normativa
►
Tipología de infracciones:
■ Delitos contra la confidencialidad, la integridad y la
disponibilidad de los datos y sistemas informáticos;
■ Delitos informáticos;
■ Delitos relacionados con el contenido; y
■ Delitos relacionados con infracciones de la propiedad
intelectual y de los derechos afines.
►
Esta clasificación no es totalmente coherente por dos
motivos:
■ No se basa en un sólo criterio
■ Algunas acciones pueden pertenecer a varias
categorías
Arquitectura de Ciberseguridad - Grupo UCyS
26
A) Delitos contra la C-I-D
►
Bienes jurídicos protegidos: confidencialidad,
integridad y disponibilidad de los Datos y Sistemas
informáticos
►
Categorías delictivas
■ Acceso ilícito
■ Espionaje de datos
■ Intervención ilícita
■ Manipulación de datos
■ Ataques contra la integridad del sistema
Arquitectura de Ciberseguridad - Grupo UCyS
27
a) Acceso ilícito (pirateria de sistemas y
programas)
►Casos:
■
■
■
■
■
La irrupción en sitios web protegidos con contraseña
La burla de la protección de contraseña en un computador.
La utilización de equipos o programas para obtener una contraseña e irrumpir en el
sistema informático
La creación de sitios web "falsos" para lograr que el usuario revele su contraseña; y
La instalación por hardware y software de interceptores de teclado ("keyloggers
►Causas:
■
■
■
Protección inadecuada e incompleta de los sistemas informáticos
Aparición de herramientas informáticas automatizando los ataques
El uso creciente de los ordenadores privados
►Naturaleza:
equivalente al acceso ilícito a una propiedad
►Régimen
■
■
jurídico no uniforme:
Delito: El mero acceso
Delito: El acceso sólo cuando
● los sistemas accedidos están protegidos por medidas de seguridad; y/o
● el autor tiene malas intenciones; y/o
● se obtienen, modifican o dañan datos.
Arquitectura de Ciberseguridad - Grupo UCyS
28
b) Espionaje de datos
► Motivación:
el valor de la información confidencial y la capacidad de
acceder a la misma a distancia.
► Técnicas:
■
■
■
software para explorar los puertos desprotegidos;
software para burlar las medidas de protección; e
"ingeniería social".
► Protección
de datos: privados, comerciales y políticos
► Métodos:
■
■
acceder a sistemas informáticos o a un dispositivo de almacenamiento
y extraer la información; o
manipular a los usuarios para que revelen la información o los códigos
de acceso que permitan al delincuente acceder a la información.
► Normativa
Arquitectura de Ciberseguridad - Grupo UCyS
29
c) Intervención ilícita
► Casuística:
■
■
intervenir las comunicaciones entre usuarios (como mensajes e-mail),
interceptar transferencias de datos (cuando los usuarios suben datos a
los servidores web o acceden a medios de almacenamiento externos
por la web) con el fin de registrar el intercambio de información.
► Objetivo:
■
■
cualquier ...
infraestructura de comunicaciones (por ejemplo, líneas fijas o
inalámbricas) y
servicio Internet (por ejemplo, e-mail, charlas o comunicaciones VoIP).
► La
mayoría de los procesos de transferencia de datos entre proveedores de
infraestructura de Internet o proveedores de servicios Internet están
debidamente protegidos y son difíciles de intervenir. No obstante:
■ resultan vulnerables las comunicaciones inalámbricas
■ se pueden pinchar las comunicaciones en líneas fijas
Arquitectura de Ciberseguridad - Grupo UCyS
30
d) Manipulación de datos
► Los
datos informáticos son esenciales para los usuarios privados, las
empresas y las administraciones
► La
carencia de acceso a los datos puede causar daños (económicos)
considerables.
► Los
infractores pueden atentar contra la integridad de los datos de las
siguientes formas:
■ borrarlos; y/o
■ suprimirlos; y/o
■ alterarlos; y/o
■ restringir el acceso a los mismos.
► Método:
Los virus son un ejemplo común de supresión de datos que
han evolucionado y se ha generalizado su capacidad de infección por:
■ la manera en que los virus se distribuyen; y
■ los efectos.
Arquitectura de Ciberseguridad - Grupo UCyS
31
e) Ataques contra la integridad del sistema
► Categoría
autónoma: los ataques a los *sistemas informáticos suscitan las
mismas preocupaciones que los ataques a los *datos informáticos
agravada:
■ por su capacidad de generar grandes pérdidas económicas y
■ la posibilidad de realizar ataques físicos a los sistemas informáticos.
► Marco
■
■
■
general:
Penalmente, el daño físico es similar al clásico de daño o destrucción
de propiedad.
En el comercio electrónicos, las pérdidas económicas causadas a los
sistemas informáticos son mucho mayores que el costo de los
equipos informáticos.
Ejemplos de ataques a distancia contra sistemas informáticos son:
● gusanos informáticos; o
● ataques de denegación del servicio (DoS).
Arquitectura de Ciberseguridad - Grupo UCyS
32
B) Delitos relacionados con el contenido
► Objeto
► Diversidad
■
■
■
y complejidad normativas
qué es delito y donde es delito
qué bien jurídico prevalece
qué finalidad?
► Debate
ontológico
► Técnicas
de control: bloqueo de acceso o establecimiento de filtros
► Categorías:
■
■
■
■
■
■
■
■
Material erótico o pornográfico (salvo infantil )
Pornografía infantil
Racismo, lenguaje ofensivo, exaltación de la violencia
Delitos contra la religión
Juegos ilegales y juegos en línea
Difamación e información falsa
Correo basura y amenazas conexas
Otras formas de contenido ilícito
Arquitectura de Ciberseguridad - Grupo UCyS
33
a) Material erótico o pornográfico
►Ventajas
■
■
■
del comercio en internet:
Intercambio menos oneroso
Acceso mundial
Anonimato
►Comercialización:
■
■
■
sitios web,
sistemas de intercambio de ficheros;
salas de charla cerradas.
►Penalización
►Problemas
variable: general o sólo infantil
de la persecución: incriminación simple o doble.
Arquitectura de Ciberseguridad - Grupo UCyS
34
b) Pornografía infantil
►Penalización
generalizada: normativas
internacionales e internas
►Problema:
actividad lucrativa y anónima
►Problemas
■
■
en la investigación:
La utilización de divisas y pagos anónimos
La utilización de tecnología de cifrado
Arquitectura de Ciberseguridad - Grupo UCyS
35
c) Racismo, lenguaje ofensivo, exaltación de
la violencia
►Origen:
►La
grupos radicales y divulgación de propaganda
distribución por Internet ofrece varias ventajas:
■ los menores costes de distribución,
■ la utilización de equipos no especializados y
■ una audiencia mundial
►Régimen
■
■
jurídico:
Prohibición o
Libertad de expresión
►Penalización:
no uniforme
Arquitectura de Ciberseguridad - Grupo UCyS
36
d) Delitos contra la religión
►Facilidades
►Diversidad
►Debate:
de Internet
cultural, ideológica y religiosa
Libertad religiosa v. Libertad de expresión
►Divergencia
normativa
►Penalización
no uniforme
Arquitectura de Ciberseguridad - Grupo UCyS
37
e) Juegos ilegales y juegos en línea
►Ventajas
de Internet: Actividad en expansión y elusión de la
prohibición de juego
► Uso
■
■
■
con fines delictivos:
intercambio y presentación de pornografía infantil;
fraude;
casinos en línea.
►Ingresos
en concepto de juegos en línea: de 3 100 millones
USD en 2001 a 24 000 millones USD en 2010
►Régimen
jurídico no uniforme, divergencias y lagunas
legislativas
►Dificultad
de la persecución: Incriminación de los proveedores
de servicios financieros
Arquitectura de Ciberseguridad - Grupo UCyS
38
f) Difamación e información falsa
►Acciones
■
■
■
delictivas:
publicar información falsa (por ejemplo, sobre los rivales);
difamar (por ejemplo, escribir mensajes difamatorios o calumnias);
revelar información confidencial (por ejemplo, publicar secretos de
Estado o información comercial confidencial).
►La
difamación daña la reputación y la dignidad de las víctimas en un
grado considerable por varios motivos:
■ las declaraciones en línea son accesibles por la audiencia mundial;
el autor pierde el control de la información; y
■ aunque la información se corrija o se suprima, puede haber sido
duplicada ("en servidores espejo") y estar en manos de personas
que no desean retirarla o suprimirla.
►Equilibrio
entre libertad de expresión y protección de la víctimas
Arquitectura de Ciberseguridad - Grupo UCyS
39
g) Correo basura y amenazas conexas y h)
otras formas de contenido ilícito
►Correo
■
■
■
basura y amenazas conexas:
Actividad lucrativa con un coste mínimo
Técnicas de filtrado
Problema en los PVD
►Otras
formas de contenido ilícito: Internet se utiliza para ataques directos y como foro
para:
■ solicitar, ofrecer e incitar el crimen;
■ la venta ilegal de productos;
■ dar información e instrucciones para actos ilícitos (por ejemplo, sobre cómo
construir explosivos);
■ Eludir las normas sobre el comercio de diversos productos: médico,
farmacéutico, material militar.
►El
contrabando dificulta el control de ciertos productos restringidos en un territorio.
►Las
tiendas por la web situadas en países sin restricción alguna pueden vender
productos a clientes de otros países, menoscabando así esas limitaciones.
Arquitectura de Ciberseguridad - Grupo UCyS
40
C) Delitos en materia de derechos de autor y
de marcas
►Función
■
■
esencial de Internet:
la difusión de información
Las relaciones económicas y comerciales
►Hay
dos grandes categorías de problemas:
■ Los falsificadores: pueden utilizar la imagen de marca y
el diseño de una determinada empresa para
comercializar productos falsificados, copiar logotipos y
productos, y registrar su nombre de dominio
■ Las empresas distribuidoras por Internet: pueden tener
problemas de carácter jurídico con las violaciones de
los derechos de autor puesto que sus productos se
pueden teledescargar, copiar y distribuir.
Arquitectura de Ciberseguridad - Grupo UCyS
41
a) Delitos en materia de derechos
de autor
►Digitalización
de los productos, servicios y prestaciones
►Modalidades
■
■
de violación de derechos de autor:
intercambio, en sistemas de intercambio de
archivos, de programas informáticos, archivos y
temas musicales protegidos con derechos de
autor;
elusión de los sistemas de gestión de derechos en
el ámbito digital.
►Tráfico
►
entre tecnologías pares (P2P): más de 50%
Efectos económicos
Arquitectura de Ciberseguridad - Grupo UCyS
42
b) Delitos en materia de marcas
► Tipificación
no uniforme de las violaciones en materia de marcas.
► Los
delitos más graves son:
■ utilización de marcas en actividades delictivas con el propósito de engañar;
■ y, los delitos en materia de dominios y nombres.
► Violaciones
■
■
■
■
más frecuentes:
La utilización de nombres genéricos y marcas de forma fraudulenta en
numerosas actividades en las que se envían a los usuarios de Internet
millones de correos electrónicos similares a los de empresas legítimas
consignando su marca.
Los delitos en materia de dominios, por ejemplo la ciberocupación ilegal, que
describe el procedimiento ilegal de registrar un nombre de dominio idéntico o
similar al de la marca de un producto o de una empresa.
Las tentativas de vender el dominio a la empresa a un precio más elevado o
utilizarlo para vender productos o servicios engañando a los usuarios con su
supuesta conexión a la marca.
La "apropiación indebida de dominio" o registro de nombres de dominio que
han caducado accidentalmente.
Arquitectura de Ciberseguridad - Grupo UCyS
43
D) Delitos informáticos
►Fraude
y fraude informático
►Falsificación
►Robo
informática
de identidad
►Utilización
indebida de dispositivos
►Combinación
■
■
■
■
de delitos:
Ciberterrorismo
Ciberguerra
Ciberblanqueo de dinero
Peska
Arquitectura de Ciberseguridad - Grupo UCyS
44
a) Fraude y fraude informático
►Caracteres
►Tipificación:
►Distinción
entre fraude informático y fraude tradicional
►Los
fraudes más comunes son:
■ Subasta en línea:
● ofrecer mercancías no disponibles para la
venta y exigir su pago antes de la entrega; o
● adquirir mercancías y solicitar su envío, sin
intención de pagar por ellas.
■ Estafa nigeriana
Arquitectura de Ciberseguridad - Grupo UCyS
45
b) Falsificación informática
►Falsificación
informática: manipulación de
documentos digitales, por ejemplo:
■ crear un documento que parece provenir de una
institución fiable;
■ manipular imágenes electrónicas (por ejemplo,
imágenes aportadas como pruebas materiales
en los tribunales); o
■ alterar documentos.
►Ejemplo:
phishing
►Problema:
crecimiento de la documentación digital
Arquitectura de Ciberseguridad - Grupo UCyS
46
c) ROBO DE IDENTIDAD
►Concepto:
el acto delictivo de obtener y adoptar de forma
fraudulenta la identidad de otra persona.
►Etapas
■
■
■
diferentes:
Obtención de información relativa a la identidad mediante,
por ejemplo, programas informáticos dañinos o ataques
destinados a la peska.
Interacción con la información obtenida antes de utilizarla
en el marco de una actividad delictiva: venta
Utilización de la información relativa a la identidad en
relación con una actividad delictiva: robo/fraude.
►Métodos
►Datos
Arquitectura de Ciberseguridad - Grupo UCyS
47
d) UTILIZACIÓN INDEBIDA DE DISPOSITIVOS
►Objetivo:
la comisión de un delito
►Herramientas:
variedad y disponibilidad
►Ciberdelitos
■
■
■
■
más usuales:
cometer ataques por denegación de servicio (DoS);
diseñar virus informáticos;
desencriptar información; y
acceder en forma ilegal a sistemas informáticos
►Impacto:
■
■
aumento exponencial de la ciberdelincuencia por:
Accesibilidad
Anonimato
Arquitectura de Ciberseguridad - Grupo UCyS
48
Conclusiones
1) La cooperación internacional: una obligación y una
necesidad
2) Principios rectores:
■ COMPLEMENTARIEDAD,
■ SIMPLIFICACIÓN Y
■ TRANSPARENCIA
3) Uniformación/homogeneización normativa
Arquitectura de Ciberseguridad - Grupo UCyS
49
España: Normativas
►Esquema
Nacional de Seguridad (ENS, 5/2013) –
Directrices para la utilización eficiente de los recursos para
preservar la Seguridad Nacional.
■ Capítulo 3 – Ciberamenazas: líneas de acción:
● Incremento de la capacidad de prevención,
detección, investigación y respuesta.
● Garantía de los SIs de las AAPP
● Colaboración internacional
● Cultura de la Ciberseguridad para garantizar el
uso seguro de redes y sistemas de
información
Arquitectura de Ciberseguridad - Grupo UCyS
50
Normativas (ii)
►Estrategia
de Ciberseguridad Nacional (ECN, 2013)
– Modelo de Ciberseguridad integrado que garantice
la seguridad y progreso de España a través de la
coordinación de todas las administraciones públicas
entre sí, el sector privado y los ciudadanos,
canalizando las iniciativas y esfuerzos internacionales
en defensa del ciberespacio.
Arquitectura de Ciberseguridad - Grupo UCyS
51
España: Organismos
gubernamentales centráles
►
INCIBE – M. Industria, OARI*
►
CCN – M. Presidencia, OARIN
►
CNPIC – M. Interior, OARIN
►
RedIris – M. Industria, OAR
►
Unidad/Brigada de Delitos Telemáticos de la
Policia/Guardia Civil – M. Interior, OAR
►
Agencia Española de Protección de Datos – M. Justicia,
C (análisis y sansión de incidentes)
►
Mando Conjunto de Ciberdefensa – M. Defensa, OARN
* O=Operacional A=Análisis R=Respuesta de incidentes I=Relaciones internacionales
N= Normativa F=Asesoramiento y formación C=Regulador y autoridad de control
Arquitectura de Ciberseguridad - Grupo UCyS
52
España: organismos autonómicos
►
Unidades de Delitos Informáticos de los Mossos de
Escuadra y de la Ertzaintza - OAR
►
CSIRT-CV - OAR
►
CESICAT - OARF
►
CERT Andalucía - OAR
►
Agencias de Protección de Datos Catalana,
Comunidad de Madrid y del País Vasco - C
Arquitectura de Ciberseguridad - Grupo UCyS
53
INCIBE
►
El Instituto Nacional de Ciberseguridad es
responsable de gestionar a través de su CERT la
defensa del ciberespacio relacionado con las PYMES
españolas y los ciudadanos en su ámbito doméstico
Arquitectura de Ciberseguridad - Grupo UCyS
54
CCN
►El
Centro Criptológico Nacional, dependiente del CNI,
gestiona la seguridad del ciberespacio dependiente
de cualquiera de los tres niveles de las
administraciones públicas: estatal, autonómico y local.
►El
CNN-CERT es el centro de alerta nacional que
coopera con todas las administraciones públicas para
responder a los incidentes de seguridad.
Arquitectura de Ciberseguridad - Grupo UCyS
55
CNPIC
► El
Centro Nacional para la Protección de las Infraestructuras
Críticas impulsa, coordina y supervisa todas las actividades
relacionadas con la protección de infraestructuras críticas
fomentando la participación de todos los agentes del sistema
en sus correspondientes ámbitos competenciales.
► Infraestructura
Crítica (Ley 8/2011): las infraestructuras
estratégicas, es decir, aquellas que proporcionan servicios
esenciales cuyo funcionamiento es indispensable y no
permite soluciones alternativas, por lo que su perturbación o
destrucción tendría un grave impacto sobre los servicios
esenciales: alimentación, energía, financieras/tributarias,
agua, industria, salud, transporte, etc.
Arquitectura de Ciberseguridad - Grupo UCyS
56
CERT
► Se
denomina CERT (Computer Emergency Response Team) a un conjunto de medios y
personas responsables del desarrollo de medidas preventivas y reactivas ante
incidencias de seguridad en los sistemas de información. También denominados CSIRT
(Computer Security Incident Response Team).
► Servicios
■
■
■
■
■
■
preventivos:
Avisos de seguridad
Búsqueda de vulnerabilidades
Auditorías o evaluaciones de seguridad
Configuración y mantenimiento de herramientas de seguridad, aplicaciones e
infraestructuras
Desarrollo de herramientas de seguridad
Propagación de información relacionada con la seguridad
► Servicios
■
■
reactivos
Gestión de incidentes de seguridad (análisis, respuesta, soporte y coordinación de
incidentes de seguridad)
Gestión de vulnerabilidades (análisis, respuesta y coordinación de vulnerabilidades
detectadas)
Arquitectura de Ciberseguridad - Grupo UCyS
57
Gestión frente a ciberincidentes
Arquitectura de Ciberseguridad - Grupo UCyS
58
Sistemas de Alerta Temprana de
Internet (SAT)
►
Detección en tiempo real de las amenazas e incidentes
existentes en el tráfico de la red interna de un
Organismo e Internet (tráfico direccionamiento público).
►
El sistema normaliza la información recolectada por las
distintas fuentes.
►Los
eventos se consolidan y se centralizan en un único
sistema, revisándolos a través de una única consola.
►La
correlación avanzada permite detectar eventos
mucho más complejos que pudieran involucrar a
distintos organismos.
Arquitectura de Ciberseguridad - Grupo UCyS
59
Sistemas Alerta Temprana (SAT)
► Red
■
■
■
SARA:
Servicio para la Intranet Administrativa
Coordinado con MINHAP
49/54 áreas de concexión
► Sondas
■
■
■
de Salida de Internet AAPP:
Servicio por suscripción de Organismos
Despliegue de sensores
50 organismos / 60 sondas
► Sistema
■
■
■
Carmen:
Análisis de log perimetrales (proxy, …)
Búsqueda de anomalías de tráfico
6 sondas
Arquitectura de Ciberseguridad - Grupo UCyS
60
SAT de la Red SARA
►Sistema
de correlación de logs de la Red SARA
(Sistemas de Aplicaciones y Redes para las
Administraciones) que proporciona de forma continua
un índice de compromiso y emite alarmas antes
cualquier incidente.
►Detecta
de forma proactiva las anomalías y ataques
del tráfico entre ministerios y organismos
►
Dado el volumen de tráfico las alertas se clasifican en
niveles de criticidad.
Arquitectura de Ciberseguridad - Grupo UCyS
61
SAT-SARA: Arquitectura
Arquitectura de Ciberseguridad - Grupo UCyS
62
Calsificación de los incidentes
►APT
con exfiltración de
información
Crítico
►DDoS
►Ataques
dirigidos
►DoS
►Código
Muy alto
Dañino específico
►Mayoría
de incidentes
►Ataques
externos sin
consecuencias
►Código
Bajo / Medio / Alto
dañino genérico
Arquitectura de Ciberseguridad - Grupo UCyS
63
Sonda de Internet: elementos
►Consta:
■
■
Sonda individual – servidor dedicado de alto rendimiento
con herramientas de detección y monitorización (snort,
arpwatch, ntop, p0f, etc.). Dos interfaces de red:
● Interfaz de análisis – sin IP, lee trafico relevante de
salida o zona DMZ. Corre agente SIE OSSIM para
depuración/envío eventos.
● Interfaz de gestión – conecta con el sistema central
(túnel OpenVPN)
Sistema central – correlación entre eventos y dominios,
notificación al organismo. Consta de servidor en tiempo
real, portal web de informes y consola de visualización
Arquitectura de Ciberseguridad - Grupo UCyS
64
Sondas de Internet: aquitectura
Arquitectura de Ciberseguridad - Grupo UCyS
65
Sonda de Internet
►Clasificación
y porcentaje de incidentes notificados:
Arquitectura de Ciberseguridad - Grupo UCyS
66
SAT Carmen
►
El Centro de Análisis de Registros y Minería de
Eventos Nacionales es una herramienta desarrollada
por el CCN-CERT que permite el análisis en tiempo
real de diversas fuentes de logs.
►
Objetivo: Búsqueda de APT
►Basado
en diversos modelos matemáticos, utiliza
minería de datos.
►
Realiza: histogramas de conexiones, bytes
transmitidos, duración conexiones.
Arquitectura de Ciberseguridad - Grupo UCyS
67
Incidentes por sistema y año
Arquitectura de Ciberseguridad - Grupo UCyS
68
Estadísticas incidentes
gestionados por CCN-CERT
Arquitectura de Ciberseguridad - Grupo UCyS
69
¡ Gracias por su atención !
Arquitectura de Ciberseguridad - Grupo UCyS
70
Arquitectura de ciberseguridad:
Normativa y seguridad en sistemas
José Ant. Gómez y Margarita Robles
Grupo UCyS
Universidad de Granada – 30 de abril de 2015
1
Sumario
►
El estado de la ciberseguridad
►
La ciberseguridad: un fenómeno multidimensional
►
El desafío cibernético
►
La arquitectura Jurídica de la ciberseguridad:
■ Caracteres de la cooperación internacional
■ Estructura de cooperación
■ Articulación normativa
Arquitectura de Ciberseguridad - Grupo UCyS
2
I. El estado de la ciberseguridad
►
Caso Estonia (2007)
►
Caso Georgia (2008)
►
Caso Stuxnet-Irán (2010)
►
Caso Bin Laden (2011)
Arquitectura de Ciberseguridad - Grupo UCyS
3
1. ESTONIA 2007: UN ACTO DE AGRESIÓN?
►
Contexto fáctico: la historia del Soldado de Bronce
►
Naturaleza y objetivos del ciberataque
►
Motivos
►
Respuesta técnica
►
Respuesta política
►
Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS
4
2. Georgia 2008: El uso combinado del
ataque cinético y cibernético
►
Contexto fáctico: una situación de conflicto armado
►
Naturaleza y objetivos del ciberataque
►
Respuesta técnica
►
Respuesta política
►
Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS
5
3. El ciberataque: una alternativa?
a) Caso Stuxnet/irán (2010)
■
■
■
Contexto: la amenaza nuclear
Caracteres del ciberataque
Conclusiones
b) Caso Bin Laden (2011)
■
■
■
Contexto: la amenaza terrorista
Caracteres del ciberataque
Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS
6
II. Ciberseguridad: un fenómeno
multidimensional
1. Una cuestión de seguridad internacional
2. Un desafío para el modelo económico,
financiero y comercial
3. Un reto para las tradiciones y sistemas y
socio-políticos y culturales
4. Un problema jurídico y un problema real
Arquitectura de Ciberseguridad - Grupo UCyS
7
1. Un “nuevo“ paradigma económico: la
economía del conocimiento
► Modelo
económico: historia y crisis
► Volumen
■
■
de negocio
el mercado mundial va a pasar de los 68.000 millones de
dólares en 2013 a los 120.000 millones en 2020
en 2020 estarán interconectados 6.000 millones de usuarios y
25.000 millones de máquinas.
► Cifras
■
■
■
en el ciberespacio:
Más de 2.300 millones de suscripciones móviles de banda ancha
a finales de 2014.
Más de 3.000 millones de usuarios de Internet (+ 40% de la
población mundial)
Más de 5.000 millones de dispositivos conectados. Se esperan
25.000 millones para 2020.
Arquitectura de Ciberseguridad - Grupo UCyS
8
2. Un “nuevo” contexto socio-político y
cultural: la sociedad del conocimiento
► Internet
■
■
■
■
en cifras:
14,3 billones de páginas web
672.000.000.000 Gigabytes de información accesible (672
exabytes)
43.639 Petabytes de trafico al año (2013)
1 Yottabyte=10^24 bytes de datos almacenados
► Preocupación
■
■
■
■
de los usuarios europeos de Internet (Eurostat, 2014):
89% evitan publicar información personal en Internet
85% consideran que el riesgo de ser víctima del cibercrimen está
aumentando
73% temen que su información personal no sea guardada de
manera segura por las páginas web
67% temen que su información personal no sea guardada de
manera segura por las administraciones públicas
Arquitectura de Ciberseguridad - Grupo UCyS
9
3. Un “nuevo” contexto jurídico
► 3/4
cuartas partes de las actividades ilegítimas cometidas en el
ciberespacio corresponden a alguna variante de cibercrimen
► La
ciberdelincuencia es la actividad criminal con mayor crecimiento (casi
175% anual).
► Los
ciberataques aumentan en: número, impacto, complejidad,
diversificación de objetivos y alcance.
► El
coste del cibercrimen supera anualmente:
■ Los 400.000 millones de dólares
■ Más de 400 millones de víctimas al año (un millón y medio al día)
■ Un número de incidentes que ronda los 40 millones anuales.
► Modelo
de crecimiento: cuanto mayor es la organización, mayor es el
coste de un incidente, disparándose un 25% para las para las medianas
empresas o un espectacular 52% para las grandes compañías a lo largo
de 2014.
Arquitectura de Ciberseguridad - Grupo UCyS
10
4. Una “nueva” realidad: España en datos
► Pérdidas
anuales por robo de datos: superan los 500 millones €
► Memoria
de la Fiscalía General del Estado: aumento de las
estafas informáticas de un 60% (más de 9.000 procedimientos)
► Negocio
■
■
del sector de soluciones frente a la ciberdelincuencia:
Supera los 150 millones de euros en España.
Mercado controlado por:
● Ciertas empresas: Telefónica, Indra, Unitronics, Nextel,
Dimension Data, HP, IBM ,
● Grupos: Sia, Cisco, Checkpoint, Fortinet, Paloalto
Networks, S21Sec y
● Gigantes de los antivirus
● Las big four: Deloitte, PwC, KPMG y EY.
Arquitectura de Ciberseguridad - Grupo UCyS
11
ESPAÑA EN DATOS
►Diariamente:
■
■
■
se identifican 160.000 webs que tienen puntos débiles de
seguridad;
más de 320.000 direcciones IP registran actividad maliciosa
En 2014: la Policía registró en 2014 hasta 70.000 ataques en
España
►Naturaleza
de las incidencias
►Incidentes
■
■
más habituales:
accesos no autorizados a información confidencial (un 37%
de los casos) y
fraudes tipo phishing (suplantación de identidad para robar
datos o información personal como números de tarjetas de
crédito, contraseñas o datos de cuentas bancarias).
Arquitectura de Ciberseguridad - Grupo UCyS
12
España en datos
►Informes
■
■
■
■
■
■
■
►El
oficiales: Acceso no autorizado: 37,94%
Fraude: 23, 90 %
Virus, troyanos, gusanos y Spyware: 9,76%
Spam: 5, 62%
Denegación de Servicio: 4,41 %
Escaneos en la Red: 2,38 %
Robo de información: 0,45 %
Otros: 15,55%
Dilema del Iceberg
Arquitectura de Ciberseguridad - Grupo UCyS
13
III. El desafío cibérnetico
► Quienes
■
■
■
son sus destinatarios?
Instituciones
Usuarios
Profesiones
► Cuáles
■
■
son los motivos?:
Cambios en los parámetros clásicos de organización política:
● La superación del marco estatal y
● La definición de la competencia territorial
Cambios en los parámetros tradicionales de organización
jurídica:
● El marco de aplicación de la legislación y
● El ámbito de ejercicio de la jurisdicción
Arquitectura de Ciberseguridad - Grupo UCyS
14
Interrogantes
►
Qué normativa o normativas debo respetar?
►
Qué instituciones o agencias me pueden investigar?
►
Qué órgano u órganos me pueden enjuiciar?
►
Qué responsabilidad o responsabilidades me
pueden exigir?
►
Cómo puedo saber si, cómo, cuando y porqué he
superado el margen de la legalidad?
Arquitectura de Ciberseguridad - Grupo UCyS
15
1. El Ciberespacio: una realidad diferente
►Escenario
estratégico, operacional y táctico.
►Dominio
prácticamente infinito e integrado en los otros
dominios: tierra, mar, aire y espacio.
►Naturaleza
artificial.
►Ritmo
■
■
y velocidad de evolución mayor
por su propia capacidad de expansión debida a la
tecnología y
por su propia capilaridad en relación con el
espacio físico
►Disponibilidad
de medios
Arquitectura de Ciberseguridad - Grupo UCyS
16
2. El Ciberespacio: una criminalidad diferente
►
Caracteres de la criminalidad cibernética:
■ Fenómeno de la era informática
■ Parámetros nuevos de comprensión de la relación
criminal
■ Especificidad del delito
■ Transnacionalización de la delincuencia
►Tipos:
■
■
■
Ciberataques puros
Ciberataques réplica
Ciberataques de contenido
Arquitectura de Ciberseguridad - Grupo UCyS
17
3. La ciberdelincuencia: la calificación jurídica
►
Categorías genéricas:
■ Ciberdelito
■ Cibercrimen
■ Ciberespionaje
■ Ciberterrorismo
■ Ciberguerra
►
La cuestión del sujeto
►
La relevancia de la intención
►
La determinación de los efectos
Arquitectura de Ciberseguridad - Grupo UCyS
18
IV. La arquitectura jurídica del Ciberespacio
►La
calificación de las acciones/ataques
►La
determinación de la normativa aplicable
►La
definición de la jurisdicción competente
►La
interacción internacional/nacional
■ Caracteres de la cooperación (I)
■ Pluralidad de estructuras
internas/internacionales (II)
■ Pluralidad de normas: acumulación y
diversificación de derechos y obligaciones (III)
Arquitectura de Ciberseguridad - Grupo UCyS
19
1. CARACTERES DE LA COOPERACIÓN
INTERNACIONAL
►
Una aproximación internacional:
■ estructuralmente fragmentaria y
■ funcionalmente especializada
►
Un proceso de afganización del ciberespacio
►
Una superposición de estructuras:
■ universales y regionales
■ formales e informales
Arquitectura de Ciberseguridad - Grupo UCyS
20
2. ESTRUCTURAS DE COOPERACIÓN
INTERNACIONAL
► UNIVERSALES:
■
■
■
■
■
ONU
Unión Internacional de
Telecomunicaciones (ITU)
International Standards
Organisation (ISO)
OMC
Organismos especializados
►REGIONALES:
■
■
■
■
OEA
UA
CONSEJO DE EUROPA
UNIÓN EUROPEA
► INTERREGIONALES:
■
■
■
■
■
OCDE
APEC
COMMONWEALTH
OSCE
OTAN
Arquitectura de Ciberseguridad - Grupo UCyS
21
La ONU: objetivos y funciones
► Lucha
■
■
■
■
contra la delincuencia informática
Resoluciones de la AGNU
UNODC: Oficina de la ONU para las drogas y el crimen
Congresos Mundiales sobre Prevención del Delito y Justicia Penal
Convención contra la Delincuencia Organizada
► Impulso
de la sociedad de la información: Cumbres Mundiales de la
Sociedad de la Información (CMSI)
■ Ginebra 2003: Declaración de Principios Construir la Sociedad de
la Información: un desafío global para el nuevo milenio y Plan
de Acción de Ginebra
■ Túnez 2005: Compromiso de Túnez y Agenda de Túnez para la
Sociedad de la Información
■ Agenda de la Solidaridad Digital
Arquitectura de Ciberseguridad - Grupo UCyS
22
LA ITU: objetivos y funciones
► Organismo
► Origen,
especializado de las Naciones Unidas para las TICs
evolución y estructura
► Composición:
193 países miembros y más de 700 entidades del
sector privado e instituciones académicas.
► Sede
en Ginebra (Suiza) y 12 oficinas regionales y de zona en todo
el mundo
► Agenda
de Ciberseguridad Global: siete objetivos estratégicos
principales basados en cinco áreas de trabajo siguientes:
■ Medidas legales;
■ Medidas técnicas y de procedimiento;
■ Estructuras institucionales;
■ Creación de capacidades y
■ Cooperación internacional
Arquitectura de Ciberseguridad - Grupo UCyS
23
Estructuras interregionales
► OCDE:
■
■
■
Armonización del derecho penal contra el ciberdelito
Directrices de seguridad de los sistemas y redes de
información
Principios complementarios
► OSCE:
■
■
Aproximación Omnicomprensiva a la Seguridad Cibernética
Medidas de Fomento de la Confianza y Medidas de Fomento
de la Confianza y la Seguridad:
► APEC
► Commonwealth
► Consejo
de Cooperación del Golfo
►OTAN
Arquitectura de Ciberseguridad - Grupo UCyS
24
Estructuras regionales
► OEA
► UA
► UNIÓN
■
■
■
EUROPEA
Lucha contra la ciberdelincuencia
Sociedad de la información
Protección de datos
► CONSEJO
■
■
DE EUROPA:
Objetivos: Protección de datos, lucha contra la ciberdelincuencia
Instrumentos.
● Convenio sobre la Ciberdelincuencia (2001)
● Protocolo Adicional del Convenio sobre la Ciberdelincuencia, relativo
a la penalización de los actos de naturaleza racista y xenófoba
cometidos por medio de sistemas informáticos (2003).
● Convenio del Consejo de Europa para la protección de los niños
contra la explotación y el abuso sexual.
Arquitectura de Ciberseguridad - Grupo UCyS
25
3. Articulación normativa
►
Tipología de infracciones:
■ Delitos contra la confidencialidad, la integridad y la
disponibilidad de los datos y sistemas informáticos;
■ Delitos informáticos;
■ Delitos relacionados con el contenido; y
■ Delitos relacionados con infracciones de la propiedad
intelectual y de los derechos afines.
►
Esta clasificación no es totalmente coherente por dos
motivos:
■ No se basa en un sólo criterio
■ Algunas acciones pueden pertenecer a varias
categorías
Arquitectura de Ciberseguridad - Grupo UCyS
26
A) Delitos contra la C-I-D
►
Bienes jurídicos protegidos: confidencialidad,
integridad y disponibilidad de los Datos y Sistemas
informáticos
►
Categorías delictivas
■ Acceso ilícito
■ Espionaje de datos
■ Intervención ilícita
■ Manipulación de datos
■ Ataques contra la integridad del sistema
Arquitectura de Ciberseguridad - Grupo UCyS
27
a) Acceso ilícito (pirateria de sistemas y
programas)
►Casos:
■
■
■
■
■
La irrupción en sitios web protegidos con contraseña
La burla de la protección de contraseña en un computador.
La utilización de equipos o programas para obtener una contraseña e irrumpir en el
sistema informático
La creación de sitios web "falsos" para lograr que el usuario revele su contraseña; y
La instalación por hardware y software de interceptores de teclado ("keyloggers
►Causas:
■
■
■
Protección inadecuada e incompleta de los sistemas informáticos
Aparición de herramientas informáticas automatizando los ataques
El uso creciente de los ordenadores privados
►Naturaleza:
equivalente al acceso ilícito a una propiedad
►Régimen
■
■
jurídico no uniforme:
Delito: El mero acceso
Delito: El acceso sólo cuando
● los sistemas accedidos están protegidos por medidas de seguridad; y/o
● el autor tiene malas intenciones; y/o
● se obtienen, modifican o dañan datos.
Arquitectura de Ciberseguridad - Grupo UCyS
28
b) Espionaje de datos
► Motivación:
el valor de la información confidencial y la capacidad de
acceder a la misma a distancia.
► Técnicas:
■
■
■
software para explorar los puertos desprotegidos;
software para burlar las medidas de protección; e
"ingeniería social".
► Protección
de datos: privados, comerciales y políticos
► Métodos:
■
■
acceder a sistemas informáticos o a un dispositivo de almacenamiento
y extraer la información; o
manipular a los usuarios para que revelen la información o los códigos
de acceso que permitan al delincuente acceder a la información.
► Normativa
Arquitectura de Ciberseguridad - Grupo UCyS
29
c) Intervención ilícita
► Casuística:
■
■
intervenir las comunicaciones entre usuarios (como mensajes e-mail),
interceptar transferencias de datos (cuando los usuarios suben datos a
los servidores web o acceden a medios de almacenamiento externos
por la web) con el fin de registrar el intercambio de información.
► Objetivo:
■
■
cualquier ...
infraestructura de comunicaciones (por ejemplo, líneas fijas o
inalámbricas) y
servicio Internet (por ejemplo, e-mail, charlas o comunicaciones VoIP).
► La
mayoría de los procesos de transferencia de datos entre proveedores de
infraestructura de Internet o proveedores de servicios Internet están
debidamente protegidos y son difíciles de intervenir. No obstante:
■ resultan vulnerables las comunicaciones inalámbricas
■ se pueden pinchar las comunicaciones en líneas fijas
Arquitectura de Ciberseguridad - Grupo UCyS
30
d) Manipulación de datos
► Los
datos informáticos son esenciales para los usuarios privados, las
empresas y las administraciones
► La
carencia de acceso a los datos puede causar daños (económicos)
considerables.
► Los
infractores pueden atentar contra la integridad de los datos de las
siguientes formas:
■ borrarlos; y/o
■ suprimirlos; y/o
■ alterarlos; y/o
■ restringir el acceso a los mismos.
► Método:
Los virus son un ejemplo común de supresión de datos que
han evolucionado y se ha generalizado su capacidad de infección por:
■ la manera en que los virus se distribuyen; y
■ los efectos.
Arquitectura de Ciberseguridad - Grupo UCyS
31
e) Ataques contra la integridad del sistema
► Categoría
autónoma: los ataques a los *sistemas informáticos suscitan las
mismas preocupaciones que los ataques a los *datos informáticos
agravada:
■ por su capacidad de generar grandes pérdidas económicas y
■ la posibilidad de realizar ataques físicos a los sistemas informáticos.
► Marco
■
■
■
general:
Penalmente, el daño físico es similar al clásico de daño o destrucción
de propiedad.
En el comercio electrónicos, las pérdidas económicas causadas a los
sistemas informáticos son mucho mayores que el costo de los
equipos informáticos.
Ejemplos de ataques a distancia contra sistemas informáticos son:
● gusanos informáticos; o
● ataques de denegación del servicio (DoS).
Arquitectura de Ciberseguridad - Grupo UCyS
32
B) Delitos relacionados con el contenido
► Objeto
► Diversidad
■
■
■
y complejidad normativas
qué es delito y donde es delito
qué bien jurídico prevalece
qué finalidad?
► Debate
ontológico
► Técnicas
de control: bloqueo de acceso o establecimiento de filtros
► Categorías:
■
■
■
■
■
■
■
■
Material erótico o pornográfico (salvo infantil )
Pornografía infantil
Racismo, lenguaje ofensivo, exaltación de la violencia
Delitos contra la religión
Juegos ilegales y juegos en línea
Difamación e información falsa
Correo basura y amenazas conexas
Otras formas de contenido ilícito
Arquitectura de Ciberseguridad - Grupo UCyS
33
a) Material erótico o pornográfico
►Ventajas
■
■
■
del comercio en internet:
Intercambio menos oneroso
Acceso mundial
Anonimato
►Comercialización:
■
■
■
sitios web,
sistemas de intercambio de ficheros;
salas de charla cerradas.
►Penalización
►Problemas
variable: general o sólo infantil
de la persecución: incriminación simple o doble.
Arquitectura de Ciberseguridad - Grupo UCyS
34
b) Pornografía infantil
►Penalización
generalizada: normativas
internacionales e internas
►Problema:
actividad lucrativa y anónima
►Problemas
■
■
en la investigación:
La utilización de divisas y pagos anónimos
La utilización de tecnología de cifrado
Arquitectura de Ciberseguridad - Grupo UCyS
35
c) Racismo, lenguaje ofensivo, exaltación de
la violencia
►Origen:
►La
grupos radicales y divulgación de propaganda
distribución por Internet ofrece varias ventajas:
■ los menores costes de distribución,
■ la utilización de equipos no especializados y
■ una audiencia mundial
►Régimen
■
■
jurídico:
Prohibición o
Libertad de expresión
►Penalización:
no uniforme
Arquitectura de Ciberseguridad - Grupo UCyS
36
d) Delitos contra la religión
►Facilidades
►Diversidad
►Debate:
de Internet
cultural, ideológica y religiosa
Libertad religiosa v. Libertad de expresión
►Divergencia
normativa
►Penalización
no uniforme
Arquitectura de Ciberseguridad - Grupo UCyS
37
e) Juegos ilegales y juegos en línea
►Ventajas
de Internet: Actividad en expansión y elusión de la
prohibición de juego
► Uso
■
■
■
con fines delictivos:
intercambio y presentación de pornografía infantil;
fraude;
casinos en línea.
►Ingresos
en concepto de juegos en línea: de 3 100 millones
USD en 2001 a 24 000 millones USD en 2010
►Régimen
jurídico no uniforme, divergencias y lagunas
legislativas
►Dificultad
de la persecución: Incriminación de los proveedores
de servicios financieros
Arquitectura de Ciberseguridad - Grupo UCyS
38
f) Difamación e información falsa
►Acciones
■
■
■
delictivas:
publicar información falsa (por ejemplo, sobre los rivales);
difamar (por ejemplo, escribir mensajes difamatorios o calumnias);
revelar información confidencial (por ejemplo, publicar secretos de
Estado o información comercial confidencial).
►La
difamación daña la reputación y la dignidad de las víctimas en un
grado considerable por varios motivos:
■ las declaraciones en línea son accesibles por la audiencia mundial;
el autor pierde el control de la información; y
■ aunque la información se corrija o se suprima, puede haber sido
duplicada ("en servidores espejo") y estar en manos de personas
que no desean retirarla o suprimirla.
►Equilibrio
entre libertad de expresión y protección de la víctimas
Arquitectura de Ciberseguridad - Grupo UCyS
39
g) Correo basura y amenazas conexas y h)
otras formas de contenido ilícito
►Correo
■
■
■
basura y amenazas conexas:
Actividad lucrativa con un coste mínimo
Técnicas de filtrado
Problema en los PVD
►Otras
formas de contenido ilícito: Internet se utiliza para ataques directos y como foro
para:
■ solicitar, ofrecer e incitar el crimen;
■ la venta ilegal de productos;
■ dar información e instrucciones para actos ilícitos (por ejemplo, sobre cómo
construir explosivos);
■ Eludir las normas sobre el comercio de diversos productos: médico,
farmacéutico, material militar.
►El
contrabando dificulta el control de ciertos productos restringidos en un territorio.
►Las
tiendas por la web situadas en países sin restricción alguna pueden vender
productos a clientes de otros países, menoscabando así esas limitaciones.
Arquitectura de Ciberseguridad - Grupo UCyS
40
C) Delitos en materia de derechos de autor y
de marcas
►Función
■
■
esencial de Internet:
la difusión de información
Las relaciones económicas y comerciales
►Hay
dos grandes categorías de problemas:
■ Los falsificadores: pueden utilizar la imagen de marca y
el diseño de una determinada empresa para
comercializar productos falsificados, copiar logotipos y
productos, y registrar su nombre de dominio
■ Las empresas distribuidoras por Internet: pueden tener
problemas de carácter jurídico con las violaciones de
los derechos de autor puesto que sus productos se
pueden teledescargar, copiar y distribuir.
Arquitectura de Ciberseguridad - Grupo UCyS
41
a) Delitos en materia de derechos
de autor
►Digitalización
de los productos, servicios y prestaciones
►Modalidades
■
■
de violación de derechos de autor:
intercambio, en sistemas de intercambio de
archivos, de programas informáticos, archivos y
temas musicales protegidos con derechos de
autor;
elusión de los sistemas de gestión de derechos en
el ámbito digital.
►Tráfico
►
entre tecnologías pares (P2P): más de 50%
Efectos económicos
Arquitectura de Ciberseguridad - Grupo UCyS
42
b) Delitos en materia de marcas
► Tipificación
no uniforme de las violaciones en materia de marcas.
► Los
delitos más graves son:
■ utilización de marcas en actividades delictivas con el propósito de engañar;
■ y, los delitos en materia de dominios y nombres.
► Violaciones
■
■
■
■
más frecuentes:
La utilización de nombres genéricos y marcas de forma fraudulenta en
numerosas actividades en las que se envían a los usuarios de Internet
millones de correos electrónicos similares a los de empresas legítimas
consignando su marca.
Los delitos en materia de dominios, por ejemplo la ciberocupación ilegal, que
describe el procedimiento ilegal de registrar un nombre de dominio idéntico o
similar al de la marca de un producto o de una empresa.
Las tentativas de vender el dominio a la empresa a un precio más elevado o
utilizarlo para vender productos o servicios engañando a los usuarios con su
supuesta conexión a la marca.
La "apropiación indebida de dominio" o registro de nombres de dominio que
han caducado accidentalmente.
Arquitectura de Ciberseguridad - Grupo UCyS
43
D) Delitos informáticos
►Fraude
y fraude informático
►Falsificación
►Robo
informática
de identidad
►Utilización
indebida de dispositivos
►Combinación
■
■
■
■
de delitos:
Ciberterrorismo
Ciberguerra
Ciberblanqueo de dinero
Peska
Arquitectura de Ciberseguridad - Grupo UCyS
44
a) Fraude y fraude informático
►Caracteres
►Tipificación:
►Distinción
entre fraude informático y fraude tradicional
►Los
fraudes más comunes son:
■ Subasta en línea:
● ofrecer mercancías no disponibles para la
venta y exigir su pago antes de la entrega; o
● adquirir mercancías y solicitar su envío, sin
intención de pagar por ellas.
■ Estafa nigeriana
Arquitectura de Ciberseguridad - Grupo UCyS
45
b) Falsificación informática
►Falsificación
informática: manipulación de
documentos digitales, por ejemplo:
■ crear un documento que parece provenir de una
institución fiable;
■ manipular imágenes electrónicas (por ejemplo,
imágenes aportadas como pruebas materiales
en los tribunales); o
■ alterar documentos.
►Ejemplo:
phishing
►Problema:
crecimiento de la documentación digital
Arquitectura de Ciberseguridad - Grupo UCyS
46
c) ROBO DE IDENTIDAD
►Concepto:
el acto delictivo de obtener y adoptar de forma
fraudulenta la identidad de otra persona.
►Etapas
■
■
■
diferentes:
Obtención de información relativa a la identidad mediante,
por ejemplo, programas informáticos dañinos o ataques
destinados a la peska.
Interacción con la información obtenida antes de utilizarla
en el marco de una actividad delictiva: venta
Utilización de la información relativa a la identidad en
relación con una actividad delictiva: robo/fraude.
►Métodos
►Datos
Arquitectura de Ciberseguridad - Grupo UCyS
47
d) UTILIZACIÓN INDEBIDA DE DISPOSITIVOS
►Objetivo:
la comisión de un delito
►Herramientas:
variedad y disponibilidad
►Ciberdelitos
■
■
■
■
más usuales:
cometer ataques por denegación de servicio (DoS);
diseñar virus informáticos;
desencriptar información; y
acceder en forma ilegal a sistemas informáticos
►Impacto:
■
■
aumento exponencial de la ciberdelincuencia por:
Accesibilidad
Anonimato
Arquitectura de Ciberseguridad - Grupo UCyS
48
Conclusiones
1) La cooperación internacional: una obligación y una
necesidad
2) Principios rectores:
■ COMPLEMENTARIEDAD,
■ SIMPLIFICACIÓN Y
■ TRANSPARENCIA
3) Uniformación/homogeneización normativa
Arquitectura de Ciberseguridad - Grupo UCyS
49
España: Normativas
►Esquema
Nacional de Seguridad (ENS, 5/2013) –
Directrices para la utilización eficiente de los recursos para
preservar la Seguridad Nacional.
■ Capítulo 3 – Ciberamenazas: líneas de acción:
● Incremento de la capacidad de prevención,
detección, investigación y respuesta.
● Garantía de los SIs de las AAPP
● Colaboración internacional
● Cultura de la Ciberseguridad para garantizar el
uso seguro de redes y sistemas de
información
Arquitectura de Ciberseguridad - Grupo UCyS
50
Normativas (ii)
►Estrategia
de Ciberseguridad Nacional (ECN, 2013)
– Modelo de Ciberseguridad integrado que garantice
la seguridad y progreso de España a través de la
coordinación de todas las administraciones públicas
entre sí, el sector privado y los ciudadanos,
canalizando las iniciativas y esfuerzos internacionales
en defensa del ciberespacio.
Arquitectura de Ciberseguridad - Grupo UCyS
51
España: Organismos
gubernamentales centráles
►
INCIBE – M. Industria, OARI*
►
CCN – M. Presidencia, OARIN
►
CNPIC – M. Interior, OARIN
►
RedIris – M. Industria, OAR
►
Unidad/Brigada de Delitos Telemáticos de la
Policia/Guardia Civil – M. Interior, OAR
►
Agencia Española de Protección de Datos – M. Justicia,
C (análisis y sansión de incidentes)
►
Mando Conjunto de Ciberdefensa – M. Defensa, OARN
* O=Operacional A=Análisis R=Respuesta de incidentes I=Relaciones internacionales
N= Normativa F=Asesoramiento y formación C=Regulador y autoridad de control
Arquitectura de Ciberseguridad - Grupo UCyS
52
España: organismos autonómicos
►
Unidades de Delitos Informáticos de los Mossos de
Escuadra y de la Ertzaintza - OAR
►
CSIRT-CV - OAR
►
CESICAT - OARF
►
CERT Andalucía - OAR
►
Agencias de Protección de Datos Catalana,
Comunidad de Madrid y del País Vasco - C
Arquitectura de Ciberseguridad - Grupo UCyS
53
INCIBE
►
El Instituto Nacional de Ciberseguridad es
responsable de gestionar a través de su CERT la
defensa del ciberespacio relacionado con las PYMES
españolas y los ciudadanos en su ámbito doméstico
Arquitectura de Ciberseguridad - Grupo UCyS
54
CCN
►El
Centro Criptológico Nacional, dependiente del CNI,
gestiona la seguridad del ciberespacio dependiente
de cualquiera de los tres niveles de las
administraciones públicas: estatal, autonómico y local.
►El
CNN-CERT es el centro de alerta nacional que
coopera con todas las administraciones públicas para
responder a los incidentes de seguridad.
Arquitectura de Ciberseguridad - Grupo UCyS
55
CNPIC
► El
Centro Nacional para la Protección de las Infraestructuras
Críticas impulsa, coordina y supervisa todas las actividades
relacionadas con la protección de infraestructuras críticas
fomentando la participación de todos los agentes del sistema
en sus correspondientes ámbitos competenciales.
► Infraestructura
Crítica (Ley 8/2011): las infraestructuras
estratégicas, es decir, aquellas que proporcionan servicios
esenciales cuyo funcionamiento es indispensable y no
permite soluciones alternativas, por lo que su perturbación o
destrucción tendría un grave impacto sobre los servicios
esenciales: alimentación, energía, financieras/tributarias,
agua, industria, salud, transporte, etc.
Arquitectura de Ciberseguridad - Grupo UCyS
56
CERT
► Se
denomina CERT (Computer Emergency Response Team) a un conjunto de medios y
personas responsables del desarrollo de medidas preventivas y reactivas ante
incidencias de seguridad en los sistemas de información. También denominados CSIRT
(Computer Security Incident Response Team).
► Servicios
■
■
■
■
■
■
preventivos:
Avisos de seguridad
Búsqueda de vulnerabilidades
Auditorías o evaluaciones de seguridad
Configuración y mantenimiento de herramientas de seguridad, aplicaciones e
infraestructuras
Desarrollo de herramientas de seguridad
Propagación de información relacionada con la seguridad
► Servicios
■
■
reactivos
Gestión de incidentes de seguridad (análisis, respuesta, soporte y coordinación de
incidentes de seguridad)
Gestión de vulnerabilidades (análisis, respuesta y coordinación de vulnerabilidades
detectadas)
Arquitectura de Ciberseguridad - Grupo UCyS
57
Gestión frente a ciberincidentes
Arquitectura de Ciberseguridad - Grupo UCyS
58
Sistemas de Alerta Temprana de
Internet (SAT)
►
Detección en tiempo real de las amenazas e incidentes
existentes en el tráfico de la red interna de un
Organismo e Internet (tráfico direccionamiento público).
►
El sistema normaliza la información recolectada por las
distintas fuentes.
►Los
eventos se consolidan y se centralizan en un único
sistema, revisándolos a través de una única consola.
►La
correlación avanzada permite detectar eventos
mucho más complejos que pudieran involucrar a
distintos organismos.
Arquitectura de Ciberseguridad - Grupo UCyS
59
Sistemas Alerta Temprana (SAT)
► Red
■
■
■
SARA:
Servicio para la Intranet Administrativa
Coordinado con MINHAP
49/54 áreas de concexión
► Sondas
■
■
■
de Salida de Internet AAPP:
Servicio por suscripción de Organismos
Despliegue de sensores
50 organismos / 60 sondas
► Sistema
■
■
■
Carmen:
Análisis de log perimetrales (proxy, …)
Búsqueda de anomalías de tráfico
6 sondas
Arquitectura de Ciberseguridad - Grupo UCyS
60
SAT de la Red SARA
►Sistema
de correlación de logs de la Red SARA
(Sistemas de Aplicaciones y Redes para las
Administraciones) que proporciona de forma continua
un índice de compromiso y emite alarmas antes
cualquier incidente.
►Detecta
de forma proactiva las anomalías y ataques
del tráfico entre ministerios y organismos
►
Dado el volumen de tráfico las alertas se clasifican en
niveles de criticidad.
Arquitectura de Ciberseguridad - Grupo UCyS
61
SAT-SARA: Arquitectura
Arquitectura de Ciberseguridad - Grupo UCyS
62
Calsificación de los incidentes
►APT
con exfiltración de
información
Crítico
►DDoS
►Ataques
dirigidos
►DoS
►Código
Muy alto
Dañino específico
►Mayoría
de incidentes
►Ataques
externos sin
consecuencias
►Código
Bajo / Medio / Alto
dañino genérico
Arquitectura de Ciberseguridad - Grupo UCyS
63
Sonda de Internet: elementos
►Consta:
■
■
Sonda individual – servidor dedicado de alto rendimiento
con herramientas de detección y monitorización (snort,
arpwatch, ntop, p0f, etc.). Dos interfaces de red:
● Interfaz de análisis – sin IP, lee trafico relevante de
salida o zona DMZ. Corre agente SIE OSSIM para
depuración/envío eventos.
● Interfaz de gestión – conecta con el sistema central
(túnel OpenVPN)
Sistema central – correlación entre eventos y dominios,
notificación al organismo. Consta de servidor en tiempo
real, portal web de informes y consola de visualización
Arquitectura de Ciberseguridad - Grupo UCyS
64
Sondas de Internet: aquitectura
Arquitectura de Ciberseguridad - Grupo UCyS
65
Sonda de Internet
►Clasificación
y porcentaje de incidentes notificados:
Arquitectura de Ciberseguridad - Grupo UCyS
66
SAT Carmen
►
El Centro de Análisis de Registros y Minería de
Eventos Nacionales es una herramienta desarrollada
por el CCN-CERT que permite el análisis en tiempo
real de diversas fuentes de logs.
►
Objetivo: Búsqueda de APT
►Basado
en diversos modelos matemáticos, utiliza
minería de datos.
►
Realiza: histogramas de conexiones, bytes
transmitidos, duración conexiones.
Arquitectura de Ciberseguridad - Grupo UCyS
67
Incidentes por sistema y año
Arquitectura de Ciberseguridad - Grupo UCyS
68
Estadísticas incidentes
gestionados por CCN-CERT
Arquitectura de Ciberseguridad - Grupo UCyS
69
¡ Gracias por su atención !
Arquitectura de Ciberseguridad - Grupo UCyS
70
Arquitectura de ciberseguridad:
Normativa y seguridad – Mapas
José Ant. Gómez y Margarita Robles
Grupo UCyS
Universidad de Granada – 30 de abril de 2015
1
Listado de Mapa
► ONU
► ITU
► ISO
► OMC
► OTAN
► OCDE
► OSCE
► Commonwealth
► APEC
► OAE
► AU
► Consejo
► Unión
de Europa
Europea
Arquitectura de Ciberseguridad - Grupo UCyS
2
Organización de Naciones Unidas
(ONU)
Arquitectura de Ciberseguridad - Grupo UCyS
3
Unión Internacional de
Telecomunicaciones (ITU)
Arquitectura de Ciberseguridad - Grupo UCyS
4
International Organization for
Standardization (ISO)
Arquitectura de Ciberseguridad - Grupo UCyS
5
Organización Internacional del
Comercio(OMC)
Arquitectura de Ciberseguridad - Grupo UCyS
6
Organización del Tratado del
Atlantico Norte (OTAN)
Arquitectura de Ciberseguridad - Grupo UCyS
7
Organización para la Cooperación y
el Desarrollo Económicos (OCDE)
Arquitectura de Ciberseguridad - Grupo UCyS
8
Organización para la Seguridad y
Cooperación en Europa (OSCE)
Arquitectura de Ciberseguridad - Grupo UCyS
9
Commonwealth of Nations
Arquitectura de Ciberseguridad - Grupo UCyS
10
Foro Cooperación Económica AsiaPacífico (APEC)
Arquitectura de Ciberseguridad - Grupo UCyS
11
Organización de Estados
Americanos (OAE)
Arquitectura de Ciberseguridad - Grupo UCyS
12
Unión Africana (AU)
Arquitectura de Ciberseguridad - Grupo UCyS
13
Consejo de Europa
Arquitectura de Ciberseguridad - Grupo UCyS
14
Unión Europea
Arquitectura de Ciberseguridad - Grupo UCyS
15