View
218
Download
0
Category
Preview:
Citation preview
1
Arquitectura de ciberseguridad:Normativa y seguridad en sistemas
José Ant. Gómez y Margarita RoblesGrupo UCySUniversidad de Granada – 30 de abril de 2015
Arquitectura de Ciberseguridad - Grupo UCyS 2
Sumario
► El estado de la ciberseguridad► La ciberseguridad: un fenómeno multidimensional► El desafío cibernético► La arquitectura Jurídica de la ciberseguridad:
■ Caracteres de la cooperación internacional■ Estructura de cooperación■ Articulación normativa
Arquitectura de Ciberseguridad - Grupo UCyS 3
I. El estado de la ciberseguridad
► Caso Estonia (2007)► Caso Georgia (2008)► Caso Stuxnet-Irán (2010)► Caso Bin Laden (2011)
Arquitectura de Ciberseguridad - Grupo UCyS 4
1. ESTONIA 2007: UN ACTO DE AGRESIÓN?
► Contexto fáctico: la historia del Soldado de Bronce► Naturaleza y objetivos del ciberataque► Motivos► Respuesta técnica► Respuesta política► Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS 5
2. Georgia 2008: El uso combinado del ataque cinético y cibernético
► Contexto fáctico: una situación de conflicto armado► Naturaleza y objetivos del ciberataque► Respuesta técnica► Respuesta política► Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS 6
3. El ciberataque: una alternativa?
a) Caso Stuxnet/irán (2010) ■ Contexto: la amenaza nuclear■ Caracteres del ciberataque■ Conclusiones
b) Caso Bin Laden (2011)■ Contexto: la amenaza terrorista■ Caracteres del ciberataque■ Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS 7
II. Ciberseguridad: un fenómeno multidimensional
1. Una cuestión de seguridad internacional2. Un desafío para el modelo económico,
financiero y comercial3. Un reto para las tradiciones y sistemas y
socio-políticos y culturales4. Un problema jurídico y un problema real
Arquitectura de Ciberseguridad - Grupo UCyS 8
1. Un “nuevo“ paradigma económico: la economía del conocimiento
► Modelo económico: historia y crisis ► Volumen de negocio
■ el mercado mundial va a pasar de los 68.000 millones de dólares en 2013 a los 120.000 millones en 2020
■ en 2020 estarán interconectados 6.000 millones de usuarios y 25.000 millones de máquinas.
► Cifras en el ciberespacio: ■ Más de 2.300 millones de suscripciones móviles de banda ancha
a finales de 2014.■ Más de 3.000 millones de usuarios de Internet (+ 40% de la
población mundial)■ Más de 5.000 millones de dispositivos conectados. Se esperan
25.000 millones para 2020.
Arquitectura de Ciberseguridad - Grupo UCyS 9
2. Un “nuevo” contexto socio-político y cultural: la sociedad del conocimiento
► Internet en cifras: ■ 14,3 billones de páginas web■ 672.000.000.000 Gigabytes de información accesible (672
exabytes)■ 43.639 Petabytes de trafico al año (2013)■ 1 Yottabyte=10^24 bytes de datos almacenados
► Preocupación de los usuarios europeos de Internet (Eurostat, 2014): ■ 89% evitan publicar información personal en Internet■ 85% consideran que el riesgo de ser víctima del cibercrimen está
aumentando■ 73% temen que su información personal no sea guardada de
manera segura por las páginas web■ 67% temen que su información personal no sea guardada de
manera segura por las administraciones públicas
Arquitectura de Ciberseguridad - Grupo UCyS 10
3. Un “nuevo” contexto jurídico► 3/4 cuartas partes de las actividades ilegítimas cometidas en el
ciberespacio corresponden a alguna variante de cibercrimen► La ciberdelincuencia es la actividad criminal con mayor crecimiento (casi
175% anual). ► Los ciberataques aumentan en: número, impacto, complejidad,
diversificación de objetivos y alcance.► El coste del cibercrimen supera anualmente:
■ Los 400.000 millones de dólares ■ Más de 400 millones de víctimas al año (un millón y medio al día)■ Un número de incidentes que ronda los 40 millones anuales.
► Modelo de crecimiento: cuanto mayor es la organización, mayor es el coste de un incidente, disparándose un 25% para las para las medianas empresas o un espectacular 52% para las grandes compañías a lo largo de 2014.
Arquitectura de Ciberseguridad - Grupo UCyS 11
4. Una “nueva” realidad: España en datos► Pérdidas anuales por robo de datos: superan los 500 millones €► Memoria de la Fiscalía General del Estado: aumento de las
estafas informáticas de un 60% (más de 9.000 procedimientos)► Negocio del sector de soluciones frente a la ciberdelincuencia:
■ Supera los 150 millones de euros en España.■ Mercado controlado por:
● Ciertas empresas: Telefónica, Indra, Unitronics, Nextel, Dimension Data, HP, IBM ,
● Grupos: Sia, Cisco, Checkpoint, Fortinet, Paloalto Networks, S21Sec y
● Gigantes de los antivirus● Las big four: Deloitte, PwC, KPMG y EY.
Arquitectura de Ciberseguridad - Grupo UCyS 12
ESPAÑA EN DATOS ►Diariamente:
■ se identifican 160.000 webs que tienen puntos débiles de seguridad;
■ más de 320.000 direcciones IP registran actividad maliciosa■ En 2014: la Policía registró en 2014 hasta 70.000 ataques en
España►Naturaleza de las incidencias ►Incidentes más habituales:
■ accesos no autorizados a información confidencial (un 37% de los casos) y
■ fraudes tipo phishing (suplantación de identidad para robar datos o información personal como números de tarjetas de crédito, contraseñas o datos de cuentas bancarias).
Arquitectura de Ciberseguridad - Grupo UCyS 13
España en datos
►Informes oficiales: Acceso no autorizado: 37,94%■ Fraude: 23, 90 %■ Virus, troyanos, gusanos y Spyware: 9,76%■ Spam: 5, 62%■ Denegación de Servicio: 4,41 %■ Escaneos en la Red: 2,38 %■ Robo de información: 0,45 %■ Otros: 15,55%
►El Dilema del Iceberg
Arquitectura de Ciberseguridad - Grupo UCyS 14
III. El desafío cibérnetico► Quienes son sus destinatarios?
■ Instituciones■ Usuarios ■ Profesiones
► Cuáles son los motivos?:■ Cambios en los parámetros clásicos de organización política:
● La superación del marco estatal y● La definición de la competencia territorial
■ Cambios en los parámetros tradicionales de organización jurídica: ● El marco de aplicación de la legislación y● El ámbito de ejercicio de la jurisdicción
Arquitectura de Ciberseguridad - Grupo UCyS 15
Interrogantes
► Qué normativa o normativas debo respetar?► Qué instituciones o agencias me pueden investigar? ► Qué órgano u órganos me pueden enjuiciar?► Qué responsabilidad o responsabilidades me
pueden exigir?► Cómo puedo saber si, cómo, cuando y porqué he
superado el margen de la legalidad?
Arquitectura de Ciberseguridad - Grupo UCyS 16
1. El Ciberespacio: una realidad diferente
►Escenario estratégico, operacional y táctico.►Dominio prácticamente infinito e integrado en los otros
dominios: tierra, mar, aire y espacio.►Naturaleza artificial. ►Ritmo y velocidad de evolución mayor
■ por su propia capacidad de expansión debida a la tecnología y
■ por su propia capilaridad en relación con el espacio físico
►Disponibilidad de medios
Arquitectura de Ciberseguridad - Grupo UCyS 17
2. El Ciberespacio: una criminalidad diferente
► Caracteres de la criminalidad cibernética:■ Fenómeno de la era informática■ Parámetros nuevos de comprensión de la relación
criminal■ Especificidad del delito ■ Transnacionalización de la delincuencia
►Tipos:■ Ciberataques puros■ Ciberataques réplica■ Ciberataques de contenido
Arquitectura de Ciberseguridad - Grupo UCyS 18
3. La ciberdelincuencia: la calificación jurídica
► Categorías genéricas:■ Ciberdelito■ Cibercrimen■ Ciberespionaje■ Ciberterrorismo■ Ciberguerra
► La cuestión del sujeto► La relevancia de la intención► La determinación de los efectos
Arquitectura de Ciberseguridad - Grupo UCyS 19
IV. La arquitectura jurídica del Ciberespacio
►La calificación de las acciones/ataques►La determinación de la normativa aplicable►La definición de la jurisdicción competente►La interacción internacional/nacional
■ Caracteres de la cooperación (I)■ Pluralidad de estructuras
internas/internacionales (II)■ Pluralidad de normas: acumulación y
diversificación de derechos y obligaciones (III)
Arquitectura de Ciberseguridad - Grupo UCyS 20
1. CARACTERES DE LA COOPERACIÓN INTERNACIONAL
► Una aproximación internacional:■ estructuralmente fragmentaria y■ funcionalmente especializada
► Un proceso de afganización del ciberespacio► Una superposición de estructuras:
■ universales y regionales■ formales e informales
Arquitectura de Ciberseguridad - Grupo UCyS 21
2. ESTRUCTURAS DE COOPERACIÓN INTERNACIONAL
► UNIVERSALES:■ ONU■ Unión Internacional de
Telecomunicaciones (ITU)■ International Standards
Organisation (ISO)■ OMC■ Organismos especializados
► INTERREGIONALES:■ OCDE■ APEC■ COMMONWEALTH■ OSCE■ OTAN
►REGIONALES: ■ OEA■ UA■ CONSEJO DE EUROPA■ UNIÓN EUROPEA
Arquitectura de Ciberseguridad - Grupo UCyS 22
La ONU: objetivos y funciones► Lucha contra la delincuencia informática
■ Resoluciones de la AGNU■ UNODC: Oficina de la ONU para las drogas y el crimen■ Congresos Mundiales sobre Prevención del Delito y Justicia Penal■ Convención contra la Delincuencia Organizada
► Impulso de la sociedad de la información: Cumbres Mundiales de la Sociedad de la Información (CMSI)
■ Ginebra 2003: Declaración de Principios Construir la Sociedad de la Información: un desafío global para el nuevo milenio y Plan de Acción de Ginebra
■ Túnez 2005: Compromiso de Túnez y Agenda de Túnez para la Sociedad de la Información
■ Agenda de la Solidaridad Digital
Arquitectura de Ciberseguridad - Grupo UCyS 23
LA ITU: objetivos y funciones► Organismo especializado de las Naciones Unidas para las TICs ► Origen, evolución y estructura► Composición: 193 países miembros y más de 700 entidades del
sector privado e instituciones académicas.► Sede en Ginebra (Suiza) y 12 oficinas regionales y de zona en todo
el mundo► Agenda de Ciberseguridad Global: siete objetivos estratégicos
principales basados en cinco áreas de trabajo siguientes: ■ Medidas legales;■ Medidas técnicas y de procedimiento;■ Estructuras institucionales; ■ Creación de capacidades y ■ Cooperación internacional
Arquitectura de Ciberseguridad - Grupo UCyS 24
Estructuras interregionales► OCDE:
■ Armonización del derecho penal contra el ciberdelito■ Directrices de seguridad de los sistemas y redes de
información■ Principios complementarios
► OSCE:■ Aproximación Omnicomprensiva a la Seguridad Cibernética■ Medidas de Fomento de la Confianza y Medidas de Fomento
de la Confianza y la Seguridad:► APEC► Commonwealth► Consejo de Cooperación del Golfo►OTAN
Arquitectura de Ciberseguridad - Grupo UCyS 25
Estructuras regionales► OEA► UA► UNIÓN EUROPEA
■ Lucha contra la ciberdelincuencia■ Sociedad de la información■ Protección de datos
► CONSEJO DE EUROPA:■ Objetivos: Protección de datos, lucha contra la ciberdelincuencia■ Instrumentos.
● Convenio sobre la Ciberdelincuencia (2001)● Protocolo Adicional del Convenio sobre la Ciberdelincuencia, relativo
a la penalización de los actos de naturaleza racista y xenófoba cometidos por medio de sistemas informáticos (2003).
● Convenio del Consejo de Europa para la protección de los niños contra la explotación y el abuso sexual.
Arquitectura de Ciberseguridad - Grupo UCyS 26
3. Articulación normativa► Tipología de infracciones:
■ Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos;
■ Delitos informáticos;■ Delitos relacionados con el contenido; y■ Delitos relacionados con infracciones de la propiedad
intelectual y de los derechos afines. ► Esta clasificación no es totalmente coherente por dos
motivos:■ No se basa en un sólo criterio■ Algunas acciones pueden pertenecer a varias
categorías
Arquitectura de Ciberseguridad - Grupo UCyS 27
A) Delitos contra la C-I-D
► Bienes jurídicos protegidos: confidencialidad, integridad y disponibilidad de los Datos y Sistemas informáticos
► Categorías delictivas■ Acceso ilícito■ Espionaje de datos■ Intervención ilícita■ Manipulación de datos■ Ataques contra la integridad del sistema
Arquitectura de Ciberseguridad - Grupo UCyS 28
a) Acceso ilícito (pirateria de sistemas y programas)
► Casos:■ La irrupción en sitios web protegidos con contraseña■ La burla de la protección de contraseña en un computador.■ La utilización de equipos o programas para obtener una contraseña e irrumpir en el
sistema informático■ La creación de sitios web "falsos" para lograr que el usuario revele su contraseña; y■ La instalación por hardware y software de interceptores de teclado ("keyloggers
► Causas:■ Protección inadecuada e incompleta de los sistemas informáticos■ Aparición de herramientas informáticas automatizando los ataques■ El uso creciente de los ordenadores privados
► Naturaleza: equivalente al acceso ilícito a una propiedad► Régimen jurídico no uniforme:
■ Delito: El mero acceso■ Delito: El acceso sólo cuando
● los sistemas accedidos están protegidos por medidas de seguridad; y/o● el autor tiene malas intenciones; y/o ● se obtienen, modifican o dañan datos.
Arquitectura de Ciberseguridad - Grupo UCyS 29
b) Espionaje de datos► Motivación: el valor de la información confidencial y la capacidad de
acceder a la misma a distancia. ► Técnicas:
■ software para explorar los puertos desprotegidos;■ software para burlar las medidas de protección; e■ "ingeniería social".
► Protección de datos: privados, comerciales y políticos► Métodos:
■ acceder a sistemas informáticos o a un dispositivo de almacenamiento y extraer la información; o
■ manipular a los usuarios para que revelen la información o los códigos de acceso que permitan al delincuente acceder a la información.
► Normativa
Arquitectura de Ciberseguridad - Grupo UCyS 30
c) Intervención ilícita► Casuística:
■ intervenir las comunicaciones entre usuarios (como mensajes e-mail),■ interceptar transferencias de datos (cuando los usuarios suben datos a
los servidores web o acceden a medios de almacenamiento externos por la web) con el fin de registrar el intercambio de información.
► Objetivo: cualquier ...■ infraestructura de comunicaciones (por ejemplo, líneas fijas o
inalámbricas) y■ servicio Internet (por ejemplo, e-mail, charlas o comunicaciones VoIP).
► La mayoría de los procesos de transferencia de datos entre proveedores de infraestructura de Internet o proveedores de servicios Internet están debidamente protegidos y son difíciles de intervenir. No obstante:
■ resultan vulnerables las comunicaciones inalámbricas■ se pueden pinchar las comunicaciones en líneas fijas
Arquitectura de Ciberseguridad - Grupo UCyS 31
d) Manipulación de datos► Los datos informáticos son esenciales para los usuarios privados, las
empresas y las administraciones► La carencia de acceso a los datos puede causar daños (económicos)
considerables.► Los infractores pueden atentar contra la integridad de los datos de las
siguientes formas:■ borrarlos; y/o■ suprimirlos; y/o■ alterarlos; y/o■ restringir el acceso a los mismos.
► Método: Los virus son un ejemplo común de supresión de datos que han evolucionado y se ha generalizado su capacidad de infección por:
■ la manera en que los virus se distribuyen; y■ los efectos.
Arquitectura de Ciberseguridad - Grupo UCyS 32
e) Ataques contra la integridad del sistema
► Categoría autónoma: los ataques a los *sistemas informáticos suscitan las mismas preocupaciones que los ataques a los *datos informáticos agravada:
■ por su capacidad de generar grandes pérdidas económicas y ■ la posibilidad de realizar ataques físicos a los sistemas informáticos.
► Marco general: ■ Penalmente, el daño físico es similar al clásico de daño o destrucción
de propiedad. ■ En el comercio electrónicos, las pérdidas económicas causadas a los
sistemas informáticos son mucho mayores que el costo de los equipos informáticos.
■ Ejemplos de ataques a distancia contra sistemas informáticos son: ● gusanos informáticos; o● ataques de denegación del servicio (DoS).
Arquitectura de Ciberseguridad - Grupo UCyS 33
B) Delitos relacionados con el contenido
► Objeto► Diversidad y complejidad normativas
■ qué es delito y donde es delito■ qué bien jurídico prevalece■ qué finalidad?
► Debate ontológico► Técnicas de control: bloqueo de acceso o establecimiento de filtros► Categorías:
■ Material erótico o pornográfico (salvo infantil )■ Pornografía infantil■ Racismo, lenguaje ofensivo, exaltación de la violencia■ Delitos contra la religión■ Juegos ilegales y juegos en línea■ Difamación e información falsa■ Correo basura y amenazas conexas■ Otras formas de contenido ilícito
Arquitectura de Ciberseguridad - Grupo UCyS 34
a) Material erótico o pornográfico ►Ventajas del comercio en internet:
■ Intercambio menos oneroso■ Acceso mundial■ Anonimato
►Comercialización:■ sitios web,■ sistemas de intercambio de ficheros;■ salas de charla cerradas.
►Penalización variable: general o sólo infantil►Problemas de la persecución: incriminación simple o doble.
Arquitectura de Ciberseguridad - Grupo UCyS 35
b) Pornografía infantil
►Penalización generalizada: normativas internacionales e internas
►Problema: actividad lucrativa y anónima►Problemas en la investigación:
■ La utilización de divisas y pagos anónimos■ La utilización de tecnología de cifrado
Arquitectura de Ciberseguridad - Grupo UCyS 36
c) Racismo, lenguaje ofensivo, exaltación de la violencia
►Origen: grupos radicales y divulgación de propaganda►La distribución por Internet ofrece varias ventajas:
■ los menores costes de distribución, ■ la utilización de equipos no especializados y■ una audiencia mundial
►Régimen jurídico:■ Prohibición o■ Libertad de expresión
►Penalización: no uniforme
Arquitectura de Ciberseguridad - Grupo UCyS 37
d) Delitos contra la religión
►Facilidades de Internet►Diversidad cultural, ideológica y religiosa►Debate: Libertad religiosa v. Libertad de expresión►Divergencia normativa►Penalización no uniforme
Arquitectura de Ciberseguridad - Grupo UCyS 38
e) Juegos ilegales y juegos en línea►Ventajas de Internet: Actividad en expansión y elusión de la
prohibición de juego ► Uso con fines delictivos:
■ intercambio y presentación de pornografía infantil;■ fraude;■ casinos en línea.
►Ingresos en concepto de juegos en línea: de 3 100 millones USD en 2001 a 24 000 millones USD en 2010
►Régimen jurídico no uniforme, divergencias y lagunas legislativas
►Dificultad de la persecución: Incriminación de los proveedores de servicios financieros
Arquitectura de Ciberseguridad - Grupo UCyS 39
f) Difamación e información falsa►Acciones delictivas:
■ publicar información falsa (por ejemplo, sobre los rivales);■ difamar (por ejemplo, escribir mensajes difamatorios o calumnias);■ revelar información confidencial (por ejemplo, publicar secretos de
Estado o información comercial confidencial). ►La difamación daña la reputación y la dignidad de las víctimas en un
grado considerable por varios motivos:■ las declaraciones en línea son accesibles por la audiencia mundial;
el autor pierde el control de la información; y■ aunque la información se corrija o se suprima, puede haber sido
duplicada ("en servidores espejo") y estar en manos de personas que no desean retirarla o suprimirla.
►Equilibrio entre libertad de expresión y protección de la víctimas
Arquitectura de Ciberseguridad - Grupo UCyS 40
g) Correo basura y amenazas conexas y h) otras formas de contenido ilícito
►Correo basura y amenazas conexas:■ Actividad lucrativa con un coste mínimo■ Técnicas de filtrado■ Problema en los PVD
►Otras formas de contenido ilícito: Internet se utiliza para ataques directos y como foro para:
■ solicitar, ofrecer e incitar el crimen;■ la venta ilegal de productos;■ dar información e instrucciones para actos ilícitos (por ejemplo, sobre cómo
construir explosivos);■ Eludir las normas sobre el comercio de diversos productos: médico,
farmacéutico, material militar.►El contrabando dificulta el control de ciertos productos restringidos en un territorio. ►Las tiendas por la web situadas en países sin restricción alguna pueden vender
productos a clientes de otros países, menoscabando así esas limitaciones.
Arquitectura de Ciberseguridad - Grupo UCyS 41
C) Delitos en materia de derechos de autor y de marcas
►Función esencial de Internet: ■ la difusión de información■ Las relaciones económicas y comerciales
►Hay dos grandes categorías de problemas:■ Los falsificadores: pueden utilizar la imagen de marca y
el diseño de una determinada empresa para comercializar productos falsificados, copiar logotipos y productos, y registrar su nombre de dominio
■ Las empresas distribuidoras por Internet: pueden tener problemas de carácter jurídico con las violaciones de los derechos de autor puesto que sus productos se pueden teledescargar, copiar y distribuir.
Arquitectura de Ciberseguridad - Grupo UCyS 42
a) Delitos en materia de derechosde autor
►Digitalización de los productos, servicios y prestaciones ►Modalidades de violación de derechos de autor:
■ intercambio, en sistemas de intercambio de archivos, de programas informáticos, archivos y temas musicales protegidos con derechos de autor;
■ elusión de los sistemas de gestión de derechos en el ámbito digital.
►Tráfico entre tecnologías pares (P2P): más de 50%► Efectos económicos
Arquitectura de Ciberseguridad - Grupo UCyS 43
b) Delitos en materia de marcas► Tipificación no uniforme de las violaciones en materia de marcas. ► Los delitos más graves son:
■ utilización de marcas en actividades delictivas con el propósito de engañar;■ y, los delitos en materia de dominios y nombres.
► Violaciones más frecuentes: ■ La utilización de nombres genéricos y marcas de forma fraudulenta en
numerosas actividades en las que se envían a los usuarios de Internet millones de correos electrónicos similares a los de empresas legítimas consignando su marca.
■ Los delitos en materia de dominios, por ejemplo la ciberocupación ilegal, que describe el procedimiento ilegal de registrar un nombre de dominio idéntico o similar al de la marca de un producto o de una empresa.
■ Las tentativas de vender el dominio a la empresa a un precio más elevado o utilizarlo para vender productos o servicios engañando a los usuarios con su supuesta conexión a la marca.
■ La "apropiación indebida de dominio" o registro de nombres de dominio que han caducado accidentalmente.
Arquitectura de Ciberseguridad - Grupo UCyS 44
D) Delitos informáticos
►Fraude y fraude informático►Falsificación informática►Robo de identidad►Utilización indebida de dispositivos►Combinación de delitos:
■ Ciberterrorismo■ Ciberguerra■ Ciberblanqueo de dinero■ Peska
Arquitectura de Ciberseguridad - Grupo UCyS 45
a) Fraude y fraude informático►Caracteres►Tipificación: ►Distinción entre fraude informático y fraude tradicional►Los fraudes más comunes son:
■ Subasta en línea:● ofrecer mercancías no disponibles para la
venta y exigir su pago antes de la entrega; o● adquirir mercancías y solicitar su envío, sin
intención de pagar por ellas.■ Estafa nigeriana
Arquitectura de Ciberseguridad - Grupo UCyS 46
b) Falsificación informática
►Falsificación informática: manipulación de documentos digitales, por ejemplo:
■ crear un documento que parece provenir de una institución fiable;
■ manipular imágenes electrónicas (por ejemplo, imágenes aportadas como pruebas materiales en los tribunales); o
■ alterar documentos.►Ejemplo: phishing►Problema: crecimiento de la documentación digital
Arquitectura de Ciberseguridad - Grupo UCyS 47
c) ROBO DE IDENTIDAD►Concepto: el acto delictivo de obtener y adoptar de forma
fraudulenta la identidad de otra persona.►Etapas diferentes:
■ Obtención de información relativa a la identidad mediante, por ejemplo, programas informáticos dañinos o ataques destinados a la peska.
■ Interacción con la información obtenida antes de utilizarla en el marco de una actividad delictiva: venta
■ Utilización de la información relativa a la identidad en relación con una actividad delictiva: robo/fraude.
►Métodos►Datos
Arquitectura de Ciberseguridad - Grupo UCyS 48
d) UTILIZACIÓN INDEBIDA DE DISPOSITIVOS
►Objetivo: la comisión de un delito►Herramientas: variedad y disponibilidad►Ciberdelitos más usuales:
■ cometer ataques por denegación de servicio (DoS);■ diseñar virus informáticos;■ desencriptar información; y■ acceder en forma ilegal a sistemas informáticos
►Impacto: aumento exponencial de la ciberdelincuencia por:■ Accesibilidad■ Anonimato
Arquitectura de Ciberseguridad - Grupo UCyS 49
Conclusiones
1) La cooperación internacional: una obligación y una necesidad
2) Principios rectores:■ COMPLEMENTARIEDAD,■ SIMPLIFICACIÓN Y■ TRANSPARENCIA
3) Uniformación/homogeneización normativa
Arquitectura de Ciberseguridad - Grupo UCyS 50
España: Normativas
►Esquema Nacional de Seguridad (ENS, 5/2013) – Directrices para la utilización eficiente de los recursos para preservar la Seguridad Nacional.
■ Capítulo 3 – Ciberamenazas: líneas de acción:● Incremento de la capacidad de prevención,
detección, investigación y respuesta.● Garantía de los SIs de las AAPP● Colaboración internacional● Cultura de la Ciberseguridad para garantizar el
uso seguro de redes y sistemas de información
Arquitectura de Ciberseguridad - Grupo UCyS 51
Normativas (ii)
►Estrategia de Ciberseguridad Nacional (ECN, 2013) – Modelo de Ciberseguridad integrado que garantice la seguridad y progreso de España a través de la coordinación de todas las administraciones públicas entre sí, el sector privado y los ciudadanos, canalizando las iniciativas y esfuerzos internacionales en defensa del ciberespacio.
Arquitectura de Ciberseguridad - Grupo UCyS 52
España: Organismos gubernamentales centráles
► INCIBE – M. Industria, OARI*► CCN – M. Presidencia, OARIN► CNPIC – M. Interior, OARIN► RedIris – M. Industria, OAR► Unidad/Brigada de Delitos Telemáticos de la
Policia/Guardia Civil – M. Interior, OAR► Agencia Española de Protección de Datos – M. Justicia,
C (análisis y sansión de incidentes)► Mando Conjunto de Ciberdefensa – M. Defensa, OARN
* O=Operacional A=Análisis R=Respuesta de incidentes I=Relaciones internacionalesN= Normativa F=Asesoramiento y formación C=Regulador y autoridad de control
Arquitectura de Ciberseguridad - Grupo UCyS 53
España: organismos autonómicos
► Unidades de Delitos Informáticos de los Mossos de Escuadra y de la Ertzaintza - OAR
► CSIRT-CV - OAR► CESICAT - OARF► CERT Andalucía - OAR► Agencias de Protección de Datos Catalana,
Comunidad de Madrid y del País Vasco - C
Arquitectura de Ciberseguridad - Grupo UCyS 54
INCIBE
► El Instituto Nacional de Ciberseguridad es responsable de gestionar a través de su CERT la defensa del ciberespacio relacionado con las PYMES españolas y los ciudadanos en su ámbito doméstico
Arquitectura de Ciberseguridad - Grupo UCyS 55
CCN
►El Centro Criptológico Nacional, dependiente del CNI, gestiona la seguridad del ciberespacio dependiente de cualquiera de los tres niveles de las administraciones públicas: estatal, autonómico y local.
►El CNN-CERT es el centro de alerta nacional que coopera con todas las administraciones públicas para responder a los incidentes de seguridad.
Arquitectura de Ciberseguridad - Grupo UCyS 56
CNPIC
► El Centro Nacional para la Protección de las Infraestructuras Críticas impulsa, coordina y supervisa todas las actividades relacionadas con la protección de infraestructuras críticas fomentando la participación de todos los agentes del sistema en sus correspondientes ámbitos competenciales.
► Infraestructura Crítica (Ley 8/2011): las infraestructuras estratégicas, es decir, aquellas que proporcionan servicios esenciales cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales: alimentación, energía, financieras/tributarias, agua, industria, salud, transporte, etc.
Arquitectura de Ciberseguridad - Grupo UCyS 57
CERT
► Se denomina CERT (Computer Emergency Response Team) a un conjunto de medios y personas responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. También denominados CSIRT (Computer Security Incident Response Team).
► Servicios preventivos:■ Avisos de seguridad■ Búsqueda de vulnerabilidades■ Auditorías o evaluaciones de seguridad■ Configuración y mantenimiento de herramientas de seguridad, aplicaciones e
infraestructuras■ Desarrollo de herramientas de seguridad■ Propagación de información relacionada con la seguridad
► Servicios reactivos■ Gestión de incidentes de seguridad (análisis, respuesta, soporte y coordinación de
incidentes de seguridad)■ Gestión de vulnerabilidades (análisis, respuesta y coordinación de vulnerabilidades
detectadas)
Arquitectura de Ciberseguridad - Grupo UCyS 59
Sistemas de Alerta Temprana de Internet (SAT)
► Detección en tiempo real de las amenazas e incidentes existentes en el tráfico de la red interna de un Organismo e Internet (tráfico direccionamiento público).
► El sistema normaliza la información recolectada por las distintas fuentes.
►Los eventos se consolidan y se centralizan en un único sistema, revisándolos a través de una única consola.
►La correlación avanzada permite detectar eventos mucho más complejos que pudieran involucrar a distintos organismos.
Arquitectura de Ciberseguridad - Grupo UCyS 60
Sistemas Alerta Temprana (SAT)
► Red SARA:■ Servicio para la Intranet Administrativa■ Coordinado con MINHAP■ 49/54 áreas de concexión
► Sondas de Salida de Internet AAPP:■ Servicio por suscripción de Organismos■ Despliegue de sensores■ 50 organismos / 60 sondas
► Sistema Carmen:■ Análisis de log perimetrales (proxy, …)■ Búsqueda de anomalías de tráfico■ 6 sondas
Arquitectura de Ciberseguridad - Grupo UCyS 61
SAT de la Red SARA
►Sistema de correlación de logs de la Red SARA (Sistemas de Aplicaciones y Redes para las Administraciones) que proporciona de forma continua un índice de compromiso y emite alarmas antes cualquier incidente.
►Detecta de forma proactiva las anomalías y ataques del tráfico entre ministerios y organismos
► Dado el volumen de tráfico las alertas se clasifican en niveles de criticidad.
Arquitectura de Ciberseguridad - Grupo UCyS 63
Calsificación de los incidentes
►APT con exfiltración de información
►DDoS►Ataques dirigidos►DoS►Código Dañino específico►Mayoría de incidentes►Ataques externos sin
consecuencias►Código dañino genérico
Muy alto
Bajo / Medio / Alto
Crítico
Arquitectura de Ciberseguridad - Grupo UCyS 64
Sonda de Internet: elementos
►Consta:■ Sonda individual – servidor dedicado de alto rendimiento
con herramientas de detección y monitorización (snort, arpwatch, ntop, p0f, etc.). Dos interfaces de red:● Interfaz de análisis – sin IP, lee trafico relevante de
salida o zona DMZ. Corre agente SIE OSSIM para depuración/envío eventos.
● Interfaz de gestión – conecta con el sistema central (túnel OpenVPN)
■ Sistema central – correlación entre eventos y dominios, notificación al organismo. Consta de servidor en tiempo real, portal web de informes y consola de visualización
Arquitectura de Ciberseguridad - Grupo UCyS 66
Sonda de Internet
►Clasificación y porcentaje de incidentes notificados:
Arquitectura de Ciberseguridad - Grupo UCyS 67
SAT Carmen
► El Centro de Análisis de Registros y Minería de Eventos Nacionales es una herramienta desarrollada por el CCN-CERT que permite el análisis en tiempo real de diversas fuentes de logs.
► Objetivo: Búsqueda de APT ►Basado en diversos modelos matemáticos, utiliza
minería de datos.► Realiza: histogramas de conexiones, bytes
transmitidos, duración conexiones.
1
Arquitectura de ciberseguridad:Normativa y seguridad en sistemas
José Ant. Gómez y Margarita RoblesGrupo UCySUniversidad de Granada – 30 de abril de 2015
Arquitectura de Ciberseguridad - Grupo UCyS 2
Sumario
► El estado de la ciberseguridad► La ciberseguridad: un fenómeno multidimensional► El desafío cibernético► La arquitectura Jurídica de la ciberseguridad:
■ Caracteres de la cooperación internacional■ Estructura de cooperación■ Articulación normativa
Arquitectura de Ciberseguridad - Grupo UCyS 3
I. El estado de la ciberseguridad
► Caso Estonia (2007)► Caso Georgia (2008)► Caso Stuxnet-Irán (2010)► Caso Bin Laden (2011)
Arquitectura de Ciberseguridad - Grupo UCyS 4
1. ESTONIA 2007: UN ACTO DE AGRESIÓN?
► Contexto fáctico: la historia del Soldado de Bronce► Naturaleza y objetivos del ciberataque► Motivos► Respuesta técnica► Respuesta política► Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS 5
2. Georgia 2008: El uso combinado del ataque cinético y cibernético
► Contexto fáctico: una situación de conflicto armado► Naturaleza y objetivos del ciberataque► Respuesta técnica► Respuesta política► Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS 6
3. El ciberataque: una alternativa?
a) Caso Stuxnet/irán (2010) ■ Contexto: la amenaza nuclear■ Caracteres del ciberataque■ Conclusiones
b) Caso Bin Laden (2011)■ Contexto: la amenaza terrorista■ Caracteres del ciberataque■ Conclusiones
Arquitectura de Ciberseguridad - Grupo UCyS 7
II. Ciberseguridad: un fenómeno multidimensional
1. Una cuestión de seguridad internacional2. Un desafío para el modelo económico,
financiero y comercial3. Un reto para las tradiciones y sistemas y
socio-políticos y culturales4. Un problema jurídico y un problema real
Arquitectura de Ciberseguridad - Grupo UCyS 8
1. Un “nuevo“ paradigma económico: la economía del conocimiento
► Modelo económico: historia y crisis ► Volumen de negocio
■ el mercado mundial va a pasar de los 68.000 millones de dólares en 2013 a los 120.000 millones en 2020
■ en 2020 estarán interconectados 6.000 millones de usuarios y 25.000 millones de máquinas.
► Cifras en el ciberespacio: ■ Más de 2.300 millones de suscripciones móviles de banda ancha
a finales de 2014.■ Más de 3.000 millones de usuarios de Internet (+ 40% de la
población mundial)■ Más de 5.000 millones de dispositivos conectados. Se esperan
25.000 millones para 2020.
Arquitectura de Ciberseguridad - Grupo UCyS 9
2. Un “nuevo” contexto socio-político y cultural: la sociedad del conocimiento
► Internet en cifras: ■ 14,3 billones de páginas web■ 672.000.000.000 Gigabytes de información accesible (672
exabytes)■ 43.639 Petabytes de trafico al año (2013)■ 1 Yottabyte=10^24 bytes de datos almacenados
► Preocupación de los usuarios europeos de Internet (Eurostat, 2014): ■ 89% evitan publicar información personal en Internet■ 85% consideran que el riesgo de ser víctima del cibercrimen está
aumentando■ 73% temen que su información personal no sea guardada de
manera segura por las páginas web■ 67% temen que su información personal no sea guardada de
manera segura por las administraciones públicas
Arquitectura de Ciberseguridad - Grupo UCyS 10
3. Un “nuevo” contexto jurídico► 3/4 cuartas partes de las actividades ilegítimas cometidas en el
ciberespacio corresponden a alguna variante de cibercrimen► La ciberdelincuencia es la actividad criminal con mayor crecimiento (casi
175% anual). ► Los ciberataques aumentan en: número, impacto, complejidad,
diversificación de objetivos y alcance.► El coste del cibercrimen supera anualmente:
■ Los 400.000 millones de dólares ■ Más de 400 millones de víctimas al año (un millón y medio al día)■ Un número de incidentes que ronda los 40 millones anuales.
► Modelo de crecimiento: cuanto mayor es la organización, mayor es el coste de un incidente, disparándose un 25% para las para las medianas empresas o un espectacular 52% para las grandes compañías a lo largo de 2014.
Arquitectura de Ciberseguridad - Grupo UCyS 11
4. Una “nueva” realidad: España en datos► Pérdidas anuales por robo de datos: superan los 500 millones €► Memoria de la Fiscalía General del Estado: aumento de las
estafas informáticas de un 60% (más de 9.000 procedimientos)► Negocio del sector de soluciones frente a la ciberdelincuencia:
■ Supera los 150 millones de euros en España.■ Mercado controlado por:
● Ciertas empresas: Telefónica, Indra, Unitronics, Nextel, Dimension Data, HP, IBM ,
● Grupos: Sia, Cisco, Checkpoint, Fortinet, Paloalto Networks, S21Sec y
● Gigantes de los antivirus● Las big four: Deloitte, PwC, KPMG y EY.
Arquitectura de Ciberseguridad - Grupo UCyS 12
ESPAÑA EN DATOS ►Diariamente:
■ se identifican 160.000 webs que tienen puntos débiles de seguridad;
■ más de 320.000 direcciones IP registran actividad maliciosa■ En 2014: la Policía registró en 2014 hasta 70.000 ataques en
España►Naturaleza de las incidencias ►Incidentes más habituales:
■ accesos no autorizados a información confidencial (un 37% de los casos) y
■ fraudes tipo phishing (suplantación de identidad para robar datos o información personal como números de tarjetas de crédito, contraseñas o datos de cuentas bancarias).
Arquitectura de Ciberseguridad - Grupo UCyS 13
España en datos
►Informes oficiales: Acceso no autorizado: 37,94%■ Fraude: 23, 90 %■ Virus, troyanos, gusanos y Spyware: 9,76%■ Spam: 5, 62%■ Denegación de Servicio: 4,41 %■ Escaneos en la Red: 2,38 %■ Robo de información: 0,45 %■ Otros: 15,55%
►El Dilema del Iceberg
Arquitectura de Ciberseguridad - Grupo UCyS 14
III. El desafío cibérnetico► Quienes son sus destinatarios?
■ Instituciones■ Usuarios ■ Profesiones
► Cuáles son los motivos?:■ Cambios en los parámetros clásicos de organización política:
● La superación del marco estatal y● La definición de la competencia territorial
■ Cambios en los parámetros tradicionales de organización jurídica: ● El marco de aplicación de la legislación y● El ámbito de ejercicio de la jurisdicción
Arquitectura de Ciberseguridad - Grupo UCyS 15
Interrogantes
► Qué normativa o normativas debo respetar?► Qué instituciones o agencias me pueden investigar? ► Qué órgano u órganos me pueden enjuiciar?► Qué responsabilidad o responsabilidades me
pueden exigir?► Cómo puedo saber si, cómo, cuando y porqué he
superado el margen de la legalidad?
Arquitectura de Ciberseguridad - Grupo UCyS 16
1. El Ciberespacio: una realidad diferente
►Escenario estratégico, operacional y táctico.►Dominio prácticamente infinito e integrado en los otros
dominios: tierra, mar, aire y espacio.►Naturaleza artificial. ►Ritmo y velocidad de evolución mayor
■ por su propia capacidad de expansión debida a la tecnología y
■ por su propia capilaridad en relación con el espacio físico
►Disponibilidad de medios
Arquitectura de Ciberseguridad - Grupo UCyS 17
2. El Ciberespacio: una criminalidad diferente
► Caracteres de la criminalidad cibernética:■ Fenómeno de la era informática■ Parámetros nuevos de comprensión de la relación
criminal■ Especificidad del delito ■ Transnacionalización de la delincuencia
►Tipos:■ Ciberataques puros■ Ciberataques réplica■ Ciberataques de contenido
Arquitectura de Ciberseguridad - Grupo UCyS 18
3. La ciberdelincuencia: la calificación jurídica
► Categorías genéricas:■ Ciberdelito■ Cibercrimen■ Ciberespionaje■ Ciberterrorismo■ Ciberguerra
► La cuestión del sujeto► La relevancia de la intención► La determinación de los efectos
Arquitectura de Ciberseguridad - Grupo UCyS 19
IV. La arquitectura jurídica del Ciberespacio
►La calificación de las acciones/ataques►La determinación de la normativa aplicable►La definición de la jurisdicción competente►La interacción internacional/nacional
■ Caracteres de la cooperación (I)■ Pluralidad de estructuras
internas/internacionales (II)■ Pluralidad de normas: acumulación y
diversificación de derechos y obligaciones (III)
Arquitectura de Ciberseguridad - Grupo UCyS 20
1. CARACTERES DE LA COOPERACIÓN INTERNACIONAL
► Una aproximación internacional:■ estructuralmente fragmentaria y■ funcionalmente especializada
► Un proceso de afganización del ciberespacio► Una superposición de estructuras:
■ universales y regionales■ formales e informales
Arquitectura de Ciberseguridad - Grupo UCyS 21
2. ESTRUCTURAS DE COOPERACIÓN INTERNACIONAL
► UNIVERSALES:■ ONU■ Unión Internacional de
Telecomunicaciones (ITU)■ International Standards
Organisation (ISO)■ OMC■ Organismos especializados
► INTERREGIONALES:■ OCDE■ APEC■ COMMONWEALTH■ OSCE■ OTAN
►REGIONALES: ■ OEA■ UA■ CONSEJO DE EUROPA■ UNIÓN EUROPEA
Arquitectura de Ciberseguridad - Grupo UCyS 22
La ONU: objetivos y funciones► Lucha contra la delincuencia informática
■ Resoluciones de la AGNU■ UNODC: Oficina de la ONU para las drogas y el crimen■ Congresos Mundiales sobre Prevención del Delito y Justicia Penal■ Convención contra la Delincuencia Organizada
► Impulso de la sociedad de la información: Cumbres Mundiales de la Sociedad de la Información (CMSI)
■ Ginebra 2003: Declaración de Principios Construir la Sociedad de la Información: un desafío global para el nuevo milenio y Plan de Acción de Ginebra
■ Túnez 2005: Compromiso de Túnez y Agenda de Túnez para la Sociedad de la Información
■ Agenda de la Solidaridad Digital
Arquitectura de Ciberseguridad - Grupo UCyS 23
LA ITU: objetivos y funciones► Organismo especializado de las Naciones Unidas para las TICs ► Origen, evolución y estructura► Composición: 193 países miembros y más de 700 entidades del
sector privado e instituciones académicas.► Sede en Ginebra (Suiza) y 12 oficinas regionales y de zona en todo
el mundo► Agenda de Ciberseguridad Global: siete objetivos estratégicos
principales basados en cinco áreas de trabajo siguientes: ■ Medidas legales;■ Medidas técnicas y de procedimiento;■ Estructuras institucionales; ■ Creación de capacidades y ■ Cooperación internacional
Arquitectura de Ciberseguridad - Grupo UCyS 24
Estructuras interregionales► OCDE:
■ Armonización del derecho penal contra el ciberdelito■ Directrices de seguridad de los sistemas y redes de
información■ Principios complementarios
► OSCE:■ Aproximación Omnicomprensiva a la Seguridad Cibernética■ Medidas de Fomento de la Confianza y Medidas de Fomento
de la Confianza y la Seguridad:► APEC► Commonwealth► Consejo de Cooperación del Golfo►OTAN
Arquitectura de Ciberseguridad - Grupo UCyS 25
Estructuras regionales► OEA► UA► UNIÓN EUROPEA
■ Lucha contra la ciberdelincuencia■ Sociedad de la información■ Protección de datos
► CONSEJO DE EUROPA:■ Objetivos: Protección de datos, lucha contra la ciberdelincuencia■ Instrumentos.
● Convenio sobre la Ciberdelincuencia (2001)● Protocolo Adicional del Convenio sobre la Ciberdelincuencia, relativo
a la penalización de los actos de naturaleza racista y xenófoba cometidos por medio de sistemas informáticos (2003).
● Convenio del Consejo de Europa para la protección de los niños contra la explotación y el abuso sexual.
Arquitectura de Ciberseguridad - Grupo UCyS 26
3. Articulación normativa► Tipología de infracciones:
■ Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos;
■ Delitos informáticos;■ Delitos relacionados con el contenido; y■ Delitos relacionados con infracciones de la propiedad
intelectual y de los derechos afines. ► Esta clasificación no es totalmente coherente por dos
motivos:■ No se basa en un sólo criterio■ Algunas acciones pueden pertenecer a varias
categorías
Arquitectura de Ciberseguridad - Grupo UCyS 27
A) Delitos contra la C-I-D
► Bienes jurídicos protegidos: confidencialidad, integridad y disponibilidad de los Datos y Sistemas informáticos
► Categorías delictivas■ Acceso ilícito■ Espionaje de datos■ Intervención ilícita■ Manipulación de datos■ Ataques contra la integridad del sistema
Arquitectura de Ciberseguridad - Grupo UCyS 28
a) Acceso ilícito (pirateria de sistemas y programas)
► Casos:■ La irrupción en sitios web protegidos con contraseña■ La burla de la protección de contraseña en un computador.■ La utilización de equipos o programas para obtener una contraseña e irrumpir en el
sistema informático■ La creación de sitios web "falsos" para lograr que el usuario revele su contraseña; y■ La instalación por hardware y software de interceptores de teclado ("keyloggers
► Causas:■ Protección inadecuada e incompleta de los sistemas informáticos■ Aparición de herramientas informáticas automatizando los ataques■ El uso creciente de los ordenadores privados
► Naturaleza: equivalente al acceso ilícito a una propiedad► Régimen jurídico no uniforme:
■ Delito: El mero acceso■ Delito: El acceso sólo cuando
● los sistemas accedidos están protegidos por medidas de seguridad; y/o● el autor tiene malas intenciones; y/o ● se obtienen, modifican o dañan datos.
Arquitectura de Ciberseguridad - Grupo UCyS 29
b) Espionaje de datos► Motivación: el valor de la información confidencial y la capacidad de
acceder a la misma a distancia. ► Técnicas:
■ software para explorar los puertos desprotegidos;■ software para burlar las medidas de protección; e■ "ingeniería social".
► Protección de datos: privados, comerciales y políticos► Métodos:
■ acceder a sistemas informáticos o a un dispositivo de almacenamiento y extraer la información; o
■ manipular a los usuarios para que revelen la información o los códigos de acceso que permitan al delincuente acceder a la información.
► Normativa
Arquitectura de Ciberseguridad - Grupo UCyS 30
c) Intervención ilícita► Casuística:
■ intervenir las comunicaciones entre usuarios (como mensajes e-mail),■ interceptar transferencias de datos (cuando los usuarios suben datos a
los servidores web o acceden a medios de almacenamiento externos por la web) con el fin de registrar el intercambio de información.
► Objetivo: cualquier ...■ infraestructura de comunicaciones (por ejemplo, líneas fijas o
inalámbricas) y■ servicio Internet (por ejemplo, e-mail, charlas o comunicaciones VoIP).
► La mayoría de los procesos de transferencia de datos entre proveedores de infraestructura de Internet o proveedores de servicios Internet están debidamente protegidos y son difíciles de intervenir. No obstante:
■ resultan vulnerables las comunicaciones inalámbricas■ se pueden pinchar las comunicaciones en líneas fijas
Arquitectura de Ciberseguridad - Grupo UCyS 31
d) Manipulación de datos► Los datos informáticos son esenciales para los usuarios privados, las
empresas y las administraciones► La carencia de acceso a los datos puede causar daños (económicos)
considerables.► Los infractores pueden atentar contra la integridad de los datos de las
siguientes formas:■ borrarlos; y/o■ suprimirlos; y/o■ alterarlos; y/o■ restringir el acceso a los mismos.
► Método: Los virus son un ejemplo común de supresión de datos que han evolucionado y se ha generalizado su capacidad de infección por:
■ la manera en que los virus se distribuyen; y■ los efectos.
Arquitectura de Ciberseguridad - Grupo UCyS 32
e) Ataques contra la integridad del sistema
► Categoría autónoma: los ataques a los *sistemas informáticos suscitan las mismas preocupaciones que los ataques a los *datos informáticos agravada:
■ por su capacidad de generar grandes pérdidas económicas y ■ la posibilidad de realizar ataques físicos a los sistemas informáticos.
► Marco general: ■ Penalmente, el daño físico es similar al clásico de daño o destrucción
de propiedad. ■ En el comercio electrónicos, las pérdidas económicas causadas a los
sistemas informáticos son mucho mayores que el costo de los equipos informáticos.
■ Ejemplos de ataques a distancia contra sistemas informáticos son: ● gusanos informáticos; o● ataques de denegación del servicio (DoS).
Arquitectura de Ciberseguridad - Grupo UCyS 33
B) Delitos relacionados con el contenido
► Objeto► Diversidad y complejidad normativas
■ qué es delito y donde es delito■ qué bien jurídico prevalece■ qué finalidad?
► Debate ontológico► Técnicas de control: bloqueo de acceso o establecimiento de filtros► Categorías:
■ Material erótico o pornográfico (salvo infantil )■ Pornografía infantil■ Racismo, lenguaje ofensivo, exaltación de la violencia■ Delitos contra la religión■ Juegos ilegales y juegos en línea■ Difamación e información falsa■ Correo basura y amenazas conexas■ Otras formas de contenido ilícito
Arquitectura de Ciberseguridad - Grupo UCyS 34
a) Material erótico o pornográfico ►Ventajas del comercio en internet:
■ Intercambio menos oneroso■ Acceso mundial■ Anonimato
►Comercialización:■ sitios web,■ sistemas de intercambio de ficheros;■ salas de charla cerradas.
►Penalización variable: general o sólo infantil►Problemas de la persecución: incriminación simple o doble.
Arquitectura de Ciberseguridad - Grupo UCyS 35
b) Pornografía infantil
►Penalización generalizada: normativas internacionales e internas
►Problema: actividad lucrativa y anónima►Problemas en la investigación:
■ La utilización de divisas y pagos anónimos■ La utilización de tecnología de cifrado
Arquitectura de Ciberseguridad - Grupo UCyS 36
c) Racismo, lenguaje ofensivo, exaltación de la violencia
►Origen: grupos radicales y divulgación de propaganda►La distribución por Internet ofrece varias ventajas:
■ los menores costes de distribución, ■ la utilización de equipos no especializados y■ una audiencia mundial
►Régimen jurídico:■ Prohibición o■ Libertad de expresión
►Penalización: no uniforme
Arquitectura de Ciberseguridad - Grupo UCyS 37
d) Delitos contra la religión
►Facilidades de Internet►Diversidad cultural, ideológica y religiosa►Debate: Libertad religiosa v. Libertad de expresión►Divergencia normativa►Penalización no uniforme
Arquitectura de Ciberseguridad - Grupo UCyS 38
e) Juegos ilegales y juegos en línea►Ventajas de Internet: Actividad en expansión y elusión de la
prohibición de juego ► Uso con fines delictivos:
■ intercambio y presentación de pornografía infantil;■ fraude;■ casinos en línea.
►Ingresos en concepto de juegos en línea: de 3 100 millones USD en 2001 a 24 000 millones USD en 2010
►Régimen jurídico no uniforme, divergencias y lagunas legislativas
►Dificultad de la persecución: Incriminación de los proveedores de servicios financieros
Arquitectura de Ciberseguridad - Grupo UCyS 39
f) Difamación e información falsa►Acciones delictivas:
■ publicar información falsa (por ejemplo, sobre los rivales);■ difamar (por ejemplo, escribir mensajes difamatorios o calumnias);■ revelar información confidencial (por ejemplo, publicar secretos de
Estado o información comercial confidencial). ►La difamación daña la reputación y la dignidad de las víctimas en un
grado considerable por varios motivos:■ las declaraciones en línea son accesibles por la audiencia mundial;
el autor pierde el control de la información; y■ aunque la información se corrija o se suprima, puede haber sido
duplicada ("en servidores espejo") y estar en manos de personas que no desean retirarla o suprimirla.
►Equilibrio entre libertad de expresión y protección de la víctimas
Arquitectura de Ciberseguridad - Grupo UCyS 40
g) Correo basura y amenazas conexas y h) otras formas de contenido ilícito
►Correo basura y amenazas conexas:■ Actividad lucrativa con un coste mínimo■ Técnicas de filtrado■ Problema en los PVD
►Otras formas de contenido ilícito: Internet se utiliza para ataques directos y como foro para:
■ solicitar, ofrecer e incitar el crimen;■ la venta ilegal de productos;■ dar información e instrucciones para actos ilícitos (por ejemplo, sobre cómo
construir explosivos);■ Eludir las normas sobre el comercio de diversos productos: médico,
farmacéutico, material militar.►El contrabando dificulta el control de ciertos productos restringidos en un territorio. ►Las tiendas por la web situadas en países sin restricción alguna pueden vender
productos a clientes de otros países, menoscabando así esas limitaciones.
Arquitectura de Ciberseguridad - Grupo UCyS 41
C) Delitos en materia de derechos de autor y de marcas
►Función esencial de Internet: ■ la difusión de información■ Las relaciones económicas y comerciales
►Hay dos grandes categorías de problemas:■ Los falsificadores: pueden utilizar la imagen de marca y
el diseño de una determinada empresa para comercializar productos falsificados, copiar logotipos y productos, y registrar su nombre de dominio
■ Las empresas distribuidoras por Internet: pueden tener problemas de carácter jurídico con las violaciones de los derechos de autor puesto que sus productos se pueden teledescargar, copiar y distribuir.
Arquitectura de Ciberseguridad - Grupo UCyS 42
a) Delitos en materia de derechosde autor
►Digitalización de los productos, servicios y prestaciones ►Modalidades de violación de derechos de autor:
■ intercambio, en sistemas de intercambio de archivos, de programas informáticos, archivos y temas musicales protegidos con derechos de autor;
■ elusión de los sistemas de gestión de derechos en el ámbito digital.
►Tráfico entre tecnologías pares (P2P): más de 50%► Efectos económicos
Arquitectura de Ciberseguridad - Grupo UCyS 43
b) Delitos en materia de marcas► Tipificación no uniforme de las violaciones en materia de marcas. ► Los delitos más graves son:
■ utilización de marcas en actividades delictivas con el propósito de engañar;■ y, los delitos en materia de dominios y nombres.
► Violaciones más frecuentes: ■ La utilización de nombres genéricos y marcas de forma fraudulenta en
numerosas actividades en las que se envían a los usuarios de Internet millones de correos electrónicos similares a los de empresas legítimas consignando su marca.
■ Los delitos en materia de dominios, por ejemplo la ciberocupación ilegal, que describe el procedimiento ilegal de registrar un nombre de dominio idéntico o similar al de la marca de un producto o de una empresa.
■ Las tentativas de vender el dominio a la empresa a un precio más elevado o utilizarlo para vender productos o servicios engañando a los usuarios con su supuesta conexión a la marca.
■ La "apropiación indebida de dominio" o registro de nombres de dominio que han caducado accidentalmente.
Arquitectura de Ciberseguridad - Grupo UCyS 44
D) Delitos informáticos
►Fraude y fraude informático►Falsificación informática►Robo de identidad►Utilización indebida de dispositivos►Combinación de delitos:
■ Ciberterrorismo■ Ciberguerra■ Ciberblanqueo de dinero■ Peska
Arquitectura de Ciberseguridad - Grupo UCyS 45
a) Fraude y fraude informático►Caracteres►Tipificación: ►Distinción entre fraude informático y fraude tradicional►Los fraudes más comunes son:
■ Subasta en línea:● ofrecer mercancías no disponibles para la
venta y exigir su pago antes de la entrega; o● adquirir mercancías y solicitar su envío, sin
intención de pagar por ellas.■ Estafa nigeriana
Arquitectura de Ciberseguridad - Grupo UCyS 46
b) Falsificación informática
►Falsificación informática: manipulación de documentos digitales, por ejemplo:
■ crear un documento que parece provenir de una institución fiable;
■ manipular imágenes electrónicas (por ejemplo, imágenes aportadas como pruebas materiales en los tribunales); o
■ alterar documentos.►Ejemplo: phishing►Problema: crecimiento de la documentación digital
Arquitectura de Ciberseguridad - Grupo UCyS 47
c) ROBO DE IDENTIDAD►Concepto: el acto delictivo de obtener y adoptar de forma
fraudulenta la identidad de otra persona.►Etapas diferentes:
■ Obtención de información relativa a la identidad mediante, por ejemplo, programas informáticos dañinos o ataques destinados a la peska.
■ Interacción con la información obtenida antes de utilizarla en el marco de una actividad delictiva: venta
■ Utilización de la información relativa a la identidad en relación con una actividad delictiva: robo/fraude.
►Métodos►Datos
Arquitectura de Ciberseguridad - Grupo UCyS 48
d) UTILIZACIÓN INDEBIDA DE DISPOSITIVOS
►Objetivo: la comisión de un delito►Herramientas: variedad y disponibilidad►Ciberdelitos más usuales:
■ cometer ataques por denegación de servicio (DoS);■ diseñar virus informáticos;■ desencriptar información; y■ acceder en forma ilegal a sistemas informáticos
►Impacto: aumento exponencial de la ciberdelincuencia por:■ Accesibilidad■ Anonimato
Arquitectura de Ciberseguridad - Grupo UCyS 49
Conclusiones
1) La cooperación internacional: una obligación y una necesidad
2) Principios rectores:■ COMPLEMENTARIEDAD,■ SIMPLIFICACIÓN Y■ TRANSPARENCIA
3) Uniformación/homogeneización normativa
Arquitectura de Ciberseguridad - Grupo UCyS 50
España: Normativas
►Esquema Nacional de Seguridad (ENS, 5/2013) – Directrices para la utilización eficiente de los recursos para preservar la Seguridad Nacional.
■ Capítulo 3 – Ciberamenazas: líneas de acción:● Incremento de la capacidad de prevención,
detección, investigación y respuesta.● Garantía de los SIs de las AAPP● Colaboración internacional● Cultura de la Ciberseguridad para garantizar el
uso seguro de redes y sistemas de información
Arquitectura de Ciberseguridad - Grupo UCyS 51
Normativas (ii)
►Estrategia de Ciberseguridad Nacional (ECN, 2013) – Modelo de Ciberseguridad integrado que garantice la seguridad y progreso de España a través de la coordinación de todas las administraciones públicas entre sí, el sector privado y los ciudadanos, canalizando las iniciativas y esfuerzos internacionales en defensa del ciberespacio.
Arquitectura de Ciberseguridad - Grupo UCyS 52
España: Organismos gubernamentales centráles
► INCIBE – M. Industria, OARI*► CCN – M. Presidencia, OARIN► CNPIC – M. Interior, OARIN► RedIris – M. Industria, OAR► Unidad/Brigada de Delitos Telemáticos de la
Policia/Guardia Civil – M. Interior, OAR► Agencia Española de Protección de Datos – M. Justicia,
C (análisis y sansión de incidentes)► Mando Conjunto de Ciberdefensa – M. Defensa, OARN
* O=Operacional A=Análisis R=Respuesta de incidentes I=Relaciones internacionalesN= Normativa F=Asesoramiento y formación C=Regulador y autoridad de control
Arquitectura de Ciberseguridad - Grupo UCyS 53
España: organismos autonómicos
► Unidades de Delitos Informáticos de los Mossos de Escuadra y de la Ertzaintza - OAR
► CSIRT-CV - OAR► CESICAT - OARF► CERT Andalucía - OAR► Agencias de Protección de Datos Catalana,
Comunidad de Madrid y del País Vasco - C
Arquitectura de Ciberseguridad - Grupo UCyS 54
INCIBE
► El Instituto Nacional de Ciberseguridad es responsable de gestionar a través de su CERT la defensa del ciberespacio relacionado con las PYMES españolas y los ciudadanos en su ámbito doméstico
Arquitectura de Ciberseguridad - Grupo UCyS 55
CCN
►El Centro Criptológico Nacional, dependiente del CNI, gestiona la seguridad del ciberespacio dependiente de cualquiera de los tres niveles de las administraciones públicas: estatal, autonómico y local.
►El CNN-CERT es el centro de alerta nacional que coopera con todas las administraciones públicas para responder a los incidentes de seguridad.
Arquitectura de Ciberseguridad - Grupo UCyS 56
CNPIC
► El Centro Nacional para la Protección de las Infraestructuras Críticas impulsa, coordina y supervisa todas las actividades relacionadas con la protección de infraestructuras críticas fomentando la participación de todos los agentes del sistema en sus correspondientes ámbitos competenciales.
► Infraestructura Crítica (Ley 8/2011): las infraestructuras estratégicas, es decir, aquellas que proporcionan servicios esenciales cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales: alimentación, energía, financieras/tributarias, agua, industria, salud, transporte, etc.
Arquitectura de Ciberseguridad - Grupo UCyS 57
CERT
► Se denomina CERT (Computer Emergency Response Team) a un conjunto de medios y personas responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. También denominados CSIRT (Computer Security Incident Response Team).
► Servicios preventivos:■ Avisos de seguridad■ Búsqueda de vulnerabilidades■ Auditorías o evaluaciones de seguridad■ Configuración y mantenimiento de herramientas de seguridad, aplicaciones e
infraestructuras■ Desarrollo de herramientas de seguridad■ Propagación de información relacionada con la seguridad
► Servicios reactivos■ Gestión de incidentes de seguridad (análisis, respuesta, soporte y coordinación de
incidentes de seguridad)■ Gestión de vulnerabilidades (análisis, respuesta y coordinación de vulnerabilidades
detectadas)
Arquitectura de Ciberseguridad - Grupo UCyS 59
Sistemas de Alerta Temprana de Internet (SAT)
► Detección en tiempo real de las amenazas e incidentes existentes en el tráfico de la red interna de un Organismo e Internet (tráfico direccionamiento público).
► El sistema normaliza la información recolectada por las distintas fuentes.
►Los eventos se consolidan y se centralizan en un único sistema, revisándolos a través de una única consola.
►La correlación avanzada permite detectar eventos mucho más complejos que pudieran involucrar a distintos organismos.
Arquitectura de Ciberseguridad - Grupo UCyS 60
Sistemas Alerta Temprana (SAT)
► Red SARA:■ Servicio para la Intranet Administrativa■ Coordinado con MINHAP■ 49/54 áreas de concexión
► Sondas de Salida de Internet AAPP:■ Servicio por suscripción de Organismos■ Despliegue de sensores■ 50 organismos / 60 sondas
► Sistema Carmen:■ Análisis de log perimetrales (proxy, …)■ Búsqueda de anomalías de tráfico■ 6 sondas
Arquitectura de Ciberseguridad - Grupo UCyS 61
SAT de la Red SARA
►Sistema de correlación de logs de la Red SARA (Sistemas de Aplicaciones y Redes para las Administraciones) que proporciona de forma continua un índice de compromiso y emite alarmas antes cualquier incidente.
►Detecta de forma proactiva las anomalías y ataques del tráfico entre ministerios y organismos
► Dado el volumen de tráfico las alertas se clasifican en niveles de criticidad.
Arquitectura de Ciberseguridad - Grupo UCyS 63
Calsificación de los incidentes
►APT con exfiltración de información
►DDoS►Ataques dirigidos►DoS►Código Dañino específico►Mayoría de incidentes►Ataques externos sin
consecuencias►Código dañino genérico
Muy alto
Bajo / Medio / Alto
Crítico
Arquitectura de Ciberseguridad - Grupo UCyS 64
Sonda de Internet: elementos
►Consta:■ Sonda individual – servidor dedicado de alto rendimiento
con herramientas de detección y monitorización (snort, arpwatch, ntop, p0f, etc.). Dos interfaces de red:● Interfaz de análisis – sin IP, lee trafico relevante de
salida o zona DMZ. Corre agente SIE OSSIM para depuración/envío eventos.
● Interfaz de gestión – conecta con el sistema central (túnel OpenVPN)
■ Sistema central – correlación entre eventos y dominios, notificación al organismo. Consta de servidor en tiempo real, portal web de informes y consola de visualización
Arquitectura de Ciberseguridad - Grupo UCyS 66
Sonda de Internet
►Clasificación y porcentaje de incidentes notificados:
Arquitectura de Ciberseguridad - Grupo UCyS 67
SAT Carmen
► El Centro de Análisis de Registros y Minería de Eventos Nacionales es una herramienta desarrollada por el CCN-CERT que permite el análisis en tiempo real de diversas fuentes de logs.
► Objetivo: Búsqueda de APT ►Basado en diversos modelos matemáticos, utiliza
minería de datos.► Realiza: histogramas de conexiones, bytes
transmitidos, duración conexiones.
1
Arquitectura de ciberseguridad:Normativa y seguridad – Mapas
José Ant. Gómez y Margarita RoblesGrupo UCySUniversidad de Granada – 30 de abril de 2015
Arquitectura de Ciberseguridad - Grupo UCyS 2
Listado de Mapa
► ONU► ITU► ISO► OMC► OTAN► OCDE► OSCE► Commonwealth► APEC► OAE► AU► Consejo de Europa► Unión Europea
Arquitectura de Ciberseguridad - Grupo UCyS 8
Organización para la Cooperación y el Desarrollo Económicos (OCDE)
Arquitectura de Ciberseguridad - Grupo UCyS 9
Organización para la Seguridad y Cooperación en Europa (OSCE)
Recommended