Ciberseguridad: acerca de lo que debemos considerar para enfrentar y asumir la seguridad cibernética

Al parecer se ha descubierto que la seguridad en tiempos de internet es importante. Pero no es así. La problemática de la seguridad computacional es muy antigua, pero hoy en día la seguridad digital adquiere más relevancia por el incremental carácter estratégico de la información en un sociedad que vive y se desarrolla de forma interconectada, viéndose afectados:

• los mercados y el comercio, 
• las relaciones internacionales, 
• la política y el activismo político, 
• la seguridad policial, los movimientos terroristas y el crimen organizado, y
• el capital intelectual y la imagen de las personas y las naciones. 

Por este motivo el "cuidado" de la información es un reto permanente y prioritario en muchas organizaciones y gobiernos. Ante la plétora de términos como ciberseguridad, ciberdefensa, ciberataque, ciberguerra, ciberpaz, entre otros, con este post comento varias ideas que debemos considerar para enfrentar y asumir la ciberseguridad.

La seguridad computacional es antigua y siempre ha sido relevante.

Desde los computadores o sistemas de tiempo compartido (uh! que antiguo suena eso), se registran formalmente ataques e intrusiones no autorizadas. Ya existían personas que desarrollaban programas de computador (también suena antiguo ésto) para clonar páginas y así capturar claves, se ponía código oculto en lenguaje de máquina para conseguir operaciones computacionales ocultas, y así un gran etc.

Desde los años 70 se habla de Caballos de Troya, de amenazas a técnicos de computación para conseguir privilegios, y un gran etc.

Lo que ha estado ocurriendo es que antiguamente los temas de seguridad eran muy acotados a determinadas organizaciones y pocas personas. Ahora, la seguridad afecta a cualquiera y en cualquier sitio. Además, si antes el impacto era grande y costoso para una organización o empresa, ahora lo es para un gobierno y toda una sociedad, o realmente el impacto no tiene fronteras.

Así llegamos a situaciones que podrían ser extremas hoy en día en cuanto a ataques entre gobiernos. Me refiero al caso reportado como "ciberguerra" entre Rusia y Estonia ocurrido entre el 15 de Abril y el 19 de Mayo del 2007. Estonia culpó a Rusia del ataque, pero no ha sido demostrado. Durante los días indicados, los servicios digitales de Estonia fueron bloqueados, primero las páginas web gubernamentales, luego los medios de comunicación, a continuación el sistema bancario, incluyendo ya universidades y otros organismos. 

Este tipo de ataques hoy en día son más organizados, pues no se atacan grandes redes de sistemas o servicios, sino que muchas veces se atacan sistemas claves. No me refiero aquí a la madurez en las técnicas informáticas de ataque, o a la sofisticación de los sistemas computacionales que se emplean, sino a que un ataque informático es un proceso que incluye estrategias, espionaje, e infiltraciones empleando dispositivos humanos y tecnológicos para conseguir los fines esperados.  

Queda así expuesto que la seguridad computacional es un tema relevante en todo momento que hay computadores funcionando o conectados. Pero quiero advertir que la seguridad computacional o informática es un caso de ciberseguridad, pues en la ciberseguridad debemos tener presente situaciones tales como: 

• el robo de computadores, 
• el corte de cables, 
• el soborno de personal, 
• la desconexión o bloqueo físico de cámaras de seguridad o de computadores, 
• el sellado de puertos en computadores, 
• etc. 

Todos estos ejemplos o situaciones actualmente caen en la categoría de la ingeniería tecnológica de seguridad y la ingeniería social de seguridad.

El ciberespacio es un nuevo espacio de seguridad y defensa.

La ciberseguridad se entiende mejor si hablamos de ciberespacio. Ciberespacio no es internet ni se limita a su uso. Ciberespacio aún es algo ambiguo, pero si permite hablar que las fronteras no existen, los riesgos y su gestión son globales en términos de naciones, y universales en términos que afectan a personas sin distinción. El ciberespacio está mundializado y globalizado. 

El ciberespacio es un territorio con una base claramente digital y de infraestructura tecnológica, que incluye además todo un enjambre de normativas y acuerdos internacionales. En este ciberespacio, así como se pueden enfrentar naciones, se pueden encontrar espacios de paz (ciberpaz) basados en compartir información para facilitar la vida de las personas. 

Pero igualmente es un espacio de ciberguerra y de guerra tradicional según los modelos de política y de emociones imperantes entre naciones, países y líderes. 

En este ciberespacio no se relacionan o enfrentan solamente estados u organizaciones delimitadas claramente, se incluyen movimientos plásticos o líquidos que se organizan a discreción: terrorismo, movimientos ambientales, naciones divididas entre territorios, etc. A veces se asocia ciberespacio con cibernentorno, y para efectos de este post serán equivalentes.

Ciberespacio se define, según el Ministerio de Defensa de los Estados Unidos, como un dominio global dentro del entorno de la información, compuesto por una infraestructura de redes de TI interdependientes, que incluye internet, redes de telecomunicaciones, sistemas de información, y controladores y procesadores integrados junto con los usuarios y operadores.   

Robos de información entre 2010 y 2013

En este Ciberespacio opera la ciberseguridad y la ciberdefensa. La primera se entiende más antigua y envuelve a la segunda. 

• La seguridad es la ausencia de riesgo, y la ciberseguridad se centra en la estrategia de defensa y de protección. 
• Según la norma UIT-TX.1205 de la UIT, la ciberseguridad se define como el conjunto de herramientas, protocolos, políticas, conceptos, directrices, procedimientos, métodos de gestión de crisis y de riesgos, actuaciones y salvaguardas, capacitación, prácticas, seguros y contramedidas, y tecnologías para proteger los activos de personas y de organizaciones.

• La defensa es la protección de algo, y la ciberdefensa se centra en llevar adelante esa protección con los instrumentos y capacidades que sean pertinentes. 
• Según la OTAN (NATO por sus siglas en inglés), la ciberdefensa puede hacer que los riesgos remanentes sean aceptables, y es la misma OTAN quien define una política para su espacio en base a los pilares de Subsidiareidad, no duplicación, y seguridad.

En ambos casos se habla de modo activo y pasivo en ciberseguridad y en ciberdefensa. Así tenemos:

• ciberseguridad pasiva, o sea, esperar, 
• ciberseguridad activa, o sea, proactuar, 
• ciberdefensa pasiva, o sea, prepararse para los ataques y actuar ante un ataque, y 
• ciberdefensa activa, o sea, atacar antes de ser atacado.  

Por supuesto, en todas estas definiciones o alcances hay solapamientos pues como es natural en el caso de las tecnologías, conforme éstas avanzan y evolucionan, por el principio de convergencia tecnológica, terminan alterándose los conceptos. 

Si queda claro que internet no es equivalente al ciberespacio, y cuando se confunden hay muchos errores.  

Ciberseguridad en contexto.

Infraestructura, brecha digital y despliegue de internet. 

Se suele asociar el índice de penetración con la seguridad. Las experiencias muestran que un alto índice de penetración no guardan relación con violaciones de seguridad digital o ciberataques. No se aprecia correlación en el riesgo tecnológico. 

Se constata que en países con bajo índice de penetración los ataques tienen más impacto mediático pues la conectividad suele estar en organizaciones y no en personas. En países con alta conectividad, la seguridad es un tema más permeado en la sociedad y hay más impacto y efecto en las demandas políticas de seguridad. 

Los dos casos anteriores se relacionan igualmente con la brecha digital pues, independiente del índice de conectividad, una brecha digital pequeña tiene a las personas y las organizaciones más atentas a la seguridad y abiertas y preparadas a tomar medidas de ciberdefensa. En este ámbito, países más desarrollados y se subentiende con más conectividad  y menos brecha digital, a veces el objetivo de seguridad no es tanto por proteger activos sino cumplir determinados intereses políticos internacionales. 

Por infraestructura entenderemos todos los medios humanos y técnicos para la defensa, protección y ataques cibernéticos, y todos los mecanismos de previsión y análisis, jugando un rol importante sistemas de data analysis de seguridad. Sin embargo, la infraestructura de seguridad puede quedar relegada si las personas no están preparadas o no son conscientes de la importancia de la seguridad.

La infraestructura de seguridad claramente va ligado al interés político en garantizar seguridad. Juega un rol importante la brecha digital del gestor, independiente de la brecha digital de la sociedad. Por supuesto va ligado a la economía y a los objetivos prioritarios de una nación, ya que implican costes importantes y cambios de cultura muy intensos. 

No hemos hablado que la propia infraestructura es siempre objeto de ataques. Y de hecho suele ser lo primero atacado. Por lo mismo la seguridad de infraestructura es clave. Sistemas espejo remotos son soluciones costosas pero muy seguras. Aquí aparecen como clave soluciones organizacionales de seguridad, pero que no la relegan, simplemente la desplazan. 

Antes, nosotros debíamos cuidar la infraestructura y los datos, ahora lo dejamos en manos de entidades que nos proveen servicios de cloud, de big data o de data center. Pero la responsabilidad de la seguridad de la información sigue siendo del custodio legal del dato por ley o por contrato, no solamente del custodio en quien se terceriza la protección física de los datos. 

Cómo las organizaciones se preparar para enfrentar los riesgos de seguridad en sistemas de Big Data -en inglés-.

Concentrar datos en cloud, concentrar servicios en data center, concentrar procesamiento en big data, o centralizar servicios y tráfico en una plataforma, por ejemplo, requiere aumentar los niveles de seguridad más allá de los estándare. Esto se debe a que literalmente ponemos "todos los huevos en una canasta" -o pocas- y además quedamos a expensas y reglas del proveedor de estas infraestructuras y sus servicios. Todo este nuevo fenómeno de cómo se organiza la tecnología, términos de seguridad tiene altos costes y gastos e inversiones continuas.  

Llegado a este punto, queda decir que un país o nación u organización debe invertir en ciberseguridad ya sea porque: 

• por un lado, debe proteger el activo nacional o de sus clientes, y 
• por otro lado, debe garantizar niveles de seguridad altos en cumplimiento de pactos regionales, internacionales, comerciales, o como parte de la nueva ciber-geopolítica o la nueva globalización de los negocios. 

Dentro de este apartado, cabe mencionar que la ciberseguridad involucra la parte normativa, legal y de defensa del patrimonio intelectual. Los dos primeros son evidentes, pues debe existir un marco regulatorio y jurídico que ordene actores de un país u organización (léase privados, públicos, y sociales). 

Sobre la defensa del patrimonio intelectual me refiero a la extensión de la defensa del territorio y de la seguridad nacional. Para entender ésto, hay que usar la óptica de que el conocimiento de un grupo humano dentro de un país u organización es parte de lo invertido por ese país y por ende no puede estar fuera del ámbito territorial del país. Quiero dejar claro que esto es discutible desde la óptica del conocimiento como un bien de la humanidad. 

Sobre lo último hay dos ejemplos que afectan la seguridad que protege o impide la evasión de conocimiento. Hay dos casos distintos que llevan a un análisis más profundo: 

• el uso de los cloud o nubes extraterritoriales o sea datos de las personas de un país almacenados en otros país, o 
• el caso de la cibermuralla China para reforzar su actual proceso de innovación.

Mapa de los cables submarinos al 2015
Mapa en honor de los primero cartógrafos

Mención especial hay que dar a las autopistas submarinas o los cables de comunicación global. Muchas veces dejadas fuera de los análisis de ciberseguridad pero que son variables importantes en el control global de la información. 

Todos estos son elementos de política y economía internacional importantes y relevantes pues su seguridad es un asunto compartido se quiera o no, y en sí mismos son el medio esencial de ataques, junto a las comunicacionales del espectro de las telecomunicaciones y satelitales. Esto es lo que podría denominarse las infraestructuras globales.

En natural observar que la ciberseguridad debe manejar variables importantes pero que no determinan las decisiones a tomar. Se aprecia que en ciberseguridad la penetración de internet es importante, pero dependerá de la brecha digital y de los intereses y marketing políticos, las limitantes económicas, las infraestructuras propias y globales, y los compromisos cibergeopolíticos de un país u organización.

Internet y redes de seguridad. 

Los riesgos de ciberseguridad no tiene relación con los riesgos en internet. La seguridad va ligada con dos cosas:

• Los usos que la gente haga de la tecnología: googlear, mailear, whatssapear, navegar por redes, y comprar online (este último dependerá de otras variables).
• Los conectividad total que se vive en día, que tiene abierta una sociedad, una persona y una organización a miles de centros de información tanto de consumo como de producción.  

Esto hace que se deba pensar en la ciberseguridad con estrategias más amplias que las tradicionales. Incluso a plantear medidas de rediseño arquitectónico de las organizaciones, no solamente de los dispositivos tecnológicos. 

Aquí es donde la idea de sociedad en red cobra fuerza, pues las organizaciones son redes de personas y de tecnologías, y por lo mismo la ciberseguridad lleva a plantearse estrategias y rediseños compartimentalizadas de seguridad en las actuales redes de organizaciones socio-técnicas. Inclusive, generando espacios estancos de seguridad como lo espacios sin wifi, o las bóvedas donde se almacenan copias de datos. 

Como en el caso de las autopistas de información, Internet debe considerarse como una nueva autopista abstracta, cuyo dueño son agentes internacionales, donde la neutralidad de internet depende de nuevos conceptos sobre el valor de la información y cada vez más de intereses políticos y económicos. 

Esto lleva a considerar que la ciberseguridad requiere estructuras de seguridad, tecnológicas y humanas, que se gestionen como redes de seguridad socio-técnicas, conectadas o no-contectadas, que garanticen máxima seguridad o como se plantea en el caso de la ciberdefensa, a aceptar riesgos y consecuencias aceptables. 

Actores y elementos en la ciberseguridad.

A nivel global e internacional. 

• Organismos como la OEA, AMERIPOL y LACNIC generan protocolos de ciberseguridad. 
• La OTAN, la Unión Europea, el Fondo Monetario Internacional y diversos organismos y entidades internacionales trabajan igualmente en el tema.
• La Internet de las Cosas (Internet of Things) ha abierto foros de debate a nivel mundial dada la apertura y visibilidad que hará de las personas y sus comportamientos.
• El Big Data y Cloud han generado medidas y políticas más estrictas de seguridad ante las nuevas opciones de seguimiento, análisis y dependencia personal, tecnológica y organizacional.

A nivel nacional. 

• Entes públicos y privados dedicados y especializados en el tema. Órganos como la policía o el ejército participan muchas veces de forma activa en estos entes o ellos mismos con actores por derecho propio. 
• Empresas privadas que se dedican a ofrecer servicios de ciberseguridad a gobiernos y empresas. 
• Existencia o no de marcos legales claros y bien definidos, y/o a veces conjuntos de prácticas normativas documentadas. 
• Mecanismos organizacionales de seguridad como los CSIRT.

A nivel de apertura y análisis cost-beneficio. 

• Estadísticas de seguridad que suelen ser o no ser públicas, pero si interesa contar con ellas para tomar decisiones y hacer análisis costo-beneficio de invertir en seguridad o en parte. 
• Entes locales o globales suelen entregar estadísticas que ayudan a diseñar estructuras y estrategias preventivas, reactivas, proactivas, etc. 
• Peligro de la incertidumbre sobre los datos o sobre qué hacer. 
• Contramedidas de primer nivel que a veces no van al mismo ritmo de velocidad de sofisticación de ciberataques, ciberespionajes, ciberterrorismo, cibercrimen y ciberactivismo. Esto requiere planificar presupuestos económicos, actualizar conceptos, y reforzar cultura de seguridad. 
• Análisis de granularidad de la seguridad para definir niveles de seguridad, estados de madurez de seguridad, etc.