Ciberseguridad

Compartir Imprimir Citar

La seguridad informática, la ciberseguridad o la seguridad de la tecnología de la información (seguridad de TI) es la protección de los sistemas y redes informáticos contra la divulgación de información, el robo o el daño de su hardware, software o datos electrónicos, así como de la interrupción o el desvío de los servicios. ellos proveen.

El campo se está volviendo cada vez más importante debido a la dependencia cada vez mayor de los sistemas informáticos, Internet y los estándares de redes inalámbricas, como Bluetooth y Wi-Fi, y debido al crecimiento de los dispositivos "inteligentes", incluidos los teléfonos inteligentes, los televisores y los diversos dispositivos. que constituyen el Internet de las cosas (IoT). La ciberseguridad también es uno de los desafíos importantes en el mundo contemporáneo, debido a su complejidad, tanto en términos de uso político como tecnológico. Su objetivo principal es garantizar la confiabilidad, la integridad y la privacidad de los datos del sistema.

Historia

Desde la llegada de Internet y con la transformación digital iniciada en los últimos años, la noción de ciberseguridad se ha convertido en un tema familiar tanto en nuestra vida profesional como personal. La ciberseguridad y las ciberamenazas han sido una constante durante los últimos 50 años de cambio tecnológico. En las décadas de 1970 y 1980, la seguridad informática se limitó principalmente a la academia hasta la concepción de Internet, donde, con una mayor conectividad, los virus informáticos y las intrusiones en la red comenzaron a despegar. Después de la propagación de virus en la década de 1990, la década de 2000 marcó la institucionalización de las ciberamenazas y la ciberseguridad.

Finalmente, a partir de la década de 2010, comenzaron a surgir ataques a gran escala y regulaciones gubernamentales.

La sesión de abril de 1967 organizada por Willis Ware en la Spring Joint Computer Conference y la posterior publicación del Informe Ware fueron momentos fundamentales en la historia del campo de la seguridad informática. El trabajo de Ware abarcaba la intersección de preocupaciones materiales, culturales, políticas y sociales.

Una publicación del NIST de 1977 introdujo la "tríada de la CIA" de confidencialidad, integridad y disponibilidad como una forma clara y sencilla de describir los objetivos clave de seguridad. Si bien siguen siendo relevantes, desde entonces se han propuesto muchos marcos más elaborados.

Sin embargo, las décadas de 1970 y 1980 no tuvieron amenazas informáticas graves porque las computadoras e Internet aún estaban en desarrollo, y las amenazas de seguridad eran fácilmente identificables. La mayoría de las veces, las amenazas procedían de personas internas maliciosas que obtuvieron acceso no autorizado a documentos y archivos confidenciales. Aunque el malware y las brechas en la red existieron durante los primeros años, no los usaron para obtener ganancias financieras. Sin embargo, en la segunda mitad de la década de 1970, empresas informáticas establecidas como IBM comenzaron a ofrecer sistemas comerciales de control de acceso y productos de software de seguridad informática.

Comenzó con Creeper en 1971. Creeper era un programa informático experimental escrito por Bob Thomas en BBN. Se considera el primer gusano informático.

En 1972, se creó el primer software antivirus, llamado Reaper. Fue creado por Ray Tomlinson para moverse a través de ARPANET y eliminar el gusano Creeper.

Entre septiembre de 1986 y junio de 1987, un grupo de hackers alemanes realizó el primer caso documentado de ciberespionaje. El grupo hackeó las redes de contratistas de defensa estadounidenses, universidades y bases militares y vendió la información recopilada a la KGB soviética. El grupo estaba dirigido por Markus Hess, quien fue arrestado el 29 de junio de 1987. Fue condenado por espionaje (junto con dos co-conspiradores) el 15 de febrero de 1990.

En 1988, uno de los primeros gusanos informáticos, llamado gusano Morris, se distribuyó a través de Internet. Ganó una importante atención de los medios de comunicación.

En 1993, Netscape comenzó a desarrollar el protocolo SSL, poco después de que el Centro Nacional para Aplicaciones de Supercomputación (NCSA) lanzara Mosaic 1.0, el primer navegador web, en 1993. Netscape tenía lista la versión 1.0 de SSL en 1994, pero nunca se lanzó al público. debido a muchas vulnerabilidades de seguridad graves. Estas debilidades incluían ataques de reproducción y una vulnerabilidad que permitía a los piratas informáticos alterar las comunicaciones no cifradas enviadas por los usuarios. Sin embargo, en febrero de 1995, Netscape lanzó la Versión 2.0.

Estrategia ofensiva fallida

La Agencia de Seguridad Nacional (NSA) es responsable tanto de la protección de los sistemas de información de EE. UU. como de la recopilación de inteligencia extranjera. Estos dos deberes están en conflicto entre sí. La protección de los sistemas de información incluye la evaluación del software, la identificación de fallas de seguridad y la adopción de medidas para corregir las fallas, lo cual es una acción defensiva. La recopilación de inteligencia incluye la explotación de fallas de seguridad para extraer información, lo cual es una acción ofensiva. La corrección de fallas de seguridad hace que las fallas no estén disponibles para la explotación de la NSA.

La agencia analiza el software de uso común para encontrar fallas de seguridad, que reserva con fines ofensivos contra los competidores de los Estados Unidos. La agencia rara vez toma medidas defensivas informando las fallas a los productores de software para que puedan eliminar las fallas de seguridad.

La estrategia ofensiva funcionó durante un tiempo, pero finalmente, otras naciones, incluidas Rusia, Irán, Corea del Norte y China, adquirieron su propia capacidad ofensiva y tendieron a usarla contra Estados Unidos. Los contratistas de la NSA crearon y vendieron herramientas de ataque de "hacer clic y disparar" a agencias estadounidenses y aliados cercanos, pero finalmente, las herramientas llegaron a adversarios extranjeros. En 2016, las propias herramientas de piratería de la NSA fueron pirateadas y han sido utilizadas por Rusia y Corea del Norte. Los empleados y contratistas de la NSA han sido reclutados con altos salarios por adversarios, ansiosos por competir en la guerra cibernética.

Por ejemplo, en 2007, Estados Unidos e Israel comenzaron a explotar fallas de seguridad en el sistema operativo Microsoft Windows para atacar y dañar equipos utilizados en Irán para refinar materiales nucleares. Irán respondió invirtiendo fuertemente en su propia capacidad de guerra cibernética, que comenzó a usar contra Estados Unidos.

Vulnerabilidades y ataques

Una vulnerabilidad es una debilidad en el diseño, implementación, operación o control interno. La mayoría de las vulnerabilidades que se han descubierto están documentadas en la base de datos de vulnerabilidades y exposiciones comunes (CVE). Una vulnerabilidad explotable es aquella para la que existe al menos un ataque funcional o "explotación". Las vulnerabilidades se pueden investigar, realizar ingeniería inversa, cazar o explotar utilizando herramientas automatizadas o scripts personalizados. Para proteger un sistema informático, es importante comprender los ataques que se pueden realizar contra él, y estas amenazas generalmente se pueden clasificar en una de estas categorías a continuación:

Puerta trasera

Una puerta trasera en un sistema informático, un criptosistema o un algoritmo, es cualquier método secreto para eludir la autenticación normal o los controles de seguridad. Pueden existir por muchas razones, incluso por un diseño original o una mala configuración. Pueden haber sido agregados por una parte autorizada para permitir algún acceso legítimo, o por un atacante por motivos maliciosos; pero independientemente de los motivos de su existencia, crean una vulnerabilidad. Las puertas traseras pueden ser muy difíciles de detectar, y la detección de puertas traseras generalmente la descubre alguien que tiene acceso al código fuente de la aplicación o un conocimiento íntimo del sistema operativo de la computadora.

Ataque de denegación de servicio

Los ataques de denegación de servicio (DoS) están diseñados para hacer que una máquina o recurso de red no esté disponible para sus usuarios previstos.Los atacantes pueden denegar el servicio a víctimas individuales, por ejemplo, ingresando deliberadamente una contraseña incorrecta suficientes veces consecutivas para bloquear la cuenta de la víctima, o pueden sobrecargar las capacidades de una máquina o red y bloquear a todos los usuarios a la vez. Si bien un ataque a la red desde una sola dirección IP se puede bloquear agregando una nueva regla de firewall, son posibles muchas formas de ataques de denegación de servicio distribuido (DDoS), donde el ataque proviene de una gran cantidad de puntos, y la defensa es mucho más difícil.. Dichos ataques pueden originarse en las computadoras zombies de una botnet o en una variedad de otras técnicas posibles, incluidos los ataques de reflexión y amplificación, donde se engaña a los sistemas inocentes para que envíen tráfico a la víctima.

Ataques de acceso directo

Lo más probable es que un usuario no autorizado que obtenga acceso físico a una computadora pueda copiar datos directamente de ella. También pueden comprometer la seguridad al realizar modificaciones en el sistema operativo, instalar gusanos de software, registradores de teclas, dispositivos de escucha encubiertos o usar micrófonos inalámbricos. Incluso cuando el sistema está protegido por medidas de seguridad estándar, estas pueden pasarse por alto iniciando otro sistema operativo o herramienta desde un CD-ROM u otro medio de inicio. El cifrado de disco y el módulo de plataforma segura están diseñados para evitar estos ataques.

Escuchar a escondidas

Escuchar a escondidas es el acto de escuchar subrepticiamente una "conversación" (comunicación) de una computadora privada, generalmente entre hosts en una red. Por ejemplo, el FBI y la NSA han utilizado programas como Carnivore y NarusInSight para espiar los sistemas de los proveedores de servicios de Internet. Incluso las máquinas que funcionan como un sistema cerrado (es decir, sin contacto con el mundo exterior) pueden ser espiadas monitoreando las débiles transmisiones electromagnéticas generadas por el hardware; TEMPEST es una especificación de la NSA que se refiere a estos ataques.

Ataques polimórficos multivectoriales

Surgiendo en 2017, una nueva clase de amenazas cibernéticas polimórficas y multivectoriales combinó varios tipos de ataques y cambió de forma para evitar los controles de seguridad cibernética a medida que se propagaban.

Suplantación de identidad

El phishing es el intento de adquirir información confidencial, como nombres de usuario, contraseñas y datos de tarjetas de crédito, directamente de los usuarios, engañándolos. El phishing generalmente se lleva a cabo mediante la suplantación de identidad por correo electrónico o la mensajería instantánea, y a menudo dirige a los usuarios a ingresar detalles en un sitio web falso cuya "apariencia" y "sensación" son casi idénticas a las del sitio web legítimo. El sitio web falso a menudo solicita información personal, como detalles de inicio de sesión y contraseñas. Esta información se puede usar para obtener acceso a la cuenta real del individuo en el sitio web real. Aprovechando la confianza de la víctima, el phishing puede clasificarse como una forma de ingeniería social. Los atacantes están utilizando formas creativas para obtener acceso a cuentas reales. Una estafa común es que los atacantes envíen facturas electrónicas falsasa personas que muestran que recientemente compraron música, aplicaciones u otros, y les indican que hagan clic en un enlace si las compras no fueron autorizadas.

Escalada de privilegios

La escalada de privilegios describe una situación en la que un atacante con algún nivel de acceso restringido puede, sin autorización, elevar sus privilegios o nivel de acceso. Por ejemplo, un usuario de computadora estándar puede explotar una vulnerabilidad en el sistema para obtener acceso a datos restringidos; o incluso convertirse en "root" y tener acceso completo sin restricciones a un sistema.

Ingeniería inversa

La ingeniería inversa es el proceso mediante el cual se deconstruye un objeto hecho por el hombre para revelar sus diseños, código, arquitectura o para extraer conocimiento del objeto; similar a la investigación científica, con la única diferencia de que la investigación científica se trata de un fenómeno natural.

Ataque de canal lateral

Cualquier sistema computacional afecta su entorno de alguna forma. Este efecto que tiene sobre su entorno incluye una amplia gama de criterios, que pueden ir desde la radiación electromagnética, hasta el efecto residual en las celdas de RAM que, como consecuencia, hacen posible un ataque de arranque en frío, hasta fallas en la implementación del hardware que permiten el acceso y/o adivinar de otros valores que normalmente deberían ser inaccesibles. En los escenarios de ataque de canal lateral, el atacante recopilaría dicha información sobre un sistema o red para adivinar su estado interno y, como resultado, acceder a la información que la víctima supone que es segura.

Ingeniería social

La ingeniería social, en el contexto de la seguridad informática, tiene como objetivo convencer a un usuario para que revele secretos como contraseñas, números de tarjeta, etc. o le conceda acceso físico, por ejemplo, haciéndose pasar por un alto ejecutivo, un banco, un contratista o un cliente. Esto generalmente implica explotar la confianza de las personas y confiar en sus sesgos cognitivos. Una estafa común involucra correos electrónicos enviados al personal del departamento de contabilidad y finanzas, haciéndose pasar por su director ejecutivo y solicitando urgentemente alguna acción. A principios de 2016, el FBI informó que tales estafas de "compromiso de correo electrónico comercial" (BEC) habían costado a las empresas estadounidenses más de $ 2 mil millones en aproximadamente dos años.

En mayo de 2016, el equipo de la NBA de Milwaukee Bucks fue víctima de este tipo de estafa cibernética con un perpetrador que se hizo pasar por el presidente del equipo, Peter Feigin, lo que resultó en la entrega de los formularios de impuestos W-2 de 2015 de todos los empleados del equipo.

Suplantación de identidad

La suplantación de identidad es un acto de hacerse pasar por una entidad válida mediante la falsificación de datos (como una dirección IP o un nombre de usuario), con el fin de obtener acceso a información o recursos que de otro modo no estaría autorizado a obtener. Hay varios tipos de suplantación de identidad, que incluyen:

Manipulación

La manipulación describe una modificación o alteración maliciosa de los datos. Los llamados ataques de Evil Maid y la plantación de servicios de seguridad de la capacidad de vigilancia en los enrutadores son ejemplos.

Malware

El software malicioso (malware) instalado en una computadora puede filtrar información personal, puede dar el control del sistema al atacante y puede eliminar datos de forma permanente.

Cultura de seguridad de la información

El comportamiento de los empleados puede tener un gran impacto en la seguridad de la información en las organizaciones. Los conceptos culturales pueden ayudar a diferentes segmentos de la organización a trabajar de manera efectiva o en contra de la efectividad hacia la seguridad de la información dentro de una organización. La cultura de seguridad de la información es el "...conjunto de patrones de comportamiento en una organización que contribuye a la protección de la información de todo tipo".

Andersson y Reimers (2014) encontraron que los empleados a menudo no se ven a sí mismos como parte del esfuerzo de seguridad de la información de su organización y, a menudo, toman medidas que impiden los cambios organizacionales. De hecho, el Informe de investigaciones de violación de datos de Verizon 2020, que examinó 3950 violaciones de seguridad, descubrió que el 30 % de los incidentes de seguridad cibernética involucraban a actores internos dentro de una empresa. La investigación muestra que la cultura de seguridad de la información debe mejorarse continuamente. En ″Cultura de seguridad de la información del análisis al cambio″, los autores comentaron: ″Es un proceso interminable, un ciclo de evaluación y cambio o mantenimiento″. Para administrar la cultura de seguridad de la información, se deben seguir cinco pasos: evaluación previa, estrategia planeación, planeación operativa, implementación y post-evaluación.

  1. Compromiso de la dirección
  2. Comunicación con los miembros de la organización.
  3. Cursos para todos los miembros de la organización
  4. Compromiso de los empleados

Sistemas en riesgo

El crecimiento en la cantidad de sistemas informáticos y la creciente confianza en ellos por parte de individuos, empresas, industrias y gobiernos significa que hay una cantidad cada vez mayor de sistemas en riesgo.

Sistemas financieros

Los sistemas informáticos de los reguladores financieros y las instituciones financieras como la Comisión de Bolsa y Valores de EE. UU., SWIFT, los bancos de inversión y los bancos comerciales son objetivos de piratería importantes para los ciberdelincuentes interesados ​​en manipular los mercados y obtener ganancias ilícitas. Los sitios web y las aplicaciones que aceptan o almacenan números de tarjetas de crédito, cuentas de corretaje e información de cuentas bancarias también son objetivos importantes de piratería, debido al potencial de ganancias financieras inmediatas de la transferencia de dinero, la realización de compras o la venta de información en el mercado negro. Los sistemas de pago en las tiendas y los cajeros automáticos también han sido manipulados para recopilar datos de cuentas y PIN de los clientes.

Utilidades y equipos industriales

Las computadoras controlan funciones en muchos servicios públicos, incluida la coordinación de telecomunicaciones, la red eléctrica, las plantas de energía nuclear y la apertura y cierre de válvulas en redes de agua y gas. Internet es un vector de ataque potencial para tales máquinas si están conectadas, pero el gusano Stuxnet demostró que incluso los equipos controlados por computadoras que no están conectadas a Internet pueden ser vulnerables. En 2014, el Equipo de preparación para emergencias informáticas, una división del Departamento de Seguridad Nacional, investigó 79 incidentes de piratería informática en empresas de energía.

Aviación

La industria de la aviación depende en gran medida de una serie de sistemas complejos que podrían ser atacados. Un simple corte de energía en un aeropuerto puede tener repercusiones en todo el mundo, gran parte del sistema se basa en transmisiones de radio que podrían verse interrumpidas, y controlar aeronaves sobre los océanos es especialmente peligroso porque la vigilancia por radar solo se extiende de 175 a 225 millas mar adentro. También existe la posibilidad de un ataque desde dentro de un avión.

En Europa, con el (Servicio de red paneuropeo) y NewPENS, y en los EE. UU. con el programa NextGen, los proveedores de servicios de navegación aérea se están moviendo para crear sus propias redes dedicadas.

Las consecuencias de un ataque exitoso van desde la pérdida de confidencialidad hasta la pérdida de la integridad del sistema, interrupciones del control del tráfico aéreo, pérdida de aeronaves e incluso la pérdida de vidas.

Dispositivos de consumo

Las computadoras de escritorio y portátiles suelen ser el objetivo para recopilar contraseñas o información de cuentas financieras, o para construir una red de bots para atacar a otro objetivo. Los teléfonos inteligentes, las tabletas, los relojes inteligentes y otros dispositivos móviles, como los dispositivos autónomos cuantificados, como los rastreadores de actividad, tienen sensores como cámaras, micrófonos, receptores GPS, brújulas y acelerómetros que podrían explotarse y recopilar información personal, incluida información de salud confidencial.. Las redes WiFi, Bluetooth y de telefonía celular en cualquiera de estos dispositivos podrían usarse como vectores de ataque, y los sensores podrían activarse de forma remota después de una violación exitosa.

El creciente número de dispositivos de automatización del hogar, como el termostato Nest, también son objetivos potenciales.

Grandes corporaciones

Las grandes corporaciones son objetivos comunes. En muchos casos, los ataques tienen como objetivo obtener ganancias financieras a través del robo de identidad e involucran violaciones de datos. Los ejemplos incluyen la pérdida de los detalles de las tarjetas de crédito de millones de clientes por parte de Home Depot, Staples, Target Corporation y la violación más reciente de Equifax.

Los registros médicos han sido objeto de robo de identidad en general, fraude de seguros de salud y suplantación de identidad de los pacientes para obtener medicamentos recetados con fines recreativos o de reventa. Aunque las amenazas cibernéticas siguen aumentando, el 62 % de todas las organizaciones no aumentaron la capacitación en seguridad para sus negocios en 2015.

Sin embargo, no todos los ataques tienen una motivación financiera: la empresa de seguridad HBGary Federal sufrió una serie de ataques graves en 2011 por parte del grupo hacktivista Anonymous en represalia porque el director ejecutivo de la empresa afirmó haberse infiltrado en su grupo, y Sony Pictures fue pirateada en 2014 con el aparente doble motivo de avergonzar a la empresa a través de filtraciones de datos y paralizar la empresa borrando estaciones de trabajo y servidores.

Automóviles

Los vehículos están cada vez más computarizados, con sincronización del motor, control de crucero, frenos antibloqueo, tensores de cinturones de seguridad, cerraduras de puertas, bolsas de aire y sistemas avanzados de asistencia al conductor en muchos modelos. Además, los automóviles conectados pueden usar Wi-Fi y Bluetooth para comunicarse con los dispositivos de consumo a bordo y la red de telefonía celular. Se espera que los autos sin conductor sean aún más complejos. Todos estos sistemas conllevan algún riesgo de seguridad, y estos problemas han ganado mucha atención.

Los ejemplos simples de riesgo incluyen un disco compacto malicioso que se usa como vector de ataque y los micrófonos a bordo del automóvil que se usan para escuchar a escondidas. Sin embargo, si se obtiene acceso a la red de área del controlador interno de un automóvil, el peligro es mucho mayor, y en una prueba ampliamente publicitada de 2015, los piratas informáticos secuestraron de forma remota un vehículo a 10 millas de distancia y lo condujeron a una zanja.

Los fabricantes están reaccionando de muchas maneras, con Tesla en 2016 lanzando algunas correcciones de seguridad "por aire" en los sistemas informáticos de sus automóviles. En el área de vehículos autónomos, en septiembre de 2016, el Departamento de Transporte de los Estados Unidos anunció algunos estándares de seguridad iniciales y pidió a los estados que propongan políticas uniformes.

Gobierno

Los sistemas informáticos gubernamentales y militares suelen ser atacados por activistas y potencias extranjeras. La infraestructura del gobierno local y regional, como los controles de semáforos, las comunicaciones de la policía y las agencias de inteligencia, los registros de personal, los registros de estudiantes y los sistemas financieros también son objetivos potenciales, ya que ahora están en gran parte informatizados. Los pasaportes y las tarjetas de identificación del gobierno que controlan el acceso a las instalaciones que usan RFID pueden ser vulnerables a la clonación.

Internet de las cosas y vulnerabilidades físicas

El Internet de las cosas (IoT) es la red de objetos físicos como dispositivos, vehículos y edificios que están integrados con dispositivos electrónicos, software, sensores y conectividad de red que les permite recopilar e intercambiar datos. Se han planteado preocupaciones de que esto se está desarrollando sin la consideración adecuada de los desafíos de seguridad involucrados.

Si bien IoT crea oportunidades para una integración más directa del mundo físico en los sistemas basados ​​en computadoras, también brinda oportunidades para el uso indebido. En particular, a medida que el Internet de las cosas se extiende ampliamente, es probable que los ataques cibernéticos se conviertan en una amenaza cada vez más física (en lugar de simplemente virtual). Si la cerradura de una puerta de entrada está conectada a Internet y se puede bloquear/desbloquear desde un teléfono, entonces un delincuente podría ingresar a la casa con solo presionar un botón desde un teléfono robado o pirateado. Las personas podrían perder mucho más que sus números de tarjeta de crédito en un mundo controlado por dispositivos habilitados para IoT. Los ladrones también han utilizado medios electrónicos para eludir las cerraduras de las puertas de los hoteles que no están conectadas a Internet.

Un ataque que tiene como objetivo la infraestructura física y/o vidas humanas a veces se denomina ataque cibercinético. A medida que los dispositivos y aparatos de IoT ganan terreno, los ataques cibercinéticos pueden generalizarse y ser significativamente dañinos.

Sistemas médicos

Los dispositivos médicos han sido atacados con éxito o se han demostrado vulnerabilidades potencialmente mortales, incluidos equipos de diagnóstico hospitalarios y dispositivos implantados, incluidos marcapasos y bombas de insulina. Hay muchos informes de hospitales y organizaciones hospitalarias que han sido pirateados, incluidos ataques de ransomware, exploits de Windows XP, virus y violaciones de datos confidenciales almacenados en servidores de hospitales. El 28 de diciembre de 2016, la Administración de Drogas y Alimentos de EE. UU. publicó sus recomendaciones sobre cómo los fabricantes de dispositivos médicos deben mantener la seguridad de los dispositivos conectados a Internet, pero no una estructura para su aplicación.

Sector energético

En los sistemas de generación distribuida, el riesgo de un ciberataque es real, según Daily Energy Insider. Un ataque podría causar una pérdida de energía en un área grande durante un largo período de tiempo y tal ataque podría tener consecuencias tan graves como un desastre natural. El Distrito de Columbia está considerando crear una Autoridad de Recursos Energéticos Distribuidos (DER, por sus siglas en inglés) dentro de la ciudad, con el objetivo de que los clientes tengan más información sobre su propio uso de energía y brindarle a la compañía eléctrica local, Pepco, la oportunidad de estimar mejor la demanda de energía.. Sin embargo, la propuesta de DC "permitiría a los proveedores externos crear numerosos puntos de distribución de energía, lo que potencialmente podría crear más oportunidades para que los atacantes cibernéticos amenacen la red eléctrica".

Impacto de las brechas de seguridad

Las brechas de seguridad han causado serios daños financieros, pero debido a que no existe un modelo estándar para estimar el costo de un incidente, los únicos datos disponibles son los que hacen públicos las organizaciones involucradas. "Varias firmas consultoras de seguridad informática producen estimaciones de pérdidas mundiales totales atribuibles a ataques de virus y gusanos y a actos digitales hostiles en general. Las estimaciones de pérdidas de 2003 de estas empresas oscilan entre 13.000 millones de dólares (solo gusanos y virus) y 226.000 millones de dólares (para todas las formas). de ataques encubiertos). La confiabilidad de estas estimaciones a menudo se cuestiona; la metodología subyacente es básicamente anecdótica".

Sin embargo, las estimaciones razonables del costo financiero de las violaciones de seguridad pueden ayudar a las organizaciones a tomar decisiones de inversión racionales. De acuerdo con el modelo clásico de Gordon-Loeb que analiza el nivel óptimo de inversión en seguridad de la información, se puede concluir que la cantidad que una empresa gasta para proteger la información generalmente debe ser solo una pequeña fracción de la pérdida esperada (es decir, el valor esperado de la pérdida resultante). de una brecha de seguridad cibernética/de la información).

Motivación del atacante

Al igual que con la seguridad física, las motivaciones de las violaciones de la seguridad informática varían entre los atacantes. Algunos son buscadores de emociones o vándalos, algunos son activistas, otros son criminales que buscan ganancias financieras. Los atacantes patrocinados por el estado ahora son comunes y cuentan con muchos recursos, pero comenzaron con aficionados como Markus Hess, que pirateaba para la KGB, como relata Clifford Stoll en The Cuckoo's Egg.

Además, las motivaciones de los atacantes recientes se remontan a organizaciones extremistas que buscan obtener una ventaja política o interrumpir las agendas sociales. El crecimiento de Internet, las tecnologías móviles y los dispositivos informáticos económicos han llevado a un aumento de las capacidades, pero también al riesgo para los entornos que se consideran vitales para las operaciones. Todos los entornos objetivo críticos son susceptibles de comprometerse y esto ha llevado a una serie de estudios proactivos sobre cómo migrar el riesgo teniendo en cuenta las motivaciones de este tipo de actores. Existen varias diferencias marcadas entre la motivación de los piratas informáticos y la de los actores del estado nación que buscan atacar en función de una preferencia ideológica.

Una parte estándar del modelado de amenazas para cualquier sistema en particular es identificar qué podría motivar un ataque en ese sistema y quién podría estar motivado para violarlo. El nivel y el detalle de las precauciones variarán según el sistema que se protegerá. Una computadora personal doméstica, un banco y una red militar clasificada enfrentan amenazas muy diferentes, incluso cuando las tecnologías subyacentes en uso son similares.

Protección informática (contramedidas)

En seguridad informática, una contramedida es una acción, dispositivo, procedimiento o técnica que reduce una amenaza, una vulnerabilidad o un ataque al eliminarlo o prevenirlo, al minimizar el daño que puede causar, o al descubrirlo y reportarlo para que se tomen medidas correctivas. puede ser tomado.

Algunas contramedidas comunes se enumeran en las siguientes secciones:

Seguridad por diseño

Seguridad por diseño, o alternativamente seguro por diseño, significa que el software ha sido diseñado desde cero para ser seguro. En este caso, la seguridad se considera como una característica principal.

Algunas de las técnicas en este enfoque incluyen:

Arquitectura de seguridad

La organización Open Security Architecture define la arquitectura de seguridad de TI como "los artefactos de diseño que describen cómo se colocan los controles de seguridad (contramedidas de seguridad) y cómo se relacionan con la arquitectura general de tecnología de la información. Estos controles sirven para mantener los atributos de calidad del sistema: servicios de confidencialidad, integridad, disponibilidad, rendición de cuentas y aseguramiento".

Techopedia define la arquitectura de seguridad como "un diseño de seguridad unificado que aborda las necesidades y los riesgos potenciales involucrados en un determinado escenario o entorno. También especifica cuándo y dónde aplicar los controles de seguridad. El proceso de diseño generalmente es reproducible". Los atributos clave de la arquitectura de seguridad son:

Practicar la arquitectura de seguridad proporciona la base adecuada para abordar sistemáticamente las preocupaciones comerciales, de TI y de seguridad en una organización.

Medidas de seguridad

Un estado de "seguridad" informática es el ideal conceptual, alcanzado mediante el uso de los tres procesos: prevención, detección y respuesta a amenazas. Estos procesos se basan en varias políticas y componentes del sistema, que incluyen lo siguiente:

Hoy en día, la seguridad informática consiste principalmente en medidas "preventivas", como firewalls o un procedimiento de salida. Un cortafuegos se puede definir como una forma de filtrar datos de red entre un host o una red y otra red, como Internet, y se puede implementar como un software que se ejecuta en la máquina y se conecta a la pila de la red (o, en el caso de la mayoría de los sistemas operativos basados ​​en UNIX, como Linux, integrados en el kernel del sistema operativo) para proporcionar filtrado y bloqueo en tiempo real. Otra implementación es el llamado "cortafuegos físico", que consiste en una máquina separada que filtra el tráfico de red. Los cortafuegos son comunes entre las máquinas que están permanentemente conectadas a Internet.

Algunas organizaciones están recurriendo a plataformas de big data, como Apache Hadoop, para ampliar la accesibilidad de los datos y el aprendizaje automático para detectar amenazas persistentes avanzadas.

Sin embargo, relativamente pocas organizaciones mantienen sistemas informáticos con sistemas de detección efectivos, y menos aún cuentan con mecanismos de respuesta organizados. Como resultado, como señala Reuters: "Las empresas por primera vez informan que están perdiendo más por el robo electrónico de datos que por el robo físico de activos". El principal obstáculo para la erradicación efectiva del delito cibernético podría atribuirse a una dependencia excesiva de los cortafuegos y otros sistemas de "detección" automatizados. Sin embargo, es la recopilación de pruebas básicas mediante el uso de dispositivos de captura de paquetes lo que pone a los delincuentes tras las rejas.

Para garantizar una seguridad adecuada, se debe proteger la confidencialidad, integridad y disponibilidad de una red, mejor conocida como la tríada CIA, y se considera la base de la seguridad de la información. Para lograr esos objetivos, se deben emplear medidas de seguridad administrativas, físicas y técnicas. La cantidad de seguridad otorgada a un activo solo puede determinarse cuando se conoce su valor.

Gestión de vulnerabilidades

La gestión de vulnerabilidades es el ciclo de identificación, remediación o mitigación de vulnerabilidades, especialmente en software y firmware. La gestión de vulnerabilidades es parte integral de la seguridad informática y la seguridad de la red.

Las vulnerabilidades se pueden descubrir con un escáner de vulnerabilidades, que analiza un sistema informático en busca de vulnerabilidades conocidas, como puertos abiertos, configuración de software insegura y susceptibilidad al malware. Para que estas herramientas sean efectivas, deben mantenerse actualizadas con cada nueva actualización que publique el proveedor. Por lo general, estas actualizaciones buscarán las nuevas vulnerabilidades que se introdujeron recientemente.

Más allá del escaneo de vulnerabilidades, muchas organizaciones contratan auditores de seguridad externos para ejecutar pruebas de penetración periódicas contra sus sistemas para identificar vulnerabilidades. En algunos sectores, este es un requisito contractual.

Reducción de vulnerabilidades

Si bien es posible la verificación formal de la corrección de los sistemas informáticos, aún no es común. Los sistemas operativos verificados formalmente incluyen seL4 y PikeOS de SYSGO, pero estos representan un porcentaje muy pequeño del mercado.

La autenticación de dos factores es un método para mitigar el acceso no autorizado a un sistema o información confidencial. Requiere "algo que sepas"; una contraseña o PIN, y "algo que tienes"; una tarjeta, dongle, teléfono celular u otra pieza de hardware. Esto aumenta la seguridad ya que una persona no autorizada necesita ambos para obtener acceso.

La ingeniería social y los ataques (físicos) de acceso directo a la computadora solo se pueden prevenir por medios no informáticos, que pueden ser difíciles de hacer cumplir, en relación con la sensibilidad de la información. A menudo se requiere capacitación para ayudar a mitigar este riesgo, pero incluso en entornos altamente disciplinados (por ejemplo, organizaciones militares), los ataques de ingeniería social aún pueden ser difíciles de prever y prevenir.

La inoculación, derivada de la teoría de la inoculación, busca prevenir la ingeniería social y otros trucos o trampas fraudulentos inculcando una resistencia a los intentos de persuasión a través de la exposición a intentos similares o relacionados.

Es posible reducir las posibilidades de un atacante manteniendo los sistemas actualizados con parches y actualizaciones de seguridad, utilizando un escáner de seguridad y/o contratando personas con experiencia en seguridad, aunque ninguno de estos garantiza la prevención de un ataque. Los efectos de la pérdida o el daño de los datos pueden reducirse mediante una cuidadosa copia de seguridad y un seguro.

Mecanismos de protección de hardware

Si bien el hardware puede ser una fuente de inseguridad, como las vulnerabilidades de microchip introducidas maliciosamente durante el proceso de fabricación, la seguridad informática asistida o basada en hardware también ofrece una alternativa a la seguridad informática basada únicamente en software. El uso de dispositivos y métodos como dongles, módulos de plataforma confiable, casos de detección de intrusiones, bloqueos de unidades, deshabilitación de puertos USB y acceso habilitado para dispositivos móviles puede considerarse más seguro debido al acceso físico (o acceso de puerta trasera sofisticado) requerido para ser comprometido. Cada uno de estos se trata con más detalle a continuación.

Sistemas operativos seguros

Un uso del término "seguridad informática" se refiere a la tecnología que se utiliza para implementar sistemas operativos seguros. En la década de 1980, el Departamento de Defensa de los Estados Unidos (DoD) utilizó los estándares del "Libro naranja", pero el estándar internacional actual ISO/IEC 15408, "Criterios comunes" define una serie de niveles de garantía de evaluación progresivamente más estrictos. Muchos sistemas operativos comunes cumplen con el estándar EAL4 de estar "diseñados, probados y revisados ​​metódicamente", pero la verificación formal requerida para los niveles más altos significa que son poco comunes. Un ejemplo de un sistema EAL6 ("Diseño y prueba semiformalmente verificados") es INTEGRITY-178B, que se utiliza en el Airbus A380 y en varios aviones militares.

Codificación segura

En ingeniería de software, la codificación segura tiene como objetivo proteger contra la introducción accidental de vulnerabilidades de seguridad. También es posible crear software diseñado desde cero para ser seguro. Dichos sistemas son "seguros por diseño". Más allá de esto, la verificación formal tiene como objetivo probar la corrección de los algoritmos que subyacen a un sistema; importante para los protocolos criptográficos, por ejemplo.

Capacidades y listas de control de acceso

Dentro de los sistemas informáticos, dos de los principales modelos de seguridad capaces de hacer cumplir la separación de privilegios son las listas de control de acceso (ACL) y el control de acceso basado en roles (RBAC).

Una lista de control de acceso (ACL), con respecto a un sistema de archivos de computadora, es una lista de permisos asociados con un objeto. Una ACL especifica a qué usuarios o procesos del sistema se les otorga acceso a los objetos, así como qué operaciones se permiten en objetos determinados.

El control de acceso basado en roles es un enfoque para restringir el acceso al sistema a usuarios autorizados, utilizado por la mayoría de las empresas con más de 500 empleados, y puede implementar control de acceso obligatorio (MAC) o control de acceso discrecional (DAC).

Otro enfoque, la seguridad basada en la capacidad, se ha restringido principalmente a los sistemas operativos de investigación. Sin embargo, las capacidades también se pueden implementar a nivel de lenguaje, lo que lleva a un estilo de programación que es esencialmente un refinamiento del diseño estándar orientado a objetos. Un proyecto de código abierto en el área es el lenguaje E.

Capacitación en seguridad para usuarios finales

El usuario final es ampliamente reconocido como el eslabón más débil de la cadena de seguridad y se estima que más del 90% de los incidentes y violaciones de seguridad involucran algún tipo de error humano. Entre las formas de errores y errores de juicio más comúnmente registradas se encuentran la mala gestión de contraseñas, el envío de correos electrónicos que contienen datos confidenciales y archivos adjuntos al destinatario equivocado, la incapacidad de reconocer direcciones URL engañosas y de identificar sitios web falsos y archivos adjuntos de correo electrónico peligrosos. Un error común que cometen los usuarios es guardar su identificación de usuario/contraseña en sus navegadores para facilitar el inicio de sesión en los sitios bancarios. Este es un regalo para los atacantes que han obtenido acceso a una máquina por algún medio. El riesgo puede mitigarse mediante el uso de autenticación de dos factores.

Dado que el componente humano del riesgo cibernético es particularmente relevante para determinar el riesgo cibernético global al que se enfrenta una organización, la capacitación en concientización sobre seguridad, en todos los niveles, no solo brinda cumplimiento formal con los mandatos normativos y de la industria, sino que se considera esencial para reducir el riesgo cibernético y proteger a las personas. y empresas de la gran mayoría de las amenazas cibernéticas.

El enfoque en el usuario final representa un cambio cultural profundo para muchos profesionales de la seguridad, que tradicionalmente han abordado la seguridad cibernética exclusivamente desde una perspectiva técnica, y avanza en la línea sugerida por los principales centros de seguridad para desarrollar una cultura de conciencia cibernética dentro de la organización, reconociendo que un usuario consciente de la seguridad proporciona una importante línea de defensa contra los ataques cibernéticos.

Higiene digital

Relacionado con la formación del usuario final, la higiene digital o ciberhigiene es un principio fundamental relacionado con la seguridad de la información y, como muestra la analogía con la higiene personal, equivale a establecer simples medidas rutinarias para minimizar los riesgos de las ciberamenazas. La suposición es que las buenas prácticas de higiene cibernética pueden brindar a los usuarios de la red otra capa de protección, reduciendo el riesgo de que un nodo vulnerable se use para montar ataques o comprometer otro nodo o red, especialmente de ataques cibernéticos comunes. La ciberhigiene tampoco debe confundirse con la ciberdefensa proactiva, un término militar.

A diferencia de una defensa contra las amenazas basada puramente en la tecnología, la higiene cibernética se refiere principalmente a medidas de rutina que son técnicamente simples de implementar y dependen principalmente de la disciplina o la educación. Puede pensarse como una lista abstracta de consejos o medidas que han demostrado tener un efecto positivo en la seguridad digital personal y/o colectiva. Como tal, estas medidas pueden ser realizadas por laicos, no solo por expertos en seguridad.

La ciberhigiene se relaciona con la higiene personal como los virus informáticos se relacionan con los virus biológicos (o patógenos). Sin embargo, mientras que el término virus informático se acuñó casi simultáneamente con la creación de los primeros virus informáticos en funcionamiento, el término higiene cibernética es una invención mucho más tardía, tal vez en el año 2000 por el pionero de Internet Vint Cerf. Desde entonces, ha sido adoptado por el Congreso y el Senado de los Estados Unidos, el FBI, las instituciones de la UE y los jefes de estado.

Respuesta a las infracciones

Responder a los intentos de infracciones de seguridad suele ser muy difícil por una variedad de razones, que incluyen:

Cuando un ataque tiene éxito y se produce una infracción, muchas jurisdicciones cuentan ahora con leyes obligatorias de notificación de infracciones de seguridad.

Tipos de seguridad y privacidad.

Planificación de respuesta a incidentes

La respuesta a incidentes es un enfoque organizado para abordar y gestionar las consecuencias de un incidente o compromiso de seguridad informática con el objetivo de prevenir una infracción o frustrar un ataque cibernético. Un incidente que no se identifica y gestiona en el momento de la intrusión normalmente se convierte en un evento más perjudicial, como una filtración de datos o un fallo del sistema. El resultado previsto de un plan de respuesta a incidentes de seguridad informática es contener el incidente, limitar los daños y ayudar a la recuperación de los negocios como de costumbre. Responder rápidamente a los compromisos puede mitigar las vulnerabilidades explotadas, restaurar servicios y procesos y minimizar las pérdidas. La planificación de respuesta a incidentes permite a una organización establecer una serie de mejores prácticas para detener una intrusión antes de que cause daños. Los planes típicos de respuesta a incidentes contienen un conjunto de instrucciones escritas que describen la respuesta de la organización a un ciberataque. Sin un plan documentado, es posible que una organización no detecte con éxito una intrusión o un compromiso y que las partes interesadas no comprendan sus funciones, procesos y procedimientos durante una escalada, lo que ralentiza la respuesta y la resolución de la organización.

Hay cuatro componentes clave de un plan de respuesta a incidentes de seguridad informática:

  1. Preparación: preparar a las partes interesadas sobre los procedimientos para manejar incidentes o compromisos de seguridad informática
  2. Detección y análisis: Identificar e investigar actividades sospechosas para confirmar un incidente de seguridad, priorizando la respuesta en función del impacto y coordinando la notificación del incidente
  3. Contención, erradicación y recuperación: aislamiento de los sistemas afectados para evitar la escalada y limitar el impacto, identificar el origen del incidente, eliminar el malware, los sistemas afectados y los malos actores del entorno y restaurar los sistemas y los datos cuando ya no exista una amenaza.
  4. Actividad posterior al incidente: Análisis post mortem del incidente, su causa raíz y la respuesta de la organización con la intención de mejorar el plan de respuesta al incidente y los esfuerzos de respuesta futuros.

Ataques e infracciones notables

A continuación se dan algunos ejemplos ilustrativos de diferentes tipos de violaciones de la seguridad informática.

Robert Morris y el primer gusano informático

En 1988, 60.000 computadoras estaban conectadas a Internet y la mayoría eran mainframes, minicomputadoras y estaciones de trabajo profesionales. El 2 de noviembre de 1988, muchos comenzaron a ralentizarse porque estaban ejecutando un código malicioso que exigía tiempo de procesador y se propagaba a otras computadoras: el primer "gusano informático" de Internet. El software se remonta a Robert Tappan Morris, estudiante graduado de la Universidad de Cornell, de 23 años, quien dijo que "quería contar cuántas máquinas estaban conectadas a Internet".

Laboratorio de Roma

En 1994, más de cien intrusiones fueron realizadas por crackers no identificados en el Laboratorio Rome, la principal instalación de comando e investigación de la Fuerza Aérea de EE.UU. Usando caballos de Troya, los piratas informáticos pudieron obtener acceso sin restricciones a los sistemas de red de Rome y eliminar los rastros de sus actividades. Los intrusos pudieron obtener archivos clasificados, como datos de sistemas de orden de tareas aéreas y, además, pudieron penetrar en las redes conectadas del Centro de Vuelo Espacial Goddard de la Administración Nacional de Aeronáutica y del Espacio, la Base de la Fuerza Aérea Wright-Patterson, algunos contratistas de Defensa y otras organizaciones del sector privado., haciéndose pasar por un usuario de confianza del centro de Roma.

Detalles de la tarjeta de crédito del cliente TJX

A principios de 2007, la empresa estadounidense de ropa y artículos para el hogar TJX anunció que había sido víctima de una intrusión no autorizada en los sistemas informáticos y que los piratas informáticos habían accedido a un sistema que almacenaba datos sobre tarjetas de crédito, tarjetas de débito, cheques y transacciones de devolución de mercancías.

Ataque Stuxnet

En 2010, el gusano informático conocido como Stuxnet arruinó casi una quinta parte de las centrifugadoras nucleares de Irán. Lo hizo interrumpiendo los controladores lógicos programables (PLC) industriales en un ataque dirigido. En general, se cree que esto fue lanzado por Israel y Estados Unidos para interrumpir el programa nuclear de Irán, aunque ninguno de los dos lo ha admitido públicamente.

Divulgaciones de vigilancia global

A principios de 2013, The Washington Post y The Guardian publicaron documentos proporcionados por Edward Snowden que exponían la escala masiva de vigilancia global de la NSA. También hubo indicios de que la NSA pudo haber insertado una puerta trasera en un estándar NIST para el cifrado. Este estándar fue posteriormente retirado debido a las críticas generalizadas. También se reveló que la NSA había aprovechado los enlaces entre los centros de datos de Google.

Infracciones de Target y Home Depot

Un hacker ucraniano conocido como Rescator irrumpió en las computadoras de Target Corporation en 2013, robando aproximadamente 40 millones de tarjetas de crédito, y luego en las computadoras de Home Depot en 2014, robando entre 53 y 56 millones de números de tarjetas de crédito.Se entregaron advertencias en ambas corporaciones, pero se ignoraron; Se cree que las infracciones de seguridad física que utilizan máquinas de autopago han jugado un papel importante. "El malware utilizado es absolutamente sencillo y poco interesante", dice Jim Walter, director de operaciones de inteligencia de amenazas en la empresa de tecnología de seguridad McAfee, lo que significa que los atracos podrían haberse detenido fácilmente con el software antivirus existente si los administradores hubieran respondido a las advertencias. El tamaño de los robos ha llamado la atención de las autoridades estatales y federales de los Estados Unidos y la investigación está en curso.

Violación de datos de la Oficina de Administración de Personal

En abril de 2015, la Oficina de Administración de Personal descubrió que había sido pirateada más de un año antes en una violación de datos, lo que resultó en el robo de aproximadamente 21,5 millones de registros de personal manejados por la oficina. El hackeo de la Oficina de Administración de Personal ha sido descrito por funcionarios federales como una de las mayores violaciones de datos gubernamentales en la historia de los Estados Unidos. Los datos objetivo de la filtración incluían información de identificación personal, como números de Seguro Social, nombres, fechas y lugares de nacimiento, direcciones y huellas dactilares de empleados gubernamentales actuales y anteriores, así como de cualquier persona que se haya sometido a una verificación de antecedentes del gobierno. Se cree que el ataque fue perpetrado por piratas informáticos chinos.

Violación de Ashley Madison

En julio de 2015, un grupo de piratas informáticos conocido como "The Impact Team" logró violar el sitio web de relaciones extramatrimoniales Ashley Madison, creado por Avid Life Media. El grupo afirmó que no solo habían tomado datos de la empresa, sino también datos de usuarios. Después de la violación, The Impact Team envió correos electrónicos del director ejecutivo de la empresa para probar su punto y amenazó con eliminar los datos de los clientes a menos que el sitio web fuera eliminado de forma permanente". Cuando Avid Life Media no desconectó el sitio, el grupo lanzó dos más comprimidos archivos, uno de 9,7 GB y el segundo de 20 GB. Después del segundo volcado de datos, el director ejecutivo de Avid Life Media, Noel Biderman, renunció, pero el sitio web siguió funcionando.

Ataque de ransomware Colonial Pipeline

En junio de 2021, el ataque cibernético derribó el oleoducto de combustible más grande de los EE. UU. y provocó escasez en toda la costa este.

Asuntos legales y regulación global

Los problemas legales internacionales de los ataques cibernéticos son de naturaleza complicada. No existe una base global de reglas comunes para juzgar, y eventualmente castigar, los delitos cibernéticos y los ciberdelincuentes, y cuando las empresas o agencias de seguridad localizan al ciberdelincuente detrás de la creación de una pieza particular de malware o forma de ciberataque, a menudo las autoridades locales no pueden tomar acción debido a la falta de leyes bajo las cuales enjuiciar. Probar la atribución de delitos cibernéticos y ataques cibernéticos también es un problema importante para todas las agencias de aplicación de la ley. "Los virus informáticos cambian de un país a otro, de una jurisdicción a otra, moviéndose por todo el mundo, aprovechando el hecho de que no tenemos la capacidad de supervisar operaciones globales como esta. Así que Internet es como si alguien [hubiera] dado Boletos de avión gratis para todos los delincuentes en línea del mundo.El uso de técnicas como DNS dinámico, flujo rápido y servidores a prueba de balas se suman a la dificultad de la investigación y la aplicación.

Papel del gobierno

El papel del gobierno es hacer regulaciones para obligar a las empresas y organizaciones a proteger sus sistemas, infraestructura e información de cualquier ataque cibernético, pero también para proteger su propia infraestructura nacional, como la red eléctrica nacional.

El papel regulador del gobierno en el ciberespacio es complicado. Para algunos, el ciberespacio fue visto como un espacio virtual que permanecería libre de la intervención del gobierno, como se puede ver en muchas de las discusiones libertarias de blockchain y bitcoin de hoy.

Muchos funcionarios gubernamentales y expertos piensan que el gobierno debería hacer más y que existe una necesidad crucial de mejorar la regulación, principalmente debido al fracaso del sector privado para resolver de manera eficiente el problema de la seguridad cibernética. R. Clarke dijo durante un panel de discusión en la Conferencia de Seguridad de RSA en San Francisco, que cree que "la industria solo responde cuando amenaza con la regulación. Si la industria no responde (a la amenaza), debe cumplir". Por otro lado, los ejecutivos del sector privado coinciden en que las mejoras son necesarias, pero piensan que la intervención del gobierno afectaría su capacidad de innovar de manera eficiente. Daniel R. McCarthy analizó esta asociación público-privada en ciberseguridad y reflexionó sobre el papel de la ciberseguridad en la constitución más amplia del orden político.

El 22 de mayo de 2020, el Consejo de Seguridad de la ONU celebró su segunda reunión informal sobre ciberseguridad para centrarse en los desafíos cibernéticos para la paz internacional. Según el secretario general de la ONU, António Guterres, las nuevas tecnologías se utilizan con demasiada frecuencia para violar los derechos.

Acciones internacionales

Existen muchos equipos y organizaciones diferentes, que incluyen:

Europa

El 14 de abril de 2016, el Parlamento Europeo y el Consejo de la Unión Europea adoptaron el Reglamento General de Protección de Datos (RGPD) (UE) 2016/679. GDPR, que entró en vigor a partir del 25 de mayo de 2018, proporciona protección de datos y privacidad para todas las personas dentro de la Unión Europea (UE) y el Espacio Económico Europeo (EEE). GDPR requiere que los procesos comerciales que manejan datos personales se construyan con protección de datos por diseño y por defecto. GDPR también requiere que ciertas organizaciones designen un Oficial de Protección de Datos (DPO).

Acciones nacionales

Equipos de respuesta a emergencias informáticas

La mayoría de los países tienen su propio equipo de respuesta a emergencias informáticas para proteger la seguridad de la red.

Canadá

Desde 2010, Canadá cuenta con una estrategia de ciberseguridad. Este funciona como un documento de contraparte a la Estrategia Nacional y Plan de Acción para Infraestructura Crítica. La estrategia tiene tres pilares principales: asegurar los sistemas gubernamentales, asegurar los sistemas cibernéticos privados vitales y ayudar a los canadienses a estar seguros en línea. También existe un marco de gestión de incidentes cibernéticos para proporcionar una respuesta coordinada en caso de un incidente cibernético.

El Centro Canadiense de Respuesta a Incidentes Cibernéticos (CCIRC) es responsable de mitigar y responder a las amenazas a la infraestructura crítica y los sistemas cibernéticos de Canadá. Brinda soporte para mitigar las amenazas cibernéticas, soporte técnico para responder y recuperarse de ataques cibernéticos dirigidos, y proporciona herramientas en línea para miembros de los sectores de infraestructura crítica de Canadá. Publica boletines regulares de seguridad cibernética y opera una herramienta de informes en línea donde las personas y las organizaciones pueden informar un incidente cibernético.

Para informar al público en general sobre cómo protegerse en línea, Public Safety Canada se ha asociado con STOP.THINK.CONNECT, una coalición de organizaciones gubernamentales, del sector privado y sin fines de lucro, y lanzó el Programa de Cooperación en Seguridad Cibernética. También ejecutan el portal GetCyberSafe para ciudadanos canadienses y el Mes de Concientización sobre Seguridad Cibernética durante octubre.

Public Safety Canada tiene como objetivo comenzar una evaluación de la estrategia de seguridad cibernética de Canadá a principios de 2015.

Porcelana

Grupo líder central de China para la seguridad e informatización de Internet (chino: Grupo líder central para la seguridad e informatización de Internet)) se estableció el 27 de febrero de 2014. Este Grupo Liderante Pequeño (LSG, por sus siglas en inglés) del Partido Comunista Chino está encabezado por el propio Secretario General Xi Jinping y cuenta con los responsables de la toma de decisiones relevantes del Partido y del Estado. El LSG fue creado para superar las políticas incoherentes y la superposición de responsabilidades que caracterizaron los antiguos mecanismos de toma de decisiones en el ciberespacio de China. El LSG supervisa la formulación de políticas en los campos económico, político, cultural, social y militar en relación con la seguridad de la red y la estrategia de TI. Este LSG también coordina importantes iniciativas políticas en el ámbito internacional que promueven normas y estándares favorecidos por el gobierno chino y que enfatizan el principio de soberanía nacional en el ciberespacio.

Alemania

Berlín inicia la Iniciativa Nacional de Defensa Cibernética: El 16 de junio de 2011, el Ministro del Interior alemán inauguró oficialmente el nuevo NCAZ (Centro Nacional de Defensa Cibernética) Nationales Cyber-Abwehrzentrum alemán ubicado en Bonn. La NCAZ coopera estrechamente con BSI (Oficina federal para la seguridad de la información) Bundesamt für Sicherheit in der Informationstechnik, BKA (Organización de la policía federal) Bundeskriminalamt (Deutschland), BND (Servicio federal de inteligencia) Bundesnachrichtendienst, MAD (Servicio de inteligencia militar) Amt für den Militärischen Abschirmdienst y otras organizaciones nacionales en Alemania que se ocupan de los aspectos de seguridad nacional. Según el Ministro, la tarea principal de la nueva organización fundada el 23 de febrero de 2011 es detectar y prevenir ataques contra la infraestructura nacional e incidentes mencionados como Stuxnet.

India

Se han incorporado algunas disposiciones para la seguridad cibernética en las reglas enmarcadas en la Ley de Tecnología de la Información de 2000.

La Política Nacional de Seguridad Cibernética 2013 es un marco de política del Ministerio de Electrónica y Tecnologías de la Información (MeitY) que tiene como objetivo proteger la infraestructura pública y privada de los ataques cibernéticos y salvaguardar "la información, como la información personal (de los usuarios de la web), financiera y información bancaria y datos soberanos". CERT-In es la agencia nodal que monitorea las amenazas cibernéticas en el país. También se ha creado el puesto de Coordinador Nacional de Seguridad Cibernética en la Oficina del Primer Ministro (PMO).

La Ley de Empresas Indias de 2013 también ha introducido obligaciones de ciberseguridad y ciberseguridad por parte de los directores indios. Algunas disposiciones para la seguridad cibernética se han incorporado en las reglas enmarcadas en la Actualización de la Ley de Tecnología de la Información de 2000 en 2013.

Corea del Sur

Luego de los ataques cibernéticos en la primera mitad de 2013, cuando el gobierno, los medios de comunicación, las estaciones de televisión y los sitios web de los bancos se vieron comprometidos, el gobierno nacional se comprometió a capacitar a 5000 nuevos expertos en seguridad cibernética para 2017. El gobierno de Corea del Sur culpó a su contraparte del norte por estos ataques, así como incidentes ocurridos en 2009, 2011 y 2012, pero Pyongyang niega las acusaciones.

Estados Unidos

Legislación

El 18 USC § 1030 de 1986, la Ley de Abuso y Fraude Informático es la legislación clave. Prohíbe el acceso no autorizado o el daño de las "computadoras protegidas" como se define en 18 USC § 1030(e)(2). Aunque se han propuesto varias otras medidas, ninguna ha tenido éxito.

En 2013, se firmó la orden ejecutiva 13636 Mejora de la ciberseguridad de la infraestructura crítica, que impulsó la creación del Marco de ciberseguridad del NIST.

En respuesta al ataque de ransomware Colonial Pipeline, el presidente Joe Biden firmó la Orden Ejecutiva 14028 el 12 de mayo de 2021 para aumentar los estándares de seguridad del software para las ventas al gobierno, reforzar la detección y la seguridad en los sistemas existentes, mejorar el intercambio de información y la capacitación, establecer una seguridad cibernética Revise la Junta y mejore la respuesta a incidentes.

Servicios estandarizados de pruebas gubernamentales

La Administración de Servicios Generales (GSA) ha estandarizado el servicio de "prueba de penetración" como un servicio de soporte previamente examinado, para abordar rápidamente las posibles vulnerabilidades y detener a los adversarios antes de que afecten a los gobiernos federal, estatal y local de EE. UU. Estos servicios se conocen comúnmente como Servicios de ciberseguridad altamente adaptables (HACS).

Agencias

El Departamento de Seguridad Nacional tiene una división dedicada responsable del sistema de respuesta, el programa de gestión de riesgos y los requisitos de seguridad cibernética en los Estados Unidos llamada División Nacional de Seguridad Cibernética. La división alberga las operaciones de US-CERT y el Sistema Nacional de Alerta Cibernética. El Centro Nacional de Integración de Comunicaciones y Ciberseguridad reúne a las organizaciones gubernamentales responsables de proteger las redes informáticas y la infraestructura en red.

La tercera prioridad de la Oficina Federal de Investigaciones (FBI) es: "Proteger a los Estados Unidos contra ataques cibernéticos y delitos de alta tecnología", y ellos, junto con el Centro Nacional de Delitos de Cuello Blanco (NW3C) y la Oficina of Justice Assistance (BJA) son parte del grupo de trabajo de varias agencias, el Centro de Quejas de Delitos en Internet, también conocido como IC3.

Además de sus funciones específicas, el FBI participa junto con organizaciones sin fines de lucro como InfraGard.

La Sección de Delitos Informáticos y Propiedad Intelectual (CCIPS) opera en la División Criminal del Departamento de Justicia de los Estados Unidos. El CCIPS se encarga de investigar los delitos informáticos y los delitos contra la propiedad intelectual y está especializado en la búsqueda e incautación de pruebas digitales en ordenadores y redes. En 2017, CCIPS publicó A Framework for a Vulnerability Disclosure Program for Online Systems para ayudar a las organizaciones a "describir claramente la conducta autorizada de divulgación y descubrimiento de vulnerabilidades, lo que reduce sustancialmente la probabilidad de que dichas actividades descritas resulten en una violación civil o penal de la ley en virtud de Computer Ley de fraude y abuso (18 USC § 1030)."

El Comando Cibernético de los Estados Unidos, también conocido como USCYBERCOM, "tiene la misión de dirigir, sincronizar y coordinar la planificación y las operaciones del ciberespacio para defender y promover los intereses nacionales en colaboración con socios nacionales e internacionales". No tiene ningún papel en la protección de las redes civiles.

El papel de la Comisión Federal de Comunicaciones de EE. UU. en ciberseguridad es fortalecer la protección de la infraestructura de comunicaciones crítica, ayudar a mantener la confiabilidad de las redes durante los desastres, ayudar en la recuperación rápida después y garantizar que los primeros en responder tengan acceso a servicios de comunicaciones efectivos.

La Administración de Alimentos y Medicamentos ha emitido una guía para dispositivos médicos, y la Administración Nacional de Seguridad del Tráfico en las Carreteras se preocupa por la ciberseguridad automotriz. Después de ser criticado por la Oficina de Responsabilidad Gubernamental, y luego de ataques exitosos en aeropuertos y ataques reclamados en aviones, la Administración Federal de Aviación ha dedicado fondos para asegurar los sistemas a bordo de los aviones de fabricantes privados y el Sistema de Informes y Direccionamiento de Comunicaciones de Aeronaves. También se han planteado preocupaciones sobre el futuro Sistema de Transporte Aéreo de Próxima Generación.

Equipo de preparación para emergencias informáticas

"Equipo de respuesta a emergencias informáticas" es un nombre que se le da a los grupos de expertos que manejan incidentes de seguridad informática. En los EE. UU., existen dos organizaciones distintas, aunque trabajan en estrecha colaboración.

Guerra moderna

Existe una creciente preocupación de que el ciberespacio se convierta en el próximo teatro de guerra. Como escribió Mark Clayton de The Christian Science Monitor en un artículo de 2015 titulado "La nueva carrera armamentista cibernética":

En el futuro, las guerras no serán solo peleadas por soldados con armas o con aviones que lanzan bombas. También se combatirán con el clic de un mouse a medio mundo de distancia que desata programas informáticos cuidadosamente armados que interrumpen o destruyen industrias críticas como servicios públicos, transporte, comunicaciones y energía. Dichos ataques también podrían desactivar las redes militares que controlan el movimiento de tropas, la ruta de los aviones de combate, el comando y control de los buques de guerra.

Esto ha dado lugar a nuevos términos como guerra cibernética y terrorismo cibernético. El Comando Cibernético de los Estados Unidos se creó en 2009 y muchos otros países tienen fuerzas similares.

Hay algunas voces críticas que cuestionan si la ciberseguridad es una amenaza tan importante como se pretende.

Carreras

La ciberseguridad es un campo de TI de rápido crecimiento que se preocupa por reducir el riesgo de piratería o filtraciones de datos de las organizaciones. Según una investigación de Enterprise Strategy Group, el 46 % de las organizaciones dicen que tienen una "escasez problemática" de habilidades en ciberseguridad en 2016, frente al 28 % en 2015. Las organizaciones comerciales, gubernamentales y no gubernamentales emplean a profesionales de ciberseguridad. Los aumentos más rápidos en la demanda de trabajadores de ciberseguridad se encuentran en industrias que gestionan volúmenes cada vez mayores de datos de consumidores, como finanzas, atención médica y venta minorista. Sin embargo, el uso del término "ciberseguridad" es más frecuente en las descripciones de puestos gubernamentales.

Los títulos y descripciones típicos de los trabajos de seguridad cibernética incluyen:

Analista de seguridad

Analiza y evalúa las vulnerabilidades en la infraestructura (software, hardware, redes), investiga utilizando las herramientas y contramedidas disponibles para remediar las vulnerabilidades detectadas y recomienda soluciones y mejores prácticas. Analiza y evalúa el daño a los datos/infraestructura como resultado de incidentes de seguridad, examina las herramientas y procesos de recuperación disponibles y recomienda soluciones. Pruebas de cumplimiento de políticas y procedimientos de seguridad. Puede ayudar en la creación, implementación o gestión de soluciones de seguridad.

Ingeniero de seguridad

Realiza monitoreo de seguridad, análisis de seguridad y datos/registros, y análisis forense, para detectar incidentes de seguridad y montar la respuesta a incidentes. Investiga y utiliza nuevas tecnologías y procesos para mejorar las capacidades de seguridad e implementar mejoras. También puede revisar el código o realizar otras metodologías de ingeniería de seguridad.

Arquitecto de seguridad

Diseña un sistema de seguridad o los principales componentes de un sistema de seguridad y puede encabezar un equipo de diseño de seguridad que construye un nuevo sistema de seguridad.

Administrador de seguridad

Instala y administra sistemas de seguridad en toda la organización. Este puesto también puede incluir asumir algunas de las tareas de un analista de seguridad en organizaciones más pequeñas.

Director de seguridad de la información (CISO)

Un puesto de gestión de alto nivel responsable de toda la división/personal de seguridad de la información. El puesto puede incluir trabajo técnico práctico.

Director de Seguridad (CSO)

Un puesto de gestión de alto nivel responsable de toda la división/personal de seguridad. Ahora se considera necesario un puesto más nuevo a medida que aumentan los riesgos de seguridad.

Delegado de Protección de Datos (DPO)

Un DPO tiene la tarea de supervisar el cumplimiento del RGPD del Reino Unido y otras leyes de protección de datos, nuestras políticas de protección de datos, la concienciación, la formación y las auditorías.

Consultor de Seguridad/Especialista/Inteligencia

Títulos amplios que abarcan cualquiera o todos los demás roles o títulos encargados de proteger computadoras, redes, software, datos o sistemas de información contra virus, gusanos, spyware, malware, detección de intrusos, acceso no autorizado, ataques de denegación de servicio y una lista cada vez mayor de ataques de piratas informáticos que actúan como individuos o como parte del crimen organizado o gobiernos extranjeros.

Los programas para estudiantes también están disponibles para las personas interesadas en comenzar una carrera en seguridad cibernética. Mientras tanto, una opción flexible y efectiva para que los profesionales de seguridad de la información de todos los niveles de experiencia sigan estudiando es la capacitación en seguridad en línea, incluidos los webcasts. También hay disponible una amplia gama de cursos certificados.

En el Reino Unido, se estableció un conjunto nacional de foros de seguridad cibernética, conocido como el Foro de Seguridad Cibernética del Reino Unido, con el apoyo de la estrategia de seguridad cibernética del gobierno para alentar la creación de empresas y la innovación y abordar la brecha de habilidades identificada por el gobierno del Reino Unido.

En Singapur, la Agencia de Seguridad Cibernética ha emitido un Marco de competencias de ciberseguridad (OTCCF) de tecnología operativa (OT) de Singapur. El marco define los roles emergentes de ciberseguridad en la tecnología operativa. La OTCCF fue respaldada por la Autoridad de Desarrollo de Medios de Infocomm (IMDA). Describe los diferentes puestos de trabajo de ciberseguridad de OT, así como las habilidades técnicas y las competencias básicas necesarias. También describe las muchas trayectorias profesionales disponibles, incluidas las oportunidades de avance vertical y lateral.

Terminología

A continuación se explican los siguientes términos utilizados en relación con la seguridad informática:

Eruditos notables