La seguridad informática

Compartir Imprimir Citar
Protección de los sistemas informáticos contra la divulgación de información, el robo o el daño
Aunque la mayoría de los aspectos de la seguridad informática implican medidas digitales como contraseñas electrónicas y cifrado, las medidas de seguridad física, como las cerraduras metálicas, todavía se utilizan para prevenir la manipulación no autorizada.

Seguridad informática, ciberseguridad (ciberseguridad), o seguridad de la tecnología de la información (seguridad informática ) es la protección de los sistemas informáticos y las redes frente a ataques de actores maliciosos que pueden provocar la divulgación no autorizada de información, el robo o el daño del hardware, el software o los datos, así como la interrupción o el desvío de los servicios. ellos proveen.

El campo ha cobrado importancia debido a la mayor dependencia de los sistemas informáticos, Internet y los estándares de redes inalámbricas como Bluetooth y Wi-Fi, y debido al crecimiento de los dispositivos inteligentes, incluidos los teléfonos inteligentes, los televisores y los diversos dispositivos que constituyen el Internet de las cosas (IoT). La ciberseguridad es uno de los desafíos más importantes del mundo contemporáneo, tanto por la complejidad de los sistemas de información como por las sociedades que soportan. La seguridad es de especial importancia para los sistemas que gobiernan sistemas a gran escala con efectos físicos de gran alcance, como la distribución del poder, las elecciones y las finanzas.

Historia

Desde la llegada de Internet y con la transformación digital iniciada en los últimos años, la noción de ciberseguridad se ha convertido en un tema familiar tanto en nuestra vida profesional como personal. La ciberseguridad y las amenazas cibernéticas han estado constantemente presentes durante los últimos 50 años de cambio tecnológico. En las décadas de 1970 y 1980, la seguridad informática se limitó principalmente a la academia hasta la concepción de Internet, donde, con una mayor conectividad, los virus informáticos y las intrusiones en la red comenzaron a despegar. Después de la propagación de virus en la década de 1990, la década de 2000 marcó la institucionalización de las ciberamenazas y la ciberseguridad.

La sesión de abril de 1967 organizada por Willis Ware en la Spring Joint Computer Conference y la publicación posterior del Informe Ware fueron momentos fundamentales en la historia del campo de la seguridad informática. El trabajo de Ware abarcaba la intersección de preocupaciones materiales, culturales, políticas y sociales.

Una publicación del NIST de 1977 introdujo la tríada CIA de confidencialidad, integridad y disponibilidad como una forma clara y sencilla de describir los objetivos clave de seguridad. Si bien siguen siendo relevantes, desde entonces se han propuesto muchos marcos más elaborados.

Sin embargo, en las décadas de 1970 y 1980, no había amenazas informáticas graves porque las computadoras e Internet aún estaban en desarrollo, y las amenazas de seguridad eran fácilmente identificables. La mayoría de las veces, las amenazas procedían de personas internas maliciosas que obtuvieron acceso no autorizado a documentos y archivos confidenciales. Aunque el malware y las brechas en la red existieron durante los primeros años, no los usaron para obtener ganancias financieras. En la segunda mitad de la década de 1970, empresas informáticas establecidas como IBM comenzaron a ofrecer sistemas comerciales de control de acceso y productos de software de seguridad informática.

Uno de los primeros ejemplos de un ataque a una red informática fue el gusano informático Creeper escrito por Bob Thomas en BBN, que se propagó a través de ARPANET en 1971. El programa era de naturaleza puramente experimental y no llevaba ninguna carga maliciosa. Un programa posterior, Reaper, fue creado por Ray Tomlinson en 1972 y se utilizó para destruir Creeper.

Entre septiembre de 1986 y junio de 1987, un grupo de piratas informáticos alemanes realizó el primer caso documentado de ciberespionaje. El grupo pirateó contratistas de defensa estadounidenses, universidades y redes de bases militares y vendió la información recopilada a la KGB soviética. El grupo estaba dirigido por Markus Hess, quien fue arrestado el 29 de junio de 1987. Fue condenado por espionaje (junto con dos co-conspiradores) el 15 de febrero de 1990.

En 1988, uno de los primeros gusanos informáticos, llamado gusano Morris, se distribuyó a través de Internet. Ganó una importante atención de los medios de comunicación.

En 1993, Netscape comenzó a desarrollar el protocolo SSL, poco después de que el Centro Nacional para Aplicaciones de Supercomputación (NCSA) lanzara Mosaic 1.0, el primer navegador web, en 1993. Netscape tenía lista la versión 1.0 de SSL en 1994, pero nunca se lanzó al público debido a muchas vulnerabilidades de seguridad graves. Estas debilidades incluían ataques de reproducción y una vulnerabilidad que permitía a los piratas informáticos alterar las comunicaciones no cifradas enviadas por los usuarios. Sin embargo, en febrero de 1995, Netscape lanzó la versión 2.0.

Estrategia ofensiva fallida

La Agencia de Seguridad Nacional (NSA) es responsable de la protección de los sistemas de información de EE. UU. y también de recopilar inteligencia extranjera. Estos dos deberes están en conflicto entre sí. La protección de los sistemas de información incluye la evaluación del software, la identificación de fallas de seguridad y la adopción de medidas para corregir las fallas, lo cual es una acción defensiva. La recopilación de inteligencia incluye la explotación de fallas de seguridad para extraer información, lo cual es una acción ofensiva. La corrección de fallas de seguridad hace que las fallas no estén disponibles para la explotación de la NSA.

La agencia analiza software de uso común para encontrar fallas de seguridad, las cuales reserva con fines ofensivos contra competidores de Estados Unidos. La agencia rara vez toma medidas defensivas informando las fallas a los productores de software para que puedan eliminarlas.

La estrategia ofensiva funcionó durante un tiempo, pero finalmente, otras naciones, incluidas Rusia, Irán, Corea del Norte y China, adquirieron su propia capacidad ofensiva y tendieron a usarla contra Estados Unidos. Los contratistas de la NSA crearon y vendieron herramientas de ataque de hacer clic y disparar a agencias estadounidenses y aliados cercanos, pero finalmente, las herramientas llegaron a adversarios extranjeros. En 2016, las propias herramientas de piratería de la NSA fueron pirateadas y Rusia y Corea del Norte las han utilizado. Los empleados y contratistas de la NSA han sido reclutados con altos salarios por adversarios, ansiosos por competir en la guerra cibernética.

Por ejemplo, en 2007, Estados Unidos e Israel comenzaron a explotar fallas de seguridad en el sistema operativo Microsoft Windows para atacar y dañar el equipo utilizado en Irán para refinar materiales nucleares. Irán respondió invirtiendo fuertemente en su propia capacidad de guerra cibernética, que comenzó a usar contra Estados Unidos.

Vulnerabilidades y ataques

Una vulnerabilidad es una debilidad en el diseño, implementación, operación o control interno. La mayoría de las vulnerabilidades que se han descubierto están documentadas en la base de datos de vulnerabilidades y exposiciones comunes (CVE). Una vulnerabilidad explotable es aquella para la que existe al menos un ataque funcional o explotación. Las vulnerabilidades se pueden investigar, realizar ingeniería inversa, cazar o explotar utilizando herramientas automatizadas o scripts personalizados. Para proteger un sistema informático, es importante comprender los ataques que se pueden realizar contra él, y estas amenazas generalmente se pueden clasificar en una de las siguientes categorías:

Puerta trasera

Una puerta trasera en un sistema informático, un criptosistema o un algoritmo, es cualquier método secreto para eludir la autenticación normal o los controles de seguridad. Pueden existir por muchas razones, incluido el diseño original o una mala configuración. Pueden haber sido agregados por una parte autorizada para permitir algún acceso legítimo, o por un atacante por motivos maliciosos; pero independientemente de los motivos de su existencia, crean una vulnerabilidad. Las puertas traseras pueden ser muy difíciles de detectar y, por lo general, las descubre alguien que tiene acceso al código fuente de la aplicación o un conocimiento íntimo del sistema operativo de la computadora.

Ataque de denegación de servicio

Los ataques de denegación de servicio (DoS) están diseñados para hacer que una máquina o recurso de red no esté disponible para los usuarios previstos. Los atacantes pueden denegar el servicio a víctimas individuales, por ejemplo, ingresando deliberadamente una contraseña incorrecta suficientes veces consecutivas para bloquear la cuenta de la víctima, o pueden sobrecargar las capacidades de una máquina o red y bloquear a todos los usuarios a la vez. Si bien un ataque a la red desde una sola dirección IP se puede bloquear agregando una nueva regla de firewall, son posibles muchas formas de ataques de denegación de servicio distribuido (DDoS), donde el ataque proviene de una gran cantidad de puntos, y la defensa es mucho más difícil.. Dichos ataques pueden originarse en las computadoras zombies de una botnet o en una variedad de otras técnicas posibles, incluidos los ataques de reflexión y amplificación, donde se engaña a los sistemas inocentes para que envíen tráfico a la víctima.

Ataques de acceso directo

Lo más probable es que un usuario no autorizado que obtenga acceso físico a una computadora pueda copiar datos directamente de ella. También pueden comprometer la seguridad al realizar modificaciones en el sistema operativo, instalar gusanos de software, registradores de teclas, dispositivos de escucha encubiertos o usar micrófonos inalámbricos. Incluso cuando el sistema está protegido por medidas de seguridad estándar, estas pueden pasarse por alto iniciando otro sistema operativo o herramienta desde un CD-ROM u otro medio de inicio. El cifrado de disco y el módulo de plataforma segura están diseñados para evitar estos ataques.

Espionaje

Escuchar es el acto de escuchar subrepticiamente una conversación (comunicación) de una computadora privada, generalmente entre hosts en una red. Por ejemplo, la Oficina Federal de Investigaciones (FBI) y la NSA han utilizado programas como Carnivore y NarusInSight para espiar los sistemas de los proveedores de servicios de Internet. Incluso las máquinas que funcionan como un sistema cerrado (es decir, sin contacto con el mundo exterior) pueden ser espiadas monitoreando las débiles transmisiones electromagnéticas generadas por el hardware. TEMPEST es una especificación de la NSA que se refiere a estos ataques.

Ataques polimórficos multivectoriales

En 2017 surgió una nueva clase de ciberamenazas polimórficas y multivectoriales que combinaron varios tipos de ataques y cambiaron de forma para evitar los controles de ciberseguridad a medida que se propagaban.

Suplantación de identidad

Un ejemplo de un correo electrónico de phishing, disfrazado como un correo oficial de un banco (fictional). El remitente está tratando de engañar al destinatario para revelar información confidencial confirmandola en el sitio web del phisher. Note el error de las palabras recibidos y discrepancia como recieved y discrepancia, respectivamente. Aunque la URL de la página web del banco parece ser legítima, los puntos de hipervínculo en la página web del phisher.

Phishing es el intento de adquirir información confidencial, como nombres de usuario, contraseñas y datos de tarjetas de crédito, directamente de los usuarios engañándolos. El phishing generalmente se lleva a cabo mediante la suplantación de identidad por correo electrónico o la mensajería instantánea, y a menudo dirige a los usuarios a ingresar detalles en un sitio web falso cuya apariencia es casi idéntica a la del sitio web legítimo. El sitio web falso a menudo solicita información personal, como detalles de inicio de sesión y contraseñas. Esta información se puede usar para obtener acceso a la cuenta real de la persona en el sitio web real. Aprovechando la confianza de la víctima, el phishing puede clasificarse como una forma de ingeniería social. Los atacantes están utilizando formas creativas para obtener acceso a cuentas reales. Una estafa común es que los atacantes envíen facturas electrónicas falsas a personas que muestran que recientemente compraron música, aplicaciones u otros, y les indican que hagan clic en un enlace si las compras no fueron autorizadas. Un tipo de phishing más estratégico es el phishing selectivo, que aprovecha detalles personales o específicos de la organización para hacer que el atacante parezca una fuente confiable. Los ataques de phishing selectivo se dirigen a individuos específicos, en lugar de a la amplia red lanzada por los intentos de phishing.

Escalada de privilegios

La escalada de privilegios describe una situación en la que un atacante con algún nivel de acceso restringido puede, sin autorización, elevar sus privilegios o nivel de acceso. Por ejemplo, un usuario de computadora estándar puede explotar una vulnerabilidad en el sistema para obtener acceso a datos restringidos; o incluso convertirse en root y tener acceso completo sin restricciones a un sistema.

Ingeniería inversa

La ingeniería inversa es el proceso mediante el cual se deconstruye un objeto hecho por el hombre para revelar sus diseños, código y arquitectura, o para extraer conocimiento del objeto; similar a la investigación científica, con la única diferencia de que la investigación científica se trata de un fenómeno natural.

Ataque de canal lateral

Cualquier sistema computacional afecta su entorno de alguna forma. Este efecto que tiene sobre su entorno incluye una amplia gama de criterios, que pueden ir desde la radiación electromagnética, hasta el efecto residual en las celdas de RAM que, como consecuencia, hacen posible un ataque de arranque en frío, hasta fallas en la implementación del hardware que permiten el acceso y/o adivinar de otros valores que normalmente deberían ser inaccesibles. En los escenarios de ataque de canal lateral, el atacante recopilaría dicha información sobre un sistema o red para adivinar su estado interno y, como resultado, acceder a la información que la víctima supone que es segura.

Ingeniería social

La ingeniería social, en el contexto de la seguridad informática, tiene como objetivo convencer a un usuario para que revele secretos como contraseñas, números de tarjeta, etc. o para otorgar acceso físico, por ejemplo, haciéndose pasar por un alto ejecutivo, un banco, un contratista o Un cliente. Esto generalmente implica explotar la confianza de las personas y confiar en sus sesgos cognitivos. Una estafa común involucra correos electrónicos enviados al personal del departamento de contabilidad y finanzas, haciéndose pasar por su director ejecutivo y solicitando urgentemente alguna acción. A principios de 2016, el FBI informó que tales estafas de compromiso de correo electrónico comercial (BEC) habían costado a las empresas estadounidenses más de $ 2 mil millones en aproximadamente dos años.

En mayo de 2016, el equipo de la NBA de los Milwaukee Bucks fue víctima de este tipo de estafa cibernética en la que un perpetrador se hizo pasar por el presidente del equipo, Peter Feigin, lo que resultó en la entrega de todos los empleados del equipo.; Formularios de impuestos W-2 de 2015.

Suplantación de identidad

La suplantación de identidad es un acto de hacerse pasar por una entidad válida a través de la falsificación de datos (como una dirección IP o un nombre de usuario) para obtener acceso a información o recursos que, de otro modo, no estaría autorizado a obtener. Hay varios tipos de suplantación de identidad, que incluyen:

Manipulación

La manipulación describe una modificación o alteración maliciosa de los datos. Un acto intencional pero no autorizado que resulta en la modificación de un sistema, componentes de sistemas, su comportamiento previsto o datos. Los llamados ataques de Evil Maid y la plantación de servicios de seguridad de la capacidad de vigilancia en los enrutadores son ejemplos.

Malware

El software malicioso (malware) instalado en una computadora puede filtrar cualquier información, como información personal, información comercial y contraseñas, puede otorgar el control del sistema al atacante y puede corromper o eliminar datos de forma permanente.

Cultura de seguridad de la información

El comportamiento de los empleados puede tener un gran impacto en la seguridad de la información en las organizaciones. Los conceptos culturales pueden ayudar a diferentes segmentos de la organización a trabajar de manera efectiva o en contra de la efectividad hacia la seguridad de la información dentro de una organización. La cultura de seguridad de la información es el "...conjunto de patrones de comportamiento en una organización que contribuye a la protección de la información de todo tipo".

Andersson y Reimers (2014) descubrieron que los empleados a menudo no se ven a sí mismos como parte del esfuerzo de seguridad de la información de su organización y, a menudo, toman medidas que impiden los cambios organizacionales. De hecho, el Informe de investigaciones de violación de datos de Verizon 2020, que examinó 3950 violaciones de seguridad, descubrió que el 30 % de los incidentes de seguridad cibernética involucraban a actores internos dentro de una empresa. La investigación muestra que la cultura de seguridad de la información debe mejorarse continuamente. En "Cultura de seguridad de la información del análisis al cambio", los autores comentaron: "Es un proceso interminable, un ciclo de evaluación y cambio o mantenimiento." Para gestionar la cultura de seguridad de la información se deben seguir cinco pasos: preevaluación, planificación estratégica, planificación operativa, implementación y postevaluación.

  1. Compromiso de la gestión
  2. Comunicación con los miembros de la organización
  3. Cursos para todos los miembros de la organización
  4. Compromiso de los empleados

Sistemas en riesgo

El crecimiento en la cantidad de sistemas informáticos y la creciente confianza en ellos por parte de individuos, empresas, industrias y gobiernos significa que hay una cantidad cada vez mayor de sistemas en riesgo.

Sistemas financieros

Los sistemas informáticos de los reguladores financieros y las instituciones financieras como la Comisión de Bolsa y Valores de EE. UU., SWIFT, los bancos de inversión y los bancos comerciales son objetivos importantes de piratería para los ciberdelincuentes interesados en manipular los mercados y obtener ganancias ilícitas. Los sitios web y las aplicaciones que aceptan o almacenan números de tarjetas de crédito, cuentas de corretaje e información de cuentas bancarias también son objetivos importantes de piratería, debido al potencial de ganancias financieras inmediatas de la transferencia de dinero, la realización de compras o la venta de información en el mercado negro. Los sistemas de pago en las tiendas y los cajeros automáticos también han sido manipulados para recopilar datos de cuentas y PIN de los clientes.

Utilidades y equipos industriales

Las computadoras controlan funciones en muchos servicios públicos, incluida la coordinación de telecomunicaciones, la red eléctrica, las plantas de energía nuclear y la apertura y cierre de válvulas en redes de agua y gas. Internet es un vector de ataque potencial para tales máquinas si están conectadas, pero el gusano Stuxnet demostró que incluso los equipos controlados por computadoras que no están conectadas a Internet pueden ser vulnerables. En 2014, el Equipo de preparación para emergencias informáticas, una división del Departamento de Seguridad Nacional, investigó 79 incidentes de piratería informática en empresas de energía.

Aviación

La industria de la aviación depende mucho de una serie de sistemas complejos que podrían ser atacados. Un simple corte de energía en un aeropuerto puede tener repercusiones en todo el mundo, gran parte del sistema se basa en transmisiones de radio que podrían verse interrumpidas, y el control de aeronaves sobre los océanos es especialmente peligroso porque la vigilancia por radar solo se extiende de 175 a 225 millas mar adentro. También existe la posibilidad de un ataque desde dentro de un avión.

En Europa, con el (Servicio de red paneuropeo) y NewPENS, y en EE. UU. con el programa NextGen, los proveedores de servicios de navegación aérea se están moviendo para crear sus propias redes dedicadas.

Las consecuencias de un ataque exitoso van desde la pérdida de confidencialidad hasta la pérdida de la integridad del sistema, interrupciones del control del tráfico aéreo, pérdida de aeronaves e incluso la pérdida de vidas.

Dispositivos de consumo

Los ordenadores de sobremesa y portátiles suelen ser el objetivo para recopilar contraseñas o información de cuentas financieras o para construir una red de bots para atacar a otro objetivo. Los teléfonos inteligentes, las tabletas, los relojes inteligentes y otros dispositivos móviles, como los dispositivos autónomos cuantificados, como los rastreadores de actividad, tienen sensores como cámaras, micrófonos, receptores GPS, brújulas y acelerómetros que podrían explotarse y recopilar información personal, incluida información de salud confidencial.. Las redes WiFi, Bluetooth y de telefonía celular en cualquiera de estos dispositivos podrían usarse como vectores de ataque, y los sensores podrían activarse de forma remota después de una violación exitosa.

El creciente número de dispositivos de automatización del hogar, como el termostato Nest, también son objetivos potenciales.

Grandes corporaciones

Las grandes corporaciones son objetivos comunes. En muchos casos, los ataques tienen como objetivo obtener ganancias financieras a través del robo de identidad e involucran violaciones de datos. Los ejemplos incluyen la pérdida de millones de clientes' tarjeta de crédito y detalles financieros de Home Depot, Staples, Target Corporation y Equifax.

En general, los registros médicos han sido el objetivo del robo de identidad, el fraude de seguros médicos y la suplantación de la identidad de los pacientes para obtener medicamentos recetados con fines recreativos o para revenderlos. Aunque las amenazas cibernéticas siguen aumentando, el 62 % de todas las organizaciones no aumentaron la capacitación en seguridad para sus negocios en 2015.

Sin embargo, no todos los ataques tienen una motivación financiera: la empresa de seguridad HBGary Federal sufrió una serie de ataques graves en 2011 del grupo hacktivista Anonymous en represalia porque el director ejecutivo de la empresa afirmó haberse infiltrado en su grupo, y Sony Pictures fue pirateada. en 2014 con el aparente doble motivo de avergonzar a la empresa a través de filtraciones de datos y paralizar la empresa borrando estaciones de trabajo y servidores.

Automóviles

Los vehículos están cada vez más computarizados, con sincronización del motor, control de crucero, frenos antibloqueo, tensores de cinturones de seguridad, cerraduras de puertas, bolsas de aire y sistemas avanzados de asistencia al conductor en muchos modelos. Además, los automóviles conectados pueden usar Wi-Fi y Bluetooth para comunicarse con los dispositivos de consumo a bordo y la red de telefonía celular. Se espera que los autos sin conductor sean aún más complejos. Todos estos sistemas conllevan algún riesgo de seguridad, y estos problemas han ganado mucha atención.

Ejemplos simples de riesgo incluyen un disco compacto malicioso que se usa como vector de ataque y los micrófonos a bordo del automóvil que se usan para escuchar a escondidas. Sin embargo, si se obtiene acceso a la red de área del controlador interno de un automóvil, el peligro es mucho mayor, y en una prueba ampliamente publicitada de 2015, los piratas informáticos secuestraron de forma remota un vehículo a 10 millas de distancia y lo condujeron a una zanja.

Los fabricantes están reaccionando de muchas maneras, con Tesla en 2016 lanzando algunas correcciones de seguridad por aire en sus autos' sistemas informáticos En el área de vehículos autónomos, en septiembre de 2016, el Departamento de Transporte de los Estados Unidos anunció algunos estándares de seguridad iniciales y pidió a los estados que propongan políticas uniformes.

Gobierno

Los sistemas informáticos gubernamentales y militares suelen ser atacados por activistas y potencias extranjeras. La infraestructura del gobierno local y regional, como los controles de los semáforos, las comunicaciones de la policía y las agencias de inteligencia, los registros del personal, los registros de los estudiantes y los sistemas financieros también son objetivos potenciales, ya que ahora están en gran parte informatizados. Los pasaportes y las tarjetas de identificación del gobierno que controlan el acceso a las instalaciones que usan RFID pueden ser vulnerables a la clonación.

Internet de las cosas y vulnerabilidades físicas

La Internet de las cosas (IoT) es la red de objetos físicos, como dispositivos, vehículos y edificios que están integrados con dispositivos electrónicos, software, sensores y conectividad de red que les permite recopilar e intercambiar datos. Se han planteado preocupaciones de que esto se está desarrollando sin la consideración adecuada de los desafíos de seguridad involucrados.

Si bien el IoT crea oportunidades para una integración más directa del mundo físico en los sistemas basados en computadoras, también proporciona oportunidades para el mal uso. En particular, a medida que el Internet de las cosas se extiende ampliamente, es probable que los ataques cibernéticos se conviertan en una amenaza cada vez más física (en lugar de simplemente virtual). Si la cerradura de una puerta de entrada está conectada a Internet y se puede bloquear/desbloquear desde un teléfono, entonces un delincuente podría ingresar a la casa con solo presionar un botón desde un teléfono robado o pirateado. Las personas podrían perder mucho más que sus números de tarjeta de crédito en un mundo controlado por dispositivos habilitados para IoT. Los ladrones también han utilizado medios electrónicos para eludir las cerraduras de las puertas de los hoteles que no están conectadas a Internet.

Un ataque que tiene como objetivo infraestructura física o vidas humanas a veces se denomina ataque cibercinético. A medida que los dispositivos y aparatos de IoT ganan terreno, los ataques cibercinéticos pueden generalizarse y ser significativamente dañinos.

Sistemas médicos

Los dispositivos médicos han sido atacados con éxito o se han demostrado vulnerabilidades potencialmente mortales, incluidos equipos de diagnóstico hospitalario y dispositivos implantados, incluidos marcapasos y bombas de insulina. Hay muchos informes de hospitales y organizaciones hospitalarias que han sido pirateados, incluidos ataques de ransomware, exploits de Windows XP, virus y violaciones de datos confidenciales almacenados en servidores de hospitales. El 28 de diciembre de 2016, la Administración de Drogas y Alimentos de EE. UU. publicó sus recomendaciones sobre cómo los fabricantes de dispositivos médicos deben mantener la seguridad de los dispositivos conectados a Internet, pero no una estructura para su cumplimiento.

Sector energético

En los sistemas de generación distribuida, el riesgo de un ciberataque es real, según Daily Energy Insider. Un ataque podría causar una pérdida de energía en un área grande durante un largo período de tiempo y tal ataque podría tener consecuencias tan graves como un desastre natural. El Distrito de Columbia está considerando crear una Autoridad de Recursos Energéticos Distribuidos (DER, por sus siglas en inglés) dentro de la ciudad, con el objetivo de que los clientes tengan más información sobre su propio uso de energía y brindarle a la compañía eléctrica local, Pepco, la oportunidad de estimar mejor la demanda de energía.. La propuesta de D.C., sin embargo, "permitiría a los proveedores externos crear numerosos puntos de distribución de energía, lo que potencialmente podría crear más oportunidades para que los atacantes cibernéticos amenacen la red eléctrica".

Impacto de las brechas de seguridad

Las brechas de seguridad han causado graves daños económicos, pero debido a que no existe un modelo estándar para estimar el costo de un incidente, los únicos datos disponibles son los que hacen públicos las organizaciones involucradas. "Varias firmas de consultoría en seguridad informática producen estimaciones de pérdidas mundiales totales atribuibles a ataques de virus y gusanos y a actos digitales hostiles en general. Las estimaciones de pérdidas para 2003 de estas empresas oscilan entre 13 000 millones de dólares (solamente gusanos y virus) y 226 000 millones de dólares (para todas las formas de ataques encubiertos). La confiabilidad de estas estimaciones a menudo se cuestiona; la metodología subyacente es básicamente anecdótica."

Sin embargo, las estimaciones razonables del costo financiero de las infracciones de seguridad pueden ayudar a las organizaciones a tomar decisiones de inversión racionales. De acuerdo con el modelo clásico de Gordon-Loeb que analiza el nivel óptimo de inversión en seguridad de la información, se puede concluir que la cantidad que una empresa gasta para proteger la información generalmente debe ser solo una pequeña fracción de la pérdida esperada (es decir, el valor esperado de la pérdida resultante). de una brecha de seguridad cibernética/de la información).

Motivación del atacante

Al igual que con la seguridad física, las motivaciones de las violaciones de la seguridad informática varían entre los atacantes. Algunos son buscadores de emociones o vándalos, algunos son activistas, otros son criminales que buscan ganancias financieras. Los atacantes patrocinados por el estado ahora son comunes y cuentan con muchos recursos, pero comenzaron con aficionados como Markus Hess, que pirateaba para la KGB, como cuenta Clifford Stoll en El huevo del cuco.

Además, las motivaciones de los atacantes recientes se remontan a organizaciones extremistas que buscan obtener una ventaja política o interrumpir las agendas sociales. El crecimiento de Internet, las tecnologías móviles y los dispositivos informáticos económicos han llevado a un aumento de las capacidades, pero también al riesgo para los entornos que se consideran vitales para las operaciones. Todos los entornos objetivo críticos son susceptibles de comprometerse y esto ha llevado a una serie de estudios proactivos sobre cómo migrar el riesgo teniendo en cuenta las motivaciones de este tipo de actores. Existen varias diferencias marcadas entre la motivación de los piratas informáticos y la de los actores del estado nación que buscan atacar en función de una preferencia ideológica.

Una parte estándar del modelado de amenazas para cualquier sistema en particular es identificar qué podría motivar un ataque en ese sistema y quién podría estar motivado para violarlo. El nivel y el detalle de las precauciones variarán según el sistema que se protegerá. Una computadora personal doméstica, un banco y una red militar clasificada enfrentan amenazas muy diferentes, incluso cuando las tecnologías subyacentes en uso son similares.

Protección informática (contramedidas)

En seguridad informática, una contramedida es una acción, dispositivo, procedimiento o técnica que reduce una amenaza, una vulnerabilidad o un ataque al eliminarlo o prevenirlo, al minimizar el daño que puede causar, o al descubrirlo e informarlo para que se pueden tomar medidas correctivas.

Algunas contramedidas comunes se enumeran en las siguientes secciones:

Seguridad por diseño

Seguridad por diseño, o alternativamente seguro por diseño, significa que el software ha sido diseñado desde cero para ser seguro. En este caso, la seguridad se considera como una característica principal.

Algunas de las técnicas de este enfoque incluyen:

Arquitectura de seguridad

La organización Open Security Architecture define la arquitectura de seguridad de TI como "los artefactos de diseño que describen cómo se colocan los controles de seguridad (contramedidas de seguridad) y cómo se relacionan con la arquitectura general de tecnología de la información. Estos controles sirven para mantener los atributos de calidad del sistema: confidencialidad, integridad, disponibilidad, responsabilidad y aseguramiento de los servicios.

Techopedia define la arquitectura de seguridad como "un diseño de seguridad unificado que aborda las necesidades y los riesgos potenciales involucrados en un determinado escenario o entorno. También especifica cuándo y dónde aplicar los controles de seguridad. El proceso de diseño es generalmente reproducible." Los atributos clave de la arquitectura de seguridad son:

Practicar la arquitectura de seguridad proporciona la base adecuada para abordar sistemáticamente las preocupaciones comerciales, de TI y de seguridad en una organización.

Medidas de seguridad

Un estado de seguridad informática es el ideal conceptual, alcanzado mediante el uso de los tres procesos: prevención, detección y respuesta ante amenazas. Estos procesos se basan en varias políticas y componentes del sistema, que incluyen lo siguiente:

Hoy en día, la seguridad informática consiste principalmente en medidas preventivas, como firewalls o un procedimiento de salida. Un cortafuegos se puede definir como una forma de filtrar datos de red entre un host o una red y otra red, como Internet, y se puede implementar como software que se ejecuta en la máquina, conectándose a la pila de red (o, en el caso de la mayoría de los sistemas operativos basados en UNIX, como Linux, integrados en el kernel del sistema operativo) para proporcionar filtrado y bloqueo en tiempo real. Otra implementación es el llamado firewall físico, que consiste en una máquina separada que filtra el tráfico de red. Los cortafuegos son comunes entre las máquinas que están permanentemente conectadas a Internet.

Algunas organizaciones están recurriendo a plataformas de macrodatos, como Apache Hadoop, para ampliar la accesibilidad de los datos y el aprendizaje automático para detectar amenazas persistentes avanzadas.

Sin embargo, relativamente pocas organizaciones mantienen sistemas informáticos con sistemas de detección efectivos, y menos aún cuentan con mecanismos de respuesta organizados. Como resultado, como señala Reuters: "Las empresas por primera vez informan que están perdiendo más con el robo electrónico de datos que con el robo físico de activos". El principal obstáculo para la erradicación efectiva del delito cibernético podría atribuirse a una dependencia excesiva de los cortafuegos y otros sistemas de detección automatizados. Sin embargo, es la recopilación de pruebas básicas mediante el uso de dispositivos de captura de paquetes lo que pone a los delincuentes tras las rejas.

Para garantizar una seguridad adecuada, se debe proteger la confidencialidad, integridad y disponibilidad de una red, mejor conocida como la tríada CIA, y se considera la base de la seguridad de la información. Para lograr esos objetivos, se deben emplear medidas de seguridad administrativas, físicas y técnicas. La cantidad de seguridad otorgada a un activo solo puede determinarse cuando se conoce su valor.

Gestión de vulnerabilidades

La gestión de vulnerabilidades es el ciclo de identificación, reparación o mitigación de vulnerabilidades, especialmente en software y firmware. La gestión de vulnerabilidades es parte integral de la seguridad informática y la seguridad de la red.

Las vulnerabilidades se pueden descubrir con un escáner de vulnerabilidades, que analiza un sistema informático en busca de vulnerabilidades conocidas, como puertos abiertos, configuración de software insegura y susceptibilidad al malware. Para que estas herramientas sean efectivas, deben mantenerse actualizadas con cada nueva actualización que publique el proveedor. Por lo general, estas actualizaciones buscarán las nuevas vulnerabilidades que se introdujeron recientemente.

Más allá del análisis de vulnerabilidades, muchas organizaciones contratan auditores de seguridad externos para ejecutar pruebas de penetración periódicas en sus sistemas para identificar vulnerabilidades. En algunos sectores, este es un requisito contractual.

Reducción de vulnerabilidades

Si bien la verificación formal de la corrección de los sistemas informáticos es posible, aún no es común. Los sistemas operativos verificados formalmente incluyen seL4 y PikeOS de SYSGO, pero estos representan un porcentaje muy pequeño del mercado.

La autenticación de dos factores es un método para mitigar el acceso no autorizado a un sistema o información confidencial. Requiere algo que sepas; una contraseña o PIN, y algo que tenga; una tarjeta, dongle, teléfono celular u otra pieza de hardware. Esto aumenta la seguridad ya que una persona no autorizada necesita ambos para obtener acceso.

Los ataques de ingeniería social y de acceso directo (físico) a la computadora solo se pueden prevenir por medios no informáticos, que pueden ser difíciles de aplicar, en relación con la confidencialidad de la información. A menudo se requiere capacitación para ayudar a mitigar este riesgo, pero incluso en entornos altamente disciplinados (por ejemplo, organizaciones militares), los ataques de ingeniería social aún pueden ser difíciles de prever y prevenir.

La inoculación, derivada de la teoría de la inoculación, busca prevenir la ingeniería social y otros trucos o trampas fraudulentos inculcando una resistencia a los intentos de persuasión a través de la exposición a intentos similares o relacionados.

Es posible reducir las posibilidades de un atacante manteniendo los sistemas actualizados con parches y actualizaciones de seguridad, utilizando un escáner de seguridad y/o contratando personas con experiencia en seguridad, aunque ninguno de estos garantiza la prevención de un ataque. Los efectos de la pérdida o el daño de los datos pueden reducirse mediante una cuidadosa copia de seguridad y un seguro.

Mecanismos de protección de hardware

Si bien el hardware puede ser una fuente de inseguridad, como las vulnerabilidades de microchip introducidas de forma maliciosa durante el proceso de fabricación, la seguridad informática asistida o basada en hardware también ofrece una alternativa a la seguridad informática basada únicamente en software. El uso de dispositivos y métodos como dongles, módulos de plataforma confiable, casos de detección de intrusiones, bloqueos de unidades, deshabilitación de puertos USB y acceso habilitado para dispositivos móviles puede considerarse más seguro debido al acceso físico (o acceso de puerta trasera sofisticado) requerido para ser comprometida. Cada uno de estos se trata con más detalle a continuación.

Sistemas operativos seguros

Un uso del término seguridad informática se refiere a la tecnología que se utiliza para implementar sistemas operativos seguros. En la década de 1980, el Departamento de Defensa de los Estados Unidos (DoD) utilizó el "Libro naranja" estándares, pero el estándar internacional actual ISO/IEC 15408, Common Criteria, define una serie de niveles de garantía de evaluación progresivamente más estrictos. Muchos sistemas operativos comunes cumplen con el estándar EAL4 de "Diseñado, probado y revisado metódicamente", pero la verificación formal requerida para los niveles más altos significa que son poco comunes. Un ejemplo de un sistema EAL6 ("Semiformally Verified Design and Tested") es INTEGRITY-178B, que se utiliza en el Airbus A380 y varios jets militares.

Codificación segura

En ingeniería de software, la codificación segura tiene como objetivo proteger contra la introducción accidental de vulnerabilidades de seguridad. También es posible crear software diseñado desde cero para ser seguro. Dichos sistemas son seguros por diseño. Más allá de esto, la verificación formal tiene como objetivo probar la corrección de los algoritmos que subyacen a un sistema; importante para los protocolos criptográficos, por ejemplo.

Capacidades y listas de control de acceso

Dentro de los sistemas informáticos, dos de los principales modelos de seguridad capaces de imponer la separación de privilegios son las listas de control de acceso (ACL) y el control de acceso basado en roles (RBAC).

Una lista de control de acceso (ACL), con respecto a un sistema de archivos de computadora, es una lista de permisos asociados con un objeto. Una ACL especifica a qué usuarios o procesos del sistema se les otorga acceso a los objetos, así como qué operaciones se permiten en objetos determinados.

El control de acceso basado en roles es un enfoque para restringir el acceso al sistema a usuarios autorizados, utilizado por la mayoría de las empresas con más de 500 empleados, y puede implementar control de acceso obligatorio (MAC) o control de acceso discrecional (DAC).

Otro enfoque, la seguridad basada en capacidades se ha restringido principalmente a la investigación de sistemas operativos. Sin embargo, las capacidades también se pueden implementar a nivel de lenguaje, lo que lleva a un estilo de programación que es esencialmente un refinamiento del diseño estándar orientado a objetos. Un proyecto de código abierto en el área es el lenguaje E.

Formación de seguridad para usuarios finales

El usuario final es ampliamente reconocido como el eslabón más débil en la cadena de seguridad y se estima que más del 90 % de los incidentes y violaciones de seguridad involucran algún tipo de error humano. Entre las formas de errores y errores de juicio más comúnmente registradas se encuentran la gestión deficiente de contraseñas, el envío de correos electrónicos que contienen datos confidenciales y archivos adjuntos al destinatario equivocado, la incapacidad de reconocer direcciones URL engañosas y de identificar sitios web falsos y archivos adjuntos de correo electrónico peligrosos. Un error común que cometen los usuarios es guardar su identificación de usuario/contraseña en sus navegadores para facilitar el inicio de sesión en los sitios bancarios. Este es un regalo para los atacantes que han obtenido acceso a una máquina por algún medio. El riesgo puede mitigarse mediante el uso de autenticación de dos factores.

Dado que el componente humano del riesgo cibernético es particularmente relevante para determinar el riesgo cibernético global al que se enfrenta una organización, la capacitación en concienciación sobre seguridad, en todos los niveles, no solo brinda cumplimiento formal con los mandatos normativos y de la industria, sino que se considera esencial para reducir el riesgo cibernético. y proteger a personas y empresas de la gran mayoría de las ciberamenazas.

El enfoque en el usuario final representa un cambio cultural profundo para muchos profesionales de la seguridad, que tradicionalmente han abordado la seguridad cibernética exclusivamente desde una perspectiva técnica, y avanza en la línea sugerida por los principales centros de seguridad para desarrollar una cultura de conciencia cibernética dentro de la organización, reconociendo que un usuario consciente de la seguridad proporciona una importante línea de defensa contra los ataques cibernéticos.

Higiene digital

Relacionado con la formación del usuario final, la higiene digital o ciberhigiene es un principio fundamental relacionado con la seguridad de la información y, como muestra la analogía con la higiene personal, es el equivalente de establecer medidas rutinarias simples para minimizar los riesgos de las ciberamenazas. La suposición es que las buenas prácticas de higiene cibernética pueden brindar a los usuarios de la red otra capa de protección, reduciendo el riesgo de que un nodo vulnerable se use para montar ataques o comprometer otro nodo o red, especialmente de ataques cibernéticos comunes. La ciberhigiene tampoco debe confundirse con la ciberdefensa proactiva, un término militar.

A diferencia de una defensa contra amenazas basada puramente en la tecnología, la higiene cibernética se refiere principalmente a medidas de rutina que son técnicamente simples de implementar y que dependen principalmente de la disciplina o la educación. Puede pensarse como una lista abstracta de consejos o medidas que han demostrado tener un efecto positivo en la seguridad digital personal y/o colectiva. Como tal, estas medidas pueden ser realizadas por laicos, no solo por expertos en seguridad.

La ciberhigiene se relaciona con la higiene personal como los virus informáticos se relacionan con los virus biológicos (o patógenos). Sin embargo, mientras que el término virus informático se acuñó casi simultáneamente con la creación de los primeros virus informáticos en funcionamiento, el término ciberhigiene es una invención mucho más tardía, tal vez hasta el año 2000. por el pionero de Internet Vint Cerf. Desde entonces, ha sido adoptado por el Congreso y el Senado de los Estados Unidos, el FBI, las instituciones de la UE y los jefes de estado.

Respuesta a infracciones

Responder a intentos de infracciones de seguridad suele ser muy difícil por una variedad de razones, que incluyen:

Cuando un ataque tiene éxito y se produce una infracción, muchas jurisdicciones cuentan ahora con leyes obligatorias de notificación de infracciones de seguridad.

Tipos de seguridad y privacidad

  • Control de acceso
  • Anti-keyloggers
  • Anti-malware
  • Anti-spyware
  • Software antisubversion
  • Software antitamper
  • Antirrobo
  • Software antivirus
  • Software criptográfico
  • Despacho de computadora (CAD)
  • Firewall
  • Sistema de detección de intrusiones (IDS)
  • Intrusion prevention system (IPS)
  • Software de gestión de registros
  • Control parental
  • Gestión de expedientes
  • Sandbox
  • Gestión de la información sobre seguridad
  • Información de seguridad y gestión de eventos (SIEM)
  • Actualización de software y sistema operativo
  • Gestión de la vulnerabilidad

Planificación de respuesta a incidentes

La respuesta a incidentes es un enfoque organizado para abordar y administrar las consecuencias de un incidente o compromiso de seguridad informática con el objetivo de prevenir una infracción o frustrar un ataque cibernético. Un incidente que no se identifica y gestiona en el momento de la intrusión normalmente se convierte en un evento más perjudicial, como una filtración de datos o un fallo del sistema. El resultado previsto de un plan de respuesta a incidentes de seguridad informática es contener el incidente, limitar los daños y ayudar a la recuperación de los negocios como de costumbre. Responder rápidamente a los compromisos puede mitigar las vulnerabilidades explotadas, restaurar servicios y procesos y minimizar las pérdidas. La planificación de respuesta a incidentes permite a una organización establecer una serie de mejores prácticas para detener una intrusión antes de que cause daños. Los planes típicos de respuesta a incidentes contienen un conjunto de instrucciones escritas que describen la respuesta de la organización a un ciberataque. Sin un plan documentado, es posible que una organización no detecte con éxito una intrusión o un compromiso y que las partes interesadas no entiendan sus funciones, procesos y procedimientos durante una escalada, lo que ralentiza la respuesta y la resolución de la organización.

Hay cuatro componentes clave de un plan de respuesta a incidentes de seguridad informática:

  1. Preparación: Preparar a los interesados sobre los procedimientos para tramitar los incidentes o compromisos de seguridad informática
  2. Detección y análisis: Determinación e investigación de actividades sospechosas para confirmar un incidente de seguridad, priorizando la respuesta basada en el impacto y la notificación de coordinación del incidente
  3. Contención, erradicación y recuperación: Solución de sistemas afectados para prevenir la escalada y limitar el impacto, señalando la génesis del incidente, eliminando malware, sistemas afectados y actores malos del medio ambiente y restaurando sistemas y datos cuando una amenaza ya no permanece
  4. Actividad posterior al incidente: Análisis post mortem del incidente, su causa raíz y la respuesta de la organización con la intención de mejorar el plan de respuesta a incidentes y futuros esfuerzos de respuesta.

Ataques e infracciones notables

A continuación se proporcionan algunos ejemplos ilustrativos de diferentes tipos de violaciones de la seguridad informática.

Robert Morris y el primer gusano informático

En 1988, 60.000 computadoras estaban conectadas a Internet y la mayoría eran mainframes, minicomputadoras y estaciones de trabajo profesionales. El 2 de noviembre de 1988, muchos comenzaron a ralentizarse porque estaban ejecutando un código malicioso que exigía tiempo de procesador y se propagó a otras computadoras: el primer gusano informático de Internet. El origen del software se remonta a Robert Tappan Morris, estudiante graduado de la Universidad de Cornell, de 23 años, quien dijo "quería contar cuántas máquinas estaban conectadas a Internet".

Laboratorio de Roma

En 1994, piratas informáticos no identificados invadieron más de cien veces el Laboratorio de Rome, el principal centro de mando e investigación de la Fuerza Aérea de los EE. UU. Usando caballos de Troya, los piratas informáticos pudieron obtener acceso sin restricciones a los sistemas de red de Rome y eliminar los rastros de sus actividades. Los intrusos pudieron obtener archivos clasificados, como datos de sistemas de orden de tareas aéreas y, además, pudieron penetrar en las redes conectadas del Centro de Vuelo Espacial Goddard de la Administración Nacional de Aeronáutica y del Espacio, la Base de la Fuerza Aérea Wright-Patterson, algunos contratistas de Defensa y otras organizaciones del sector privado, haciéndose pasar por un usuario de confianza del centro de Roma.

Datos de la tarjeta de crédito del cliente de TJX

A principios de 2007, la empresa estadounidense de ropa y artículos para el hogar TJX anunció que había sido víctima de una intrusión no autorizada en los sistemas informáticos y que los piratas informáticos habían accedido a un sistema que almacenaba datos sobre tarjetas de crédito, tarjetas de débito, cheques y transacciones de devolución de mercancías..

Ataque Stuxnet

En 2010, el gusano informático conocido como Stuxnet arruinó casi una quinta parte de las centrifugadoras nucleares de Irán. Lo hizo interrumpiendo los controladores lógicos programables (PLC) industriales en un ataque dirigido. En general, se cree que esto fue lanzado por Israel y Estados Unidos para interrumpir el programa nuclear de Irán, aunque ninguno de los dos lo ha admitido públicamente.

Divulgaciones de vigilancia global

A principios de 2013, documentos proporcionados por Edward Snowden fueron publicados por The Washington Post y The Guardian exponiendo la escala masiva de vigilancia global de la NSA. También hubo indicios de que la NSA pudo haber insertado una puerta trasera en un estándar NIST para el cifrado. Este estándar fue posteriormente retirado debido a las críticas generalizadas. También se reveló que la NSA había aprovechado los enlaces entre los centros de datos de Google.

Infracciones de Target y Home Depot

Un hacker ucraniano conocido como Rescator irrumpió en las computadoras de Target Corporation en 2013 y robó aproximadamente 40 millones de tarjetas de crédito, y luego en las computadoras de Home Depot en 2014, robó entre 53 y 56 millones de números de tarjetas de crédito. Se entregaron advertencias en ambas corporaciones, pero se ignoraron; Se cree que las infracciones de seguridad física que utilizan máquinas de autopago han jugado un papel importante. "El software malicioso utilizado es absolutamente sencillo y poco interesante," dice Jim Walter, director de operaciones de inteligencia de amenazas en la empresa de tecnología de seguridad McAfee, lo que significa que los atracos podrían haber sido detenidos fácilmente por el software antivirus existente si los administradores hubieran respondido a las advertencias. El tamaño de los robos ha llamado la atención de las autoridades estatales y federales de los Estados Unidos y la investigación está en curso.

Violación de datos de la Oficina de Administración de Personal

En abril de 2015, la Oficina de Administración de Personal descubrió que había sido pirateada más de un año antes en una violación de datos, lo que resultó en el robo de aproximadamente 21,5 millones de registros de personal que maneja la oficina. El hackeo de la Oficina de Administración de Personal ha sido descrito por funcionarios federales como una de las mayores violaciones de datos gubernamentales en la historia de los Estados Unidos. Los datos objeto de la violación incluían información de identificación personal, como números de Seguro Social, nombres, fechas y lugares de nacimiento, direcciones y huellas dactilares de empleados gubernamentales actuales y anteriores, así como de cualquier persona que se haya sometido a una verificación de antecedentes del gobierno. Se cree que el ataque fue perpetrado por piratas informáticos chinos.

Ashley Madison brecha

En julio de 2015, un grupo de piratas informáticos conocido como The Impact Team vulneró con éxito el sitio web de relaciones extramatrimoniales Ashley Madison, creado por Avid Life Media. El grupo afirmó que no solo habían tomado datos de la empresa, sino también datos de usuarios. Después de la violación, The Impact Team envió correos electrónicos del director ejecutivo de la empresa para probar su punto y amenazó con eliminar los datos de los clientes a menos que el sitio web fuera eliminado de forma permanente. Cuando Avid Life Media no desconectó el sitio, el grupo lanzó dos archivos comprimidos más, uno de 9,7 GB y el segundo de 20 GB. Después del segundo volcado de datos, el director ejecutivo de Avid Life Media, Noel Biderman, renunció; pero el sitio web siguió funcionando.

Ataque de ransomware de tubería colonial

En junio de 2021, el ataque cibernético derribó el oleoducto de combustible más grande de los EE. UU. y provocó una escasez en toda la costa este.

Cuestiones legales y regulación global

Los problemas legales internacionales de los ataques cibernéticos son de naturaleza complicada. No existe una base global de reglas comunes para juzgar, y eventualmente castigar, los delitos cibernéticos y los ciberdelincuentes, y cuando las empresas o agencias de seguridad localizan al ciberdelincuente detrás de la creación de una pieza particular de malware o forma de ciberataque, a menudo las autoridades locales no pueden tomar acción debido a la falta de leyes bajo las cuales enjuiciar. Probar la atribución de delitos cibernéticos y ataques cibernéticos también es un problema importante para todas las agencias de aplicación de la ley. “Los virus informáticos cambian de un país a otro, de una jurisdicción a otra, moviéndose por todo el mundo, aprovechando el hecho de que no tenemos la capacidad para controlar operaciones como esta a nivel mundial. Así que Internet es como si alguien [hubiera] dado boletos de avión gratis a todos los delincuentes en línea del mundo." El uso de técnicas como DNS dinámico, flujo rápido y servidores a prueba de balas se suman a la dificultad de la investigación y la aplicación.

Papel del gobierno

El papel del gobierno es hacer regulaciones para obligar a las empresas y organizaciones a proteger sus sistemas, infraestructura e información de cualquier ataque cibernético, pero también para proteger su propia infraestructura nacional, como la red eléctrica nacional.

La función reguladora del gobierno en el ciberespacio es complicada. Para algunos, el ciberespacio fue visto como un espacio virtual que permanecería libre de la intervención del gobierno, como se puede ver en muchas de las discusiones libertarias de blockchain y bitcoin de hoy.

Muchos funcionarios gubernamentales y expertos piensan que el gobierno debería hacer más y que existe una necesidad crucial de mejorar la regulación, principalmente debido al fracaso del sector privado para resolver de manera eficiente el problema de la seguridad cibernética. R. Clarke dijo durante un panel de discusión en la Conferencia de Seguridad de RSA en San Francisco, que cree que "la industria solo responde cuando amenaza con la regulación". Si la industria no responde (a la amenaza), debe seguir adelante." Por otro lado, los ejecutivos del sector privado coinciden en que las mejoras son necesarias, pero piensan que la intervención del gobierno afectaría su capacidad de innovar de manera eficiente. Daniel R. McCarthy analizó esta asociación público-privada en ciberseguridad y reflexionó sobre el papel de la ciberseguridad en la constitución más amplia del orden político.

El 22 de mayo de 2020, el Consejo de Seguridad de la ONU celebró su segunda reunión informal sobre ciberseguridad para centrarse en los desafíos cibernéticos para la paz internacional. Según el secretario general de la ONU, António Guterres, las nuevas tecnologías se utilizan con demasiada frecuencia para violar los derechos.

Acciones internacionales

Existen muchos equipos y organizaciones diferentes, entre ellos:

Europa

El 14 de abril de 2016, el Parlamento Europeo y el Consejo de la Unión Europea adoptaron el Reglamento general de protección de datos (RGPD) (UE) 2016/679. GDPR, que entró en vigor a partir del 25 de mayo de 2018, proporciona protección de datos y privacidad para todas las personas dentro de la Unión Europea (UE) y el Espacio Económico Europeo (EEE). GDPR requiere que los procesos comerciales que manejan datos personales se construyan con protección de datos por diseño y por defecto. GDPR también requiere que ciertas organizaciones designen un Oficial de Protección de Datos (DPO).

Acciones nacionales

Equipos de respuesta a emergencias informáticas

La mayoría de los países tienen su propio equipo de respuesta ante emergencias informáticas para proteger la seguridad de la red.

Canadá

Desde 2010, Canadá cuenta con una estrategia de ciberseguridad. Este funciona como un documento de contraparte a la Estrategia Nacional y Plan de Acción para Infraestructura Crítica. La estrategia tiene tres pilares principales: asegurar los sistemas gubernamentales, asegurar los sistemas cibernéticos privados vitales y ayudar a los canadienses a estar seguros en línea. También existe un marco de gestión de incidentes cibernéticos para proporcionar una respuesta coordinada en caso de un incidente cibernético.

El Centro Canadiense de Respuesta a Incidentes Cibernéticos (CCIRC) es responsable de mitigar y responder a las amenazas a la infraestructura crítica y los sistemas cibernéticos de Canadá. Brinda soporte para mitigar amenazas cibernéticas, soporte técnico para responder & amp; recuperarse de ataques cibernéticos dirigidos y proporciona herramientas en línea para miembros de los sectores de infraestructura crítica de Canadá. Publica periódicamente boletines de ciberseguridad & opera una herramienta de informes en línea donde las personas y las organizaciones pueden informar un incidente cibernético.

Para informar al público en general sobre cómo protegerse en línea, Public Safety Canada se asoció con STOP.THINK.CONNECT, una coalición de organizaciones gubernamentales, del sector privado y sin fines de lucro, y lanzó el Programa de Cooperación en Seguridad Cibernética. También ejecutan el portal GetCyberSafe para ciudadanos canadienses y el Mes de Concientización sobre Seguridad Cibernética durante octubre.

Public Safety Canada tiene como objetivo comenzar una evaluación de la estrategia de ciberseguridad de Canadá a principios de 2015.

China

El Grupo líder central de China para la seguridad e informatización de Internet (en chino: 中央网络安全和信息化领导小组) se estableció el 27 de febrero de 2014. Este pequeño líder Group (LSG) del Partido Comunista Chino está encabezado por el propio Secretario General Xi Jinping y cuenta con los responsables de la toma de decisiones relevantes del Partido y del Estado. El LSG fue creado para superar las políticas incoherentes y la superposición de responsabilidades que caracterizaron los antiguos mecanismos de toma de decisiones en el ciberespacio de China. El LSG supervisa la formulación de políticas en los campos económico, político, cultural, social y militar en relación con la seguridad de la red y la estrategia de TI. Este LSG también coordina importantes iniciativas políticas en el ámbito internacional que promueven normas y estándares favorecidos por el gobierno chino y que enfatizan el principio de soberanía nacional en el ciberespacio.

Alemania

Berlín inicia la Iniciativa Nacional de Defensa Cibernética: el 16 de junio de 2011, el Ministro del Interior alemán inauguró oficialmente el nuevo NCAZ (Centro Nacional de Defensa Cibernética) Nationales Cyber-Abwehrzentrum alemán ubicado en Bonn. La NCAZ coopera estrechamente con BSI (Oficina Federal para la Seguridad de la Información) Bundesamt für Sicherheit in der Informationstechnik, BKA (Organización de la Policía Federal) Bundeskriminalamt (Deutschland), BND (Servicio Federal de Inteligencia) Bundesnachrichtendienst, MAD (Servicio de Inteligencia Militar) Amt für den Militärischen Abschirmdienst y otras organizaciones nacionales en Alemania que se ocupan de los aspectos de seguridad nacional. Según el Ministro, la tarea principal de la nueva organización fundada el 23 de febrero de 2011 es detectar y prevenir ataques contra la infraestructura nacional e incidentes mencionados como Stuxnet. Alemania también ha establecido la institución de investigación más grande para la seguridad de TI en Europa, el Centro de Investigación en Seguridad y Privacidad (CRISP) en Darmstadt.

India

Algunas disposiciones para la seguridad cibernética se han incorporado a las reglas enmarcadas en la Ley de tecnología de la información de 2000.

La Política Nacional de Seguridad Cibernética 2013 es un marco de política del Ministerio de Electrónica y Tecnologías de la Información (MeitY) que tiene como objetivo proteger la infraestructura pública y privada de los ataques cibernéticos y salvaguardar la "información, como la información personal (de usuarios de la web), información financiera y bancaria y datos soberanos". CERT-In es la agencia nodal que monitorea las amenazas cibernéticas en el país. También se ha creado el puesto de Coordinador Nacional de Seguridad Cibernética en la Oficina del Primer Ministro (PMO).

La Ley de Empresas Indias de 2013 también ha introducido obligaciones en materia de ciberseguridad y legislación cibernética por parte de los directores indios. Algunas disposiciones para la seguridad cibernética se han incorporado en las reglas enmarcadas en la Actualización de la Ley de Tecnología de la Información de 2000 en 2013.

Corea del Sur

Luego de los ataques cibernéticos en la primera mitad de 2013, cuando el gobierno, los medios de comunicación, las estaciones de televisión y los sitios web de los bancos se vieron comprometidos, el gobierno nacional se comprometió a capacitar a 5000 nuevos expertos en seguridad cibernética para 2017. El gobierno de Corea del Sur culpó a sus contraparte de estos ataques, así como los incidentes ocurridos en 2009, 2011 y 2012, pero Pyongyang niega las acusaciones.

Estados Unidos

Legislación

El 18 U.S.C. de 1986 § 1030, la Ley de Abuso y Fraude Informático es la legislación clave. Prohíbe el acceso no autorizado o el daño de computadoras protegidas como se define en 18 U.S.C. § 1030(e)(2). Aunque se han propuesto varias otras medidas, ninguna ha tenido éxito.

En 2013, se firmó la orden ejecutiva 13636 Mejora de la ciberseguridad de la infraestructura crítica, que impulsó la creación del Marco de ciberseguridad del NIST.

En respuesta al ataque de ransomware Colonial Pipeline, el presidente Joe Biden firmó la Orden Ejecutiva 14028 el 12 de mayo de 2021 para aumentar los estándares de seguridad del software para las ventas al gobierno, reforzar la detección y la seguridad en los sistemas existentes, mejorar el intercambio de información y la capacitación, establecer una Junta de Revisión de Seguridad Cibernética y mejorar la respuesta a incidentes.

Servicios de pruebas gubernamentales estandarizados

La Administración de Servicios Generales (GSA, por sus siglas en inglés) ha estandarizado el servicio de prueba de penetración como un servicio de soporte previamente examinado, para abordar rápidamente posibles vulnerabilidades y detener a los adversarios antes de que afecten a los gobiernos federal, estatal y local de EE. UU.. Estos servicios se conocen comúnmente como Servicios de ciberseguridad altamente adaptables (HACS).

Agencias

El Departamento de Seguridad Nacional tiene una división dedicada responsable del sistema de respuesta, el programa de gestión de riesgos y los requisitos de seguridad cibernética en los Estados Unidos llamada División Nacional de Seguridad Cibernética. La división alberga las operaciones de US-CERT y el Sistema Nacional de Alerta Cibernética. El Centro Nacional de Integración de Comunicaciones y Ciberseguridad reúne a las organizaciones gubernamentales responsables de proteger las redes informáticas y la infraestructura en red.

La tercera prioridad del FBI es: "Proteger a los Estados Unidos contra ataques cibernéticos y delitos de alta tecnología", y ellos, junto con el Centro Nacional de Delitos de Cuello Blanco (NW3C), y la Oficina de Asistencia Judicial (BJA) son parte del grupo de trabajo de varias agencias, el Centro de Quejas de Delitos en Internet, también conocido como IC3.

Además de sus funciones específicas, el FBI participa junto con organizaciones sin fines de lucro como InfraGard.

La Sección de Delitos Informáticos y Propiedad Intelectual (CCIPS) opera en la División Criminal del Departamento de Justicia de los Estados Unidos. El CCIPS se encarga de investigar los delitos informáticos y los delitos contra la propiedad intelectual y está especializado en la búsqueda e incautación de pruebas digitales en ordenadores y redes. En 2017, CCIPS publicó A Framework for a Vulnerability Disclosure Program for Online Systems para ayudar a las organizaciones a 'describir claramente la conducta autorizada de divulgación y descubrimiento de vulnerabilidades, reduciendo así sustancialmente la probabilidad de que dichas actividades descritas resulten en una violación civil o penal de la ley. bajo la Ley de Abuso y Fraude Informático (18 U.S.C. § 1030)."

El Comando Cibernético de los Estados Unidos, también conocido como USCYBERCOM, "tiene la misión de dirigir, sincronizar y coordinar la planificación y las operaciones del ciberespacio para defender y promover los intereses nacionales en colaboración con socios nacionales e internacionales". No tiene ningún papel en la protección de las redes civiles.

La función de la Comisión Federal de Comunicaciones de EE. UU. en la ciberseguridad es fortalecer la protección de la infraestructura de comunicaciones crítica, ayudar a mantener la confiabilidad de las redes durante los desastres, ayudar en la recuperación rápida después y garantizar que los primeros en responder tengan acceso a servicios de comunicación efectivos.

La Administración de Alimentos y Medicamentos ha emitido una guía para dispositivos médicos, y la Administración Nacional de Seguridad del Tráfico en Carreteras se preocupa por la ciberseguridad automotriz. Después de ser criticado por la Oficina de Responsabilidad Gubernamental, y luego de ataques exitosos en aeropuertos y ataques reclamados en aviones, la Administración Federal de Aviación ha dedicado fondos para asegurar los sistemas a bordo de los aviones de fabricantes privados y el Sistema de Informes y Direccionamiento de Comunicaciones de Aeronaves. También se han planteado preocupaciones sobre el futuro Sistema de Transporte Aéreo de Próxima Generación.

Equipo de preparación para emergencias informáticas

Equipo de respuesta a emergencias informáticas es un nombre que se le da a los grupos de expertos que manejan incidentes de seguridad informática. En los EE. UU., existen dos organizaciones distintas, aunque trabajan en estrecha colaboración.

Guerra moderna

Existe una creciente preocupación de que el ciberespacio se convierta en el próximo teatro de guerra. Como escribió Mark Clayton de The Christian Science Monitor en un artículo de 2015 titulado "La nueva carrera cibernética de armamentos":

En el futuro, las guerras no sólo serán combatidas por soldados con armas o con aviones que dejan bombas. También se lucharán con el clic de un ratón a medio mundo de distancia que desata programas informáticos cuidadosamente armados que interrumpen o destruyen industrias críticas como servicios públicos, transporte, comunicaciones y energía. Esos ataques también podrían desactivar las redes militares que controlan el movimiento de tropas, el camino de los cazas a reacción, el mando y el control de los buques de guerra.

Esto ha dado lugar a nuevos términos como guerra cibernética y ciberterrorismo. El Comando Cibernético de los Estados Unidos se creó en 2009 y muchos otros países tienen fuerzas similares.

Hay algunas voces críticas que cuestionan si la ciberseguridad es una amenaza tan importante como se pretende.

Carreras

La ciberseguridad es un campo de TI de rápido crecimiento que se preocupa por reducir las organizaciones' riesgo de hackeo o violación de datos. Según una investigación del Enterprise Strategy Group, el 46 % de las organizaciones dicen que tienen una "escasez problemática" de habilidades de seguridad cibernética en 2016, frente al 28% en 2015. Las organizaciones comerciales, gubernamentales y no gubernamentales emplean a profesionales de seguridad cibernética. Los aumentos más rápidos en la demanda de trabajadores de ciberseguridad se encuentran en industrias que gestionan volúmenes cada vez mayores de datos de consumidores, como finanzas, atención médica y venta minorista. Sin embargo, el uso del término ciberseguridad es más frecuente en las descripciones de puestos gubernamentales.

Los títulos y descripciones típicos de los trabajos de ciberseguridad incluyen:

Analista de seguridad

Analiza y evalúa vulnerabilidades en la infraestructura (software, hardware, redes), investiga el uso de herramientas disponibles y contramedidas para remediar las vulnerabilidades detectadas y recomienda soluciones y mejores prácticas. Analyzes and assesses damage to the data/infrastructure as a result of security incidents, examines available recovery tools and processes, and recommends solutions. Pruebas para el cumplimiento de las políticas y procedimientos de seguridad. Puede ayudar en la creación, aplicación o gestión de soluciones de seguridad.

Ingeniero de seguridad

Realiza análisis de seguridad, seguridad y datos/logs y análisis forenses para detectar incidentes de seguridad y aumentar la respuesta al incidente. Investiga y utiliza nuevas tecnologías y procesos para mejorar las capacidades de seguridad y aplicar mejoras. También puede revisar el código o realizar otras metodologías de ingeniería de seguridad.

Arquitecto de seguridad

Diseña un sistema de seguridad o componentes principales de un sistema de seguridad, y puede dirigir un equipo de diseño de seguridad construyendo un nuevo sistema de seguridad.

Administrador de seguridad

Instala y gestiona sistemas de seguridad de toda la organización. Esta posición también puede incluir asumir algunas de las tareas de un analista de seguridad en organizaciones más pequeñas.

Director de seguridad de la información (CISO)

Una posición de gestión de alto nivel responsable de toda la división/staff de seguridad de la información. La posición puede incluir trabajo técnico práctico.

Directora de Seguridad (CSO)

(feminine)
Una posición de gestión de alto nivel responsable de toda la división de seguridad/staff. Ahora se considera necesaria una posición más reciente a medida que aumentan los riesgos de seguridad.

Delegado de Protección de Datos (RPD)

A DPO is tasked with monitoring compliance with the UK GDPR and other data protection laws, our data protection policies, awareness-raising, training, and audits.

Consultor de Seguridad/Especialista/Inteligencia

Títulos amplios que abarcan cualquiera de los otros roles o títulos que se encargan de proteger ordenadores, redes, software, datos o sistemas de información contra virus, gusanos, spyware, malware, detección de intrusiones, acceso no autorizado, ataques de denegación de servicio y una lista cada vez mayor de ataques de hackers actuando como individuos o como parte del crimen organizado o gobiernos extranjeros.

Los programas para estudiantes también están disponibles para las personas interesadas en comenzar una carrera en seguridad cibernética. Mientras tanto, una opción flexible y efectiva para que los profesionales de seguridad de la información de todos los niveles de experiencia sigan estudiando es la capacitación en seguridad en línea, incluidos los webcasts. También hay disponible una amplia gama de cursos certificados.

En el Reino Unido, se estableció un conjunto nacional de foros de seguridad cibernética, conocido como el Foro de Seguridad Cibernética del Reino Unido, con el apoyo de la estrategia de seguridad cibernética del gobierno para fomentar la creación de empresas y la innovación y abordar la brecha de habilidades. identificado por el gobierno del Reino Unido.

En Singapur, la Agencia de Seguridad Cibernética ha emitido un Marco de competencias de seguridad cibernética (OTCCF) de tecnología operativa (OT) de Singapur. El marco define los roles emergentes de ciberseguridad en la tecnología operativa. La OTCCF fue respaldada por la Autoridad de Desarrollo de Medios de Infocomm (IMDA). Describe los diferentes puestos de trabajo de ciberseguridad de OT, así como las habilidades técnicas y las competencias básicas necesarias. También describe las muchas trayectorias profesionales disponibles, incluidas las oportunidades de avance vertical y lateral.

Terminología

Los siguientes términos utilizados con respecto a la seguridad informática se explican a continuación:

Las técnicas criptográficas implican la transformación de la información, scrambling it, por lo que se vuelve irrevisible durante la transmisión. El destinatario previsto puede desvelar el mensaje; idealmente, los audífonos no pueden.

Académicas notables

(feminine)
  • Ross J. Anderson
  • Annie Anton
  • Adam Back
  • Daniel J. Bernstein
  • Matt Blaze
  • Stefan Brands
  • L. Jean Camp
  • Lorrie Cranor
  • Dorothy E. Denning
  • Peter J. Denning
  • Cynthia Dwork
  • Chuck Easttom
  • Deborah Estrin
  • Joan Feigenbaum
  • Ian Goldberg
  • Shafi Goldwasser
  • Lawrence A. Gordon
  • Peter Gutmann
  • Paul Kocher
  • Monica S. Lam
  • Butler Lampson
  • Brian LaMacchia
  • Susan Landau
  • Carl Landwehr
  • Kevin Mitnick
  • Peter G. Neumann
  • Susan Nycum
  • Paul C. van Oorschot
  • Roger R. Schell
  • Bruce Schneier
  • Dawn Song
  • Gene Spafford
  • Salvatore J. Stolfo
  • Willis Ware
  • Moti Yung