análisis de la infraestructura crítica y su relación con la seguridad nacional
DESCRIPTION
Resumen: El presente trabajo tiene por objetivo realizar un análisis de la situaciónactual de las ciberamenazas y como ellas pueden afectar la actual dependenciade la sociedad sobre el uso de las Tecnologías de la Información yComunicaciones para su normal funcionamiento, tanto a nivel individual comocolectivo, identificando la relación de las infraestructuras Críticas y su rol en lamantención de la Seguridad Nacional.TRANSCRIPT
FUERZA AÉREA DE CHILEACADEMIA POLITÉCNICA AERONÁUTICA
“ANÁLISIS DE LA INFRAESTRUCTURA CRÍTICA Y SURELACIÓN CON LA SEGURIDAD NACIONAL”
Rodrigo P. Vargas VarasComandante de Escuadrilla (TI)
Ingeniero Civil en Computación e InformáticaMagíster en Tecnologías de la Información UTFSM
Certified Information Systems Security Professional, CISSP®[email protected]
2015
Resumen: El presente trabajo tiene por objetivo realizar un análisis de la situaciónactual de las ciberamenazas y como ellas pueden afectar la actual dependenciade la sociedad sobre el uso de las Tecnologías de la Información yComunicaciones para su normal funcionamiento, tanto a nivel individual comocolectivo, identificando la relación de las infraestructuras Críticas y su rol en lamantención de la Seguridad Nacional.
Palabras Clave: INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN,CIBERESPACIO, CIBERDEFENSA, CIBERAMENZAS.
CONTENIDO
I. Introducción.........................................................................................................................2
Ii. Situacion actual de las tecnologías de la información........................................................3
1. Computacion Ubicua.....................................................................................................4
2. La Internet de las Cosas................................................................................................5
3. Cloud Computing...........................................................................................................7
4. Redes Sociales..............................................................................................................8
Iii. Infraestructura Crítica........................................................................................................10
1. Que es la Infraestructura Crítica..................................................................................10
2. Sistemas de Control Industrial (ics).............................................................................12
3. Infraestructura Crítica de la Información.....................................................................14
Iv. Conceptos generales sobre Ciberseguridad.....................................................................17
1. Ciberespacio................................................................................................................17
2. Ciberseguridad............................................................................................................20
3. Ciberdefensa...............................................................................................................21
4. Ciberamenazas............................................................................................................22
A. Ciberespionaje industrial..........................................................................................24
B. Ciberespionaje gubernamental................................................................................24
C. Ciberataques a infraestructuras críticas..................................................................27
D. Ciberdelincuencia.....................................................................................................28
E. Ciberdelincuencia contra servicios financieros........................................................29
F. Ciberdelincuentes aislados.....................................................................................30
G. Ciberhacktivistas......................................................................................................30
H. Cibersabotaje...........................................................................................................31
V. Concepto de seguridad nacional y seguridad multidimensional.......................................31
Vi. Conclusiones.....................................................................................................................33
Vii. Bibliografía.........................................................................................................................34
I. INTRODUCCIÓN
Las sociedades cambian constantemente y en la segunda mitad del siglo XX e inicios delXXI hemos sido testigos de cómo la sociedad ha consolidado el eje tecnológico como unabase de su funcionamiento. Por otro lado, este constante cambio ha llevado a que los paísesno sólo sean amenazados en forma convencional, sino que aparecen nuevas amenazascomo son el narcotráfico, la trata de personas, pandemias y ciberataques, que involucrarán laseguridad de dichos estados llevándolos a conceptualizar nuevas estrategias de seguridad ydefensa, las cuales representan a los diferentes países de acuerdo a sus realidadesparticulares.
Es en este nuevo escenario donde irrumpen los conceptos de Ciber1, que cobranimportancia día a día, cada vez tomándose las agendas no sólo a nivel nacional sino queademás de organismos internacionales como son la ONU2,OEA3,OTAN4,UNASUR5 entreotros.
Este nuevo escenario, que se plantea en base a la dependencia tecnológica de lassociedades, hace necesario conocer cómo ellas impactan su forma de vida y cómo las
1 Elemento prefijal que surge a partir de la palabra cibernética. 2 Organización de las Naciones Unidas.3 La Organización de los Estados Americanos (OEA) es una organización internacional panamericanista de ámbito regionaly continental.4 La Organización del Tratado del Atlántico Norte es una alianza militar intergubernamental basada en el Tratado delAtlántico Norte o Tratado de Washington firmado el 4 de abril de 1949.5 La Unión de Naciones Suramericanas.
2
ciberamenazas podrán afectar la estabilidad de los estados, mediante la interrupción de lainfraestructura crítica que lo soporta. Por lo tanto se hace necesario conocer qué es lainfraestructura crítica y que amenazas existen hoy al respecto, además de definir conclaridad qué se entiende por ciberespacio, ciberseguridad, ciberdefensa y ciberamenzas,todos ellos temas que serán desarrollados en el presente trabajo.
II. SITUACION ACTUAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
En los últimos siglos el ser humano ha utilizado a la tecnología como motor central de sudesarrollo y sociedad. El siglo XVIII presentó a una sociedad de grandes sistemasmecánicos que le dieron el soporte necesario a la Revolución Industrial. El siglo XIX fue elsiglo de los sistemas a vapor que, por sobre todo, revolucionaron al transporte y que tuvo ungran efecto también en el desarrollo económico de las naciones que dominaron dichatecnología. En el siglo XX la tecnología clave fue la obtención, procesamiento y distribuciónde la información, viéndose entre otros avances, la instalación mundial de redes telefónicas,la invención de la radio y la televisión, el nacimiento de un uso masivo de los computadores yel lanzamiento de una red de satélites de comunicación. Pero a mediados del siglo pasadoaparece una nueva tecnología que viene a revolucionar la forma de comunicarse del mundocompleto: ella es la Internet, [CITATION Tan97 \l 13322 ] tecnología que se inició como unproyecto de defensa de los Estados Unidos a finales de los años 60, formada por múltiplesdesarrollos independientes; uno de ellos implementado por el DARPA6, del Departamento deDefensa de Estados Unidos, la que consistía en una red de conocimiento llamadaARPANET7, uno de los pilares fundamentales de la tecnología pero no el único, ya que sesumaron tres pilares más. El primer pilar fue la red de uso militar norteamericana conocidacomo proyecto RAND8, patrocinado por USAF9 y que fundó los principios del uso de redesdistribuidas [ CITATION Pau64 \l 13322 ]. El segundo pilar fue la red del NPL (NationalPhysical Laboratory) del Reino Unido, red que colaboró con los conceptos decomunicaciones de paquetes, debido a la necesidad que tuvo de dividir las comunicacionespor la mala calidad de su infraestructura, forzando la invención de esta nueva tecnología conuna orientación netamente comercial[CITATION KGi12 \l 13322 ]. Finalmente, el tercer pilaren esta tríada fue la red francesa CYCLADES, la cual estaba compuesta de múltiples redesdistribuidas, dado que poseían un presupuesto limitado. A raíz de ello desarrollaron lainterconexión de las diferentes redes para lograr potenciarse mutuamente, creando elconcepto de Interredes (Inter-net); además, colaboraron en la creación del concepto de redesde punto a punto, utilizando los nodos intermedios solo como elementos de paso medianteel uso de multicapas de comunicación[ CITATION Gra79 \l 13322 ]. Gracias a ellas, estanueva arquitectura comenzó a funcionar como red, sirviendo como base para unir centros de
6 Proveniente de su nombre original en inglés Defense Advanced Research Projects Agency, es una agencia delDepartamento de Defensa de Estados Unidos responsable del desarrollo de nuevas tecnologías para uso militar.7 Advanced Research Projects Agency Network, es la red de computadoras creada por encargo del Departamento deDefensa (DOD) de Estados Unidos para utilizarla como medio de comunicación entre los diferentes organismos nacionalesestadounidenses. El primer nodo fue creado en la Universidad de California en Los Ángeles (UCLA), y fue la espina dorsalde Internet hasta 1990, tras finalizar la transición al protocolo TCP/IP, iniciada en 1983.8 Project RAND fue una red que se centró principalmente en cuestiones militares relacionadas con la Guerra Fría. Unapreocupación inminente era que ni las plantas de telefonía de larga distancia, ni la red de mando y control militar básicosobrevivirían a un ataque nuclear.9 USAF, United State Air Force.
3
investigación tanto militares como de universidades, trabajándose en desarrollar protocolosmás avanzados, para diferentes tipos de computadores. En 1983 se adoptó el TCP/IP comoestándar principal para todas las comunicaciones, y en 1990 desapareció ARPAnet para darpaso, junto a otras redes TCP/IP, a Internet. Por aquel entonces también comenzaron aoperar organizaciones privadas en la Red. Poco a poco, todos los fabricantes decomputadores personales y redes fueron incorporando el protocolo TCP/IP a sus sistemasoperativos, de modo que en la actualidad cualquier equipo está listo para conectarse aInternet[CITATION Tan97 \l 13322 ].
Hoy en día existen más de 3.000 millones de usuarios de internet, como se puedeapreciar en la figura tasa de uso de internet [ CITATION Int15 \l 13322 ], donde se puedeidentificar que el uso de este medio de comunicación claramente sigue en aumento, dadoque posee tasas de crecimiento de 7,9% con una tasa promedio de crecimiento de lapoblación de 1,14%, lo que significa que el aumento que dicha tecnología posee, con unapenetración en la población de un 40% en el año 2014, la presenta claramente como laprincipal infraestructura de comunicación a nivel global hoy en día.
Figura 1 Tasa de uso de internet Fuente: www.internetlivestat.com
Siendo Internet la principal infraestructura de telecomunicaciones que conecta al orbe yprincipal medio que soporta al Ciberespacio, este uso masivo del internet ha llevado acambios en la sociedad actual, transformándose en una sociedad altamente dependiente dela tecnología. Dentro de las principales tendencias de uso que podemos ver en la actualidadse encuentran las siguientes:
1. COMPUTACIÓN UBICUA
Durante las últimas décadas se ha apreciado como el poder de los microprocesadores haido aumentando a un ritmo de duplicarse cada 18 meses; esta tendencia continúa hasta
4
nuestros días, pero la pregunta natural que nos cabe realizar es si ello realmente importa.Hoy claramente la estación de trabajo, como la hemos conocido, ha dejado de ser algo quele agrega valor a la organización; el valor está en cómo la explotamos y cómo ella mejora losprocesos que realizamos en forma diaria. Como se apreció en la Figura 1, el éxito en elcrecimiento del uso de los dispositivos móviles está dado por la capacidad de integrarse demanera más simple con nuestras tareas cotidianas, de una manera ubicua.
El término ubicuo10 fue acuñado por Hans-Werner Gellersen11 y “expone que elcomputador como un dispositivo dedicado podría desaparecer, mientras que al mismotiempo, sus capacidades de procesamiento de información pueden estar disponibles anuestro alrededor. Nuevas tecnologías pueden crear un camino a la “tecnología incorporadaen todo nuestros dispositivos, esta tecnología está llegando a ser más invisible y a encajarmejor, tranquiliza nuestras vidas, quitando molestias. Las tecnologías tradicionales sonaquellas que desaparecen poco a poco” [ CITATION Fri01 \l 13322 ]. Esta omnipresencia lapodemos ver en la gran cantidad de dispositivos que están a nuestro alrededor, con fuertescapacidades de cómputo, con los que interactuamos sin saberlo, como tarjetas de pagoautomático en el servicio de transporte público, con el sistema de control computarizado denuestro vehículo, el sistema de telepeaje, sistemas de telemedicina y todo tipo deaplicaciones de RFID12 y NFC13, que brindan un control e interacción de los objetos con lossistemas de información, llevándonos a pasos agigantados hacia la interconexión totalmediante lo que se conoce como la internet de las cosas. Pero no está demás reflexionar unpoco sobre cómo esta sobreexposición de dispositivos y datos personales que seránintercambiados, y como nuestra futura vida diaria, la privacidad y el anonimato podrían serpalabras del pasado, dando paso a una constante trazabilidad de nuestras vidas.
2. LA INTERNET DE LAS COSAS
Este concepto que nació en algún punto entre 2008 y 2009, consiste básicamente en lacapacidad que se posee de interconectar no sólo lo que tradicionalmente se entendía comonecesario conectar a internet, como eran los computadores, servidores y dispositivos denetworking, sino que se avanza a pasos agigantados a una interconexión de múltiples otrosdispositivos a nivel personal, como son tabletas, teléfonos Inteligentes, consolas de juegos,televisores y un sin número de electrodomésticos, hasta los hogares o medios de transporte;a nivel corporativo la generación de energía, control de producción y distribución de bienes yservicios.
A medida que la IDC14 evolucione estas redes y muchas más estarán interconectadas conla incorporación de nuevas capacidades de seguridad, análisis y administración, dándole aesta tecnología un poder como herramienta de carácter global, pudiendo considerarse la realred de redes[ CITATION Dav11 \l 13322 ].
10 Que está presente a un mismo tiempo en todas partes, omnipresente.11 Prof. Hans-Werner Gellersen,MSc and PhD in computing, de la Universidad de Karlsruhe, Germany.12 Radio Frequency Identification.13 Near field communication.14 Internet de las Cosas.
5
Figura 2 La Internet de las Cosas (IdC) Fuente: Cisco IBSG, abril de 2011[ CITATION Dav11 \l 13322 ]
Esta tendencia ha ido en un continuo incremento basado en las nuevas capacidadesque entrega la tecnología día a día, cambiando la forma en la cual se utiliza la red. Porejemplo, el gráfico de proyecciones del Boston Consulting Group, sobre los tipos de equiposutilizados en internet, claramente evidencia una migración hacia el uso de dispositivosmóviles en primer término, ya a partir del 2015.
Figura 3 Distribución del uso de dispositivos en InternetFuente: Boston Consulting Group Mary Meeker, Kleiner Perkins, Morgan Stanley Research, 2012
Con el estudio de IDC queda demostrado que los dispositivos fijos claramente van enretroceso dando el paso a la tecnología móvil de carácter más embebida en nuestras vidas,como son los dispositivos que todos los días usamos para trabajar, estudiar y divertirnos; ellopermite que cada día se avance más hacia una internet de las cosas.
6
Figura 4 Mercado de Dispositivos inteligentes conectados por categorías de producto, unidades vendidas y cuota de mercadoFuente: IDC Worldwidw Quartely Connected Device Tracker, September 11,2013
Esta tecnología si bien es cierto nos plantea capacidades y comodidades casi ilimitadas,por otro lado nos plantea la dificultad de permear a la red un mundo que hasta hoypermanecía absolutamente desconocido, por lo tanto, libre de todos los peligros existentesen ella, pero que al momento de coexistir produce una permeabilidad de nuestra vida diariatanto privada como corporativa.
3. CLOUD COMPUTING
Básicamente, es un concepto que mezcla una serie de tecnologías existentes como soninfraestructuras de comunicaciones, virtualización hasta el consumo de aplicaciones, y lotransforma en un concepto general de uso común, tanto a nivel comercial como personal.Una definición formal es la planteada por el NIST 15 estadounidense, el cual define lacomputación en la nube como un modelo de servicio, que permite un conveniente accesoubicuo a la red bajo demanda, a una infraestructura compartida de recursos informáticosconfigurables (como por ejemplo redes, servidores, almacenamiento, aplicaciones yservicios) que pueden ser aprovisionados y puestos en servicio con un mínimo esfuerzo deadministración o intervención de un proveedor de servicios. Este modelo de nube secompone de cinco características esenciales [ CITATION Pet11 \l 13322 ].
Autoservicio en demanda Acceso amplio a la red Grupo de Recursos Comunes Elasticidad Servicio Medido o Controlado
Y tres modelos de servicio:
Software como Servicio (SaaS) Plataforma como servicio ( PaaS ) Infraestructura como Servicio ( IaaS )
15 National Institute of Standards and Technology. 7
Con cuatro modelos de Implementación: Nube privada Nube de Comunidad Nube pública Cloud híbrido
Cabe señalar que esta tecnología muy difundida hoy en día, como se dijo, es más bienuna integración tecnológica presentada como un modelo comercial para su venta ydistribución, entregándole a terceros la responsabilidad de implementar, administrar, operar yasegurar dichas plataformas. Ello es necesario para comprender que puede ser una granayuda para unos, pero un problema grave para otros y sólo dependerá de la lógica interna dela organización y de cuáles son sus objetivos, siendo en algunos casos una herramienta quele brinda a las empresas la flexibilidad necesaria para poder hacerlas más competitivas dadoque podrán implementar de manera más simple considerando el alto nivel de sofisticaciónque presenta como servicio.
4. REDES SOCIALES
No existe una definición teoría única sobre qué son y qué no son las redes sociales, peroen general se coincide en que una red social es: “un sitio en la red cuya finalidad es permitira los usuarios relacionarse, comunicarse, compartir contenido y crear comunidades”, o comouna herramienta de “democratización de la información que transforma a las personas enreceptores y en productores de contenidos”. En el año 2007, fue publicado un artículo en elJournal of Computer Mediated Communication16 que mencionaba una interesanteinformación sobre el fenómeno de las redes sociales en Internet. En dicho trabajo sedefinieron las redes sociales como: “servicios dentro de las webs que permiten al usuario 1)construir un perfil público o semi-público dentro de un sistema limitado, 2) articular una listade otros usuarios con los que comparte una conexión y 3) visualizar y rastrear su lista decontactos y las elaboradas por otros usuarios dentro del sistema. La naturaleza ynomenclatura de estas conexiones suele variar de una red social a otra” [CITATION Coo11 \l13322 ].
En 1967 se llevó a cabo un experimento por parte del profesor Stanley Milgram17 enHarvard sobre lo que llamó el pequeño mundo, donde en base al envío de paquetes adistintas personas de diferentes ciudades en estados unidos ubicadas al azar, sin que seconocieran entre sí, debían enviárselo a otras personas que conocieran en dichas ciudades,y sólo se le daban algunos pocos datos. Se concluyó que la población de Estados Unidosestaba separada en promedio en seis grados o por 6 personas. En el 2008, una conocidaempresa de mensajería instantánea llevo a cabo un estudio para comprobar la exactitud yveracidad de la teoría, donde se analizó a 30 millones de conversaciones electrónicas de 180
16 1 M.Bold, Danah y B. Ellison Nicole, “Social Network Sites: Definition, history and scholarship”, Journal ofComputer-Mediated Communication, 2007.17 Stanley Milgram fue un psicólogo graduado de la Universidad de Yale que condujo los experimentos del mundo pequeñoy el Experimento de Milgram sobre la obediencia a la autoridad.
8
millones de usuarios de todo el planeta, concluyendo que solo estaban a 6,6 personas dedistancia una persona con otra, validando la teoría de los seis grados.[CITATION Coo11 \l13322 ].
Figura 5 Distribución de Población , Usuarios de Internet, Redes Sociales y Dispositivos MóvilesFuente: Social, Digital & Mobile Around The World (January 2014)
La figura 5 muestra una gráfica sobre la distribución de usuarios de internet, redessociales y dispositivos móviles, se puede apreciar que Latinoamérica claramente posee unalto nivel de penetración porcentualmente a su población, dado que existen más usuarios endichas plataformas que población existente; lo mismo ocurre en el caso de internet. Hoy endía aproximadamente 1.184 millones de usuarios son parte de Facebook o más 400 millonesutilizan Whatsapp, ello para nada es un fenómeno aislado ni mucho menos algo que debedejarse pasar simplemente como una moda, la tendencia demuestra un crecimientosostenido que lleva a fijar esta forma de comunicación como un elemento que debe serconsiderado de forma seria, a la hora de realizar cualquier tipo de análisis sobre los impactosy efectos de las Tecnologías de la Información.
9
Figura 6 Usuarios Activos de Redes Sociales por PlataformasFuente: Social, Digital & Mobile Around The World (January 2014)
III. INFRAESTRUCTURA CRÍTICA
1. QUÉ ES LA INFRAESTRUCTURA CRÍTICA
Una de las actividades claves que se deberían desarrollar en la actualidad por losdiferentes países es lograr identificar las necesidades en infraestructura de uso público oprivado que son críticas para el desarrollo del país, entendiéndose como los requerimientosclaves para el crecimiento de la nación que como efecto tendrán el mejorar la calidad de vidade los diferentes habitantes. Estas necesidades pueden estar presentes en diferentes áreasdel que hacer nacional siendo normalmente intersectorial.
Para comprender mejor qué es lo que se entiende por infraestructura crítica podemosanalizar la siguiente definición: “Las infraestructuras son necesarias para el funcionamientonormal de los servicios básicos y los sistemas de producción de cualquier sociedad. De talmanera que cualquier interrupción no deseada, ya sea debida a causas naturales, técnicas,ya sea por ataques deliberados, tendrían graves consecuencias en los flujos de suministrosvitales o en el funcionamiento de los servicios esenciales, aparte de ser una fuente deperturbaciones graves en materia de seguridad” [ CITATION Bej11 \l 13322 ].
En el caso de nuestro país se desarrolló un estudio por parte de la cámara chilena de laconstrucción denominado “Infraestructura Crítica para el desarrollo, Análisis Sectorial 2012-2016”, donde se definen en forma general los conceptos de infraestructura crítica para eldesarrollo del país. Se plantea que una adecuada infraestructura no sólo permite laintegración física del territorio, sino que genera nuevos polos de desarrollo y facilita el accesoa bienes y servicios. Claramente, esta visión está con un sesgo hacia los clásicos conceptos
10
de infraestructura más bien elementos físicos que servicios, como se puede desprender delanálisis sectorial detallado que se realiza, donde los principales ejes de infraestructura críticaestán dados por los recursos hídricos, la electricidad, puertos, aeropuertos, vialidad urbana,vialidad interurbana, servicios públicos y sociales (infraestructura hospitalaria, infraestructurapenitenciaria). Se puede apreciar en la figura del resumen de los requerimientos que elprincipal énfasis propuesto, en base a las actuales necesidades, se centra en electricidad yvialidad interurbana[ CITATION Cam12 \l 13322 ].
Figura 7 Tabla Resumen de Requerimientos de Inversión en Infraestructura 2012-2016Fuente: Infraestructura Crítica para el desarrollo, Análisis Sectorial 2012-2016
Claramente, podemos inferir de la Figura 7 que esta visión de infraestructura crítica noes completa, por lo que faltan sectores de vital importancia como son las telecomunicacionesy el sector financiero. La gran mayoría de los países desarrollados han visto estaproblemática de manera más integral. Una mirada interesante es la que plantea la AgenciaNorteamericana de Seguridad Interior, Department of Homeland Security, donde define a lainfraestructura crítica como aquella que ofrece los servicios esenciales que sustentan lasociedad estadounidense y que sirven de columna vertebral de la economía, la seguridad yla salud de la nación, siendo la energía que usan en sus hogares, el agua que beben, eltransporte que los mueve, las tiendas donde compran y los sistemas de comunicaciones quelos conectan. Se identificándose 16 sectores de interés como son el sector químico,Instalaciones Comerciales, Comunicaciones, Manufactura Crítica, Represas, Industria deDefensa, Servicios de Emergencia, Generación Eléctrica, Sector Financiero, Industria deAlimentos y Agricultura, Servicios Gubernamentales, Salud, Tecnologías de la información,Industria Nuclear, Transporte y Servicios Hídricos, todo ello definido por una políticapresidencial18 especializada en el tema[CITATION Dep15 \l 13322 ].
En base a lo expuesto, tanto a nivel nacional como internacional, podemos inferir que lainfraestructura crítica es la columna vertebral que sostiene a la economía y sociedad de unpaís, constituida tanto por empresas productivas como por aquellas que entregan servicios,tanto de carácter gubernamentales como privadas, las que si por alguna razón interrumpen
18 Presidential Policy Directive, Critical Infrastructure Security and Resilience, PPD-21. 11
su operación traerá, de alguna manera, consecuencias complejas en forma transversal a lasociedad.
2. SISTEMAS DE CONTROL INDUSTRIAL (ICS)
Los sistemas de control industrial básicamente están constituidos por las tecnologías queapoyan los procesos industriales de producción; su sigla ICS proviene del acrónimo en inglésde Industrial Control Systems. Este tipo de dispositivos posee una serie de característicaspropias como las planteadas en uno de los documentos oficiales de ISACA19, donde seentiende que son todos aquellos sistemas que residen en entornos industriales y defabricación, tales como generación eléctrica ,distribución de agua potable producción deenergía, entre otros. A inicios del presente milenio se intentó estandarizar el lenguaje, ymuchos términos, como sistemas de control de procesos (PCS20) , sistemas de controldistribuido ( DCS21 ) , Sistemas de Supervisión, Control y Adquisición de Datos (SCADA22),los cuales dejaron de usarse de manera intercambiable, y se estandarizó en el concepto deSistemas de Control Industrial (ICS), como un término general que abarca varios tipos detecnologías asociadas al control industrial, incluyendo SCADA, DCS y otrasimplementaciones de control tales como los Controladores Lógicos Programables (PLC23),que a menudo se encuentran en equipamientos industriales y de infraestructuras críticas[ CITATION ISA15 \l 13322 ].
Los ICS están conformados por múltiples componentes y diversas tecnologías, pero sepueden dividir en forma genérica en los siguientes elementos:
Bucle de control: Un bucle de control consta de sensores para la medición, tales comohardware con controladores PLCs, actuadores, como válvulas de control,interruptores, motores y además la comunicación de variables. El control de lasvariables se transmite al controlador de los sensores. El controlador interpreta lasseñales y genera correspondientes variables manipuladas, basado en los puntos deajuste, que se transmiten a los actuadores. Cambios en los procesos o alteracionesresultan en nuevas señales a los sensores, identificando el estado del proceso ytransmitiéndolos nuevamente al controlador.
Interfaz Hombre-Máquina (HMI24): Es aquella que los operadores e ingenieros utilizanpara supervisar y configurar conjunto puntos y algoritmos de control, al igual que paraajustar y establecer parámetros en los controladores. En ella también se encuentran
19 Information Systems Audit and Control Association. Es una asociación internacional que apoya y patrocina el desarrollode metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información.20 PCS, acrónimo de Process Control Systems. Un sistema de control es un conjunto de dispositivos encargados deadministrar, ordenar, dirigir o regular el comportamiento de otro sistema, con el fin de reducir las probabilidades de fallo yobtener los resultados deseados. Por lo general, se usan sistemas de control industrial en procesos de producciónindustriales para controlar equipos o máquinas.21 DCS, acrónimo de Distributed Control Systems. Es un sistema de control para un proceso o planta, en donde loselementos de control se distribuyen en todo el sistema.22 SCADA, acrónimo de Supervisory Control And Data Acquisition. Es un software para ordenadores que permite controlar ysupervisar procesos industriales a distancia. Facilita retroalimentación en tiempo real con los dispositivos de campo,controlando el proceso automáticamente.23 PLC, acrónimo de Programmable Logic Controller, es una computador utilizado para automatizar procesoselectromecánicos, tales como el control de la maquinaria en fábricas, líneas de montaje o atracciones mecánicas.24HMI , acrónimo de Human Machine Interface.
12
las pantallas que procesan la información de estado y la información histórica.
Herramientas de Diagnóstico Remoto y Mantenimiento: Se utilizan para prevenir,identificar y recuperarse de fallas a la normal operación.
Un ICS típico contiene una gran cantidad de estos componentes, con una gran variedadde protocolos de red en arquitecturas en capas. A veces, estos bucles de control se anidan ose utilizan en cascada cerca del punto de ajuste. Bucles de nivel de supervisión y bucles denivel inferior operan continuamente sobre un proceso determinado, con tiempos de ciclo quevan en el orden de milisegundos a minutos. La configuración básica de una estructura de ICSes la que se presenta a continuación [ CITATION Sto11 \l 13322 ].
Figura 8 Operación de un Sistema de Control industrialFuente: NIST Special Publication 800-82 (2011)
Los sistemas industriales y de infraestructura crítica son normalmente monitoreados ycontrolados por simples computadores llamados ICS, los que están basados en estándaresde plataformas embebidas muchas de ellas usando equipamiento COTS25 y siendo usadaspara procesos de manufactura, producción y distribución. Ello con lleva a una serie deproblemáticas de seguridad, dado que dichos dispositivos al utilizar plataformas comercialesestándar, poseerán sus mismas debilidades y fortalezas. Los beneficios que estos sistemashan entregado han sido la razón de su amplia adopción; sumado a su robustez y estabilidad,permiten que instalaciones con infraestructura crítica utilicen soluciones de ICS, por periodosde tiempo de más de 10 e incluso 20 años, con los riesgos de obsolescencia en la seguridad
25 Commercial Off-The-Shelf (COTS), que en su traducción literal significa Componente sacado del estante, o lo que en elámbito de las tecnologías de la información podría traducirse como Producto de Caja.
13
que ello presenta, agravado por el hecho que muchas de estas plataformas no fueronconcebidas con conceptos iniciales de seguridad y que existen muchas tecnologíaspropietarias que dificultan el conseguir especialistas, lo que resulta en la existencia de unagran cantidad de configuraciones por defecto, presentando un enorme riesgo a la seguridadde dichas implementaciones. 198 incidentes fueron reportados e investigados por el US ICS-CERT26 en el año 2012, donde la cantidad se focalizó en el sector de energía con un 41%,siguido en forma bastante alejada por la distribución de agua con un 15%.
Figura 9 Incidentes reportados e investigados ligados a la ICS durante el año 2012Fuente: US ICS-CERT (2012)
Los sistemas ICS fueron diseñados para proveer gestión y control con la máximafiabilidad. A menudo no cuentan con mecanismos para evitar acceso no autorizado o parahacer frente a las amenazas de seguridad en constante evolución, que normalmente sonexplotadas desde redes externas o internas. Ello determina la preocupación que hoy se tienesobre este tipo de infraestructuras.
26 The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) 14
3. INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN
Este tipo de infraestructura se refiere a la que específicamente soporta las tecnologías dela información y comunicaciones necesarias para el normal funcionamiento del país. Esinteresante poder visualizar cuál es la visión de los países desarrollados al respecto y paraeso revisaremos un estudio solicitado por la Subsecretaria de Telecomunicaciones a laconsultora Zagreb en el año 2008, donde se desprende lo siguiente:
Australia utiliza el término Infraestructura de Información Nacional (NII27), parareferirse al subconjunto de la infraestructura crítica nacional que se basa en sistemaselectrónicos que soportan servicios críticos tales como telecomunicaciones, transportey distribución de energía, banca y finanzas. Cualquier falla que presenten puedeafectar a la economía, sistema social o la posibilidad de asegurar la seguridadnacional.
Canadá define a su infraestructura Crítica Nacional (NCI28) como aquellas tecnologíasfísicas o de información, redes y servicios, las cuales de ser interrumpidas odestruidas podrían producir un serio impacto a la salud, seguridad o bienestar de losciudadanos canadienses o el funcionamiento gubernamental.
Holanda también utiliza el término infraestructura crítica de la información y la definecomo los sistemas de información (Software, Hardware y Datos) que soportan una omás infraestructuras críticas cuya interrupción o falla podría ocasionar un daño severoal normal funcionamiento de dicha infraestructura [ CITATION Zag08 \l 13322 ].
Una definición interesante está dada por lo descrito en la “National Cybersecurity StrategyGuide29” de la ITU30, donde clasifica la infraestructura de información (CII31) como elciberespacio y sus TIC de apoyo, que operan y controlan los sectores críticos del país y susactivos físicos. En el caso de nuestro país podemos encontrar una definición muyestructurada en el marco jurídico, mediante el Decreto 60 2012 del Ministerio de Transportesy Telecomunicaciones, de fecha de publicación 12 de mayo de 2012, donde expone en sutítulo II, Artículo 2º, letra J, lo siguiente:
“Infraestructura Crítica (I.C.): Corresponde a aquellas redes y sistemas detelecomunicaciones cuya interrupción, destrucción, corte o fallo generaría un serio impactoen la seguridad de la población afectada. Para estos efectos, la I.C. será aquella que seadeclarada como tal conforme al artículo 24º del presente Reglamento.”[CITATION MIN12 \l13322 ]
Donde en su artículo 24° se especifica lo siguiente:
27 NII acrónimo de National Information Infrastructure.28 NCI acrónimo de National Critical Infrastructure.29 Documento que dicta las cuestiones necesarias que deben tener en cuenta los países al elaborar las estrategiasnacionales de ciberseguridad.30 ITU acrónimo de International Telecommunication Union, el organismo especializado de las Naciones Unidas para lasTecnologías de la Información y la Comunicación.31 CII acrónimo de Critical Information Infrastructure.
15
“En la declaración de I.C. se considerarán los siguientes criterios de criticidad para cadanivel:
1. Infraestructura Crítica Nivel 1: La circunstancia de tratarse de redes y sistemas que contemplen componentes deinstalaciones o equipamientos que centralizan la gestión o representan puntos deconcentración de tráfico relevantes en cuanto a la continuidad de los servicios.
a) Cuando la instalación corresponda a un centro de conmutación (switch o nodo)interconectado con otros nodos o equipos remotos del mismo operador o de otros.
b) Cuando la instalación aloje equipos que concentran tráfico, gestionanenrutamientos, permiten la gestión y supervisión de la red, tales como redinteligente, Punto de Transferencia de Señalización (SSP- Service Switching Point),servidor de correos SMS (SMSC), Cell Broadcast System, Centro deSupervisión / Operaciones (NOC-network operations center), softswitch, HLR-Home Location Register, VLR-Visitor Location Register, Media Gateway,Controlador de Estaciones Base (BSC/RNC), Centros de Mando y Control deRedes de Comunicaciones de Emergencia y otros similares.
c) Cuando se trate de equipamiento que concentra tráfico de internet para accesointernacional o local, servidores de nombres de dominio (DNS - Domain NameSystem), así como el Backbone y equipos asociados a los puntos de intercambio detráfico o PIT (Internet Exchange Point IXP) o NAP (Network Access Point).
d) Cuando corresponda a concentradores de enlaces de interconexión entre distintasregiones del país, en aquellos casos en que su interrupción, destrucción,corte o fallo implique dejar a una o más de éstas aisladas.
e) Cuando corresponda a estaciones repetidoras de las redes de comunicaciones deemergencia y sus sistemas de respaldo.
f) Cuando corresponda a cables de fibra óptica de rutas entre regiones o accesosinternacionales.
g) Cuando corresponda a puntos de acceso de cables submarinos, tales comoestaciones de amarre y su distribución.
h) Estaciones base de telefonía móvil, unidades de líneas de telefonía local y, engeneral, unidades de distribución o acercamiento a clientes finales, cuyainterrupción, destrucción, corte o fallo generaría serio impacto en la seguridad de lapoblación afectada, considerando:
i. La cobertura de los equipos;ii. La situación de aislamiento de una comuna cuyo acceso al servicio
respectivo dependa de dicha Infraestructura;iii. Los cambios tecnológicos y la experiencia obtenida en cada período
cuadrienal para lograr efectividad en el cumplimiento del objetivorelacionado con asegurar la continuidad de las comunicaciones ensituaciones de emergencia resultantes de fenómenos de la naturaleza,fallas eléctricas generalizadas u otras situaciones de catástrofe.
2. Infraestructura Crítica Nivel 2:
16
Aquel equipamiento no contemplado en el numeral anterior cuya interrupción, destrucción,corte o fallo generaría serio impacto en la seguridad de la población afectada, tales comoestaciones base de telefonía móvil, unidades de distribución o acercamiento a clientesfinales de las cuales no dependan de manera exclusiva las comunicaciones en determinadoterritorio. No se considerará I.C. el equipamiento de telecomunicaciones consistente enestaciones base del tipo microceldas, femtoceldas u otras soluciones de similar cobertura,ubicadas al interior de edificios o condominios, o en azoteas de edificios[ CITATION MIN12 \l13322 ] . Se puede apreciar que el Decreto 60 define básicamente la infraestructura detelecomunicaciones como la Infraestructura Crítica de la Información, identificándola enniveles según el impacto que ella tendría en la seguridad a nivel nacional.
La expresión Infraestructura Crítica de la Información es un término usado enrecomendación de la OECD32 y se refiere a las sistemas y redes de información que ante unafalla ponen en grave peligro o impactarían la salud, seguridad y la economía de losciudadanos o el funcionamiento gubernamental[ CITATION Bru09 \l 13322 ].
Como se ha podido apreciar, la cantidad de definiciones es igual a la cantidad dereflexiones existentes dependiendo del tipo de organización y su país de origen existenalgunas diferencias, pero en general podríamos definir a la Infraestructura Crítica de laInformación como:
“Toda aquella Infraestructura Crítica que está relacionada con las tecnologías de laInformación y Comunicaciones, que soporta los procesos críticos de cada país y que suinterrupción podría causar serios daños a la sociedad, tanto a nivel de ser un peligro para lasalud e integridad de los ciudadanos como poner en riesgo los servicios suministrados por elpoder gubernamental. Su estructura está compuesta por una diversidad de tecnologías quetrabajan de manera coordinada para brindar los servicios necesarios y para apoyar lasfuncionalidades del Ciberespacio que soportan el actual funcionamiento de nuestrasociedad.”
IV. CONCEPTOS GENERALES SOBRE CIBERSEGURIDAD
1. CIBERESPACIO
Antes de iniciar el proceso de comprensión de cuáles son las nuevas amenazas que sehan planteado en la actualidad sobre los temas relacionados con la tecnología de laInformación y Comunicaciones, es conveniente tener claro algunas definiciones que nospermitirán comprender de mejor forma sus interacciones con la realidad. La primera de ellases la de ciberespacio, un concepto bastante utilizado pero no del todo comprendido por todoslos usuarios. Si analiza una visión literaria de él, podemos encontrar lo planteado por William
32OECD acrónimo de Organisation for Economic Co-operation and Development. 17
Gibson33 en su novela de ciencia ficción Neuromante, donde se refiere al espacio conceptual,donde las palabras, las relaciones humanas, las informaciones, la riqueza y el poder semanifiestan por parte de gente que usa la tecnología de las CMC34, como lo definiódirectamente en su libro:
“El ciberespacio. Una alucinación consensual experimentada diariamente por billones delegítimos operadores, en todas las naciones, por niños a quienes se enseña altos conceptosmatemáticos... Una representación gráfica de la información abstraída de los bancos detodos los computadores del sistema humano. Una complejidad inimaginable. Líneas de luzclasificadas en el no-espacio de la mente, conglomerados y constelaciones de información.Como las luces de una ciudad que se aleja...” [ CITATION WIL84 \l 13322 ].
Es interesante como a partir de una definición de un libro de ciencia ficción de los años80 se pueda definir lo que hoy entendemos por ciberespacio, que ya planteaba lo que hoyentenderíamos por la comunicación de internet. Si le damos una mirada desde el planosocial, como lo expresa Lorenzo Vilches, podemos entender que “Estamos ante un nuevoespacio social de comunicación, al cual se llama ciberespacio y que afecta la concepción delyo y del otro, lo cual no se circunscribe ni se origina por las tecnologías y la informáticaexclusivamente. Este nuevo espacio de pensamiento (ubicuidad informática) y de percepción(la realidad virtual tanto lúdica como científica) de la dimensión humana está siendoconstantemente afectado por el discurso de los medios de comunicación tradicionales, enuna forma que bien podríamos llamar un nuevo espacio de construcción social de la realidad(o hiper-realidad). Más aún, las nuevas comunidades comunicativas que provienen delcorreo electrónico y de Internet configuran un nuevo territorio en el que convergen lastelecomunicaciones y la industria de los medios”[ CITATION Lor00 \l 13322 ].
Ahora deberemos comprender qué es el ciberespacio desde el punto de vista delámbito militar; para ello, utilizaremos como referencia una monografía del Ministerio deDefensa de España, que hace varias reflexiones sobre este tema y donde se plantea que:“Se conoce con el nombre de ciberespacio al espacio artificial creado por, el conjunto deCIS35 es decir de redes de computadores y de telecomunicaciones interconectados directa oindirectamente a nivel mundial. El ciberespacio es sin embargo, mucho más que Internet,más que los mismos sistemas y equipos, el hardware y el software e incluso que los propiosusuarios, es un nuevo espacio, con sus propias leyes físicas que, a diferencia de los demásespacios, ha sido creado por el hombre para su servicio. Cuanto más desarrollado sea unpaís más elementos vulnerables que afecten a su seguridad poseerá y que por lo tantodeberá defender para garantizarla” [ CITATION Lui12 \l 13322 ].
Otra visión de que lo que es el ciberespacio lo encontramos en la estrategia paraoperar en Ciberespacio del DOD, del año 2010, donde se hace la siguiente reflexión sobre él:“El ciberespacio es una característica definitoria de la vida moderna. Los individuos y lascomunidades en todo el mundo socializan y se organizan a través de la conexión alciberespacio. De 2000 a 2010, el uso global de Internet aumentó de 360 millones a más de 2
33 William Ford Gibson, es un escritor de ciencia ficción estadounidense, considerado el padre del cyberpunk.34 CMC acrónimo de Comunicaciones Mediadas por Computador.35 Communications and Information Systems, Sistemas de Información y Telecomunicaciones que utilizan las TIC oTecnologías de la Información (informática) y las Comunicaciones (telecomunicaciones).
18
mil millones de personas. Como el uso de Internet continúa en expansión, el ciberespacioserá cada vez más en la trama de la vida cotidiana a través del globo” [ CITATION Dep11 \l13322 ]. La visión de la ITU36 en su guía estrategia de Ciberdefensa donde dice que“Usamos el término ciberespacio para describir sistemas y servicios relacionados de formadirecta o indirectamente a las redes de Internet, las telecomunicaciones y la informática. Lavida moderna depende de la actuación oportuna, adecuada y confidencial delciberespacio”[CITATION DrF12 \l 13322 ].
En el caso de nuestro país, el ciberespacio es mencionado en el libro Blanco de laDefensa Nacional en el Capítulo XII de la Conducción de la Fuerza, donde lo reconoce comoun nuevo espacio de Batalla; literalmente dice “Concepto como campo de batalla terrestre,ámbito marítimo o espacio aéreo han evolucionado en los últimos años hasta su integraciónen un espacio de batalla único que, además de los entornos precedentes, comprendetambién el espectro electromagnético y la noción moderna de ciberespacio”[ CITATIONMin10 \l 13322 ]. Básicamente, mirándolo más como una tecnología que como una nuevadimensión como muchos otros autores proponen.
Una premisa muy importante, que no hay que perder de vista, está dada por unacaracterística básica del Ciberespacio, que se conoce como “Global Common”, que planteaque es un entorno en los que ninguna persona o estado puede tener su propiedad o controlexclusivo, pero es de vital importancia el funcionamiento de nuestras sociedades, ejemplosde ello son el océano, el espacio exterior, el espectro electromagnético y por supuesto elciberespacio[ CITATION SEG13 \l 1033 ].
Como definición basada en estas distintas miradas internacionales podríamos definirel concepto de ciberespacio por: Una interacción de usuarios, información, equipamientotecnológico, dispositivos de comunicaciones, normativas, relaciones sociales, etc, quecóexisten tanto en un ambiente privado como estatal, siendo una nueva forma decomprender e interactuar con la realidad, no existiendo la capacidad de propiedad por partede ningún estado en particular, rigiéndose por acuerdos internacionales que eventualmentepueden llevar a conflictos entre los intereses tanto de particulares como de los estadosinvolucrados y eventualmente puede ser un nuevo escenario para conflictos bélicos.
36 ITU acrónimo de International Telecomunication Union. 19
5. CIBERSEGURIDAD
“Sé extremadamente sutil hasta el punto de no tener forma. Sé completamente misterioso,hasta el punto de ser silencioso. De este modo podrás dirigir el destino de tus adversarios”(El Arte de la guerra37).
Este pensamiento escrito hace más de 2000 años tiene vigencia hoy más que nunca,dado por la problemática que presenta este nuevo entorno de interacción llamadociberespacio, donde se mescla tanto lo privado como lo público, sin límites geográficosdefinidos y donde la seguridad de la infraestructura se torna muy compleja, dado lo difícil queresulta el poder determinar el origen real de una amenaza. Teniendo ello en mente se trataráde comprender qué se entiende por ciberseguridad como concepto ligado al ciberespacio.Para ello, se analizarán en primera instancia los objetivos de la Estrategia deCiberseguridad Nacional de España, país que se ha desarrollado en estos aspectos de lamano de su participación como parte de la OTAN38; en ella se plantea como un objetivo decarácter general.
“Lograr que España haga un uso seguro de los Sistemas de Información yTelecomunicaciones, fortaleciendo las capacidades de prevención, defensa, detección,análisis, investigación, recuperación y respuesta a los ciberataques. A este fin debe servir laPolítica de Ciberseguridad Nacional” [ CITATION Dep13 \l 13322 ].
Figura 10 Relación entre la Ciber Seguridad y los otros dominios de seguridadFuente: NATIONAL CYBER SECURITY FRAMEWORK MANUAL (NATO)[ CITATION Ale12 \l 13322 ]
Si analizamos la figura de la ciberseguridad y su relación con los otros dominios de laseguridad podremos comprender que es un concepto bastante amplio, que lleva desde unamirada hacia la seguridad de la información y por otro lado también posee componentes
37 Libro de Estrategia escrito por Sun-Tzu, General, estratega militar y filósofo de la antigua China hace más de 2000 años.38 OTAN, acrónimo de La Organización del Tratado del Atlántico Norte, también denominada la Alianza del Atlántico o delAtlántico Norte, es una alianza militar intergubernamental basada en el Tratado del Atlántico Norte firmado el 4 de abril de1949.
20
relacionados con la seguridad tecnológica, lidiando no sólo con problemáticas de unaseguridad operacional, sino que también con el cibercrimen y la operación segura de lasinfraestructuras tecnológicas, ya sean estas críticas o no. La definición planteada es lasiguiente:
“Ciberseguridad se ha definido como la "preservación de la confidencialidad, integridad ydisponibilidad de la información en el ciberespacio. Sin embargo, también se ha observadoque además debe poseer otras propiedades tales como la autenticidad, la rendición decuentas, no repudio y fiabilidad, ellas conformarán la seguridad cibernética”[ CITATION Ale12\l 13322 ].
En general, podríamos inferir que la ciberseguridad está dada por el conjunto de accionesde carácter preventivo, normativo y colaborativo, que tienen por objeto el asegurar el uso delas redes, tecnologías e información propia y negarlo al mal uso de terceros, minimizando laocurrencia de interrupción al cumplimiento de la confidencialidad, integridad y disponibilidad.
6. CIBERDEFENSA
Se entiende por el conjunto de acciones de defensa activas, pasivas, proactivas,preventivas y reactivas, para asegurar el uso propio del ciberespacio y negarlo al enemigo oa otras inteligencias en oposición. En definitiva, la intrincada y compleja naturaleza público-privada de los principales activos de la ciberdefensa hace imprescindible una incesantecooperación entre Fuerzas Armadas, empresas e instituciones, lo que obliga a replantearsealgunas de las principales ideas acerca de cómo debería gestionarse este tipo de conflictos[CITATION Sor11 \l 13322 ].
Una interesante perspectiva está dada por las definiciones entregada por la Estrategia deCiberseguridad China, donde no definen este concepto como un todo sino que separan laproblemática de redes y de sistemas: “La protección de nuestras redes de sistemas deinformación y los datos contenidos en ellas, tomando medidas preventivas y acciones pararesguardar la información de forma segura, efectiva y en funcionamiento” [CITATION Cha14 \l1033 ].
Y en lo referente a la defensa de los sistemas de información establece lo siguiente:“Debe garantizar el funcionamiento estable de propios sistemas de información, paraasegurar la toma de decisiones y medidas que se deban tomar. Incluye la defensaelectrónica y la protección de redes”[ CITATION Cha14 \l 1033 ].
El concepto de Ciberdefensa se define como “Un dominio global y dinámico dentro delentorno de la información, compuesto por una infraestructura de redes, de tecnologías deinformación y telecomunicaciones interdependientes, que incluye Internet, los sistemas deinformación y los controladores y procesadores integrados, junto con sus usuarios yoperadores”[ CITATION SEG13 \l 1033 ].
21
En resumen, podríamos entender a la ciberdefensa como el conjunto de medidas quebuscan reguardar los activos que soportan las actividades en el ciberespacio, mitigando elaccionar de las ciberamenzas que pudiesen perturbar su normal funcionamiento. Dichoscontroles van desde los tecnológicos hasta controles físicos o administrativos.
7. CIBERAMENAZAS
El concepto de amenazar o amenaza está presente en la vida del ser humano desde susinicios en forma social. La RAE39 lo define como la “Acción de amenazar y en ámbito delDerecho, es el delito consistente en intimidar a alguien con el anuncio de la provocación deun mal grave para él o su familia”[ CITATION Rea14 \l 1033 ]. Podemos ver que claramentela palabra evoca el causar algún tipo de acción negativa hacia el individuo. En el ámbitotecnológico ITIL40 define amenaza como “Cualquier cosa que pueda aprovecharse de unavulnerabilidad. Cualquier causa potencial de un Incidente”[ CITATION Ran07 \l 1033 ].
Por lo que se podría inferir que la palabra es utilizada para hacer referencia a los riesgoso posibles peligros producidos por una situación, objeto, agente o una circunstanciaespecífica, que puede ser realizada en contra de la vida de un individuo o hacia terceros,siendo ella un peligro que está latente, que todavía no ha sido concretado, pero que nos sirvecomo un aviso de una probabilidad de ocurrencia del hecho, para prevenir o para presentarla posibilidad de ocurrencia. Hoy en día las amenazas a la seguridad no provienen sólodirectamente de otros estados muchas veces son organizaciones internacionales otransnacionales de crimen organizado, piratería y terrorismo, basadas o auspiciadas por ellospara sus intereses, desastres naturales o simplemente accidentes fortuitos.
39 RAE acrónimo de Real Academia Española.40 Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL, es un conjunto de conceptosy prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y lasoperaciones relacionadas con la misma.
22
Figura 11 Riesgos y Amenazas a la Ciberseguridad NacionalFuente: ESTRATEGIA DE CIBERSEGURIDAD NACIONAL 2013[ CITATION Dep13 \l 13322 ]
Por lo tanto, se podría entender a las ciberamenazas como todo tipo de accionesmaliciosas que se realizan con el fin de dañar o perturbar un sistema de tratamiento deinformación ya sea en su procesamiento, almacenamiento o transferencia. Ellas pueden serutilizadas por diferentes agentes y vectores de ataques. La siguiente frase extraída de laCiberestrategia estadounidense “Las mismas tecnologías que nos empoderan para dirigir ycrear también facultan a quienes lo deseen para desbaratar y destruir”[ CITATION Dep11 \l1033 ], evidencia la variedad de elementos tecnológicos que pudiesen constituirse enamenazas. La Estrategia de Ciberseguridad Nacional Española identifica una serie deamenazas de tipo Ciber, como se muestra en la figura, que van desde causas técnicas,fenómenos naturales, hasta delincuencia y organizaciones terroristas; en la práctica todasaquellas amenazas convencionales hoy en día usando la tecnología como un nuevo vectorde acción. Los principales agentes que podrían aprovechar algunos de los vectores deataques disponibles son expuestos en el punto siguiente.
8. PRINCIPALES CIBERAMENAZAS
La figura 12 presenta las que, a juicio del ministerio del Interior, son las principalesciberamenzas hoy en día construidas en bases a sus métricas internas. Cabe destacar quelos sabotajes a la infraestructura Crítica y el Espionaje aparecen como las principalesamenazas tecnológicas y los desastres naturales como un eje de peligro que escapa a dichodominio.
23
Figura 12 Gráfica de Principales Amenazas a la seguridad Fuente: Fuente: División Informática del Ministerio del Interior, año 2015
Pero en general es complejo determinar fehacientemente cuales son las principalesamenazas pero en base a los múltiples reportes existentes sobre incidentes de seguridadinformática acontecidos en los últimos años, se podrán identificar a lo menos las siguientesciberamenazas.
A. CIBERESPIONAJE INDUSTRIAL
Está compuesto por el robo de información a empresas con el fin de acceder a suinformación más valiosa (propiedad intelectual, desarrollos tecnológicos, estrategias deactuación, bases de datos de clientes, etc.). Por ejemplo, en el año 2003 la operación TitanRain41, nombre dado por el gobierno norte americano a una operación coordinada de ataquescontra sistemas de dicho país (Lockheed Martin, Laboratorio Nacional Sandia, RedstoneArsenal y la NASA), con el objetivo de obtener información confidencial.
B. CIBERESPIONAJE GUBERNAMENTAL
Este tipo de amenaza está compuesta por una acción directa o indirecta hacia unestado en específico, del cual se realiza un robo de información sensible a alguna de susagencias gubernamentales. Claramente, a partir de la información suministrada por EdwardSnowden42 ha quedado evidenciada la intención de Estados Unidos de realizar un procesosistemático de ciberespionaje gubernamental, pero no es el único caso, el robo deinformación a organismos gubernamentales llamado operación “Octubre Rojo”, se infiltraronen las redes de comunicaciones diplomáticas, gubernamentales, de investigación científica ycompañías petroquímicas de alrededor de 40 países. El objetivo era obtener informaciónsensible y credenciales de acceso a computadores, dispositivos móviles y equipos de red.Estuvo en ejecución desde el año 2007, aproximadamente. El detalle de dicha operación sepresenta en la figura que aparece a continuación, en la que incluso aparece nuestro país 43.No es el único caso; operación Caretto44 o Flame45 son otros ejemplos de ello.
41 http://content.time.com/time/nation/article/0,8599,1098371,00.html42 Edward Joseph Snowden es un consultor tecnológico estadounidense, informante, antiguo empleado de la CIA y de laNSA43http://latam.kaspersky.com/sobre-kaspersky/centro-de-prensa/comunicados-de-prensa/kaspersky-lab-identifica-la-operaci%C3%B3n-%E2%80%9Coctubr44Malware que intercepta todos los canales de comunicación y recoge la información más vital del sistema infectado. Ladetección es extremadamente difícil gracias a sus capacidades ‘rootkit’ invisibles.45 También conocido como Flamer, sKyWIper y Skywiper es un malware modular descubierto en 2012, que atacacomputadores con el sistema operativo Microsoft Windows. El programa se ha usado para llevar a cabo ataques de ciberespionaje en países de Oriente Medio.
24
Figura 13 : Víctimas de la Red de Ciberespionaje denominada Octubre RojoFuente: Kaspersky Lab 2013
El gobierno de Chile no está exento de este tipo de amenazas, como podemos ver enel informe del caso de Octubre Rojo. Claramente, Chile aparece como un objetivo deespionaje pero sin determinar específicamente a qué sector está enfocado, lo cual nodescarta un espionaje Gubernamental. Aquello ocurrió hace varios años atrás, pero ¿quéocurre hoy? Miremos algunas estadísticas suministradas por la División Informática delMinisterio del Interior: durante el año 2015, en la red de Conectividad del Estado, se aprecianpor ejemplo más de 1.500.000 registros del troyano “ET TROJAN MS” 46, el cual podría llevara obtener información sensible por parte de un tercero no autorizado; o los 1.300.000registros infectados con el “ET SCAN”, con la capacidad de remotear dichos equipos graciasal uso de VNC47.
46 Este troyano afecta a los sistemas Microsoft Windows y intenta infectar los sistemas orientados a robar informaciónconfidencial, como las credenciales de usuario. El troyano tiene la capacidad de registrar las pulsaciones de teclado delusuario y puede tener la capacidad de actuar como una puerta trasera.47 Es un programa de software libre basado en una estructura cliente-servidor el cual permite tomar el control del ordenador
25
servidor remotamente a través de un ordenador cliente. También llamado software de escritorio remoto. 26
Figura 14 : Cantidad de patrones potencialmente maliciosos detectados en la Red de Conectividad del Estado (RCE) periodo 2014Fuente: División Informática del Ministerio del Interior, año 2015
C. CIBERATAQUES A INFRAESTRUCTURAS CRÍTICAS
Como se ha definido previamente, este tipo de infraestructura es de vital importanciapor lo que los ataques planteados a dicha infraestructura pueden traer gravesconsecuencias.
"Un reporte del Equipo de Respuesta a Emergencias Cibernéticas de los Sistemas de ControlIndustrial (ICS-CERT) de Estados Unidos señala que los sistemas de control industrial fueronblanco de los ataques cibernéticos por lo menos 245 veces en un periodo de 12 meses, deoctubre de 2013 a septiembre de 2014. Cerca del 32% de las industrias fueron del sectorenergético, mientras que el de manufactura crítica comprendió el 27%. El ICS-CERT revelóque 55% de los incidentes investigados mostraron señales de que se han utilizado amenazaspersistentes avanzadas, o ataques dirigidos, para violar los sistemas"[ CITATION Org15 \l13322 ].
Este estudio demuestra el grado de especialización actual de los ataques y lofocalizado de sus objetivos. Durante el año 2014 un grupo de hackers rusos denominados“Oso Energético” provocó estragos importantes en empresas del sector energético de losEstados Unidos. El grupo utilizó un tipo de malware altamente efectivo y recientementecreado que se conoce como “Havex”, para penetrar en el sistema de control industrial(ICS)/sistemas SCADA. Una vez que este malware infecta el ICS de una compañía, envíadatos e información sensibles a los hackers a través de los servidores de comando y control(C&C)48. Claramente, Stuxnet49 fue el primer ejemplo que causó notoriedad en este tipo deataques dirigidos.
48 http://www.infosecurity-magazine.com/news/energetic-russian-bear-attacking-western-energy/49 Es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlokAda, unaempresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espía y reprograma sistemas industriales.En concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas comocentrales nucleares.
27
Figura 15 : La frecuencia de ataques con éxito en los últimos 12 meses en empresas Norteamericanas y Europeas.Fuente: Cyberthreat Defense Report 2015, CyberEdge Group
De la figura anterior se puede desprender un aumento de la efectividad y frecuencia de losataques, aumentando con ello su peligrosidad.
D. CIBERDELINCUENCIA
La ciberdelincuencia se podría definir mediante la antigua analogía con el juego delratón y el gato, donde el ratón sería aquellos que intentan conseguir beneficios ilegales y elgato los dedicados a luchar contra estas actividades ilícitas. En numerosas ocasiones hemosobservado cómo la innovación tecnológica puede darle una ventaja puntual a uno de losbandos para posteriormente dejarle rezagado, invirtiendo los papeles. Esta lucha adoptadistintas formas, ya que los delincuentes han desarrollado enrevesadas infraestructuras decomunicaciones para facilitar las funciones de control del malware, los pagos y los serviciosde blanqueo para sus ganancias ilícitas. La ciberdelincuencia siempre ha utilizado diferentes herramientas para concretar susobjetivos, siendo los malware su principal vector de ataque, los que evolucionanconstantemente y a un ritmo bastante acelerado con algunas cifras que son aterradoras cada24 segundos un host accede a un Sitio Web malicioso; cada 34 segundos un malware50 esdescargado; cada 1 minuto un Bot51 se comunica con su centro de mando y control; cada 5minutos una aplicación de alto riesgo es usada52.
50 El malware (del inglés “malicious software”), también llamado badware, código maligno, software malicioso o softwaremalintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar un computador o sistema de informaciónsin el consentimiento de su propietario.51 Un bot (aféresis de robot) es un programa informático, imitando el comportamiento de un humano.52 Fuente : Check Point 2015 Security Report.
28
Figura 16 : Evolución de los MalwareFuente: Check Point 2015 Security Report
En nuestro país este fenómeno no es ajeno, ya en el año 1993 se promulgó una leyespecífica, la ley 19.223, que normaba los delitos relacionados con el mundo informáticotipificando el sabotaje, espionaje, alteración y revelación de datos. Pero ¿qué ha ocurrido losúltimos años?. En base a fuentes del Ministerio Público, desde el año 2009 al 2013 se haningresado más de 3000 causas, de las cuales se ha ordenado a la Brigada de Cibercrimen 53
de la Policía de Investigaciones de Chile de alrededor de 1980 casos. Lo anterior demuestraque más de un 50% de las causas ingresadas tiene la solidez suficiente para iniciar unainvestigación perito forense informática.
Figura 17 : Casos ingresados por ciberdelitos 2009 – 2013 por Ministerio PúblicoFuente: ULDDECO, Ministerio Público, 2014.
Figura 18 : Investigaciones efectuadas por ciberdelitos periodo 2009–2013 por la PDIFuente: Brigada del Ciber Crimen
53 La Brigada Investigadora del Cibercrimen Metropolitana nace como una respuesta de la PDI al creciente desarrollo de lacriminalidad informática en Chile.
29
E. CIBERDELINCUENCIA CONTRA SERVICIOS FINANCIEROS
Se estableció por separado de la ciberdelincuencia, dado el impacto que el comercioelectrónico tiene en la sociedad actual. Como se puede apreciar del estudio del Observatoriodel SERNAC 2014, el 88% de las empresas del Retail, 80 % de las empresas relacionadascon tecnologías y 38% de las relacionadas con telecomunicaciones en Chile tiene presenciamediante E-Commerce.
Es común el uso de los denominados troyanos bancarios, diseñados para el robo dedatos de tarjetas de crédito, y cada vez más centrados en los dispositivos móviles. Porejemplo, en la “Operación High Roller” se vieron afectadas 60 entidades financieras de todoel mundo, víctimas de un ciberataque en el que se extrajeron 60 millones de euros. El gradode sofisticación del malware indica que fue obra del crimen organizado, porque laconfiguración del ataque requirió inversión para el desarrollo, muchas horas de trabajo y unalogística muy importante54.
Figura 19 : Porcentaje de presencia en sitios de comercio electrónico según rubro de las variables observadas, año 2014.
Fuente: Observatorio de Publicidad, SERNAC, 2014.
F. CIBERDELINCUENTES AISLADOS
Especialistas que venden la información obtenida al mejor postor. Un ejemplo muysonado fue el de la cadena estadounidense de grandes almacenes Target, que reconoció elrobo de información de tarjetas de crédito de alrededor de 70 millones de clientes. Pocosdías después, estas tarjetas estaban siendo vendidas en el mercado negro para ser clonadasy realizar compras con ellas.55
G. CIBERHACKTIVISTAS
En primera instancia es importante familiarizarnos con el término. El Hacktivismo
54http://www.theinquirer.es/2012/06/26/la-operacion-%E2%80%9Chigh-roller%E2%80%9D-consumo-numerosos-fraudes-online-contra-instituciones-financieras.html55 http://www.eldiariony.com/2014/01/10/son-70-no-40-millones-los-clientes-afectados-de-target/
30
(acrónimo de hacker y activismo) se trata de la utilización no violenta de herramientasdigitales con fines políticos, que acompañen y fomenten al activismo fuera del ámbito de lainformática. Son personas o grupos que, movidos por alguna ideología, intentan socavar laestructura del oponente. El ejemplo de Anonymous es paradigmático y, en estos casos, susataques suelen centrarse en ataques DDoS, desfiguración de páginas web o publicación dedatos comprometidos, como ocurrió con la facción chilena del grupo de hackers Anonymousquienes lanzaron un ataque en línea en forma de protesta por el desarrollo del proyectoenergético Alto Maipo y en medio de las celebraciones del día de la Tierra. El primer sitio encaer fue el relacionado a la multinacional AES Gener, responsable del proyecto de lahidroeléctrica56.
Figura 20 : Llamado de Anonymous a tomar el control de WallStreetFuente: http://www.welivesecurity.com/
H. CIBERSABOTAJE
Básicamente, busca dañar la reputación de una organización y por ende sufuncionamiento, o como fue el caso ocurrido el 08 de noviembre de 2011, donde el FBI yHomeLand Security reveló que se descubrió un ciberataque que cortó el suministro de agua,cerca de Springfield, Illinois, siendo aparentemente el origen en Rusia, desde donde loshackers cambiaron varias veces la bomba de encendido y apagado, lo que resulta en unagotamiento y apagado de sistemas57. En otra ocasión, llegaron a provocar incluso una caídade 150 puntos en el Dow Jones Industrial Average (índice bursátil de las 30 mayoresempresas de la Bolsa de Estados Unidos), ante una noticia falsa de un atentado en la CasaBlanca difundido por Associated Press en Twitter.58. Como ejemplo más complejo seencuentra el hecho ocurrido en Tallin, Estonia, en el año 2008, donde el país completo fuesometido a un cibersabotaje a raíz de problemas políticos internos, que fueron resultado dela eliminación de símbolos de la ex unión Soviética. En dicha ocasión se produjo una totaldenegación de servicio de los sistemas de internet a nivel nacional, siendo la fuente delataque Rusia.59
V. CONCEPTO DE SEGURIDAD NACIONAL Y SEGURIDAD MULTIDIMENSIONAL
56http://www.emol.com/noticias/tecnologia/2013/04/22/594800/anonymous-chile-comienza-ataque-en-linea-para-protestar-por-el-proyecto-alto-maipo.html57 Checkpoint Report, Protecting Industrial Control Systems and SCADA Networks 2013.58 http://internacional.elpais.com/internacional/2013/04/23/actualidad/1366738727_668448.html59 http://www.electronicafacil.net/archivo-noticias/telefonia/Article7545.html
31
Para la Organización de Estados Americanos la construcción de sociedades pacíficas yprósperas es un objetivo primordial, y las amenazas a la seguridad representanindudablemente serios obstáculos para el logro del mismo. La Asamblea General de la OEAadoptó en Bridgetown, en 2002, un enfoque multidimensional de la seguridad. Esto implicó laexpansión de la definición tradicional de seguridad, que involucraba exclusivamenteamenazas de tipo militares externas, para incorporar una combinación de problemáticaspolíticas, económicas, medioambientales y de seguridad humana. En la Conferencia Especialsobre Seguridad que tuvo lugar en la ciudad de México en 2003, se presento el concepto deSeguridad Multidimensional con la Declaración sobre Seguridad en las Américas: “Elfundamento y razón de ser de la seguridad es la protección de la persona humana. Lascondiciones de la seguridad humana mejoran mediante el pleno respeto de la dignidad, losderechos humanos y las libertades fundamentales de las personas, así como mediante lapromoción del desarrollo económico y social, la inclusión social, la educación y la luchacontra la pobreza, las enfermedades y el hambre…el concepto y los enfoques tradicionalesdeben ampliarse para abarcar amenazas nuevas y no tradicionales, que incluyen aspectospolíticos, económicos, sociales, de salud y ambientales…” La Declaración identifica lassiguientes nuevas amenazas a la seguridad:
El terrorismo, la delincuencia organizada transnacional, el problema mundial de lasdrogas, la corrupción, el lavado de activos, el tráfico ilícito de armas y las conexionesentre ellos.
La pobreza extrema y la exclusión social de amplios sectores de la población, quetambién afectan la estabilidad y la democracia. La pobreza extrema erosiona lacohesión social y vulnera la seguridad de los estados.
Los desastres naturales y los de origen humano, el VIH/SIDA y otras enfermedades. Otros riesgos a la salud y el deterioro del medio ambiente. La trata de personas. Los ataques a la seguridad cibernética. La posibilidad de que surja un daño en el caso de un accidente o incidente durante el
transporte marítimo de materiales potencialmente peligrosos, incluidos el petróleo,material radioactivo y desechos tóxicos.
La posibilidad del acceso, posesión y uso de armas de destrucción masiva y susmedios vectores por parte de terroristas.
La larga experiencia de la Organización permitió constatar que los fenómenos a los quenos enfrentamos se encuentran estrechamente relacionados y deben ser encarados con unenfoque integral. Por otra parte, estos problemas sobrepasan los límites de los estados,haciendo indispensables los sistemas de cooperación regionales e internacionales.[ CITATION Abr09 \l 13322 ].
Como se ha podido apreciar, las amenazas a la seguridad nacional hoy en día no soloestán dadas por problemas limítrofes u otros conflictos de intereses con otros estados. Comose definió en base a lo propuesto por la OEA es bastante diverso, desde problemas dedeterioro medio ambiental hasta las ciberamenzas, pero estas últimas también están ligadasa los otros temas propuestos por ella, como es hoy en día el terrorismo y el crimen
32
organizado, quienes utilizan a las tecnologías de la información como una herramienta parael cumplimiento de sus objetivos y desmedro de los demás. En el caso de nuestro paíspodemos hacer referencia al Libro de la Defensa Nacional de Chile60, el cual en su versión2010 expone lo siguiente:
“Es deber del Estado resguardar la seguridad nacional, dar protección a la población y a lafamilia, propender al fortalecimiento de ésta, promover la integración armónica de todos lossectores de la Nación y asegurar el derecho de las personas a participar con igualdad deoportunidades en la vida nacional.”[ CITATION Min10 \l 13322 ].
El Estado está al servicio de la persona humana y su finalidad es promover el bien común,para lo cual debe contribuir a crear las condiciones sociales que permitan a todos y a cadauno de los integrantes de la comunidad nacional su mayor realización espiritual y materialposible, con pleno respeto a los derechos y garantías que esta Constituciónestablece”[ CITATION Min10 \l 13322 ].
En este primer párrafo de esta declaración de intenciones se puede identificar losiguiente: que el Estado debe resguardar la Seguridad Nacional, entendiéndose ella por lacondición que limita la aparición de amenazas multidimensionales como son las que hoycomplican a los estados. Busca un estado donde exista armonía y el derecho de laspersonas a participar de las oportunidades de la vida nacional. Claramente, la InfraestructuraCrítica es quien bridará el marco necesario para lograr dichos objetivos, ya que permitirá loque se expresa en el segundo párrafo que es proveer el bien común, contribuir a lascondiciones sociales para que todos los integrantes de la comunidad logren su desarrollo nosolo material sino que también espiritual.
VI. CONCLUSIONES
Como se pudo apreciar, hoy en día estamos en presencia de una sociedad que dependeclaramente para su funcionamiento de las tecnologías de la información, con cambiosconductuales en el uso de los dispositivos y en la forma que se interactúa, tanto con lospares como con la sociedad.
La tendencia claramente va hacia la posibilidad de cada vez estar más interconectados ycomo se pudo apreciar en las estadísticas y reportes dicha tendencia no será revertidafácilmente.
Los diferentes estados claramente poseen una preocupación por comprender estainteracción con el ciberespacio y es por ello que hacen los esfuerzos para comprender mejorla forma de utilizar este potencial, para lo cual se han desarrollado diferentes estrategias alrespecto.
60 Libro en el que se desarrollan los temas relacionados con la Seguridad y Defensa Nacional, así como objetivos ypolíticas que de ellas derivan.
33
Claramente, por lo expuesto en el presente trabajo podemos apreciar que, efectivamentelas ciberamenzas son parte importante de este nuevo concepto acuñado denominadoamenazas multidimensionales, dado la falta de límites territoriales, la dificultad deidentificación y, por sobretodo, el impacto que ellas podrían tener sobre una sociedaddeterminada.
La Infraestructuras Críticas de la Información son la base para construir el desarrollo deun estado y su interrupción, cualquiera sea las razones, será un problema que debería tomarla atención del poder ejecutivo, dado que podrían incluso poner en riesgo la seguridad de losmiembros de la sociedad y con ello la seguridad nacional.
Es necesario comprender el grado de importancia que las ciberamenzas presentan comoherramientas de las amenazas multidimensionales, amplificando su potencial de impacto enla seguridad nacional.
VII. BIBLIOGRAFÍA
Baran, Paul. 1964. On Distributed Comunications, Introduction to DistributedCommunications Networks. Santa Monica, California : The Rand Corporation, 1964.Bejarano, María José Caro. 2011. LA PROTECCIÓN DE LAS INFRAESTRUCTURASCRÍTICAS. [Pdf] Madrid : ieee.es, IEEE.es, 2011. 021/2011.Brunner, Elgin M. y Suter, Manuel . 2009. INTERNATIONAL CIIP HANDBOOK 2008 / 2009.ETH Zurich : Center for Security Studies, 2009.Camara Chilena de la Construccion. 2012. Infraestructura Crítica para el Desarrollo,Análisis Sectorial 2012-2016. Santiago : Camara Chilena de la Construccio, 2012.Chang, Amy y Nye, Joseph. 2014. China’s Cybersecurity Strategy. Washington : Center fotNew America Security, 2014.Computación Ubicua, la tendencia hacia la informatización y conexión en red de todas lascosas. Friedemann Mattern, Manuel Ortega Cantero, Jesús Lorés Vidal. 2001.Septiembre - Octubre 2001, Madrid : Novatica, 2001, Vol. 2001 5.Defensa, Ministerio de. 2010. Libro Blanco de la Defensa Nacional. Santiago, Chile :Ministerio de Defensa, 2010. ISBN 978-956-7728-05-3.Deparment of Defense. 2011. Strategy for Operating in Cyberspace. Washington : DOD,2011.Deparment of Homeland Security. 2015. Oficial Web Site of the Deparment of HomelandSecurity. [En línea] Deparment of Homeland Security, 27 de Octubre de 2015. [Citado el: 29de Octubre de 2015.] https://www.dhs.gov/what-critical-infrastructure.
34