arquitectura de ciberseguridad: normativa y seguridad en sistemas · 2015-05-02 · supera los 150...

1

Arquitectura de ciberseguridad:Normativa y seguridad en sistemas

José Ant. Gómez y Margarita RoblesGrupo UCySUniversidad de Granada – 30 de abril de 2015

Arquitectura de Ciberseguridad - Grupo UCyS 2

Sumario

► El estado de la ciberseguridad► La ciberseguridad: un fenómeno multidimensional► El desafío cibernético► La arquitectura Jurídica de la ciberseguridad:

■ Caracteres de la cooperación internacional■ Estructura de cooperación■ Articulación normativa


I. El estado de la ciberseguridad

► Caso Estonia (2007)► Caso Georgia (2008)► Caso Stuxnet-Irán (2010)► Caso Bin Laden (2011)


1. ESTONIA 2007: UN ACTO DE AGRESIÓN?

► Contexto fáctico: la historia del Soldado de Bronce► Naturaleza y objetivos del ciberataque► Motivos► Respuesta técnica► Respuesta política► Conclusiones


2. Georgia 2008: El uso combinado del ataque cinético y cibernético

► Contexto fáctico: una situación de conflicto armado► Naturaleza y objetivos del ciberataque► Respuesta técnica► Respuesta política► Conclusiones


3. El ciberataque: una alternativa?

a) Caso Stuxnet/irán (2010) ■ Contexto: la amenaza nuclear■ Caracteres del ciberataque■ Conclusiones

b) Caso Bin Laden (2011)■ Contexto: la amenaza terrorista■ Caracteres del ciberataque■ Conclusiones


II. Ciberseguridad: un fenómeno multidimensional

1. Una cuestión de seguridad internacional2. Un desafío para el modelo económico,

financiero y comercial3. Un reto para las tradiciones y sistemas y

socio-políticos y culturales4. Un problema jurídico y un problema real


1. Un “nuevo“ paradigma económico: la economía del conocimiento

► Modelo económico: historia y crisis ► Volumen de negocio

■ el mercado mundial va a pasar de los 68.000 millones de dólares en 2013 a los 120.000 millones en 2020

■ en 2020 estarán interconectados 6.000 millones de usuarios y 25.000 millones de máquinas.

► Cifras en el ciberespacio: ■ Más de 2.300 millones de suscripciones móviles de banda ancha

a finales de 2014.■ Más de 3.000 millones de usuarios de Internet (+ 40% de la

población mundial)■ Más de 5.000 millones de dispositivos conectados. Se esperan

25.000 millones para 2020.


2. Un “nuevo” contexto socio-político y cultural: la sociedad del conocimiento

► Internet en cifras: ■ 14,3 billones de páginas web■ 672.000.000.000 Gigabytes de información accesible (672

exabytes)■ 43.639 Petabytes de trafico al año (2013)■ 1 Yottabyte=10^24 bytes de datos almacenados

► Preocupación de los usuarios europeos de Internet (Eurostat, 2014): ■ 89% evitan publicar información personal en Internet■ 85% consideran que el riesgo de ser víctima del cibercrimen está

aumentando■ 73% temen que su información personal no sea guardada de

manera segura por las páginas web■ 67% temen que su información personal no sea guardada de

manera segura por las administraciones públicas


3. Un “nuevo” contexto jurídico► 3/4 cuartas partes de las actividades ilegítimas cometidas en el

ciberespacio corresponden a alguna variante de cibercrimen► La ciberdelincuencia es la actividad criminal con mayor crecimiento (casi

175% anual). ► Los ciberataques aumentan en: número, impacto, complejidad,

diversificación de objetivos y alcance.► El coste del cibercrimen supera anualmente:

■ Los 400.000 millones de dólares ■ Más de 400 millones de víctimas al año (un millón y medio al día)■ Un número de incidentes que ronda los 40 millones anuales.

► Modelo de crecimiento: cuanto mayor es la organización, mayor es el coste de un incidente, disparándose un 25% para las para las medianas empresas o un espectacular 52% para las grandes compañías a lo largo de 2014.


4. Una “nueva” realidad: España en datos► Pérdidas anuales por robo de datos: superan los 500 millones €► Memoria de la Fiscalía General del Estado: aumento de las

estafas informáticas de un 60% (más de 9.000 procedimientos)► Negocio del sector de soluciones frente a la ciberdelincuencia:

■ Supera los 150 millones de euros en España.■ Mercado controlado por:

● Ciertas empresas: Telefónica, Indra, Unitronics, Nextel, Dimension Data, HP, IBM ,

● Grupos: Sia, Cisco, Checkpoint, Fortinet, Paloalto Networks, S21Sec y

● Gigantes de los antivirus● Las big four: Deloitte, PwC, KPMG y EY.


ESPAÑA EN DATOS ►Diariamente:

■ se identifican 160.000 webs que tienen puntos débiles de seguridad;

■ más de 320.000 direcciones IP registran actividad maliciosa■ En 2014: la Policía registró en 2014 hasta 70.000 ataques en

España►Naturaleza de las incidencias ►Incidentes más habituales:

■ accesos no autorizados a información confidencial (un 37% de los casos) y

■ fraudes tipo phishing (suplantación de identidad para robar datos o información personal como números de tarjetas de crédito, contraseñas o datos de cuentas bancarias).


España en datos

►Informes oficiales: Acceso no autorizado: 37,94%■ Fraude: 23, 90 %■ Virus, troyanos, gusanos y Spyware: 9,76%■ Spam: 5, 62%■ Denegación de Servicio: 4,41 %■ Escaneos en la Red: 2,38 %■ Robo de información: 0,45 %■ Otros: 15,55%

►El Dilema del Iceberg


III. El desafío cibérnetico► Quienes son sus destinatarios?

■ Instituciones■ Usuarios ■ Profesiones

► Cuáles son los motivos?:■ Cambios en los parámetros clásicos de organización política:

● La superación del marco estatal y● La definición de la competencia territorial

■ Cambios en los parámetros tradicionales de organización jurídica: ● El marco de aplicación de la legislación y● El ámbito de ejercicio de la jurisdicción


Interrogantes

► Qué normativa o normativas debo respetar?► Qué instituciones o agencias me pueden investigar? ► Qué órgano u órganos me pueden enjuiciar?► Qué responsabilidad o responsabilidades me

pueden exigir?► Cómo puedo saber si, cómo, cuando y porqué he

superado el margen de la legalidad?


1. El Ciberespacio: una realidad diferente

►Escenario estratégico, operacional y táctico.►Dominio prácticamente infinito e integrado en los otros

dominios: tierra, mar, aire y espacio.►Naturaleza artificial. ►Ritmo y velocidad de evolución mayor

■ por su propia capacidad de expansión debida a la tecnología y

■ por su propia capilaridad en relación con el espacio físico

►Disponibilidad de medios


2. El Ciberespacio: una criminalidad diferente

► Caracteres de la criminalidad cibernética:■ Fenómeno de la era informática■ Parámetros nuevos de comprensión de la relación

criminal■ Especificidad del delito ■ Transnacionalización de la delincuencia

►Tipos:■ Ciberataques puros■ Ciberataques réplica■ Ciberataques de contenido


3. La ciberdelincuencia: la calificación jurídica

► Categorías genéricas:■ Ciberdelito■ Cibercrimen■ Ciberespionaje■ Ciberterrorismo■ Ciberguerra

► La cuestión del sujeto► La relevancia de la intención► La determinación de los efectos


IV. La arquitectura jurídica del Ciberespacio

►La calificación de las acciones/ataques►La determinación de la normativa aplicable►La definición de la jurisdicción competente►La interacción internacional/nacional

■ Caracteres de la cooperación (I)■ Pluralidad de estructuras

internas/internacionales (II)■ Pluralidad de normas: acumulación y

diversificación de derechos y obligaciones (III)


1. CARACTERES DE LA COOPERACIÓN INTERNACIONAL

► Una aproximación internacional:■ estructuralmente fragmentaria y■ funcionalmente especializada

► Un proceso de afganización del ciberespacio► Una superposición de estructuras:

■ universales y regionales■ formales e informales


2. ESTRUCTURAS DE COOPERACIÓN INTERNACIONAL

► UNIVERSALES:■ ONU■ Unión Internacional de

Telecomunicaciones (ITU)■ International Standards

Organisation (ISO)■ OMC■ Organismos especializados

► INTERREGIONALES:■ OCDE■ APEC■ COMMONWEALTH■ OSCE■ OTAN

►REGIONALES: ■ OEA■ UA■ CONSEJO DE EUROPA■ UNIÓN EUROPEA


La ONU: objetivos y funciones► Lucha contra la delincuencia informática

■ Resoluciones de la AGNU■ UNODC: Oficina de la ONU para las drogas y el crimen■ Congresos Mundiales sobre Prevención del Delito y Justicia Penal■ Convención contra la Delincuencia Organizada

► Impulso de la sociedad de la información: Cumbres Mundiales de la Sociedad de la Información (CMSI)

■ Ginebra 2003: Declaración de Principios Construir la Sociedad de la Información: un desafío global para el nuevo milenio y Plan de Acción de Ginebra

■ Túnez 2005: Compromiso de Túnez y Agenda de Túnez para la Sociedad de la Información

■ Agenda de la Solidaridad Digital


LA ITU: objetivos y funciones► Organismo especializado de las Naciones Unidas para las TICs ► Origen, evolución y estructura► Composición: 193 países miembros y más de 700 entidades del

sector privado e instituciones académicas.► Sede en Ginebra (Suiza) y 12 oficinas regionales y de zona en todo

el mundo► Agenda de Ciberseguridad Global: siete objetivos estratégicos

principales basados en cinco áreas de trabajo siguientes: ■ Medidas legales;■ Medidas técnicas y de procedimiento;■ Estructuras institucionales; ■ Creación de capacidades y ■ Cooperación internacional


Estructuras interregionales► OCDE:

■ Armonización del derecho penal contra el ciberdelito■ Directrices de seguridad de los sistemas y redes de

información■ Principios complementarios

► OSCE:■ Aproximación Omnicomprensiva a la Seguridad Cibernética■ Medidas de Fomento de la Confianza y Medidas de Fomento

de la Confianza y la Seguridad:► APEC► Commonwealth► Consejo de Cooperación del Golfo►OTAN


Estructuras regionales► OEA► UA► UNIÓN EUROPEA

■ Lucha contra la ciberdelincuencia■ Sociedad de la información■ Protección de datos

► CONSEJO DE EUROPA:■ Objetivos: Protección de datos, lucha contra la ciberdelincuencia■ Instrumentos.

● Convenio sobre la Ciberdelincuencia (2001)● Protocolo Adicional del Convenio sobre la Ciberdelincuencia, relativo

a la penalización de los actos de naturaleza racista y xenófoba cometidos por medio de sistemas informáticos (2003).

● Convenio del Consejo de Europa para la protección de los niños contra la explotación y el abuso sexual.


3. Articulación normativa► Tipología de infracciones:

■ Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos;

■ Delitos informáticos;■ Delitos relacionados con el contenido; y■ Delitos relacionados con infracciones de la propiedad

intelectual y de los derechos afines. ► Esta clasificación no es totalmente coherente por dos

motivos:■ No se basa en un sólo criterio■ Algunas acciones pueden pertenecer a varias

categorías


A) Delitos contra la C-I-D

► Bienes jurídicos protegidos: confidencialidad, integridad y disponibilidad de los Datos y Sistemas informáticos

► Categorías delictivas■ Acceso ilícito■ Espionaje de datos■ Intervención ilícita■ Manipulación de datos■ Ataques contra la integridad del sistema


a) Acceso ilícito (pirateria de sistemas y programas)

► Casos:■ La irrupción en sitios web protegidos con contraseña■ La burla de la protección de contraseña en un computador.■ La utilización de equipos o programas para obtener una contraseña e irrumpir en el

sistema informático■ La creación de sitios web "falsos" para lograr que el usuario revele su contraseña; y■ La instalación por hardware y software de interceptores de teclado ("keyloggers

► Causas:■ Protección inadecuada e incompleta de los sistemas informáticos■ Aparición de herramientas informáticas automatizando los ataques■ El uso creciente de los ordenadores privados

► Naturaleza: equivalente al acceso ilícito a una propiedad► Régimen jurídico no uniforme:

■ Delito: El mero acceso■ Delito: El acceso sólo cuando

● los sistemas accedidos están protegidos por medidas de seguridad; y/o● el autor tiene malas intenciones; y/o ● se obtienen, modifican o dañan datos.


b) Espionaje de datos► Motivación: el valor de la información confidencial y la capacidad de

acceder a la misma a distancia. ► Técnicas:

■ software para explorar los puertos desprotegidos;■ software para burlar las medidas de protección; e■ "ingeniería social".

► Protección de datos: privados, comerciales y políticos► Métodos:

■ acceder a sistemas informáticos o a un dispositivo de almacenamiento y extraer la información; o

■ manipular a los usuarios para que revelen la información o los códigos de acceso que permitan al delincuente acceder a la información.

► Normativa


c) Intervención ilícita► Casuística:

■ intervenir las comunicaciones entre usuarios (como mensajes e-mail),■ interceptar transferencias de datos (cuando los usuarios suben datos a

los servidores web o acceden a medios de almacenamiento externos por la web) con el fin de registrar el intercambio de información.

► Objetivo: cualquier ...■ infraestructura de comunicaciones (por ejemplo, líneas fijas o

inalámbricas) y■ servicio Internet (por ejemplo, e-mail, charlas o comunicaciones VoIP).

► La mayoría de los procesos de transferencia de datos entre proveedores de infraestructura de Internet o proveedores de servicios Internet están debidamente protegidos y son difíciles de intervenir. No obstante:

■ resultan vulnerables las comunicaciones inalámbricas■ se pueden pinchar las comunicaciones en líneas fijas


d) Manipulación de datos► Los datos informáticos son esenciales para los usuarios privados, las

empresas y las administraciones► La carencia de acceso a los datos puede causar daños (económicos)

considerables.► Los infractores pueden atentar contra la integridad de los datos de las

siguientes formas:■ borrarlos; y/o■ suprimirlos; y/o■ alterarlos; y/o■ restringir el acceso a los mismos.

► Método: Los virus son un ejemplo común de supresión de datos que han evolucionado y se ha generalizado su capacidad de infección por:

■ la manera en que los virus se distribuyen; y■ los efectos.


e) Ataques contra la integridad del sistema

► Categoría autónoma: los ataques a los *sistemas informáticos suscitan las mismas preocupaciones que los ataques a los *datos informáticos agravada:

■ por su capacidad de generar grandes pérdidas económicas y ■ la posibilidad de realizar ataques físicos a los sistemas informáticos.

► Marco general: ■ Penalmente, el daño físico es similar al clásico de daño o destrucción

de propiedad. ■ En el comercio electrónicos, las pérdidas económicas causadas a los

sistemas informáticos son mucho mayores que el costo de los equipos informáticos.

■ Ejemplos de ataques a distancia contra sistemas informáticos son: ● gusanos informáticos; o● ataques de denegación del servicio (DoS).


B) Delitos relacionados con el contenido

► Objeto► Diversidad y complejidad normativas

■ qué es delito y donde es delito■ qué bien jurídico prevalece■ qué finalidad?

► Debate ontológico► Técnicas de control: bloqueo de acceso o establecimiento de filtros► Categorías:

■ Material erótico o pornográfico (salvo infantil )■ Pornografía infantil■ Racismo, lenguaje ofensivo, exaltación de la violencia■ Delitos contra la religión■ Juegos ilegales y juegos en línea■ Difamación e información falsa■ Correo basura y amenazas conexas■ Otras formas de contenido ilícito


a) Material erótico o pornográfico ►Ventajas del comercio en internet:

■ Intercambio menos oneroso■ Acceso mundial■ Anonimato

►Comercialización:■ sitios web,■ sistemas de intercambio de ficheros;■ salas de charla cerradas.

►Penalización variable: general o sólo infantil►Problemas de la persecución: incriminación simple o doble.


b) Pornografía infantil

►Penalización generalizada: normativas internacionales e internas

►Problema: actividad lucrativa y anónima►Problemas en la investigación:

■ La utilización de divisas y pagos anónimos■ La utilización de tecnología de cifrado


c) Racismo, lenguaje ofensivo, exaltación de la violencia

►Origen: grupos radicales y divulgación de propaganda►La distribución por Internet ofrece varias ventajas:

■ los menores costes de distribución, ■ la utilización de equipos no especializados y■ una audiencia mundial

►Régimen jurídico:■ Prohibición o■ Libertad de expresión

►Penalización: no uniforme


d) Delitos contra la religión

►Facilidades de Internet►Diversidad cultural, ideológica y religiosa►Debate: Libertad religiosa v. Libertad de expresión►Divergencia normativa►Penalización no uniforme


e) Juegos ilegales y juegos en línea►Ventajas de Internet: Actividad en expansión y elusión de la

prohibición de juego ► Uso con fines delictivos:

■ intercambio y presentación de pornografía infantil;■ fraude;■ casinos en línea.

►Ingresos en concepto de juegos en línea: de 3 100 millones USD en 2001 a 24 000 millones USD en 2010

►Régimen jurídico no uniforme, divergencias y lagunas legislativas

►Dificultad de la persecución: Incriminación de los proveedores de servicios financieros


f) Difamación e información falsa►Acciones delictivas:

■ publicar información falsa (por ejemplo, sobre los rivales);■ difamar (por ejemplo, escribir mensajes difamatorios o calumnias);■ revelar información confidencial (por ejemplo, publicar secretos de

Estado o información comercial confidencial). ►La difamación daña la reputación y la dignidad de las víctimas en un

grado considerable por varios motivos:■ las declaraciones en línea son accesibles por la audiencia mundial;

el autor pierde el control de la información; y■ aunque la información se corrija o se suprima, puede haber sido

duplicada ("en servidores espejo") y estar en manos de personas que no desean retirarla o suprimirla.

►Equilibrio entre libertad de expresión y protección de la víctimas


g) Correo basura y amenazas conexas y h) otras formas de contenido ilícito

►Correo basura y amenazas conexas:■ Actividad lucrativa con un coste mínimo■ Técnicas de filtrado■ Problema en los PVD

►Otras formas de contenido ilícito: Internet se utiliza para ataques directos y como foro para:

■ solicitar, ofrecer e incitar el crimen;■ la venta ilegal de productos;■ dar información e instrucciones para actos ilícitos (por ejemplo, sobre cómo

construir explosivos);■ Eludir las normas sobre el comercio de diversos productos: médico,

farmacéutico, material militar.►El contrabando dificulta el control de ciertos productos restringidos en un territorio. ►Las tiendas por la web situadas en países sin restricción alguna pueden vender

productos a clientes de otros países, menoscabando así esas limitaciones.


C) Delitos en materia de derechos de autor y de marcas

►Función esencial de Internet: ■ la difusión de información■ Las relaciones económicas y comerciales

►Hay dos grandes categorías de problemas:■ Los falsificadores: pueden utilizar la imagen de marca y

el diseño de una determinada empresa para comercializar productos falsificados, copiar logotipos y productos, y registrar su nombre de dominio

■ Las empresas distribuidoras por Internet: pueden tener problemas de carácter jurídico con las violaciones de los derechos de autor puesto que sus productos se pueden teledescargar, copiar y distribuir.


a) Delitos en materia de derechosde autor

►Digitalización de los productos, servicios y prestaciones ►Modalidades de violación de derechos de autor:

■ intercambio, en sistemas de intercambio de archivos, de programas informáticos, archivos y temas musicales protegidos con derechos de autor;

■ elusión de los sistemas de gestión de derechos en el ámbito digital.

►Tráfico entre tecnologías pares (P2P): más de 50%► Efectos económicos


b) Delitos en materia de marcas► Tipificación no uniforme de las violaciones en materia de marcas. ► Los delitos más graves son:

■ utilización de marcas en actividades delictivas con el propósito de engañar;■ y, los delitos en materia de dominios y nombres.

► Violaciones más frecuentes: ■ La utilización de nombres genéricos y marcas de forma fraudulenta en

numerosas actividades en las que se envían a los usuarios de Internet millones de correos electrónicos similares a los de empresas legítimas consignando su marca.

■ Los delitos en materia de dominios, por ejemplo la ciberocupación ilegal, que describe el procedimiento ilegal de registrar un nombre de dominio idéntico o similar al de la marca de un producto o de una empresa.

■ Las tentativas de vender el dominio a la empresa a un precio más elevado o utilizarlo para vender productos o servicios engañando a los usuarios con su supuesta conexión a la marca.

■ La "apropiación indebida de dominio" o registro de nombres de dominio que han caducado accidentalmente.


D) Delitos informáticos

►Fraude y fraude informático►Falsificación informática►Robo de identidad►Utilización indebida de dispositivos►Combinación de delitos:

■ Ciberterrorismo■ Ciberguerra■ Ciberblanqueo de dinero■ Peska


a) Fraude y fraude informático►Caracteres►Tipificación: ►Distinción entre fraude informático y fraude tradicional►Los fraudes más comunes son:

■ Subasta en línea:● ofrecer mercancías no disponibles para la

venta y exigir su pago antes de la entrega; o● adquirir mercancías y solicitar su envío, sin

intención de pagar por ellas.■ Estafa nigeriana


b) Falsificación informática

►Falsificación informática: manipulación de documentos digitales, por ejemplo:

■ crear un documento que parece provenir de una institución fiable;

■ manipular imágenes electrónicas (por ejemplo, imágenes aportadas como pruebas materiales en los tribunales); o

■ alterar documentos.►Ejemplo: phishing►Problema: crecimiento de la documentación digital


c) ROBO DE IDENTIDAD►Concepto: el acto delictivo de obtener y adoptar de forma

fraudulenta la identidad de otra persona.►Etapas diferentes:

■ Obtención de información relativa a la identidad mediante, por ejemplo, programas informáticos dañinos o ataques destinados a la peska.

■ Interacción con la información obtenida antes de utilizarla en el marco de una actividad delictiva: venta

■ Utilización de la información relativa a la identidad en relación con una actividad delictiva: robo/fraude.

►Métodos►Datos


d) UTILIZACIÓN INDEBIDA DE DISPOSITIVOS

►Objetivo: la comisión de un delito►Herramientas: variedad y disponibilidad►Ciberdelitos más usuales:

■ cometer ataques por denegación de servicio (DoS);■ diseñar virus informáticos;■ desencriptar información; y■ acceder en forma ilegal a sistemas informáticos

►Impacto: aumento exponencial de la ciberdelincuencia por:■ Accesibilidad■ Anonimato


Conclusiones

1) La cooperación internacional: una obligación y una necesidad

2) Principios rectores:■ COMPLEMENTARIEDAD,■ SIMPLIFICACIÓN Y■ TRANSPARENCIA

3) Uniformación/homogeneización normativa


España: Normativas

►Esquema Nacional de Seguridad (ENS, 5/2013) – Directrices para la utilización eficiente de los recursos para preservar la Seguridad Nacional.

■ Capítulo 3 – Ciberamenazas: líneas de acción:● Incremento de la capacidad de prevención,

detección, investigación y respuesta.● Garantía de los SIs de las AAPP● Colaboración internacional● Cultura de la Ciberseguridad para garantizar el

uso seguro de redes y sistemas de información


Normativas (ii)

►Estrategia de Ciberseguridad Nacional (ECN, 2013) – Modelo de Ciberseguridad integrado que garantice la seguridad y progreso de España a través de la coordinación de todas las administraciones públicas entre sí, el sector privado y los ciudadanos, canalizando las iniciativas y esfuerzos internacionales en defensa del ciberespacio.


España: Organismos gubernamentales centráles

► INCIBE – M. Industria, OARI*► CCN – M. Presidencia, OARIN► CNPIC – M. Interior, OARIN► RedIris – M. Industria, OAR► Unidad/Brigada de Delitos Telemáticos de la

Policia/Guardia Civil – M. Interior, OAR► Agencia Española de Protección de Datos – M. Justicia,

C (análisis y sansión de incidentes)► Mando Conjunto de Ciberdefensa – M. Defensa, OARN

* O=Operacional A=Análisis R=Respuesta de incidentes I=Relaciones internacionalesN= Normativa F=Asesoramiento y formación C=Regulador y autoridad de control


España: organismos autonómicos

► Unidades de Delitos Informáticos de los Mossos de Escuadra y de la Ertzaintza - OAR

► CSIRT-CV - OAR► CESICAT - OARF► CERT Andalucía - OAR► Agencias de Protección de Datos Catalana,

Comunidad de Madrid y del País Vasco - C


INCIBE

► El Instituto Nacional de Ciberseguridad es responsable de gestionar a través de su CERT la defensa del ciberespacio relacionado con las PYMES españolas y los ciudadanos en su ámbito doméstico


CCN

►El Centro Criptológico Nacional, dependiente del CNI, gestiona la seguridad del ciberespacio dependiente de cualquiera de los tres niveles de las administraciones públicas: estatal, autonómico y local.

►El CNN-CERT es el centro de alerta nacional que coopera con todas las administraciones públicas para responder a los incidentes de seguridad.


CNPIC

► El Centro Nacional para la Protección de las Infraestructuras Críticas impulsa, coordina y supervisa todas las actividades relacionadas con la protección de infraestructuras críticas fomentando la participación de todos los agentes del sistema en sus correspondientes ámbitos competenciales.

► Infraestructura Crítica (Ley 8/2011): las infraestructuras estratégicas, es decir, aquellas que proporcionan servicios esenciales cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales: alimentación, energía, financieras/tributarias, agua, industria, salud, transporte, etc.


CERT

► Se denomina CERT (Computer Emergency Response Team) a un conjunto de medios y personas responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. También denominados CSIRT (Computer Security Incident Response Team).

► Servicios preventivos:■ Avisos de seguridad■ Búsqueda de vulnerabilidades■ Auditorías o evaluaciones de seguridad■ Configuración y mantenimiento de herramientas de seguridad, aplicaciones e

infraestructuras■ Desarrollo de herramientas de seguridad■ Propagación de información relacionada con la seguridad

► Servicios reactivos■ Gestión de incidentes de seguridad (análisis, respuesta, soporte y coordinación de

incidentes de seguridad)■ Gestión de vulnerabilidades (análisis, respuesta y coordinación de vulnerabilidades

detectadas)


Gestión frente a ciberincidentes


Sistemas de Alerta Temprana de Internet (SAT)

► Detección en tiempo real de las amenazas e incidentes existentes en el tráfico de la red interna de un Organismo e Internet (tráfico direccionamiento público).

► El sistema normaliza la información recolectada por las distintas fuentes.

►Los eventos se consolidan y se centralizan en un único sistema, revisándolos a través de una única consola.

►La correlación avanzada permite detectar eventos mucho más complejos que pudieran involucrar a distintos organismos.


Sistemas Alerta Temprana (SAT)

► Red SARA:■ Servicio para la Intranet Administrativa■ Coordinado con MINHAP■ 49/54 áreas de concexión

► Sondas de Salida de Internet AAPP:■ Servicio por suscripción de Organismos■ Despliegue de sensores■ 50 organismos / 60 sondas

► Sistema Carmen:■ Análisis de log perimetrales (proxy, …)■ Búsqueda de anomalías de tráfico■ 6 sondas


SAT de la Red SARA

►Sistema de correlación de logs de la Red SARA (Sistemas de Aplicaciones y Redes para las Administraciones) que proporciona de forma continua un índice de compromiso y emite alarmas antes cualquier incidente.

►Detecta de forma proactiva las anomalías y ataques del tráfico entre ministerios y organismos

► Dado el volumen de tráfico las alertas se clasifican en niveles de criticidad.


SAT-SARA: Arquitectura


Calsificación de los incidentes

►APT con exfiltración de información

►DDoS►Ataques dirigidos►DoS►Código Dañino específico►Mayoría de incidentes►Ataques externos sin

consecuencias►Código dañino genérico

Muy alto

Bajo / Medio / Alto

Crítico


Sonda de Internet: elementos

►Consta:■ Sonda individual – servidor dedicado de alto rendimiento

con herramientas de detección y monitorización (snort, arpwatch, ntop, p0f, etc.). Dos interfaces de red:● Interfaz de análisis – sin IP, lee trafico relevante de

salida o zona DMZ. Corre agente SIE OSSIM para depuración/envío eventos.

● Interfaz de gestión – conecta con el sistema central (túnel OpenVPN)

■ Sistema central – correlación entre eventos y dominios, notificación al organismo. Consta de servidor en tiempo real, portal web de informes y consola de visualización


Sondas de Internet: aquitectura


Sonda de Internet

►Clasificación y porcentaje de incidentes notificados:


SAT Carmen

► El Centro de Análisis de Registros y Minería de Eventos Nacionales es una herramienta desarrollada por el CCN-CERT que permite el análisis en tiempo real de diversas fuentes de logs.

► Objetivo: Búsqueda de APT ►Basado en diversos modelos matemáticos, utiliza

minería de datos.► Realiza: histogramas de conexiones, bytes

transmitidos, duración conexiones.


Incidentes por sistema y año


Estadísticas incidentes gestionados por CCN-CERT


¡ Gracias por su atención !

1

Arquitectura de ciberseguridad:Normativa y seguridad en sistemas



Sumario

► El estado de la ciberseguridad► La ciberseguridad: un fenómeno multidimensional► El desafío cibernético► La arquitectura Jurídica de la ciberseguridad:

■ Caracteres de la cooperación internacional■ Estructura de cooperación■ Articulación normativa