Ciberseguridad Estamos Preparados en America Latina y El Caribe PDF

OBSERVATORIO DE LA
CIBERSEGURIDAD
EN AMRICA LATINA Y EL CARIBE
Ciberseguridad
Estamos preparados
en Amrica Latina y el Caribe?
Informe Ciberseguridad 2016
www.observatoriociberseguridad.com
Organization of Mejorando vidas

American States
Organization of Mejorando vidas
American States
Copyright 2016 Banco Interamericano de Desarrollo. Esta

obra se encuentra sujeta a una licencia Creative Commons IGO
3.0 Reconocimiento-NoComercial-SinObrasDerivadas (CC-IGO
3.0 BY-NC-ND) (http://creativecommons.org/licenses/by-nc-
nd/3.0/igo/legalcode) y puede ser reproducida para cualquier
uso no-comercial otorgando el reconocimiento respectivo al
BID y la OEA. No se permiten obras derivadas.
Cualquier disputa relacionada con el uso de la obra que no

pueda resolverse amistosamente se someter a arbitraje
de conformidad con las reglas de la CNUDMI (UNCITRAL).
El uso del nombre del BID y/o de la OEA para cualquier fin
distinto al reconocimiento respectivo y el uso del logotipo
del BID y/o de la OEA, no estn autorizados por esta licencia
CC-IGO y requieren de un acuerdo de licencia adicional de la
organizacin correspondiente.
Note que el enlace URL incluye trminos y condiciones

adicionales de esta licencia.
Las opiniones expresadas en esta publicacin son de los autores

y no necesariamente reflejan el punto de vista del Banco
Interamericano de Desarrollo, de su Directorio Ejecutivo, ni de
los pases que representa, ni de la Organizacin de los Estados
Americanos, ni de los pases que la integran.
Banco Interamericano de Desarrollo Organizacin de los Estados Americanos
Luis Alberto Moreno Luis Almagro

Presidente Secretario General
Coordinacin del Proyecto Coordinacin del Proyecto
Miguel Porra Belisario Contreras

Especialista Lder de Gobierno Electrnico Gerente del Programa de Seguridad Ciberntica
Centro Global de Capacitacin de Seguridad

BID-OEA Equipo Tcnico Ciberntica - Universidad de Oxford
Kerry-Ann Barrett Prof. Sadie Creese

Robert Fain Prof. Michael Goldsmith
Catalina Garca Dr. Mara Bada
Gonzalo Garca-Belenguer Taylor Roberts
Catalina Lillo Lara Pace
Brbara Marchiori
Emmanuelle Pelletier
Diego Subero
III
OBSERVATORIO DE LA
CIBERSEGURIDAD
INFORME CIBERSEGURIDAD 2016
Tabla de contenidos
Mensajes institucionales Contribuciones de expertos
IX Mensaje del Presidente del BID 3 Fomento de confianza ciberntica y diplomacia

en Amrica Latina y el Caribe
XI Mensaje del Secretario General de la OEA Centro de Estudios Estratgicos
e Internacionales
XIII Sobre este informe CSIS
7 Seguridad ciberntica, privacidad y confianza:

tendencias en Amrica Latina y el Caribe. El
camino a seguir
Fundacin Getlio Vargas
FGV
13 Creacin de la capacidad de respuesta

a incidentes en las Amricas
Foro de Equipos de Seguridad y de Respuesta
a Incidentes
FIRST
19 El estado actual de la legislacin sobre el delito

ciberntico en Amrica Latina y el Caribe:
algunas observaciones
Consejo de Europa
COE
25 Economa digital y seguridad ciberntica

Foro Econmico Mundial
WEF
31 Desarrollo sostenible y seguro: un marco

para las sociedades conectadas resilientes
Instituto Potomac
POTOMAC
Marco metodolgico
39 Sinopsis
Universidad de Oxford
43 Capacidad de seguridad ciberntica
45 Niveles de madurez
OBSERVATORIO DE LA
CIBERSEGURIDAD V
Perfiles de pases Apndice: marco metodolgico detallado
48 Antigua y Barbuda 123 Poltica y estrategia

50 Argentina 124 Estrategia nacional de seguridad ciberntica
52 Bahamas 127 Defensa ciberntica
54 Barbados
56 Belice 131 Cultura y sociedad
58 Bolivia 132 Mentalidad de seguridad ciberntica
60 Brasil 135 Conciencia de seguridad ciberntica
62 Chile 136 Confianza en el uso de Internet
64 Colombia 139 Privacidad en lnea
66 Costa Rica
68 Dominica 141 Educacin
70 Ecuador 142 Disponibilidad nacional de la educacin
72 El Salvador y formacin cibernticas
74 Granada 144 Desarrollo nacional de la educacin
76 Guatemala de seguridad ciberntica
78 Guyana 145 Formacin e iniciativas educativas pblicas
80 Hait y privadas
82 Honduras 146 Gobernanza corporativa, conocimiento y normas
84 Jamaica
86 Mxico 147 Marcos legales
88 Nicaragua 148 Marcos jurdicos de seguridad ciberntica
90 Panam 152 Investigacin jurdica
92 Paraguay 155 Divulgacin responsable de informacin
94 Per
96 Repblica Dominicana 157 Tecnologas
98 Saint Kitts y Nevis 158 Adhesin a las normas
100 San Vicente y las Granadinas 161 Organizaciones de coordinacin de seguridad
102 Santa Luca ciberntica
104 Suriname 163 Respuesta a incidentes
106 Trinidad y Tobago 166 Resiliencia de la infraestructura nacional
108 Uruguay 168 Proteccin de la Infraestructura Crtica Nacional (CNI)
110 Venezuela 173 Gestin de crisis
175 Redundancia digital
115 Reflexiones sobre la regin 177 Mercado de la ciberseguridad
www.observatoriociberseguridad.com
El set de datos tambin puede ser
descargado en formato abierto en:
https://mydata.iadb.org/idb/dataset/cd6z-sjjc
VI
Lista de acrnimos
ADSIB DDoS
Agencia para el Desarrollo de la Sociedad de la Ataques de denegacin de servicio distribuidos
Informacin en Bolivia
DoS
APWG Denegacin de servicio
Grupo de Trabajo Anti-Phishing
DUDH
ALC Declaracin Universal de Derechos Humanos
Amrica Latina y el Caribe
FGV
AusCERT Fundacin Getlio Vargas
Equipo de Respuesta de Emergencia
Informtica de Australia FIRST
Foro de Equipos de Respuesta ante
BID Incidentes y de Seguridad
Banco Interamericano de Desarrollo
GCCS
CARICOM Conferencia Mundial sobre el Espacio Ciberntico
Comunidad del Caribe
GCSCC
CGi.br Centro Global de Capacidad sobre Seguridad
Comit Gestor de Internet en Brasil Ciberntica (Oxford)
CMM GGE
Modelo de Madurez de Capacidad Grupo de Expertos Gubernamentales
de Ciberseguridad de las Naciones Unidas
CoE ICANN
Consejo de Europa Corporacin de Internet para Nombres
y Nmeros Asignados
CONATEL
Consejo Nacional de Telecomunicaciones de Hait ICIC
Programa Nacional de Infraestructuras Crticas de
CONICYT Informacin y Ciberseguridad
Consejo Nicaragense de Ciencia y Tecnologa
ICN
CSIRT Infraestructuras crticas nacionales
Equipo de respuesta ante incidentes
de seguridad ciberntica IFD
Departamento de Instituciones para el Desarrollo
CSIS del BID
Centro de Estudios Estratgicos e Internacionales
IGF
CTU Foro de Gobernanza de Internet
Unin de Telecomunicaciones del Caribe
OBSERVATORIO DE LA
CIBERSEGURIDAD VII
IITCUP PKI
Divisin Informtica Forense del Instituto Infraestructura pblica clave
de Investigaciones Tcnico Cientficas de la
Universidad Policial (Bolivia) POTOMAC
Instituto Potomac de Estudios Polticos
IXP
Punto de intercambio de Internet REMJA/OEA
Reuniones de Ministros de Justicia o Fiscales
LACNIC Generales de las Amricas
Centro de Informacin de la Red
de Amrica Latina y el Caribe SCADA
Control de Supervisin y Adquisicin de Datos
Metas SMART
Metas especficas, evaluables, realistas SEI
y con un tiempo definido Software Engineering Institute
(de Carnegie Mellon University)
MFC
Medidas de fomento de la confianza SENATICS
Secretara Nacional de Tecnologas de Informacin
MICITT y Comunicaciones (Paraguay)
Ministerio de Ciencia, Tecnologa y
Telecomunicaciones de Costa Rica SUSCERTE
Superintendencia de Servicios de Certificacin
MMWG Electrnica (Venezuela)
Grupo de Trabajo de Modelado Plurirregional
TCBM
NCI Medidas de transparencia y de fomento de la
Instituto Nacional de Ciberseguridad confianza
NIC.br TI
Centro de Informacin de la Red Brasilea Tecnologa de la informacin
OEA TIC
Organizacin de los Estados Americanos Tecnologa de la informacin y la comunicacin
ONGEI UIT
Oficina Nacional de Gobierno Electrnico e Unin Internacional de Telecomunicaciones
Informtica (Per)
UIT-IMPACT
OSCE Alianza Internacional y Multilateral
Organizacin de Seguridad contra las Amenazas Cibernticas de la UIT
y Cooperacin en Europa
PIB WEF
Producto interno bruto Foro Econmico Mundial
VIII
Mejorando vidas
Si los lectores han de llevarse un slo mensaje de este Informe 2016 del Observatorio de la Ciberseguridad en
Amrica Latina y el Caribe, es que una enorme mayora de nuestros pases an estn poco preparados para
contrarrestar la amenaza del cibercrimen. Su anlisis es un llamado a la accin para empezar a hacer todo
lo necesario por proteger esta infraestructura clave para el siglo XXI.
Hay mucho en juego. Segn algunos clculos, el cibercrimen le cuesta al mundo hasta US$575.000 millones al
ao1, lo que representa 0,5% del PIB global. Eso es casi cuatro veces ms que el monto anual de las donaciones
para el desarrollo internacional. En Amrica Latina y el Caribe, este tipo de delitos nos cuestan alrededor de
US$90.000 millones al ao2. Con esos recursos podramos cuadruplicar el nmero de investigadores cientficos
en nuestra regin.
Las ventajas de la conectividad son innegables, y los latinoamericanos y caribeos adoptan estas nuevas
tecnologas con entusiasmo. Hoy somos el cuarto mayor mercado mvil del mundo, la mitad de nuestra
poblacin usa el Internet y nuestros gobiernos emplean cada vez ms medios digitales para comunicarse y
brindar servicios a los ciudadanos.
Pero en donde nos quedamos cortos es en prevenir y mitigar los riesgos de la actividad delictiva o maliciosa en
el ciberespacio. El Modelo de Madurez de Capacidad de Seguridad Ciberntica desarrollado en este informe
es un buen punto de referencia para comenzar a encontrar soluciones que permitan remediar esta situacin.
Un anlisis de sus 49 indicadores demuestra que muchos pases de la regin son vulnerables a ataques
cibernticos potencialmente devastadores. Cuatro de cada cinco pases no tienen estrategias de ciberseguridad
o planes de proteccin de infraestructura crtica. Dos de cada tres no cuentan con un centro de comando
y control de seguridad ciberntica. La gran mayora de las fiscalas carece de capacidad para perseguir los
delitos cibernticos.
Si vamos a sacarle la mayor ventaja posible a la llamada cuarta revolucin industrial3, tenemos que crear
una infraestructura digital no slo moderna y robusta sino tambin segura. Proteger a nuestros ciudadanos
del cibercrimen no es una mera opcin: es un elemento clave para nuestro desarrollo.
Como tantos de los desafos que enfrentamos en pos de ese desarrollo, este es un reto que excede la capacidad
de cualquier institucin. Nuestros esfuerzos individuales se potencian cuando trabajamos con aliados que
comparten nuestros objetivos y valores. Este informe se benefici de ese tipo de colaboracin gracias a los
aportes de la Organizacin de los Estados Americanos, la Universidad de Oxford, el Center for Strategic
International Studies, la Fundacin Getlio Vargas, la organizacin FIRST, el Consejo de Europa, Potomac
Institute y el Foro Econmico Mundial.
Espero que esta evaluacin rigurosa y sistemtica, con sus tiles indicadores, sirva de gua y aliciente a los
responsables de la ciberseguridad de nuestra regin para avanzar rpidamente en el camino correcto. Quienes
medran con el cibercrimen no nos darn tregua.
Luis Alberto Moreno

Presidente
Banco Interamericano de Desarrollo
OBSERVATORIO DE LA
CIBERSEGURIDAD IX
Notas
1. Center for Strategic and International Studies and McAfee
(Firm). Net Losses : Estimating the Global Cost of Cybercrime.
P.23, 2014. Web.
2. Prandini, Patricia y Marcia L. Maggiore. Panorama del

ciberdelito en Latinoamrica. Documento de trabajo.
Montevideo: Registro de Direcciones de Internet para
Latinoamrica, 2011.
3. El Professor Klaus Schwab, Director Ejecutivo y Fundador

del Foro Econmico Mundial, defini el concepto de la
Cuarta Revolucin Industrial mismo que guo la agenda de
la ltima Reunin Anual en Davos en Enero del 2016. http://
www.weforum.org/agenda/2016/01/the-fourth-industrial-
revolution-what-it-means-and-how-to-respond.
X
Organization of
American States
La realidad contundente de nuestro tiempo es que el Internet ha revolucionado la forma en que interactuamos
con los dems y el mundo que nos rodea. El aumento de la conectividad a Internet hace que un nmero cada
vez mayor de personas estn conectadas en un espacio en gran parte pblico y transnacional, y proporciona una
plataforma dinmica y de crecimiento que permite que avance la comunicacin, la colaboracin y la innovacin
en maneras en que nunca hubiramos podido imaginar hace muy poco tiempo. Esto es particularmente cierto en
Amrica Latina y el Caribe, donde ms de la mitad de nuestra poblacin ya est en lnea y la tasa de crecimiento
de usuarios de Internet se encuentra entre las ms altas del mundo. En las Amricas y el Caribe estamos utilizando
el Internet para compartir ideas y cultura; para mejorar el gobierno y los servicios sociales; para colaborar en
la educacin, las ciencias y las artes; y para hacer negocios, todo con una mayor accesibilidad y eficiencia. Los
mayores beneficios de este nuevo paradigma que est emergiendo rpidamente es el impacto que ha tenido
en la estimulacin de un nuevo crecimiento y desarrollo social y econmico de la regin.
No se puede ignorar, sin embargo, que nuestra creciente conectividad y dependencia de las plataformas y
servicios basados en Internet han aumentado considerablemente nuestra exposicin al riesgo -la de nuestros
ciudadanos, empresas comerciales y gobiernos- a una gran cantidad de actividades y actores relacionados
con la delincuencia y seguridad. Los datos disponibles indican claramente que los incidentes y ataques
cibernticos, en particular los que se realizan con intencin criminal, estn aumentando en frecuencia
y sofisticacin. Las agencias gubernamentales y las empresas han llegado a reconocer la necesidad de
tener fuertes marcos, medidas y capacidades de seguridad ciberntica, as como contar imperiosamente
con cooperacin e intercambio de informacin. En la actualidad se entiende que el delito ciberntico no
reconoce fronteras nacionales y que se requiere un esfuerzo multilateral y multidimensional para abordar
la cantidad de amenazas informticas. De hecho, se est avanzando de manera importante.
La Organizacin de los Estados Americanos (OEA) ha estado comprometida principalmente con temas de
seguridad ciberntica y delincuencia ciberntica por ms de una dcada, fomentando y apoyando la labor
de nuestros Estados Miembros para fortalecer su capacidad para proteger a las personas, las economas y
la infraestructura crtica de nuestra regin contra la delincuencia ciberntica y otros ataques o incidentes
cibernticos. En 2004 los Estados Miembros de la OEA aprobaron la Estrategia Interamericana Integral para
Combatir las Amenazas a la Seguridad Ciberntica, que abogaba por un esfuerzo coordinado de mltiples
partes interesadas en la lucha contra las amenazas cibernticas en el hemisferio y proporcionaba un marco
inicial para cultivar y guiar tal enfoque. Nuestros Estados Miembros fueron extraordinariamente previsivos
cuando adoptaron esta visin desde el principio. Al hacerlo, creamos un espacio en el que la cooperacin
significativa, entre un amplio nmero de partes interesadas, ha mejorado el intercambio de informacin,
mejorado la proteccin de la infraestructura de las tecnologas de la informacin y las comunicaciones
(TIC), fortalecido la capacidad de nuestros gobiernos para responder y mitigar incidentes cibernticos y
reforzado nuestra resiliencia individual y colectiva frente a amenazas cibernticas. Estos compromisos se
han reafirmado y fortalecido con los aos, a partir de la adopcin de numerosas declaraciones oficiales,
incluyendo uno recientemente, en marzo de este ao, en relacin con el papel y las responsabilidades de
la OEA y sus Estados Miembros en la promocin de la seguridad ciberntica, la lucha contra la delincuencia
informtica y la proteccin de infraestructuras de informacin crtica.
El Programa de Seguridad Ciberntica del Comit Interamericano contra el Terrorismo de la OEA (CICTE) ha
jugado un papel clave en este frente. El programa ha ayudado a Estados Miembros a elaborar estrategias
de seguridad ciberntica nacional, ha brindado capacitacin a los Equipos de Respuesta a Incidentes de
Seguridad Informtica (CSIRT) nacionales y regionales, ha facilitado ejercicios de gestin de crisis con
operadores de la industria nacional crtica y los activos de respuesta a emergencias, la sociedad civil dedicada
y el sector privado y ha ayudado a crear conciencia sobre las amenazas y las oportunidades relacionadas con
la seguridad ciberntica en nuestra regin. En estas y otras maneras, el CICTE ha contribuido directamente
a contar con un dominio ciberntico ms seguro y vigilante en el Caribe y Amrica Latina.
OBSERVATORIO DE LA
CIBERSEGURIDAD XI
A pesar de los avances prometedores que hemos logrado hasta el momento, la necesidad de continuar
con cooperacin multilateral y la creacin de capacidad sigue siendo igual de urgente. Las tecnologas
de la informacin y las innumerables formas en que las utilizamos siguen evolucionando a un ritmo
acelerado, al igual que las vulnerabilidades que traen consigo y los actores y las amenazas que buscan
aprovecharse de estas. Solo trabajando juntos podemos seguir el ritmo y asegurar que los beneficios
de este dominio digital nuevo y en expansin supere los riesgos y los costos.
Esto requiere que cultivemos una comprensin de todo el alcance de las amenazas a nuestro dominio
ciberntico, basado en la ms completa y actualizada informacin disponible. Sin embargo, hay una
escasez de literatura integral en materia de seguridad ciberntica en Amrica Latina y el Caribe. Desde
2013, el Programa de Seguridad Ciberntica del CICTE de la OEA ha tratado de abordar este vaco de
informacin a travs de una serie de informes integrales, preparados y publicados en colaboracin con
lderes de la industria de seguridad ciberntica. Estos informes han sido muy explicativos, ofreciendo
la imagen ms detallada y precisa a la fecha de la seguridad ciberntica y la delincuencia ciberntica
en nuestro hemisferio.
Siguiendo con esta tradicin, la OEA se complace en presentarles, en colaboracin con el Banco
Interamericano de Desarrollo (BID) y el Centro Global de Seguridad Ciberntica de la Universidad de
Oxford, el Observatorio de Seguridad Ciberntica en Amrica Latina y el Caribe.
Este estudio tiene como objetivo profundizar en el conocimiento de los riesgos de seguridad ciberntica,
los retos y oportunidades en Amrica Latina y el Caribe. Mediante la utilizacin de encuestas y otros
datos aportados por expertos y funcionarios de treinta y dos Estados Miembros de la OEA, el informe
examina la madurez ciberntica de cada pas en cinco dimensiones: 1) poltica y estrategia de seguridad
ciberntica; 2) cultura y sociedad ciberntica; 3) educacin, formacin y competencias en seguridad
ciberntica; 4) marcos jurdicos y reglamentarios; y 5) normas, organizaciones y tecnologas. Tambin hay
que sealar que el Programa de Seguridad Ciberntica de la OEA recibi generoso apoyo de Microsoft,
que ayud a identificar reas clave que se presentaran en la fase inicial del proyecto. El enfoque del
informe de pas por pas deber ayudarnos a desarrollar una comprensin ms sutil de cada uno de los
regmenes de seguridad ciberntica de nuestros Estados y ayudar a los responsables polticos y tcnicos
tanto a mejorar estratgicamente los esfuerzos existentes de seguridad ciberntica como a disear e
implementar nuevas iniciativas en el futuro.
Hay que reconocer que estos resultados solo representan una instantnea en el tiempo de un paisaje
siempre cambiante. Se necesitarn ms estudios para continuar al tanto de la situacin de la seguridad
ciberntica en las Amricas y el Caribe. Sin embargo, esperamos que al mejorar nuestra comprensin
colectiva de los retos y oportunidades de seguridad ciberntica que enfrenta actualmente nuestra regin,
la informacin y anlisis contenidos en este informe ayudarn a los interesados en todos los sectores
gobierno, sector privado, academia y sociedad civil a trabajar mejor juntos para construir un ciberespacio
ms seguro, resiliente y productivo en nuestro hemisferio. Confiamos en poder seguir desempeando un
papel en esta misin vital.
Luis Almagro
Secretario General
Organizacin de los Estados Americanos
XII
Sobre este informe
El Informe 2016 del Observatorio de la Ciberseguridad en Amrica las TIC, la seguridad ciberntica y las economas nacionales
Latina y el Caribe es el resultado de una gestin de colaboracin de Amrica Latina y el Caribe. Por ltimo, Melissa Hathaway
entre el Banco Interamericano de Desarrollo (BID) y la Organizacin y Francesca Spidalieri del Instituto Potomac opinan sobre lo
de los Estados Americanos (OEA) para presentar una imagen esenciales que son la sostenibilidad y seguridad para asegurar
completa y actualizada del estado de la seguridad ciberntica de la viabilidad econmica a largo plazo de la innovacin y el
los pases de Amrica Latina y el Caribe. El uso de una herramienta crecimiento de las TIC.
en lnea diseada en conjunto con el Centro Global de Capacidad
sobre Seguridad Ciberntica de la Universidad de Oxford facilit La segunda seccin, Reporte de pases presenta una visin
la recoleccin de datos por parte de la OEA-BID de los interesados general del estado actual de la seguridad ciberntica en los
en seguridad ciberntica que representan distintos sectores. Estos pases de la regin del Caribe y Amrica Latina sobre la base de la
interesados incluyen: agencias gubernamentales, operadores de informacin obtenida a travs de la herramienta en lnea diseada
infraestructuras crticas, las fuerzas militares, la polica, el sector en colaboracin con el GCSCC, de entrevistas con funcionarios de
privado, la sociedad civil y la academia. Se consigui informacin los Estados Miembros y la investigacin documental. Los datos
adicional a travs de diversas fuentes secundarias, que se ha citado recogidos fueron analizados mediante el uso de los 49 indicadores
a lo largo del informe. del modelo de madurez de la capacidad de seguridad ciberntica
desarrollado por el GCSCC, que se divide en cinco dimensiones: 1)
Este informe consta de dos secciones principales. La primera Poltica; 2) Sociedad; 3) Educacin; 4) Legislacin; y 5) Tecnologa.
seccin, Contribuciones de expertos, consta de ensayos sobre Hay cinco niveles de madurez para cada indicador: 1) Inicial;
las tendencias de la seguridad ciberntica en la regin, aportados 2) Formativo; 3) Establecido; 4) Estratgico; y 5) Dinmico. La
por expertos internacionales en seguridad ciberntica. James profesora Sadie Creese, del GCSCC de la Universidad de Oxford,
A. Lewis, del Centro de Estudios Estratgicos e Internacionales introduce los reportes de pases y da su puntos de vista sobre las
(CSIS), explora el papel de la cooperacin internacional en la conclusiones y algunas de las tendencias regionales que sugieren.
creacin y regulacin normativa para la seguridad ciberntica y Cada perfil de pas ofrece una breve resea de los acontecimientos
delincuencia ciberntica en Fomento de confianza ciberntica recientes de seguridad ciberntica en el pas, las estadsticas
y diplomacia en Amrica Latina y el Caribe. Lewis destaca el sobre la poblacin del pas, el nmero de personas con acceso a
trabajo de los mecanismos regionales e internacionales para Internet, las suscripciones de telefona mvil y el porcentaje de
promover la cooperacin internacional en la proteccin del penetracin de Internet. Adems, cada perfil muestra el nivel de
ciberespacio. En Seguridad ciberntica, privacidad y confianza: madurez del pas para cada indicador.
tendencias en Amrica Latina y el Caribe. El camino a seguir,
Marlia Maciel, Nathalia Foditsch, Luca Belli y Nicols Castelln A raz de los informes de pas, Melissa Hathaway, Jennifer McArdle
del Centro de Tecnologa y Sociedad (CTS) de la Fundacin Getlio y Francesca Spidalieri del Instituto Potomac de Estudios Polticos
Vargas (FGV) analizan el desafo de equilibrar el intercambio ofrecen sus puntos de vista sobre las conclusiones de los informes.
de informacin con la privacidad y la libertad de expresin Sealan el creciente compromiso y la inversin que la regin de
y sealan la importancia de contar con medidas tales como ALC ha puesto a la seguridad ciberntica, al tiempo que reconocen
los marcos regulatorios de privacidad y proteccin de datos y los desafos pendientes, incluyendo las necesidades para las
plataformas de mltiples partes interesadas, entre otros. En el estrategias nacionales de seguridad ciberntica, una mayor
siguiente segmento, Maarten Van Horenbeeck, Cristine Hoepers conciencia social de los riesgos cibernticos, las asociaciones
y Pete Allor del Foro de Equipos de Respuesta a Incidentes de pblico-privadas y los mecanismos de intercambio de informacin.
Seguridad (FIRST) escriben sobre la necesidad de contar con
capacitacin y oportunidades educativas para los Equipos de Este informe procura presentar una representacin integral de
Respuesta a Incidentes de Seguridad Informtica (CSIRT), as la ciberseguridad en la regin. Las partes interesadas nacionales
como una comunidad fuerte e incluyente de CSIRT. Luego, de diversos sectores pueden utilizar esta informacin para
Alexander Seger del Consejo de Europa (CoE) examina cmo los comprender mejor la situacin de la seguridad ciberntica de
pases de Amrica Latina y el Caribe han diseado y actualizado su pas en un contexto regional. Ello tambin puede ayudarles
sus marcos legislativos para abordar los delitos informticos, a los gobiernos y expertos en seguridad ciberntica a explorar
con especial nfasis en la Convencin de Budapest y presenta nuevas ideas para el fortalecimiento de la seguridad ciberntica
una serie de estudios de caso. En Economa digital y seguridad en sus respectivos pases y en todo el hemisferio. En general, los
ciberntica en Amrica Latina y el Caribe, el Consejo de la resultados representan una instantnea en el tiempo, que se
Agenda Global sobre Seguridad Ciberntica del Foro Econmico puede utilizar como punto de referencia a medida que los pases
Mundial (WEF) analiza las conexiones entre el desarrollo de continen desarrollando sus capacidades de ciberseguridad.
OBSERVATORIO DE LA
CIBERSEGURIDAD XIII
Contribuciones de expertos
Fomento de confianza ciberntica
y diplomacia en Amrica Latina
y el Caribe
CSIS | Centro de Estudios Estratgicos e Internacionales
James A. Lewis
Poltica
OBSERVATORIO DE LA
CIBERSEGURIDAD 3
La conectividad a Internet acelera el crecimiento econmico y crea soberana nacional, la Carta de la ONU y el derecho internacional
oportunidades para los negocios y el comercio. La maximizacin se aplican al ciberespacio, revirtiendo, en pocas palabras, todo
del valor de la Internet y el ciberespacio debe ser una parte central el edificio de un bien comn mundial. La Asamblea General de
de la planeacin gubernamental. Sin embargo, estas oportunidades la ONU aprob esta aplicabilidad de la soberana, el derecho
siempre traen sus riesgos. Las tecnologas de Internet an no y la Carta de la ONU, y esto cambi la poltica de la Internet y
estn maduras. Los delincuentes las pueden explotar fcilmente. su gobernanza y de manera muy provechosa insert el debate
Este riesgo es manejable, pero requiere de la atencin de los internacional sobre la seguridad ciberntica en el marco actual
lderes nacionales. Para que el tema de la seguridad ciberntica de las obligaciones y el entendimiento entre los Estados.
llegue al nivel ms alto del liderazgo poltico, todava depende
de varios factores: el inters personal, haber experimentado
directamente la accin ciberntica maliciosa y las relaciones con
otros Estados. Sin embargo, un nmero creciente de presidentes y
primeros ministros de todo el mundo han convertido la seguridad Hacer frente a estos desafos
ciberntica en una prioridad.
requiere de esfuerzos diplomticos
Se ha generado un amplio debate internacional sobre la seguridad
ciberntica en los ltimos aos, lo que refleja el deseo de
y la cooperacin internacional. Algo
las naciones de responder a las tendencias inquietantes y de que hemos aprendido en seguridad
reforzar la estabilidad y la seguridad de los recursos mundiales
cibernticos. La comunidad internacional se ha centrado en los ciberntica es que ninguna nacin por
temas de las normas de seguridad ciberntica, las medidas de
generacin de confianza y la creacin de capacidades.
s sola puede asegurar adecuadamente
sus redes. La cooperacin es esencial.
Esta es la agenda internacional para la seguridad ciberntica y
merecen especial atencin cuatro grupos de discusin. Se trata de
las conversaciones en el Grupo de Expertos Gubernamentales de
las Naciones Unidas (GEG), la Organizacin para la Seguridad y la
Cooperacin en Europa (OSCE), el Foro Regional de la Asociacin El cuarto GEG, que concluy en junio de 2015, fue presidido por
de Naciones del Sureste Asitico (ASEAN, por sus siglas en ingls), un alto diplomtico brasileo y cont con la participacin de
y la OEA. Tambin es digno de mencin el papel de liderazgo del Colombia, Mxico y Estados Unidos. Se pudo llegar a un consenso
Proceso de Londres, puesto en marcha en 2011 por el entonces (en buena medida debido a la habilidad del Presidente), pero
secretario de Relaciones Exteriores del Reino Unido, William el Informe an no ha sido aprobado por la Asamblea General.
Hague. Esta serie de reuniones internacionales informales tienen Este Grupo de Expertos Gubernamentales aprob un conjunto
como objetivo generar un consenso sobre un comportamiento adicional de normas y medidas para desarrollar capacidad
responsable en el ciberespacio. Ha habido cuatro reuniones, la y defini una serie de medidas de generacin de confianza
ltima de las cuales, realizada en La Haya, elabor un Informe voluntarias para aumentar la transparencia y fortalecer la
del Presidente muy completo que recomienda una serie de cooperacin. Sorprendentemente, no fueron las normas las que
posibles normas y estableci el Foro Mundial sobre Experticia resultaron ser el tema ms polmico, sino ms bien la aplicacin
Ciberntica. La OEA es miembro fundador de este ltimo. El Foro del derecho internacional para el ciberespacio, un rea sobre la
facilitar el intercambio de experiencias, conocimientos y buenas cual se necesitar trabajar ms en el futuro debate internacional.
prcticas entre los responsables polticos y expertos cibernticos
de diferentes pases y regiones. La prxima reunin del Proceso En su labor, el Grupo de Expertos Gubernamentales de 2015 se
de Londres est programada tentativamente para la primavera gui por los precedentes creados por un acuerdo de la OSCE
de 2017 en el Hemisferio Occidental. en 2014 sobre medidas de fomento de confianza. Despus de
difciles negociaciones, la OSCE adopt un conjunto fundamental
Los GEG han sido de suma importancia para el establecimiento de e inicial de medidas voluntarias para aumentar la transparencia
la agenda global. Se han realizado cuatro en la ltima dcada. El y la cooperacin. Estas medidas de generacin de confianza se
tercer grupo de expertos gubernamentales en 2013 fue un xito centran en la transparencia y la coordinacin. Entre las medidas
inesperado y defini un cambio histrico que alter el panorama voluntarias acordadas en la OSCE se incluyen la provisin de
poltico de la Internet. Implic el reconocimiento de que la opiniones nacionales sobre la doctrina, estrategia y amenazas
4
cibernticas. Los miembros de la OSCE tambin compartirn Hacer frente a estos desafos requiere de esfuerzos diplomticos
informacin sobre organizaciones, programas o estrategias y la cooperacin internacional. Algo que hemos aprendido
nacionales pertinentes a la seguridad ciberntica, identificarn en seguridad ciberntica es que ninguna nacin por s sola
un punto de contacto para facilitar la comunicacin y el dilogo puede asegurar adecuadamente sus redes. La cooperacin es
sobre cuestiones de seguridad relacionadas con TIC y establecern esencial. Esto hace que las gestiones regionales sean an ms
vnculos entre los CERT nacionales. importantes, especialmente teniendo en cuenta los vnculos
entre la seguridad ciberntica, el desarrollo y el crecimiento
El trabajo de los Grupos de Expertos Gubernamentales y la econmico. Las economas nacionales que estn conectadas
OSCE tiene implicaciones tiles para otras regiones del mundo, a la Internet global y que aprovechan el servicio de Internet
incluida Amrica Latina y el Caribe, y para seguir avanzando crecen ms rpidamente y se van enriqueciendo. Una mejor
en la construccin de la seguridad ciberntica a nivel regional seguridad ciberntica les permite a los pases aprovechar al
y nacional. La OEA tiene un papel lder a nivel mundial en mximo estas oportunidades.
el desarrollo de la cooperacin internacional en materia
de seguridad ciberntica. Su trabajo sobre el desarrollo de Por esta razn, es til considerar qu medidas adicionales se
capacidades es un modelo para otras regiones. Ha implementado podran realizar en el marco de la OEA sobre una base regional,
un nmero importante de medidas para mejorar la seguridad no solo entre los gobiernos sino tambin entre las comunidades
ciberntica en todo el hemisferio. El Comit sobre Seguridad acadmicas y empresariales. Amrica Latina y el Caribe, sobre la
Hemisfrica de la OEA public una Lista Consolidada de base del trabajo ya realizado, debera centrarse en cuatro pasos.
Medidas de Generacin de Confianza y Seguridad que incluye
intercambios voluntarios de informacin sobre la organizacin, En primer lugar, la regin debera continuar su labor en la
la estructura, el tamao de las entidades cibernticas del creacin de una base jurdica armonizada para abordar los
gobierno, el intercambio de documentos de poltica y doctrina, delitos cibernticos. El mejor vehculo para esa cooperacin es
el establecimiento de puntos de contacto nacionales en materia la Convencin de Budapest sobre el delito ciberntico, pero hay
de proteccin de infraestructuras crticas e intercambio de obstculos polticos para poder llegar a un acuerdo. Algunos
investigacin entre Estados Miembros. pases se oponen a la Convencin alegando motivos justificables
de que no participaron en la negociacin. Estas naciones no se
Esta institucin tambin ha organizado una extensa serie de han manifestado acerca de qu cambiaran en la Convencin; sin
talleres y eventos de capacitacin sobre estrategias nacionales, embargo, y vale la pena sealarlo, los pases con leyes de delitos
medidas de fomento de confianza y el desarrollo de experticia cibernticos dbiles sufren mayores prdidas econmicas.
ciberntica. Sus gestiones (ahora con la colaboracin del Banco
Interamericano de Desarrollo) para vincular la seguridad En segundo lugar, sera til seguir avanzando para llegar a
ciberntica a las iniciativas de gobernanza eficaces les ayuda un entendimiento comn sobre las infraestructuras crticas y
a los Estados Miembros en el trabajo de implementar el gobierno sus vulnerabilidades (una cuestin planteada por el experto
electrnico de forma segura. Una de las reas a considerar es colombiano en el GEG), incluyendo una definicin compartida
cmo extender an ms la labor de la OEA y el BID sobre las de infraestructuras cruciales.
medidas de generacin de confianza de manera que cubra
asuntos de seguridad ciberntica. En tercer lugar, sera beneficioso contar con un enfoque regional
ms formal para la generacin de confianza, a partir de la Lista
Estos esfuerzos para facilitar el desarrollo de estrategias Consolidada de Medidas de Fomento de Confianza y Seguridad y
nacionales y para desarrollar la capacidad han posicionado basndose en el trabajo de la OSCE. Esto implicara el intercambio
a las Amricas como un lder global en seguridad ciberntica. de documentos nacionales de polticas y leyes, reuniones peridicas
Sin embargo, en Amrica Latina y el Caribe, como en todas las entre funcionarios relevantes, incluidos los funcionarios a nivel
regiones, los esfuerzos para lograr la estabilidad y la seguridad poltico, para discutir temas de la estabilidad, comercio y seguridad
del ciberespacio estn en una etapa temprana. Los principales y el fortalecimiento de redes de cooperacin de funcionarios
desafos que enfrenta la regin en seguridad ciberntica son responsables a disposicin para consulta inmediata o asistencia
el desarrollo de capacidades en todos los pases, la mejora en caso de una emergencia.
de la cooperacin en delitos cibernticos y el intercambio de
informacin sobre mejores prcticas, amenazas y vulnerabilidades. En cuarto lugar, la regin se beneficiara de una formulacin
continua de estrategias nacionales de seguridad ciberntica. Ya ha
habido avances en este sentido, pero este progreso no es universal.
OBSERVATORIO DE LA
CIBERSEGURIDAD 5
El contar con una estrategia aporta cierto grado de organizacin
y coherencia a los esfuerzos nacionales y ofrece transparencia
y seguridad tanto para ciudadanos como para pases vecinos. El James Andrew Lewis
desarrollo de una estrategia es, por supuesto, una prerrogativa
nacional, pero hay muchas ventajas en un enfoque de colaboracin Director y Miembro Senior, Programa Estratgico
para el debate y desarrollo de este tipo de estrategias. de Tecnologas
Centro de Estudios Estratgicos e Internacionales
Se pueden describir brevemente los elementos generales de
una estrategia nacional. Los pases necesitan un rgano de James Andrew Lewis es miembro senior y
coordinacin en las oficinas de la Presidencia o del Primer director de programa del Centro de Estudios
Ministro para supervisar la aplicacin, coordinar las gestiones Estratgicos e Internacionales (CSIS). Antes de
de las entidades y, a veces, resolver disputas. La estrategia vincularse a CSIS, trabaj en los Departamentos
debe asignar responsabilidades para la seguridad ciberntica de Estado y Comercio como oficial del Servicio
entre los ministerios pertinentes y estos ministerios deben Exterior y como miembro del Servicio Ejecutivo
desarrollar fuertes lazos con el sector privado para crear Senior. Su experiencia en el gobierno incluye el
un enfoque de colaboracin, en particular con la energa trabajo en temas poltico-militares de Asia, como
elctrica, las telecomunicaciones y las finanzas. Los gobiernos negociador en materia de armas convencionales
nacionales necesitan organizaciones de seguridad ciberntica y transferencia de tecnologa, y sobre tecnologas
adecuadamente atendida que incluyan como mnimo un CERT militar y de inteligencia. Lewis encabez la
nacional y polica cibernticamente capaz. Por ltimo, debe delegacin de Estados Unidos al Grupo de Expertos
haber un esfuerzo para generar la confianza y relaciones de del Arreglo de Wassenaar en tecnologas civiles y
cooperacin con los pases vecinos y que contribuya al esfuerzo militares avanzadas y fue el ponente del Grupo
global para hacer que el ciberespacio sea ms seguro. La creacin de Expertos Gubernamentales de las Naciones
de capacidad sigue siendo esencial y todas las naciones se Unidas en Seguridad de la Informacin en sus
benefician del intercambio de mejores prcticas y de informacin exitosas sesiones de 2010 y 2013. Fue asignado
sobre amenazas y vulnerabilidades. Tener una estrategia nacional al Comando Sur de los Estados Unidos para la
es esencial para la generacin de confianza y seguridad entre Operacin Causa Justa, el Comando Central de
las naciones de la regin. Estados Unidos para la Operacin Escudo del
Desierto, y a la Fuerza Especial de Centroamrica
Ha habido un buen avance, pero los gobiernos ignoran la de Estados Unidos. Desde que lleg al CSIS, Lewis
seguridad ciberntica, lo cual es muy riesgoso. A medida que todas ha escrito numerosas publicaciones. Su trabajo
las sociedades se vuelvan ms dependientes de las mquinas ms reciente se centra en la seguridad ciberntica,
y las redes soportadas por computadores (y esto es inevitable incluyendo el best-seller Seguridad ciberntica
ya que las computadoras estn incrustadas en los objetos de para la 44a Presidencia, que fue elogiado por el
uso cotidiano, tanto en los automviles como en maquinaria presidente Obama. Lewis recibi su Ph.D. de la
industrial), la necesidad de adelantar acciones crecer. En esto, Universidad de Chicago.
el Hemisferio Occidental ha avanzado mucho, pero an queda
mucho trabajo por hacer.
CSIS | Centro de Estudios Estratgicos e Internacionales

www.csis.org
contact@csis.com
6
Seguridad ciberntica, privacidad
y confianza: tendencias en Amrica
Latina y el Caribe. El camino a seguir
FGV | Fundacin Getlio Vargas
Marlia Maciel, Nathalia Foditsch, Luca Belli y Nicols Castelln
Introduccin: cuestiones fundamentales en juego las ramas de inteligencia del gobierno3. Sin embargo, cuando las
estrategias de seguridad ciberntica se centran exclusivamente
Los objetivos de las estrategias de seguridad ciberntica son por en asuntos militares y de inteligencia, es posible que no alcancen
lo general dos: i) proteger a la sociedad frente a las amenazas un equilibrio adecuado entre la seguridad y los derechos, tales
cibernticas; y ii) fomentar la prosperidad econmica y social en como la privacidad y la libertad de expresin y de asociacin.
un contexto en el que las principales actividades se basan en el uso
de Tecnologas de la Informacin y de la Comunicacin (TIC). Con Cuantos ms datos se intercambian con el uso de las TIC, ms
el fin de alcanzar plenamente estos objetivos, las estrategias de surgen preocupaciones de seguridad y privacidad cibernticas.
seguridad ciberntica nacional deben armonizarse con los valores Por otra parte, la tendencia cada vez mayor de tener requisitos
y derechos fundamentales, tales como la privacidad, la libertad de de retencin de datos obligatorios que se justifican en virtud
expresin y el debido proceso, as como con los principios tcnicos de razones de seguridad puede entrar en conflicto con la
clave que han permitido la innovacin en Internet, tales como privacidad, el anonimato y la libertad de expresin, si los lmites
la apertura, la universalidad y la interoperabilidad1. El respeto de retencin de datos y el uso de los datos conservados no se
de los derechos humanos y de estos principios arquitectnicos basan en principios, como la necesidad, proporcionalidad y el
es clave para fortalecer la confianza y fomentar el crecimiento debido proceso.
econmico.
Tendencias a nivel de Amrica Latina y el Caribe
El respeto de los derechos humanos La conciencia de la importancia de desarrollar estrategias de

seguridad ciberntica est aumentando entre los pases de la
y de estos principios arquitectnicos regin de Amrica Latina y del Caribe (ALC). Algunos de ellos ya
tienen una estrategia en operacin, como Colombia, Jamaica,
es clave para fortalecer la confianza Panam y Trinidad y Tobago. Otros pases estn en proceso
y fomentar el crecimiento econmico. de su desarrollo, como Costa Rica, Dominica, Per, Paraguay y
Suriname. El nivel de madurez de estas estrategias vara, incluso
en trminos de proporcionar un marco para la cooperacin
entre los organismos gubernamentales y con actores externos.
En las regiones desarrolladas del mundo, las estrategias de En la regin de ALC, el ejrcito y las entidades de seguridad
seguridad ciberntica tienen un enfoque integral, que abarca nacional no han sido ampliamente establecidos como
aspectos econmicos, sociales, educativos, jurdicos, de aplicacin coordinadores del desarrollo de la poltica de seguridad
de la ley, tcnicos, diplomticos, militares y relacionados con la ciberntica. Esto proporciona una ventana de oportunidad
inteligencia2. Las consideraciones de soberana en la formulacin positiva para desarrollar polticas de seguridad ciberntica
de polticas de seguridad ciberntica son cada vez ms relevantes en plataformas de mltiples partes interesadas, incluidas las
y se puede notar una mayor participacin de los militares y de diferentes ramas gubernamentales, la academia, la comunidad
OBSERVATORIO DE LA
CIBERSEGURIDAD 7
8
tcnica, la sociedad civil y el sector privado. Los pases de de Amrica Latina, las consecuencias de no protegerla puede
ALC podran avanzar hacia un nuevo concepto de seguridad afectar la confianza de las actividades en lnea, que tiene
ciberntica que no se deriva solamente de los dominios militares consecuencias potencialmente negativas para la economa de
y de defensa, sino tambin de los derechos humanos. Internet y en la sociedad en su conjunto.
La cooperacin entre mltiples interesados es notable en En su estudio de 2014 titulado, Amrica Latina y la proteccin de
muchos pases de ALC. Se puede encontrar, por ejemplo, en la datos personales: hechos y cifras (1985-2014), Nelson Remolina
creacin de Equipos de Respuesta a Incidentes de Seguridad Angarita encontr que el 70% de los pases de Amrica Latina
Informtica (CSIRT), que se han generalizado en toda la regin. tienen algn tipo de proteccin de datos en sus constituciones6.
La colaboracin entre los CSIRT nacionales ha permitido el Por otra parte, distintos pases, por ejemplo, Antigua y Barbuda,
intercambio de conocimientos y buenas prcticas, lo que ha Argentina, Colombia, Costa Rica, Mxico, Per y Uruguay, ya
llevado a la creacin de sistemas de comunicacin ms seguros y han promulgado leyes de proteccin de datos y otros, como
robustos. La mejora de las capacidades nacionales es importante Brasil7, estn en proceso de redaccin de estas. A pesar de esto,
para aumentar la confianza en los servicios digitales pblicos la retencin de los datos obligatorios es una prctica cada vez
y privados, que allanan el camino para una economa digital ms utilizada en la regin y, en muchos casos, se pueden obtener
emergente y la gobernanza electrnica fiable. datos almacenados sin una orden judicial.
La retencin de datos puede ser necesaria en algunos casos para

reunir pruebas y para permitir que se realice la investigacin
de delitos cibernticos. Sin embargo, la recoleccin de datos
Tambin es necesario equilibrar los personales con fines de investigacin debe limitarse a lo
estrictamente necesario para la prevencin de un peligro real
costos y los beneficios de contar con o para la supresin de un delito especfico8. Por lo tanto, la
disposiciones de retencin de datos. recopilacin de datos en gran volumen es contraria a esta
disposicin. Aunque las legislaciones nacionales regulan an
ms los casos especiales, esto se debe hacer de una manera
que no menoscabe estos principios bsicos. El procesamiento
de la informacin tambin debe ser adecuado, pertinente
Una de las principales preocupaciones planteadas en los pases de y no excesivo en relacin con el propsito para el que fue
ALC ha sido la definicin y penalizacin de los delitos cibernticos4, almacenada9. Si no se establecen lmites para la retencin de
ya sea por la creacin de nuevas leyes o actualizacin de las datos, se seguirn reduciendo las reglas de privacidad y esto
ya existentes. Brasil ofrece un caso interesante. Un proyecto puede poner en grave peligro los derechos fundamentales de
de ley draconiana que contiene disposiciones de delincuencia los usuarios de Internet. Por otra parte, esto podra representar
ciberntica se propuso ante el Congreso5 y tuvo una fuerte una carga regulatoria costosa para las empresas, especialmente
oposicin por parte de los acadmicos y la sociedad civil. El las pequeas y medianas. Los siguientes son algunos ejemplos
gobierno estaba convencido de que, en lugar de una ley penal, de cmo se aplican estas disposiciones en la regin.
Brasil necesitaba definir los derechos y responsabilidades de
los usuarios de Internet. Esto culmin en la aprobacin del En Argentina, una ley10 fue impugnada ante la Corte Suprema,
Marco Civil de Internet, que trata temas como la proteccin de debido a que autoriz la interceptacin de telfonos y
los derechos fundamentales en lnea, la neutralidad de la red, comunicaciones electrnicas sin contar con directrices para
la responsabilidad de los intermediarios, las responsabilidades la aplicacin de las disposiciones11. Adems, se requiere que
del sector pblico y la retencin de datos. los datos se almacenen durante 10 aos. La ley fue declarada
inconstitucional por la Corte Suprema en 2009.
Otra tendencia regulatoria en la regin de ALC es una creciente
preocupacin por la proteccin de la privacidad en lnea y los En Brasil, el Marco Civil de Internet12, promulgado en 2014, ha
datos personales. Despus de las revelaciones de Snowden, sido considerado como un documento de avanzada que protege
en 2013, la conciencia de la interseccin entre la seguridad los intereses de los ciudadanos. No obstante, sus disposiciones
ciberntica y los datos personales ha quedado ms clara, ya que relativas a la retencin obligatoria de datos posiblemente podran
se trataba de comunicaciones electrnicas diarias. A medida que inclinar la balanza hacia las preocupaciones de seguridad sobre
Internet se ha vuelto esencial para el desarrollo socioeconmico la privacidad y las libertades civiles. Segn el Marco Civil, los
OBSERVATORIO DE LA
CIBERSEGURIDAD 9
registros de servicios y aplicaciones deben ser almacenados Definir y hacer cumplir los marcos regulatorios de proteccin
durante seis meses, mientras que los registros de conexin deben de datos y privacidad acertados
almacenarse durante un ao13.
Es esencial equilibrar la provisin de seguridad con la necesidad
de salvaguardar adecuadamente los derechos de los individuos. La
En Mxico, se promulg en 2014 una ley de telecomunicaciones 14
aprobacin y aplicacin de los marcos de privacidad y proteccin
con diferentes disposiciones de retencin de datos. Las
de datos acertados ayudan a lograr este objetivo. Tambin es
autoridades pblicas pueden acceder a datos retenidos sin una
necesario equilibrar los costos y los beneficios de contar con
orden judicial. Por otra parte, algunos datos deben almacenarse
disposiciones de retencin de datos. Mientras que grupos de la
24 meses. Esto corresponde a un aumento de 12 meses en
comparacin con la norma que ya operaba. sociedad civil estn preocupados por cuestiones de privacidad,
la industria se preocupa por la carga normativa que tiene que
enfrentar, lo que se traduce en mayores costos para operar sus
negocios. Deben utilizarse los principios como la necesidad y
proporcionalidad para evaluar lo adecuado de estas disposiciones.
Es importante crear canales

La creacin de plataformas nacionales multisectoriales
para una cooperacin a varios niveles sostenibles
entre los gobiernos nacionales Es importante tener en cuenta los diferentes aspectos y
consecuencias, as como la viabilidad tcnica de la promulgacin
y las organizaciones internacionales de nuevas regulaciones. Grupos de la sociedad civil, la academia
regionales y mundiales que trabajan y la comunidad tcnica, as como representantes de la industria
pueden proporcionar valiosa experiencia desde sus perspectivas,
en el campo. y ayudar a disear un marco reglamentario racional de una
manera sostenible. Estas redes de mltiples partes interesadas
podran ayudar a desarrollar un enfoque con visin de futuro
para la seguridad ciberntica en la regin, que tiene en cuenta
los avances tecnolgicos, como dataficacin, grandes datos y la
En Paraguay, un proyecto de ley conocido como pyraweb15 Internet de las cosas, y que tiene en cuenta el impacto de estas
requiere proveedores de servicios de Internet para almacenar los tecnologas en la seguridad y privacidad.
metadatos de un ao16. Por otra parte, las autoridades pblicas no
necesitaban una orden judicial para solicitar los datos. Despus
de enfrentarse a la presin poltica de los grupos de la sociedad Fortalecimiento de la cooperacin internacional
civil, el proyecto de ley fue rechazado por el Senado.
La seguridad ciberntica se ha ido integrando cada vez ms en
el plano internacional17. Es importante crear canales para una
cooperacin a varios niveles entre los gobiernos nacionales y
las organizaciones internacionales regionales y mundiales que
El camino a seguir
trabajan en el campo. Fortalecer la cooperacin regional tambin
puede facilitar la inclusin significativa de los pases de la regin
Teniendo en cuenta las tendencias descritas en este documento,
en las discusiones globales en curso. La naturaleza sin fronteras de
as como la necesidad de proteger el pleno disfrute de los derechos
Internet aumenta la importancia de la cooperacin internacional
humanos de los usuarios de Internet, se pueden hacer algunas
y la armonizacin de los marcos legales.
recomendaciones. Estas recomendaciones no abarcan la amplia
gama de cuestiones relacionadas con el equilibrio entre la
seguridad y la proteccin de los derechos humanos. Sin embargo,
se abordan algunos puntos fundamentales a tener en cuenta
por los pases dispuestos a salvaguardar los derechos, mientras
abordan problemas de seguridad importantes.
10
Conclusin
6. Remolina Angarita, Nelson. Aproximacin constitucional de la
proteccin de datos personales en Latinoamrica. Universidad
Este documento presenta una breve descripcin de cmo los de los Andes, 2014. http://habeasdatacolombia.uniandes.edu.
pases de Amrica Latina han abordado la interaccin entre la co/wp-content/uploads/7_-Nelson-Remolina.pdf
seguridad ciberntica y los derechos fundamentales, centrndose
7. Vase http://participacao.mj.gov.br/dadospessoais/
en particular en el derecho a la privacidad y a la proteccin de
datos personales. Tambin ofrece sugerencias sobre el camino 8. Consejo de Europa. Comit de Ministros. Recomendacin
a seguir, tales como el desarrollo de marcos de privacidad NR (87) 15 por medio de la cual se regula el uso de los datos
y proteccin de datos adecuados, el fortalecimiento de la personales en el sector de la polica.
cooperacin internacional y la creacin de marcos claros para
9. Consejo de Europa. Convenio para la proteccin de las personas
la colaboracin entre las partes interesadas. Es esencial fomentar en relacin con tratamiento automtico de datos personales.
el desarrollo de mecanismos de gobernanza democrtica ETS 108, en el artculo 5.
apropiados, a nivel nacional e internacional, sobre la base de
un esfuerzo multisectorial. 10. Ley 25.873 y Decreto 1563/04.
11. Corte Suprema de la Repblica de Argentina. Halabi, Ernesto

c / PEN ley 25.873 y decreto 1563/04 s / amparo. Disponible
en http://defensoria.jusbaires.gov.ar/attachments/1126_
escuchas%20telefonicas%20-%20Ley%20Espia.pdf.
12. Ley 12.965/14.
13. Vanse los artculos 13 a 15 de Ley 12.965/14.
14. Ley de Telecomunicaciones y Radiodifusin, 2014.
15. La palabra pyraweb alude a los informantes de los tiempos

de la dictadura (pyrague, en guaran - una lengua indgena).
16. El proyecto de ley se encuentra disponible en http://odd.senado.

gov.py/archivos/file/Proyecto%20de%20Ley8.pdf
17. La seguridad ciberntica es una de las prioridades identificadas

en el proceso decenal de examen de los resultados de la
Cumbre Mundial sobre la Sociedad de la Informacin (CMSI). La
Visin CMSI + 10 hizo nfasis en la complementariedad entre
la seguridad y la privacidad y defini que la construccin de la
confianza y seguridad en la utilizacin de las TIC, especialmente
en temas como la proteccin de datos personales, la
privacidad, la seguridad y la solidez de las redes, debe ser
Notas una de las prioridades ms all de 2015. En diciembre de
2013, la Asamblea General de las Naciones Unidas aprob la
1. DAIGLE, Leslie. On the Nature of the Internet. Global resolucin 68/167, que expresa su profunda preocupacin por
Commission on Internet Governance Paper series N.7. el impacto negativo que la vigilancia e interceptacin de las
Marzo de 2015. https://www.cigionline.org/sites/default/ comunicaciones pueden tener en los derechos humanos. La
files/gcig_paper_no7.pdf Resolucin 69/166, aprobada en 2014, se basa en la anterior,
pidiendo el acceso a un recurso efectivo para las personas
2. OECD. Cyber security policy making at a turning point: cuyo derecho a la privacidad ha sido violado. El 26 de marzo
Analyzing a new generation of national cybersecurity strategies de 2015, el Consejo de Derechos Humanos cre el mandato
for the Internet economy. OCDE, 2012, p. 12. de un Relator Especial sobre el Derecho a la Privacidad. Sin
embargo, la cooperacin intergubernamental en materia
3. Id, p. 14. de ciberseguridad sigue fragmentada a travs de diferentes
organismos y foros en las Naciones Unidas. En paralelo, una
4. OAS; Symantec. Tendencias de Seguridad Ciberntica en Conferencia Mundial sobre el Espacio Ciberntico (GCCS)
Amrica Latina y El Caribe, 2014. http://www.symantec.com/ anual, conocida como el Proceso de Londres ha reunido a
content/es/mx/enterprise/other_resources/b-cyber-security- los gobiernos y otras partes interesadas para discutir temas
trends-report-lamc.pdf en una amplia gama de asuntos relacionados con la seguridad
ciberntica.
5. Proyecto de Ley 84/99
OBSERVATORIO DE LA
CIBERSEGURIDAD 11
Marlia Maciel
Investigadora y coordinadora del Centro de
Tecnologa y Sociedad de la Escuela de Derecho
de la Fundacin Getlio Vargas en Ro de Janeiro.
Es concejal en la Organizacin de Apoyo para
Nombres Genricos (GNSO) de la ICANN en
representacin del Grupo de partes interesadas
no comerciales (NCSG). Es miembro de la Junta
Consultiva sobre la seguridad en Internet,
creado bajo el Comit Gestor de Internet en
Brasil. Asimismo, est realizando el doctorado
en Relaciones Internacionales de la Pontificia
Universidad Catlica (PUC de Ro de Janeiro).
Nathalia Foditsch
Investigadora en el Centro de Tecnologa
y Sociedad de la Escuela de Derecho de la
Fundacin Getlio Vargas en Ro de Janeiro. Ha
trabajado para organizaciones internacionales,
el Gobierno Federal de Brasil, as como firmas de
abogados y grupos de reflexin sobre las leyes
de comunicacin y asuntos de poltica. Foditsch
es abogada licenciada y tiene ttulo de maestra
en Derecho y en Polticas Pblicas, ambas de la
Universidad Americana.
Luca Belli
Investigador en el Centro de Tecnologa y Sociedad
de la Escuela de Derecho de la Fundacin Getlio
Vargas en Ro de Janeiro. Tiene un doctorado
en Derecho Pblico de la Universidad Panthon
Assas (Pars II) y es fundador y coordinador de
la Coalicin Dinmica sobre Neutralidad en
Internet, as como de la Coalicin Dinmica sobre
Responsabilidad de la Plataforma, componentes
de mltiples partes del Foro de Gobernanza de
Internet de las Naciones Unidas.
Nicols Castelln
Investigador visitante en el Centro de Tecnologa y
Sociedad de la Escuela de Derecho de la Fundacin,
en Ro de Janeiro. Se especializa en gobernanza
de la seguridad ciberntica, centrndose en las
FGV | Fundacin Getlio Vargas
infraestructuras crticas y usos humanitarios para
www.portal.fgv.br
grandes datos. Tiene una Maestra en Gestin de
marilia.maciel@fgv.br
Crisis y Seguridad de la Facultad de Gobernanza y
Asuntos Globales de la Universidad de Leiden.
12
Creacin de la capacidad de respuesta
a incidentes en las Amricas
FIRST | Foro de Equipos de Seguridad y de Respuesta a Incidentes
Maarten Van Horenbeeck, Cristine Hoepers, Pete Allor
CERT-MX
Mxico
CSIRT-GT
Guatemala
SalCERT
El Salvador
TT-CSIRT
CSIRT-CR Trinidad
Costa Rica CSIRT-Panama VenCERT
Panam Venezuela
colCERT CSIRT.GY
Colombia Guyana
ecucert
Ecuador
PeCERT CERT.Br
Per Brasil
CSIRT-BO
Bolivia
CERT-PY
Un Equipo de Respuesta ante Incidentes de Seguridad Paraguay
Informtica (CSIRT, por sus siglas en Ingls) se define
como un equipo o una entidad dentro de una agencia que
proporciona servicios y apoyo a un grupo particular (la
comunidad de destino) con el fin de prevenir, manejar y CERTuy
responder a los incidentes de seguridad de la informacin. Uruguay
Estos equipos estn compuestos generalmente por
especialistas multidisciplinarios que actan de acuerdo ICIC-CERT
con los procedimientos y polticas predefinidos para Argentina
responder rpida y eficazmente a los incidentes de
seguridad y para reducir el riesgo de ataques cibernticos.
Hay cientos de CSIRT en el mundo que varan en su misin CSIRT-CL
y alcance. Una de las principales formas de clasificar a los Chile
CSIRT es agruparlos por el sector o la comunidad a los que
sirven. A continuacin se presentan algunos de los CSIRT
nacionales dentro de los Estados Miembros de la OEA.
OBSERVATORIO DE LA
CIBERSEGURIDAD 13
Introduccin ofrecen una mayor variedad de servicios, incluida la capacidad
de proporcionar informacin fidedigna sobre amenazas de
El Foro de Equipos de Seguridad y de Respuesta a Incidentes seguridad a las circunscripciones, el trabajo con vendedores y
(FIRST) es una asociacin mundial de equipos de respuesta a proveedores de servicios para asegurar un ecosistema de Internet
incidentes con miembros en ms de 70 pases, permitindoles ms saludable y el tener profundas habilidades de investigacin
responder de manera ms eficaz a incidentes de seguridad para analizar los ataques que son menos comprendidos. Esto
mediante la provisin de acceso a mejores prcticas, organizacin puede ser un gran desafo para los equipos menores de respuesta
de eventos y ofrecimiento de educacin para los Equipos de a incidentes.
Respuestas a Incidentes de Seguridad Informtica (CSIRT, por
sus siglas en ingls). Este documento explora algunas de las
experiencias que el FIRST ha tenido en la atencin a una amplia
variedad de circunscripciones, nuestro punto de vista de la Cumplimiento de estos desafos
capacidad de respuesta a incidentes y lo que las organizaciones
pueden hacer para mejorar el estado general de la seguridad Como tal, es importante para la comunidad de respuesta a
ciberntica en la regin. incidentes reconocer estas diferencias y trabajar sobre las
maneras de abordarlas. Dentro del FIRST vemos xito en estas
reas de la siguiente manera.
Un mundo cada vez ms complejo Los Equipos de Respuesta a Incidentes que responden pueden
hacer contacto con otros para mitigar ataques.
Cuando se estableci originalmente el FIRST en 1989, el mundo era
un lugar muy diferente del actual. En esos primeros aos nuestros Los CSIRT hablan el mismo idioma operativo y tienen
equipos miembros de respuesta a incidentes ya trataban con expectativas precisas sobre el uso de la informacin
incidentes complejos, pero el alcance y la cantidad de los sistemas proporcionada cuando trabajan con otro equipo durante un
afectados eran casi globalmente menores, en comparacin incidente.
con el presente. Se comenta que el gusano Morris, que en 1988
comenz a explorar la creciente red, afect alrededor del 10% La comunidad cuenta con las herramientas y tcnicas que
de Internet, o sea, unas 6.000 mquinas en total1. permiten el intercambio automatizado de informacin.
Los analistas aprovechan la informacin para comprender
Un traslado rpido al presente evidencia un gran nmero de verdaderamente las ramificaciones del incidente y toman las
asuntos complejos, que incluyen: decisiones acertadas para reducir los riesgos mientras mitigan
el ataque.
Grandes botnets de software malicioso, como Citadel, que
Microsoft Corporation estim haber infectado a ms de 1,9 Para llegar a este punto, vemos necesario el desarrollo de una
millones de clientes2. comunidad de CSIRT fuerte e incluyente, la disponibilidad de
formacin y educacin para los miembros de la comunidad y
Grandes ataques de Denegacin de Servicio Distribuido (DDoS) la necesidad de contar con prcticas estandarizadas dentro de
de hasta 500 Gbps3 que corren el riesgo de afectar los puntos esta comunidad.
de intercambio de Internet (IXP)4. Adems, estos ataques DDoS
se habilitan a travs de una inadecuada configuracin de miles La comunidad CSIRT no puede tener xito en el aislamiento.
de terminales, por lo que el problema se hace imposible de Uno de los aspectos interesantes de la regin de las Amricas
resolver por parte de una sola nacin u organizacin. es que existen grandes discrepancias en el conocimiento de
los asuntos de seguridad ciberntica entre los pases, tanto en
Ataques de cdigo malicioso complejos que aprovechan el gobierno como en la poblacin general. Se espera que esto
vulnerabilidades de da cero, apalancadas tanto en ataques muy contine a medida que ms usuarios nuevos entran en lnea y se
concretos como en actividades de delincuencia informtica. demuestra en tasas impresionantes de crecimiento de usuarios
en todo el continente. Las gestiones en seguridad deben incluir
Estos cambios requieren que se ajusten rpidamente los el desarrollo de una cultura de seguridad ciberntica, tal como
responsables de las respuestas a incidentes. Los equipos de lo propone la OEA5, lo que crea un ambiente frtil en el que
respuesta a incidentes con responsabilidad nacional cada vez puedan operar los CSIRT.
14
Las gestiones deben incluir la formacin de conciencia de en general y trabajar con todos. La confianza tambin est ligada
usuarios y operadores de Internet, el fomento de una estrecha a los servicios que un CSIRT ofrece. Cuando un CSIRT se centra
colaboracin pblico-privada con el sector privado, y el desarrollo correctamente en responder y mitigar un incidente, a menudo
de polticas apropiadas del delito ciberntico que apoyen y las corporaciones y organizaciones extranjeras confiarn ms
tengan en cuenta la privacidad. Adems la seguridad comienza en ellos y proveern mayor informacin para apoyar su misin.
con la conciencia y el uso de mejores prcticas en tecnologa. A Esta informacin puede limitarse cuando el CSIRT cumple un
este respeto la academia tiene un papel muy importante en la papel en la persecucin criminal o es parte de un servicio de
enseanza a los profesionales no especializados en seguridad inteligencia. El tipo de informacin proporcionada a cualquiera
sobre cmo construir tecnologas seguras. de estas organizaciones tiende a ser diferente y los roles, por lo
tanto, deben segregarse debidamente.
Arraigados en la comunidad
Desarrollo de capacidad
Idealmente, la comunidad de CSIRT debera lograr que cada
organizacin cuente con una capacidad de respuesta a incidentes Cuando existe una red de CSIRT, es importante la creacin
bien equipada. Puede ser un solo individuo o un equipo pequeo, continua de su capacidad. Vemos tres niveles diferentes de
pero cada organizacin debe poder asumir la responsabilidad mejoramiento en la prestacin de servicios de los CSIRT:
por el trfico que genera. Sin embargo dado el gran nmero de
redes y su respectivo crecimiento, esto podra considerase un Competencia - Puede usted hacerlo? Una competencia define
panorama ilusorio. Una alternativa es que cada pas desarrolle una actividad medible que puede ser desempeada como parte
su CSIRT de ltimo recurso6, un CSIRT que puede ser punto de las funciones y responsabilidades de una organizacin. Para el
de coordinacin para aquellas redes que puedan no tener un propsito del marco de servicios de los CSIRT, las competencias
equipo de respuesta a incidentes bien entrenado y directamente pueden definirse como los servicios ms amplios o como tareas,
accesible. Se debe entender bien que, al final, cada organizacin sub-tareas o funciones necesarias.
es responsable de su propia seguridad; un equipo nacional solo
puede apoyar en la coordinacin pero no podr desconectar Capacidad - Cunto puede usted hacer? La capacidad define
o investigar cada mquina comprometida. el nmero de ocurrencias simultneas de una competencia en
particular que una organizacin puede ejecutar antes de alcanzar
En 2014, el FIRST y el CERT.br lideraron una iniciativa dentro del alguna forma de agotamiento de recursos.
Foro de Gobernanza de Internet para el desarrollo de mejores
prcticas para la comunidad de los CSIRT. Un aspecto manifestado Madurez - Qu tan bien puede usted hacerlo? La madurez define
unnimemente dentro de la comunidad de participantes fue la el grado de eficacia con el que una organizacin ejecuta una
necesidad de desarrollar un CSIRT de ltimo recurso que salga competencia en particular dentro de la misin y las autoridades
de la comunidad, en lugar de ponerlo en marcha a travs de una de la organizacin.
decisin vertical del gobierno. Para garantizar la efectividad de
un CSIRT, la confianza es un requisito muy importante, y la nica Es necesario centrarse en cada uno de estos tres elementos a
manera de desarrollar confianza es a travs de un historial de fin de tener xito en el aumento de la eficacia de un programa
colaboracin y participacin en la comunidad de seguridad. Tiene de CSIRT.
una importancia menor que el CSIRT sea operado por el gobierno,
un proveedor de red, una entidad comercial o la academia, siempre En 2014 el FIRST lanz una iniciativa para poner en marcha un
y cuando se desarrolle en asociacin con toda la comunidad de programa de educacin impulsado por la comunidad7, el cual
trabajo en red y seguridad dentro de la regin. se encuentra desarrollando una lista autorizada de los servicios
ofrecidos por un CSIRT y pondr a disposicin, sin costo alguno, un
No puede subestimarse la necesidad de contar con CSIRT robustos currculo detallado para cada servicio. Esta iniciativa es apoyada
en empresas, la academia y el gobierno. Los gobiernos tienen un por varios CSIRT nacionales, incluyendo el CERT.br as como varias
importante papel que desempear en motivar el desarrollo de organizaciones internacionales, como OEA, y se espera que haga
estos equipos, as como percatarse que no pueden imponer la entrega de materiales de formacin inicial a finales de 2015.
confianza que les permita alcanzar sus metas: deben identificar
quin les otorga la confianza, fomentar su crecimiento para el pas
OBSERVATORIO DE LA
CIBERSEGURIDAD 15
Normas y estandarizacin Se alienta a las organizaciones que tienen una posicin nica
en la aportacin de financiamiento para estos esfuerzos, como
Un rea adicional de inversin para la comunidad de respuesta el Banco Interamericano de Desarrollo (BID), a que consideren
a incidentes es la estandarizacin de procedimientos y trabajo brindar apoyo a estos proyectos de respuesta a incidentes. Al final,
en normas abiertas. Hay una necesidad imperiosa de contar con los CSIRT limitarn las prdidas que le causar la delincuencia
normas que permitan que los equipos de respuesta a incidentes ciberntica a la economa local y pueden ser una fuerza muy
intercambien datos durante un incidente, o lleguen a acuerdos importante para el bienestar de una comunidad en desarrollo.
sobre los mtodos adecuados para gestionar un determinado tipo Animamos a que estas organizaciones comprendan bien el tipo
de incidente. Las normas les permiten a los equipos aprovechar la de servicios que son verdaderamente valiosos, como el apoyo a la
confianza que han construido entre ellos y asignar a sus analistas capacidad central de respuesta a incidentes, en lugar de respaldar
para la solucin de problemas difciles. gestiones ms costosas y menos eficaces como la vigilancia a gran
escala de redes de usuarios finales. El FIRST espera contribuir a
Aqu vemos una necesidad de que la comunidad considere la estas valoraciones a travs de la publicacin de nuestra lista de
adopcin de normas de intercambio de informacin, tales como servicios del CSIRT actualizada a finales de 2015.
STIX (Structured Threat Information eXpression en ingls) y
TAXII (Trusted Automated Exchange of Indicator Information
en ingls), as como las normas para definir adecuadamente
el riesgo de una vulnerabilidad particular, como el CVSS Conclusin
(Common Vulnerability Scoring System en ingls). El FIRST
ha apoyado estas y otras normas tiles mediante el patrocinio La comunidad de respuesta a incidentes est experimentando
de su desarrollo8, como es el caso del CVSS, o el trabajo con cambios significativos debido a los cambios en los tipos y
nuestros miembros para organizar cursos de formacin en la complejidad de los ataques que necesita combatir. En las
enseanza de prcticas estandarizadas. Amricas, no es muy uniforme la madurez de sus capacidades
y hay necesidad de mejoras. Este documento describe una serie
de reas centrales clave para los gobiernos de la regin y espera
informar cmo se encuentra actualmente la comunidad en el
Prximos pasos para la comunidad proceso de abordarlas y dnde hay necesidad de asistencia.
Identifica cmo los gobiernos pueden beneficiar mejor a la
Hay mucho trabajo por hacer para garantizar un mayor desarrollo comunidad mediante la identificacin de brechas y la motivacin
de una Internet segura para los usuarios en las Amricas y este de mecanismos existentes para mejorar su competencia o aadir
trabajo es ms importante cada da como consecuencia de servicios y objetivos adicionales para satisfacer las necesidades
las altas tasas de crecimiento en la adopcin de Internet. Los de seguridad estratgica de sus economas.
gobiernos tienen la oportunidad de motivar al sector privado, la
sociedad civil y la academia en el desarrollo de una capacidad de
respuesta a incidentes dentro de su sector y dentro de cada una de
las organizaciones. Adems, los gobiernos deben garantizar que
entre los equipos con responsabilidad nacional exista un CSIRT
de ltimo recurso para su pas, que activamente genere confianza
con cada una de estas organizaciones y tenga la capacidad, no
de decidir en su nombre, sino ms bien de coordinar todos los
sectores cuando ocurra un incidente.
La OEA desempea un papel nico en su capacidad para convocar

a los gobiernos de la regin para reunirse y hablar de estos temas.
En 2015 el FIRST firm un Memorando de Entendimiento con
la OEA9, en el que respaldamos el papel importante de la OEA
en la ayuda al fortalecimiento de la capacidad de respuesta a
incidentes en la regin. El FIRST espera poder proporcionarle a
la OEA el apoyo de la comunidad tcnica y nuestros esfuerzos
de educacin en el logro de estos objetivos.
16
Cristine Hoepers nacionales, infraestructuras crticas, empresas
y formacin no gubernamental o programas
Gerente General de CERT.br, el CERT Nacional
universitarios. Trabaja para IBM Security como
brasileo, mantenido por NIC.br, del Comit
su jefe estratega de seguridad para gestin
Gestor de Internet en Brasil. Es graduada en
de productos y se ocupa de cuestiones de
Ciencias de la Computacin y tiene un doctorado
coordinacin de divulgacin para investigadores
en Informtica Aplicada. Ha estado trabajando
IBM X-Force. Es el responsable de la alineacin de
con la Gestin de Incidentes en CERT.br desde
productos y servicios de IBM para las necesidades
1999, donde ayuda en el establecimiento de
del cliente a nivel mundial incluyendo al
nuevos CSIRT en el pas, ofrece capacitacin
gobierno, la Internet de las Cosas y SCADA, as
en seguridad de la informacin y el manejo
como dispositivos mdicos. Es miembro del
de incidentes, y desarrolla mejores prcticas
Comit Ejecutivo del Consejo de Coordinacin
en materia de administracin del sistema y
Sectorial de la Tecnologa de la Informacin (IT-
sensibilizacin de los usuarios. Es Presidenta del
SCC), que trabaja en el sector privado en aportes
Grupo de Inters Especial (SIG) Botnet de FIRST
de poltica y estrategia al Gobierno de Estados
y miembro del Consejo Asesor del Proyecto
Unidos. Es tambin miembro de la Junta del
AMPARO de LACNIC. En el pasado se desempe
Consorcio de la Industria para la Promocin de la
como miembro del Comit Directivo de FIRST,
Seguridad en Internet (ICASI.Org). Es miembro de
miembro del Grupo de Expertos de Alto Nivel de
la norma Inteligencia de la Amenaza ciberntica
la Unin Internacional de Telecomunicaciones
OASIS para actualizar STIX/TAXII y CyBox.
(UIT) y fue uno de los representantes brasileos
Tambin forma parte del Comit de Direccin de
en la Red Hemisfrica de la OEA de CSIRT.
la Norma de Ciberseguridad de la Sociedad de
Es profesora autorizada para dictar los cursos Tecnologa de la Diabetes para Dispositivos de
del Programa de CERT, del Software Engineering Diabetes Conectados.
Institute (SEI) de la Universidad Carnegie Mellon y
ha participado como conferencista y moderadora
en varios foros como la UIT, la OEA, Anti-Phishing Maarten Van Horenbeeck
Working Group (APWG), Foro para la Gobernanza
Director del Foro de Equipos de Respuesta a
de Internet (FGI), Plan de Accin de Londres, del
Incidentes de Seguridad (FIRST), la principal
Messaging Anti-Abuse Working Group (MAAWG),
organizacin y lder mundial reconocido en
del Registro de Direcciones de Internet para
respuesta a incidentes. Se ha desempeado
Amrica Latina y Caribe (LACNIC, por sus siglas
como miembro del Consejo de Administracin
en ingls), FIRST y el Equipo de Respuesta ante
desde 2011 y fue Presidente de la organizacin
Emergencias Informticas de Australia (AusCERT),
de 2013 hasta 2015. Fuera de su trabajo para
en temas de manejo de incidentes, fraude por
FIRST, es Director de Seguridad para Fastly, una
Internet y correo basura, desarrollo de CSIRT y el
red de distribucin de contenidos que acelera los
uso de honeypots para identificar el abuso de la
sitios web y las API. Tiene 14 aos de experiencia
infraestructura de Internet.
profesional en seguridad de la informacin y
ha trabajado en los equipos de seguridad en
Amazon, Google y Microsoft. Centr gran parte
Peter Allor
de su carrera en la creacin de programas de
Director en la Junta del FIRST (Foro de Equipos respuesta a incidentes e inteligencia de amenazas,
de Respuesta a Incidentes de Seguridad). Ha especialmente orientados a la investigacin
sido miembro de esta organizacin mundial de y respuesta a los ataques dirigidos. Originario
primer nivel y reconocido lder para incidentes de Blgica, vive en San Francisco, California,
desde 2006 y durante los ltimos cinco aos se y cuenta con una maestra en Seguridad de la
desempe como Director Financiero y Tesorero, Informacin de la Universidad Edith Cowan de
trabajando los aspectos del negocio de FIRST. Australia Occidental.
Org, Inc. Ahora tiene el cargo de Copresidente
del Marco de Educacin de Servicios CSIRT,
impulsando la participacin global de los CSIRT
OBSERVATORIO DE LA
CIBERSEGURIDAD 17
FIRST | Foro de Equipos de Seguridad
y de Respuesta a Incidentes
www.first.org | first-sec@first.org
Notas
1. Denning (1999) en Marchette, David J. Computer Intrusion
Detection and Network Monitoring: A Statistical Viewpoint.
New York: Springer-Verlag.
2. Microsoft on the Issues (2013). Initial revelations and results

of the Citadel botnet operation. Consultado el 15 de julio de
http://blogs.microsoft.com/on-the-issues/2013/06/21/initial-
revelations-and-results-of-the-citadel-botnet-operation/.
3. Olson, Parmy (2014). The Largest Cyber Attack in History

Has Been Hitting Hong Kong Sites. New York: Forbes.
Consultado el 15 de julio de http://www.forbes.com/sites/
parmyolson/2014/11/20/the-largest-cyber-attack-in-history-
has-been-hitting-hong-kong-sites/.
4. Prince, Matthew (2013). The DDoS That Almost Broke The

Internet. Consultado el 12 de julio de https://blog.cloudflare.
com/the-ddos-that-almost-broke-the-Internet/.
5. Organizacin de los Estados Americanos (2014). A

comprehensive Inter-American Cybersecurity strategy: A
Multidimensional and Multidisciplinary Approach to Creating
a Culture of Cybersecurity. Consultado el 12 de julio de
http://www.oas.org/juridico/english/cyb_pry_strategy.pdf.
6. Foro de Gobernanza de Internet (2014). Best Practice

Forum on Establishing and Supporting Computer Security
Incident Response Teams (CSIRT) for Internet Security.
Consultado el 12 de julio de http://www.intgovforum.org/
cms/documents/best-practice-forums/establishing-and-
supporting-computer-emergency-response-teams-certs-
for-Internet-security/409-bpf-2014-outcome-document-
computer-security-incident-response-teams/file
7. FIRST (2015). FIRST develops framework for education

curriculum for global Computer Security Incident Response
Teams (CSIRTs). Consultado el 10 de julio de https://www.
first.org/global/education.
8. FIRST (2015). Common Vulnerability Scoring System v3.

Consultado el 16 de julio de https://www.first.org/cvss.
9. OEA (2015). OAS and FIRST Sign Agreement to Improve

Hemispheric Response to Cyber Incidents. Consultado
el 15 de julio de http://www.oas.org/en/media_center/
press_release.asp?sCodigo=E-190/15.
18
El estado actual de la legislacin
sobre el delito ciberntico
en Amrica Latina y el Caribe:
algunas observaciones
CoE | Consejo de Europa
Alexander Seger1
Marco legal sobre el delito ciberntico utilizada en las Amricas, que ayuda a los pases a cumplir
estos requerimientos.
y la evidencia electrnica: qu se necesita?
En referencia a la ley sustantiva, requiere que las partes penalicen
La efectividad de la justicia penal es parte esencial de una
el acceso ilcito, la interceptacin ilegal, la interferencia de
estrategia de seguridad ciberntica. Esto comprende la
datos, la interferencia de sistemas, el uso indebido de aparatos,
investigacin, la fiscalizacin y la adjudicacin de delitos en
la falsificacin informtica, el fraude informtico, la pornografa
contra y por medio de datos y sistemas informticos, al igual
infantil y delitos relativos a las infracciones en materia de
que la obtencin de evidencia electrnica relacionada con
derechos de autor y derechos relacionados.
cualquier delito, para propsitos del proceso penal. La naturaleza
transnacional del delito ciberntico y en particular la volatilidad
Cabe destacar que estas disposiciones por s solas o en
de la evidencia electrnica implican que la justicia penal no
combinacin todava se aplican para la generalidad de lo que
puede ser efectiva sin una cooperacin internacional eficiente.
constituye el delito ciberntico, an hoy, catorce aos despus
de la adopcin del Convenio, dado que han sido formuladas de
La legislacin integral, que incluye el derecho sustantivo (la
manera neutral desde el punto de vista tecnolgico. Las Notas
conducta a ser definida como delito) y el derecho procesal
Gua adoptadas por el Comit del Convenio sobre el Delito
(los poderes investigativos para la aplicacin de la ley), es
Ciberntico muestran cmo diversas disposiciones pueden ser
fundamental para que tenga lugar la respuesta de la justicia
utilizadas para tratar con las redes de bots, Ataques Distribuidos
penal. Tal legislacin debe cumplir con varios requisitos:
de Denegacin de Servicios (DDos, por sus siglas en ingls) y
otros fenmenos3.
Debe ser lo suficientemente neutral (tecnolgicamente)
como para responder a la evolucin constante del crimen y
Por supuesto, un acuerdo internacional siempre representa un
la tecnologa, ya que de no ser as corre el peligro de volverse
mnimo comn denominador y los Estados son libres de decidir
obsoleta para cuando entre en vigor.
si van ms all. No obstante, muchos Estados, inclusive en las
Amricas, a menudo enfrentan oposicin pblica al tratar de
Los poderes para la aplicacin de la ley deben estar sujetos
penalizar tipos de conducta adicionales.
a salvaguardias con el fin de garantizar el cumplimiento de
los requerimientos del Estado de derecho y de los derechos
El Convenio de Budapest comprende una variedad de poderes
humanos.
especficos de derecho procesal, tales como rdenes para la bsqueda,
captura, produccin de datos o la interceptacin de comunicaciones,
Debe operar con suficiente armona o por lo menos ser
as como el poder para ordenar la rpida conservacin de datos.
compatible con las leyes de otros pases para permitir la
Estos se refieren, de manera importante, a la evidencia electrnica
cooperacin internacional; por ejemplo, el cumplimiento con
asociada con cualquier tipo de delito. Deben ser delimitados bajo
la condicin de la doble criminalidad.
condiciones de Estado de derecho y salvaguardia.
A travs del Convenio de Budapest sobre el Delito Ciberntico2
Para finalizar, este tratado debe garantizar la efectiva
existe una directriz internacional, tambin ampliamente
cooperacin internacional en materia de delito ciberntico y
OBSERVATORIO DE LA
CIBERSEGURIDAD 19
Poltica
Legislacin
20
evidencia electrnica, mediante la combinacin de la asistencia Ley 53-07 de 2007 transpuso las disposiciones del tratado al
legal mutua tradicional con medios expeditos para conservar derecho interno, no solo en lo que respecta a la ley sustantiva,
datos en otro pas, esto ltimo con el soporte de una red de sino tambin a la ley procesal. Lo anterior es una situacin atpica
puntos de contacto que funcione las 24 horas todos los das de en Amrica Latina, donde se prefiere que los poderes procesales
la semana. De nuevo, el alcance de la cooperacin no se limita sean aplicados a la evidencia electrnica por analoga6.
al delito ciberntico, sino que incluye la cooperacin referente a
la evidencia electrnica que se halla en un sistema informtico En 2008, Argentina, por medio de la Ley 26.388, reform la ley
a propsito de cualquier delito. sustantiva penal en consonancia con el Convenio de Budapest.
En relacin con los poderes procesales, este Estado parece
El Convenio de Budapest, por lo tanto, puede servir de lista de enfrentar ciertas dificultades. Aparte del hecho de que Argentina
verificacin para el desarrollo de leyes internas sustantivas es una federacin donde la ley procesal es primordialmente
y procesales relativas al delito ciberntico y la evidencia materia de cada provincia, las reglas generales referentes a la
electrnica. Tal parece que ms de 130 Estados en el mundo lo evidencia se aplican por analoga a la evidencia electrnica.
han usado como directriz de una forma u otra. Sin embargo, el Este enfoque crea problemas en la prctica. En este pas el
Convenio en su totalidad es un documento balanceado, juicioso Congreso est considerando una reforma exhaustiva del Cdigo
y coherente y debe considerarse preferiblemente como un todo. de Procedimiento Penal. Queda por verse hasta qu punto
contendr las disposiciones especficas necesarias con respecto
Para los Estados que se convierten en Partes del Convenio, a la evidencia electrnica.
el tratado sirve como un marco legal para la cooperacin
internacional. El Convenio de Budapest est abierto a la adhesin Colombia enmend el Cdigo Penal en 2009 mediante la Ley
de cualquier Estado que est preparado para implementar sus 1273 y el Cdigo de Procedimiento Penal en 2011 mediante la
preceptos4. En efecto, varios pases de Amrica Latina y el Caribe Ley 1453. Por lo anterior la ley sustantiva parece estar en amplia
han decidido seguir este camino. armona con los estndares internacionales, es decir, con el
Convenio de Budapest. Disposiciones de derecho procesal ms
especficas pueden ser necesarias, incluyendo las enfocadas a
la rpida conservacin de datos.
La situacin en Amrica Latina y el Caribe
Costa Rica haba introducido resoluciones especficas referentes
Desde 2004, la OEA en particular la Reunin de Ministros de al delito ciberntico a travs de varias enmiendas al Cdigo
Justicia o de Fiscales Generales de las Amricas (REMJA/OEA) Penal desde 1999, y ms recientemente por medio de la Ley
y su Grupo de Trabajo en Delito Ciberntico ha alentado a sus 9048 (noviembre 2012), la Ley 9135 (abril 2013) y la Ley 9177
miembros a implementar los principios del Convenio de Budapest (noviembre 2013). Adicionalmente, se aplican leyes especiales,
sobre Delito Ciberntico y a considerar su adhesin al tratado5. por ejemplo, si los delitos involucran los computadores de
la administracin de impuestos o de la aduana. La Ley penal
Despus de la REMJA VI realizada en la Repblica Dominicana sustantiva parece estar en gran medida acorde con el Convenio de
en 2006, Costa Rica y Mxico solicitaron ingreso, despus de lo Budapest. Una ley complementaria sobre el acceso al Convenio
cual fueron invitados a acceder al mismo. A partir de entonces, ha sido sometida al Parlamento.
Argentina, Chile, Colombia, Panam, Repblica Dominicana y
recientemente, tambin Paraguay y Per han seguido su ejemplo. En Mxico las enmiendas a las leyes sustantivas y procesales
La Repblica Dominicana y Panam desde entonces han pasado estn a punto de concluir, lo cual permitir a este pas completar
a formar parte del Convenio de Budapest y se espera que otros el acceso al Convenio de Budapest sobre el Delito Ciberntico.
pases completen con prontitud los procedimientos domsticos Se logr amplio consenso entre los principales actores acerca
de acceso, similares al procedimiento para ratificar cualquier de la necesidad de estas reformas mediante una conferencia en
acuerdo internacional. Ciudad de Mxico del 31 de marzo al 2 de abril de 2014. Este
evento congreg a los poderes Ejecutivo, Legislativo y Judicial
Este proceso ha sido acompaado de reformas internas en del pas, as como a las autoridades en proteccin de datos,
derecho penal. He aqu algunos ejemplos de Amrica Latina. organizaciones de la sociedad civil y la industria. Varios pases
de Amrica Latina participaron y poco despus de terminada la
En 2013, Repblica Dominicana se convirti en el primer pas reunin, Paraguay y Per solicitaron el ingreso al Convenio de
de Amrica Latina que se adhiri al Convenio de Budapest. La
OBSERVATORIO DE LA
CIBERSEGURIDAD 21
Budapest. Este ejemplo subraya la necesidad de buscar amplio Al parecer, otros pases del Caribe estn encontrando problemas
consenso al emprender reformas legislativas. similares. Una de las razones puede ser la dependencia de modelos
o directrices7 que no han sido sometidos a prueba.
En Paraguay, la Ley 4439 de 2011 enmend el Cdigo Penal, el
cual ahora incluye la mayora de las disposiciones del Convenio
de Budapest. Se ha establecido un grupo de trabajo para preparar
reformas de derecho procesal. Conclusiones
En octubre de 2013, Per haba aprobado la Ley 30096 sobre La mayora de los Estados de Amrica Latina y el Caribe estn
Delitos Informticos, encontrando oposicin pblica respecto a comprometidos con un proceso de reforma legal para enfrentar
algunas de sus partes, debido a lo cual fue enmendada por la Ley el desafo que supone el delito ciberntico por medio de medidas
30171 de abril de 2014. Con esta medida, la ley penal sustantiva efectivas de justicia penal.
se encuentra ahora alineada en gran parte con el Convenio de
Budapest. Las herramientas especficas del derecho procesal para La OEA a travs de REMJA ha recomendado por ms de diez aos
manejar la evidencia electrnica no estn disponibles todava que sus Estados miembros utilicen el Convenio de Budapest sobre
y se utilizan otras disposiciones por analoga. el Delito Ciberntico como una directriz. El supuesto subyacente
es que la legislacin basada en este tratado se ha sintonizado lo
suficiente con los estndares internacionales como para permitir
la efectiva cooperacin internacional.
El Convenio de Budapest, por lo tanto, El Convenio de Budapest qued abierto para su firma en 2001,
puede servir de lista de verificacin pero sigue siendo de gran relevancia. El Comit del Convenio
sobre el Delito Ciberntico (www.coe.int/tcy), compuesto por los
para el desarrollo de leyes internas Estados del Convenio de Budapest incluyendo ahora la Repblica
Dominicana y Panam evala la implementacin del tratado por
sustantivas y procesales relativas las Partes, prepara Notas Gua para abordar nuevos fenmenos y
al delito ciberntico y la evidencia puede tambin preparar instrumentos legales adicionales, tales
como protocolos vinculantes. El Convenio y el trabajo del Comit
electrnica. reciben el apoyo de programas de formacin de capacidad (www.
coe.int/cybercrime). Este tringulo de estndares, seguimiento
y formacin de capacidad crea un proceso dinmico.
Las disposiciones de este tratado son difcilmente controversiales.

En muchos pases del Caribe se han emprendido tambin reformas Por consiguiente, es menos probable que su transposicin a la
legales o estn en curso. Algunos de ellos han usado la Ley Modelo ley interna encuentre oposicin si dichas disposiciones se siguen
del Commonwealth (2002). Barbados es un ejemplo; la Ley 2005-04 correctamente y con las debidas salvaguardias. Varios pases de
referente al Uso Indebido Informtico introdujo un marco legal Amrica Latina y el Caribe han enfrentado resistencia pblica
bastante completo ya en 2005, en relacin con el delito ciberntico importante al tratar de introducir poderes de derecho procesal
y la evidencia electrnica, incluyendo poderes de derecho procesal. y delitos ms all de la convencin.
Dado que la Ley Modelo del Commonwealth de 2002 se basaba
tambin en el Convenio de Budapest, el Artculo sobre Uso Indebido Muchos estados latinoamericanos han logrado adoptar
Informtico de Barbados parece estar en amplia consonancia con disposiciones de derecho penal sustantivo, basndose en gran
los estndares internacionales. medida en este tratado. El desafo principal de la regin parece
ser la adopcin de poderes especficos del derecho procesal.
Actualmente en Dominica, varios proyectos de ley estn Mientras que los cdigos de procedimiento penal tienden a ser
en discusin, entre ellos el proyecto de ley sobre delitos ms bien modernos, la aplicacin por analoga de disposiciones
electrnicos. Aparentemente, ahora se le est haciendo frente que funcionan bien en el mundo fsico o la dependencia del
a las inconsistencias, brechas y amenazas encontradas en un principio de libertad probatoria no son suficientes para abordar
proyecto anterior. los desafos especficos de la evidencia electrnica.
22
La bsqueda y captura de datos y computadores o la
interceptacin de comunicaciones para propsitos de
justicia penal representan una interferencia con los derechos
fundamentales de los individuos. Tal interferencia debe basarse
en disposiciones legales especficas. La adopcin de poderes de
derecho procesal, tales como los previstos por los Artculos 16 a 21
del Convenio de Budapest sujetos a condiciones y salvaguardias
ayudarn en el cumplimiento de los requerimientos del Estado
de derecho y de los derechos humanos.
En el Caribe, la adopcin de poderes de derecho procesal como

tal parece representar un inconveniente menor. Los problemas
parecen deberse a que los estndares internacionales no siempre
se siguen cuando se elaboran las leyes. A veces esto conduce
a inconsistencias, brechas, extralimitacin y amenazas a los
derechos humanos y al Estado de derecho.
Como se indic al principio, la legislacin integral es el

fundamento necesario para que la justicia penal d una respuesta
efectiva a los desafos planteados por el delito ciberntico y la
evidencia electrnica. Una gran variedad de medidas adicionales
para garantizar la aplicacin real de las leyes y la cooperacin
internacional eficiente sern necesarias, incluyendo unidades
especializadas en el delito ciberntico, de acuerdo tambin con
las recomendaciones del Grupo de Trabajo en Delito Ciberntico
de las REMJA/OEA8. Los fiscales especializados en Argentina
(Buenos Aires), Brasil, Chile o Paraguay parecen ser ejemplos
de buenas prcticas.
En conclusin, las recomendaciones de las REMJA/OEA respecto

de la reforma de la ley penal relativa al delito ciberntico y la
evidencia electrnica que datan de 2004 hoy en gran medida
siguen vigentes.
OBSERVATORIO DE LA
CIBERSEGURIDAD 23
Notas
1. Secretario Ejecutivo del Comit del Convenio sobre el Delito
Alexander Seger Ciberntico, Consejo de Europa, Estrasburgo, Francia. Las
opiniones aqu expresadas no necesariamente reflejan la
Secretario del Comit de la Convencin de posicin oficial del Consejo de Europa o de los Pases Partes
Delincuencia Ciberntica y Jefe de la Divisin de del Convenio de Budapest sobre el Delito Ciberntico.
Proteccin de Datos y Delincuencia Ciberntica 2. http://conventions.coe.int/Treaty/Commun/QueVoulezVous.

del Consejo de Europa, Estrasburgo, Francia. asp?NT=185&CM=8&DF=&CL=ENG
Ha trabajado con el Consejo de Europa 3. http://www.coe.int/t/dghl/cooperation/economiccrime/

(Estrasburgo, Francia) desde 1999. Actualmente Source/Cybercrime/TCY/Guidance_Notes/TCY(2013)29rev_
es el Jefe de la Divisin de Proteccin de Datos GN%20compilation_v3.pdf
y Delincuencia Ciberntica y el Secretario
4. Estados que participaron en la negociacin del Convenio
del Comit de las Partes en la Convencin de (Estados miembros del Consejo de Europa, Canad, Japn,
Budapest sobre Delincuencia Ciberntica. Antes Sur de frica y EE.UU.) pueden firmarlo y ratificarlo.
de octubre de 2011, Seger dirigi la Divisin Cualquier otro Estado puede convertirse en pas firmante
de Delitos Econmicos, donde se ocup de mediante el acceso. El resultado es el mismo.
los programas de cooperacin del Consejo de 5. http://www.oas.org/juridico/english/remjaV_recom.pdf

Europa contra el delito ciberntico, la corrupcin http://www.oas.org/juridico/english/moj_vi_recom_en.pdf
y el lavado de dinero. De 1989 a 1998 estuvo http://www.oas.org/en/sla/dlc/remja/pdf/recomm_IX.pdf
vinculado con lo que ahora es la Oficina de http://www.oas.org/juridico/english/cyber_experts.htm
Naciones Unidas contra la Droga y el Delito en 6. El Proyecto de Ley 4055 de Guatemala tambin comprende
Viena, Austria, en Laos (Jefe de la Oficina) y en poderes procesales inspirados en el Convenio de Budapest
Pakistn (Subdirector de la Oficina Regional aunque su adopcin sigue pendiente.
para Afganistn, Irn y Pakistn) y consultor
7. En diciembre de 2014 el Comit del Convenio sobre Delito
para la Cooperacin Tcnica Alemana (GTZ) en Ciberntico decidi sealar los riesgos e inquietudes
materia de control de drogas. Seger es alemn y relacionados con las llamadas leyes-modelo sobre delito
tiene un doctorado en ciencia poltica, derecho y ciberntico preparadas y diseminadas por diferentes
antropologa social, adems de haber realizado organizaciones. http://www.coe.int/t/dghl/cooperation/
economiccrime/Source/Cybercrime/TCY/2014/T-
estudios en Heidelberg, Burdeos y Bonn.
CY(2014)22_Plen12AbrRep_V5provisional.pdf
Ver tambin el informe sobre el documento de discusin

relacionado: http://www.coe.int/t/dghl/cooperation/
economiccrime/Source/Cybercrime/TCY/2014/3021_model_
law_study_v15.pdf
8. http://www.oas.org/juridico/PDFs/VIIIcyb_recom_en.pdf
CoE | Consejo de Europa

www.coe.int
alexander.seger@coe.int
24
Economa digital y seguridad
WEF | Foro Econmico Mundial
Consejo sobre la Agenda Global en Seguridad Ciberntica
Amrica Latina, el Caribe y el mundo ciberntico Latina y el Caribe deben seguir priorizando el desarrollo del
ciberespacio a fin de no quedarse por detrs de otras regiones
En el lapso de unas pocas dcadas, Internet, tambin conocido del mundo en su explotacin de oportunidades econmicas, as
como el ciberespacio, ha dado un salto de ser una plataforma como abordar los desafos de la seguridad ciberntica. Varios
desconocida, utilizada casi exclusivamente por acadmicos factores, incluyendo entornos polticos y reglamentarios, el nivel
y conocedores de tecnologa, a convertirse en una red de de habilidad de la fuerza laboral y el desarrollo de sistemas de
infraestructuras crticas, compitiendo en importancia con la innovacin, ponen a muchos pases de Amrica Latina y el Caribe
energa o el agua, y presente en casi todos los aspectos de detrs de naciones en niveles similares de desarrollo en el NRI.
nuestra vida cotidiana. Amrica Latina y el Caribe tambin han Brasil, la mayor economa de la regin, se ubica en el puesto 84
participado en esta transformacin ciberntica, y aunque la regin en disposicin en red a la par con la mayora de otras economas
est lejos de ser lder de la revolucin digital, ha logrado avances latinoamericanas medianas y grandes; no le va mucho mejor y
significativos en los ltimos aos. En el Networked Readiness hasta alcanza posiciones an ms bajas1. La clave para permitir
Index (NRI) de 2015 del Foro Econmico Mundial, un ndice que el futuro desarrollo en Amrica Latina y el Caribe es entender
mide la conectividad de las tecnologas de la informacin y la las tendencias en el ciberespacio y tener soluciones para lograr
comunicacin (TIC) a travs de una serie de factores que van un impacto potencial en la regin.
desde la gobernanza, al uso, al impacto econmico, 14 de los
23 pases de la regin incluidos en el estudio aumentaron sus
puntajes. Hay muchos ejemplos de gobiernos regionales que
han aceptado los retos y oportunidades en el ciberespacio. En Margen de mejora
2012, Costa Rica introdujo penas de delincuencia ciberntica
al cdigo penal de la nacin, y se estableci un organismo El estado actual de la economa digital en Amrica Latina y el
especializado para responder a las amenazas a la seguridad Caribe deja mucho que desear; se caracteriza por un retraso
ciberntica (y desde entonces ha subido 9 puntos en la NRI). general en calidad, por detrs de otras partes del mundo y con
Per tambin aprob recientemente unas leyes que incluyeron grandes variaciones en la regin. De acuerdo con el NRI, el 65%
la delincuencia ciberntica en el cdigo penal nacional, as como de Amrica Latina y el Caribe se ubica en la mitad ms baja de
una legislacin que establece normas legales de delincuencia la clasificacin, en comparacin con el 56% de Asia, el 52% de
ciberntica y proteccin de datos (que le ha significado al Oriente Medio y el Norte de frica y el 22% de Europa del Este.
Per subir 16 lugares en el NRI). La infraestructura regional El mejor clasificado de los pases de la regin, Chile (puesto 38),
ciberntica tambin se ha mejorado en la regin. Bolivia ms est casi 100 puestos por delante del pas clasificado como el ms
que duplic su cobertura de la red mvil entre 2007 y 2015, y bajo, Hait (puesto 137)2. Segn el Centro de Estudios Estratgicos
le signific un aumento en la clasificacin NRI en esta medida, e Internacionales, Amrica Latina tiene 300 millones de usuarios
desde el puesto 128 en 2012 a ocupar el primer puesto en de Internet, ms de la mitad de la poblacin de la regin3. Esta
2015. En solicitudes de patentes TIC per cpita del Tratado de cifra, sin embargo, oculta grandes disparidades en adopcin
Cooperacin de Patentes, Barbados pas de un puesto 34 en dentro de la regin. Segn el Informe Global de Tecnologa de
2012, que ya era respetable, a ubicarse en el sexto lugar en 2015, Informacin de 2015, la mayora de los pases de la regin se
justo por delante de Suiza, Estados Unidos, Holanda y Singapur, ubican en la mitad inferior del porcentaje de ciudadanos que
todos los pesos pesados de la tecnologa. Sin embargo, Amrica son usuarios de Internet. Incluso las grandes economas, como
OBSERVATORIO DE LA
CIBERSEGURIDAD 25
Mxico, Brasil, Argentina, Chile y Colombia, estn en la mitad casi todos los pases de la regin reconocen la necesidad de
del grupo, ya que solo el 43,5% de los mexicanos son usuarios de contar con una estrategia de seguridad ciberntica, muy pocos
Internet y solo el 30,7% de los hogares tienen acceso a Internet. han avanzado ms all de la etapa de tener un esquema. Solo
Es an inferior la participacin de gran parte de Amrica Central los pases ms grandes y ms ricos de la regin cuentan con
en el uso de Internet y en tasas de acceso. La disponibilidad distintas organizaciones dedicadas a la seguridad ciberntica e
de nuevas tecnologas tambin est rezagada con respecto a incluso donde estn presentes tales organizaciones, la disposicin
muchos otros pases que estn en el mismo nivel de desarrollo, general ciberntica todava permanece impedida por una falta de
donde muchas de las grandes economas estn en o por debajo coordinacin entre los sectores y organismos. El sector privado
de la media, y donde algunos pases llegan casi al final de la ha superado al gobierno, en general, en su reconocimiento de
clasificacin. Adems, mientras que las tasas de suscripcin de la importancia de la seguridad ciberntica, mientras que la
telefona mvil son ms altas que las de Estados Unidos, con la conciencia entre el pblico vara en toda la regin.
excepcin de Mxico, Guyana y Hait, la mayor parte de la regin
se ubica en la mitad ms baja en cuanto a las tasas de suscripcin La conciencia seguramente aumentar a medida que ms y ms
de banda ancha mvil de NRI. Sin embargo, y como reflejo de servicios gubernamentales se pasen a estar en lnea y se generen
una tendencia de los pases de bajos y medianos ingresos que ms conversaciones sobre las implicaciones de la seguridad. Esta
prefieren no tener conexiones de Internet fijas sino ms bien conversacin ya est en marcha en gran parte de la regin en
contar con Internet mvil, las tasas de suscripcin de banda lo que se refiere al comercio electrnico. Las cuestiones de la
ancha mvil son ms altas que las suscripciones fijas, y siguen privacidad en Internet han dado lugar a un mosaico de normas
creciendo. Algunos pases ya han adoptado vidamente la Internet y diferentes niveles de proteccin en toda la regin4.
mvil. Costa Rica, por ejemplo, tiene 9,7 suscripciones de banda
ancha fija por cada 100 habitantes, mientras que cuenta con Parte del problema con respecto a la escasez de concienciacin
se deriva de la falta de infraestructura educativa en seguridad
ciberntica. Pocos pases ofrecen programas de educacin a
nivel posgrado para la seguridad ciberntica, y los programas de
formacin profesional son ms comunes, pero varan en calidad.
Con todos estos acontecimientos, Adems, tienen el problema de la difusin de habilidades y la
infraestructura de formacin. Sin embargo, algo que resaltar
los riesgos cibernticos son cada es la cuestin legal y reglamentaria en seguridad ciberntica.
vez ms preocupantes y se estn Si bien existe una amplia variacin en la cantidad y calidad de
legislacin ciberntica, a la regin le va bien en temas sobre
convirtiendo en un factor de mayores los que est interesado el pblico con respecto a la seguridad
en Internet o sea, privacidad, proteccin de datos y derechos
consideraciones en seguridad y humanos. Las leyes y el procedimiento penal de delincuencia
formulacin de polticas econmicas. ciberntica estn bien desarrollados en la regin tambin. Sin
embargo, una importante rea con margen de mejora es la
capacidad de aprovechar las habilidades cibernticas en la
aplicacin de la ley, como se indica en los datos proporcionados
por los pases de Amrica Latina y el Caribe para este estudio.
72 suscripciones de banda ancha mvil por cada 100 usuarios.

Estrategias para el xito ciberntico
Con todos estos acontecimientos, los riesgos cibernticos son
cada vez ms preocupantes y se estn convirtiendo en un factor La diversidad de problemas que enfrentan la seguridad ciberntica
de mayores consideraciones en seguridad y formulacin de y la economa digital requieren un conjunto de respuestas
polticas econmicas. La conciencia de seguridad ciberntica ha innovadoras. El Informe Global de Tecnologa de la Informacin
ido creciendo a medida que se ha reconocido que las amenazas pone de relieve varias polticas gubernamentales sencillas que
y vulnerabilidades tienen el potencial de frenar la innovacin pueden ayudar a los residentes a aumentar su acceso a Internet.
y el avance de la economa basada en Internet, a la vez que Un enfoque es aumentar el uso gubernamental de las TIC como
ponen en riesgo a los individuos y las organizaciones. Si bien parte de la poltica estatal. Esto aumenta la competitividad en el
26
$
$
$$
OBSERVATORIO DE LA
CIBERSEGURIDAD 27
mercado de prestacin de servicios, lo que los obliga a innovar los incentivos de la industria para promover el pensamiento de
mientras simultneamente socializan la utilidad de Internet primero la seguridad para los vendedores de tecnologa. Se trata
entre los que deben utilizarla para interactuar con su gobierno. de guiar a los vendedores hacia la idea de que la seguridad de sus
El informe tambin recomienda apoyar a las empresas locales productos es igual de prioritaria a la velocidad o la calidad grfica.
de tecnologas de la informacin, una prctica que no solo Para poner en marcha este concepto, se estn manejando ideas
fomenta orgnicamente el desarrollo en TIC, sino que tambin como las siguientes: incentivar a los vendedores con una especie
desarrolla una industria que entiende la cultura local mejor, lo de ganancia adicional al contrato (como un pago al desarrollador
que en s mismo acelera la adopcin. En general, los resultados de software de una bonificacin si pasa un perodo de tiempo
indican que algunos elementos de xito comunes que respaldan definido sin que haya incidentes de seguridad ciberntica); o
la existencia de un gobierno electrnico eficaz y la mejora de impulsar la demanda desde el lado del cliente con algn tipo de
las economas son: el apoyo poltico por parte de los ms altos sello de aprobacin, similar a la designacin de sin crueldad en
niveles de autoridad, capital humano bien informado y bien los alimentos. Una vez ms, la inversin pblica y la participacin
situado (personas que no solo entienden el campo, sino que se en las industrias de TIC locales podran ser el catalizador que
pueden conectar con las autoridades adecuadas y comunicar se ocupa de este problema tambin. Los gobiernos suelen ser
eficazmente sus necesidades) y los recursos financieros (as como algunos de los mayores clientes de algunos proveedores, y sus
la voluntad de dedicar especficamente esos recursos hacia el demandas de contar con productos ms seguros podran forzar
desarrollo de las TIC)5.
En un informe de 2015, la Institucin Brookings recomend otras

mejores prcticas para mejorar la calidad de la economa digital
en formas que pueden implementarse fcilmente en Amrica Los gobiernos suelen ser algunos
Latina y el Caribe. Esto incluye soluciones intuitivas como la
reduccin de costos, mejora de la eficiencia de la red y ampliacin de los mayores clientes de algunos
de la infraestructura digital. Otras soluciones son ms novedosas, proveedores, y sus demandas de contar
como el suministro de contenidos diversos y el fomento del
multilingismo. Brookings incluso sugiere simplemente bajar o con productos ms seguros podran
eliminar los impuestos sobre los servicios mviles, de acuerdo
con un estudio de GSMA6 que encontr que una disminucin del
forzar cambios en los productos
1% de la carga fiscal conduce a un aumento de la penetracin de que se van repartiendo y que se venden
banda ancha de 1,8%, y un aumento del crecimiento econmico
del 0,7%, lo que demuestra que incluso medidas relativamente a consumidores individuales
simples que no requieren grandes inversiones en infraestructuras
todava pueden producir resultados7.
y otras organizaciones.
En el frente de la seguridad ciberntica, estn surgiendo varias

tendencias importantes que podran reducir la vulnerabilidad
presente en el sistema y preparar a Amrica Latina y el Caribe para cambios en los productos que se van repartiendo y que se venden
el futuro. Una tendencia en seguridad ciberntica hoy es la idea de a consumidores individuales y otras organizaciones.
mejorar la higiene ciberntica, o sea, ensearles tcnicas bsicas
de prevencin a las personas y organizaciones para defenderse de Muchos en la comunidad de seguridad ciberntica tambin
ataques cibernticos de bajo nivel (actualmente la gran mayora) abogan por nuevas normas para la colaboracin entre las partes
y permitir que los recursos se concentren en grandes ataques o interesadas. Estas normas de colaboracin no solo les daran a
se desarrollen estrategias de seguridad ciberntica nacional. La los pases, industrias y otros actores reglas de enfrentamiento
ventaja de la higiene ciberntica es que puede ser concebida de con el ciberespacio, sino que tambin seran un marco para
forma barata y difundida ampliamente, y que a menudo puede mejorar la potencialmente paralizante falta de coordinacin
ser un poco ms que una lista de comportamientos o una sesin entre, y al interior de, las naciones en caso de un evento de
bsica de entrenamiento. seguridad ciberntica de gran envergadura. Varios organismos
internacionales se estn inclinando hacia contar con normas ms
La eficacia de la higiene ciberntica puede ser mejorada por concretas de colaboracin en materia de seguridad ciberntica.
otro desarrollo importante: el fomento de la realineacin de Esta es un rea que est madura para la cooperacin regional,
28
si no mundial, para coordinar mejor las polticas e identificar las altura del desafo y ya estn utilizando el conocimiento existente
mejores prcticas, un proceso que los pases de Amrica Latina para mejorar la capacidad y seguridad cibernticas. La regin
y el Caribe estn bien posicionados para liderar. se encuentra en una buena posicin para aprender no solo de
las mejores prcticas, sino para ayudar a crear otras nuevas, y
En todos estos frentes, la cooperacin pblico-privada es esencial. realizar todo su potencial como participante en la economa
La participacin de las empresas TIC locales, as como la de digital mundial.
grandes proveedores internacionales y las organizaciones de la
sociedad civil, es la mejor manera de descubrir y compartir las
mejores prcticas, y cooperar para disear las soluciones ms
eficaces y eficientes. La naturaleza interdependiente del mundo
hiper conectado exige la colaboracin. El compromiso del Foro
Econmico Mundial con los principios de resiliencia ciberntica es
un ejemplo de un marco que facilita la cooperacin entre varios
grupos en la seguridad ciberntica. Los principios tienen como
objetivo reconocer los problemas, desarrollar soluciones prcticas
y eficaces, y animar a otros grupos, en particular los clientes y
proveedores, para hacer compromisos similares hacia la mejora
de la seguridad ciberntica. Este tipo de estrategia multisectorial
entre mltiples partes interesadas deber ser aplicada por Amrica
Latina y el Caribe, y de hecho todos los dems pases, si pretenden
construir entornos de seguridad ciberntica beneficiosa.
El camino a seguir
Es ms fcil decir que se crear una esquina eficiente, prspera y

segura dentro del ciberespacio que hacerla, e incluso las naciones
mejor preparadas estn muy en el lmite de sus actualizaciones
como para sentirse seguras. Deloitte estima que el acceso
mejorado a Internet en el mundo en desarrollo dar lugar a
aumentos de la productividad de ms del 25%, ganancias de
crecimiento del producto interno bruto (PIB) de ms del 72%, y
sacar a 160 millones de personas de la pobreza8. Los beneficios
cosechados por una integracin ms amplia en el ciberespacio no
solo tendrn impacto en la billetera, sino en todos los aspectos
de la vida, incluyendo la educacin, la salud, la inclusin y los
derechos humanos9.
Estas ganancias se basan en la confianza en el ecosistema digital.

Ningn pas, grande o pequeo, est inmune a los ataques
cibernticos, que provienen de actores estatales y no estatales
en un paisaje tecnolgico en constante evolucin.
El mundo en red est alimentando el crecimiento econmico y la

mejora de los niveles de vida. Tambin est creando amenazas
que eran inimaginables hace apenas una generacin. Amrica
Latina y el Caribe tienen mucho trabajo por delante. El cerrar
las brechas entre pases y desarrollar la regin ser una tarea
formidable. Afortunadamente, han demostrado que estn a la
OBSERVATORIO DE LA
CIBERSEGURIDAD 29
Notas
1. Dutta, S., Geiger, T., & Lanvin, B. (Eds.). (2015). The Global
Information Technology Report (GITR) 2015. Ginebra: World
Economic Forum and INSEAD.
2. Fuente: Informe Global sobre Tecnologa de la Informacin

del Foro Econmico Mundial.
3. Meacham, Carl. Are Internet Policy and Technology the

Keys to Latin Americas Future?. Center for Strategic and
International Studies. 2 de junio de 2015. http://csis.org/
publication/are-internet-policy-and-technology-keys-latin-
americas-future.
4. Fuente: Informe OEA-BID.
5. Fuente: Informe Global sobre Tecnologa de la Informacin

del Foro Econmico Mundial.
6. www.gsma.com
7. West, Darrell. Digital Divide: Improving Internet Access

in the Developing World through Affordable Services and
Diverse Content. Brookings Institution. Febrero 13, 2015.
http://www.brookings.edu/research/papers/2015/02/13-
digital-divide-developing-world-west.
8. Deloitte. Value of Connectivity: Economic and social benefits WEF | Foro Econmico Mundial
of expanding Internet access. Febrero, 2014.
www.weforum.org
9. Fairchild, Caroline. For Facebook, Access to Womens contact@weforum.org
Rights Information Is a Basic One. Fortune, agosto de 2014.
30
Desarrollo sostenible y seguro:
un marco para las sociedades
conectadas resilientes
POTOMAC | Instituto Potomac
Melissa Hathaway y Francesca Spidalieri
La penetracin de Internet y la adopcin ms profunda de las las TIC para estimular el crecimiento econmico, mejorar la
tecnologas de la informacin y la comunicacin (TIC) estn prestacin y la capacidad de servicios, impulsar las ganancias
cambiando muchos aspectos de las economas, los gobiernos y de la productividad y la innovacin y para promover el buen
las sociedades del mundo. Todo se ve afectado, desde la forma gobierno. Muchos de sus informes y publicaciones alaban el
como se producen, distribuyen y consumen los bienes y servicios, papel que desempean las TIC en la promocin de estrategias
o cmo los gobiernos prestan servicios y difunden informacin, de desarrollo de estos pases y en la responsabilidad de gobierno
hasta cmo las empresas y los ciudadanos interactan y participan y proporcionan indicadores fuertes para apoyar una mayor
en el contrato social. No se pueden ignorar las oportunidades que conectividad a Internet y ecosistemas digitales ms extensos.
se asocian a quedar conectados y participando en la economa El Banco Mundial, por ejemplo, estima que cuando el 10% de
de Internet y el potencial impacto econmico. la poblacin en pases en desarrollo est conectado a Internet,
el PIB del pas crece en un 1% a un 2%4, mientras que el Foro
Dos tercios de los usuarios de Internet hoy en da viven en el Econmico Mundial inform que incluso duplicar el uso de datos
mundo en desarrollo y estn impulsando la mayor parte del de banda ancha mvil puede conducir a un aumento del 0,5%
crecimiento econmico mundial. McKinsey estima que en 2011 del crecimiento del PIB5. Al mismo tiempo, sin embargo, el poder
la contribucin global de Internet represent casi el 3% del transformador de las TIC como un catalizador para el crecimiento
producto interno bruto (PIB) mundial1 y el acceso a Internet del PIB y el desarrollo social puede ser socavado fcilmente
est creciendo casi cuatro veces ms rpidamente en los pases si los riesgos de seguridad asociados con la proliferacin de
en desarrollo que en los desarrollados. Los Estados Miembros infraestructura de las TIC y de aplicaciones de Internet no se
de la OEA se han beneficiado de manera importante de la equilibran adecuadamente con un plan integral de seguridad
penetracin de las TIC y del aumento de la conectividad, que les ciberntica y resiliencia6.
ha significado abrir nuevas oportunidades econmicas y sociales
para las poblaciones urbanas y rurales y se han convertido en Hay dos intereses enfrentados en la realizacin de la promesa y el
la plataforma de distribucin ms grande para la prestacin de potencial de las TIC y de Internet. En primer lugar, hay una agenda
servicios pblicos y privados, incluyendo los servicios bancarios, digital y una visin econmica que promete generar ingresos y
la educacin y la atencin en salud a millones de personas empleo, proporcionar acceso a los negocios y la informacin,
desatendidas2. Aunque todava existe una gran disparidad en la aumentar la productividad y la eficiencia, permitir el aprendizaje
penetracin de Internet entre los pases desarrollados y en vas electrnico, mejorar las habilidades de la fuerza laboral, facilitar
de desarrollo, la demanda de servicios con acceso a Internet las las actividades del gobierno y extender la prosperidad mediante
24 horas del da, 7 das a la semana (estar siempre encendido), a el crecimiento del PIB y as reducir la pobreza. Sin embargo, la
gran velocidad y capacidad, est aumentando exponencialmente3. nica manera en que los pases pueden lograr tales resultados
es si su programa de desarrollo de las TIC es sostenible.
No es de extraar, por tanto, que las organizaciones
internacionales como la OEA, el Banco Mundial, la Unin Ambientalmente, mediante la mitigacin de los impactos
Internacional de Telecomunicaciones (UIT) y el Banco ambientales negativos (por ejemplo, emisiones de gases
Interamericano de Desarrollo (BID), han lanzado y estn de efecto invernadero, generacin de basura electrnica,
financiando proyectos para cerrar la brecha de la conectividad degradacin del medio ambiente, etc.) del mayor crecimiento
y aprovechar los beneficios derivados de la utilizacin de de las redes y los dispositivos de las TIC.
OBSERVATORIO DE LA
CIBERSEGURIDAD 31
En lo econmico, al proporcionar un acceso a Internet ms La OEA y el BID han centrado muchos de sus esfuerzos en la
asequible, fiable y persistente para todos7. creacin y generacin de una cultura de seguridad ciberntica
en la regin y se han comprometido a trabajar con sus Estados
En lo social, mediante la maximizacin de la contribucin Miembros para luchar contra la delincuencia ciberntica,
potencial de las TIC a la equidad social y la inclusin. fortalecer la resiliencia ciberntica y promover estrategias
sostenibles de desarrollo de las TIC. En particular, la OEA y el
En lo poltico, al permitir la participacin ciudadana en los BID estn ayudando a los pases de Amrica Latina y el Caribe
procesos del gobierno y la toma de decisiones. a anticipar y reaccionar ante las nuevas amenazas cibernticas.
En segundo lugar, se encuentra la seguridad. No es suficiente que Desafortunadamente, a la mayora de las naciones an les
el aumento de la conectividad a Internet sea sostenible: tambin falta hacer eso. La mayora de las estrategias de desarrollo
es necesario que dicha conectividad sea segura y resistente. De defienden los beneficios de la comunicacin de banda ancha
hecho, nuestra dependencia de esta compleja infraestructura rpida, asequible y de largo alcance y mayor dependencia de
ha venido con un precio: al conectar tantos aspectos de nuestra los servicios orientados a Internet en trminos de crecimiento
economa y servicios vitales a Internet, tambin nos hemos econmico. Pero pocas toman en cuenta igualmente la exposicin
expuesto a una serie de actividades cibernticas nefastas que y los costos de servicios crticos menos resilientes, interrupcin
pueden socavar la disponibilidad, integridad y resiliencia de del (de los) servicio(s), el delito electrnico, el robo de identidad,
esta infraestructura central, lo que ha amenazado los beneficios robo de propiedad intelectual, fraude y otras actividades de
econmicos y tambin tecnolgicos, polticos y sociales de explotacin de la hiper-conectividad de las TIC en trminos de
Internet. Por ejemplo, varios de los pases del Grupo de los prdidas econmicas. Los lderes mundiales deben reconocer
20 (G-20) han estimado que estn perdiendo al menos el 1% que el aumento de conectividad a Internet puede llevar a un
de su PIB debido al delito ciberntico, el robo de propiedad crecimiento econmico, pero solo si esa conexin a Internet,
intelectual y otras actividades electrnicas fraudulentas. Ninguna y la infraestructura de las TIC que la soporta, es segura. Si los
nacin puede darse el lujo de perder ni un 1% de su PIB por pases no invierten por igual en la seguridad de su infraestructura
cuenta de actividades ilcitas cibernticas. A medida que las bsica y la resiliencia de sus sistemas, los costos impuestos por
tecnologas informticas y de comunicaciones se arraigan ms las actividades cibernticas nefastas gravarn su crecimiento
en la economa global y a medida que entramos en la era de econmico11.
la Internet de las cosas (IoT, por sus siglas en ingls), seguirn
aumentando los incentivos para poner en peligro la seguridad Los lderes mundiales pueden aprovechar el poder econmico
de estos sistemas. Debemos enfrentar que las amenazas a de las TIC y al mismo tiempo evitar daos irreversibles a largo
nuestra sociedad conectada estn superando nuestras defensas plazo a la economa, salud, seguridad y la resiliencia de sus pases
y el crecimiento del PIB se est erosionando cada da. En pocas solo si la seguridad juega un papel igualmente importante en
palabras, la inseguridad ciberntica es un impuesto al crecimiento sus estrategias de desarrollo. Despus pueden aprovechar las
y los pases deben demostrar un compromiso con la seguridad y polticas, leyes, reglamentos, normas, incentivos de mercado y
la resiliencia para preservar la promesa de conexin y realizar otras iniciativas para proteger el valor de sus inversiones digitales
todo el potencial de la economa de Internet. y preservar la seguridad de su conectividad. Pueden perseguir
y financiar iniciativas de seguridad ciberntica que disminuyen
Este entrelazamiento entre infraestructura e Internet es una los riesgos y aumentan la resiliencia.
vulnerabilidad estratgica para todas las sociedades conectadas8
y hay mucho en juego. El impacto positivo de Internet en los El Cyber Readiness Index (CRI), desarrollado por el Instituto
pases, comunidades, empresas y ciudadanos por igual solo Potomac, se ocupa de estas cuestiones y proporciona el modelo
puede sostenerse si el servicio es accesible, disponible, asequible, a seguir para los pases12. Ayuda a que un pas pueda comprender
seguro, interoperable, resiliente y estable9. Esta es la razn su enredo entre Internet e infraestructura y su consecuente
por la cual Internet y su propuesta subyacente de valor se han vulnerabilidad. Tambin proporciona una base slida sobre la cual
convertido en un imperativo de seguridad tanto econmico cada pas puede evaluar su madurez en seguridad ciberntica.
como nacional. Los lderes mundiales deben lidiar con el hecho Identifica siete elementos esenciales donde se puede utilizar
de que su infraestructura de Internet y servicios orientados al la seguridad ciberntica para proteger el valor y la integridad
ciudadano son vulnerables a la interferencia y que su dependencia de las inversiones anteriores en TIC y activar la economa de
econmica de Internet no les permitir abandonar el camino Internet, a saber: la estrategia nacional y la formulacin de
de adopcin en el que se encuentran10. polticas; la capacidad de respuesta a incidentes; iniciativas de
32
delito electrnico y las necesidades de capacidad de las fuerzas El tener una estrategia y compromiso es solo el comienzo. Otros
del orden; iniciativas de compartir informacin; la inversin en aspectos clave para estar listos cibernticamente incluyen el
investigacin y desarrollo (I+D); la diplomacia y el comercio; y la compromiso de un pas de proteger a la sociedad contra el
capacidad militar y las iniciativas de defensa ciberntica. delito ciberntico a travs de mecanismos legales y regulatorios
nacionales e internacionales y la capacidad para luchar contra
Adoptar un marco de seguridad y conocer el nivel de preparacin el crimen ciberntico, incluyendo la capacitacin de las fuerzas
ciberntica de un pas es ciertamente esencial. El primer paso del orden, especialistas forenses, juristas y legisladores. Panam,
que debe tomar un pas para desarrollar este marco es articular por ejemplo, es miembro de la Convencin de Budapest sobre
una estrategia nacional de seguridad ciberntica vlida. Esta el delito ciberntico y ha trabajado incansablemente para
estrategia debe: describir el problema en trminos econmicos; actualizar la legislacin nacional para combatir ms eficazmente
identificar la autoridad competente que garantice la correcta la delincuencia ciberntica y fortalecer la proteccin de datos.
ejecucin de la estrategia; incluir objetivos especficos, medibles, Adems, ha establecido una Fiscala Especial de Delitos contra la
alcanzables, basados en el tiempo y en los resultados del plan Propiedad Intelectual y Seguridad de la Informacin, que forma
de implementacin; y reconocer la necesidad de comprometer parte del Ministerio Pblico y una Unidad de Investigacin de
recursos limitados (por ejemplo, voluntad poltica, dinero, tiempo Delitos Cibernticos, dependiente de la Direccin de Investigacin
y personas) en un entorno competitivo para lograr los resultados Judicial, para servir como las agencias lderes para la investigacin
econmicos necesarios. Varios Estados Miembros de la OEA han y el enjuiciamiento de los delitos cibernticos.
comenzado a disear este tipo de estrategias para gestionar
la seguridad ciberntica y han dado pasos importantes en el Los pases tambin deben invertir en investigacin bsica y
desarrollo de polticas relacionadas con ciberntica, doctrinas, aplicada de seguridad ciberntica (innovacin) y financiar
marcos jurdicos y la capacidad tcnica. Colombia, en particular, generosamente las iniciativas de seguridad ciberntica si quieren
ha tenido una poltica nacional para la seguridad ciberntica aprovechar las oportunidades que ofrece la economa de Internet,
y defensa ciberntica operando durante varios aos (CONPES mientras que mantienen una fuerte postura de seguridad
3701)13 y recientemente ha estado trabajando en una nueva ciberntica. Chile, por ejemplo, ha aprovechado al mximo
estrategia integral de Seguridad Ciberntica Nacional para su alta conectividad y ha puesto en marcha varias iniciativas
reflejar su compromiso de estar cibernticamente lista en las para desarrollar su industria de alta tecnologa. El programa
reas de gobernanza enfocada y liderazgo institucional a nivel Start-Up Chile, a cargo de la Agencia de Desarrollo Econmico
nacional, con el fortalecimiento de la capacidad de respuesta de Chile (CORFO) a travs de InnovaChile, est ayudando a
a incidentes y las asociaciones pblico-privadas y el desarrollo transformar a dicho pas en un centro de innovacin y de espritu
de la conciencia ciberntica y la profundizacin de la educacin empresarial en Amrica Latina. Este programa acelerador busca
ciberntica. atraer empresarios de fase inicial y alto potencial, para arrancar
sus nuevas empresas en Chile, usndolo como una plataforma
Otros elementos esenciales son la posibilidad de los pases de para luego lanzarse globalmente. Adems, la Universidad de
establecer y mantener tanto una capacidad nacional de respuesta Chile ofrece ttulos avanzados en seguridad ciberntica y se
a incidentes como un mecanismo de intercambio de informacin espera que la comunidad empresaria proporcione conferencias
que permita el intercambio de inteligencia procesable entre y tutoras adicionales.
el gobierno y la industria. La mayora de los pases de Amrica
Latina y el Caribe ya han establecido y puesto en funcionamiento Otro elemento clave a menudo pasado por alto es la voluntad
los Equipos de Respuesta ante Emergencias Informticas (CSIRT, y la capacidad de los pases de participar diplomticamente
por sus siglas en ingls) o capacidades y estn ampliando o durante las negociaciones comerciales sobre cuestiones
los servicios prestados por estas unidades ms all de tener relacionadas con la ciberntica. Guatemala, por ejemplo, mostr
funciones reactivas, e incluyen servicios proactivos, preventivos, una fuerte capacidad diplomtica ciberntica en 2012 al presidir
educativos y de gestin de la seguridad. El establecimiento de el Comit Interamericano contra el Terrorismo de la OEA. El pas
mecanismos de intercambio de informacin formal, por otro lider una Declaracin sobre el Fortalecimiento de la Seguridad
lado, sigue siendo un reto importante en la regin, aunque la Ciberntica en las Amricas, que dio lugar a su adopcin unnime
mayora de las autoridades nacionales mantienen lneas abiertas y elev el reconocimiento de la seguridad y la resiliencia de la
y activas de comunicacin y colaboracin con sectores crticos infraestructura de informacin crtica, especialmente para las
y empresas clave. instituciones esenciales para los sectores de seguridad nacional,
como comunicaciones, energa, finanzas y transporte14.
OBSERVATORIO DE LA
CIBERSEGURIDAD 33
Por ltimo, los Estados estn empezando a aprovechar la capacidad
de sus fuerzas armadas nacionales y/o agencias de defensa
relacionadas para defender a su pas cinticamente y proporcionar
una defensa similar a travs del ciberespacio, en respuesta a las
amenazas de seguridad ciberntica. Brasil, por ejemplo, ya ha
desarrollado capacidades avanzadas de defensa ciberntica y,
recientemente, estableci un Comando de Defesa Ciberntica y
una Escuela de Defensa Ciberntica Nacional, que contar con
representantes de las tres fuerzas armadas brasileas.
Mientras que la penetracin de Internet y la modernizacin

de la infraestructura se estn expandiendo y estn madurando
rpidamente, es esencial que los pases establezcan inicialmente
un marco para las sociedades resilientes conectadas, incluyendo
en este la preservacin de la promesa del dividendo TIC que
es desarrollo sostenible con seguridad. A medida que las
poblaciones de la regin continan avanzando, creciendo $
y expandiendo sus oportunidades econmicas y sociales y
los pases comienzan a adoptar el Internet de las cosas, se
vuelve cada vez ms importante abordar el riesgo ciberntico,
seguridad, resiliencia y exposicin en conjunto con los objetivos
y el desarrollo sostenibles. Los pases deben indicar que la
seguridad, la sostenibilidad y la resiliencia son igualmente
importantes para su programa de crecimiento. Iniciativas de la
OEA y el BID estn acelerando la capacidad de las naciones de
Amrica Latina y Caribe de poner en funcionamiento las polticas,
planes, leyes y regulaciones para promover el desarrollo y el uso
de las TIC15 y estn volviendo prioritaria la seguridad ciberntica
en su agenda social y de poltica.
34
Melissa Hathaway
Experta en la poltica de ciberespacio y seguridad
ciberntica. Es Asesora Senior en el Centro Belfer
para Ciencia y Asuntos Internacionales de la
Escuela Kennedy de Harvard y se desempea
como Asociada Senior y miembro de la Junta
de Regentes del Instituto Potomac de Estudios
Polticos. Trabaj en dos administraciones
presidenciales, durante las cuales encabez la
Revisin de las Polticas de Ciberespacio para
el presidente Obama y lider la Iniciativa de
Seguridad Ciberntica Nacional Integral para
el presidente George W. Bush. Ha desarrollado
una metodologa nica para evaluar y medir
el nivel de preparacin ante ciertos riesgos de
seguridad ciberntica, conocida como el ndice
de Preparacin Ciberntica y est aplicando su
metodologa en 125 pases.
Francesca Spidalieri
Es investigadora principal para el Liderazgo
Ciberntico en el Centro Pell, en Salve Regina
University, y est vinculada como experta en la
materia para el Proyecto ndice de Preparacin
Ciberntica del Instituto Potomac de Estudios
Polticos. Su investigacin acadmica y
publicaciones se han centrado en el desarrollo
de liderazgo ciberntico, la gestin de riesgos
cibernticos, educacin y conciencia ciberntica
y el desarrollo de la fuerza laboral de seguridad
ciberntica.
OBSERVATORIO DE LA
CIBERSEGURIDAD 35
Notas Fortalecimiento%20de%20la%20Seguridad%20en%20
las%20Americas.pdf
1. McKinsey Global Institute. Internet Matters: The Nets
Sweeping Impact on Growth, Jobs, and Prosperity. Mayo 15. Organizacin de los Estados Americanos. Declaracin
2011. p. 12. https://www.nwoinnovation.ca/upload/ de Asuncin para el Cuadragsimo Perodo Ordinario de
documents/mgi-Internet-matters-report.pdf. Sesiones de la Asamblea General de la OEA: Desarrollo con
Inclusin Social. http://www.oas.org/es/centro_noticias/
2. The Global Connectivity Group for Sustainable Development. comunicado_prensa.asp?sCodigo=D-005/14
ICTs, The Internet and Sustainability. Febrero 27, 2013. https://
ictstheInternetandsustainability.wordpress.com. 16.
3. Banco Mundial. Information and Communications for

Development 2009: Extending Reach and Increasing Impact.
p. 127.
4. Banco Mundial. Overview. Information & Communication

Technologies Program. http://www.worldbank.org/en/
topic/ict/overview.
5. Foro Econmico Mundial. The Global Information

Technology Report 2015. Abril 2015. p. 32.
6. European Union Institute for Security Studies. Riding the

Digital Wave: The Impact of Cyber Capacity Building on
Human Development. Report no 21. Diciembre 2014. p. 54.
7. Unin Internacional de Telecomunicaciones. Connect 2020

Agenda for Global Telecommunication/ICT development.
2014. http://www.itu.int/en/connect2020/Pages/default.aspx.
8. Melissa Hathaway. The Role of the State in Cyber Defense.

4th Conference on Information Security and Cyber Defense.
Budapest, Hungra, 8 de septiembre de 2014.
9. Melissa Hathaway. Connected Choices: How the Internet Is

Challenging Sovereign Decisions. American Foreign Policy
Interests 36, no 5. Noviembre 2014. p. 301.
10. Ibid.
11. Melissa Hathaway. Cyber Readiness Index 2.0 & Lessons

Learned in the Design of National Cyber Security Strategies.
OAS-IDB Regional Workshop on Cyber Security Policies.
Washington D.C., Octubre 23, 2014.
12. Melissa Hathaway et al.. Cyber Readiness Index 2.0. Potomac

Institute for Policy Studies. Borrador presentado en febrero
de 2015 para ser publicado en septiembre de 2015.
13. CONPES 3701 defini los principios rectores de la seguridad

ciberntica; defini las funciones y responsabilidades;
resalt las reas prioritarias para la accin y la inversin
por parte de las autoridades gubernamentales; y entreg el
mandato para ColCERT, el organismo nacional responsable
de la respuesta a incidentes cibernticos y la coordinacin
entre las partes interesadas a nivel nacional.
14. Comit Interamericano contra el Terrorismo. Declaracin POTOMAC | Instituto Potomac

Fortalecimiento de la Seguridad Ciberntica en las
Amricas. 7 de marzo de 2012. https://www.sites. www.potomacinstitute.org
oas.org/cyber/Documents/Declaracion%20del%20 contact@potomac.org
36
Marco metodolgico
Sinopsis
Profesora Sadie Creese, Centro Global de Capacidad sobre Seguridad Ciberntica
Universidad de Oxford
La manera en que los Estados-nacin y las regiones abordan a las amenazas, las vulnerabilidades, los riesgos, la estrategia
la capacidad de seguridad ciberntica es esencial para contar econmica o el cambio de las necesidades internacionales.
con una seguridad ciberntica eficaz, eficiente y sostenible. Es
imperativo que como comunidad internacional aboguemos por El CMM es el primero de su tipo en trminos de extensin y
tener un enfoque integral y holstico para la construccin de profundidad en cada aspecto de capacidad de la seguridad
capacidad de seguridad ciberntica para fomentar una economa ciberntica. Est construido sobre una base de consulta de
digital segura y competitiva, y para obtener los beneficios que la mltiples partes interesadas y el respeto de los derechos
participacin en el ciberespacio puede aportarles a las sociedades humanos, equilibrando cuidadosamente la necesidad que se
y las personas en todas partes. La OEA y el BID han incorporado tiene de seguridad para permitir el crecimiento econmico y la
este enfoque de desarrollo de capacidades al ncleo de nuestra sostenibilidad, al tiempo que se respetan el derecho a la libertad
cooperacin como miembros de esta comunidad internacional. de expresin y el derecho a la privacidad.
Para que las personas puedan comprender mejor cmo ser Con el fin de asegurar que el CMM se pueda aplicar a las
una seguridad ciberntica eficaz a travs de la experiencia y caractersticas especficas regionales de Amrica Latina y el Caribe,
el aprendizaje del mundo, el Centro, por medio de una amplia el Banco Interamericano de Desarrollo, la Organizacin de Estados
consulta a 200 expertos internacionales del gobierno, la academia, Americanos y Oxford desarrollaron una herramienta de aplicacin
la industria y la comunidad tcnica, ha desarrollado un modelo para para la regin. Esta herramienta de aplicacin, que utiliza el CMM
entender la madurez de las capacidades de seguridad ciberntica. como su base, est diseada para ayudar a una nacin a evaluar
El Modelo de Madurez de Capacidad de Seguridad Ciberntica su capacidad de seguridad ciberntica actual y disponer dnde
(CMM, por sus siglas en ingls) toma en cuenta las consideraciones invertir para permitir que haya una capacidad ms madura y
de seguridad ciberntica a travs de cinco diferentes reas/ resiliente, y mejorar la seguridad de la infraestructura nacional.
dimensiones de la capacidad, entendiendo que cada dimensin La herramienta de aplicacin, por lo tanto, sirve para ayudarles a
no es necesariamente independiente de las otras. los gobiernos o naciones a hacer inversiones estratgicas mejor
informadas en capacidad de seguridad ciberntica de acuerdo
Las cinco dimensiones son: Polticas y estrategia nacional de con las prioridades nacionales contrapuestas.
seguridad ciberntica; Cultura ciberntica y sociedad; Educacin,
formacin y competencias en seguridad ciberntica; Marco Hay un puado de pases de todo el mundo que puede estar en
jurdico y reglamentario; y Normas, organizacin y tecnologas. una etapa superior de madurez. Es poco probable que una nacin
Cada dimensin ofrece una serie de factores e indicadores de evidencie estar en una etapa de madurez dinmica por todos
capacidad ciberntica para que una nacin comprenda la etapa los factores y los indicadores de las cinco dimensiones descritas
de madurez en cada consideracin especfica. Se han identificado en la herramienta de aplicacin y CMM. Ha habido grandes
cinco etapas de madurez y estas varan desde una etapa inicial, avances en capacidad ciberntica en Amrica Latina y el Caribe
en la cual una nacin puede que haya apenas comenzado a en la mejora de la conectividad en la regin. Con el aumento de
considerar la seguridad ciberntica, hasta un escenario dinmico, las tasas de penetracin de Internet, no es de extraar que el
en el cual una nacin es capaz de adaptarse rpidamente a los gobierno y los interesados de la industria estn preocupados por
cambios en el panorama de la seguridad ciberntica en relacin la falta de capacidad de la seguridad ciberntica y algunos hayan
OBSERVATORIO DE LA
CIBERSEGURIDAD 39
comenzado el proceso de considerar la seguridad ciberntica una estrategia nacional es valioso en muchos aspectos, ya que
una prioridad nacional. congrega en una mesa a todas las partes interesadas que pueden
tener la responsabilidad de la seguridad ciberntica. Este esboza
Es muy alentador ver que recientemente algunas naciones las prioridades nacionales, mandatos y autoridades relativas,
han dado el importante paso de formar y publicar una teniendo en cuenta las prioridades nacionales elaboradas para
estrategia nacional de seguridad ciberntica, proyectando las una nacin o regin. El Centro de Capacidad tuvo el privilegio,
prioridades para las inversiones en estos pases, con nfasis mediante la cooperacin con la OEA, de contribuir al desarrollo
en el aseguramiento de la infraestructura crtica nacional, el de la Estrategia Nacional de Seguridad Ciberntica de Jamaica,
desarrollo de la legislacin para luchar eficazmente contra y vio su lanzamiento en enero de este ao.
el delito ciberntico y el establecimiento de marcos para la
divulgacin responsable de los incidentes. Tambin se resalta la cooperacin con organizaciones
internacionales como INTERPOL en el combate efectivo de la
delincuencia ciberntica, potenciando las capacidades para
combatir la delincuencia mediante el desarrollo de marcos
legislativos, pero tambin la formacin investigadora especialista,
El Modelo de Madurez de Capacidad el tratamiento de pruebas electrnicas y la formacin de jueces
y la fiscala. Tambin es muy alentador ver acuerdos intra-
de Seguridad Ciberntica (CMM) toma regionales, como la Convencin Interamericana sobre Asistencia
en cuenta las consideraciones Mutua en Materia Penal, la cual ha sido destacada por muchos
pases miembros como un mecanismo importante en la lucha
de seguridad ciberntica a travs contra los delitos informticos. Otro hecho alentador es la
cooperacin regional con ejemplos de Suriname abogando en
de cinco diferentes reas/dimensiones nombre de la regin en los foros internacionales.
de la capacidad, entendiendo que cada
La promocin de las competencias de seguridad ciberntica
dimensin no es necesariamente a travs de la construccin de una base de conocimientos y
la sensibilizacin en materia de seguridad ciberntica es
independiente de las otras. una prioridad que se evidencia en la regin. Los esfuerzos de
sensibilizacin son una herramienta vital para el cambio de
comportamiento en seguridad ciberntica, pero deben aplicarse
en conjunto con otras estrategias que puedan influenciar. Chile
en los ltimos aos ha comenzado la realizacin de campaas
Los datos recogidos en este estudio mostraron que varios pases de sensibilizacin dirigidas como la campaa de Internet Segura
poseen un CSIRT nacional o estn en el proceso de establecer y la campaa de Consumidor Digital, que pretenden aumentar
formalmente una capacidad de respuesta a incidentes. En los la conciencia de seguridad ciberntica en grupos demogrficos
lugares donde an no se han desarrollado estrategias nacionales particulares. Es muy importante introducir comportamientos
de seguridad ciberntica, se observa una tendencia emergente positivos hacia la seguridad de la informacin, que pueden resultar
en la que un CSIRT nacional adquiere un papel ms amplio en en una prctica segura habitual. Estas prcticas, con el apoyo de
la coordinacin de la seguridad ciberntica y cooperacin con tecnologas de seguridad fciles de utilizar, proporcionan una
la polica en los casos de ataque. base slida para una sociedad ciberntica resiliente.
Hay un gran valor en el desarrollo de una estrategia nacional Tambin son dignos de mencin los incentivos para la formacin
de seguridad ciberntica a travs de consultas de mltiples y la educacin en la regin. Hay ofertas destinadas a educacin y
partes interesadas y enfoques interministeriales. Hay excelentes formacin en seguridad de la informacin. Se ofrecen cursos sobre
ejemplos de comits directivos interministeriales y/o grupos seguridad ciberntica en las universidades, los cuales otorgan ttulos
de trabajo de la regin, que incluyen representacin de la de grado y maestra. Si bien este informe no detalla los cursos que
sociedad civil y la industria. Por ejemplo, como indica el informe, se ofrecen, s indica que algunas universidades de la regin de
Jamaica lanz su Estrategia Nacional de Seguridad Ciberntica Amrica Latina y el Caribe estn solicitando acreditacin en los
en enero de este ao. Al hacerlo, el pas cre el Grupo de Trabajo cursos de seguridad ciberntica, por ejemplo en Bolivia, Brasil,
Nacional de Seguridad Ciberntica. El ejercicio de desarrollar Colombia, Panam, Per, entre otros.
40
Amrica Latina y el Caribe es digna de elogio en este estudio
sin precedentes, donde se hace el mapeo de la capacidad de la
seguridad ciberntica en la regin. A travs del impulso del BID y
la OEA, ALC es la primera en el mundo en realizar esta profunda y
amplia comprensin de la capacidad de la seguridad ciberntica
en una regin entera utilizando el modelo CMM. Adems de
promover un enfoque integral para el desarrollo de capacidades
de seguridad ciberntica a nivel nacional, este informe de Amrica
Latina y el Caribe significa que los gobiernos miembros, junto con
el apoyo de la comunidad donante e internacional, pueden hacer
inversiones ms estratgicas de colaboracin en la capacidad
de la seguridad ciberntica, capitalizando el recurso existente y
dirigiendo mejor la inversin extranjera.
A travs del impulso del BID y la

OEA, ALC es la primera en el mundo
en realizar esta profunda y amplia
comprensin de la capacidad de la
seguridad ciberntica en una regin
entera utilizando el modelo CMM.
Las etapas de madurez descritas en el modelo no estn diseadas

para ser ni estticas ni solo progresivas. Se entiende que una
nacin puede decidir, por ejemplo, invertir fuertemente en la
mejora de sus marcos legislativos y capacidad de justicia penal, lo
que puede hacer avanzar su madurez en un rea de la capacidad
desde una etapa inicial hasta una ya establecida. Por otro lado, si
una nacin deja de llevar a cabo una campaa de sensibilizacin,
ya no mantendr su etapa de madurez alta y volver a una etapa
anterior. Este ejercicio se ha empeado en capturar el estado
actual de la capacidad de la seguridad ciberntica y, con el apoyo
continuo de excelentes socios como la OEA y el BID, el CMM se
podr aplicar de nuevo para dar cuenta de los aumentos de la
capacidad ciberntica en Amrica Latina y el Caribe. El Centro Global de Capacidad sobre Seguridad Ciberntica de la
Universidad de Oxford fue establecido en 2013, para construir una
comprensin global de prcticas eficientes y eficaces de creacin
de capacidad de seguridad ciberntica mediante la investigacin
acadmica rigurosa. El trabajo del Centro est dirigido por los
lderes de opinin del mundo en este campo. En 2014, el Centro
de Capacidad, en cooperacin con el BID y la OEA, dise una
herramienta de aplicacin para que la regin implementara el
CMM para poner en evidencia este estudio.
OBSERVATORIO DE LA
CIBERSEGURIDAD 41
Sadie Creese
Profesora de ciberseguridad en el Departamento
de Ciencias de la Computacin en la Universidad
de Oxford, es miembro del Consejo de
Administracin del Worcester College de Oxford.
Asimimo, funge como Directora del Centro Global
de Capacidad sobre Seguridad Ciberntica en el
Martin School de Oxford y miembro del Comit
de Coordinacin para CyberSecurity@Oxford.
Creese lidera y gestiona grandes programas
de investigacin interdisciplinarios, supervisa
proyectos de grado, y ensea a nivel de postgrado
para el Centro de Formacin Doctoral en
Seguridad Ciberntica y Riesgo Ciberntico para
el MBA y programas ejecutivos en la Sad Business
School. Adems, se dedica a un amplio portafolio
de investigacin en seguridad ciberntica que
abarca modelos de capacidad de seguridad
ciberntica, modelado del dao ciberntico,
conocimiento de la situacin, analtica visual,
propagacin y comunicacin del riesgo,
modelado y deteccin de amenazas, defensa
de la red, fiabilidad y resiliencia, confianza
y privacidad. Desde 2003, ha participado en
trabajos de investigacin con otros profesionales,
como psiclogos, socilogos, economistas,
politlogos, abogados, criminlogos y filsofos,
entre otros. Creese tiene experiencia en filosofa,
matemticas y ciencias de la computacin y ha
trabajado profesionalmente en organizaciones
comerciales, gubernamentales y acadmicas.
Antes de incorporarse a Oxford en octubre de
2011, fue Profesora y Directora de Seguridad
Electrnica del Laboratorio Digital Internacional
de la Universidad de Warwick. Creese se vincul
a Warwick en 2007 despus de haber trabajado
con QinetiQ. En Warwick, su puesto ms reciente
fue como Directora de Programas Estratgicos
para la Divisin de Gestin de Confianza de
la Informacin. Sus publicaciones recientes
incluyen trabajos sobre temas de deteccin de
amenazas internas, analtica visual de ataque
ciberntico, prediccin de la propagacin del
riesgo ciberntico, atribucin de identidad Universidad de Oxford
en espacios fsicos y cibernticos, privacidad https://www.cybersecurity.ox.ac.uk
personal de cara a datos grandes, vulnerabilidad enquiries@cybersecurity.ox.ac.uk
de las identidades en contextos de redes sociales,
mtricas de confiabilidad de los datos de origen
abierto y la mejor manera de comunicar el riesgo
ciberntico.
42
Capacidad
de seguridad ciberntica
Los datos utilizados para este informe se recogieron a travs

Poltica y estrategia
de una encuesta en lnea desarrollada en colaboracin con el
Centro Global de Capacidad sobre Seguridad Ciberntica (GCSCC)
sobre la base del Modelo de Madurez de Capacidad de Seguridad Estrategia nacional de seguridad ciberntica
Ciberntica (CMM, por sus siglas en ingls) desarrollado por oficial o documentada
el GCSCC. La encuesta en lnea fue traducida en dos idiomas Desarrollo de la estrategia
(ingls y espaol) y se puso a prueba inicialmente con visitas Organizacin
a cuatro pases piloto (Colombia, Costa Rica, Jamaica y Saint Contenido
Kitts y Nevis), para luego ser administrada a un amplio sector
de partes interesadas nacionales.
Defensa ciberntica
La encuesta en lnea fue distribuida a los Estados Miembros con Estrategia
una contrasea segura y se pidi a los puntos de contacto de cada Organizacin
Estado Miembro distribuirla a las partes interesadas nacionales Coordinacin
que tendran la informacin necesaria para proporcionar el
panorama ms completo de la seguridad ciberntica en sus
respectivos pases. Se recibieron ms de 260 respuestas y la
informacin fue luego agregada y revisada teniendo
en cuenta
fuentes de informacin complementarias.
Los datos fueron analizados utilizando los 49 indicadores del CMM,

que se dividen entre cinco dimensiones: 1) Polticas y estrategia
nacional de seguridad ciberntica (Polticas y estrategia); 2)
Cultura ciberntica y sociedad (Cultura y sociedad); 3) Educacin,
formacin y competencias en seguridad ciberntica (Educacin);
Cultura y sociedad
4) Marco jurdico y reglamentario (Marco jurdico); y 5) Normas,
organizaciones y tecnologas (Tecnologas). Cada dimensin Mentalidad de seguridad ciberntica
tiene mltiples factores que contribuyen a un estado ms maduro En el gobierno
de capacidad en materia de seguridad ciberntica. Cada factor En el sector privado
tiene varios niveles de indicadores que describen un estado de En la sociedad
madurez. Los diferentes niveles de madurez ayudan al encuestado
a seleccionar el nivel que es ms aplicable a su experiencia de la Conciencia de seguridad ciberntica
seguridad ciberntica en el pas.
Sensibilizacin
Los resultados del anlisis fueron enviados a cada Estado Miembro
para su validacin. Perfiles de pas se desarrollaron a continuacin Confianza en el uso de Internet
para cada Estado Miembro, teniendo en cuenta datos estadsticos En los servicios en lnea
sobre la poblacin del pas, la penetracin de Internet y los En el gobierno electrnico
abonos a telfonos celulares (todas las estadsticas provenientes En el comercio electrnico
de Banco Mundial banco de datos, ltima acceder noviembre,
2015 en http://databank.bancomundial.org/data/home.aspx).
Privacidad en lnea
Normas de privacidad
Privacidad del empleado
OBSERVATORIO DE LA
CIBERSEGURIDAD 43
Educacin Tecnologas
Disponibilidad nacional de la educacin Adhesin a las normas

y formacin cibernticas Aplicacin de las normas y prcticas mnimas aceptables
Educacin Adquisiciones
Formacin Desarrollo de software
Desarrollo nacional de la educacin de seguridad Organizaciones de coordinacin de seguridad ciberntica

ciberntica Centro de mando y control
Desarrollo nacional de la educacin de seguridad Capacidad de respuesta a incidentes
ciberntica
Respuesta a incidentes
Formacin e iniciativas educativas pblicas y privadas Identificacin y designacin
Capacitacin de empleados en seguridad ciberntica Organizacin
Coordinacin
Gobernanza corporativa, conocimiento y normas
Comprensin de la seguridad ciberntica por parte de Resiliencia de la infraestructura nacional
empresas privadas y estatales Infraestructura tecnolgica
Resiliencia nacional
Proteccin de la Infraestructura Crtica Nacional (ICN)

Identificacin
Organizacin
Planeacin de respuesta
Coordinacin
Marcos legales
Gestin de riesgos
Marcos jurdicos de seguridad ciberntica
Gestin de crisis
Para la seguridad de las TIC
Planeacin
Privacidad, proteccin de datos y otros derechos
Evaluacin
humanos
Derecho sustantivo de delincuencia ciberntica
Redundancia digital
Derecho procesal de delincuencia ciberntica
Planeacin
Organizacin
Investigacin jurdica
Cumplimiento de la ley
Mercado de la ciberseguridad
Fiscala
Tecnologas de seguridad ciberntica
Tribunales
Seguros de delincuencia ciberntica
Divulgacin responsable de la informacin

44
Niveles de madurez
ESTRATGICO
FORMATIVO
DINMICO
INICIAL
ESTABLECIDO
OBSERVATORIO DE LA
CIBERSEGURIDAD 45
Se han identificado cinco niveles de madurez de la capacidad de seguridad
ciberntica, de acuerdo con los cuales el ms bajo implica un grado de capacidad
ms bien ad hoc, y el nivel ms alto es tanto un enfoque estratgico como una
capacidad de adaptarse dinmicamente o cambiar por consideraciones ambientales
(operativas, amenazas, socio-tcnicas y polticas).
INICIAL
En este nivel, o nada existe, o es de naturaleza muy embrionaria. Tambin incluye

un pensamiento o una observacin acerca de un problema, pero no una accin.
FORMATIVO
Algunas caractersticas del subfactor han comenzado a crecer y ser formuladas,

pero pueden ser casuales, desorganizadas, mal definidas o simplemente nuevas.
ESTABLECIDO
Los elementos del subfactor estn establecidos y funcionando. Sin embargo, no se

ha considerado bien la asignacin relativa de recursos. Ha habido poca toma de
decisiones de compensacin en relacin con la inversin relativa en los distintos
elementos del subfactor. Pero el subfactor es funcional y est definido.
ESTRATGICO
Estratgico no significa importante; ms bien, se trata de una seleccin. Al nivel

nacional se han elegido las partes del subfactor que son clave, as como aquellas
que son menos importantes para la organizacin/pas en particular. Estas elecciones
toman en consideracin un resultado esperado, una vez implementado, que contiene
circunstancias particulares y otros objetivos nacionales existentes.
DINMICO
A nivel dinmico, existen mecanismos claros para alterar la estrategia en funcin de

las circunstancias imperantes. Por ejemplo, la tecnologa del entorno de amenazas,
conflicto global, un cambio significativo en un rea de inters (por ejemplo, la
delincuencia ciberntica o privacidad). Organizaciones dinmicas han desarrollado
mtodos para cambiar las estrategias, de acuerdo con una manera de sentir y
responder. La toma de decisiones rpida, la reasignacin de los recursos y la
atencin constante a los cambios del entorno son las caractersticas de este nivel.
46
Perfiles de pases
Educacin
escaneando
.ag Antigua y Barbuda
Poltica y estrategia En los ltimos cuatro aos el uso de Internet por Antigua y Barbuda no cuenta con un mecanismo de
parte de la poblacin de Antigua y Barbuda se ha divulgacin formal para el sector privado y son pocos
incrementado notablemente, del 47% al 64%1. Al los ataques cibernticos que se denuncian a las
contar con esta comunidad digital an mayor, el autoridades. En ese sentido el Gobierno de Antigua y
Gobierno de Antigua y Barbuda ha comenzado a Barbuda tambin ha ratificado la Convencin sobre
darle prioridad a la seguridad ciberntica como una los Derechos del Nio. Los artculos 16, 17 (e) y 34
Cultura y sociedad preocupacin nacional2. Se estn realizando consultas (c) de la convencin reconocen los derechos de
entre las partes interesadas para desarrollar una los nios a ser protegidos de acciones maliciosas,
estrategia nacional de seguridad ciberntica y un incluyendo delincuencia ciberntica y pornografa
CSIRT nacional. Las responsabilidades informales infantil.
de seguridad ciberntica recaen bajo el Ministerio
de Informacin, Difusin, Telecomunicaciones, El Ministerio de Informacin ha desarrollado planes
Ciencia y Tecnologa, mientras que la Organizacin para producir una campaa de sensibilizacin
Nacional de Polticas de Control de Drogas y Lavado acerca de la seguridad ciberntica en colaboracin
Educacin de Activos sirve como el Punto Nacional de Contacto con la Iniciativa para Conectar Antigua y Barbuda.
para organizaciones nacionales. No hay ninguna campaa actualmente en curso.
Las oportunidades de educacin sobre seguridad
Los operadores de las infraestructuras crticas ciberntica en el pas son limitadas, con excepcin
nacionales por lo general comprenden los del Instituto Internacional de Tecnologa de Antigua
Marcos legales riesgos de la seguridad ciberntica y aplican y Barbuda que ofrece cursos sobre el tema. Las
ciertas tecnologas y estndares de seguridad empresas del sector privado se han vuelto cada
para mejorar la resiliencia, aunque no exista una vez ms conscientes de los riesgos de seguridad
entidad designada para aplicar las normas de ciberntica y han comenzado a tomar iniciativas
manera uniforme. Adems, sin un mecanismo de para capacitar a los empleados.
respuesta de emergencias designado, el pas no
puede mantener informacin exacta sobre las
amenazas a la seguridad ciberntica y responder
Tecnologa a eventos. FUENTE DE ESTADSTICAS
Banco Mundial | Banco de datos,
En 2013 el Gobierno aprob tres leyes para ltimo acceso: noviembre de 2015.
complementar la Ley de Delitos de Transferencias databank.bancomundial.org/data/home.aspx
Electrnicas de Fondos vigente (2006) y fortalecer
el marco jurdico del pas para las Tecnologas La fuente es la misma para todos los pases.
de Informacin y Comunicaciones (TIC): la Ley de
Delitos Electrnicos, la Ley de Pruebas Electrnicas
y la Ley de Proteccin de Datos. El Laboratorio de Personas con acceso a Internet*
Investigacin Ciberntica Regional de la Polica Real Los usuarios de Internet son personas que han
de Antigua y Barbuda investiga el delito ciberntico utilizado Internet (en cualquier lugar) en los ltimos
12 meses. Internet puede ser utilizado a travs de
tanto a nivel nacional como en la regin del Caribe. un ordenador, telfono mvil, agenda electrnica,
Tambin procesa evidencia digital que se presentar mquina de juegos, TV digital, etc.
en los casos de delitos cibernticos. Sin embargo, Banco de Datos del Banco Mundial (2016).
Antigua y Barbuda
POBLACIN TOTAL DEL PAS 90.900 Penetracin de Internet
64%
Abonos a telfonos celulares 109.100

64%
Personas con acceso a Internet* 58.176
48
Poltica y estrategia Marcos legales
Estrategia nacional de seguridad Marcos jurdicos de seguridad ciberntica
ciberntica oficial o documentada Para la seguridad de las TIC
Desarrollo de la estrategia Privacidad, proteccin de datos
Organizacin y otros derechos humanos
Contenido Derecho sustantivo de delincuencia ciberntica
Defensa ciberntica
Estrategia Investigacin jurdica
Organizacin Cumplimiento de la ley
Coordinacin La fiscala
Tribunales

Cultura y sociedad
Mentalidad de seguridad ciberntica
En el gobierno
En el sector privado
Tecnologas
En la sociedad Adhesin a las normas
Aplicacin de las normas y
Conciencia de seguridad ciberntica
prcticas mnimas aceptables
Sensibilizacin
Adquisiciones
Confianza en el uso de Internet Desarrollo de softwre
En los servicios en lnea
Organizaciones de coordinacin
En el gobierno electrnico de seguridad ciberntica
En el comercio electrnico Centro de mando y control
Privacidad en lnea Capacidad de respuesta a incidentes
Normas de privacidad Respuesta a incidentes
Privacidad del empleado Identificacin y designacin
Organizacin
Coordinacin
Educacin Resiliencia de la infraestructura nacional
Disponibilidad nacional de la educacin Infraestructura tecnolgica
y formacin cibernticas Resiliencia nacional
Educacin
Formacin
Identificacin
Desarrollo nacional de la educacin Organizacin
de seguridad ciberntica Planeacin de respuesta
Desarrollo nacional de la educacin Coordinacin
Gestin de riesgos
Formacin e iniciativas educativas
Gestin de crisis
pblicas y privadas
Capacitacin de empleados en seguridad Planeacin
ciberntica Evaluacin
Gobernanza corporativa, conocimiento y normas Redundancia digital

Comprensin de la seguridad ciberntica Planeacin
por parte de empresas privadas y estatales Organizacin
OBSERVATORIO DE LA
CIBERSEGURIDAD 49
.ar Argentina
Poltica y estrategia Bajo la direccin del Programa Nacional de obligado por ley a reportar las violaciones a la
Infraestructuras Criticas de Informacin y seguridad ciberntica. Sin embargo ha crecido
Ciberseguridad (ICIC) y en coordinacin con diversos de manera significativa entre las empresas una
organismos, instituciones acadmicas y el sector conciencia de riesgos de seguridad ciberntica.
privado, el Gobierno de Argentina ha desarrollado La Divisin de Delitos Tecnolgicos de la Polica
un proyecto de Estrategia Nacional de Seguridad Federal Argentina (PFA) es responsable de investigar
Cultura y sociedad Ciberntica que se encuentra en espera de adopcin. los casos de delitos informticos y asume una
Argentina se distingue por haber formado el serie de capacidades, que incluyen el suministro
primer CSIRT nacional en 1994, que desde 2011 de informacin sobre cmo detectar y reportar
ha funcionado bajo el ICIC. ICIC-CERT mantiene ataques cibernticos. Recientemente, el Gobierno
un registro central de los eventos y amenazas de de Argentina estableci tambin un punto focal en
seguridad ciberntica. Las Fuerzas Armadas realizan materia de ciberdelincuencia bajo la oficina del
Ejercicios Nacionales de Respuesta a Incidentes Ministerio Pblico Fiscal.
Cibernticos (ENRIC) anuales para compartir
Educacin mejores prcticas y revisar funciones de mando Como los servicios de gobierno electrnico y
y control; sin embargo actualmente tienen una comercio electrnico de la Argentina continan
capacidad limitada de resiliencia ciberntica. en expansin, las entidades gubernamentales han
liderado campaas de concientizacin para educar al
Anteriormente la infraestructura crtica nacional pblico sobre la seguridad ciberntica. Dos ejemplos
Marcos legales (ICN) se manejaba ms o menos de manera notables son Internet Sano del ICIC, que se centra
informal; sin embargo, en junio de 2015 la en mejores prcticas para el uso seguro de Internet, y
Presidencia de la Repblica de Argentina emiti Con Vos en la Web bajo la direccin del Ministerio
el Decreto n 1067/2015 que reestructur el control de Justicia y Derechos Humanos, que les ensea a
gubernamental de la ICN, y estableci una Oficina nios y nias, padres y maestros sobre la amenaza
Nacional bajo la direccin de la Subsecretara de la captacin de menores en lnea o grooming
de Proteccin de Infraestructuras Crticas de (creacin de lazos de amistad abusivos en la web
Informacin y Ciberseguridad bajo la Jefatura del con los nios para atraerlos al abuso sexual o la
Tecnologa Gabinete de Ministros y Secretara del Gabinete. trata de personas). Adems, algunas universidades
Este nuevo programa trabajar para desarrollar ofrecen programas de grado en seguridad ciberntica
normas y estndares de seguridad ciberntica, as e informtica forense.
como para colaborar con el sector privado para
mejorar la resiliencia de la ICN.
En medio de un aumento de los delitos informticos,

el Gobierno de Argentina ha construido un
exhaustivo marco jurdico para las TIC, incluyendo
la Ley 26.388, el Cdigo Penal y la Ley 25.326 sobre
proteccin de datos. Tambin est desarrollando
legislacin procesal para el tratamiento de
evidencia digital. Si bien existen mecanismos
para la divulgacin, el sector privado no est
Argentina
POBLACIN TOTAL DEL PAS 42.980.026 Penetracin de Internet
65%
Abonos a telfonos celulares 66.356.509

65%
Personas con acceso a Internet 27.937.016
50
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 51
Bahamas
.bs (Commonwealth de)
Poltica y estrategia El Ministerio de Seguridad Nacional del Gobierno requisito de divulgacin para el sector privado
de Bahamas es la principal entidad encargada para denunciar violaciones a las autoridades. Por
de la seguridad ciberntica en el pas. Aunque no otra parte los tribunales y los fiscales cuentan con
ha lanzado una poltica o estrategia nacional de una capacidad limitada para manejar evidencia
seguridad ciberntica, el 23 de abril de 2014 el electrnica.
Ministerio de Seguridad Nacional llev a cabo un
Cultura y sociedad taller con mltiples partes interesadas y con el No hay ninguna campaa de sensibilizacin
apoyo del Programa de Seguridad Ciberntica de la actualmente en Bahamas, pero s hay algunas
OEA para el desarrollo de una estrategia nacional3. opciones disponibles para la formacin en el tema,
El Gobierno de Bahamas no cuenta con un CSIRT como el Programa de Certificacin Avanzada de
nacional para responder a eventos cibernticos. la International Compliance Association (ICA) en
Sin embargo tras un ataque en mayo de 2015 de Seguridad Ciberntica ofrecido en el Instituto de
un extremista islmico contra la infraestructura Servicios Financieros de Bahamas.
de TI del gobierno, se cre un grupo de trabajo de
Educacin expertos y en junio de ese ao se ofreci al personal
del gobierno y del sector privado un curso gratuito
de formacin en hackeos ticos4. La infraestructura
nacional de TI de Bahamas se gestiona de manera
informal y no existe categorizacin formal de
Marcos legales vulnerabilidades o amenazas.
En 2003 el Parlamento promulg la Ley de Uso

Indebido de Equipos de Cmputo, que dispone
criminalizacin exhaustiva de y derecho procesal
para ataques cibernticos y actos maliciosos
relacionados. El Parlamento tambin ha firmado
la Ley de Proteccin de Datos (2003) y la Ley de
Tecnologa Transacciones y Comunicaciones Electrnicas (2006)
que protegen los derechos de los ciudadanos en
la web y establecen normas y reglamentos para
el comercio electrnico y otros servicios en lnea
respectivamente. Por otra parte, Bahamas se ha
adherido a la Convencin sobre los Derechos del
Nio, que incluye la proteccin de los nios y nias
contra el abuso o la explotacin en Internet.
La Polica Real de Bahamas maneja los casos de

delitos cibernticos en el pas y tiene previsto
establecer una Unidad de Investigaciones de Delitos
Cibernticos especfica, que an no ha entrado en
funcionamiento. Actualmente no existe ningn

77%
Personas con acceso a Internet 294.951
52
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 53
.bb Barbados
Poltica y estrategia En los ltimos aos el Gobierno de Barbados sustantivo como procesal para la investigacin de
ha dado los primeros pasos para fortalecer la la delincuencia ciberntica. Barbados tambin ha
seguridad ciberntica de su pas. En 2013 la promulgado la Ley de Asistencia Mutua en Asuntos
Unidad de Telecomunicaciones perteneciente Penales, Captulo 140 Seccin 6, que le permite
al Ministerio de Energa firm un acuerdo con al Gobierno de esta nacin solicitar la ayuda de
la Unidad Internacional de Telecomunicaciones los pases del Commonwealth en la obtencin de
Cultura y sociedad para establecer un CSIRT nacional y el gobierno pruebas electrnicas.
se encuentra actualmente en conversaciones
consultivas con la Unin de Telecomunicaciones Tres cuartas partes de la poblacin de Barbados
del Caribe y la Organizacin de Telecomunicaciones est conectada a Internet y las partes interesadas
del Commonwealth para desarrollar un Modelo en la seguridad ciberntica estn preocupadas por
de Gobernanza Ciberntica del Commonwealth. que la gran mayora de la sociedad no es consciente
Sin embargo la aplicacin de estas medidas ha de los riesgos y vulnerabilidades asociadas con el
sido lenta y las autoridades han mencionado como uso de tecnologa de la informacin6. Para crear
Educacin obstculos para el avance la falta de fondos para la conciencia, Barbados se ha sumado a la campaa
seguridad ciberntica y una limitada cooperacin THINKCLICKSURF de la Unidad Internacional de
interinstitucional. Telecomunicaciones. Como parte de la campaa,
la Polica Real de Barbados realiza una gira por las
En junio de 2015 la pgina web del Servicio escuelas primarias y secundarias de todo el pas
Marcos legales de Informacin del Gobierno de Barbados fue para educar a los estudiantes sobre las prcticas
atacada por piratas informticos. Afortunadamente seguras de Internet, la privacidad y el acoso en lnea.
en cuestin de horas las autoridades pudieron En cuanto a la educacin superior, el campus de la
restaurar el sitio web y mitigar el ataque5. Mientras Universidad de las Indias Occidentales de Barbados
que el sector bancario y algunas de las principales ofrece cursos, pero en la actualidad no existe un
empresas han adoptado medidas de seguridad programa de grado en seguridad ciberntica.
ciberntica ms fuertes, las autoridades creen que
muchas empresas del sector privado y algunas
Tecnologa entidades gubernamentales carecen de estructuras
adecuadas para defenderse de las amenazas
cibernticas.
La Unidad de Delitos Cibernticos de la Polica Real

de Barbados es la principal agencia responsable de
investigar los casos de delincuencia ciberntica.
La unidad recibe capacitacin tcnica de expertos
regionales e internacionales en materia de seguridad
ciberntica y est trabajando para crear su propio
laboratorio de anlisis forense digital. En cuanto a
los delitos informticos, la Polica Real de Barbados
cumple con la Ley de Uso Indebido de Equipos de
Cmputo, 2005-4, que incluye tanto el derecho
Barbados
77%

77%
54
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 55
.bz Belice
Poltica y estrategia En 2014 el Ministerio de Seguridad Nacional vinculante para la divulgacin de brechas en
organiz un Comit ad hoc de Seguridad seguridad ciberntica, el gobierno y sector privado
Ciberntica, compuesto por mltiples partes cooperan para denunciar y abordar los ataques
interesadas, incluyendo la academia y el sector cibernticos y, si bien las estadsticas son limitadas,
privado, para trabajar juntos en el desarrollo de el Gobierno de Belice ha notado un aumento de
una estrategia nacional de seguridad ciberntica, los incidentes en los ltimos aos.
Cultura y sociedad reforzar la legislacin de delito ciberntico y crear
conciencia sobre el delito ciberntico en Belice. En respuesta a las crecientes amenazas a la
El comit ha recibido asistencia del Programa seguridad ciberntica en la regin, el gobierno
de Seguridad Ciberntica de la OEA. Adems ha comenzado a promover tecnologa y estndares
Belice est planeando una Poltica Nacional ms fuertes de seguridad entre las entidades y los
de Innovacin de las TIC que busca ampliar operadores de la Infraestructura Crtica Nacional
los servicios de gobierno electrnico, as como (ICN). Sin embargo, las partes interesadas no han
implementar medidas de seguridad ciberntica formulado planes de respuesta u otras polticas
Educacin relacionadas. Adicionalmente la Organizacin de gestin de crisis en relacin con la proteccin
Central de Tecnologas de Informacin tambin est de la ICN.
concluyendo su Poltica, Estrategia y Plan de Accin
de Gobierno Electrnico. El pas tambin participa Con una penetracin de Internet del 39%, gran
en el Proyecto de la Unin de Telecomunicaciones parte de la sociedad de Belice no ha desarrollado
Marcos legales del Caribe y la Comunidad del Caribe (CARICOM) una mentalidad frente a la seguridad ciberntica7.
HIPCAR, una iniciativa para unificar las gestiones Con el fin de crear conciencia sobre los asuntos
de innovacin de las TIC en toda la regin. de seguridad ciberntica, el Departamento
de Polica de Belice (BPD, por sus siglas en
Belice no cuenta ni con una poltica de ingls) participa en un Programa Itinerante de
defensa ciberntica ni un CSIRT nacional; en Tecnologas de Informacin y Comunicaciones
consecuencia los ataques cibernticos son anual, organizado por el Ministerio de Energa,
manejados principalmente por la Unidad de TI Ciencia y Tecnologa y Servicios Pblicos. El
Tecnologa del Departamento de Polica del pas. La Unidad de BPD utiliza esta plataforma para educar a las
TI del Departamento de Polica proporcion apoyo comunidades sobre las oportunidades y los riesgos
notable en seguridad ciberntica en coordinacin del espacio ciberntico. El prximo ao, con el
con CARICOM para la Copa Mundial de Cricket de apoyo del sector privado, la academia y otras
2007 y se comunica regularmente con los CSIRT partes interesadas, el Gobierno de Belice tiene
regionales. Belice ha promulgado cuatro leyes previsto celebrar su Primera Semana Anual de
relacionadas con la delincuencia ciberntica, a Seguridad Ciberntica. Adems, Belice tambin
saber: Ley de Telecomunicaciones, Ley de Pruebas espera lanzar la campaa de educacin pblica
Electrnicas, Ley de Propiedad Intelectual y STOP.THINK.CONNECT. para finales de 2015.
Ley de Interceptacin de Comunicaciones. Sin Actualmente no hay programas de licenciatura
embargo, sin una ley penal integral la polica en seguridad ciberntica en las universidades del
y el Poder Judicial tienen dificultades para pas, pero algunas empresas del sector privado s
enjuiciar efectivamente los delitos cibernticos. ofrecen programas de formacin.
En consecuencia, aunque no existe un acuerdo
Belize
39%

39%
56
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 57
.bo Bolivia
Poltica y estrategia La Agencia para el Desarrollo de la Sociedad de el artculo 281 de la Ley 3325 de 2006 contra la
la Informacin en Bolivia (ADSIB) es la agencia trata de personas, la pornografa infantil y otros
principal de gestin de asuntos de seguridad actos infames que a menudo se relacionan con
ciberntica y gobierno electrnico en Bolivia. Internet. No existe ninguna legislacin especfica
Los objetivos del ADSIB incluyen gestiones de relativa a la delincuencia informtica. Sin embargo,
coordinacin para ampliar las Tecnologas de el pas ha desarrollado un proyecto de ley sobre
Cultura y sociedad Informacin y Comunicaciones (TIC) mediante la documentos electrnicos, firma electrnica y
sensibilizacin de la sociedad sobre la seguridad comercio electrnico destinado a mejorar la
ciberntica y la asociacin en proyectos con el capacidad de resiliencia de la infraestructura de
sector privado y la sociedad civil8. El Gobierno TI y fortalecer la seguridad ciberntica nacional. El
de Bolivia no ha desarrollado una estrategia o IITCUP menciona la falta de un canal formal para
poltica de seguridad ciberntica oficial. Adems, la obtencin de la divulgacin oportuna de ataques
previamente tuvo que coordinar la respuesta a cibernticos como un problema importante para
incidentes a travs de los CSIRT de otros pases, por hacer cumplir la ley.
Educacin ejemplo frente a una amenaza a la Infraestructura
Crtica Nacional a travs del ArCERT de Argentina. Mientras que el ADSIB ofrece una variedad de
Sin embargo, en 2015 se puso en operacin el literatura que detalla el uso seguro de Internet en
CSIRT oficial de Bolivia, CSIRT-BO. su sitio web, as como seminarios de formacin,
hasta la fecha el Gobierno de Bolivia no ha liderado
Marcos legales En 2013 Bolivia fortaleci su infraestructura ninguna campaa nacional de sensibilizacin
nacional de TI con el desarrollo de un Punto sobre la materia. En cambio, muchas universidades
de Intercambio de Trfico de Internet nacional ofrecen clases sobre seguridad ciberntica, aunque
(IXP), llamado PIT-BOLIVIA.9 Los operadores de en su mayora son a nivel terico con trabajo
infraestructura crtica tambin han implementado prctico tcnico limitado.
procedimientos y estndares de seguridad ad hoc
pero no existe una colaboracin formal entre las
partes interesadas en este sentido.
Tecnologa
La Divisin Informtica Forense del Instituto
de Investigaciones Tcnico Cientficas de la
Universidad Policial (IITCUP) se encarga de los
casos nacionales de delincuencia ciberntica. El
Gobierno ha estado trabajando recientemente
para fortalecer la capacidad del IITCUP. La Divisin
hace cumplir el Captulo XI del Cdigo Penal
(establecido en 1997), que tipifica como delito la
manipulacin o la obtencin ilegal de informacin
en Internet y en los artculos 253 y 254 del Cdigo
de Procedimiento Penal se establecen normas para
la obtencin de evidencia electrnica. La Asamblea
Legislativa Plurinacional tambin ha aprobado
Bolivia
39%

39%
58
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 59
.br Brasil
Poltica y estrategia Brasil ha realizado grandes inversiones en las TIC mantiene un CSIRT, el CTIR.gov, que proporciona
como una manera de promover el crecimiento servicios de respuesta a incidentes y recopilacin
econmico y el progreso social. A la luz de su de datos para la Administracin Pblica Federal.
creciente adopcin de las TIC, Brasil se ha convertido
en un objetivo prioritario de los ataques y delitos El esquema de Brasil para abordar las actividades
cibernticos incluyendo olas de phishing focalizado, cibernticas ilcitas se basa en la Ley n 12.965/2014,
Cultura y sociedad malware y ataques DDoS antes de la Copa del el Marco de Derechos Civiles para Internet y la
Mundo de 2014. Mientras se prepara para los Juegos Ley n 12.737, que tipifica formalmente el delito
Olmpicos de 2016 la administracin Ro de Janeiro ciberntico. Sin embargo estas leyes se consideran
ha construido un centro urbano integrado.10 insuficientes para disuadir a los delincuentes. Ha
estado recientemente bajo consulta pblica una
En 2010 el Departamento de Seguridad de la ley especfica para hacer frente a la privacidad en
Informacin y Comunicaciones public la Gua de Internet y regular la conservacin de datos por parte
Referencia para la Proteccin de Infraestructuras de los Proveedores de Servicios de Internet, pero
Educacin Crticas de Informacin y el Libro Verde de Seguridad no se ha adoptado formalmente. La Oficina para
Ciberntica en Brasil. Estos documentos han servido la Represin de la Delincuencia Ciberntica de la
como base para la recin publicada Estrategia Polica Federal es la principal entidad encargada
Nacional de Seguridad de las Comunicaciones de investigar los delitos cibernticos y cuenta con
de Informacin y Seguridad Ciberntica de la un laboratorio forense digital. Algunos estados de
Marcos legales Administracin Pblica Federal11. Las Fuerzas Armadas Brasil tambin cuentan con equipos de enjuiciamiento
brasileas tambin discuten las preocupaciones sobre especializados. Aunque el sector privado no est
defensa ciberntica en su Libro Blanco de Defensa obligado a revelar incidentes cibernticos, la Oficina
Nacional 2012. Recientemente crearon un Comando para la Represin de la Delincuencia Ciberntica tiene
de Defensa Ciberntica formal y una Escuela Nacional una relacin laboral con las empresas.
de Defensa Ciberntica, adems del Centro para la
Defensa Ciberntica del Ejrcito (CDCiber). La comprensin pblica de los problemas de
seguridad ciberntica en Brasil es generalmente
Tecnologa Brasil tiene varios de Equipos de Respuesta a baja y organizaciones como el CGI.br y el NIC.br
Incidentes de Seguridad Informtica (CSIRT), que han tratado de abordarla mediante la emisin de
van desde entidades administradas por el gobierno numerosos boletines y campaas de sensibilizacin.
a equipos del sector privado o acadmicos. El El sector privado est cada vez ms informado acerca
Comit Gestor de Internet en Brasil (CGI.br) es de la necesidad de tener una mejor proteccin
el encargado de coordinar todas las iniciativas contra las amenazas cibernticas. Las empresas
de servicios de Internet en el pas y el Centro de y los operadores de infraestructuras crticas han
Informacin de la Red Brasilea (NIC.br) trabaja implementado requisitos de privacidad para sus
para implementar este tipo de iniciativas 12. empleados y estn desarrollando estndares de
El equipo Nacional de Respuesta a Incidentes adquisiciones y tecnologa. Tambin existe un fuerte
Informticos de Brasil (CERT.BR), que opera bajo el mercado nacional de tecnologas de seguridad
CGI.br y el NIC.br, es responsable de la respuesta y ciberntica. La academia ofrece una gran cantidad
coordinacin a incidentes, capacitacin y campaas de oportunidades para la educacin en seguridad
de concientizacin. El Departamento de Seguridad ciberntica con varias universidades que tienen
de Informacin y Comunicaciones de Brasil tambin programas de maestra y doctorado.
Brazil
58%

58%
60
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 61
.cl Chile
Poltica y estrategia El Ministerio del Interior y Seguridad Pblica, suplantacin de identidad (phishing), malware
el Secretario General de la Presidencia y la y piratera informtica son los tipos ms
Subsecretara de Telecomunicaciones son frecuentes de ataques cibernticos en el pas. El
los principales organismos nacionales que Departamento de Investigacin de Organizaciones
establecen la poltica de seguridad ciberntica Criminales (OS-9) y el Laboratorio de Criminalstica
a nivel gubernamental. Si bien el pas no ha de los Carabineros (LABOCAR), la polica nacional
Cultura y sociedad emitido una estrategia nacional de seguridad de Chile, llevan a cabo investigaciones y anlisis
ciberntica, la sensibilizacin entre las forense digital respectivamente. Estas unidades
instituciones gubernamentales es generalizada. La han detenido con xito numerosos criminales
infraestructura gubernamental presenta tecnologa cibernticos en los ltimos aos. Por ltimo, los
de seguridad actualizada y las partes interesadas tribunales tienen una capacidad adecuada para
pertinentes regularmente analizan los activos manejar evidencia electrnica.
y vulnerabilidades de la Infraestructura Crtica
Nacional. El Estado tambin coordina la planeacin La mentalidad de seguridad ciberntica es
Educacin de gestin de crisis y ha puesto en marcha medidas inconsistente en la sociedad chilena. En 2013,
de redundancia. para crear conciencia, el Ministerio de Educacin
inici la campaa de Internet Segura para
Las ramas de las Fuerzas Armadas de Chile educar a los jvenes sobre la privacidad y el uso
comparten responsabilidades de defensa seguro de Internet. Tambin est en marcha una
Marcos legales ciberntica e informacin pero no tienen una campaa, llamada Consumidor Digital, para que
estructura central de mando y control. Uno de los los ciudadanos tengan cuidado de los riesgos del
principales desafos de Chile de cara al futuro es comercio electrnico y para que entiendan sus
el fortalecimiento de su capacidad de respuesta derechos como consumidores. La Universidad
a incidentes: el CSIRT-CL que se encuentra en de Chile ofrece ttulos avanzados en seguridad
funcionamiento desde 2004 ofrece respuesta a ciberntica y tambin estn disponibles diversos
incidentes para los sitios web del gobierno pero cursos en lnea y capacitacin para empleados.
no est institucionalizado formalmente a nivel Comparativamente, el sector privado se ha
Tecnologa nacional para abordar todo tipo de violaciones. vuelto cada vez ms consciente de los riesgos
de seguridad ciberntica y ha puesto en marcha
Chile ha establecido un marco jurdico global planes para abordarlos.
para hacer frente a los delitos cibernticos. El
Decreto Supremo n 1299 describe las normas y
define los roles para el manejo de la delincuencia
ciberntica, la Ley n 19.223 introduce los delitos
informticos al Cdigo Penal y la Ley n 19.628
cubre la privacidad y proteccin de datos. Aunque
el sector privado no est obligado por ley a
divulgar las violaciones, el gobierno trabaja en
estrecha colaboracin con las empresas para
informar y responder a incidentes cibernticos.
De acuerdo con las autoridades de Chile, la
Chile
72%

72%
62
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 63
.co Colombia
Poltica y estrategia El Consejo Nacional de Poltica Econmica y Social La conciencia social sobre la importancia de la
del Gobierno de Colombia estableci la poltica privacidad y la seguridad en Internet y la confianza
nacional de seguridad ciberntica CONPES 3701 en los sistemas digitales del pas ha crecido
bajo el auspicio del Ministerio de Tecnologas de notablemente, en parte debido a las campaas
la Informacin y las Comunicaciones (MinTIC), el nacionales, como en la campaa en TIC Confo
Ministerio de Defensa, el Departamento Nacional del MinTIC. Colombia cuenta con ms de 2.000
Cultura y sociedad de Planeacin y otras instituciones nacionales oportunidades de comercio electrnico y servicios
clave. Adems, en 2014 una Misin de Asistencia de gobierno electrnico que se realizan en su
Tcnica de la OEA al pas ayud a construir la mayora en un entorno seguro. Aun as, la mayora
capacidad de las partes interesadas de desarrollar de ciudadanos y empleados privados cuentan con
marcos y polticas institucionales. Si bien est muy por lo menos un nivel mnimo de infraestructura de
extendida la conciencia sobre el CONPES 3701, no privacidad y hay leyes en vigor que obligan a las
se han definido claramente mandatos especficos. empresas a implementar polticas de proteccin
El Grupo de Respuesta de Emergencias Cibernticas de datos en el lugar de trabajo como la Ley 1581
Educacin de Colombia (ColCERT) es una institucin clave de 2012 y el Decreto 1377 de 2013.
en defensa y seguridad ciberntica y se muestra
competente para la coordinacin con otros El desarrollo de educacin de seguridad ciberntica
organismos y el sector privado. El programa CERT nacional ha experimentado un crecimiento notable
de Colombia funciona principalmente como un y los foros pblico-privados y centros de excelencia
Marcos legales mecanismo de respuesta a incidentes cibernticos financiados por el gobierno han comenzado
especficos de la organizacin, y los programas de a gestarse en el pas. Numerosas universidades,
gestin del riesgo han comenzado a surtir efecto. organismos policiales y de defensa y las empresas
ltimamente, el Ministro de TIC de Colombia ha privadas ofrecen cursos y capacitaciones, incluyendo
informado que una nueva estrategia de seguridad maestras y programas de acreditacin.
ciberntica y defensa ciberntica estar lista para
finales de 2015 o inicios de 2016.
Tecnologa Colombia ha aprobado una legislacin procesal

penal integral y de efectiva penalizacin (Ley 1273
y Ley 906) para abordar los delitos cibernticos y
reconoce los tratados internacionales con Interpol
y Europol. Las fuerzas del orden y el Poder Judicial
tienen la capacidad de investigar y manejar casos
de delincuencia ciberntica, pero carecen de la
formacin y capacidad para lograr los mismos
resultados en los tribunales. Asimismo, si bien la Ley
1581 establece un marco bsico para la proteccin
de datos y divulgacin y denuncia de las violaciones
de seguridad, a menudo los casos de los sectores
pblico y privado no se informan.
Colombia
53%

53%
64
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 65
.cr Costa Rica
Poltica y estrategia El Ministerio de Ciencia, Tecnologa y amenazas de seguridad ciberntica, sobre todo un
Telecomunicaciones (MICITT) de Costa Rica es ataque DoS en 2013 al Instituto Costarricense de
la autoridad principal responsable del manejo Electricidad (ICE) originado en Rusia. Actualmente
de los problemas y del desarrollo de polticas no existe un registro pblico de incidentes, aunque
relacionadas con la seguridad ciberntica nacional. el gobierno est en el proceso de desarrollar uno.
Otras instituciones, incluida la Secretara Digital/ Costa Rica no tiene un ejrcito permanente y la
Cultura y sociedad Gobierno Digital, la Seccin de Delitos Informticos Fuerza Pblica tiene estructuras y capacidades
del Poder Judicial, la Superintendencia de limitadas para construir capacidad de resiliencia
Telecomunicaciones, el Banco Central y la Agencia ciberntica.
de Proteccin de Datos de los Habitantes (Prodhab),
tambin han sido clave en esta rea. El MICITT El sector pblico y las organizaciones de la
est en las etapas iniciales de la planificacin de infraestructura critica nacional han asumido y
una estrategia de seguridad ciberntica nacional. promovido normas de seguridad internacionales
como la ISO/IEC 27001 pero el sector privado an
Educacin El ao 2012 fue un ao decisivo para la seguridad no las ha seguido y la falta de normas claras para
ciberntica en Costa Rica con la aprobacin de el registro proveedores del servicio de Internet
la Ley 9048 que introdujo formalmente el delito contina retrasando el avance de la seguridad
ciberntico al cdigo penal del pas. Costa Rica ciberntica. Sin embargo, grupos como el ICE han
tambin reconoce la Convencin Interamericana presionado para tener estndares de desarrollo de
Marcos legales sobre Asistencia Mutua en Materia Penal software y el sector privado participa en el mercado
(comnmente conocida como la Convencin de de la seguridad informtica, mediante la inversin en
Nassau) y regularmente coordina con la Interpol. Los sistemas de control de tecnologa de la informacin
ciudadanos en general gozan de la proteccin de la y la discusin de la necesidad de contar con un
libertad de expresin y los derechos a la privacidad seguro de delincuencia ciberntica. Por ltimo,
bajo la jurisdiccin interna. Sin embargo, aunque se reconoce la importancia de la privacidad de
la Fuerza Pblica maneja un laboratorio forense los empleados en el sector privado y las polticas
digital, las autoridades judiciales tienen dificultades de privacidad empiezan a ser institucionalizadas.
Tecnologa para procesar eficazmente los casos de delitos
informticos ya que un nmero limitado de fiscales La sensibilizacin pblica de la seguridad
y jueces tienen la capacidad de preparar y manejar ciberntica es generalmente baja y la sociedad toma
casos que involucran evidencia electrnica. pocas medidas para protegerse de las amenazas
cibernticas. En respuesta a lo anterior, el ICE
Adems, en 2012 el Gobierno de Costa Rica y otras fundaciones han liderado campaas de
estableci el CSIRT-CR (bajo el MICITT). El CSIRT- sensibilizacin, aunque con una difusin limitada
CR es el organismo nacional encargado no solo y pocos mecanismos de medicin. Cada vez hay
de la tarea de responder a los trastornos de la disponibles ms oportunidades para la educacin
seguridad ciberntica, sino tambin de coordinar y formacin en seguridad ciberntica en Costa
las funciones nacionales de mando y control. La Rica a travs de programas de pregrado, maestra
entidad ha recibido asistencia tcnica de la OEA y certificacin que ofrece la Universidad Cenfotec.
y de otros expertos regionales e internacionales y
ha detectado y mitigado con xito las principales
Costa Rica
49%

49%
66
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 67
.dm Dominica (Commonwealth de)
Poltica y estrategia Aunque ha comenzado con muy poca infraestructura Internacional de Telecomunicaciones, la resiliencia
existente, el Gobierno del Commonwealth de nacional y las gestiones de respuesta se llevan a cabo
Dominica ha dado grandes pasos en los ltimos aos de manera informal, sin ninguna estructura global.
para desarrollar una poltica y estrategia nacional
de seguridad ciberntica. En coordinacin con la Empresas lderes, como instituciones financieras,
OEA, la Iniciativa de Delincuencia Ciberntica del y algunos servicios de comercio electrnico han
Cultura y sociedad Commonwealth (CCI, por sus siglas en ingls) y el tomado medidas proactivas para aumentar la
Consejo de Europa (CoE, por sus siglas en ingls), sensibilizacin del sector privado ante el phishing
Dominica ha diseado una propuesta de Estrategia y otros ataques cibernticos, y estn comenzando
Nacional de Seguridad Ciberntica. Adems de a institucionalizar los estndares de privacidad
describir los riesgos nacionales y las metas de para los empleados. Sin embargo, la sociedad civil
desarrollo, la propuesta de estrategia define los generalmente desconoce las amenazas cibernticas.
mandatos para la creacin de un CSIRT nacional. Como parte de su proyecto de estrategia, el Gobierno
de Dominica est desarrollando campaas de
Educacin La principal autoridad de lucha contra el delito sensibilizacin para abordar este problema.
ciberntico, el Departamento de Investigaciones
Criminales de la Fuerza Policial del Commonwealth El Centro de Capacitacin de Negocios del Dominica
de Dominica, es la nica entidad encargada de State College y un puado de instituciones acadmicas
controlar e investigar los casos de delincuencia en lnea y privadas ofrecen educacin y formacin
Marcos legales ciberntica en el pas. A pesar de la falta de un relacionada con la seguridad ciberntica, pero sin la
laboratorio forense digital, ha logrado un xito coordinacin o aportes del Ministerio de Educacin,
considerable. Actualmente el gobierno del pas est o el establecimiento de alianzas pblico-privadas. No
elaborando una ley integral de crimen ciberntico obstante el Gobierno de Dominica ha organizado una
para ser adoptada en el Parlamento, y busca la serie de conferencias regionales e internacionales
adhesin a la Convencin del Consejo de Europa para compartir las mejores prcticas en materia de
sobre la Delincuencia Ciberntica (comnmente seguridad ciberntica.
conocida como la Convencin de Budapest), un
Tecnologa tratado internacional. Sin embargo no existe, en
gran medida, una legislacin sobre privacidad y
proteccin de datos.
Aunque su proyecto de estrategia describe riesgos

nacionales importantes, Dominica no tiene una
poltica de defensa ciberntica coordinada.
En casos de eventos cibernticos, las funciones
de mando y control se manejan ad hoc por
departamentos del gobierno. Mientras que los
dueos de la infraestructura crtica entienden los
riesgos de seguridad ciberntica y la tecnologa
de la Infraestructura Crtica Nacional en general
cumple con las normas internacionales de la Unin
Dominica
63%

63%
68
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 69
.ec Ecuador
Poltica y estrategia A pesar de que no ha desarrollado una estrategia La Unidad de Investigacin del Cibercrimen de
nacional de seguridad ciberntica, Ecuador ha la Direccin Nacional de la Polica Judicial e
hecho avances en los ltimos aos para fortalecer su Investigaciones se encarga de investigar los delitos
capacidad para abordar las amenazas informticas. cibernticos. Esta coopera con INTERPOL y ha estado
Ha designado a la Direccin de Arquitectura trabajando en el logro de una mayor cooperacin
Tecnolgica y Seguridad de la Informacin para interinstitucional, fomentando el intercambio de
Cultura y sociedad la promocin de una plataforma de gobierno informacin con el sector privado y la elaboracin
electrnico y la coordinacin de la gestin de la de un programa de capacitacin en evidencia digital
seguridad ciberntica. El Centro de Operaciones para la polica, los detectives y los tribunales.
Tecnolgicas Estratgicas y Contrainteligencia
de la Secretara de Inteligencia se encarga de los La falta de conciencia en la sociedad plantea uno de
aspectos tcnicos de la seguridad ciberntica del los mayores desafos a la seguridad ciberntica en
pas y un CSIRT nacional, el EcuCERT, entr en el pas. Los ataques cibernticos se incrementaron
funcionamiento en noviembre de 2013. A finales significativamente en los ltimos aos pero la
Educacin de 2013 las entidades pusieron a prueba su temple mayora de los afectados no conocan los medios
cuando fueron alertados de una amenaza de un ms eficaces para la denuncia de estos incidentes.
hackaton, dirigida a la Secretara de Inteligencia Para solucionar este problema, la Secretara de
que afortunadamente no se materializ. Las fuerzas Inteligencia ha liderado la campaa Promocin de
militares no han articulado una poltica de defensa una cultura de inteligencia. Si bien las oportunidades
Marcos legales ciberntica nacional, pero estn trabajando en de educacin en seguridad ciberntica son limitadas,
la asignacin de los lderes para un programa. la academia y el sector privado han presentado
Sin embargo, el pas ha instituido medidas para propuestas para el desarrollo de software y cursos
proteger la infraestructura gubernamental de de seguridad ciberntica.
los ataques cibernticos, incluido el Decreto
166 que requiere que toda la tecnologa de la
Administracin Pblica Central cumpla con las
normas de seguridad.
Tecnologa
La Ley n 2002-67 proporciona el marco general
de los delitos informticos y el gobierno busca el
apoyo de mltiples partes interesadas para instituir
reformas al Cdigo Orgnico Integral Penal para
abordar de manera ms adecuada la delincuencia
ciberntica. El gobierno est cerca de convertir
en ley la proteccin de datos. La Constitucin del
Ecuador establece las libertades de expresin y de
prensa. Sin embargo, el nuevo Cdigo Penal ha sido
criticado por tener el potencial de limitar la libertad
de expresin de los ciudadanos13.
Ecuador
43%

43%
70
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 71
.sv El Salvador
Poltica y estrategia El Ministerio de Justicia y Seguridad Pblica de delitos cibernticos en el pas y se ha asociado con
El Salvador es el principal organismo nacional la Oficina de las Naciones Unidas contra la Droga y
encargado de la seguridad ciberntica. Actualmente el Delito (ONUDD) para llevar a cabo ejercicios de
desarrolla una estrategia nacional de seguridad construccin de capacidad. Dado que la Divisin de
ciberntica pero an no ha divulgado la propuesta Ciberdelito no tiene un laboratorio forense digital,
completa. Tambin trabaja para asegurar que los recibe apoyo tcnico del SalCERT y ha investigado
Cultura y sociedad datos del gobierno estn respaldados y que se con xito varios casos, entre ellos uno en el que
practican los estndares de seguridad en todas atrap a un depredador sexual involucrado en
las infraestructuras de TI. El pas tiene un CSIRT captacin infantil con fines sexuales (grooming).
nacional, el SalCERT, que responde a los ataques
cibernticos y coordina con otros equipos de Con una tasa de penetracin de Internet del
respuesta regionales. El SalCERT ha tenido cierto 30%, la mayor parte de la sociedad salvadorea
xito en el seguimiento y la lucha contra amenazas, generalmente no es consciente de la seguridad
pero su capacidad es limitada debido a restricciones ciberntica 14. Hasta la fecha no ha habido
Educacin presupuestales. campaas de sensibilizacin en el pas. Por otra
parte, las universidades actualmente no tienen la
Aunque las Fuerzas Armadas de El Salvador capacidad de oferta de oportunidades de educacin
han identificado riesgos y reas importantes de en seguridad ciberntica pero el gobierno est
infraestructura a ser protegidas, no existe una tratando de construir este tipo de programas.
Marcos legales poltica oficial de defensa ciberntica. Sin embargo Por otro lado, el sector privado ha desarrollado
el gobierno maneja formalmente la seguridad de la una fuerte mentalidad en seguridad ciberntica
Infraestructura Crtica Nacional y est planeando y reconoce la necesidad de tener seguridad por
ejercicios de gestin de riesgos para establecer parte de los servicios de comercio electrnico y
las funciones y responsabilidades e identificar las ofrece capacitacin en seguridad ciberntica a
brechas en la seguridad ciberntica. los empleados.
La Asamblea Legislativa de El Salvador ha

Tecnologa promulgado leyes sobre proteccin de datos y
acceso a la informacin pblica que establecen
normas para la transparencia y la libertad de
informacin as como para la proteccin de la
informacin personal de los ciudadanos. Tambin
ha elaborado proyectos de ley sobre delincuencia
ciberntica que estn en espera de adopcin.
Existe un mecanismo formal para la solicitud de
divulgacin por parte del sector privado en casos
de delitos cibernticos; sin embargo las solicitudes
deben ser emitidas directamente desde la Fiscala
General de la Repblica, lo que puede retrasar
las gestiones de investigacin. La Divisin de
Ciberdelito de la Polica Nacional Civil investiga los
El Salvador
30%

30%
72
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 73
.gd Granada
Poltica y estrategia En 2012 una asociacin entre el Gobierno En 2013 el Parlamento de Granada aprob la Ley
de Granada y la Unin Internacional de de Delitos Electrnicos, que agreg formalmente
Telecomunicaciones evalu el estado de preparacin el delito ciberntico al Cdigo Penal y estableci
en materia de seguridad ciberntica del pas e hizo procedimientos para su fiscalizacin. Como algunas
recomendaciones para el desarrollo de polticas disposiciones de la ley alentaron un escrutinio sobre
ms firmes15. Desde 2012 Granada ha expresado la su potencial para limitar las libertades civiles, el
Cultura y sociedad necesidad de tener un CSIRT nacional. La Comisin Parlamento decidi modificar dichas secciones con
Nacional Reguladora de Telecomunicaciones (NTRC, el fin de proteger la libertad de expresin. A pesar
por sus siglas en Ingls) se encarga de desarrollar la de que an no ha sido adoptada, Granada tambin
estrategia y la poltica de seguridad ciberntica; sin ha elaborado una legislacin para la proteccin de
embargo a 2015 no se han formado ni una estrategia datos y la libertad de informacin.
nacional ni un CSIRT. La Comisin Nacional
Reguladora de Telecomunicaciones tambin ayuda A medida que la conectividad a Internet se expande
a coordinar la seguridad para los operadores de la en Granada, se han puesto a disposicin muchos
Educacin Infraestructura Crtica Nacional, pero las autoridades nuevos servicios de comercio electrnico. Las juntas
han informado que en la actualidad desempea un de directivos de las empresas privadas tienen una
rol limitado. Mientras que el gobierno en general cierta comprensin de la seguridad ciberntica
no est capacitado en seguridad ciberntica, la y estn considerando la implementacin de
Polica Real de Granada, la principal entidad del mayores estndares de seguridad para las normas
Marcos legales pas para la defensa ciberntica y la investigacin de de tecnologa y privacidad de los empleados.
delincuencia ciberntica, ha recibido capacitacin Aunque la tecnologa de las infraestructuras
en seguridad ciberntica del Programa de Asistencia crticas nacionales pueden seguir las normas
Antiterrorista del Gobierno de Estados Unidos. aplicadas por los desarrolladores iniciales, su
funcionamiento a menudo se realiza bajo un control
La divisin de las TIC de la Polica Real de Granada gubernamental limitado. Actualmente en el pas no
investiga las violaciones a la seguridad ciberntica hay programas de grado en seguridad ciberntica u
y los delitos cibernticos. Un miembro de la fuerza otras oportunidades educativas relacionadas para
Tecnologa inform que desde 2012 hasta 2015 se investigaron los ciudadanos granadinos.
21 casos. De aquellos que llegaron a la corte, uno
fue procesado con xito y uno estaba en progreso.
Sin embargo, la ausencia de un mecanismo de
divulgacin formal para el sector privado puede
obstaculizar las gestiones para descubrir la
delincuencia ciberntica. Aunque la Polica Real de
Granada cuenta con algunos equipos para el anlisis
forense digital, existe la necesidad de contar con
actualizaciones de software y otras herramientas.
Por otra parte, el Poder Judicial por lo general
carece de la capacidad de corte digital necesaria
para manejar evidencia electrnica.
Grenada
37%

37%
74
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 75
.gt Guatemala
Poltica y estrategia Aunque entidades gubernamentales lderes Teniendo en cuenta que la tasa de penetracin de
han comenzado a darle prioridad a los asuntos Internet en el pas es del 23% y que su poblacin es
de seguridad ciberntica y evaluar los riesgos en gran parte rural, es inconsistente la asimilacin
nacionales, Guatemala no tiene una estrategia de una mentalidad de seguridad ciberntica
nacional de seguridad ciberntica expresa. Su en la sociedad17. Al mismo tiempo, el gobierno
principal entidad de seguridad ciberntica es el electrnico y los servicios de comercio electrnico
Cultura y sociedad Equipo de Respuesta a Incidentes de Seguridad en Guatemala han crecido considerablemente
Informtica nacional, el CSIRT-gt, un equipo ad hoc en los ltimos aos. Los miembros del Congreso
que histricamente ha operado bajo el Ministerio han trabajado para abordar este tema mediante
de Defensa. El CSIRT-gt ha recibido capacitacin la formacin del Frente Parlamentario de las
de la OEA y otras instituciones internacionales. Tecnologas de la Informacin y la Comunicacin,
Recientemente, el Ministerio de Gobernacin que adems de promover la legislacin contra
tambin ha mostrado inters en ir avanzando en la delincuencia ciberntica, tiene como objetivo
los temas de seguridad ciberntica en Guatemala. promover la conciencia de seguridad ciberntica
Educacin y mejorar las normas y mejores prcticas en el
Con la asistencia ofrecida por el CSIRT-gt, las sector privado y la sociedad civil.
fuerzas del orden tienen una cierta capacidad
para investigar ataques y delincuencia cibernticas, Aunque Guatemala no cuenta con una estrategia
pero las autoridades manifiestan que hasta que a nivel nacional para el desarrollo de la educacin
Marcos legales no se cuente con una legislacin integral sobre de seguridad ciberntica, una universidad tcnica
delincuencia ciberntica, el sistema judicial tendr y varias empresas privadas ofrecen ttulos y
dificultades para procesar los casos eficazmente. certificaciones en seguridad de la informacin.
Por otra parte, no existe una poltica de divulgacin Adems hay una serie de profesionales con
y aparte de ciertas instituciones financieras, el certificacin CISSP (Certified Information Systems
sector privado rara vez informa al gobierno de Security Professional en ingls). Los prximos pasos
eventos cibernticos. Sin embargo el sector privado incluyen la implementacin de un programa de
tiene su propia entidad de respuesta a incidentes, capacitacin conjunto pblico-privado para los
Tecnologa el CERT Cyberseg. empleados del gobierno y del sector privado, que
ser administrado por el CSIRT-gt en asociacin
A raz de un aumento en ataques cibernticos contra con un proveedor de servicios.
la infraestructura del gobierno en los ltimos aos,
las entidades guatemaltecas han comenzado a
tomar medidas para proteger sus activos nacionales,
aunque con poca comunicacin formal 16. Los
operadores de la Infraestructura Crtica Nacional
han desplegado algunas medidas de seguridad y
software que cumplen con la norma ISO 27000 y
otras normas internacionales. La infraestructura de
tecnologa suele tercerizarse y el gobierno tiene
un control mnimo de la misma.
Guatemala
23%

23%
76
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 77
.gy Guyana
Poltica y estrategia Desde el ao 2013, Guyana y el resto de la regin A medida que crecen las oportunidades de banca en
1 del Caribe han visto un aumento en los ataques lnea y otros servicios de comercio electrnico, las
1
1
cibernticos18. En agosto de ese ao el Gobierno entidades del sector privado de Guyana comienzan a
1 de Guyana estableci su Equipo de Respuesta a darle prioridad a la seguridad ciberntica como algo
2 Incidentes de Seguridad Informtica nacional, el importante. En consecuencia, las partes interesadas
CSIRT.GY, ubicado bajo el Ministerio del Interior. han comenzado a invertir en la formacin de
Cultura y sociedad Como mecanismo principal de respuesta a los seguridad ciberntica para sus empleados, y no
2
2
incidentes relacionados con la seguridad ciberntica solo para aquellos con funciones de TI. Actualmente
2 del pas, el CSIRT-GY presta la colaboracin en el el gobierno tiene una lista de profesionales ad hoc
2 lugar, la coordinacin de incidentes, anlisis de certificados en seguridad ciberntica.
2
1 incidentes, el soporte tcnico, documentacin y
1 consejos sobre la seguridad ciberntica. Tambin Por otro lado, en la sociedad civil la conciencia
1 coordina regularmente con la OEA y otros CSIRT de seguridad ciberntica es generalmente baja.
nacionales para fortalecer la capacidad tcnica y Aunque el CSIRT-GY ha explorado la posibilidad de
Educacin compartir mejores prcticas e informacin y est realizar una campaa de sensibilizacin, hasta la
1
1
comenzando a establecer lneas de comunicacin fecha ni esta ni ninguna otra entidad han liderado
1 con el sector privado. Sin embargo, el alcance una. Por ltimo, la educacin superior ofrece ttulos
1 del CSIRT-GY es limitado por la ausencia de una en ciencias informticas; sin embargo la estrategia
1
estrategia de seguridad ciberntica nacional o nacional de educacin de Guyana no incluye temas
Marcos legales poltica de defensa ciberntica y la falta de de seguridad ciberntica en sus planes de estudio.
conciencia sobre los asuntos de seguridad
1
1 ciberntica en el gobierno. Por otra parte, los Recientemente el gobierno mostr su compromiso
1 propietarios de la Infraestructura Crtica Nacional no para avanzar en la agenda de la seguridad
siempre cumplen con los estndares de seguridad o ciberntica organizando un taller nacional sobre
denuncian los incidentes, y el Estado no ha evaluado las amenazas y las tendencias de seguridad
formalmente los activos y vulnerabilidades de la ICN. ciberntica, el desarrollo de una estrategia nacional
de seguridad ciberntica y capacitacin tcnica
Tecnologa Cuando se produce un delito ciberntico, el sobre herramientas de respuesta a incidentes19.
Departamento de Investigacin Criminal de la
Polica de Guyana es responsable de investigar el
caso. Aunque las investigaciones se han llevado a
cabo con cierto xito, los fiscales y el Poder Judicial
estn inadecuadamente capacitados para manejar
evidencia electrnica. Los vacos legislativos son
un obstculo adicional: Guyana cuenta con algn
derecho procesal para manejar la evidencia
electrnica, pero carece de una ley sustantiva de
delito ciberntico o legislacin relacionada con la
el mal uso del sistema de red de computadoras,
privacidad y la proteccin de datos.
Guyana
37%

37%
78
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 79
.ht Hait
Poltica y estrategia Aunque se encuentran con recursos limitados y que se resuelva esta crisis poltica, ser muy difcil
ha habido algunos reveses en los ltimos aos, que el pas adopte un marco jurdico integral para la
las entidades del Gobierno de Hait continan delincuencia ciberntica. No obstante, la Direccin
trabajando hacia la elaboracin de una estrategia Central de la Polica Judicial (DCPJ) ha tenido un
nacional de seguridad ciberntica y el desarrollo de xito considerable en la investigacin y detencin de
un CSIRT nacional. Un grupo de trabajo conformado la delincuencia ciberntica por medio de la captura
Cultura y sociedad por la unidad de gobierno electrnico del Gabinete de 69 delincuentes en 2014, de los cuales 11 fueron
del Primer Ministro (PRIMATURE), el Consejo declarados culpables de delitos relacionados con
Nacional de Telecomunicaciones (CONATEL), la la ciberntica.
Polica Nacional y la Secretara para la Seguridad
Nacional se ha reunido para establecer el marco Con una tasa de penetracin de Internet del
para una estrategia nacional y han recibido 11%, la conciencia de seguridad ciberntica en la
asistencia de la OEA, la Unin Internacional de sociedad haitiana es predominantemente baja21.
Telecomunicaciones y otros socios internacionales. Para solucionar esto, el CONATEL ha llevado a cabo
Educacin Recientemente se estableci un grupo de trabajo una serie de eventos para brindar conocimientos
dentro del CONATEL con el mandato de elaborar a las partes interesadas y al pblico en general
un plan estratgico y un plan de trabajo para la sobre la seguridad ciberntica. As mismo algunas
seguridad ciberntica y la lucha contra el delito universidades ofrecen cursos relacionados con la
ciberntico. seguridad ciberntica, pero actualmente no hay
Marcos legales programas de grado formales. reas del sector
Si bien el conocimiento sobre la seguridad privado, como los bancos y los operadores de
ciberntica en el gobierno es cada vez mayor, telecomunicaciones, estn bien informados de
la preparacin vara segn las agencias. Esto es la importancia de la seguridad ciberntica y han
notorio en la falta de aplicacin uniforme de las invertido en oportunidades de formacin para los
normas de seguridad a travs de las infraestructuras empleados. Mientras que los servicios de gobierno
de TI. Sin embargo la principal preocupacin electrnico estn empezando a llegar al pas recin
del CONATEL ha sido la necesidad de tener una ahora, los servicios de comercio electrnico estn
Tecnologa capacidad de respuesta a incidentes cibernticos y ampliamente disponibles y por lo general son
se ha coordinado con el sector privado para abogar confiables y seguros.
por la creacin de un CSIRT.
Como parte del Proyecto HIPCAR de la Unin de

Telecomunicaciones del Caribe (CTU) y la Comunidad
del Caribe (CARICOM), las partes interesadas
haitianas han propuesto legislacin sobre la
delincuencia ciberntica y leyes de privacidad de
Internet que se encuentran actualmente en la fase
de consulta. Sin embargo, las gestiones legislativas
se han estancado dado el desacuerdo sobre las
elecciones que llev a la disolucin de la mayora
del Parlamento de Hait en enero de 201520. Hasta
Haiti
11%

11%
80
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 81
.hn Honduras
Poltica y estrategia A falta de una poltica nacional de seguridad de expresin. Con un bajo nivel de penetracin
ciberntica o un equipo de respuesta a incidentes, de Internet (18%) y altos niveles de violencia
el Gobierno de Honduras tiene una capacidad relacionada con pandillas, la sociedad en general
limitada para abordar de manera proactiva las desconfa de los servicios en lnea proporcionados
amenazas a su seguridad ciberntica. Como conoce por el gobierno y en su mayora desconoce las
estos riesgos, el gobierno ha adoptado una serie amenazas cibernticas22.
Cultura y sociedad de medidas, entre ellas: trabajar para renovar su
estrategia de seguridad nacional para incluir los El sector privado proporciona un contraejemplo en
temas de seguridad y delincuencia ciberntica; trminos de mentalidad en seguridad ciberntica.
asistir a foros internacionales ofrecidos por la OEA Con el apoyo del gobierno, algunas organizaciones
y otras instituciones en cuestiones de planificacin privadas del sector financiero en Honduras han
de gestin de crisis; e incorporar programas digitales establecido polticas de alto nivel y pautas de
en organismos como la Comisin Nacional de seguridad ciberntica para sus organizaciones. Estos
Telecomunicaciones (CONATEL) y la Direccin documentos proporcionan una poltica de seguridad
Educacin Presidencial de Gestin por Resultados a cargo de ciberntica en general para los empleados dentro
la Agenda Digital del Estado. As mismo, las partes de estas organizaciones. Sin embargo an no se
interesadas de la Infraestructura Crtica Nacional han implementado, de manera efectiva, medidas
estn implementando tecnologas de seguridad para proteger la privacidad de los empleados.
y normas internacionales, incluyendo ISACA, ISO Por ltimo, aunque la formacin en materia de
Marcos legales 27002 e ITIL (Information Technology Infrastructure seguridad ciberntica no est muy extendida a
Library en ingls), para proteger mejor los activos nivel nacional, muchas empresas internacionales
nacionales. Sin embargo la gestin de tecnologas de TI y algunas universidades ofrecen cursos y
de seguridad es descoordinada y a menudo se capacitacin en seguridad ciberntica para los
subcontrata con terceros y no existe una poltica estudiantes y empleados hondureos.
en marcha para la divulgacin de las violaciones
a la seguridad.
Tecnologa Honduras carece de un marco legislativo para

la seguridad de las TIC; su legislatura est
actualmente llevando a cabo reformas al cdigo
penal que introduciran leyes contra la delincuencia
ciberntica. La Direccin Nacional de Informacin
Criminal de la Polica Nacional es la nica entidad
del pas responsable de investigar los delitos
cibernticos, pero carece de un laboratorio forense
digital o estadsticas nacionales sobre delincuencia
ciberntica.
El Gobierno de Honduras ha promulgado una

legislacin parcial respecto a la privacidad, la
proteccin de datos y la proteccin de la libertad
Honduras
19%

19%
82
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 83
.jm Jamaica
Poltica y estrategia En 2013 el Gobierno de Jamaica no tena en marcha pblico es el subregistro de incidentes por parte de
ni una poltica ni una estrategia de seguridad las partes afectadas; por lo tanto el Ministerio de
ciberntica. Dos aos despus, ya ha diseado una Ciencia, Tecnologa, Energa y Minera ha estado
estrategia nacional integral, presentada el 28 de presionando a la legislatura para que entre en
enero de 2015, y se encuentra creando un CSIRT vigencia una ley de divulgacin responsable. Por
nacional. A la cabeza de estos desarrollos est el ltimo, aunque Jamaica cuenta con una legislacin
Cultura y sociedad Grupo Nacional de Trabajo de Seguridad Ciberntica, especfica de delincuencia ciberntica, solo existe
establecido bajo el Ministerio de Ciencia, Tecnologa, una legislacin parcial para la proteccin de datos
Energa y Minera. El Programa de Seguridad y privacidad.
Ciberntica de la OEA y otras organizaciones
internacionales han ayudado a Jamaica en el Empresas del sector privado han comenzado a
desarrollo de su CSIRT. Cabe destacar que a raz gestionar los riesgos de seguridad ciberntica y
de una serie de ataques cibernticos contra sitios poner en prctica polticas de privacidad para los
web del gobierno a finales de 2014, la OEA envi empleados, pero la conciencia de la importancia de
Educacin un equipo de expertos a Kingston para dar apoyo la seguridad ciberntica vara considerablemente
en la gestin de incidentes23. Las autoridades de en la sociedad en general. Para hacer frente a
defensa ciberntica han recibido capacitacin este tipo de vacos en el conocimiento, el Grupo
despus de este incidente, pero a diferencia del Nacional de Trabajo de Seguridad Ciberntica tiene
gobierno civil, no cuentan con una poltica unificada. un Memorando de Entendimiento con el programa
Marcos legales Los prximos grandes retos en seguridad ciberntica STOP.THINK.CONNECT. de la Alianza Nacional de
para el Gobierno de Jamaica sern asegurar la Seguridad Ciberntica, una campaa internacional
adhesin generalizada a los estndares y coordinar dirigida a educar al pblico acerca de la seguridad en
la seguridad de la Infraestructura Crtica Nacional, Internet. Adems la Estrategia Nacional de Seguridad
ya que los operadores tienen cierta capacidad Ciberntica de Jamaica incluye un mandato para
para proteger sus infraestructuras crticas frente a incorporar la seguridad ciberntica en los programas
las amenazas, pero la seguridad no es gestionada de educacin que actualmente se encuentra en sus
formalmente por el gobierno. etapas preliminares.
Tecnologa
En marzo de 2010 Jamaica aprob la Ley de
Delitos Cibernticos. En 2013 el Parlamento, en
correspondencia con los cambios en la tecnologa y
las amenazas, organiz una comisin para informar
sobre el estado de la legislacin y hacer revisiones
segn era necesario. La Unidad de Comunicacin
Forense y Delito Ciberntico del Cuerpo de Polica
de Jamaica es un organismo completamente
funcional en la aplicacin de la ley, designado
para investigar los delitos cibernticos. La Unidad
de Comunicacin Forense y Delito Ciberntico tiene
su propio laboratorio de anlisis forense digital. Uno
de los retos al que se enfrentan las fuerzas del orden
Jamaica
41%

41%
84
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 85
.mx Mxico
Poltica y estrategia El Gobierno de Mxico trabaja actualmente en sobre delincuencia ciberntica, lo que dificulta el
la elaboracin de una estrategia nacional de enjuiciamiento de tales actos.
seguridad ciberntica, desarrollando una poltica
escrita que considera la defensa ciberntica a cargo Con una tasa de penetracin de Internet del 44%, se
de las Fuerzas Armadas. El Equipo de Respuesta requiere emprender un esfuerzo para informar a la
a Incidentes de Seguridad Informtica del pas, sociedad mexicana sobre los problemas de seguridad
Cultura y sociedad CERT-MX, es un miembro del Foro Mundial de ciberntica. Instituciones gubernamentales y la
Respuesta a Incidentes y Equipos de Seguridad academia ofrecen conferencias sobre seguridad
(FIRST) y sigue un Protocolo de Colaboracin ciberntica.24 Tambin estn disponibles algunas
con otras entidades gubernamentales. El CERT- oportunidades de capacitacin para empleados,
MX est muy involucrado en la proteccin de incluyendo programas de certificacin a travs
la Infraestructura Crtica Nacional (ICN). Los del sector privado. Recientemente el Instituto
interesados coordinan la gestin de seguridad de Nacional de Transparencia, Acceso a la Informacin
infraestructuras y comparten informacin sobre los y Proteccin de Datos Personales (INAI) inici
Educacin activos y las vulnerabilidades de la ICN. En todas una campaa proponiendo leyes ms estrictas
las agencias gubernamentales, las tecnologas de proteccin de datos personales, as como una
se actualizan regularmente, se realizan copias mayor transparencia y disponibilidad de informacin
de seguridad y se adhiere a las disposiciones del al pblico. Adems de su labor de promocin, el
Manual Administrativo de Aplicacin General de INAI publica informes y conduce campaas de
Marcos legales Tecnologas de Informacin y Comunicaciones y de sensibilizacin para los ciudadanos sobre sus
Seguridad de la Informacin (MAAGTICSI), el cual derechos como usuarios de las tecnologas de la
se desarroll con base a normas internacionales informacin y la comunicacin.
como ISO 27001, ITIL (Information Technology
Infrastructure Library en ingls) y COBIT (Control
Objectives for Information and Related Technology
en ingls), entre otras. Por otra parte, estn en
marcha planes de redundancia digital.
Tecnologa
La Divisin Cientfica de la Polica Federal de Mxico
investiga los delitos cibernticos nacionales. Trabaja
en estrecha colaboracin con el CERT-MX y ha
recibido capacitacin por parte de organizaciones
sin nimo de lucro y de varias organizaciones
internacionales. Informes recientes indican un
aumento de la suplantacin de identidad (phishing)
y amenazas persistentes avanzadas en el pas y
una disminucin de los ataques de denegacin
de servicio DoS (por sus siglas en ingls, Denial of
Service). Si bien las fuerzas del orden cuentan con
una amplia capacidad de investigacin, Mxico
an est desarrollando una legislacin integral
Mexico
44%

44%
86
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 87
.ni Nicaragua
Poltica y estrategia El Consejo Nicaragense de Ciencia y Tecnologa a revelar brechas en la seguridad ciberntica.
(CONICYT) trabaja en el desarrollo de polticas En cambio, los investigadores deben solicitar
nacionales y el aumento de la conciencia de formalmente informacin de los proveedores
seguridad ciberntica, mientras que la Comisin de servicios de Internet pertinentes. Un estudio
de Gobierno Electrnico de Nicaragua (GOBeNIC) realizado en 2014 por la empresa de software de
adelanta programas de gobierno electrnico y antivirus ESET mostr que al menos el 50% de todas
Cultura y sociedad facilita la discusin entre el gobierno y las industrias las empresas nicaragenses han sido objeto de un
de infraestructura crtica. Hasta la fecha, Nicaragua ataque ciberntico25. Si bien las empresas en general
no ha desarrollado una estrategia o poltica de aplican los estndares de seguridad, a menudo no
seguridad ciberntica nacional y el pas no tiene capacitan a los empleados en seguridad ciberntica;
un CSIRT formal para responder a incidentes sin embargo un nmero de universidades ofrecen
cibernticos. El CONICYT y la GOBeNIC, por lo cursos y capacitacin especializada en el tema.
tanto, ven como parte indispensable de su misin
convencer a legisladores y altos funcionarios del En mayo de 2015 el CONICYT se asoci con la
Educacin gobierno de invertir mucho ms en seguridad academia y el sector privado para poner en marcha
ciberntica y promulgar polticas, leyes y normas por primera vez la Semana del Uso Seguro de
para proteger mejor los intereses nacionales frente Internet, una serie de charlas, foros y actividades
a las amenazas cibernticas. dedicados a concientizar al pblico sobre seguridad
ciberntica y promover mejores prcticas para el
Marcos legales El Cdigo Penal de Nicaragua contiene clusulas para uso seguro de las TI26.
judicializar la delincuencia ciberntica y en 2012 la
Asamblea Nacional sancion la Ley de Proteccin
de Datos n 787. Si bien no hay una oficina formal
de investigacin de delincuencia ciberntica, la
Divisin de Crmenes Especiales y la Direccin de
Inteligencia Policial de la Polica Nacional manejan
rutinariamente los casos de evidencia electrnica. La
Tecnologa Polica Nacional tambin cuenta con un Laboratorio
Central de Criminalstica, que les proporciona
anlisis forense digital a las otras divisiones. Si
bien el personal ocasionalmente colabora con
organizaciones regionales e internacionales, cuyo
ejemplo notable es el caso en el que INTERPOL y
Nicaragua cooperaron con Espaa para revelar
toda una red de pedofilia, en general la cooperacin
internacional sigue siendo limitada.
Aunque el Cdigo Penal exige que cualquier persona

comparta informacin relacionada con un delito
en investigacin con las autoridades competentes,
el sector privado no est legalmente obligado
Nicaragua
18%

18%
88
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 89
.pa Panam
Poltica y estrategia Desde mayo de 2013, el Gobierno de Panam ha Panam se ocupa de los casos de delincuencia
estado trabajando en la implementacin de su ciberntica en dos frentes: a travs de la Unidad
Estrategia Nacional de Seguridad Ciberntica y de Investigaciones de Delitos Informticos,
Proteccin de Infraestructura Crtica (ENSC+IC), dependiente de la Direccin de Investigacin
desarrollada por la Autoridad Nacional para Judicial, y a travs de la Fiscala Superior
la Innovacin Gubernamental (AIG). Este Especializada en Delitos contra la Propiedad
Cultura y sociedad documento, junto con un informe de posicin Intelectual y Seguridad Informtica. Las autoridades
titulado La Resiliencia de la Infraestructura han indicado un fuerte aumento de los ataques
Crtica, Proteccin de Menores en Internet y cibernticos en los ltimos aos, con 262 casos
Seguridad Ciberntica, establece metas y disea en 2013. A pesar de que no existe un mecanismo
papeles y responsabilidades. Desde entonces, que les exija a las empresas del sector privado
las entidades del gobierno han comenzado las reportar perturbaciones a su seguridad ciberntica,
etapas iniciales del desarrollo de planes internos las autoridades trabajan en estrecha colaboracin
de seguridad ciberntica. Las publicaciones tambin con bancos, proveedores de energa hidroelctrica
Educacin intentan abordar la falta de conciencia entre y otros sectores de infraestructura crtica para
las partes interesadas acerca de la proteccin obtener informacin sobre ataques cibernticos.
de la Infraestructura Crtica Nacional (ICN); y
las autoridades han indicado que esta es una de Una serie de instituciones, incluyendo la Universidad
sus principales preocupaciones. A pesar de que Tecnolgica de Panam, ofrecen ttulos avanzados
Marcos legales se practican algunos estndares de seguridad, en seguridad ciberntica. Estn disponibles en el
en la actualidad existe poca coordinacin entre pas otras oportunidades de educacin y formacin.
los operadores para la proteccin de la ICN. El Mientras que muchas se ofrecen sobre una base ad
Gobierno ha establecido medidas de redundancia hoc, grupos como el Instituto Tecnolgico del Istmo
digital. As mismo, empieza a liderar la formacin (ITI) ofrecen capacitacin regular al personal de
en gestin de crisis para los equipos de respuesta infraestructura crtica y los servicios de emergencia.
y los operadores de la ICN. En el caso de un ataque En 2013 Panam se uni a la campaa internacional
ciberntico o evento relacionado, el CSIRT PANAM STOP.THINK.CONNECT, que tiene como objetivo
Tecnologa es el organismo encargado de responder y mitigar promover prcticas seguras en Internet.
el incidente.
Con enmiendas al cdigo penal del pas y leyes

relativas a la obtencin de evidencia, Panam ha
actualizado la legislacin nacional para combatir
ms eficazmente la delincuencia ciberntica. A
partir de 2009 tambin han entrado en vigor leyes
de proteccin de datos. En 2014 Panam adhiri
oficialmente al Convenio de Budapest, el primer
tratado internacional para abordar la delincuencia
ciberntica.
Panama
45%

45%
90
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 91
.py Paraguay
Poltica y estrategia La Secretara Nacional de Tecnologas de la relacionados con la seguridad ciberntica ha tenido
Informacin y Comunicacin (SENATICS) de poco xito. Consecuentemente, el gobierno ha
Paraguay est a cargo de la elaboracin de las establecido lneas ms fuertes de comunicacin con
polticas de seguridad ciberntica nacionales. el sector bancario. Si bien las leyes relacionadas
El Gobierno de Paraguay no ha adoptado una con la proteccin de datos y privacidad estn en
estrategia nacional de seguridad ciberntica pero marcha, muchas no son recientes y no abordan
Cultura y sociedad ha estado trabajando con la OEA desde noviembre explcitamente la informacin digital. La Unidad
de 2014 para desarrollar una. Bajo la operacin Especializada de Delitos Informticos de la Polica
de la SENATICS, el Equipo de Respuesta de Nacional se encarga de investigar los delitos
Incidentes de Seguridad Informtica de Paraguay, cibernticos y cuenta con su propio laboratorio
CERT-py, responde a los ataques cibernticos, de anlisis forense digital.
mantiene un registro central de los incidentes
de seguridad ciberntica nacional y promueve la Las autoridades paraguayas han sealado la falta
concientizacin sobre la seguridad ciberntica. Ha de conciencia de la sociedad y del sector privado
Educacin recibido capacitacin de la OEA y del Programa en temas de seguridad ciberntica. Para abordar
de Asistencia Antiterrorista del Departamento de este vaco en el conocimiento, SENATICS lanz la
Estado de EE.UU. Aunque fueron limitados los datos campaa Conctate Seguro Paraguay que le informa
recibidos por parte de los proveedores de servicios a la sociedad sobre las amenazas cibernticas
de Internet y el sector bancario, en 2014 el CERT-py con un enfoque especial en la seguridad de los
Marcos legales observ un aumento de ataques de Denegacin jvenes. El Gobierno tambin se ha asociado con
de Servicio (DoS) y el hacking todava constituye STOP.THINK.CONNECT. Algunas instituciones de
el mayor porcentaje de ataques. educacin superior ofrecen cursos en seguridad
ciberntica, pero actualmente no existen programas
Los operadores de la Infraestructura Crtica Nacional de grado en este campo.
(ICN) han comenzado a poner en prctica las normas
y tecnologas para defender mejor los activos del
pas contra amenazas cibernticas. Sin embargo
Tecnologa la ICN se gestiona de manera informal y ha habido
poca discusin entre las partes interesadas en
gestin de riesgos y planificacin de respuesta a
emergencias.
En los ltimos aos, el Gobierno del Paraguay ha

aprobado leyes para reforzar el marco legislativo
y afrontar los delitos cibernticos. La Ley n 4439
de 2011 modific el cdigo penal para incluir
tipos de delito ciberntico, as como pornografa
infantil. Adems la Ley n 1286/98 establece que
las entidades estn obligadas a reportar los hechos
punibles por ley a las autoridades nacionales
competentes. Sin embargo su aplicacin en delitos
Paraguay
43%

43%
92
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 93
.pe Per
Poltica y estrategia Con ms de 12 millones de usuarios de Internet (el dirigidos contra instituciones gubernamentales
40% de la poblacin del pas), Per es un eje regional de alto nivel. Entre los constantes desafos que se
de actividad y comercio digital y en consecuencia, enfrentan, cabe citar su limitada capacidad tcnica
con riesgos a la seguridad ciberntica 27. Los para el manejo de evidencia electrnica en los
datos muestran que los incidentes cibernticos tribunales y la falta de una poltica de divulgacin
aumentaron un 30% en 2013 y el pas experiment para el sector privado.
Cultura y sociedad tambin un incremento de los ataques de malware
durante la Copa Mundial de 2014, que se celebr El sector privado y los operadores de infraestructura
en Brasil. Afortunadamente el Equipo de Respuesta crtica nacional han adoptado algunas normas de
a Incidentes de Seguridad Informtica del Per, seguridad, incluyendo procesos de desarrollo de
PeCERT, respondi con xito a estos ataques. software. La ONGEI tambin proporciona directrices
Adems de la respuesta a incidentes, el PeCERT sobre la gestin de crisis; sin embargo el alcance de
tambin analiza los asuntos de seguridad con la denuncia responsable sigue siendo bajo, ya que las
polica, las fuerzas militares y el sector privado, y tecnologas de seguridad y la Infraestructura Crtica
Educacin est actualizando y ampliando sus capacidades. El Nacional (ICN) son gestionadas de manera informal.
Gobierno de Per ha solicitado la asistencia tcnica Las entidades peruanas estn discutiendo la
de la OEA para desarrollar un marco de seguridad posibilidad de contar con un seguro de delincuencia
ciberntica para el pas, para lo cual la Oficina ciberntica y otros mecanismos para proteger
Nacional de Gobierno Electrnico e Informtica mejor la ICN.
Marcos legales (ONGEI) ha asumido la responsabilidad. Mientras
que la conciencia de las partes interesadas ha Mientras que los servicios de gobierno electrnico
aumentado con gestiones recientes, la ausencia y comercio electrnico continan expandindose
de una estrategia y una cadena de mando clara en el Per, la conciencia social de la seguridad
continan impidiendo el fortalecimiento de la ciberntica es generalmente baja. La ONGEI
seguridad ciberntica del pas. Las fuerzas armadas ofrece literatura en lnea sobre este tema pero
tambin tienen un nivel bsico de capacidad de no hay una amplia campaa de sensibilizacin que
defensa ciberntica, pero no existe una poltica de est actualmente vigente. Muchas universidades
Tecnologa defensa ciberntica. nacionales y empresas privadas ofrecen educacin y
capacitacin en seguridad ciberntica. Sin embargo,
Tres piezas clave de legislacin guan el marco suele carecerse de tecnologa adecuada y personal
legal para la seguridad ciberntica del Per: la Ley educativo con experiencia.
27309, que incluy la delincuencia ciberntica en el
cdigo penal; la Ley 29733 de Proteccin de Datos;
y la Ley 30096, que estableci normas jurdicas
relacionadas con la delincuencia ciberntica.
La Divisin de Investigacin de Delitos de Alta
Tecnologa (DIVINDAT) de la Polica Nacional del
Per (PNP) es la unidad mxima para el manejo de
la delincuencia ciberntica de esta nacin. Equipada
con capacidad de laboratorio forense, la DIVINDAT
descubri una serie de recientes ataques cibernticos
Peru
40%

40%
94
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 95
.do Repblica Dominicana
Poltica y estrategia Aunque la Repblica Dominicana no tiene ninguna respuesta a incidentes cibernticos y coordina
estrategia nacional de seguridad ciberntica, ni regularmente con INTERPOL y los CSIRT de otros
una poltica coordinada de defensa ciberntica, un pases. Por ltimo, el gobierno est mejorando
nmero de entidades trabajan conjuntamente para la colaboracin con el sector privado al divulgar
abordar las cuestiones de seguridad ciberntica infracciones cibernticas y proporcionar informes
en virtud de la Comisin Interinstitucional contra de vulnerabilidad.
Cultura y sociedad Crmenes y Delitos de Alta Tecnologa (CICDAT).
A pesar de la participacin de las agencias en Dada la creciente cantidad de usuarios de Internet y
la CICDAT, el nivel de sensibilizacin sobre la disponibilidad de servicios de comercio electrnico,
seguridad ciberntica dentro del gobierno la Repblica Dominicana se enfrenta cada vez ms a
es generalmente bajo. Recin ahora estn amenazas cibernticas. El gobierno del pas report
comenzando los operadores de Infraestructura 963 casos de suplantacin de identidad (phishing) en
Crtica Nacional (ICN) a adherirse a los estndares 2013, as como 432 casos de robo de datos bancarios
internacionales de tecnologas de informacin (TI) entre 2009 y 201428. A pesar de la iniciativa Internet
Educacin y a adoptar tecnologas de seguridad. Sin embargo, Sano (http://www.Internetsano.do) del Instituto
los operadores de la ICN tienen la capacidad bsica Dominicano de las Telecomunicaciones (INDOTEL),
de detectar, identificar, proteger, responder y la sensibilizacin del sector privado sobre seguridad
recuperarse de amenazas cibernticas. ciberntica es moderada y la conciencia social
acerca de estos asuntos sigue siendo baja. No
Marcos legales Con la aprobacin de la Ley 53-07 y la Ley 310- obstante, las empresas privadas estn reconociendo
13, as como la adhesin al Convenio sobre la privacidad del empleado como un asunto
Delincuencia Ciberntica (Convenio de Budapest), importante y se encuentran adoptando medidas
la Repblica Dominicana ha desarrollado un de proteccin. El gobierno y la academia tambin
marco legislativo global para la penalizacin de estn trabajando para crear programas pertinentes,
la delincuencia ciberntica y el manejo de evidencia dadas las limitadas oportunidades para educacin
electrnica, la regulacin de correo SPAM y el y formacin en seguridad ciberntica del pas.
establecimiento de cooperacin internacional.
Tecnologa Por otra parte, los tribunales tienen la formacin
y capacidad suficientes para procesar los casos de
evidencia electrnica. Sin embargo, solo existe una
legislacin parcial en lo que respecta a la privacidad
en Internet y la libertad de expresin.
El Departamento de Investigacin de Crmenes y

Delitos de Alta Tecnologa (DICAT) de la Polica
Nacional y la Divisin de Investigaciones de Delitos
Informticos (DIDI) del Departamento Nacional
de Investigaciones (DNI) son las dos principales
entidades de investigacin de crmenes cibernticos
en el pas. Como la Repblica Dominicana no tiene
un CSIRT nacional, el DICAT tambin maneja la
Repblica Dominicana
50%

50%
96
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 97
.kn Saint Kitts y Nevis
Poltica y estrategia Con una penetracin de Internet de alrededor del electrnicas. La Oficina Local de Inteligencia de
65%, Saint Kitts y Nevis es uno de los pases ms la Polica Real de Saint Kitts y Nevis, que se coordina
conectados del Caribe29. Los ciudadanos tienen con INTERPOL, se ocupa de los casos de delitos
acceso a un nmero cada vez mayor de servicios cibernticos, entre otras funciones. Si bien la polica
de gobierno electrnico y comercio electrnico. tiene cierta capacidad para investigar los delitos
En algunas zonas las capacidades de seguridad cibernticos, debe externalizar el anlisis forense
Cultura y sociedad ciberntica an no han igualado las necesidades digital. La falta de una poltica de divulgacin para
de la creciente comunidad en lnea. Saint Kitts y las empresas del sector privado complica an ms
Nevis no cuenta ni con una estrategia nacional de la investigacin de los delitos cibernticos.
seguridad ciberntica ni una poltica de defensa
ciberntica. Los asuntos de seguridad ciberntica Dadas las abundantes oportunidades de comercio
son manejados principalmente por el Ministerio electrnico del pas, la administracin del sector
del Empoderamiento de la Juventud, Deportes, privado es cada vez ms consciente de las
Tecnologa de Informacin y Comunicaciones, y amenazas a la seguridad ciberntica y ha iniciado
Educacin Correos, que se ocupa de los asuntos de TIC de una planificacin de gestin de riesgos. Por ejemplo,
manera ms general. Las partes interesadas han empresas como la multinacional LIME, un proveedor
tomado medidas para proteger la Infraestructura de servicios de comunicaciones, les exige a sus
Crtica Nacional (ICN) de las amenazas cibernticas, empleados someterse a capacitacin en seguridad
lo cual incluye actualizar la tecnologa de ciberntica.
Marcos legales seguridad, cumplir con las especificaciones de
software y mantenerse informado de los activos Con el fin de aumentar la conciencia de seguridad
y las vulnerabilidades de la ICN. Sin embargo ciberntica en el Caribe, Saint Kitts y Nevis organiz
el gobierno tiene una capacidad limitada para una reunin regional pblico-privada en septiembre
responder a los incidentes ya que no ha creado un de 201430. Sin embargo las oportunidades locales
CSIRT. Para solucionar este problema, en marzo para la educacin o formacin en seguridad
de 2015 Saint Kitts y Nevis envi funcionarios a ciberntica son limitadas.
un Curso de Formacin de Seguridad Ciberntica
Tecnologa TRANSITS de la OEA, organizado en colaboracin
con la Asociacin de Redes Transeuropeas de
Investigacin y Educacin (TERENA, por sus siglas
en ingls), que se dedica al desarrollo de CSIRT
nacionales.
El pas no cuenta con una ley o protocolo en

marcha que se ocupe especficamente de los delitos
cibernticos, aunque las autoridades informan
que el gobierno est discutiendo actualmente
la adopcin de un marco legal. Sin embargo, ha
creado un proyecto de ley de proteccin de datos y
privacidad y recientemente revis las disposiciones
procesales para la obtencin de pruebas
Saint Kitts and Nevis

65%

65%
98
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 99
.vc San Vicente y las Granadinas
Poltica y estrategia Si bien la principal entidad responsable de Dos leyes sustentan un marco legislativo bsico
la seguridad ciberntica en San Vicente y las para la seguridad ciberntica en el pas: la
Granadinas es la Unidad de Tecnologa de Ley de Pruebas Electrnicas (2004) y la Ley de
Informacin de la Polica Real de San Vicente y las Transacciones Electrnicas (2007); sin embargo
Granadinas, la Oficina del Primer Ministro tambin las autoridades creen que estas leyes requieren
desempea un papel informal como facilitador de actualizacin y fortalecimiento para combatir
Cultura y sociedad los debates nacionales que rodean la estrategia eficazmente a la delincuencia ciberntica.
y la poltica de seguridad ciberntica. En la
actualidad, hay una estrategia nacional en la fase de La penetracin de Internet en San Vicente y las
planificacin y un CSIRT nacional que se encuentra Granadinas ha crecido notablemente en los ltimos
en desarrollo. Una vez que se hayan completado aos, de 38,5% de la poblacin en 2010 a 56% en
estos objetivos, San Vicente y las Granadinas habr 201431. Por otra parte el gobierno ha emprendido
aumentado su capacidad para planificar medidas una ambiciosa iniciativa llamada "Un Computador
de seguridad ciberntica proactivas y no solo Porttil Por Estudiante"32. Esta expansin en el
Educacin reactivas. Si bien la informacin sobre proteccin acceso a la web sin duda ha generado una mayor
de infraestructuras crticas se limit en este estudio, participacin e inclusin en Internet, pero tambin
un avance reciente notable ha sido la asociacin del se ha correspondido con el aumento de incidentes
pas con otros Estados de la regin del Caribe para que se producen en las redes sociales de las
adoptar un Sistema Automatizado de Identificacin escuelas. Si bien el gobierno ha reconocido esta
Marcos legales de Huellas Dactilares compartido. creciente preocupacin, an no se ha desarrollado
una campaa o programa de sensibilizacin para
El 4 de mayo de 2015, el sitio web oficial del Gobierno hacerle frente.
de San Vicente y las Granadinas fue atacado por un
hacker que se autoidentific como parte del Estado
Islmico (IS). La Unidad de Tecnologa de Informacin
de la Polica Real de San Vicente y las Granadinas
tiene la responsabilidad de responder e investigar
Tecnologa los ataques cibernticos y los delitos cibernticos.
La unidad recibe asistencia tcnica del Gobierno
de los Estados Unidos y participa en capacitaciones
regionales organizadas por la OEA, la Unin de
Telecomunicaciones del Caribe, INTERPOL y otras
organizaciones regionales e internacionales. La
unidad no cuenta con un laboratorio forense digital
y enva pruebas a Antigua y Barbuda para su anlisis;
sin embargo recientemente adquiri equipos para
desarrollar la capacidad de laboratorio en el pas.
Aunque las empresas no estn obligadas a reportar
las violaciones a la seguridad ciberntica, la Unidad
de Tecnologa de Informacin colabora con el sector
privado para investigar los incidentes cibernticos.

56%
100
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 101
.lc Santa Luca
Poltica y estrategia En respuesta a un ataque ciberntico por un hacker de investigacin de la delincuencia ciberntica34. Las
que se identific como del Estado islmico contra las empresas del sector privado no estn obligadas por
vecinas San Vicente y las Granadinas en la primavera ley a reportar violaciones en seguridad ciberntica
de 2015, el Gobierno de Santa Luca anunci sus a las autoridades, sin embargo no hay ninguna
planes para fortalecer la seguridad ciberntica pgina web establecida o lnea telefnica para
de su pas a travs de un enfoque multifactico, denunciar los casos relacionados con la proteccin
Cultura y sociedad incluidas normas de seguridad ms estrictas para la de la infancia en lnea.
Infraestructura Crtica Nacional (ICN) y una mayor
capacidad para detectar y mitigar las amenazas Hasta la fecha el gobierno de Santa Luca no ha
cibernticas33. La iniciativa est liderada por la liderado una campaa nacional de concientizacin
Direccin de Modernizacin del Sector Pblico en materia de seguridad ciberntica para la sociedad
del Ministerio de la Funcin Pblica, que supervisa en general, y las oportunidades de capacitacin en
la innovacin de la infraestructura de tecnologa seguridad ciberntica en el pas son limitadas. Sin
del gobierno, la expansin de los servicios de embargo Santa Luca contribuy recientemente a la
Educacin gobierno electrnico y los asuntos de seguridad seguridad ciberntica a nivel regional al acoger el
ciberntica. Santa Luca tambin es miembro de Octavo Foro del Caribe de Gobernanza de Internet
la Alianza Internacional Multilateral contra las y el Taller de Seguridad Ciberntica, celebrado del
Amenazas Cibernticas de la Unin Internacional 29 al 30 agosto de 201435.
de las Telecomunicaciones (ITU-IMPACT, por sus
Marcos legales siglas en ingls). Teniendo en cuenta estos recientes
pasos, el pas no ha desarrollado una estrategia o
poltica de seguridad ciberntica nacional formal,
y no tiene un CSIRT nacional.
El artculo 267 del Cdigo Penal (2003) de Santa

Luca legisla sobre el fraude informtico y delitos
cibernticos relacionados y el artculo 330 tipifica
Tecnologa como delito la venta y produccin de pornografa
infantil. Santa Luca tambin ha promulgado ley
procesal en la bsqueda e incautacin de pruebas
electrnicas. El pas ha ratificado a la Convencin
sobre los Derechos del Nio, as como al Protocolo
Facultativo de la Convencin sobre los Derechos
del Nio relativo a la venta de nios, la prostitucin
infantil y la pornografa infantil, que dispone procesos
ms detallados sobre la lucha contra el delito.
Los casos de delitos cibernticos son asunto de la

Polica Real de Santa Luca. Esta recibe el apoyo de
la Asociacin de Banqueros de Santa Luca, que la
dot de nuevos equipos para construir su capacidad

51%
102
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 103
.sr Suriname
Poltica y estrategia En la 69 Sesin de la Asamblea General de la digitales o mecanismos de informacin responsables
ONU en octubre de 2014, un representante de la supone un gran reto para el enjuiciamiento efectivo
Misin Permanente de Suriname habl en nombre de los delitos cibernticos.
de los Estados de Amrica del Sur y enfatiz la
importancia de proteger la infraestructura crtica Las partes interesadas del sector privado y de la
de las amenazas cibernticas, mientras se preservan Infraestructura Crtica Nacional (ICN) estn cada
Cultura y sociedad los derechos de los ciudadanos a la informacin vez ms preocupados por su nivel de seguridad
y la privacidad36. Aunque Suriname no ha sido ciberntica. El gobierno mantiene un listado general
histricamente un objetivo comn para los ataques de los activos y vulnerabilidades de la ICN y las
cibernticos, crecientes amenazas de seguridad empresas privadas, especialmente en los sectores
ciberntica en la regin llevaron a su gobierno, bancario y de telecomunicaciones, estn discutiendo
alrededor del ao 2012, a comenzar a desarrollar medidas de proteccin de privacidad e invirtiendo
una estrategia nacional y restaurar su actualmente en formacin de los empleados en seguridad
desaparecido Equipo de Respuesta a Incidentes de ciberntica. Del mismo modo estas industrias
Educacin Seguridad Informtica nacional, SurCSIRT. La Oficina tienden a cumplir con las normas ISO 27001 y se
de Seguridad Nacional (BNV), en colaboracin con proponen crear conciencia entre otros sectores.
la Agencia Central de Inteligencia y Seguridad Si bien las medidas de redundancia digitales no
(CIVD), tiene la tarea de consultar con las partes estn en marcha en todas las entidades, estas se
interesadas y elaborar la Estrategia Nacional de han implementado en Puntos de Intercambio de
Marcos legales Seguridad Ciberntica, as como restablecer el Internet (IXP).
SurCSIRT. Sin embargo, el avance ha sido lento en
cuanto a la respuesta ya que el SurCSIRT an no Sin embargo la conciencia social de la seguridad
est en funcionamiento. Actualmente la principal ciberntica es generalmente baja, ya que no
agencia nacional involucrada en la seguridad ha habido campaas nacionales y el 40% de la
ciberntica es la CIVD, que investiga los ataques poblacin est conectada a Internet37. Adems
cibernticos, proporciona informacin a la polica existen pocas oportunidades de educacin en el
nacional y trabaja en estrecha colaboracin con el pas para los ciudadanos interesados en trabajar
Tecnologa sector privado. Segn las autoridades el gobierno en en la seguridad ciberntica.
su conjunto tiene un conocimiento limitado de las
cuestiones de seguridad ciberntica. En el mbito
de la defensa ciberntica, la Poltica de Defensa
Nacional del Ministerio de Defensa incluye medidas
relacionadas con la seguridad de las TIC.
Si bien Suriname tiene leyes generales relativas a la

privacidad de las personas, no cuenta con un marco
legal para hacer frente a los delitos cibernticos. La
Fiscala General es el principal responsable para
el manejo de casos nacionales de delincuencia
ciberntica. Aunque las autoridades de justicia penal
tienen cierta capacidad, la falta de servicios forenses

40%
104
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 105
.tt Trinidad y Tobago
Poltica y estrategia Con una tasa de penetracin de Internet de 65% La Estrategia Nacional de Seguridad Ciberntica
en 2014, frente a 48,5% en 2010, el Gobierno de requiere la construccin de competencias entre
Trinidad y Tobago se ha dedicado activamente los principales interesados y el desarrollo de
a que se acepten las TIC, se protejan sus activos medidas de gestin de incidentes. Por otra parte
digitales y se fomente el desarrollo econmico a se est generalizando la adhesin a las normas
travs de la articulacin de una estrategia nacional internacionales como la ISO 27001 en todo el
Cultura y sociedad de seguridad ciberntica, la identificacin de una gobierno, con proveedores de telecomunicaciones,
autoridad competente y el establecimiento de las servicios de seguridad y sector financiero.
capacidades de respuesta a incidentes cibernticos.
El Ministerio de Seguridad Nacional ha presentado un
En respuesta a una serie de ataques cibernticos proyecto de Ley de Delito Ciberntico al Parlamento
en 2011, el Marco de Polticas de Mediano Plazo para su promulgacin, destinado a derogar la Ley
de Trinidad y Tobago reconoci oficialmente tanto de Uso Indebido de Equipos de Cmputo existente
el papel que desempean las TIC en la promocin y reemplazarla con un marco jurdico ms amplio
Educacin del desarrollo y el crecimiento econmico nacional para atacar la delincuencia ciberntica. Tambin
como la necesidad de implementar iniciativas existe una Ley de Proteccin de Datos, pero solo se
efectivas de seguridad ciberntica para proteger ha promulgado parcialmente. La Unidad de Delitos
esta infraestructura central38. En diciembre de 2012 Cibernticos del Servicio de Polica de Trinidad y
el Ministerio de Seguridad Nacional public una Tobago se encarga de las investigaciones de delitos
Marcos legales estrategia integral nacional que detalla los riesgos cibernticos y est equipada con un laboratorio
cibernticos del pas y establece las funciones y forense digital. Sin embargo, puede ser difcil el
responsabilidades de las entidades. Si bien no existe enjuiciamiento exitoso de delitos cibernticos ya que
una poltica de defensa ciberntica aprobada, el los tribunales a menudo carecen de capacidades de
J6 dentro de la Fuerza de Defensa de Trinidad y gestin de evidencia digital y no hay en operacin
Tobago (TTDF, por sus siglas en ingls) tiene la un marco que le exija al sector privado divulgar
responsabilidad general de los asuntos de las TIC y incidentes cibernticos.
de defensa ciberntica. Adems existen funcionarios
Tecnologa de las TI dentro de las formaciones de la TTDF El Ministerio de Seguridad Nacional ha puesto en
(Regimiento, Guardia Costera y Guardia Area) que marcha su campaa de concientizacin pblica.
comparten responsabilidades de defensa ciberntica. Adems el Ministerio de Ciencia y Tecnologa y
Este ao, Trinidad y Tobago lanzar oficialmente el diversas organizaciones pblicas y privadas, por
primer Equipo Nacional de Respuesta a Incidentes ejemplo la Universidad de Trinidad y Tobago (UTT)
de Seguridad Informtica del pas, TTCSIRT. El equipo y la Autoridad de Telecomunicaciones de Trinidad y
trabajar en estrecha colaboracin con la OEA, la Tobago (TATT) se han asociado para ofrecer talleres y
Unin Internacional de Telecomunicaciones y otras otros programas destinados a educar al pblico sobre
organizaciones internacionales para desarrollar la la seguridad ciberntica. El sector privado tambin
capacidad de respuesta a incidentes. ha alentado la oferta de formacin internacional y
programas de acreditacin para los empleados. Si
Muchos propietarios y operadores de la bien algunas universidades ofrecen cursos sobre
Infraestructura Crtica Nacional (ICN) cuentan con hacking tico, actualmente no hay ningn programa
mecanismos de respuesta o informacin de crisis en nacional de grado o de certificados en seguridad
marcha, en particular aquellos en el sector privado. ciberntica.

65%
106
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 107
.uy Uruguay
Poltica y estrategia En 2014, Uruguay tena una alta tasa de penetracin es lder regional en el desarrollo de software de
de las TIC de 61%, que ha ido en constante aumento seguridad y un mercado de nuevas tecnologas
a partir de un 46,4% en 201039. El Gobierno de y seguro contra la delincuencia ciberntica. Las
Uruguay ha buscado aumentar la adopcin de las entidades gubernamentales tambin ejecutan
TIC y proteger sus activos de informacin a travs ejercicios de gestin del riesgo para coordinar
de polticas de seguridad ciberntica, la capacidad eficazmente los activos de respuesta. En casos de
Cultura y sociedad de respuesta a incidentes, capacitacin y desarrollo emergencia, el Sistema Nacional de Emergencias
del personal, y legislacin, y as ayudar a impulsar la emitira una comunicacin de redundancia.
economa de Uruguay hacia la era de la informacin.
La Unidad de Delitos Cibernticos de la Polica
Mediante el Decreto Presidencial 452/009, el Nacional es el organismo responsable de la
Gobierno de Uruguay requiri que todas las investigacin de los delitos cibernticos. Recibe
entidades gubernamentales desarrollen polticas capacitacin de la OEA y otras organizaciones,
de seguridad ciberntica. Uruguay no tiene una y mantiene un laboratorio forense digital. En los
Educacin estrategia nacional especfica para la seguridad ltimos aos la unidad ha detectado un aumento
ciberntica, pero la Agencia para el Desarrollo del de la delincuencia ciberntica. El Gobierno de
Gobierno de Gestin Electrnica y la Sociedad de la Uruguay ha elaborado un marco jurdico para
Informacin y del Conocimiento (AGESIC) incluy el la seguridad ciberntica y ha adoptado la Ley n
tema de seguridad ciberntica en su Agenda Digital 18.331 de Proteccin de Datos. Sin embargo no ha
Marcos legales quinquenal para 2011-2015, y enfatizar an ms la adoptado una legislacin penal especfica para
seguridad ciberntica en el prximo plan a 5 aos40. los delitos informticos y no cuenta con ningn
Por otra parte, la Poltica de Defensa Nacional de mecanismo de divulgacin para el sector privado.
Uruguay incorpora medidas de defensa ciberntica. Uruguay forma parte del Mercosur Digital que tiene
El mecanismo nacional de respuesta a incidentes de como objetivo normalizar el comercio electrnico y
seguridad informtica del pas, el CERTuy establecido la seguridad ciberntica entre los Estados Miembros.
en 2008, coordina regularmente con otros CSIRT Por otra parte, las principales reas del sector
regionales y organizaciones internacionales. Adems privado y el sector bancario estn bien capacitadas
Tecnologa de respuesta a incidentes, el CERTuy suministra tanto en las amenazas cibernticas como en las
registros estadsticos sobre ataques cibernticos y estrategias para protegerse de estas.
emite alertas sobre riesgos emergentes. Uruguay
tambin se basa en el anlisis y la respuesta de La academia y los sectores pblico y privado ofrecen
incidentes del CSIRT-ANTEL de la Administracin oportunidades de capacitacin y educacin en
Nacional de Telecomunicaciones, que fue fundada seguridad ciberntica y el gobierno ha estado
en 2005 para abordar cuestiones relacionadas con trabajando para mejorar las iniciativas educativas
los datos y servicios de telefona celular. en dicho campo. Tambin ha puesto en marcha
campaas nacionales de sensibilizacin, como
El Gobierno de Uruguay maneja formalmente la Seguro te conects, dirigido por el CERTuy, y
seguridad de la Infraestructura Crtica Nacional Tus datos valen. Cudalos, dirigido por la AGESIC.
(ICN) y comparte informacin sobre sus activos y Uruguay tambin se uni a la campaa STOP.
vulnerabilidades. Tambin refuerza las normas de THINK.CONNECT. del Departamento de Seguridad
seguridad y de privacidad del empleado. Uruguay Nacional de Estados Unidos.
Uruguay
61%

61%
108
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 109
.ve Venezuela
Poltica y estrategia La entidad lder de Venezuela para la seguridad CICPC para asegurarse de que est al da en las
ciberntica nacional, el Sistema Nacional de tendencias de la delincuencia ciberntica.
Gestin de Incidentes Telemticos (conocido como
VenCERT), realiza mltiples funciones, a saber: A travs de su plan de Patria Segura, el SUSCERTE
respuesta a incidentes cibernticos, mantenimiento gestiona formalmente la seguridad de la tecnologa
de estadsticas sobre tendencias de ataques de la Infraestructura Crtica Nacional (ICN), emite
Cultura y sociedad cibernticos, y evaluacin y fortalecimiento de la certificados digitales y mantiene estadsticas sobre
infraestructura nacional de seguridad ciberntica. incidentes. Los operadores de la ICN han comenzado
A medida que los ataques cibernticos siguen a adoptar medidas de seguridad para cumplir con las
en aumento en el pas, incluyendo atentados normas internacionales y tienen capacidad bsica
contra sitios web gubernamentales y ataques para proteger la infraestructura de los ataques
de denegacin de servicio distribuidos (DdoS), cibernticos.
la capacidad de respuesta del VenCERT se ha
visto limitada41. Recientemente ha aumentado Adems de la emisin de certificados digitales
Educacin su personal, pero requiere nuevas tcnicas y para el gobierno y tecnologa de la ICN y el
herramientas para mantenerse vigente con las mantenimiento de estadsticas, el SUSCERTE
amenazas informticas emergentes. ha liderado la campaa La seguridad de la
informacin comienza por ti, que tiene como
Venezuela no tiene ni una poltica nacional de objetivo educar al pblico sobre la seguridad
Marcos legales seguridad ciberntica ni una estrategia de defensa ciberntica a travs de charlas, foros y talleres.
ciberntica. No obstante, ha aprobado una serie Tambin estn disponibles en el pas una serie de
de leyes que en conjunto constituyen un marco programas de grado sobre seguridad ciberntica
jurdico global para la delincuencia ciberntica. La y delincuencia ciberntica. Sin embargo la falta
Ley Especial contra los Delitos Informticos (Ley de conciencia social sobre seguridad ciberntica
37.313) fue promulgada en 2001, y la Asamblea y la limitada proteccin de la privacidad de los
Nacional ha promulgado recientemente la Ley de ciudadanos an presenta desafos al rgimen de
Interoperabilidad (2012) y la Ley de Infogobierno seguridad ciberntica de Venezuela.
Tecnologa (2013), que establecen reglas y normas para el
intercambio electrnico, as como pautas del
derecho procesal. Aunque la Constitucin establece
la libertad de expresin, no hay leyes en vigor que
traten especficamente sobre la privacidad o la
libertad de expresin en lnea.
Tres entidades conforman la respuesta principal del

pas contra la delincuencia ciberntica: el Cuerpo de
Investigaciones Cientficas, Penales y Criminalsticas
(CICPC), el Centro Nacional de Informtica Forense
(CENIF) y la Superintendencia de Servicios de
Certificacin Electrnica (SUSCERTE). El gobierno
ofrece rutinariamente capacitacin al personal del
Venezuela
57%

57%
110
Defensa ciberntica
Tribunales

Cultura y sociedad
En el gobierno
Tecnologas
Sensibilizacin
Adquisiciones
Organizacin
Coordinacin
Educacin
Formacin
Identificacin
Gestin de riesgos
Gestin de crisis
pblicas y privadas

OBSERVATORIO DE LA
CIBERSEGURIDAD 111
Notas de los perfiles de pases
1. Grupo del Banco Mundial, Internet users (per 100 people), World DataBank 17. Grupo del Banco Mundial, Internet users (per 100 people), World Databank
(2015), web, http://data.worldbank.org/indicator/IT.NET.USER.P2. (2015), web, http://data.worldbank.org/indicator/IT.NET.USER.P2.
2. Gobierno de Antigua y Barbuda, Ministry holds Cyber Security Awareness 18. Autor desconocido, Guyana Moves to Tackle Cybercrime, Kaieteur News,
Workshop for Employees, comunicado de prensa, Ministerio de Informacin, 13 de agosto de 2015, consultado el 15 de noviembre de 2015, http://www.
St. Johns, 05 de enero de 2012, http://www.ab.gov.ag/article_details. kaieteurnewsonline.com/2015/08/13/guyana-moves-to-tackle-cyber-crime/.
php?id=2438&category=38.
19. CSIRT-GY, National Cyber Security Sensitisation Workshop 2015, CSIRT-GY,
3. Organizacin de los Estados Americanos, OAS Assists Bahamas in the 10 de agosto de 2015, web, consultado el 18 de agosto de 2015, http://www.
Development of a National Cyber Security Strategy, comunicado de prensa CSIRT.gy/event/ncssw-2015.
no. 173/14, 30 de abril de 2014, consultado el 13 de noviembre de 2015,
https://www.oas.org/en/media_center/press_release.asp?sCodigo=E-173/1. 20. Amelie Baron, Haiti enters uncertain political phase as parliament dissolved,
Reuters, Port-Au-Prince, 13 de enero de 2015, web, consultado el 19 de junio
4. Dennis Adonis, Bahamas to get ethical hacking and cyber security training, in de 2015, http://www.reuters.com/article/2015/01/13/us-haiti-parliament-
wake of cyber attacks, Jewish Journal, (Los Angeles, CA), 16 de mayo de 2015. idUSKBN0KM2CX20150113.
5. Barbados Nation, BGIS website hacked, Nation News (Bridgetown, Barbados), 21. Grupo del Banco Mundial, Internet users (per 100 people), World DataBank
01 de junio de 2015. (2015), web, http://data.worldbank.org/indicator/IT.NET.USER.P2.
6. Grupo del Banco Mundial, Internet users (per 100 people), World DataBank 22. Grupo del Banco Mundial, Internet users (per 100 people), World DataBank
(2015), web, http://data.worldbank.org/indicator/IT.NET.USER.P2. (2015), web, http://data.worldbank.org/indicator/IT.NET.USER.P2.
7. Grupo del Banco Mundial, Internet users (per 100 people), World DataBank 23. Autor desconocido, OAS To Assist Government Following Cyber Attacks,
(2015), web, http://data.worldbank.org/indicator/IT.NET.USER.P2. The Gleaner, Kingston, Jamaica, 17 de diciembre de 2014, web, consultado
el 19 de junio de 2015, http://jamaica-gleaner.com/article/20141217/oas-
8. Agencia para el Desarrollo de la Sociedad de la Informacin en Bolivia, assist-government-following-cyber-attacks.
Misin y Visin, ADSIB, 2011, consultado el 18 de junio 2015, http://www.
adsib.gob.bo/adsibnueva/mision_vision.php. 24. Grupo del Banco Mundial, Internet users (per 100 people), World Data-Bank
(2015), web, http://data.worldbank.org/indicator/IT.NET.USER.P2.
9. Data Center Map, PIT-BOLIVIA - Punto de Intercambio de Trfico - Bolivia Data
Center Research, consultado 18 de junio 2015, http://www.datacentermap. 25. ESET, ESET Security Report Latinoamrica 2014 (Buenos Aires: ESET
com/ixp/pit-bolivia.html. Los IXP son estructuras fsicas que canalizan y Latinoamrica, 2014).
ofrecen contenido de Internet ms rpido, y conectividad ms segura a un
menor costo. 26. N.A. Inauguran semana del uso seguro de Internet, El Nuevo Diario, Managua,
Nicaragua, 25 de mayo de 2015, web, consultado el 19 de junio, 2015, http://
10. N.A., Rio Builds a high tech integrated urban command center, Homeland www.elnuevodiario.com.ni/nacionales/360817-inauguran-semana-uso-
Security News Wire, 30 de mayo de 2014, consultado el 5 de octubre de 2015, seguro-Internet/.
http://www.homelandsecuritynewswire.com/dr20140530-rio-builds-a-high-
tech-integrated-urban-command-center. 27. Grupo del Banco Mundial, Internet users (per 100 people), World DataBank
11. Departamento de Seguridad de la Informacin y las Comunicaciones, Estratgia
de Segurana da Informao e Comunicaes (SIC) e de Segurana Ciberntica da 28. Mariela Meja, Ataques phishing desviaron ms de RD $120 millones de
Administrao Pblica Federal (APF), 26 de mayo de 2015, http://dsic.planalto. bancos, Diario Libre, 12 de febrero de 2014, web, consultado el 19 de junio
gov.br/documentos/publicacoes/4_Estrategia_de_SIC.pdf. 2015, http://www.diariolibre.com/destacada/2014/02/12/i478961_ataques-
phishing-desviaron-rd120-millones-bancos.html.
12. Comit Gestor de Internet de Brasil, About the CGI.br, CGI.br, visitado el
17 de agosto de 2015, http://cgi.br/about/. 29. Grupo del Banco Mundial, Internet users (per 100 people), World DataBank
13. Freedom House, Ecuador, Freedom on the Net 2014, web, consultado 08
de junio 2015, web, https://freedomhouse.org/report/freedom-world/2014/ 30. N.A. St Kitts and Nevis to host ICT Week, Caribbean News Now, Basseterre,
ecuador St Kitts, septiembre de 2014, web, consultado el 24 de junio de 2015, http://
www.caribbeannewsnow.com/headline-St-Kitts-and-Nevis-to-host-ICT-
14. Grupo del Banco Mundial, Internet users (per 100 people), World DataBank Week-22628.html.
31. Grupo del Banco Mundial, Internet users (per 100 people), World DataBank
15. CARICOM, Granada Calls for More Support for the Regions ICT Initiatives, (2015), web, http://data.worldbank.org/indicator/IT.NET.USER.P2.
comunicado de prensa, Secretara de la Comunidad del Caribe, 21 de julio
de 2012, http://www.caricom.org/jsp/pressreleases/press_releases_2012/ 32. Gobierno de San Vicente y las Granadinas, One Laptop Per Student,
pres200_12.jsp. Gov.vc, web, consultado el 24 de junio de 2015, http://www.gov.vc/index.
php?option=com_content&view=article&id=349%3Aone-laptop-per-
16. Guillermo Isa Ramrez, Gobierno se Defiende del ataque de Anonymus, student&Itemid=159.
Prensa Libre 2 de mayo de 2015, web, consultado el 19 de junio 2015,
http://www.prensalibre.com/economia/gobierno-se-defiende-del-ataque- 33. N.A. St Lucia govt moving to strengthen cyber-security, Jamaica Observer,
de-anonymus. Castries, St Lucia (CMC), 06 de mayo de 2015, web, consultado el 24 de junio
112
de 2015, http://www.jamaicaobserver.com/latestnews/St-Lucia-gov-t-moving-
to-strengthen-cyber-security.
34. Bankers Association of St. Lucia Inc., Bankers Association Supports Police
Cyber Crime Efforts, BASLU, N.D., web, consultado el 24 de junio de 2015,
http://baslu.org/portofolio/maecenas-nec-eros-lacus/.
35. Michele Marius, 3 emerging trends in Caribbean Internet Governance policy,

ICT Pulse, 12 de septiembre de 2012, web, consultado, http://www.ict-pulse.
com/2012/09/3-emerging-trends-caribbean-Internet-governance-policy/.
36. Asamblea General de las Naciones Unidas, Cyber Warfare, Unchecked,

Could Topple Entire Edifice of International Security, Says Speaker in First
Committee at Conclusion of Thematic Debate Segment, Sixty-ninth session,
19th Meeting (PM), Meetings Coverage, 28 de octubre de 2014, web, consultado
el 24 de junio de 2015, http://www.un.org/press/en/2014/gadis3512.doc.htm.
37. Grupo del Banco Mundial, Internet users (per 100 people), World DataBank
38. Andre Bagoo, Cyber crime wave, Newsday, 08 de julio de 2012, web, consultado
el 24 de junio de 2015, http://www.newsday.co.tt/politics/0,162969.html.
39. Internet users (per 100 people). Banco Mundial. consultado el 22 de july de
2015. Web. Recuperado de http://data.worldbank.org/indicator/IT.NET.USER.P2
40. Gobierno de Uruguay, Estrategia y Agenda Digital, Mapa de ruta: Agenda

Digital Uruguay 2011-2015, Montevideo, Uruguay, web, consultado el 24
de junio 2015, http://www.agesic.gub.uy/innovaportal/v/1443/1/agesic/
mapa_de_ruta:_agenda_digital_uruguay_2011-2015.html?menuderecho=11.
41. N.A. Ms de 127 ataques cibernticos con fines polticos en Venezuela,

Telesur, 17 de febrero de 2014, web, consultado en junio 24 de 2015, http://
www.telesurtv.net/news/Mas-de-127-ataques-ciberneticos-con-fines-politicos-
en-Venezuela-20140217-0014.html.
OBSERVATORIO DE LA
CIBERSEGURIDAD 113
Reflexiones sobre la regin
Melissa Hathaway, Jennifer McArdle y Francesca Spidalieri
Las regiones de Amrica Latina y Caribe (ALC) estn acelerando Dos ejemplos son la campaa La seguridad de la informacin
su enfoque en la seguridad ciberntica y lo estn priorizando comienza por ti de Venezuela y la campaa internacional STOP.
en su agenda social y de poltica. Los lderes del gobierno no THINK.CONNECT., cuyos objetivos son educar al pblico sobre los
pueden ignorar el hecho de que los incidentes de seguridad problemas de seguridad ciberntica a travs de charlas pblicas,
ciberntica estn aumentando, tanto en alcance como en su escala. foros y talleres. Iniciativas como estas son importantes porque
Reconociendo su responsabilidad con su pas y los ciudadanos, pueden aumentar la conciencia de los riesgos cibernticos
deben tomar las medidas y hacer las inversiones necesarias para inherentes a un pas y fomentar el desarrollo de soluciones
abordar la resiliencia de los servicios e infraestructuras bsicas especficas para aumentar la resiliencia ciberntica.
de su pas y poder recuperarse rpidamente de los incidentes
cibernticos, mientras continan acogiendo las oportunidades 4. El establecimiento de asociaciones pblico-privadas de
que se presentan al tener una sociedad conectada. confianza y mecanismos formales de intercambio de informacin
sigue siendo limitado en la regin. La mayora de las autoridades
Los 32 pases participantes tienen diferentes enfoques, actitudes nacionales mantienen lneas abiertas y activas de comunicacin
y prioridades en cuanto a la seguridad ciberntica. Las siguientes y colaboracin con los sectores crticos y empresas clave, y
observaciones de alto nivel muestran las tendencias en la regin. reconocen la importancia de compartir la inteligencia oportuna
y procesable. Sin embargo, la desconfianza entre las partes
1. Los gobiernos reconocen la importancia de asegurar el acceso interesadas ha disminuido la colaboracin; y la ausencia de
asequible a los servicios de la tecnologa de la informacin y las centros reconocidos de intercambios o corredores de informacin
comunicaciones (TIC) para la innovacin empresarial, el crecimiento autorizada todava obstaculiza la capacidad de la mayora de
y la prestacin de servicios pblicos. Sin embargo, la penetracin los pases de ALC de establecer mecanismos de intercambio de
de Internet es todava muy baja (un promedio de menos del 50%) informacin formales.
en aproximadamente la mitad de la regin de ALC. Iniciativas de
desarrollo econmico de toda la regin estn pidiendo inversiones 5. La respuesta a las crisis o los mecanismos de presentacin de
de banda ancha y modernizacin de la infraestructura para impulsar informes estn en etapas iniciales en la regin, y la capacidad
a sus pases hacia la era digital. para abordar de manera proactiva las amenazas cibernticas
es limitada. Aproximadamente la mitad de los pases de ALC
2. La adopcin de una estrategia de seguridad ciberntica nacional han establecido y operacionalizado Equipos de Respuesta a
es posiblemente uno de los elementos ms importantes del Incidentes de Seguridad Informtica (CSIRT, por sus siglas en
compromiso de un pas en asegurar la infraestructura ciberntica, ingls; tambin conocidos como CERT). Otros Estados estn
servicios y ambiente de negocios de los que dependen su futuro evaluando los requisitos para montar y poner en prctica este
digital y el bienestar econmico. Algunos pases de ALC le han tipo de capacidad. Algunos pases, como Colombia, ya tienen
dado prioridad a la seguridad ciberntica como una preocupacin iniciativas maduras de respuesta a incidentes y, como tales,
nacional y estn estableciendo polticas formales de seguridad pueden proporcionar servicios de respuesta a incidentes de
ciberntica y construyendo las capacidades de organismos entidades gubernamentales y del sector privado.
pertinentes. Hasta la fecha, solo seis pases de la regin han
adoptado estrategias de seguridad ciberntica: Brasil, Colombia, 6. Los esfuerzos para desarrollar marcos legales integrales para
Jamaica, Panam, Trinidad y Tobago y Uruguay. Otros pases, combatir la delincuencia ciberntica, un objetivo importante
entre ellos Argentina, Antigua y Barbuda, Bahamas, Costa Rica, de la estrategia de seguridad ciberntica de la OEA, estn en
Dominica, El Salvador, Hait, Mxico, Paraguay, Per y Suriname, marcha en toda la regin. Aunque solo dos de los 32 Estados
se encuentran actualmente adelantando la articulacin de una Miembros de la OEA, o sea, la Repblica Dominicana y Panam,
estrategia potencial. se han adherido a la Convencin de Budapest sobre el delito
ciberntico, casi todos los Estados Miembros han aumentado
3. La sociedad, en gran parte, desconoce los riesgos y sus esfuerzos de aplicacin de la ley a nivel nacional y han
vulnerabilidades asociadas con el uso de las TIC. Es importante actualizado la legislacin nacional para luchar contra el delito
que los gobiernos describan los riesgos y oportunidades asociadas ciberntico y fortalecer las leyes de proteccin de datos y
con el aumento de la conectividad y la dependencia de Internet. privacidad. El enjuiciamiento de los delitos cibernticos en la
Diferentes iniciativas de sensibilizacin, como las que han regin, sin embargo, todava se ve obstaculizado por la ausencia,
comenzado a surgir en muchos pases ALC y que han ayudado en la mayora de los Estados, de un mecanismo formal para
a construir una comprensin compartida de la importancia de denunciar incidentes cibernticos. Incluso si se denuncia un
la seguridad ciberntica, tambin pueden conducir a la accin. incidente, la mayora de los pases cuentan con capacidades
OBSERVATORIO DE LA
CIBERSEGURIDAD 115
forenses insuficientes para investigar y enjuiciar delitos, o el
sistema de justicia penal no ha desarrollado la capacidad de
manejar las pruebas electrnicas o hacer cumplir las leyes de
delitos informticos existentes y actualizadas.
7. Algunos gobiernos estn aprovechando su mayor conectividad a

Internet para explorar oportunidades de desarrollo de tecnologa,
ampliar su industria interna de tecnologa y poner en marcha
interesantes programas cibernticos de investigacin y desarrollo
(por ejemplo, Start-Up Chile y Visin 2018 de Costa Rica). Tambin Melissa Hathaway
han comenzado a ofrecer incentivos, en forma de crditos
fiscales, subvenciones y becas para promover el desarrollo de Destacada experta en la poltica de ciberespacio
una industria local de tecnologa y fomentar la innovacin, la y ciberseguridad. Es Asesora Principal en el Centro
educacin, la seguridad ciberntica, la creacin de capacidades Belfer para la Ciencia y Asuntos Internacionales
y la creacin de empleos. del Harvard Kennedy School y sirve como
Asociada Senior y miembro de la Junta de
Es alentador que la seguridad ciberntica y la resiliencia ocupen Regentes en el Instituto Potomac de Estudios
un lugar destacado en la poltica y los programas sociales Polticos. Se desempe en dos administraciones
en Amrica Latina y el Caribe. Si bien ningn pas est listo presidenciales, pues estuvo a cargo de la Revista
cibernticamente, muchos estn empezando a tomar medidas de Poltica del Ciberespacio para el Presidente
significativas para evaluar sus desafos especficos de seguridad Obama y dirigi la Iniciativa Nacional de Seguridad
ciberntica en trminos econmicos y comprometer recursos Ciberntica Integral para el Presidente George
limitados para lograr sus objetivos. Si bien sigue habiendo W. Bush. Ha desarrollado una metodologa nica
brechas en la preparacin para la seguridad ciberntica en toda para evaluar y medir el nivel de preparacin para
Amrica Latina y el Caribe (como se ve en los resmenes de las determinados riesgos de ciberseguridad, conocida
capacidades y los esfuerzos de seguridad ciberntica de cada como el Cyber Readiness Index y est aplicando su
pas), la regin entera de ALC est avanzando y madurando metodologa para 125 pases.
su compromiso con la creacin de una sociedad ms segura,
resiliente y conectada.
Jennifer McArdle
Investigadora Asociada y miembro del Centro
de Pensamiento Cientfico Revolucionario en
el Instituto Potomac de Estudios Polticos, es
candidata al doctorado en el Kings College
de Londres. Su investigacin acadmica y
publicaciones se centran en la seguridad
ciberntica y problemas de seguridad nacional.

Francesca Spidalieri
Senior Fellow para el Liderazgo Ciberntico en
el Centro Pell, en Salve Regina University, se
desempea como una experta en la materia en el
Proyecto de Cyber Readiness Index del Instituto
Potomac de Estudios Polticos. Su investigacin
acadmica y sus publicaciones se han centrado
en el desarrollo del liderazgo ciberntico, la
gestin de riesgos cibernticos, la educacin
y la conciencia ciberntica, y el desarrollo del
personal de seguridad ciberntica.
116
Contribuciones
El Banco Interamericano de Desarrollo (BID) y la Organizacin de los Estados Americanos (OEA)
extienden su ms sincero agradecimiento a los expertos e instituciones que han contribuido al Informe
2016 del Observatorio de la Seguridad Ciberntica en Amrica Latina y el Caribe. El BID y la OEA
reconocen tambin a las siguientes organizaciones por sus contribuciones a esta iniciativa:
Antigua y Barbuda Brasil
Ministerio de Informacin Agencia Brasilea de Inteligencia (ABIN)

Oficina del Primer Ministro Centro de Tecnologa e Sociedad (CTS)
- Fundao Getlio Vargas
Comit Gestor de Internet en Brasil (CGI.br)
Departamento de Seguridad de Informacin
Argentina y Comunicaciones, Presidencia de la Repblica
de Brasil (DSIC)
Ministerio de Seguridad Nacional Equipo Nacional de Respuesta ante Incidentes
Programa Nacional de Infraestructuras Crticas de Informticos de Brasil (CERT.BR)
Informacin y Ciberseguridad (ICIC) Gabinete de Seguridad Institucional
Subsecretara para la Proteccin de Infraestructura de la Presidencia de la Repblica (GSI)
Crtica y Ciberseguridad Instituto de Tecnologa e Sociedad (ITS)
Bahamas Chile
Fuerza Policial Real de Bahamas Ministerio del Interior

Ministerio de Seguridad Nacional Ministerio de Relaciones Exteriores
Ministerio de Telecomunicaciones
Barbados
Colombia
Oficina del Procurador General
Asociacin Nacional de Empresarios de Colombia
(ANDI)
Cmara Colombiana de Informtica y
Belice Telecomunicaciones (CCIT)
.CO Internet
Departamento de Polica de Belice Fuerzas Armadas
Organizacin Central de Tecnologa Informtica ISAGEN, EPM
(CITO) Ministerio de Defensa Nacional
Secretara del Consejo de Seguridad Nacional Ministerio de Justicia
(NSCS) Ministerio de Tecnologas de la Informacin
y las Comunicaciones (MINTIC)
Polica Nacional
UniAndes, Escuela Superior de Guerra, Uniminuto,
Bolivia UPB
Agencia para el Desarrollo de la Sociedad de la

Informacin en Bolivia (ADSIB)
OBSERVATORIO DE LA
CIBERSEGURIDAD 117
Costa Rica Guatemala
Instituto Costarricense de Electricidad (ICE) CSIRT-gt

Ministerio de Ciencia, Tecnologa y Ministerio de Gobernacin
Telecomunicaciones (MICITT) Ministerio Pblico de Guatemala
Ministerio de la Presidencia Secretara Tcnica del Consejo Nacional de
Organismo de Investigacin Judicial (OIJ) Seguridad
Procuradura General de la Repblica Superintendencia de Telecomunicaciones
Superintendencia de Telecomunicaciones (SUTEL)
Universidad de Costa Rica
Guyana
Dominica Agencia de Energa de Guyana

CSIRT.gy
Asociacin de Dominica de Profesionales Fuerza de Defensa de Guyana
Tecnologa de la Informacin (DAITP) Fuerza de Polica de Guyana
Banco Nacional de Dominica Ministerio del Interior
Dominica State College Universidad de Guyana
Ministerio de Informacin y Telecomunicaciones
Unidad de Tecnologa de Informacin y
Comunicaciones
Hait
Consejo Nacional de Telecomunicaciones

Ecuador (CONATEL)
ARCOTEL
Fiscala General de Ecuador
Fuerzas Armadas del Ecuador Honduras
Ministerio de Defensa
Comisin Nacional de Telecomunicaciones
(CONATEL)
COINDIS
El Salvador Ministerio de Relaciones Exteriores y Cooperacin
Internacional
Ministerio de Justicia y Seguridad Pblica Polica Nacional de Honduras
Sistema Nacional de Administracin de la
Propiedad (SINAP)
Granada
Fuerza de la Polica Real de Granada
118
Jamaica Per
Asociacin de Bancos de Jamaica Comando Conjunto Fuerzas Armadas

Fuerza Policial de Jamaica Ministerio de Defensa
Ministerio de Ciencia, Tecnologa, Energa y Minera Ministerio del Interior del Per
Ministerio Pblico de Jamaica Ministerio Pblico - Fiscala de la Nacin
Ministerio de Seguridad Nacional Ministerio de Relaciones Exteriores
Universidad de las Indias Occidentales Oficina Nacional de Gobierno Electrnico e
Informacin (ONGEI)
Polica Nacional de Per
Mxico
Asociacin Mexicana de Internet, A.C. (AMIPCI) Repblica Dominicana

Comit Especializado en la Seguridad de
Informacin (CESI) Instituto Dominicano de las Telecomunicaciones
Petrleos Mexicanos (INDOTEL)
Procuradura General de la Repblica (PGR) Polica Nacional
Secretara de Gobernacin Procuradura General de la Repblica
Nicaragua Saint Kitts y Nevis
Universidad Nacional de Ingeniera Comisin Reguladora de Servicios Financiaros

LIME
Ministerio de Empoderamiento Juvenil, Deportes,
Tecnologa Informtica, Telecomunicaciones y
Panam Correo
Ministerio de Energa, Finanzas, Comercio e
Autoridad del Canal de Panam Industria
Autoridad Nacional para la Innovacin Polica Real de Saint Kitts y Nevis
Gubernamental (AIG) St. Kitts Electricity Company Ltd.
Paraguay San Vicente y las Granadinas
Ministerio Pblico Fuerza Policial Real de San Vicente y las

Ministerio de Relaciones Exteriores Granadinas
Secretara Nacional de Tecnologas de Informacin
y Comunicaciones (SENATICS)
OBSERVATORIO DE LA
CIBERSEGURIDAD 119
Santa Luca
Gobierno de Santa Lucia
Suriname
Agencia Central de Inteligencia y Seguridad (CIVD)

Banca Red de Suriname
Cmara de Comercio e Industrias
DATASUR
Ministerio de Energa, Finanza, Comercio e Industria
Oficina del Fiscal General
Parbonet
Servicio Especial de Seguridad e Inteligencia (SBID)
TELESUR
Trinidad y Tobago
Empresa Nacional de TIC (iGovTT)

Ministerio de Seguridad Nacional
Uruguay
Agencia de Gobierno Electrnico, Sociedad de la

Informacin y Conocimiento (AGESIC)
ANTEL
Ministerio de Defensa
Venezuela
Superintendencia de Servicios de Certificacin

Electrnica (SUSCERTE)
El reconocimiento a las instituciones
mencionadas anteriormente no implica
que las mismas validen el contenido
del presente documento.
120
Apndice
Marco metodolgico detallado
Estrategia nacional de seguridad ciberntica
oficial o documentada
Desarrollo de la estrategia
Organizacin
Contenido
Defensa ciberntica
Estrategia
Organizacin
Coordinacin
OBSERVATORIO DE LA
CIBERSEGURIDAD 123
Estrategia nacional
oficial o documentada Desarrollo de la estrategia
Una estrategia nacional integral INICIAL

de seguridad ciberntica identifica
los intereses y roles de una gama de
actores que contribuyen a, tienen la No hay evidencia de la existencia de una estrategia nacional de seguridad
responsabilidad de o se ven afectadas ciberntica; si existe un componente ciberntico, puede ser responsabilidad
por la seguridad ciberntica con el de uno o ms departamentos del gobierno; ha comenzado un proceso para el
propsito de crear un marco coordinado desarrollo sin consultar a los interesados.
y cohesionado. Esta estrategia en
ocasiones incluye varias reas temticas
e identifica los roles y responsabilidades FORMATIVO
de varios actores que participan en
la seguridad ciberntica, incluida la
industria, la sociedad civil y personas Se ha articulado un esquema de una estrategia nacional de seguridad
naturales, y destacar la importancia ciberntica construido sobre la base de la consulta del gobierno; se han
de los mecanismos para abordar sus establecido procesos de consulta para los grupos de inters clave, posiblemente
necesidades y aprovechar su experiencia. con asistencia internacional.
ESTABLECIDO
Se ha establecido una estrategia de seguridad ciberntica nacional; se ha

acordado un mandato especfico para consultar a todos los sectores y la
sociedad civil; se utilizan tendencias histricas y datos para planificar; una
cierta comprensin de los riesgos y amenazas de seguridad ciberntica nacional
impulsa la creacin de capacidades a nivel nacional.
ESTRATGICO
La estrategia de seguridad ciberntica nacional se implementa con conocimiento

por parte de mltiples partes interesadas en todo el gobierno; se confirman los
procesos de revisin y renovacin de la estrategia; se llevan a cabo ejercicios
cibernticos regulares de escenario y en tiempo real; planes estratgicos de
seguridad ciberntica impulsan la creacin de capacidad y las inversiones en
seguridad; se han establecido procesos de medicin y mtricas, los cuales se
implementan y sirven de base para la toma de decisiones.
DINMICO
La estrategia de seguridad ciberntica se revisa continuamente para adaptarse a

los cambiantes entornos socio-poltico, de amenazas y tecnolgico, impulsando
el proceso de toma de decisiones de mltiples partes interesadas; se llevan a
cabo medidas de transparencia y de fomento de la confianza (TCBM, por sus
siglas en ingls) para garantizar la inclusin y la contribucin continua de todos
los interesados, incluido el mejoramiento de la asociacin pblico-privada, la
sociedad en general y los aliados internacionales.
124
Organizacin
INICIAL
No existe una entidad global para la coordinacin de la seguridad ciberntica;

si se cuenta con presupuestos, estos se encuentran en oficinas pblicas no
relacionadas.
FORMATIVO
Se ha diseado y difundido un programa de seguridad ciberntica coordinado;

los presupuestos todava pueden estar distribuidos; an es limitada la
cooperacin interdepartamental.
ESTABLECIDO
Se ha designado un solo programa ciberntico dentro de cada entidad

gubernamental; existe un dueo departamental o ente coordinador con un
presupuesto consolidado; el programa se define, con metas, hitos e indicadores
para medir el progreso; se han acordado funciones y responsabilidades claras
para las funciones de seguridad ciberntica dentro del gobierno.
ESTRATGICO
Existen pruebas de la aplicacin iterativa de las mtricas y el perfeccionamiento

resultante de las operaciones y la estrategia a travs de los gobiernos
involucrados en la seguridad ciberntica, incluida la evaluacin y gestin del
riesgo.
DINMICO
Un organismo nacional es designado para difundir e impulsar la aplicacin de la

estrategia de seguridad ciberntica; existe una postura de seguridad ciberntica
nacional singular con la capacidad de reasignar tareas y presupuestos de forma
dinmica de acuerdo con los cambios en la evaluacin de riesgos del entorno
de seguridad ciberntica; se solidifica la cooperacin internacional a nivel
organizacional.
Estrategia nacional de seguridad

ciberntica oficial o documentada
Organizacin
Contenido
OBSERVATORIO DE LA
CIBERSEGURIDAD 125
Contenido
INICIAL
Puede no existir ninguna o puede haber varias estrategias nacionales con una
referencia a la seguridad ciberntica; si es que existen, el contenido es genrico,
no necesariamente alineado con los objetivos nacionales y no proporciona
directrices recurribles.
FORMATIVO
El contenido incluye vnculos entre las prioridades nacionales de riesgo y la

seguridad ciberntica, pero en general son ad hoc y no estn detallados.
ESTABLECIDO
El contenido de la estrategia nacional de seguridad ciberntica se vincula

explcitamente a los riesgos, las prioridades y objetivos nacionales; el contenido
incluye la sensibilizacin al pblico, la mitigacin de la delincuencia ciberntica,
la capacidad de respuesta a incidentes y la proteccin de la Infraestructura
Crtica Nacional.
ESTRATGICO
El contenido de la estrategia nacional de seguridad ciberntica se actualiza

basndose en los resultados de la aplicacin de mtricas y mediciones que
impulsan la toma de decisiones y guan la inversin de recursos.
DINMICO
El contenido de la estrategia se ha modificado en respuesta a las condiciones

de seguridad ciberntica; se incorpora regularmente al plan estratgico
nuevo contenido relativo a los objetivos de seguridad ciberntica; se articula
el liderazgo y la promocin de un espacio ciberntico internacional seguro,
resiliente y de confianza.
Estrategia nacional de seguridad

ciberntica oficial o documentada
Organizacin
Contenido
126
Defensa ciberntica Estrategia
Puede haber eventos que repercuten INICIAL

en los intereses de seguridad nacional
relacionados con la seguridad de la red,
la capacidad de recuperacin ciberntica, Existe una poltica nacional de seguridad y estrategia de defensa nacional y
la respuesta a incidentes y el intercambio puede contener un componente de seguridad de la informacin o digital, pero
de informacin, que requieren la no existe ninguna poltica o estrategia de defensa ciberntica.
participacin de los ministerios y
organismos de defensa. Por lo tanto, se
necesita la preparacin de una estrategia FORMATIVO
que coordine a todas las organizaciones
participantes para garantizar un enfoque
integrado para hacerle frente a las Han sido identificadas amenazas especficas a la seguridad nacional en el
amenazas a la seguridad nacional. Esta ciberespacio, tales como actores de amenazas externas, amenazas internas,
evaluacin no pretende examinar la vulnerabilidades del sistema de suministro y amenazas a la capacidad operativa
capacidad tcnica o militar, sino que militar, pero an no existe una estrategia de respuesta coherente.
se centra en los atributos fcilmente
observables, tales como planificacin
ESTABLECIDO
estratgica, organizacin y coordinacin.
Existe una poltica nacional de defensa ciberntica o un Libro Blanco de defensa

ciberntica y esboza la posicin de los militares en su respuesta a los diferentes
tipos y niveles de ataques cibernticos, incluyendo un conflicto habilitado
por la ciberntica que produce un efecto convencional, cintico, y ataques
cibernticos ofensivos destinados a perturbar la infraestructura, incluyendo la
respuesta a emergencias.
ESTRATGICO
La defensa ciberntica nacional cumple con el derecho internacional y es

compatible con las normas nacionales e internacionales de intervencin en el
ciberespacio.
DINMICO
Se conoce el cambiante panorama de amenazas en la seguridad ciberntica

mediante la revisin constante para cerciorarse de que las polticas de defensa
ciberntica continen cumpliendo con los objetivos de seguridad nacional;
estn claramente definidas las normas de intervencin; la doctrina militar que
se aplica al ciberespacio est completamente desarrollada y toma nota de los
cambios significativos en el entorno de la seguridad ciberntica.
OBSERVATORIO DE LA
CIBERSEGURIDAD 127
Organizacin
INICIAL
No hay gestin de la defensa ciberntica; si es que existe, puede ser distribuida

entre las fuerzas armadas y/o algunas otras organizaciones gubernamentales;
no hay una estructura de mando clara para la seguridad ciberntica en las
fuerzas armadas.
FORMATIVO
Las unidades de operacin de defensa ciberntica se incorporan a las diferentes

ramas de las fuerzas armadas, pero no existe una estructura central de mando
y control.
ESTABLECIDO
Dentro del ministerio responsable de la defensa, existe una organizacin

definida para enfrentar los conflictos utilizando medios cibernticos.
ESTRATGICO
Se integran a la estrategia de defensa nacional la experticia altamente

especializada con capacidades cibernticas estratgicas avanzadas y
conocimiento total de la situacin.
DINMICO
El ministerio responsable de la defensa contribuye al debate mediante el

desarrollo de un entendimiento internacional comn del punto en el que un
ataque ciberntico podra desencadenar una respuesta de varios dominios.
Defensa ciberntica
Estrategia
Organizacin
Coordinacin
128
Coordinacin
INICIAL
Las fuerzas armadas nacionales no tienen capacidad, o tienen capacidad

limitada, de resiliencia ciberntica, destinada a reducir las vulnerabilidades de
los intereses de seguridad nacional e infraestructura de red de defensa.
FORMATIVO
Se acuerdan los requisitos de capacidad de defensa ciberntica entre el sector

pblico y privado con el fin de minimizar la amenaza a la seguridad nacional.
ESTABLECIDO
Existe coordinacin, en respuesta a los ataques maliciosos a los sistemas de

informacin militar y a la infraestructura crtica nacional; existe un mecanismo
para el intercambio de informacin que sirve para el anlisis de amenazas y la
recopilacin de inteligencia.
ESTRATGICO
Existe cierta capacidad analtica para apoyar la coordinacin y asignacin de

recursos para la defensa ciberntica nacional, posiblemente incluyendo un
centro de investigacin de defensa ciberntica.
DINMICO
La entidad encargada de la defensa ciberntica coordina la integracin

estratgica con respecto a eventos cibernticos entre el gobierno, los militares
y la infraestructura crtica, incluidos los presupuestos, e identifica los roles y
responsabilidades claras; este proceso luego alimenta a la re-evaluacin de la
situacin de seguridad nacional del pas.
Defensa ciberntica
Estrategia
Organizacin
Coordinacin
OBSERVATORIO DE LA
CIBERSEGURIDAD 129
Cultura y sociedad
En el gobierno
En la sociedad

Sensibilizacin
Confianza en el uso de Internet

En el gobierno electrnico
En el comercio electrnico
Privacidad en lnea
OBSERVATORIO DE LA
CIBERSEGURIDAD 131
Mentalidad de seguridad
ciberntica En el gobierno
Una mentalidad de seguridad ciberntica INICIAL

incluye los valores, actitudes y prcticas,
hbitos de usuarios individuales, expertos
y otros actores en el ecosistema de la No existe o se reconoce mnimamente una mentalidad de seguridad ciberntica
seguridad ciberntica. Se les requiere dentro de las agencias gubernamentales.
a diferentes actores tener diversas
mentalidades de seguridad ciberntica,
en funcin a sus roles y funciones en el FORMATIVO
ecosistema, incluyendo el gobierno, el
sector privado, la academia, los expertos y
el comportamiento responsable en lnea. Agencias lderes han comenzado a darle prioridad a la seguridad ciberntica,
Los factores socioeconmicos contribuyen mediante la identificacin de los riesgos y amenazas.
a la existencia de diferentes percepciones
de la seguridad ciberntica y pueden
ESTABLECIDO
incidir en el hecho de que la misma se
brinde de manera eficaz.
Mejores prcticas en seguridad ciberntica son ampliamente conocidas en todo
el gobierno en todos los niveles.
ESTRATGICO
La mayora de las agencias en todos los niveles de gobierno han incorporado

una mentalidad proactiva de seguridad ciberntica, que sustenta la planeacin
estratgica.
DINMICO
La mentalidad de la seguridad ciberntica es habitual e informa a todas las

iniciativas relacionadas con la TI; la mentalidad de seguridad ciberntica sirve
como base para los enfoques individuales de los empleados ministeriales sobre
sus responsabilidades.
132
Cultura y sociedad
INICIAL
No existe o se reconoce mnimamente en la industria y los negocios la necesidad

de darle prioridad a una mentalidad de seguridad ciberntica.
FORMATIVO
Empresas lderes han comenzado a darle prioridad a una mentalidad de

seguridad ciberntica mediante la identificacin de prcticas de alto riesgo.
ESTABLECIDO
Se ha arraigado una mentalidad de seguridad ciberntica entre las empresas y

la industria.
ESTRATGICO
Todas las organizaciones, incluidas las PYME, entre la mayora de las industrias,
han fomentado una mentalidad proactiva de seguridad ciberntica, que informa
a la planeacin estratgica.
DINMICO
La mentalidad de seguridad ciberntica sirve como base para los enfoques

individuales dentro del sector privado respecto de las responsabilidades
laborales e informa a todas las iniciativas relacionadas con TI.

En el gobierno
En la sociedad
OBSERVATORIO DE LA
CIBERSEGURIDAD 133
En la sociedad
INICIAL
La sociedad desconoce las amenazas cibernticas y no puede tomar medidas

concretas de seguridad ciberntica o la sociedad es consciente de las amenazas
cibernticas, pero no toma medidas proactivas para mejorar su seguridad
ciberntica.
FORMATIVO
Se adopta una mentalidad de seguridad ciberntica, pero de manera

inconsistente, en toda la sociedad; los programas y materiales han sido puestos
a disposicin para entrenar y mejorar las prcticas de seguridad ciberntica.
ESTABLECIDO
Se ha desarrollado una conciencia social del uso seguro de los sistemas en

lnea; una proporcin creciente de usuarios tienen las habilidades para manejar
su privacidad en lnea y protegerse de la intromisin, interferencia o acceso no
deseado a la informacin por parte de otros.
ESTRATGICO
Un nmero creciente de usuarios estn empleando prcticas seguras en lnea

como una costumbre, la conciencia de la seguridad est arraigada; la mayora
de los usuarios tienen la informacin, confianza y herramientas prcticas para
protegerse en lnea, mientras que se proporcionan el apoyo y los recursos a los
miembros vulnerables de la sociedad, incluida la proteccin de menores.
DINMICO
Los usuarios demuestran una mentalidad de seguridad ciberntica y emplean

habitualmente las prcticas ms seguras en su uso cotidiano de las redes en
lnea; el conjunto de habilidades en seguridad ciberntica de la poblacin de un
pas muestra un grado de desarrollo avanzado, por lo que los usuarios pueden
abordar de manera efectiva las amenazas que enfrenta la sociedad.

En el gobierno
En la sociedad
134
Cultura y sociedad
Conciencia
de seguridad ciberntica Sensibilizacin
Necesidad de que los programas aumenten INICIAL

la conciencia de seguridad ciberntica con
especial nfasis en la percepcin de los
riesgos y amenazas cibernticas. La necesidad de tomar conciencia de las amenazas y vulnerabilidades de
seguridad ciberntica en el sector pblico y privado no es reconocida o se
encuentra en una fase inicial de discusin.
FORMATIVO
Se establecen campaas de sensibilizacin con objetivos definidos, pero son

ad hoc, no cubren necesariamente todos los grupos y no estn estrechamente
vinculadas a la estrategia de seguridad ciberntica; estn disponibles
seminarios y recursos en lnea para la poblacin objetivo, pero no hay esfuerzos
de coordinacin o de medicin.
ESTABLECIDO
Existe un programa coordinado nacional para la concienciacin sobre la seguridad

ciberntica en base a consultas con las partes interesadas, que se dirige a una amplia
gama de grupos demogrficos; se puede evidenciar la participacin de mltiples
partes interesadas en la prestacin de servicios y productos de sensibilizacin.
ESTRATGICO
Se han establecido mtricas para medir la eficacia de las campaas de

sensibilizacin y los resultados sirven de base para campaas futuras, teniendo
en cuenta brechas o fallas; el programa es apoyado por procesos para obtener
medidas de idoneidad y calidad para la potencial reutilizacin del material;
existe, es ampliamente conocido y fcilmente accesible un portal central en
lnea que tiene vnculos con informacin relevante.
DINMICO
Mediciones de rendimiento de las campaas de sensibilizacin sirven de base

para los procesos nacionales de renovacin de estrategias y la redistribucin
de los recursos; la comunidad de interesados aporta requisitos al proceso
de planeacin de la campaa, con un diseo especfico para los grupos
destinatarios.
OBSERVATORIO DE LA
CIBERSEGURIDAD 135
Confianza en el uso de Internet En los servicios en lnea
El nivel de confianza de los individuos INICIAL

en el uso de Internet (servicios en lnea
y gobierno o comercio electrnico)
determina la medida en que No existe o hay un uso mnimo de los servicios en lnea; la confianza en los
proporcionarn informacin personal servicios en lnea no es una preocupacin; por lo tanto, los operadores de la
en lnea. infraestructura de Internet no han establecido acciones coordinadas.
FORMATIVO
La confianza en los servicios en lnea se identifica como una preocupacin; los

operadores de infraestructuras toman en consideracin medidas para fomentar
la confianza en los servicios en lnea; sin embargo, no se han establecido medidas.
ESTABLECIDO
Se han implementado esfuerzos para proporcionar servicios en lnea ms

seguros; se ha establecido un programa nacional coordinado para promover la
confianza en los servicios en lnea; la asignacin presupuestal para las medidas
de seguridad para los servicios en lnea es mnima.
ESTRATGICO
Se recogen las medidas de efectividad de un programa para promover la

confianza incluyendo la consideracin de los impactos secundarios y se utilizan
para informar la asignacin de recursos; las medidas que evalan la confianza
en los servicios en lnea incluyen la sensacin de control del individuo sobre el
suministro de datos personales en lnea.
DINMICO
A travs de la aplicacin y la evaluacin iterativa de indicadores cuantitativos y

cualitativos en la infraestructura en lnea y la mejora en el desarrollo de servicios,
aumenta la confianza en los servicios en lnea; las personas evalan el riesgo
en el uso de servicios en lnea y de forma continua ajustan su comportamiento
sobre la base de esta evaluacin.
136
Cultura y sociedad
INICIAL
El gobierno no ofrece servicios electrnicos o los que ofrece son mnimos;

si se ofrecen servicios electrnicos mnimos, el gobierno no ha promovido
pblicamente el entorno seguro necesario.
FORMATIVO
La gama de servicios electrnicos del gobierno contina en expansin, con un

reconocimiento de la necesidad de aplicar medidas de seguridad para promover
la confianza en los servicios electrnicos; mltiples partes interesadas analizan
las prcticas indeseables en lnea.
ESTABLECIDO
Las infracciones se han identificado y reconocido y se dan a conocer de una

manera ad hoc por el gobierno; el sector pblico coordina acciones para evitar
ataques a la informacin personal; se priorizan los delitos en Internet de alto
nivel; se promueve el cumplimiento de los estndares de Internet y de la web
para proteger el anonimato de los usuarios.
ESTRATGICO
La divulgacin de la informacin se hace por defecto; las preocupaciones sobre

seguridad ciberntica impulsan al gobierno; se promueve la privacidad por
defecto como una herramienta para la transparencia; se emplean procesos
de contenido generado por el usuario para proporcionar informacin sobre
material ineficaz; se establecen medidas procesales para asegurar una gestin
eficiente de los contenidos en lnea.
DINMICO
Se mejoran continuamente los servicios de gobierno electrnico con el fin de

promover un sistema transparente, abierto y seguro en el que la gente confa;
se estn llevando a cabo de manera consistente evaluaciones de impacto sobre
la proteccin de la privacidad en las disposiciones de gobierno electrnico, las
cuales retroalimentan la planeacin estratgica.
OBSERVATORIO DE LA
CIBERSEGURIDAD 137
INICIAL
No se ofrecen servicios de comercio electrnico; si se ofrecen, el entorno es

inseguro y los usuarios carecen de un conocimiento adecuado de los servicios
de comercio electrnico.
FORMATIVO
Los servicios de comercio electrnico son mnimos y no totalmente organizados;

las partes interesadas y los usuarios reconocen la necesidad de seguridad en
los servicios electrnicos y ha comenzado el anlisis de inversin entre los
proveedores de servicios.
ESTABLECIDO
Los servicios de comercio electrnico estn plenamente establecidos en

un entorno seguro; mltiples partes interesadas invierten en el comercio
electrnico.
ESTRATGICO
Se han establecido la funcionalidad del servicio mejorado, la provisin de

mecanismos de retroalimentacin y la proteccin de la informacin personal
para asegurar la continuidad del negocio.
DINMICO
Mediciones de desempeo continuas de servicios de comercio electrnico

impulsan e informan la planeacin estratgica; los trminos y condiciones
previstos en los servicios de comercio electrnico son claros y comprensibles
para todos los usuarios.

138
Cultura y sociedad
Privacidad en lnea Normas de privacidad
Las cuestiones de privacidad incluyen INICIAL

el intercambio de datos de carcter
personal en el sector pblico y privado.
Se aborda por separado el componente La discusin con grupos de inters sobre asuntos de privacidad ha comenzado
de proteccin de datos de la privacidad a nivel gubernamental.
en las dimensiones 4 y 5. Los pases con
estrategias sofisticadas de seguridad
ciberntica no comprometern la FORMATIVO
libertad de expresin en lnea en nombre
de la seguridad de la red.
Se consideran las leyes y polticas que promueven el acceso a datos personales
recogidos y almacenados por todo el gobierno y otras instituciones pblicas.
ESTABLECIDO
Todos los actores relevantes de la sociedad civil estn impulsando activamente

el cambio en las prcticas, leyes y regulaciones que afectan la libertad de
expresin en asuntos de privacidad; el gobierno est considerando la adopcin
de legislacin sobre derechos humanos con un enfoque en la privacidad.
ESTRATGICO
Se adhiere a estndares de derechos humanos reconocidos a nivel regional e

internacional, en relacin a la privacidad.
DINMICO
Estn claramente identificados los actores, polticas y prcticas que determinan

la libertad de expresin y la privacidad y son fundamentales para informar las
decisiones; se logra el cumplimiento de la declaracin universal de los derechos
humanos.
OBSERVATORIO DE LA
CIBERSEGURIDAD 139
INICIAL
No hay debate, o es mnimo, entre los lderes del sector privado con respecto a
las cuestiones de privacidad en el lugar de trabajo.
FORMATIVO
Se reconoce la privacidad en el lugar de trabajo como un componente importante

de la seguridad ciberntica y est empezando a ser institucionalizada en
programas para empleados.
ESTABLECIDO
Los empleadores mantienen polticas de privacidad que ofrecen un nivel

mnimo de privacidad para los empleados.
ESTRATGICO
Los empleados no solo toman conciencia de sus derechos a la privacidad dentro

de la organizacin y se entienden las obligaciones de privacidad individual
sobre la base de la planeacin estratgica, sino que la organizacin tambin
realiza auditoras externas para asegurar el cumplimiento de las normas de
privacidad; se logra el cumplimiento de las mejores prcticas relacionadas con
los derechos humanos sobre la privacidad en el lugar de trabajo y se evala a
travs de un proceso de auditora.
DINMICO
Se llevan a cabo de manera regular evaluaciones de impacto sobre la privacidad,

las cuales sustentan la revisin de la poltica.
Privacidad en lnea
140
Educacin
Disponibilidad nacional de la educacin
y formacin cibernticas
Educacin
Formacin
Desarrollo nacional de la educacin

Desarrollo nacional de la educacin
Formacin e iniciativas educativas pblicas

y privadas
Capacitacin de empleados
Gobernanza corporativa, conocimiento y normas

En las empresas estatales y privadas
OBSERVATORIO DE LA
CIBERSEGURIDAD 141
Disponibilidad nacional
de la educacin y formacin
cibernticas Educacin
Recursos y/o financiacin del INICIAL

pas destinados a incrementar la
disponibilidad de la educacin y la
formacin en seguridad ciberntica. No hay oferta educativa en seguridad de la informacin, o existe una oferta
Esta disponibilidad debe reflejar las mnima pero no hay un proveedor reconocido de educacin en seguridad
necesidades en el mbito activo de la ciberntica; no existe una acreditacin en educacin en seguridad ciberntica.
seguridad ciberntica.
FORMATIVO
Existe mercado para la educacin y la formacin en seguridad de la informacin

con evidencia de asimilacin; las iniciativas de los profesionales estn dirigidas
a incrementar el atractivo de las carreras en seguridad ciberntica y su
pertinencia para roles de liderazgo ms amplios.
ESTABLECIDO
Existen algunas ofertas educativas en seguridad ciberntica a nivel nacional e

institucional, que abarcan desde el nivel elemental hasta postgrado, incluyendo
la formacin profesional en forma modular.
ESTRATGICO
La oferta educativa se pondera y se centra sobre la base de una comprensin

de los riesgos actuales y las necesidades de habilidades; se desarrollan mtricas
para asegurar que las inversiones educativas respondan a las necesidades del
entorno de la seguridad ciberntica; los educadores tienen acceso disponible en
este campo, en particular los especialistas en seguridad ciberntica.
DINMICO
Existe integracin y sinergia entre los elementos educativos; los requisitos de

seguridad ciberntica que prevalecen son tomados en consideracin en el re-
desarrollo de todo programa general de estudios; la investigacin y el desarrollo
son una consideracin principal en la educacin sobre seguridad ciberntica; el
contenido de los programas de educacin se alinea con desafos operacionales
y seguridad ciberntica prctica.
142
Educacin
Formacin
INICIAL
No existe, o es mnima, la formacin en seguridad ciberntica.
FORMATIVO
Existe capacitacin en seguridad de la informacin, pero es ad hoc y sin coordinacin;

en cuanto a formacin, hay disponibles seminarios y recursos en lnea para grupos
demogrficos especficos, pero no existen medidas de efectividad.
ESTABLECIDO
Los interesados invierten en capacitacin en seguridad ciberntica, lo cual no

solo es aplicable a roles de TI sino tambin a roles ejecutivos, de gerencia y a
toda una gama de empleados; se entienden bien las necesidades de la sociedad
y estn documentados los requisitos de formacin; se evala la eficacia de los
modos y procedimientos de formacin y se establecen algunas mtricas.
ESTRATGICO
Est disponible una variedad de cursos de capacitacin en seguridad

ciberntica de alta calidad y estos son reconocidos internacionalmente; es clara
la conexin de los programas de capacitacin y educacin con las prioridades
de la estrategia nacional e institucional de seguridad ciberntica.
DINMICO
Existe colaboracin en la formacin del sector pblico y privado, y la

capacitacin est disponible localmente y se adapta constantemente a los
cambios del entorno ya que trata de construir conjuntos de habilidades en
ambos sectores; existen incentivos patrocinados por los sectores pblico y
privado para la formacin.
Disponibilidad nacional de la educacin

y formacin cibernticas
Educacin
Formacin
OBSERVATORIO DE LA
CIBERSEGURIDAD 143
Desarrollo nacional
de la educacin de seguridad
ciberntica Desarrollo nacional de la educacin de seguridad ciberntica
Existencia de programas de educacin INICIAL

en seguridad ciberntica, ttulos
universitarios y de otro tipo de educacin
de alta calidad y cursos sobre seguridad No existen instructores profesionales en seguridad ciberntica, o son pocos;
ciberntica. Creacin de centros no se cuenta con un programa para capacitar a instructores en seguridad
nacionales e internacionales cibernticos ciberntica; o no existe o apenas est siendo discutida la justificacin del
de excelencia. presupuesto para la educacin y la investigacin.
FORMATIVO
Existen incentivos para la formacin y la educacin; se identifican lneas

presupuestales para la formacin y la investigacin y el desarrollo, con una
oficina establecida para el desarrollo y ejecucin del programa; se establece la
participacin de las partes interesadas para garantizar la continuidad.
ESTABLECIDO
Existen esfuerzos del sector privado y pblico para establecer programas para
mejorar las competencias y la capacidad en materia de seguridad ciberntica;
una amplia consulta de mltiples partes interesadas informa las prioridades de
la educacin y de cualificaciones nacionales; socios acadmicos internacionales
han sido consultados para beneficiarse de las lecciones aprendidas; existen
centros de excelencia en seguridad ciberntica financiados por el gobierno,
accesibilidad a habilidades y educacin ciberntica, alineacin de la educacin
con los problemas del mundo real y financiacin dedicada a la investigacin
nacional.
ESTRATGICO
Se incrementa el presupuesto y el gasto del gobierno en capacitacin y

educacin en seguridad ciberntica sobre la base del rendimiento de la
inversin; las iniciativas gubernamentales encaminadas a aumentar el atractivo
de las carreras de seguridad ciberntica se sustentan en un anlisis de la brecha
de las competencias existentes; se ha mejorado la cooperacin y la colaboracin
entre las partes interesadas.
DINMICO
Existe disponibilidad de ttulos universitarios y de otro tipo de educacin de

alta calidad y cursos sobre seguridad ciberntica; los programas de educacin
en seguridad ciberntica mantienen un equilibrio entre la conservacin de los
componentes bsicos del currculo y la promocin de los procesos de adaptacin
que responden a cambios rpidos en el entorno de la seguridad ciberntica;
se establecen centros cibernticos internacionales de excelencia a travs de
programas de hermanamiento dirigidos por instituciones de clase mundial.
144
Educacin
Formacin e iniciativas
educativas pblicas y privadas Capacitacin de empleados
Programas destinados a mejorar las INICIAL

habilidades de los empleados para
que puedan enfrentar los problemas
de seguridad ciberntica a medida que No se llevan a cabo programas de capacitacin en seguridad ciberntica; poco
ocurren. personal de TI capacitado es designado para apoyar los problemas de seguridad
ciberntica a medida que se producen; puede haber conjuntos de habilidades,
pero no se encuentran estratgicamente ubicados y las herramientas estn
limitadas a usuarios autorizados.
FORMATIVO
No hay transferencia de conocimientos por parte de los empleados de seguridad

ciberntica capacitados; debido a una formacin limitada, solo hay uso informal
de herramientas, modelos o plantillas existentes para la planeacin de la
seguridad ciberntica de la organizacin, sin la integracin automatizada de
datos.
ESTABLECIDO
Existe transferencia de conocimientos de los empleados de seguridad ciberntica

formados, sobre una base ad hoc; se establecen iniciativas de creacin de
empleo para la seguridad ciberntica y esto alienta a los empleadores a
capacitar al personal; existen programas estructurados de capacitacin en
seguridad ciberntica que especifican funciones y responsabilidades precisas;
algunos sistemas de datos, herramientas y modelos estn disponibles con
personal capacitado limitado para operar; la formacin tcnica sigue siendo
necesaria.
ESTRATGICO
Existe un cuadro suficientemente establecido de empleados cualificados

formados en cuestiones, procesos, planeacin y anlisis de seguridad
ciberntica de la organizacin; el programa de desarrollo de habilidades de
seguridad ciberntica est integrado, optimizado y automatizado; los niveles
de profesionalismo en seguridad de la informacin y seguridad ciberntica son
ms evidentes en todo el sector pblico y privado.
DINMICO
Es continuo el intercambio de conocimientos de seguridad ciberntica para

promover el desarrollo de habilidades; se utiliza la gestin del ciclo de vida
de la capacitacin en seguridad ciberntica para servir a futuros programas de
capacitacin; los sistemas de datos, herramientas y modelos son utilizados por
una amplia gama de profesionales; ahora es posible la integracin automatizada
de datos, gracias a un grupo de habilidades avanzado en seguridad ciberntica.
OBSERVATORIO DE LA
CIBERSEGURIDAD 145
Gobernanza corporativa,
conocimiento y normas En las empresas estatales y privadas
Comprensin por parte de las juntas INICIAL

directivas de los riesgos que enfrentan
las empresas, algunos de los principales
mtodos de ataque y cmo su empresa Las juntas directivas no consideran la seguridad ciberntica, o lo hacen
se ocupa de asuntos cibernticos. mnimamente; no se analizan consideraciones del deber fiduciario.
FORMATIVO
Las juntas directivas tienen algn conocimiento de cuestiones de seguridad

ciberntica, pero no de la forma en que estas podran afectar a la organizacin,
o cules seran las amenazas directas que pudieran enfrentar.
ESTABLECIDO
Las juntas directivas tienen una comprensin de la generalidad de cmo estn

en riesgo las empresas, algunos de los principales mtodos de ataque y cmo su
empresa se ocupa de cuestiones cibernticas (cuestin que suele ser delegada
al Director de Informacin); la gestin de eventos es en gran medida reactiva.
ESTRATGICO
Las juntas directivas conocen sus activos estratgicos, han puesto en marcha
medidas especficas para protegerlos y conocen el mecanismo por medio del
cual se protegen; la junta puede asignarles fondos y gente especfica a los
distintos elementos de riesgo ciberntico, dependiendo de la situacin que
prevalece en su propia empresa; los planes de contingencia corporativos estn
listos para hacerles frente a diversos ataques cibernticos y sus consecuencias;
se proporciona algn tipo de formacin obligatoria para la junta en seguridad
ciberntica; la junta tiene un claro sentido de los deberes fiduciarios cibernticos.
DINMICO
Las juntas directivas pueden cambiar la estrategia de seguridad ciberntica

rpida y adecuadamente; se analizan las nuevas amenazas en cada reunin
de junta y se reasigna la financiacin y la atencin para hacerles frente a esas
amenazas; se acude a la junta como una fuente de conocimiento en gobernanza
de seguridad ciberntica corporativa; la gobernabilidad de la junta se basa en
el riesgo ciberntico y mejora la gobernabilidad especficamente en esta rea.
146
Marcos legales
Privacidad, proteccin de datos y otros derechos humanos
Fiscala
Tribunales

OBSERVATORIO DE LA
CIBERSEGURIDAD 147
Marcos jurdicos
de seguridad ciberntica Para la seguridad de las TIC
Incluye los marcos jurdicos sobre las INICIAL

TIC, la privacidad, los derechos humanos
y la proteccin de datos y el derecho
sustantivo y procesal de delincuencia La legislacin relativa a la seguridad de las TIC an no existe o est en proceso
ciberntica, y todos incluyen cooperacin de desarrollo; si est en proceso, se han hecho los esfuerzos para llamar la
internacional. atencin sobre la necesidad de crear un marco jurdico sobre la seguridad
ciberntica y puede incluirse la necesidad de un anlisis de deficiencias.
FORMATIVO
Los socios experimentados han sido consultados para apoyar el establecimiento

de marcos jurdicos y reglamentarios; se han identificado prioridades clave para
la creacin de marcos legales de seguridad ciberntica, pero an no se han
establecido a travs de una consulta pblico-privada y con mltiples partes
interesadas.
ESTABLECIDO
Se han implementado los marcos legislativos y reglamentarios de seguridad

integral de las TIC que abordan la seguridad ciberntica; se ha adoptado la
legislacin que protege los derechos de los individuos y las organizaciones en
el entorno digital.
ESTRATGICO
Las leyes vigentes y los mecanismos de regulacin han sido revisados,

identificando dnde existen brechas y solapamientos; se priorizan aquellas
reas que necesitan mejoras; se garantiza la integridad, confidencialidad,
disponibilidad y seguridad global de la informacin digital y las TIC a travs de
la revisin peridica y mejora de las medidas legales y reglamentarias.
DINMICO
Se establecen mecanismos para optimizar el sector de la seguridad TIC a travs

de enmiendas o promulgacin de legislacin y de la mejora de la armonizacin
de los marcos legales de las TIC con otras polticas, leyes, normas y mejores
prcticas; existen medidas para contribuir al desarrollo de mejores prcticas
internacionales que informarn al marco normativo nacional.
148
Marcos legales
Privacidad, proteccin de datos y otros derechos humanos
INICIAL
No existe legislacin de privacidad y proteccin de datos o est en proceso de

desarrollo; la legislacin nacional no reconoce los derechos humanos y civiles
fundamentales en relacin con delitos relacionados con la ciberntica.
FORMATIVO
Existe legislacin parcial respecto a la privacidad, proteccin de datos y libertad

de expresin.
ESTABLECIDO
Se han aplicado procedimientos reglamentarios y legislacin de proteccin

de datos integral; la legislacin nacional prev el derecho del individuo a la
privacidad especificando el aviso, el propsito, el consentimiento, la seguridad,
la divulgacin, el acceso y la responsabilidad de la informacin personal.
ESTRATGICO
Se ha adoptado una estructura integral del sistema de justicia penal para

luchar contra los delitos relacionados con la ciberntica, respetando los
derechos humanos; el pas est comprometido y trabaja con organizaciones
internacionales sobre proteccin de datos y privacidad.
DINMICO
El pas ha adoptado una legislacin adecuada, que incluye aquella encaminada

al fomento de la cooperacin internacional y la asistencia judicial recproca
con el fin de combatir los delitos contra la proteccin de datos y privacidad,
al facilitar su deteccin, investigacin y judicializacin tanto a nivel nacional
como internacional. Si procede, ha ratificado o se ha adherido a los tratados y
otros acuerdos internacionales de proteccin de datos.

Privacidad, proteccin de datos
y otros derechos humanos
Derecho sustantivo de delincuencia
ciberntica
Derecho procesal de delincuencia
ciberntica
OBSERVATORIO DE LA
CIBERSEGURIDAD 149
INICIAL
El derecho penal sustantivo especfico para la delincuencia ciberntica no existe,

o existe el derecho penal general y se aplica ad hoc a la delincuencia ciberntica.
FORMATIVO
Existe una legislacin parcial en el derecho penal sustantivo que aplica los
marcos legales y regulatorios a algunos aspectos de los delitos cibernticos; est
siendo discutido el derecho penal sustantivo para la delincuencia ciberntica
entre los legisladores, pero ha comenzado el desarrollo de la ley.
ESTABLECIDO
La legislacin vigente tipifica una serie de delitos relacionados con pruebas

electrnicas que pueden ser objeto de una legislacin especfica o abordados
en el cdigo penal.
ESTRATGICO
El pas se adhiere a las mejores prcticas y normativas regionales e

internacionales pertinentes sobre derecho de delito ciberntico y asigna los
recursos de acuerdo a las prioridades nacionales.
DINMICO
El pas continuamente busca incluir el desarrollo de las mejores prcticas

internacionales sobre delito ciberntico en la legislacin nacional y es un
colaborador activo en el discurso global sobre la mejora de los instrumentos
de la lucha contra delitos cibernticos internacionales; existen medidas para
superar en el pas las lneas de base mnimas de seguridad internacional.

ciberntica
ciberntica
150
Marcos legales
INICIAL
No existe el derecho penal procesal adecuado para la delincuencia ciberntica

y el uso de la prueba electrnica en otros crmenes, o existe el derecho penal
procesal general y se aplica ad hoc a la delincuencia ciberntica y al uso de la
prueba electrnica en otros crmenes.
FORMATIVO
Se est discutiendo y desarrollando el derecho procesal penal en relacin

con la prueba electrnica; el derecho procesal penal se aplica ad hoc a la
delincuencia ciberntica, pero no ha comenzado el desarrollo de los delitos
cibernticos especficos.
ESTABLECIDO
Se ha implementado el derecho procesal penal integral y los requisitos

probatorios relacionados; las mejores prcticas se emplean por aplicacin de
la ley en el ejercicio de poderes procesales.
ESTRATGICO
En el caso de la investigacin transfronteriza, el derecho procesal estipula las

acciones que es necesario realizar bajo las caractersticas de casos particulares,
con el fin de obtener con xito la prueba electrnica.
DINMICO
El pas se adhiere a las mejores prcticas internacionales sobre procedimiento

penal de delito ciberntico y la obtencin de pruebas electrnicas, y
constantemente busca implementar estas medidas en la legislacin nacional
y sirve como un colaborador activo en el discurso global sobre la mejora de
la lucha contra los delitos cibernticos internacionales; existen medidas para
superar las lneas de base mnimas de seguridad internacional, que contribuyen
al desarrollo de mejores prcticas internacionales.

ciberntica
ciberntica
OBSERVATORIO DE LA
CIBERSEGURIDAD 151
Investigacin jurdica Cumplimiento de la ley
Capacidad de investigacin para INICIAL

procesar las pruebas electrnicas y
luchar contra la delincuencia ciberntica,
incluida la forma de evaluar, obtener y No existe la capacidad de las autoridades policiales para prevenir y combatir
tratar la evidencia digital y utilizar los los delitos relacionados con la ciberntica.
instrumentos procesales adecuados.
FORMATIVO
Existe alguna capacidad de investigacin para indagar delitos que involucren

pruebas electrnicas, as como para obtener dichas pruebas, de conformidad
con el derecho interno; sin embargo, esta capacidad es mnima.
ESTABLECIDO
Se ha establecido una capacidad institucional integral para investigar y

manejar casos de delincuencia ciberntica y delitos relacionados con pruebas
electrnicas, incluyendo los recursos humanos, procesales y tecnolgicos,
medidas exhaustivas de investigacin, cadena de custodia digital y gestin de
integridad de las pruebas y mecanismos formales e informales de colaboracin
con interesados internacionales y nacionales (actores de los sectores privado y
pblico).
ESTRATGICO
Los oficiales de las fuerzas de la ley reciben una formacin continua basada en
las responsabilidades relativas y en entornos de amenazas nuevas y cambiantes
y pueden utilizar herramientas forenses digitales sofisticadas para investigar
delitos informticos complejos y delitos relacionados con pruebas electrnicas;
los organismos locales de aplicacin de la ley colaboran con contrapartes
regionales e internacionales en investigaciones.
DINMICO
Existen recursos dedicados a unidades de delitos informticos plenamente

operativas, incluyendo capacidades avanzadas de investigacin y de gestin de
integridad de los datos; es posible recoger y analizar las estadsticas y tendencias
que mejoraran la investigacin sobre los delincuentes con el fin de facilitar una
comprensin exhaustiva del ambiente delictivo en lnea y contribuir a la toma
de decisiones estratgicas; las agencias de aplicacin de la ley nacionales estn
participando plenamente en la investigacin y redes transfronterizas.
152
Marcos legales
Fiscala
INICIAL
Los fiscales no estn entrenados adecuadamente y no tienen la capacidad para

enjuiciar los delitos relacionados con la informtica; no existen recursos para
comprender o revisar las pruebas electrnicas.
FORMATIVO
Un nmero limitado de fiscales tienen la capacidad de construir un caso basado

en informacin electrnica, pero esta capacidad es en gran medida ad hoc, no
institucionalizada, y se carece de mecanismos formales de colaboracin con la
polica.
ESTABLECIDO
Se ha establecido la capacidad institucional para procesar y manejar los casos

de delitos cibernticos y casos relacionados con pruebas electrnicas; existen
suficientes recursos tecnolgicos y capacitacin en recursos humanos.
ESTRATGICO
Existen estructuras institucionales en operacin que permiten una clara

distribucin de tareas y obligaciones dentro de la fiscala en todos los niveles
del gobierno; existe una relacin estratgica entre los organismos policiales
y la fiscala, lo que permite que los procedimientos judiciales sean rpidos y
precisos; se analizan mediciones, estadsticas y tendencias relacionadas con
tasas de condenas exitosas.
DINMICO
Los fiscales tienen la capacidad de enjuiciar con xito los delitos cibernticos
complejos en el pas y realizar una colaboracin transfronteriza; la formacin
est institucionalizada y es dinmica, teniendo en cuenta los entornos nuevos y
cambiantes de amenazas.
Fiscala
Tribunales
OBSERVATORIO DE LA
CIBERSEGURIDAD 153
Tribunales
INICIAL
Los jueces no aplican las pruebas electrnicas integralmente.
FORMATIVO
Un nmero limitado de jueces tiene capacidad para presidir un caso de delito

ciberntico, pero esta capacidad es en gran medida ad hoc y no sistemtica; no
existen recursos judiciales o de formacin en delincuencia ciberntica.
ESTABLECIDO
Estn disponibles los recursos judiciales y se cuenta con capacitacin suficiente

para garantizar la judicializacin eficaz y eficiente de casos de pruebas
electrnicas y delincuencia ciberntica.
ESTRATGICO
Se ha organizado el sistema judicial para garantizar una relacin estratgica entre

el Poder Judicial y la fiscala, lo que permite que se adelanten procedimientos
judiciales rpidos y precisos; se encuentran en funcionamiento mecanismos de
cooperacin para asegurar la ejecucin de rdenes extraterritoriales.
DINMICO
El Poder Judicial recibe formacin continua basada en las responsabilidades

relativas y en los entornos cambiantes de amenazas; el sistema judicial est
al tanto de los constantes cambios en el entorno de la seguridad ciberntica y
asigna recursos cuando corresponde.
Fiscala
Tribunales
154
Marcos legales
Divulgacin responsable
de la informacin Divulgacin responsable de la informacin
Una divulgacin responsable vigente puede INICIAL

proporcionar directrices y declaraciones
especficas que abordan cmo se revelar
una vulnerabilidad y puede mejorar la No se reconoce la necesidad de una poltica de divulgacin responsable en las
capacidad de seguridad mediante la organizaciones del sector pblico y privado.
reparacin de la vulnerabilidad y la
prevencin de cualquier dao futuro.
FORMATIVO
Este factor se refiere a un modelo de
divulgacin de vulnerabilidades o
metodologa de informes en que una Est vigente un marco de divulgacin de vulnerabilidades, lo que incluye un
parte (el informador) da a conocer de plazo de divulgacin, una resolucin prevista y un informe de reconocimiento; se
forma privada la informacin relacionada demuestra cierta capacidad de compartir detalles tcnicos de la vulnerabilidad
con una vulnerabilidad descubierta a un con otras partes interesadas que pueden distribuir la informacin de manera
proveedor de producto o proveedor de ms amplia, a travs de mayor cooperacin pblico-privada.
servicios (parte afectada) y le otorga
tiempo a la parte afectada para investigar
ESTABLECIDO
la reclamacin e identificar y probar un
remedio o recurso antes de coordinar la
divulgacin pblica de la vulnerabilidad Las organizaciones han desarrollado la capacidad de recibir y difundir
con el informador. informacin sobre la vulnerabilidad; proveedores de servicios y de software
aceptan los informes de error y de vulnerabilidad y los abordan y se
comprometen informalmente a abstenerse de adelantar acciones legales en
contra de una parte que revela informacin responsablemente.
ESTRATGICO
Se publica un anlisis de los detalles tcnicos de la vulnerabilidad y se difunde

informacin de asesoramiento de acuerdo a las funciones y responsabilidades; se
establecen procesos de divulgacin responsable de vulnerabilidades, incluidos
los plazos para todos los interesados implicados (proveedores de productos,
clientes, proveedores de seguridad y pblico); puede haber regulaciones para
ordenar reportes de vulnerabilidades por parte de los operadores y propietarios
de infraestructuras crticas.
DINMICO
Las polticas de divulgacin responsable son revisadas y actualizadas de forma

continua en base a las necesidades de los grupos de inters afectados; los
mecanismos de divulgacin responsable se sincronizan a nivel internacional;
los procesos nacionales e internacionales para la revisin y la reduccin de los
plazos se encuentran en operacin.
OBSERVATORIO DE LA
CIBERSEGURIDAD 155
Tecnologas
Adhesin a las normas
Aplicacin de las normas y prcticas mnimas aceptables
Adquisiciones
Desarrollo de software
Organizaciones de coordinacin de seguridad ciberntica

Centro de mando y control
Capacidad de respuesta a incidentes
Identificacin y designacin
Organizacin
Coordinacin
Resiliencia de la infraestructura nacional

Infraestructura tecnolgica
$

Identificacin
Organizacin
Planeacin de respuesta $
Coordinacin
Gestin de riesgos
Gestin de crisis
Planeacin
Evaluacin
Redundancia digital
Planeacin
Organizacin
OBSERVATORIO DE LA
CIBERSEGURIDAD 157
Adhesin a las normas Aplicacin de las normas y prcticas mnimas aceptables
Este factor se centra en la tecnologa INICIAL

de infraestructura y la resiliencia de
infraestructura nacional. La tecnologa de
infraestructura apuntala la vida cotidiana O bien no se han identificado normas o prcticas para la seguridad de la
y asegura que el pas siga funcionando informacin o la identificacin es ad hoc y se carece de un esfuerzo concertado
social y econmicamente. El gobierno y para aplicar esas normas.
el sector privado son capaces de proteger
los sistemas de informacin del pas y los
operadores de infraestructuras crticas FORMATIVO
para garantizar una mejor capacidad de
recuperacin nacional.
Se han identificado estndares de seguridad de la informacin para su uso y ha
habido algunos signos iniciales de promocin y adopcin del gobierno, sector
pblico y organizaciones de la Infraestructura Crtica Nacional (ICN); hay una
aplicacin mnima de las normas nacionales e internacionales.
ESTABLECIDO
Se ha identificado la lnea de base acordada a nivel nacional de las normas

relacionadas con la seguridad ciberntica y prcticas menos aceptables y se
han adoptado ampliamente en todo el sector pblico y las organizaciones del
CNI; se mide y se reporta la adopcin y cumplimiento, con supervisin de la
adopcin por parte del gobierno; se considera el uso de normas para mitigar el
riesgo de los sistemas de abastecimiento de la ICN.
ESTRATGICO
Las normas se adoptan en el contexto de las decisiones presupuestarias y se

asignan los recursos de acuerdo con las evaluaciones de riesgo y el debate entre
los sectores pblico y privado, al igual que otras partes interesadas; se estn
desarrollando e implementando normas especficas del sector; existe evidencia
de la contribucin a los organismos de normalizacin internacionales y
liderazgo de pensamiento e intercambio de experiencias de las organizaciones.
DINMICO
La mejora de procesos continua se aplica a la eleccin de las normas y mtodos

empleados y promueve la aplicacin fluida; existe evidencia de la gestin
de riesgos en colaboracin en las decisiones relativas al incumplimiento por
todos los sectores y ICN, adaptndose al panorama cambiante de la seguridad
ciberntica; existe evidencia de un debate maduro en la industria y la sociedad
en general sobre el uso dinmico de las normas y prcticas basadas en la
evaluacin continua de necesidades.
158
Tecnologas
Adquisiciones
INICIAL
No hay evidencia de uso de las normas relacionadas con la seguridad ciberntica

en la orientacin de los procesos de adquisicin, o existe algn reconocimiento
de la orientacin disponible, pero no existe ningn esfuerzo para utilizarlo.
FORMATIVO
Se estn desarrollando normas de seguridad ciberntica en las prcticas y

procedimientos de contratacin.
ESTABLECIDO
La aplicacin de normas en las prcticas de contratacin cumple con las

directrices internacionales, las normas y las prcticas aceptables de TI y se
evidencia a travs de evaluaciones de medicin y calidad de la efectividad del
proceso.
ESTRATGICO
Aspectos crticos de adquisiciones y suministros, tales como precios y costos,

calidad, plazos y otras actividades de valor agregado, se mejoran continuamente
en el contexto de una planeacin de recursos ms amplios por todas las empresas;
las habilidades de los profesionales de las adquisiciones pueden ser comparadas
y evaluadas segn las competencias sealadas en las normas de contratacin
pblica; los grupos de inters internos tienen una comprensin global de
los sistemas de compras electrnicas (e-sourcing) o licitaciones electrnicas
(e-tendering) y el proceso integral de compras (P2P) con el fin de aplicar estas
herramientas en la realizacin de las tareas clave en la contratacin y suministro.
DINMICO
Las organizaciones tienen la capacidad de controlar el uso de las normas en los

procesos de adquisiciones y apoyar las desviaciones y decisiones relativas al
incumplimiento en tiempo real a travs de la toma de decisiones basada en el
riesgo; las mejores prcticas se incluyen en la contratacin y cumplimiento de
la garanta de calidad de las sociedades.
Adhesin a las normas
Aplicacin de las normas y prcticas
mnimas aceptables
Adquisiciones
OBSERVATORIO DE LA
CIBERSEGURIDAD 159
INICIAL
No hay identificacin de las normas de desarrollo de software en los sectores

pblico y privado, o hay alguna identificacin pero solo hay una evidencia
limitada de asimilacin.
FORMATIVO
Se estn discutiendo metodologas para los procesos de desarrollo de software

que se centran en la integridad y la capacidad de recuperacin, y el gobierno
y las comunidades profesionales las estn promoviendo; existe evidencia de
que dentro de la ICN y del sector pblico hay organizaciones que suministran
y buscan adoptar normas de desarrollo de cdigo y del logro de algunas
acreditaciones con la promocin gubernamental de prcticas seguras.
ESTABLECIDO
El gobierno tiene un programa establecido para promover la adopcin de

estndares en el desarrollo de software, tanto para los sistemas del sector
pblico como del sector privado, lo que incluye el seguimiento de la observancia
de las normas; estn presentes los sistemas de alta integridad y tcnicas de
desarrollo de software dentro de la oferta educativa y de formacin.
ESTRATGICO
Se estn incorporando consideraciones de seguridad ciberntica en todas las etapas

de desarrollo y procesos; se han adoptado las actividades bsicas de desarrollo,
incluyendo la configuracin y gestin de documentos, desarrollo de la seguridad y
la planeacin del ciclo de vida del software; se realiza la seleccin de las normas,
de los recursos y la toma de decisiones a travs de la evaluacin de riesgos.
DINMICO
Los proyectos de desarrollo de software evalan continuamente el valor de

las normas y reducen o mejoran los niveles de cumplimiento de acuerdo con
decisiones basadas en el riesgo; los requisitos de seguridad ciberntica estn
integrados en el ciclo de vida de las adquisiciones (requisitos de las necesidades,
Adhesin a las normas solicitudes de ofertas y contrato); en el caso del software estatal, se realizan las
Aplicacin de las normas y prcticas evaluaciones a lo largo de toda la vida del contrato.
mnimas aceptables
Adquisiciones
160
Tecnologas
de seguridad ciberntica Centro de mando y control
Este factor analiza la existencia y la INICIAL

actividad de los Equipos de Respuesta
ante Incidentes de Seguridad Informtica
(CSIRT, por sus siglas en ingls) y el No existe un centro de mando y control de la seguridad cibentica, o se est
Centro de Mando y Control en el mbito considerando crearlo a nivel nacional.
nacional, en trminos de capacidad de
respuesta ante incidentes y mitigacin
de las amenazas. FORMATIVO
La funcin de mando y control est en manos, de manera informal, de la

capacidad nacional de respuesta a incidentes o alguna otra entidad, sin una
autoridad formal de coordinacin.
ESTABLECIDO
Se identifica y existe una organizacin de mando y control, pero sin que haya
recoleccin, procesamiento ni anlisis automatizados; existe un mando y control
ejecutivo oficial para el ciberespacio como un asunto estratgico nacional; se
cuenta con una visin general de las capacidades de seguridad actuales, pero
sin conocimiento de la situacin.
ESTRATGICO
Se ha establecido un centro de mando y control con automatizacin mejorada,

proporcionando un conocimiento bsico de la situacin nacional; se hace
la seleccin de objetivos del centro de mando y control como parte de la
planeacin de recursos y el desarrollo de polticas estratgicas.
DINMICO
Hay un centro de mando y control de ciberespacio nacional completamente

desarrollado, que recibe y correlaciona la informacin de las organizaciones
con la capacidad de respuesta a incidentes, organizaciones pblicas/privadas,
los LSP (Layered Service Providers en ingls), la infraestructura crtica de la
informacin, organizaciones de defensa e inteligencia, y que est altamente
automatizado, lo que proporciona conocimiento avanzado de la situacin; el
conocimiento de la situacin activa est coordinado con la oficina ejecutiva
nacional.
OBSERVATORIO DE LA
CIBERSEGURIDAD 161
Capacidad de respuesta a incidentes
INICIAL
La capacidad de respuesta de incidentes no es coordinada y se lleva a cabo de

manera ad hoc.
FORMATIVO
Existe un equipo o personal de respuesta a incidentes en el pas, con roles y

responsabilidades identificadas; la actividad se concentra en la deteccin y
respuesta a incidentes cibernticos especficos de la organizacin.
ESTABLECIDO
Se ha establecido una capacidad de respuesta a incidentes nacional que

involucra a los interesados clave, en especial a travs de asociaciones pblico-
privadas; la sostenibilidad financiera de la capacidad de respuesta a incidentes
es considerada y planificada a travs de la participacin de las principales partes
interesadas; se desarrolla e implementa un plan de gestin de vulnerabilidades;
los incidentes se clasifican en consonancia con los planes de respuesta; los
planes de respuesta y recuperacin estn operando y se gestionan; existe una
evaluacin nacional de la base de datos de vulnerabilidad del impacto en las
funciones crticas; la informacin se comparte en consonancia con los planes de
respuesta; los principales interesados son conscientes de la capacidad nacional
de respuesta a incidentes y sus responsabilidades.
ESTRATGICO
La capacidad nacional de respuesta a incidentes apoya la creacin de capacidades

especficas del sector; se comparten los recursos y la informacin a travs de
una mayor coordinacin y colaboracin con los equipos locales, regionales e
internacionales de respuesta a incidentes; la evaluacin de la eficacia del CSIRT
informa la dotacin de recursos de este; los informes de incidentes ocurren en
todos los sectores y planes de respuesta, y se ponen a prueba los correspondientes
planes de recuperacin; se ofrecen servicios forenses; el intercambio de
informacin se promueve de manera voluntaria entre las partes interesadas
externas.
DINMICO
Centro de mando y control La capacidad nacional de respuesta a incidentes es completamente sostenible
Capacidad de respuesta a incidentes financieramente y recibe apoyo poltico, independientemente de las transiciones
polticas; existe una cooperacin internacional orientada a la formacin de
mejores prcticas entre los grupos de expertos.
162
Tecnologas
Respuesta a incidentes Identificacin y designacin
No todos los incidentes cibernticos INICIAL

pueden ser mitigados, por lo que la
identificacin de cules de estos eventos
constituyen amenazas a nivel nacional No se identifican ni catalogan incidentes a nivel nacional.
puede ayudar a limitar el alcance de la
responsabilidad. Adems, un enfoque
organizado y coordinado de respuesta FORMATIVO
a incidentes asegura que las amenazas
puedan ser manejadas de la manera ms
eficiente posible. Se han clasificado ciertos eventos cibernticos o amenazas y se han registrado
como incidentes o desafos a nivel nacional.
ESTABLECIDO
Se establece un registro central de incidentes cibernticos a nivel nacional.
ESTRATGICO
Se hacen y se priorizan actualizaciones regulares y sistemticas en el registro

de incidentes a nivel nacional; existe cierta capacidad para enfocar los recursos
analticos de respuesta a incidentes.
DINMICO
La capacidad para adaptar el enfoque en la identificacin y anlisis de

incidentes es dinmica en respuesta a los cambios del entorno y puede incluir
consideraciones de defensa ciberntica.
OBSERVATORIO DE LA
CIBERSEGURIDAD 163
Organizacin
INICIAL
La respuesta a incidentes a nivel nacional es limitada o inexistente; la respuesta,

si la hay, es reactiva y ad hoc.
FORMATIVO
Han sido identificadas y contactadas las organizaciones del sector privado que
son clave para la seguridad ciberntica nacional, sin que haya mecanismos de
coordinacin o de intercambio de informacin con el sector pblico formal; un
cuerpo central ha sido designado para recopilar informacin sobre amenazas
de emergencia, sin un mandato especfico para una agencia de respuesta
ciberntica nacional.
ESTABLECIDO
Existe una relacin de coordinacin rutinaria entre los sectores pblico y

privado para responder a incidentes a nivel nacional con alcance limitado, pero
la respuesta sigue siendo reactiva; se establece la capacidad de respuesta y la
financiacin para la funcin bsica ha sido identificada.
ESTRATGICO
Se han establecido de manera clara y formal los roles y responsabilidades de

seguridad ciberntica para el gobierno, la infraestructura crtica, la empresa y
los sistemas individuales; los recursos asignados a la respuesta de emergencia
son adecuados para enfrentar el entorno de amenazas de seguridad ciberntica.
DINMICO
Una capacidad de alerta temprana se incorpora a la misin de la organizacin

de respuesta a emergencias, que busca darle forma a y/o gestionar el panorama
de las amenazas antes de responder a desafos especficos; las herramientas
para la deteccin, identificacin, prevencin, respuesta y mitigacin tempranas
de vulnerabilidades de da cero estn incluidas en la (s) organizacin (es) de
respuesta a emergencias.
Organizacin
Coordinacin
164
Tecnologas
Coordinacin
INICIAL
La responsabilidad de la respuesta a incidentes puede haber sido asignada, o

no, de manera informal a un miembro del personal dentro de cada agencia y
ministerio del gobierno.
FORMATIVO
Se han identificado y publicitado directores de incidentes en cada agencia y

ministerio a nivel nacional; los canales de comunicacin entre estos directores
siguen siendo ad hoc e incoherentes.
ESTABLECIDO
Se ha establecido y publicado una respuesta nacional a incidentes coordinada,

con procesos claros y funciones y responsabilidades definidas; se preparan
lneas de comunicacin para situaciones de crisis.
ESTRATGICO
Ahora las capacidades tcnicas van ms all de la coordinacin de la respuesta

e incluyen anlisis de incidentes y apoyo; se establecen servicios proactivos
y servicios de gestin de calidad de la seguridad en las organizaciones
subnacionales y sectoriales.
DINMICO
La respuesta a incidentes se adapta al entorno de amenazas; la coordinacin

nacional de varios niveles entre todos los niveles y sectores es fundamental
para la respuesta a incidentes; existe coordinacin entre las organizaciones
regionales e internacionales de respuesta a incidentes.
Organizacin
Coordinacin
OBSERVATORIO DE LA
CIBERSEGURIDAD 165
Resiliencia
de la infraestructura nacional Infraestructura tecnolgica
Este factor se enfoca en la tecnologa de INICIAL

la infraestructura y la resiliencia de la
infraestructura nacional. La tecnologa
de la infraestructura sustenta la vida La infraestructura de servicios de Internet no es fiable; cuando es confiable los
cotidiana y asegura que el pas siga servicios son asequibles, pero con escasa utilizacin de las tarifas de servicios;
funcionando social y econmicamente. la disponibilidad de la tecnologa para apoyar el comercio electrnico y la
El gobierno y el sector privado pueden interaccin de negocio a negocio es una preocupacin, pero no se ha establecido
proteger los sistemas de informacin del ninguna o casi ninguna accin coherente.
pas y los operadores de infraestructuras
crticas para asegurar una mejor
capacidad de recuperacin nacional. FORMATIVO
Se realiza el despliegue no estratgico de la tecnologa y los procesos en

los sectores pblico y privado; estn disponibles en lnea servicios pblicos,
informacin y contenidos digitales, pero son limitadas la implementacin y el
proceso.
ESTABLECIDO
Los procesos y tecnologa desplegados cumplen estndares internacionales,

directrices y mejores prcticas de TI; el uso de Internet para la comunicacin
entre todas las partes interesadas se integra en la prctica cotidiana de
funcionamiento; el Internet se utiliza para el negocio de comercio electrnico y
se establecen medidas y procesos de autenticacin y transacciones electrnicas.
ESTRATGICO
Se han establecido procesos de seguridad rigurosos en los sectores privados

y gubernamentales, especialmente para la gestin de riesgos de seguridad,
evaluacin de amenazas, respuesta a incidentes y la continuidad del negocio; se
lleva a cabo una evaluacin peridica de procesos y seguridad de la infraestructura
de informacin nacional de acuerdo con las normas y directrices; se evalan los
beneficios medibles para las empresas de inversiones adicionales en tecnologa.
DINMICO
Se controla con eficacia la adquisicin de tecnologas de infraestructura, con

una flexibilidad incorporada de acuerdo a los cambios en la dinmica del
mercado; se evalan y minimizan continuamente los costos de las tecnologas
de infraestructura; los procesos estn totalmente automatizados, y a menudo
incorporados en la propia tecnologa.
166
Tecnologas
El gobierno no tiene control de la infraestructura tecnolgica o este control es

mnimo; las redes y sistemas son tercerizados, con potencial de adopcin por
parte de mercados de terceros poco fiables; puede haber una dependencia de
otros pases en tecnologa de la seguridad ciberntica.
FORMATIVO
La infraestructura nacional se gestiona de manera informal, sin procesos,

funciones ni responsabilidades documentados; hay un apoyo regional para la
tecnologa de la seguridad ciberntica y la infraestructura en el pas.
ESTABLECIDO
La infraestructura nacional es administrada formalmente, con procesos,

funciones y responsabilidades documentados y limitada redundancia; el apoyo
regional a las tecnologas cibernticas se complementa con un programa
nacional para el desarrollo de infraestructura.
ESTRATGICO
Se lleva a cabo la gestin basada en los riesgos y las mejores prcticas con el
anlisis formal de las vulnerabilidades; se llevan a cabo evaluaciones de la
capacidad de recuperacin nacional para la ICN y los servicios esenciales para
proteger los sistemas de informacin del pas y los operadores de ICN y los
servicios esenciales.
DINMICO
La adquisicin de tecnologas crticas est controlada eficazmente, con

una gestin de los procesos de continuidad de servicio y de la planeacin
estratgica; es predominante la alta disponibilidad de tecnologas crticas como
parte del marco de gobernanza formal; se mantienen, mejoran y perpetan
sistemticamente las capacidades cientficas, tcnicas, industriales y humanas
con el fin de mantener la resiliencia independiente del pas.
Resiliencia de la infraestructura nacional

Infraestructura tecnolgica
OBSERVATORIO DE LA
CIBERSEGURIDAD 167
Proteccin de la Infraestructura
Crtica Nacional (ICN) Identificacin
Si bien los distintos gobiernos pueden INICIAL

identificar diferentes entidades como
infraestructura crtica, es importante
que se tomen las medidas adecuadas para Se entiende poco o nada de los activos y las vulnerabilidades de la ICN, pero no
proporcionar la seguridad ciberntica han sido identificadas las vulnerabilidades o categorizacin formal.
necesaria para proteger estos activos
cruciales. Estas medidas deben basarse
en una cuidadosa planeacin y gestin FORMATIVO
adecuada del riesgo.
Se ha creado una lista general de activos de la ICN, sin identificar prioridades

basadas en el riesgo.
ESTABLECIDO
Se lleva a cabo una auditora de los activos de la ICN de forma regular; se analiza
con las partes interesadas la difusin de las listas de auditora de activos de la
ICN en funcin de un modelo de asociacin pblico-privada.
ESTRATGICO
Los riesgos de la ICN han sido priorizados de acuerdo a la vulnerabilidad y el

impacto, lo que gua las inversiones estratgicas; se han determinado y establecido
los procesos de gestin de activos y de vulnerabilidad de los activos de la ICN
para que se puedan hacer las mejoras continuas de seguridad; se ha hecho una
distincin entre los activos de la ICN y servicios esenciales para la actividad del
da a da.
DINMICO
La lista de prioridades de los activos de la ICN se re-evala regularmente para

capturar los cambios en el entorno de amenazas; se entiende y se incorpora a
la planeacin futura el impacto del riesgo de la seguridad ciberntica en las
operaciones comerciales de los propietarios de los activos de la ICN, incluyendo
los costos directos y de oportunidad, el impacto en los ingresos y los obstculos
a la innovacin.
168
Tecnologas
Organizacin
INICIAL
Hay poca o ninguna interaccin entre los ministerios gubernamentales y los

propietarios de los activos crticos; no existe un mecanismo de colaboracin
formal.
FORMATIVO
Se establece un mecanismo para la divulgacin peridica de vulnerabilidades

entre el sector pblico y privado, pero no se ha especificado el alcance de los
requisitos de presentacin de informes.
ESTABLECIDO
Los requisitos de informacin definidos entre los propietarios de activos de

la ICN y el sector pblico son suficientes para atender las necesidades de
seguridad nacional.
ESTRATGICO
Existe un claro entendimiento de las responsabilidades y obligaciones de los

propietarios y operadores de los activos de la ICN; se observa cooperacin y
coordinacin con los ministerios y las agencias nacionales de seguridad.
DINMICO
En la regulacin de los activos del ICN, se logr un equilibrio entre la satisfaccin

de las necesidades nacionales de seguridad ciberntica y la implicacin de costos.
Crtica Nacional (ICN)
Identificacin
Organizacin
Coordinacin
Gestin de riesgos
OBSERVATORIO DE LA
CIBERSEGURIDAD 169
INICIAL
La planeacin de la respuesta a un ataque a los activos crticos puede haber

sido discutida ampliamente, pero no existe un plan formal.
FORMATIVO
La proteccin de los activos crticos incluye las polticas de seguridad de datos

y sensibilizacin sobre seguridad ciberntica a nivel bsico pero no se han
acordado procesos o procedimientos de proteccin.
ESTABLECIDO
Se han establecido procedimientos y procesos de proteccin de informacin

con el apoyo de soluciones de seguridad tcnicas adecuadas; se utilizan
procedimientos de gestin de riesgos para crear un plan de respuesta y
producir un curso repetible de actuacin en caso de incidentes; se comprueban
los enlaces de comunicacin, se llevan a cabo medidas de mitigacin de daos
y anlisis y se realizan ejercicios para prepararse para un evento.
ESTRATGICO
Se lleva a cabo con regularidad la evaluacin de la gravedad de un incidente

en activos crticos y la planeacin de la respuesta se basa en esa evaluacin; las
mejoras en los mecanismos de respuesta se llevan a cabo rutinariamente a fin
de promover respuestas estratgicas.
DINMICO
La supervisin continua de la seguridad garantiza que las medidas de proteccin

demuestren la eficacia continua e indica qu tecnologas, polticas o procesos
requieren cambios; se ha establecido un mercado de seguros para la seguridad
ciberntica y se han explorado opciones para el reaseguro para apoyar la
continuidad del negocio.
Crtica Nacional (ICN)
Identificacin
Organizacin
Coordinacin
Gestin de riesgos
170
Tecnologas
Coordinacin
INICIAL
Los procedimientos informales de dilogo entre el sector pblico y privado son

inexistentes; o, pueden haber sido desarrollados, pero carecen de parmetros de
intercambio de informacin y generalmente o son individuales o no estructurados.
FORMATIVO
Ha tenido lugar un dilogo para determinar qu industrias y organismos son

fundamentales para el ecosistema nacional ciberntico; se ha establecido una
comunidad informal de operadores de la ICN; es evidente un dilogo regular
entre los niveles ejecutivos estratgicos y tcticos respecto de las prcticas de
riesgo ciberntico.
ESTABLECIDO
Se han definido las estrategias internas y externas formales de comunicacin

de la ICN y son coherentes en todos los sectores, con una estrategia de
comunicacin que ha sido avalada y con un punto de contacto claro; se han
acordado la perspectiva de la poltica del gobierno, el proceso de toma de
decisiones y la maquinaria para la gestin y garanta de la seguridad ciberntica.
ESTRATGICO
Se ha establecido una campaa de sensibilizacin para facilitar la estrategia

de comunicacin de la ICN con un punto de contacto para obtener esta
informacin; han sido claramente identificados y administrados los requisitos
y vulnerabilidades de seguridad ciberntica en los sistemas de abastecimiento
de la ICN; se ha implementado un proceso de revisin de las vulnerabilidades.
DINMICO
Se ha creado confianza entre el gobierno y las ICN con respecto a la seguridad

de datos e intercambio de informacin sobre amenazas, lo que sirve para la
toma de decisiones estratgicas; la gestin de riesgos de seguridad ciberntica
es parte de la cultura organizacional y activamente refleja el entorno operativo
de la red; miembros de la junta directiva de nivel C pueden tomar decisiones de
Proteccin de la Infraestructura gestin de riesgos con conocimiento de causa sobre la base de la inteligencia
Crtica Nacional (ICN) confiable comunicada con eficacia.
Identificacin
Organizacin
Coordinacin
Gestin de riesgos
OBSERVATORIO DE LA
CIBERSEGURIDAD 171
Gestin de riesgos
INICIAL
La conciencia acerca de amenazas por parte de los operadores de la ICN es

mnima, o no existe en absoluto; las habilidades y comprensin bsicas de
gestin de riesgos pueden ser incorporadas en las prcticas empresariales, pero
la seguridad ciberntica est supeditada a las TI y el riesgo de proteccin de
datos y no se reconoce ms ampliamente.
FORMATIVO
Se ha avanzado algo en materia de capacitacin y creacin de conciencia a

fin de que la gestin de incidentes se pueda aplicar de manera eficiente; se
implementa el control de acceso y se proporciona formacin; la industria de la
ICN tiene capacidades bsicas para detectar, identificar, proteger, responder
y recuperarse de las amenazas cibernticas, pero estas capacidades son
descoordinadas y varan en calidad.
ESTABLECIDO
Se han establecido directrices sobre mejores prcticas cibernticas de ICN y

medidas de seguridad mnimas; se han definido procedimientos de respuesta a
incidentes y todas las entidades apropiadas participan activamente; se registra
la deteccin de amenazas internas; se ha establecido una base legal para la
seguridad de la red de ICN (del lado del operador y del usuario); la aplicacin
de las normas de la ICN es monitoreada y revisada.
ESTRATGICO
La seguridad ciberntica est firmemente arraigada en la prctica general

de gestin de riesgos; se desarrollan medidas de seguridad para garantizar la
continuidad del negocio de la ICN en el contexto del entorno de riesgo que
prevalece; los recursos se asignan en proporcin a la evaluacin del impacto
de un incidente para garantizar la puntualidad y la eficacia de la respuesta a
incidentes.
DINMICO
Proteccin de la Infraestructura Se implementan prcticas de auditora peridicas para evaluar las dependencias
Crtica Nacional (CNI) de red y del sistema, lo que sirve de base para la reevaluacin continua de la cartera
Identificacin de riesgo; se fomenta la autorregulacin; estn operando los procedimientos para
Organizacin optimizar el marco jurdico relativo a la ICN por medio de la modificacin de la
Planeacin de respuesta legislacin existente o promulgacin de nuevas regulaciones legales, segn sea
Coordinacin necesario.
Gestin de riesgos
172
Tecnologas
Gestin de crisis Planeacin
La gestin de crisis es ms que la respuesta INICIAL

a incidentes. Ejercicios cibernticos, por
ejemplo, pueden simular una variedad
de roles, desde atacantes a defensores, No hay entendimiento, o es mnimo, de que la gestin de crisis es necesaria para
equipos de comunicacin, organismos la seguridad nacional; se ha asignado en principio la autoridad de planeacin y
de coordinacin y varios otros, todos los diseo del ejercicio, pero no se ha esbozado la planeacin.
cuales son cruciales en caso de una crisis
real. La planeacin y la evaluacin de
las aplicaciones de gestin de crisis les FORMATIVO
ofrecen a los interesados la capacidad
para hacerles frente a situaciones del
mundo real. Se ha llevado a cabo una evaluacin preliminar de las necesidades de las
medidas que requieren comprobacin, con la consideracin de un escenario
de ejercicio simple, con un tamao, mbito geogrfico, recursos y coordinacin
limitados; estn incluidos actores clave en el proceso de planeacin.
ESTABLECIDO
Un escenario realista de alto nivel informa un plan para poner a prueba los flujos
de informacin y toma de decisiones integral y nueva informacin alimenta el
ejercicio en puntos clave; se utilizan monitores externos, o se les proporciona
formacin profesional a monitores internos.
ESTRATGICO
El proceso de planeacin incluye objetivos especficos, medibles, alcanzables,

realistas y de duracin determinada (SMART, por sus siglas en ingls),
Infraestructuras de Clave Pblica (PKI, por sus siglas en ingls), la participacin
de los participantes, un esbozo de su papel en el ejercicio y la articulacin de
los beneficios y los incentivos para la participacin; se desarrolla la confianza
con bastante antelacin a travs del proceso de reclutamiento y el ejercicio
previo, y mediante el control garantizado de la confidencialidad.
DINMICO
El programa de ejercicio es amplio en su alcance geogrfico y participacin,

as como en complejidad poltica/tcnica; el ejercicio aborda desafos
internacionales y produce resultados escalables para el desarrollo de polticas y
toma de decisiones estratgicas; observadores externos participan y contribuyen
al proceso.
OBSERVATORIO DE LA
CIBERSEGURIDAD 173
Evaluacin
INICIAL
No se ha realizado ninguna evaluacin de los protocolos y procedimientos de

gestin de crisis; los resultados de los ejercicios no informan a la gestin global de
crisis.
FORMATIVO
Existe la conciencia general de las tcnicas y metas de gestin de crisis; el

ejercicio se evala y los participantes proporcionan comentarios sobre una
base ad hoc, pero esto no alimenta la toma de decisiones.
ESTABLECIDO
Las partes interesadas estn incluidas en el proceso de evaluacin; se recogen

indicadores medibles de xito, incluyendo cuestionarios, pruebas repetidas,
seguimientos y lecciones aprendidas; los resultados se cotejan, analizan y se
introducen en el proceso de toma de decisiones; los resultados se evalan
sobre la base de las mejores prcticas de gestin de crisis a nivel nacional e
internacional.
ESTRATGICO
SMART y PKI producen resultados estructurados, medibles, que redundarn

en recomendaciones tiles para los responsables de las polticas y las partes
interesadas; se preparan informes personalizados especficos al sector para cada
grupo de inters, garantizando al mismo tiempo la seguridad de la informacin
sensible; los resultados de la evaluacin de gestin de crisis informan la
implementacin de estrategias nacionales y las asignaciones presupuestales.
DINMICO
Se le proporciona a la comunidad internacional la evaluacin de la

participacin del pas en los ejercicios internacionales de gestin de crisis,
por lo que las lecciones aprendidas pueden contribuir a una comprensin
global de la gestin de crisis.
Gestin de crisis
Planeacin
Evaluacin
174
Tecnologas
Redundancia digital Planeacin
En el escenario donde se desactiva la INICIAL

comunicacin por medios electrnicos,
es fundamental la creacin de vnculos
de coordinacin de respaldo entre los Pueden considerarse o no medidas de redundancia digital.
servicios de emergencia que no se basan
en redes digitales de comunicacin
para mejorar la poltica y la estrategia FORMATIVO
ciberntica.
Las partes interesadas se renen por medio de asociaciones pblico-privadas

para identificar brechas y superposiciones en las comunicaciones de los activos
de respuesta de emergencia y enlaces de autoridad; se establecen prioridades
de activos de respuesta de emergencia y procedimientos operativos estndar
en el caso de una interrupcin de las comunicaciones a lo largo de cualquier
nodo de la red de respuesta de emergencia.
ESTABLECIDO
Los activos de respuesta de emergencia estn cableados en una red de

comunicacin segura; se asignan recursos adecuados para la integracin de
hardware, pruebas de estrs tecnolgico y capacitacin de personal y ejercicios
de simulacin de crisis.
ESTRATGICO
Se lleva a cabo divulgacin y educacin de los protocolos de comunicacin

redundantes para las principales partes interesadas y se las adapta a sus
funciones y responsabilidades nicas.
DINMICO
Los interesados contribuyen a los esfuerzos internacionales sobre planeacin

de la comunicacin de redundancia.
OBSERVATORIO DE LA
CIBERSEGURIDAD 175
Organizacin
INICIAL
Los activos de respuesta de emergencia actuales no han sido identificados; si se

identifican, carecen de cualquier nivel de integracin.
FORMATIVO
Los activos de respuesta de emergencia se mapean y se identifican, posiblemente

incluyendo detalles sobre su ubicacin y sus operadores designados.
ESTABLECIDO
La comunicacin se distribuye a travs de las funciones de respuesta de

emergencia, reas geogrficas de responsabilidad, respondedores pblicos y
privados y las autoridades de mando.
ESTRATGICO
Los activos de respuesta de emergencia prueban la interoperabilidad y funcionan

con eficacia en escenarios y ejercicios de comunicacin comprometidos; los
resultados de estos escenarios luego sirven de base para la inversin estratgica
en futuros activos de respuesta a emergencias.
DINMICO
Est operando la eficiencia optimizada para mediar cortes prolongados de

sistemas; activos a nivel nacional pueden actuar para ayudar a los pases
vecinos en caso de una crisis o incidente a nivel internacional; se proponen,
programan y llevan a cabo mapeos y simulacros de interoperabilidad de
respuesta a emergencias sobre una base anual.
Redundancia digital
Planeacin
Organizacin
176
Tecnologas
Mercado de la ciberseguridad Tecnologas de seguridad ciberntica
Este factor se refiere a la disponibilidad de INICIAL

tecnologas de seguridad ciberntica de la
informacin y red y apoyo especializado
para el despliegue, y tambin al Poca o ninguna tecnologa se produce en el pas; pueden estar restringidas las
seguro ciberntico como una forma ofertas internacionales o son vendidas con un sobreprecio.
de proteccin contra las prdidas que
afectan directamente al titular del seguro
o contra las prdidas de otra organizacin FORMATIVO
o individuos afectados por una falla de
seguridad.
La tecnologa y los procesos de seguridad en el gobierno y el sector privado estn
disponibles y desplegados; el mercado interno ofrece productos genricos, no
especializados; las ofertas no estn impulsadas por el mercado; consideraciones
de seguridad estn integradas en el software y la infraestructura.
ESTABLECIDO
Se crean y administran los sistemas de control de tecnologa de la informacin;

los productos de seguridad informtica nacional provienen de proveedores
locales; las tecnologas estn desplegadas en el pas para detectar y registrar
incidentes cibernticos, incluyendo ataques sofisticados; se implementan
tecnologa y procesos de seguridad avanzados en las redes empresariales
sensibles para permitir el intercambio de informacin segura.
ESTRATGICO
Las tecnologas de seguridad ciberntica, incluyendo el software, cumplen

con las directrices de codificacin segura, mejores prcticas y se acogen a
las normas reconocidas internacionalmente; las tecnologas y procesos estn
actualizados a travs de los sectores de seguridad, con base en la evaluacin
del riesgo estratgico; la evaluacin de riesgos tambin sirve de base para la
aplicacin de los incentivos del mercado hacia productos priorizados a fin de
mitigar los riesgos identificados.
DINMICO
Las caractersticas de seguridad en la arquitectura de software se actualizan

continuamente a medida que se requiere; las funciones de seguridad en las
configuraciones de sistemas informticos y software estn automatizadas en el
desarrollo y despliegue de soluciones de seguridad; la dependencia nacional de
tecnologas extranjeras se mitiga a travs de la capacidad nacional mejorada;
el mercado nacional de productos de seguridad ciberntica se exporta a otros
pases y se consideran productos de calidad superior.
OBSERVATORIO DE LA
CIBERSEGURIDAD 177
INICIAL
La necesidad de un mercado para los seguros de delincuencia ciberntica no ha

sido identificada a travs de la evaluacin de riesgos financieros para el sector
pblico y privado.
FORMATIVO
Se ha identificado la necesidad de un mercado para los seguros de delitos

informticos a travs de la evaluacin de riesgos financieros para los sectores
pblico y privado; ahora se est discutiendo el intercambio de las mejores
prcticas en materia de evaluacin y reduccin de riesgos, incluyendo el
desarrollo y uso de estndares y productos variados apropiados.
ESTABLECIDO
Se ha establecido el mercado para los seguros de la delincuencia ciberntica

y se fomenta el intercambio de informacin entre los participantes; se ofrecen
productos adecuados para las PYME.
ESTRATGICO
El seguro ciberntico especifica una variedad de coberturas para mitigar

prdidas consecuentes; estas coberturas son seleccionadas en base a las
necesidades de planeacin estratgica y de riesgo identificadas.
DINMICO
Existe un mercado vibrante, innovador y estable de seguros de ciberntica y

se adapta a los riesgos emergentes; constantemente se revisan y mantienen
los programas de reduccin de riesgo planeados; se ofrecen primas de seguros
y programas de recompensas para el comportamiento ciberntico seguro
constante; los productos de seguros estn alineados con las aplicaciones
dinmicas de las normas y prcticas de seguridad ciberntica.
178

Ciberseguridad Estamos Preparados en America Latina y El Caribe PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ciberseguridad Estamos Preparados en America Latina y El Caribe PDF

Cargado por

Copyright:

Formatos disponibles

OBSERVATORIO DE LA

Informe Ciberseguridad 2016

Organization of Mejorando vidas

Copyright 2016 Banco Interamericano de Desarrollo. Esta

Cualquier disputa relacionada con el uso de la obra que no

Note que el enlace URL incluye trminos y condiciones

Las opiniones expresadas en esta publicacin son de los autores

Luis Alberto Moreno Luis Almagro

Coordinacin del Proyecto Coordinacin del Proyecto

Miguel Porra Belisario Contreras

Centro Global de Capacitacin de Seguridad

Kerry-Ann Barrett Prof. Sadie Creese

INFORME CIBERSEGURIDAD 2016

IX Mensaje del Presidente del BID 3 Fomento de confianza ciberntica y diplomacia

7 Seguridad ciberntica, privacidad y confianza:

13 Creacin de la capacidad de respuesta

19 El estado actual de la legislacin sobre el delito

25 Economa digital y seguridad ciberntica

31 Desarrollo sostenible y seguro: un marco

43 Capacidad de seguridad ciberntica

48 Antigua y Barbuda 123 Poltica y estrategia

Luis Alberto Moreno

2. Prandini, Patricia y Marcia L. Maggiore. Panorama del

3. El Professor Klaus Schwab, Director Ejecutivo y Fundador

CSIS | Centro de Estudios Estratgicos e Internacionales

Tendencias a nivel de Amrica Latina y el Caribe

El respeto de los derechos humanos La conciencia de la importancia de desarrollar estrategias de

La retencin de datos puede ser necesaria en algunos casos para

Es importante crear canales

11. Corte Suprema de la Repblica de Argentina. Halabi, Ernesto

12. Ley 12.965/14.

13. Vanse los artculos 13 a 15 de Ley 12.965/14.

14. Ley de Telecomunicaciones y Radiodifusin, 2014.

15. La palabra pyraweb alude a los informantes de los tiempos

16. El proyecto de ley se encuentra disponible en http://odd.senado.

17. La seguridad ciberntica es una de las prioridades identificadas

La OEA desempea un papel nico en su capacidad para convocar

2. Microsoft on the Issues (2013). Initial revelations and results

3. Olson, Parmy (2014). The Largest Cyber Attack in History

4. Prince, Matthew (2013). The DDoS That Almost Broke The

5. Organizacin de los Estados Americanos (2014). A

6. Foro de Gobernanza de Internet (2014). Best Practice

7. FIRST (2015). FIRST develops framework for education

8. FIRST (2015). Common Vulnerability Scoring System v3.

9. OEA (2015). OAS and FIRST Sign Agreement to Improve

Las disposiciones de este tratado son difcilmente controversiales.

En el Caribe, la adopcin de poderes de derecho procesal como

Como se indic al principio, la legislacin integral es el

En conclusin, las recomendaciones de las REMJA/OEA respecto

Proteccin de Datos y Delincuencia Ciberntica 2. http://conventions.coe.int/Treaty/Commun/QueVoulezVous.

Ha trabajado con el Consejo de Europa 3. http://www.coe.int/t/dghl/cooperation/economiccrime/

los programas de cooperacin del Consejo de 5. http://www.oas.org/juridico/english/remjaV_recom.pdf

Ver tambin el informe sobre el documento de discusin

CoE | Consejo de Europa

72 suscripciones de banda ancha mvil por cada 100 usuarios.

En un informe de 2015, la Institucin Brookings recomend otras

En el frente de la seguridad ciberntica, estn surgiendo varias

Es ms fcil decir que se crear una esquina eficiente, prspera y

Estas ganancias se basan en la confianza en el ecosistema digital.

El mundo en red est alimentando el crecimiento econmico y la

2. Fuente: Informe Global sobre Tecnologa de la Informacin

3. Meacham, Carl. Are Internet Policy and Technology the

4. Fuente: Informe OEA-BID.