Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Comisión Interamericana de
Telecomunicaciones
(CITEL)
CITEL
Washington, DC
Estados Unidos
http://citel.oas.org
Marian Gordon
Document1 16.02.20 i
Seguridad Cibernética
Reservados todos los derechos. No podrá reproducirse o utilizarse el presente documento ni parte del
mismo de cualquier forma ni por cualquier procedimiento, electrónico o mecánico, comprendidas la
fotocopia y la grabación en micropelícula, sin autorización escrita de la CITEL.
CARPETA TÉCNICA1
Una Carpeta Técnica proveerá una manera formal de mantener una ficha sobre la información técnica de
proyectos que será puesta a disposición de la industria de las telecomunicaciones en los Estados
miembros.
1
CCP.I/RES. 142 (XV-01)
Document1 16.02.20 ii
Seguridad Cibernética
1. Introducción
3) formas que pueden tomar estas amenazas (redes robot, software maligno, ataques DDoS,
penetración de cadenas de suministro, ingeniería social, etc.)
4) explotación de vulnerabilidades.
2.1 Pronunciamientos de principios generales. Resoluciones UNGA: 55/63 y 56/121 sobre la lucha
contra el uso delictivo de tecnologías de información; 57/239, 58/199 y 64/211 sobre la creación de una
cultura mundial de seguridad cibernética y la protección de infraestructuras críticas de información;
Cumbre Mundial sobre la Sociedad de la Información (CMSI), Declaración de Principios y Orden del Día de
la Fase de Túnez (en particular la línea de acción C5)
2.2 Normas que rigen el comportamiento entre Estados. Grupo de Expertos Gubernamentales del
Comité UNGA 1. Ver el Report of Group of Governmental Experts on Developments in the Field of
Information and Telecommunications in the Context of International Security (Informe de Expertos
Gubernamentales sobre novedades en el campo de la información y las telecomunicaciones en relación
con la seguridad internacional. (Doc. A/65/201 (30 de julio de 2010)).
Document1 16.02.20 1
2.3 Normas para combatir la delincuencia cibernética. (1) Congreso de la ONU sobre la delincuencia,
Oficina de la ONU sobre drogas y delincuencia, Comisión de la ONU sobre delincuencia; (2) Consejo de la
Convención de Europa sobre la delincuencia cibernética (Convención de Budapest); CICTE
(contraterrorismo); REMJA (delincuencia cibernética)
2.4 Programas internacionales para combatir el correo basura (spam). Plan de acción de Londres
2.7 Creación de soluciones técnicas internacionales para la mayor seguridad de las redes.
Comisiones de Estudio 17 y 13 de la UIT; actividades de normalización ISO; actividades del IETF;
organizaciones normalizadoras regionales (p. ej., ATIS, ETSI, 3GPP)
2.8 Programas internacionales para ayudar a los países en desarrollo a mejorar sus programas
nacionales de seguridad cibernética. Orden del día de la UIT sobre la seguridad cibernética mundial;
Programa 2 de la Oficina de Desarrollo de las Telecomunicaciones (BDT) de la UIT; actividades de la
Cuestión 22/1 del UIT-D (Seguridad Cibernética); programa de asistencia para la legislación sobre
ciberdelincuencia del Consejo de Europa.
3.1 Estrategias nacionales para lograr la seguridad cibernética. Por ejemplo, el Cyberspace Policy
Review (2009) de EE.UU.
3.2 Programas nacionales para una mayor conciencia de los usuarios finales (individuos y empresas
pequeñas y medianas (pymes) en cuanto a sus responsabilidades en materia de ciberseguridad
Document1 16.02.20 2
3.3 Políticas nacionales respecto de asociaciones públicas-privadas
3.5 Programas nacionales de vigilancia, alerta, respuesta y recuperación (CIRT). Por ejemplo,
ejercicios Cyberstorm de EE.UU.
3.6 Programas bilaterales para asistir a países en desarrollo. Por ejemplo, programa del
Departamento de Justicia de EE.UU. para asistir en la redacción de legislación relativa a la
ciberdelincuencia; USTTI
Apéndice 1
Referencias
Acrónimos
Capítulo 3: Argentina
Document1 16.02.20 3
SEGURIDAD CIBERNÉTICA
Alcance:
1 Introducción
3) formas que toman dichas amenazas (redes robot, software maligno, ataques DDoS,
penetración de cadenas de suministro, ingeniería social, etc.)
4) explotación de vulnerabilidades.
2. Actividades internacionales y regionales para una mayor seguridad de las redes IP.
Document1 16.02.20 4
2.1 Pronunciamientos de principios generales.
Resoluciones UNGA: 55/63 y 56/121 sobre la lucha contra el uso delictivo de tecnologías de
información; 57/239, 58/199 y 64/211 sobre la creación de una cultura mundial de seguridad cibernética
y la protección de infraestructuras críticas de información; Cumbre Mundial sobre la Sociedad de la
Información (CMSI), Declaración de Principios y Orden del Día de la Fase de Túnez (en particular la línea
de acción C5)
La OEA ha dispuesto una estrategia integral sobre seguridad cibernética. Dicha estrategia fue inicialmente
descrita en detalle en la resolución “Adopción de una estrategia interamericana integral de seguridad
cibernética: Un enfoque multidimensional y multidisciplinario para la creación de una cultura de seguridad
cibernética”, AG/RES. 2004 (XXXIV-O/04), (Aprobada en la cuarta sesión plenaria del trigésimo cuarto
período ordinario de sesiones de la Asamblea General de la OEA, celebrada el 8 de junio de 2004.
En el marco de la OEA, el CICTE, la CITEL y la REMJA constituyen los pilares fundamentales de la Estrategia
Interamericana de Seguridad Cibernética. Los esfuerzos multidisciplinarios de estos órganos brindan
apoyo al crecimiento, desarrollo y protección de la Internet y los sistemas de información conexos, y
protegen a los usuarios de dichas redes de información. El objetivo de la estrategia es crear y brindar
apoyo a una cultura de seguridad cibernética. Las actividades en curso son (1) coordinación y cooperación
entre las Secretarías del CICTE, la CITEL y la REMJA, y (2) refuerzo de la coordinación entre las autoridades
nacionales y las entidades, incluyendo los CSIRT nacionales, que intervienen en el debate de las cuestiones
relativas a la seguridad cibernética.
En 2001, el Consejo de la UIT decidió celebrar la Cumbre Mundial sobre la Sociedad de la Información
(CMSI). La primera fase de dicha Cumbre tuvo lugar en diciembre de 2003, y la segunda y final se efectuó
en noviembre de 2005.
Document1 16.02.20 5
desarrollar y poner en práctica una cultura global de ciberseguridad, en cooperación con todas las partes
interesadas y los organismos internacionales especializados.
En diciembre de 2002, en la resolución 57/239 de las Naciones Unidas se describían los elementos para
crear una cultura mundial de seguridad cibernética, instando a los Estados Miembros y a las
organizaciones internacionales pertinentes que los tuvieran en cuenta en sus preparativos para la
Cumbre. En diciembre de 2003 en la resolución 58/199 de las Naciones Unidas se subrayaba aún más la
promoción de una cultura mundial de seguridad cibernética, y la protección de las infraestructuras críticas
de información.
En el Taller se destacó que la evolución de una cultura mundial de seguridad cibernética también significa
ayudar a las economías en desarrollo en la adopción de “tecnología, procesos y personal” de seguridad
cibernética. Debe fomentarse el intercambio de las mejores prácticas entre los países en desarrollo y se
necesita una mayor coordinación internacional en materia de seguridad cibernética.
Grupo de Expertos Gubernamentales del Comité UNGA 1. Ver el “Informe de Expertos Gubernamentales
sobre novedades en el campo de la información”
(1) Congreso de la ONU sobre la delincuencia, Oficina de la ONU sobre drogas y delincuencia, Comisión de
la ONU sobre delincuencia; (2) Consejo de la Convención de Europa sobre la delincuencia cibernética
(Convención de Budapest); CICTE (contraterrorismo); REMJA (delincuencia cibernética)
Document1 16.02.20 6
2.4 Programas internacionales para combatir el correo basura
FIRST e IMPACT
En respuesta al mandato contenido en la Cuestión 22-1 del UIT-D, Garantía de seguridad en las redes de
información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseguridad, el UIT-
D ha elaborado varios informes (a partir del año 2013) en apoyo a estos objetivos:
Un documento sobre la gestión de un CSIRT nacional con los Factores Críticos de Éxito. Está
orientado a los dirigentes actuales y futuros de los CIRT, y a quienes sencillamente desean mejorar
sus prácticas en materia de seguridad cibernética. En el documento se definen los factores críticos
de éxito como “aquellas actividades que deberán ser realizadas o condiciones que deberán ser
satisfechas para que el CSIRT nacional cumpla con su misión y atienda eficazmente a su sector,”
con el objetivo de reducir la ambigüedad, hallar maneras de determinar y medir los objetivos,
entender los requerimientos informáticos, e identificar preocupaciones en la gestión de los
riesgos. El informe se encuentra disponible en: http://www.itu.int/md/D10-RGQ22.1.1-C-
0007/es.
Un informe sobre las alianzas público-privadas. Ofrece lineamientos para el éxito de las alianzas
público-privadas y está orientada a gobiernos y miembros del sector privado. Las principales
características de éxito en tales alianzas son: que sean mutuamente beneficiosas y voluntarias;
que exista un entendimiento común de su objetivos y alcance; la transparencia entre los aliados;
y que cada socio aporte con capacidades que tengan valor para los demás. El informe se encuentra
disponible en: http://www.itu.int/md/D10-SG01-C-0100/es.
Document1 16.02.20 7
2.6 Consenso mundial respecto del contenido de las comunicaciones/circulación libre de
información/privacidad. Declaración Universal de los Derechos Humanos (Artículo 19) y el Pacto de
Derechos Civiles y Políticos (Artículo 19); Artículo 1 de la Constitución de la UNESCO
2.7 Creación de soluciones técnicas internacionales para la mayor seguridad de las redes. Comisiones
de Estudio 17 y 13 de la UIT; actividades de normalización ISO; actividades del IETF; organizaciones
normalizadoras regionales (p. ej., ATIS, ETSI, 3GPP)
La importancia de la normalización de la seguridad es reconocida tanto por el IETF como por el UIT-T.
Respecto de la seguridad, el IETF (Grupo de Tareas Especiales de Ingeniería en Internet) creó el Área de
Seguridad, subdividiéndola además en grupos de trabajo.
El UIT-T ha designado a la Comisión de Estudio 17 (Seguridad) Comisión de Estudio Rectora sobre Gestión
de Seguridad (http://www.itu.int/en/ITU-T/studygroups/com17/Pages/telesecurity.aspx) e Identidad
(http://www.itu.int/en/ITU-T/studygroups/com17/Pages/idm.aspx), concentrándose en cuestiones de
seguridad a todo nivel. Se desprende del sitio Web de la SG-17 del ITU-T, que entre sus actividades figuran
la definición y el mantenimiento de los marcos globales de seguridad y la gestión de proyectos, que incluya
la coordinación, asignación y priorización de acciones que puedan resultar en unas recomendaciones
oportunas respecto a la seguridad en los sistemas de comunicación. La SG-17 prepara y mantiene material
de difusión sobre seguridad, coordina tareas relativas a la seguridad en el UIT-T, y determina trabajos de
seguridad y fija su orden de prioridad para promover la preparación oportuna de normas de seguridad
para telecomunicaciones.
Las recomendaciones de seguridad abarcan un amplio abanico de temas, entre los cuales constan:
arquitecturas y marcos de seguridad, seguridad de las telecomunicaciones, protocolos, técnicas, servicios
de directorio y autentificación, gestión de redes, comunicaciones de multimedia, etc.
La lista de Cuestiones de la SG-17 del UIT-T se encuentra en el sitio Web de la Comisión de Estudio:
http://www.itu.int/en/ITU-T/studygroups/2013-2016/17/Pages/questions.aspx
Document1 16.02.20 8
2.7.1.2 Talleres de seguridad
La Comisión de Estudio 17 del UIT-T organizó un taller sobre seguridad realizado en Seúl, Corea, del 13 al
14 de mayo de 2001. Se encuentran las presentaciones e información conexa en:
http://www.itu.int/ITU-T/worksem/security/200205/index.html. El taller se centró en las siguientes
materias:
Gestión de la seguridad
Autentificación biométrica
Seguridad móvil
Un segundo taller del UIT-T sobre la seguridad, titulado “Nuevos Horizontes para la Estandarización de la
Seguridad”, tuvo lugar del 3 al 4 de octubre de 2005. Este taller, que contó con el apoyo activo de la
Comisión de Estudio 17, sirvió para tratar problemas de seguridad de la información y comunicación, y
promovió una mayor cooperación entre las organizaciones involucradas en las labores de estandarización
de la seguridad. Se encuentran los detalles del programa y un informe del taller en http://www.itu.int/ITU-
T/worksem/security/200510/index.html.
Document1 16.02.20 9
2.7.1.5 Normas de seguridad
La Comisión de Estudio 17 del UIT-T está actualmente elaborando normas en las siguientes áreas:
C 4/17 Ciberseguridad
C 9/17 Telebiometría
Para mayores informes sobre las Cuestiones de la SG-17 del UIT-T, véase el sitio Web de la Comisión de
Estudio en:
http://www.itu.int/en/ITU-T/studygroups/2013-2016/17/Pages/questions.aspx
[Información adicional con respecto a las normas de seguridad del UTI-T puede encontrarse en el sitio
web de la CE17 del UIT-T (http://www.itu.int/ITU-T/studygroups/com17) o en la Carpeta Técnica “Redes
de Próxima Generación - Visión general de normas” del CCP.I de la CITEL.]
Document1 16.02.20 10
Esta arquitectura de seguridad fue creada para abordar los retos de seguridad globales que enfrentan los
proveedores de servicios, empresas y consumidores, y puede ser aplicada a redes inalámbricas, ópticas, y
alámbricas de voz, de datos o convergentes. La arquitectura aborda preocupaciones de seguridad para la
gestión, control y uso de la infraestructura, servicios y aplicaciones de la red. Provee, asimismo, una
perspectiva completa, de arriba-hacía-abajo y de extremo a extremo de seguridad de red, y puede ser
aplicada a elementos, servicios y aplicaciones de red para detectar, predecir y corregir vulnerabilidades
de seguridad.
Security layers
Applications security
THREATS
Communication security
Data confidentiality
Non-repudiation
Destruction
Authentication
Access control
Data integrity
Availability
ATTACKS
End-user plane
Control plane 8 Security dimensions
Management plane X.805_F3
La arquitectura de seguridad descrita en la Recomendación X.805 puede ser usada para guiar el desarrollo
de definiciones de políticas de seguridad exhaustivas, planes de respuesta a incidentes y de recuperación,
y arquitecturas de tecnología, tomando en consideración cada dimensión de seguridad en cada nivel y
plano de seguridad durante la fase de definición y planificación. La arquitectura de seguridad también
puede ser usada como la base de una evaluación de seguridad que examinaría cómo la implementación
del programa de seguridad aborda las dimensiones, niveles y planos de seguridad, a medida que se
expiden políticas y procedimientos y se despliega la tecnología.
Document1 16.02.20 11
[Nota del editor: Información adicional respecto de la Rec. X805 puede encontrarse en la Recomendación
original del UIT-T o en la Carpeta Técnica “Redes de Próxima Generación – Visión general de normas” del
CCP.I de la CITEL.]
La Comisión de Estudio del UIT-T ha elaborado además una hoja de ruta sobre las normas de seguridad
de las TIC (http://www.itu.int/ITU-T/studygroups/com17/ict/index.html), en la cual se presenta un
bosquejo de las actividades de estandarización en seis partes:
Parte 2: Normas de seguridad TIC aprobadas (base de datos con enlaces directos)
Las recomendaciones de seguridad abarcan un amplio abanico de temas, entre ellos: arquitectura y
marcos de seguridad, seguridad de las telecomunicaciones, protocolos, técnicas, servicios de directorio y
autentificación, gestión de redes, comunicaciones por multimedia, etc.
Una lista de las definiciones de seguridad extraída de las Recomendaciones aprobadas del UIT-T
Un resumen de las Comisiones de Estudio del UIT-T que tengan actividades relacionadas con la
seguridad
Los siguientes Grupos de Trabajo del Área de Seguridad del IETF están elaborando normas de Internet
Document1 16.02.20 12
abfab Application Bridging for Federated Access Beyond web
Para mayores informes sobre el Área de Seguridad en el IETF, véase su wiki en:
http://trac.tools.ietf.org/area/sec/trac/wiki .
La IPSec se refiere a una sucesión de protocolos de seguridad que protegen a las comunicaciones de la
Internet por medio del cifrado, la autenticación, confidencialidad, integridad de los datos, la protección
antirrepetición, y la protección contra el análisis del flujo de tráfico. El IPSec trabaja con métodos de
cifrado populares en la capa de la red—tales como Diffie-Hellman, DES, 3DES, MD5, y SHA1—y puede
adaptarse a nuevos algoritmos y normas que aparezcan.
El IETF ha elaborado RFC 4301 ("Arquitectura de seguridad para el Protocolo de Internet"), el cual ha sido
"diseñado para prestar servicios de seguridad para el tráfico a nivel de IP". Las últimas versiones y
actualizaciones del documento se encuentran en: http://datatracker.ietf.org/doc/rfc4301/.
Document1 16.02.20 13
El AH, definido en RFC 4835 del IETF ("Cryptographic Algorithm Implementation Requirements for
Encapsulating Security Payload (ESP) and Authentication Header (AH)") y en RFC 4302 ("IP Authentication
Header") permite que las partes que se comunican mediante el IP verifiquen que los datos no se hayan
modificado durante la transmisión, y que proceden de la fuente original de la información. El AH
proporciona una integridad de los datos sin conexión, la autenticación de los datos, y brinda protección
contra ataques con repetición. El AH añade un bloque de código al paquete de datos que es el resultado
de una función de “troceo” aplicada a todo el paquete.
http://datatracker.ietf.org/doc/rfc4835/
http://datatracker.ietf.org/doc/rfc4302/
La ESP, definida en IETF RFC 4835 ("Cryptographic Algorithm Implementation Requirements for
Encapsulating Security Payload (ESP) and Authentication Header (AH)") y en RFC 4302 ("IP Encapsulating
Security Payload (ESP)"), , cifra la información para evitar que sea observada por una entidad que no sea
digna de confianza. La ESP también puede usarse para la autenticación. El campo de autenticación ESP
contiene la suma de prueba criptográfica que se computa sobre la parte restante de la ESP (menos el
campo de autenticación ESP mismo). La autenticación AH difiere de la versión ESP en que esta última no
protege el encabezamiento IP que precede al encabezamiento ESP.
http://datatracker.ietf.org/doc/rfc4303/
http://datatracker.ietf.org/doc/rfc4835/
El intercambio de claves Internet, versión 2 (IKEv2), un protocolo definido por el IETF RFC 5996 ("The
Internet Key Exchange (IKE)") , proporciona el marco “para la realización de la mutua autenticación y el
establecimiento y mantenimiento de las Asociaciones de Seguridad (AS). .
Document1 16.02.20 14
El intercambio manual es la forma más fácil de gestión de claves para un número pequeño de sitios. Ambos
extremos del túnel IPSec deben configurarse manualmente con las claves correspondientes. Pero la
codificación manual tiene muchas desventajas.
2.8 Programas internacionales para ayudar a los países en desarrollo a mejorar sus programas
nacionales de seguridad cibernética. Orden del día de la UIT sobre la seguridad cibernética mundial;
Programa 2 de la Oficina de Desarrollo de las Telecomunicaciones (BDT) de la UIT; actividades de la
Cuestión 22/1 del UIT-D (Seguridad Cibernética); programa de asistencia para la legislación sobre
ciberdelincuencia del Consejo de Europa.
En colaboración con los tres sectores de la UIT, la Unidad de Estrategias y Política (SPU) asiste a la UIT y a
sus miembros en prever y analizar las implicaciones y problemas estratégicos del cambiante entorno de
las telecomunicaciones. La SPU utiliza un enfoque multidisciplinario para abordar cuestiones de política
de telecomunicaciones, mediante investigaciones, análisis, publicaciones y la organización de foros y
talleres.
En el año 2001, la SPU organizó un taller denominado “Creación de confianza en infraestructuras de red
críticas”. El taller concluyó que la cooperación internacional es fundamental y puede lograrse mediante lo
siguiente:
normas internacionales
intercambio de información
Document1 16.02.20 15
El taller también recomendó que los gobiernos, en consulta con los sectores correspondientes de la
industria, emprendan una evaluación de riesgos en cuanto a las vulnerabilidades y peligros que afectan a
las redes nacionales. Tal vez corresponda efectuar un examen de la política y/o puntos de vista
reglamentarios en el ámbito nacional. En el taller también se sugirieron funciones para la UIT en materia
de seguridad cibernética.
Al prepararse para este taller, Brasil, Canadá, la República de Corea y los Países Bajos presentaron una
serie de Estudios de Casos relativos a la seguridad y reglamentación de redes.
En mayo de 2007, la Secretaría General de la UIT inauguró la Agenda sobre Ciberseguridad Global (GCA)
como marco de cooperación internacional para promover la ciberseguridad y aumentar la confianza y la
seguridad en la sociedad de la información. La GCA tiene el objeto de fomentar la colaboración entre los
participantes para promover la confianza y seguridad en el uso de las TIC. La GCA abarca las siguientes
iniciativas:
o Radiocomunicaciones de la UIT
Estructuras orgánicas
Formación de la capacidad
Document1 16.02.20 16
o Juego de herramientas de la UIT para reducir la mitigación de las redes robot (botnet)
Cooperación internacional
Puede hallarse más información acerca de la GCA de la UIT en el sitio en la Red de la AGC de la UIT:
http://www.itu.int/osg/csd/cybersecurity/gca/index.html
Document1 16.02.20 17
La Cuestión 22-1/1 de la Comisión de Estudio del UIT-D ("Garantía de seguridad en las redes de
información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseguridad") ha
recibido la tarea de trabajar sobre los problemas de seguridad cibernética al interior del UIT-D.
Las estrategias electrónicas ayudan a los países en la ejecución de proyectos dirigidos a fortalecer la
seguridad y la confianza necesarias para llevar a cabo transacciones importantes en sectores tales como
los de la salud, la educación, el comercio y las comunicaciones entre los organismos y funcionarios
públicos. En Bulgaria, Burkina Faso, Costa del Marfil, Camboya, Georgia, Perú, Senegal, Paraguay y Turquía
(sector empresarial) se han introducido y se están ejecutando proyectos que utilizan tecnologías
avanzadas de seguridad y confianza basadas en la infraestructura de clave pública (PKI), incluida la
autenticación biométrica, tarjetas inteligentes, certificados digitales ITU-T X.509, y técnicas de firma
digital.
Se está preparando un manual de seguridad cibernética para asistir a los países en desarrollo y menos
desarrollados en la formación de capacidad local y la creación de conciencia acerca de algunos de los
principales desafíos en materia de seguridad para la sociedad de la información. Este manual explicará
algunos de los problemas más serios, tales como el correo basura, el software maligno (virus, gusanos,
troyanos), la privacidad de los datos, la falta de autenticación, la necesidad de confidencialidad de los
datos y la integridad de datos. Se espera finalizarlo en noviembre de 2005, y abarca otros temas tales
como pautas y las mejores prácticas legislativas para la seguridad cibernética, así como ejemplos de
métodos que se han aplicado para proteger infraestructuras críticas.
El ITU-D mantiene además una página Web sobre la seguridad cibernética (http://www.itu.int/en/ITU-
D/Cybersecurity/Pages/default.aspx) que contiene información sobre las actividades del UIT-D en
materia de la ciberseguridad.
Document1 16.02.20 18
Por ejemplo, el Cyberspace Policy Review (2009) de EE.UU.
3.1.1 Componentes de una estrategia nacional (por ejemplo, liderazgo, organización, estructuras,
funciones)
La siguiente lista proporciona al lector algunos ejemplos de los tipos de actividades que deberían
emprenderse para desarrollar una estrategia nacional. Esta lista no es de ningún modo exhaustiva.
Emprender discusiones a nivel de política con los principales actores y personas clave encargadas
de adoptar decisiones con respecto a las amenazas y vulnerabilidades y la necesidad de tomar acciones a
nivel nacional.
Establecer mecanismos para la cooperación entre entidades del gobierno y del sector privado a
nivel nacional.
Document1 16.02.20 19
El APÉNDICE 2 de esta Carpeta Técnica contiene detalles de las Estrategias de Seguridad Nacional
específicos de cada país.
3.2 Programas nacionales para crear una mayor conciencia de los usuarios finales (individuos y
empresas pequeñas y medianas (pymes) en cuanto a sus responsabilidades en materia de
ciberseguridad
3.5 Programas nacionales de vigilancia, alerta, respuesta y recuperación (CIRT). Por ejemplo,
ejercicios Cyberstorm de EE.UU.
Document1 16.02.20 20
colaboración entre entidades del gobierno en el ámbito nacional, estatal y local; de los sectores privado y
académico; y del nivel internacional
P. ej., programa del Departamento de Justicia de EE.UU para asistir en la redacción de legislación contra
la delincuencia cibernética; USTTI
Para alcanzar estos objetivos de seguridad, las organizaciones aplican técnicas de protección seguras
basadas en metodologías especializadas para la gestión de riesgos potenciales.
Document1 16.02.20 21
La gestión de riesgos de seguridad desempeña un papel fundamental en la protección de la información
de las organizaciones frente riesgos de seguridad y se ha definido como un proceso lógico y analítico para
identificar riesgos y tomar medidas para reducir los riesgos a un nivel aceptable. Los riesgos de seguridad
se gestionan mediante:
- El análisis y evaluación de amenazas y riesgos a los que la información confidencial y activos asociados
están expuestos;
Para gestionar los riesgos de seguridad es preciso definir qué es un riesgo, la magnitud (impacto) de los
daños causados por la amenaza, las causas o eventos con el potencial de causar daños a una
infraestructura TIC, y qué hacer ante el riesgo. La evaluación de las amenazas y riesgos constituye un
mecanismo para gestionar los riesgos. Otros mecanismos para gestionar los riesgos serían la educación y
creación de conciencia, políticas de seguridad, normas operativas y documentación técnica.
En la siguiente sección se describen los enfoques de gestión de riesgos en general, así como aplicaciones
para la gestión de riesgos potenciales de seguridad.
En las publicaciones sobre la materia, se encuentran disponibles varios marcos de gestión de riesgos. A
pesar de que estos marcos, y los procesos definidos en los mismos, son distintos en cuanto al detalle,
tienen ciertos elementos en común.
Aparecen los siguientes temas recurrentes [1], [2], [3], [4], [5], [6], [7]:
Dado que no es eficaz en función de los costos proteger todos los activos, es esencial que los activos
críticos sean identificados, de manera que pueda prestarse especial atención a su protección. La
designación deberá realizarse desde una perspectiva empresarial, considerando el impacto de la pérdida
o degradación de un activo sobre la empresa en su totalidad.
Document1 16.02.20 22
Deberá emprenderse un proceso de identificación de riesgos disciplinado e integral. Deberá incluir los
riesgos ambientales, así como aquellos causados por el ser humano. El grupo de “accidentes internos”
incluye los accidentes por error humano, así como la configuración incorrecta realizada por personal
insuficientemente capacitado. Cuando las personas representan una amenaza, el análisis deberá incluir
quiénes son estas personas, sus motivos para constituir una amenaza para el sistema, y los medios a través
de los cuales procurarán lograr sus objetivos.
Es necesario relacionar cada riesgo con uno o más de los componentes arquitectónicos y determinar el
impacto potencial de la amenaza sobre el activo.
Esta actividad se basa en la planificación e implementación del mejor curso de acción: la aceptación del
riesgo actual; la gestión activa del riesgo; la observación de cambios en las características del riesgo (y la
modificación del plan en la medida necesaria); y una mayor investigación sobre el riesgo hasta que se sepa
lo suficiente para aplicar adecuadamente una de las alternativas de planificación.
e) Notificación de riesgos
¿Quién debe tener conocimiento de los riesgos? ¿Quién debe tener conocimiento de los incidentes?
¿Quién debe tener conocimiento de las amenazas que se presentan?
f) Intercambio de información
¿Que información debe intercambiarse? ¿Cómo se realiza el intercambio? Cuáles son las restricciones
para el intercambio (por ejemplo, ¿deberán los datos hacerse anónimos antes de ser intercambiados?)
g) Monitoreo/Auditoría
¿Es necesario realizar auditorías internas? ¿Es necesario contar con auditores externos? ¿Imponen
auditorías los órganos reguladores? ¿Deben realizarse auditorías de los accionistas?
h) Entorno reglamentario/legislativo
¿Cuál es el marco reglamentario? ¿Qué leyes deben seguirse? ¿Qué requisitos de seguridad imponen los
órganos externos?
Document1 16.02.20 23
3 Proceso para la gestión del riesgo de seguridad
Los métodos para el análisis y gestión del riesgo de seguridad de la información normalmente respaldan
los conceptos generales especificados en la norma ISO/IEC 27000 [4] y tienen por objeto asistir a todo tipo
de organizaciones en la implementación satisfactoria de sistemas de seguridad de la información basados
en un enfoque de gestión de riesgos. En las siguientes subsecciones se describe un proceso de gestión de
riesgos, seguido de una presentación general de las guías para la gestión de riesgos de seguridad.
3.1 Guía de gestión del riesgo para los sistemas de tecnología de la información - NIST
SP 800-30
La metodología del NIST [5] se basa en un proceso de tres pasos: evaluación del riesgo; mitigación del
riesgo; y análisis y evaluación.
3.1.1
3.1.2 Evaluación del riesgo
Este proceso permite determinar el nivel de amenaza potencial y sus riesgos asociados con un sistema
TIC. El proceso de evaluación del riesgo incluye:
Caracterización del sistema: Establece el alcance del ejercicio de evaluación del riesgo y proporciona
información esencial para definir el riesgo.
Identificación de amenazas: Identifica las potenciales fuentes de amenaza que podrían explotar las
vulnerabilidades del sistema:
i. Humana: actos involuntarios (por ejemplo, entrada de datos inadvertida), o acciones deliberadas
(por ejemplo, ataques basados en la red, subida de software malintencionada, o acceso sin autorización);
Identificación de vulnerabilidades: Identifica las vulnerabilidades del sistema (defectos o fallos) que
podrían ser explotadas por potenciales fuentes de amenaza.
Análisis de control: Especifica los controles que utiliza el sistema de información para mitigar la
probabilidad de ocurrencia de una amenaza (vulnerabilidad) y reducir su impacto. A continuación se
incluyen ejemplos de controles efectivos de seguridad o reducción de riesgos:
Document1 16.02.20 24
i. Controles técnicos incorporados en el hardware, software, o programa fijo del equipo
informático, y controles no técnicos, como políticas de seguridad; procedimientos operacionales; y
seguridad del personal y ambiental;
ii. Controles preventivos, por ejemplo, el cumplimiento de los controles de acceso, codificación
criptográfica y autenticación; y
iii. Una lista de control que se utiliza para verificar el cumplimiento/incumplimiento de los requisitos
de seguridad.
Cálculo de probabilidad: Determina la probabilidad (alta, media o baja) de ocurrencia de una amenaza
(vulnerabilidad). Deben considerarse tres factores:
Análisis de impacto: Prioriza los niveles de impacto asociados con la importancia de los activos de
información de una organización basándose en una evaluación cualitativa o cuantitativa de la criticidad
de esos activos. En este paso, es necesario vincular cada riesgo con los componentes arquitectónicos y
determinar el impacto potencial de la amenaza sobre los activos y, posteriormente, establecer la
magnitud del impacto (alto, medio o bajo) que pudiera resultar de una amenaza exitosa.
Determinación del riesgo: Valoración del nivel de riesgo para el sistema de información. Se calcula el
riesgo en función de:
Document1 16.02.20 25
Su objetivo es servir de ayuda en el proceso de adopción de decisiones sobre cambios en la política, los
procedimientos, el presupuesto y el sistema para reducir y corregir pérdidas potenciales.
La mitigación del riesgo es una metodología sistemática para reducir riesgos. Se basa en priorizar, evaluar
e implementar los controles apropiados de reducción de riesgos recomendados por el proceso de
evaluación del riesgo. La implementación del mejor curso de acción puede variar dependiendo de la
organización.
1. Asumir el riesgo: Aceptar el riesgo potencial y continuar operando, o implementar controles para
reducir el riesgo a un nivel aceptable
4. Transferir el riesgo: Utilizar otras alternativas para compensar las pérdidas, como la adquisición de
una póliza de seguro.
Tras identificar los posibles controles y evaluar su viabilidad y efectividad, se realiza un análisis de costo-
beneficio para determinar los controles apropiados a los que se asignarán recursos. Su objetivo es
demostrar que los costos de implementación de controles pueden justificarse con la reducción del nivel
de riesgo.
Document1 16.02.20 26
Una vez se ha establecido el costo de la implementación, y al comparar sus resultados, puede decidirse si
se implementan o no medidas de control de riesgos.
- Seguir con el plan actual – cuando los datos indican que el riesgo está bajo control;
- Invocar un plan de contingencia – cuando el plan original no funcionó como estaba previsto;
- Cerrar el riesgo – cuando la probabilidad de riesgo y/o impacto potencial no existe o es muy baja.
En la próxima sección se describe la Guía para la gestión de riesgos de seguridad de la información, basada
en la norma ISO/IEC 27005, la cual procura aportar contribuciones fundamentales para el bienestar y
seguridad de toda organización.
La Guía para la gestión del riesgo de la seguridad de la información que esboza a continuación se basa en
la norma ISO/IEC 27005 [4], la cual procura aportar contribuciones fundamentales para el bienestar y
seguridad de toda organización. Esta Guía establece un proceso continuo que permite a la organización
implementar controles efectivos para mitigar los riesgos de seguridad. Esta práctica general se basa en
normas aceptadas por la industria para la gestión de los riesgos de seguridad e incorpora las primeras tres
fases del proceso de gestión de riesgos descritas con anterioridad.
Document1 16.02.20 27
Segunda fase: Alternativas de tratamiento de riesgos
Durante esta fase, se determina la forma en que se abordarán los principales riesgos de la manera más
efectiva y eficaz en función de los costos. Las soluciones de control a implementarse se definen después
de una evaluación de todos los controles recomendados, costos estimados, y los niveles de reducción de
riesgo son medidos. El resultado de esta fase es un plan claro y aplicable para controlar o aceptar cada
uno de los principales riesgos identificados durante la fase de evaluación de riesgos.
Durante esta fase, se desarrollan y ejecutan planes basados en las soluciones de control que emergieron
durante el proceso de apoyo de decisiones para medir la eficacia del programa. Cuando las fases
anteriores del proceso de gestión de riesgos de seguridad concluyen, las organizaciones evalúan el
progreso logrado con respecto a la gestión de riesgos de seguridad en su totalidad.
Los siguientes diagramas de flujo (de la ISO/IEC 27005) ilustran las fases descritas anteriormente para la
gestión de riesgos de seguridad.
Document1 16.02.20 28
Figura 1. Proceso de gestión de riesgos (ISO/IEC 27005)
Por último, los aspectos clave para que la implementación de un programa de gestión de riesgos de
seguridad tenga éxito se basarán en:
4 Resumen
Esta contribución proporciona aportes sobre la gestión de riesgos de seguridad para la Carpeta Técnica
sobre Seguridad Cibernética. Proporciona una descripción detallada del proceso por medio del cual puede
llevarse a cabo la gestión de riesgos. Se examinan dos modelos: la “Guía de gestión de riesgos de los
sistemas de tecnología de la información - NIST SP 800-30” y la norma ISO/IEC 27005:2008, “Tecnología
de la información – Técnicas de seguridad – Gestión de riesgos de la seguridad de la información”.
Se recomienda que el Relator sobre Seguridad Cibernética del Grupo de Trabajo sobre consideraciones de
Política y Regulación considere incorporar esta contribución en el capítulo 3 de la Carpeta Técnica sobre
Seguridad Cibernética.
Document1 16.02.20 29
5 Referencias
2. Gestión de riesgos de seguridad cibernética: Una perspectiva económica, Dr. Lawrence Gordon,
http://www.rhsmith.umd.edu/faculty/lgordon/cybersecurity/CYBERSECURITY%20RISK%20MANAGEME
NT.AN%20ECONOMICS%20PERSPECTIVE.ppt
6. “Marco para la gestión de riesgos”, Cigital Inc., patrocinado la División Nacional de Seguridad
Cibernética del Departamento de Seguridad Interna de los Estados Unidos, 2005,
https://buildsecurityin.us-cert.gov/daisy/bsi/articles/best-practices/risk/250-BSI.html
Document1 16.02.20 30
Apéndice 1
Referencias
Cumbre Mundial sobre la Sociedad de la Información (CMSI) Túnez, Orden del Día
Informe del Presidente sobre el Taller Temático en Seguridad Cibernética, CMSI, UIT, julio de 2005,
http://www.itu.int/osg/spu/cybersecurity/chairmansreport.pdf
65ª Sesión de la UNGA. Informe del grupo de expertos gubernamentales sobre los avances en el campo
de la información y las telecomunicaciones en el contexto de la seguridad internacional. Doc.
A/65/201. 30 de julio de 2010. http://daccess-dds-
ny.un.org/doc/UNDOC/GEN/N10/469/57/PDF/N1046957.pdf
"Best Practices for National Cybersecurity: Building a National Computer Security Incident Management
Capability". Documento RGQ22-1/1/006-E. Fuente: EE.UU. http://www.itu.int/md/D10-
RGQ22.1.1-C-0006/es.
"Best Practices for National Cybersecurity: Managing a National CSIRT with Critical Success Factors". ITU-
D Doc RGQ 22-1/1/007-E. Abril de 2011. Fuente: EE.UU. http://www.itu.int/md/D10-RGQ22.1.1-
C-0007/es.
"Building a training course on building and managing a CIRT". ITU-D Documento 1/193-E. Agosto de 2012.
http://www.itu.int/md/D10-SG01-C-0193/es.
"Best Practices for Cybersecurity: Public-Private Partnerships". ITU-D Documento 1/100-E. Agosto de
2011. http://www.itu.int/md/D10-SG01-C-0100/es.
Naciones Unidas. Pacto Internacional de Derechos Civiles y Políticos, Artículo 19. Diciembre de 1966.
http://www.ohchr.org/en/professionalinterest/pages/ccpr.aspx
Document1 16.02.20 31
Constitución de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura, Artículo
1.
Comisión de Estudio 17 del UIT-T. "La seguridad de las telecomunicaciones y las tecnologías de la
información". 2012. http://www.itu.int/pub/T-HDB-SEC.05-2011/es
Acrónimos
Document1 16.02.20 32
Apéndice 2
Antecedentes
Una de las características principales de Internet es que no tiene fronteras. Nos permite comunicarnos de
manera instantánea con amigos y familiares alrededor del mundo, realizar transacciones financieras en
cualquier parte del mundo en cuestión de segundos, recibir educación a distancia, trabajar de manera
remota, entre otras tantas aplicaciones. De esta misma forma han surgido nuevas amenazas, nuevas
modalidades delictivas a la par del desarrollo del Internet, así como viejas modalidades delictivas que han
encontrado nuevas formas de ser cometidas a través del uso de las nuevas tecnologías. Estas amenazas
(virus, troyanos, etc.) y estos fraudes (phishing, etc.) pueden ocurrir dentro de las fronteras de un país o
economía, pero en su gran mayoría son transnacionales, tampoco existen fronteras para estos delitos y
amenazas.
Esto nos crea un gran problema legal de jurisdicción que debe ser atendido lo antes posible, a la vez que
obliga la adopción de legislaciones en todos los países que, primero, tipifiquen y castiguen este nuevo tipo
de delito; segundo, que estén armonizadazas (que se tipifiquen los mismos tipos de delitos… si una
conducta es criminal en un país debe serlo en todos); tercero, que contemplen la extraterritorialidad para
que de tal forma cualquier país pueda juzgar a una persona por un hecho cometido o que el alcance de la
ley tenga sus efectos en otro, en caso de que la extradición no sea posible o factible.
2
Fuente: XVII.CCP.I-TEL/doc. 787/06
Document1 16.02.20 33
Otra necesidad es la de crear Equipos de Respuesta a Incidentes de Seguridad en Computadoras (CSIRT)
locales que estén en capacidad ante un evento cibernético generalizado de:
• Notificar a otros miembros de las comunidades de Internet y de seguridad sobre los potenciales
problemas,
• Rastrear y hacer un seguimiento de esta información para determinar las tendencias y estrategias
correctivas a largo plazo.
La República Dominicana ha ido realizado avances en cuanto al marco regulatorio en torno a la seguridad
cibernética, incluyendo:
la elaboración y sometimiento al Congreso Nacional del Proyecto de Ley Contra Crímenes y Delitos
de Alta Tecnología, y
Como parte de las iniciativas para el fomento del desarrollo de una cultura de seguridad cibernética en
República Dominicana, también se han encaminado los pasos en torno a la creación de una comisión
dedicada a la Seguridad Cibernética, como una entidad que forma parte de la Comisión Nacional para la
Sociedad de la Información y el Conocimiento (CNSIC) de la RD, además de la creación de un equipo de
respuesta a incidentes informáticos (CSIRT), dependiente del Instituto Dominicano de las
Telecomunicaciones (INDOTEL), con el apoyo de la Comisión Interamericana Contra el Terrorismo (CICTE).
Infraestructuras críticas son aquellos servicios y funciones de soporte esenciales que son necesarios para
asegurar el funcionamiento de un gobierno o una economía.
Document1 16.02.20 34
Se incluyen, por ejemplo, las telecomunicaciones, los sistemas críticos de información gubernamental,
suministros de agua y alimentos, transporte, generación de energía y electricidad, producción de gas y
petróleo, sistemas bancarios y financieros y servicios de salud y emergencias.
- Transporte
- Servicios gubernamentales
- Energía
- Agua
- Salud pública
- Servicios de emergencia
- Telecomunicaciones
- Agricultura
- Alimentos
- Industria química
La Internet puede poner en peligro valiosos bienes del gobierno y de las empresas. Por ejemplo, los
intrusos pueden acceder a información de los clientes, la información financiera, la propiedad intelectual
y los planes estratégicos pueden estar en riesgo, el uso generalizado de bases de datos pone en peligro la
privacidad de los individuos, el mayor uso de las computadoras en aplicaciones de seguridad crítica,
Document1 16.02.20 35
incluido el almacenamiento y procesamiento de registros médicos, aumenta las posibilidades de que un
accidente o un ataque al sistema informático tenga como consecuencia la pérdida de vidas humanas.
La Internet misma se ha convertido en una infraestructura crítica que debe ser protegida. Esta continúa
expandiéndose y existe un continuo movimiento hacia las configuraciones distribuidas y heterogéneas de
cliente-servidor. La tecnología distribuida suele tener también una gestión distribuida.
Cada día dependemos más de Internet. Desafortunadamente, en este entorno dinámico, distribuido e
interconectado, los ataques cibernéticos ocurren rápidamente y pueden expandirse por todo el mundo
en cuestión de minutos, independientemente de las fronteras, la geografía o las jurisdicciones nacionales.
Como resultado, existe una creciente necesidad de poder comunicar, coordinar, analizar y responder a
estos ataques en todos los países y sectores empresariales.
- Fomentar la adopción de legislaciones en cada uno de los países miembros que tipifiquen y
castiguen los delitos cibernéticos.
- Armonizar la tipificación de estos delitos para que todos los países miembros criminalicen el
mismo tipo de conductas.
- Fomentar la creación de unidades de investigación de delitos cibernéticos en los países que no las
tengan.
Por tanto, y en vista de la necesidad de fomentar un clima de confianza que fortalezca la seguridad
cibernética y el uso de las redes en el país, considerando la seguridad de la información, la autentificación,
la privacidad y la protección de los consumidores una necesidad en esta Era Digital, República Dominicana
ha elaborado un marco regulatorio que incluye lo siguiente:
Ley 126-02 sobre Comercio Electrónico, Documentos y Firmas Digitales (4 de septiembre de 2002)
Document1 16.02.20 36
Norma sobre Políticas y Procedimientos de Certificación (30 de enero 2004)
Norma sobre Publicidad y Difusión de Información por los Sujetos Regulados (16 de marzo 2006)
Norma sobre la Protección de Datos de Carácter Personal por los Sujetos Regulados (23 de marzo
2006)
Finalmente, a la fecha se han elaborado, pero aún se encuentran en espera de aprobación, las siguientes
normas:
La República Dominicana se inscribe con las demás iniciativas que persigan el propósito de reducir las
amenazas y vulnerabilidades a las cuales somos objetos en el ciberespacio día tras día.
Document1 16.02.20 37
Capítulo 2: República Bolivariana de Venezuela
La Ley sobre Protección a la Privacidad de las Telecomunicaciones fue publicada en Gaceta Oficial de la
República Bolivariana de Venezuela N° 34.863 en fecha 16 de diciembre de 1991, y tiene como objetivo
proteger la privacidad, confidencialidad, inviolabilidad y secreto de las comunicaciones que se produzcan
entre dos o más personas.
Document1 16.02.20 38
Sin estar autorizados conforme a esa misma Ley instale aparatos o instrumentos con el fin de
grabar o impedir las comunicaciones entre personas;
Así mismo, en Venezuela se cuenta a nivel sublegal con la Providencia Administrativa contentiva de las
normas relativas al requerimiento de información en el servicio de telefonía móvil, dictada por CONATEL
y publicada en Gaceta Oficial de la República Bolivariana de Venezuela N° 38.157, de fecha 1 de abril de
2005, la cual tiene por objeto establecer las normas relativas al requerimiento de los datos personales de
los abonados del servicio de telefonía móvil por parte de los operadores del servicio, en la suscripción de
los contratos de servicio respectivos, así como las normas relativas al suministro de información por parte
de los operadores del servicio de telefonía móvil a los órganos de seguridad del Estado, con ocasión de
una investigación penal.
En cuanto a la Ley sobre Mensajes de Datos y Firmas Electrónicas, publicado en Gaceta Oficial N° 37.148
de fecha 28 de febrero de 2001, esta tiene por objeto otorgar y reconocer la eficacia y valor jurídico a la
Firma Electrónica, al Mensaje de Datos y a toda información inteligible en formato electrónico,
independientemente de su soporte material, atribuible a personas naturales o jurídicas, públicas o
Document1 16.02.20 39
privadas, así como regular lo relativo a los Proveedores de Servicios de Certificación y los Certificados
Electrónicos.
La Ley sobre Mensajes de Datos y Firmas Electrónicas es aplicable a los Mensajes de Datos y Firmas
Electrónicas independientemente de sus características tecnológicas o de los desarrollos tecnológicos que
se produzcan en un futuro. A tal efecto, sus normas serán desarrolladas e interpretadas progresivamente,
orientadas a reconocer la validez y eficacia probatoria de los Mensajes de Datos y Firmas Electrónicas.
Mediante la Ley sobre Mensajes de Datos y Firmas Electrónicas, se crea la Superintendencia de Servicios
de Certificación Electrónica, SUSCERTE, como un servicio autárquico con autonomía presupuestaria,
administrativa, financiera y de gestión, en las materias de su competencia, dependiente del Ministerio de
Ciencia y Tecnología. Esta Superintendencia es responsable de acreditar, supervisar y controlar, en los
términos previstos en este Decreto-Ley y sus reglamentos, a los Proveedores de Servicios de Certificación
públicos o privados.
Verificar que los Proveedores de Servicios de Certificación cumplan con los requisitos indicados
en la Ley sobre Mensajes de Datos y Firmas Electrónicas.
Actuar como mediador en la solución de conflictos que se susciten entre los Proveedores de
Servicios de Certificados y sus usuarios.
En relación a la Ley Especial contra Delitos Informáticos, esta fue publicada en Gaceta Oficial de la
República Bolivariana de Venezuela N° 37.313 de fecha 30 de octubre de 2001, la cual tiene por objeto la
protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y
Document1 16.02.20 40
sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos
mediante el uso de dichas tecnologías. Esta Ley tipifica los siguientes delitos:
Actualmente la seguridad informática ha tomado gran auge, dadas las cambiantes condiciones y nuevas
plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto
nuevos horizontes para explorar más allá de las fronteras nacionales, situación que ha llevado la aparición
de nuevas amenazas en los sistemas computarizados.
En este sentido, las políticas sobre seguridad cibernética provienen de la Superintendencia de Servicios
de Certificación Electrónica (SUSCERTE) en tanto que es una entidad que ayuda a despertar la conciencia
entre los miembros de una organización sobre la importancia y la confidencialidad de la información.
De acuerdo con lo anterior, fue publicado en Gaceta Oficial No. 345.394 de fecha 6 de abril de 2006, La
Ley Orgánica de la Administración Pública en concordancia con la Ley Orgánica de Ciencia, Tecnología e
Innovación, considera que el Ministerio de Ciencia y Tecnología debe establecer políticas para el mejor
uso, protección y conservación de la información que se procesa y almacena en los equipos de
computación del Estado donde las Políticas de Seguridad Informática estarán dirigidas a implementar
controles necesarios que sirvan para preservar la operatividad y continuidad en los Órganos y Entes de la
Administración Pública Nacional.
Document1 16.02.20 41
que van más allá de esta norma de debido cuidado, porque proporcionan un nivel más riguroso de
seguridad.
Si bien no existe en la actualidad una norma mundial que defina las políticas específicas de seguridad
informática. El más cercano es el documento número 17799 de la Organización Internacional de Normas
y Estándares (ISO), el cual define un esquema y proporciona orientación de alto nivel sobre políticas de
seguridad informática. Las políticas de este manual están organizadas sobre la base del esquema ISO
17799. Dada la rapidez de significativos desarrollos en las áreas legales, empresariales estatales e
informáticas, todavía mucha gente se pregunta si alguna vez tendremos un conjunto específico de
políticas normalizadas a nivel internacional.
Capítulo 3: Argentina
Introducción
Uno de los temas de discusión permanente, no solo en la región sino también a nivel mundial es la
seguridad de la RED. Cada país desarrolla su propia política de seguridad de acuerdo a las características
y tipos de problemas que afrontan.
Si bien existen diferentes normas y protocolos internacionalmente aceptados e instituciones que lideran
estas tareas, como por ejemplo la Universidad de Carnegie Mellon en Estados Unidos, las acciones
llevadas a cabo por los gobiernos, en forma directa o a través de sus administraciones, no suelen ser
suficientes para paliar el impacto de los diferentes ataques en cualquiera de las modalidades conocidas.
Document1 16.02.20 42
acciones, tiene vinculación con otras entidades públicas y el sector privado brindando apoyo en la
resolución de problemas.
Dentro de este contexto – CABASE – “Cámara Argentina de Bases de Datos y Servicios en Línea” dado este
nombre por ser una cámara cuya existencia es anterior a la Red, hoy se sitúa como la Cámara de Internet
de Argentina. Esta misma institución administra el NAP nacional (Network Access Point), primer NAP
independiente y sin fines de lucro de la región. Dentro de estas actividades que hacen al desarrollo de
Internet en la Argentina, CABASE impulsa permanentemente tanto en el país, como a través de su
participación en los foros internacionales donde tiene participación activa y permanente, proyectos que
permitan el crecimiento armónico de Internet y conjuntamente con la disminución de la brecha digital. En
este contexto, se tomó la decisión de crear un CSIRT, es decir, un Equipo de Respuesta a Incidentes de
Seguridad Informática, con el fin de dotar al sector privado, académico y a la sociedad en su conjunto, de
una institución que atienda los incidentes de seguridad y articule la colaboración entre el sector público y
el sector privado, actuando asimismo, como ente colaborador del ArCERT.
Este informe tiene como objetivo la difusión de estas actividades en la región y lograr que otras
organizaciones en diferentes países que todavía no han avanzado en la resolución de los problemas de la
Red , puedan definir proyectos en este sentido. Según los datos de Carnegie Mellon solo siete países de
la región tienen algún tipo de CERT, lo que demuestra la necesidad de acciones por parte de todos los
actores en esta problemática para modificar esta situación.
Document1 16.02.20 43
Resumen ejecutivo
A mediados del año 2008, se tomo la decisión de comenzar un proyecto denominado “CSIRT- CABASE”
con el objeto de brindar apoyo en temas relativos a seguridad informática a las empresas del sector y a la
sociedad en general.
En tal sentido, se busca crear un canal de comunicación seguro, permanente y confiable con los usuarios
de Internet que permita mantenerlos informados sobre los diferentes tipos de ataques, virus, gusanos,
fishing, etc, que se suceden en la Red y las soluciones disponibles, actuando para ello como centralizador
de reportes y repositorio de información. Asimismo, se busca desarrollar actividades de capacitación que
ayuden a incrementar los niveles de seguridad de las distintas redes, de acuerdo a las mejores prácticas
que se vayan desarrollando.
Es importante destacar el marco legal en el que se desarrolló dicho proyecto tomando en cuenta el marco
regulatorio nacional actual y dando a conocer las experiencias de otros países a nivel internacional
Cronología
Este Proyecto se dividió en Cuatro Etapas perfectamente definidas en función de la implementación del
mismo y de los servicios a prestar en cada una.
La Primera Etapa denominada “Definición del Proyecto” tuvo una duración de 240 días, finalizando el 15
marzo del corriente año. Cada Etapa siguiente (Segunda, Tercera y Cuarta) tienen una duración de seis
meses cada una. La segunda comenzó el 16 de marzo de este año y comprende, además de los objetivos
detallados y el plan respectivo, la evaluación de la etapa anterior y sus eventuales correcciones, si las
hubiera, así como el dimensionamiento de los servicios a prestar.
Principales funciones
- Mantener una base de datos de vulnerabilidades de seguridad con el objetivo de que sirva para consulta,
seguimiento, y registro histórico, además de contener toda la información pertinente sobre las
Document1 16.02.20 44
vulnerabilidades, plataformas a las que afectan y cuál es su mecanismo de prevención. La base de datos
incluye una indicación del grado de amenaza, de acuerdo a una métrica basada en normas (ISO TR 13335
- ISO/IEC 27005), lo que permite a quienes la consultan, tomar decisiones sobre la urgencia con que deben
actuar en sus sistemas a fin de lograr un cronograma de actualizaciones de seguridad eficiente y adecuado
a la dinámica de trabajo de cada organización. Las empresas asociadas, además de tener libre acceso a
esta base de datos, podrán acceder a un servicio personalizado a través del cual se les informará a las
personas que ellos indiquen, únicamente sobre las vulnerabilidades que afecten a las plataformas que
ellas tengan instaladas. Habrá una versión reducida de esta base que estará disponible para el público en
general, que contendrá información resumida de las vulnerabilidades de mayor relevancia para la
comunidad informática en general.
- Mantener una base de datos de incidentes de seguridad ocurridos en las organizaciones asociadas, con
el objetivo de brindar el nivel de ayuda que soliciten para dar respuesta a los mismos, generar acciones
que permitan evitar la repetición de la situación y funcionar como repositorio de información compartido
que permita aumentar el nivel de seguridad de la “comunidad CSIRT-CABASE” formada por los asociados.
Esta base sólo estará a disposición del público en general en forma de resultados anónimos, la cual
cumplirá los más altos grados de seguridad y no permitirá identificar a la organización que experimentó
un determinado incidente.
- Promover la coordinación entre las organizaciones asociadas para la prevención, detección, manejo y
recuperación de incidentes de seguridad a partir del cumplimiento de la función de repositorio de
información sobre incidentes de seguridad, herramientas y contramedidas.
- Brindar capacitación a las áreas relacionadas con la seguridad de la información de las organizaciones
asociadas.
- Establecer contactos con otros centro de respuestas a incidentes del mundo, así como con las
organizaciones que los mismos agrupan, a fin de mantener un intercambio de información que aumente
el alcance de los conocimientos generados por el análisis de los incidentes locales, pero siempre
manteniendo el anonimato de las organizaciones que los sufrieron.
Alcance
Document1 16.02.20 45
CSIRT-CABASE cumple funciones de naturaleza eminentemente técnica y no investigará el origen de
ataques ni quiénes son sus responsables.
CSIRT CABASE mantendrá absoluta confidencialidad sobre las organizaciones implicados en los incidentes
de seguridad y sólo divulgará información de forma estadística, sobre la que no será posible individualizar
el origen de los incidentes.
CSIRT CABASE analizará los sistemas de las organizaciones, asociadas o no, sólo cuando estas lo soliciten
expresamente y como contratación de un servicio sobre el que se firmarán los correspondientes acuerdos
de confidencialidad y el contrato de servicio.
Servicios
Los servicios que ofrece CSIRT – CABASE comenzarán a estar disponibles en diferentes etapas de las cuales
la primera está prevista para el 15 de junio de 2009 y, siguiendo la estructura establecida para los CSIRT,
se clasifican en tres categorías:
Document1 16.02.20 46
visión, experiencia e independencia del CSIRT-CABASE, como ente referencial que posee el conocimiento
específico de la realidad de la seguridad de la información en el país y bajo el marco legal, regulatorio y
normativo local.
Etapa 2
Alertas y advertencias
Este servicio incluye la difusión de información sobre formas de ataque, vulnerabilidades detectadas en
diferentes plataformas, virus y malware (software malintencionado) en general, y recomendaciones para
prevenir los problemas específicos. Cada alerta y advertencia está clasificada según su grado de criticidad
a través de una métrica de riesgo basada en normas (ISO TR 13335 - ISO/IEC 27005). Este servicio consiste
en cinco aplicaciones básicas:
- Jefes y Supervisores de Seguridad: tendrán una lista de referencia específica de las actualizaciones que
deberían realizar y un índice de criticidad de riesgo proveniente de una métrica basada en normas que
permitirá establecer la urgencia de la actualización en su sistema en particular.
- Gerentes de Seguridad o CIO’s: tendrán una referencia para determinar lo que deben controlar en cuanto
al cumplimiento de las actualizaciones.
- Auditoría Interna: tendrá una referencia para verificar el cumplimiento de las actualizaciones.
- Auditorías Externas: se les podrá presentar un mecanismo concreto de información para la toma de
decisiones de puesta al día de las actualizaciones de seguridad.
- Área de Legales: contará con un recurso en forma de servicio de referencia, que podrá utilizar para
manejar problemas relacionados con la responsabilidad dirigida del área de sistemas y tecnología.
Document1 16.02.20 47
La organización asociada recibirá las alertas y advertencias específicas para las plataformas que tiene
instaladas y dirigidas a quienes determine.
Monitoreo tecnológico
CSIRT-CABASE monitorea y observa los nuevos desarrollos tecnológicos, las actividades de los intrusos, y
las tendencias relacionadas para ayudar a identificar amenazas futuras. Los temas analizados incluyen
disposiciones legales, amenazas sociales o políticas, y tecnologías emergentes. Este servicio se basa en la
lectura de listas de correos de seguridad, sitios web de seguridad, y noticias y artículos periodísticos
actuales en el campo de la ciencia, la tecnología, la política y el gobierno, para extraer información
relevante para la seguridad de los sistemas y las infraestructuras críticas de las organizaciones asociadas.
Los resultados de este servicio son anuncios, instrucciones, o recomendaciones.
Etapa 3
Manejo de vulnerabilidades
Análisis de vulnerabilidades
Análisis de artefactos
CSIRT-CABASE lleva a cabo un examen y análisis técnico de cualquier artefacto encontrado en un sistema.
El análisis incluye el tipo de archivo y estructura del artefacto, compara un nuevo artefacto con otros
existentes u otras versiones del mismo para detectar similitudes y diferencias, o aplica la ingeniería
reversa o desensamble del código para determinar su fin o función.
Document1 16.02.20 48
Análisis de riesgo
CSIRT-CABASE tiene capacidad para agregar valor al análisis y evaluación de riesgos. Esto puede mejorar
la habilidad de la organización para evaluar amenazas reales, para proveer evaluaciones cualitativas y
cuantitativas realistas de los riesgos de los activos de información, y para evaluar las estrategias de
protección y respuesta. CSIRT-CABASE puede guiar o asistir en las actividades de análisis de riesgo de
seguridad de la información para nuevos sistemas y procesos de empresas o para evaluar amenazas y
ataques contra los activos y sistemas de las organizaciones asociadas.
Cada vez más incidentes tienen el potencial de provocar una degradación seria de las operaciones del
negocio en base a eventos pasados y predicciones futuras de un incidente emergente o tendencias de
seguridad. Por lo tanto, las tareas de planificación deben considerar la experiencia y recomendaciones del
CSIRT para determinar cómo responder mejor a tales incidentes y, en consecuencia, asegurar la
continuidad de las operaciones del negocio. CSIRT-CABASE puede participar en la planificación de la
continuidad del negocio y de la recuperación de desastres para eventos relacionados con amenazas y
ataques a la seguridad informática.
Consultoría en seguridad
CSIRT-CABASE brinda asesoramiento sobre las mejores prácticas de seguridad a ser implementadas en las
operaciones comerciales de las organizaciones asociadas. El servicio consta de la preparación de las
recomendaciones y de la identificación de los requerimientos para compra, instalación o aseguramiento
de los nuevos sistemas, dispositivos de red, aplicaciones de software o procesos comerciales. Este servicio
incluye la provisión de asesoramiento y asistencia en el desarrollo de políticas de seguridad de la
organización asociada. También puede abarcar la provisión de pruebas o asesoramiento a cuerpos de
gobierno legislativos u otros.
Concientización
CSIRT-CABASE tiene la capacidad de identificar las áreas en que las organizaciones asociadas requieren
más información y asesoramiento a fin de cumplir mejor con las prácticas y políticas de seguridad
aceptadas. Acrecentando la concientización sobre la seguridad del personal de las organizaciones
asociadas no sólo se mejora la comprensión de los temas de seguridad, sino también se los ayuda a realizar
sus operaciones diarias en una forma más segura. Esto puede reducir los casos de ataques exitosos e
incrementar la probabilidad de que los destinatarios del servicio detecten e informen ataques, reduciendo
Document1 16.02.20 49
así los tiempos de recuperación y eliminando o minimizando las pérdidas. El CSIRT incrementa la
concientización sobre la seguridad a través del desarrollo de artículos, boletines, su sitio web, u otros
recursos de información que explican las mejores prácticas de seguridad y ofrecen consejos sobre las
precauciones a tomar. Las actividades incluyen la programación de reuniones y seminarios para mantener
al personal de las organizaciones asociadas actualizado en cuanto a los procedimientos de seguridad en
marcha y a las amenazas potenciales a los sistemas.
Educación/capacitación
Este servicio incluye suministrar información al personal de las organizaciones asociadas acerca de temas
relacionados con la seguridad de la información a través de seminarios, talleres, cursos y clases. Los temas
incluyen pautas para informar incidentes, métodos de respuesta apropiados, herramientas de respuesta
a incidentes, preservación de evidencia digital, métodos de prevención de incidentes, y otra información
necesaria para proteger, detectar, informar y responder a incidentes de seguridad.
Etapa 4
Manejo de Incidentes
Llevar a cabo acciones para proteger los sistemas y redes afectados o amenazados por la acción
de un intruso.
Document1 16.02.20 50
Buscar actividades del intruso en otras partes de la red.
Análisis de incidentes
Existen varios niveles de análisis de incidentes y de servicios. El análisis de un incidente implica un análisis
de la información disponible y la evidencia que la sustenta o de los artefactos relacionados con un
incidente o evento. El propósito del análisis es identificar el alcance del incidente, el grado de daño
causado, la naturaleza y las estrategias de respuesta o soluciones alternativas disponibles. CSIRT-CABASE
puede utilizar los resultados de análisis de vulnerabilidades y artefactos para comprender y proporcionar
un análisis más completo y actualizado de lo ocurrido en un sistema específico. CSIRT- CABASE
correlaciona la actividad a través de incidentes para determinar cualquier interrelación, tendencias,
patrones o rastros de intrusos. Dos subservicios que se pueden brindar como parte del análisis de
incidentes son:
Seguimiento o Rastreo: rastreo de los orígenes de un intruso o del sistema de identificación al cual el
intruso tuvo acceso. Esta actividad podría consistir en rastrear o efectuar el seguimiento de cómo el
intruso entró en el sistema afectado y las redes relacionadas, qué sistemas fueron usados para lograr ese
acceso, dónde se originó el ataque, y qué otros sistemas y redes fueron usados como parte del ataque.
También podría incluir tratar de determinar la identidad del intruso. Este trabajo podría ser realizado de
manera autónoma, pero generalmente implica trabajar con el personal auxiliar de la justicia, los
proveedores de servicio de Internet, u otras organizaciones involucradas.
Document1 16.02.20 51
Respuesta a incidentes en el lugar
CSIRT-CABASE provee asistencia directa en el lugar para ayudar a los destinatarios del servicio a
recuperarse de un incidente. CSIRT-CABASE analiza físicamente los sistemas afectados y conduce la
reparación y recuperación de los sistemas, en lugar de proveer sólo un soporte de respuesta a incidentes
por teléfono o correo electrónico (ver debajo). Este servicio abarca todas las acciones tomadas localmente
que son necesarias si se sospecha de u ocurre un incidente.
CSIRT-CABASE asiste y guía a la(s) víctima(s) de un ataque para recuperarse del incidente vía telefónica,
correo electrónico, fax u otro mecanismo de comunicación disponible. Esto puede abarcar asistencia
técnica en la interpretación de los datos reunidos, provisión de información de contacto o un
asesoramiento sobre mitigación y estrategias de recuperación. No involucra acciones directas de
respuesta a incidentes en el lugar como las descriptas arriba.
Document1 16.02.20 52
Coordinación de respuesta a incidentes
CSIRT-CABASE coordina la tarea de respuesta entre las partes involucradas en el incidente. Esto
generalmente incluye a la víctima del ataque, a otros sitios involucrados en el ataque, y a cualquier sitio
que requiera asistencia en el análisis del ataque. Esto también puede incluir las partes involucradas que
proveen soporte IT a la víctima, tales como el proveedor de servicio de Internet, otros centros de
respuesta, y administradores de redes y sistemas del lugar. El trabajo de coordinación puede abarcar
actividades como: reunir información del contacto, notificar sitios acerca de su potencial participación
(como víctimas o fuente de un ataque), reunir estadísticas acerca de la cantidad de sitios involucrados, y
facilitar el intercambio y análisis de información. Parte del trabajo de coordinación puede implicar la
notificación y colaboración con un asesor legal de la organización, departamentos de recursos humanos
o relaciones públicas. También podría incluir coordinación con órganos de aplicación de la ley. Este
servicio no implica respuesta al incidente en el lugar.
Respuesta a vulnerabilidades
Este servicio implica determinar la respuesta apropiada para mitigar o reparar una vulnerabilidad. Esto
puede incluir desarrollar o investigar parches, reparaciones y soluciones alternativas (workarounds).
También abarca notificar a otros sobre la estrategia de mitigación, posiblemente creando y distribuyendo
asesoramiento y alertas. Este servicio puede incluir llevar a cabo la respuesta mediante la implementación
de de parches, reparaciones (fixes) o soluciones alternativas (workarounds).
Manejo de artefactos
Un artefacto es cualquier archivo u objeto encontrado en un sistema que podría estar destinado a
investigar o atacar sistemas y redes o que está siendo usado para violar las medidas de seguridad. Los
artefactos pueden incluir - pero no están limitados a - virus de computadora, programas Troyanos,
gusanos, “exploit scripts”, y “toolkits”. El manejo de un artefacto implica obtener información acerca del
Document1 16.02.20 53
mismo y copias de los utilizados en los ataques de intrusos, reconocimiento, y otras actividades no
autorizadas o perjudiciales. Una vez recibido, el artefacto es revisado. Esto incluye el análisis de la
naturaleza, mecanismos, versión y uso de los artefactos; y el desarrollo (o la proposición) de estrategias
de respuesta para detectar, eliminar y defenderse contra éstos.
Respuesta a artefactos
Este servicio implica la determinación de las acciones apropiadas para detectar y eliminar los artefactos
de un sistema, como así también prevenir que se instalen los mismos. Esto puede implicar la creación de
firmas que pueden ser agregadas a un software antivirus o IDS.
Este servicio implica compartir y sintetizar los resultados del análisis y estrategias de respuesta
relacionadas con un artefacto con otros investigadores, centros de respuesta a incidentes, proveedores,
y otros expertos de seguridad. Las actividades incluyen notificar a otros y sintetizar los análisis técnicos
de una variedad de fuentes. Las actividades también pueden incluir mantener un archivo público o
solamente para miembros del área de cobertura, de los artefactos conocidos, su impacto y las estrategias
de respuesta apropiadas.
Este servicio ofrece una revisión y análisis detallados de la infraestructura de seguridad de la organización,
basados en los requerimientos definidos por la organización o por otras normas aplicables de la industria.
También puede incluir una revisión de las prácticas de seguridad de la organización. Hay varios tipos
diferentes de auditorias o evaluaciones que se pueden ofrecer, incluyendo:
Revisión de la infraestructura
Revisión manual de las configuraciones del hardware y software, routers, cortafuegos (firewalls),
servidores, y servicios de escritorio para asegurar que cumplan con las mejores prácticas de las políticas
de seguridad y configuraciones normalizadas para la organización o la industria.
Document1 16.02.20 54
Escaneo
Uso de detectores de vulnerabilidad o virus para determinar qué sistemas y redes son vulnerables.
Prueba de penetración
Prueba de la seguridad de un sitio mediante el ataque deliberado de sus sistemas y redes.
Este servicio identifica o provee el asesoramiento adecuado sobre cómo configurar y mantener en forma
segura las herramientas, aplicaciones y la infraestructura informática general utilizada por una
organización asociada a CSIRT-CABASE o al mismo CSIRT-CABASE. Además de proveer asesoramiento, el
CSIRT-CABASE puede realizar actualizaciones de configuración y mantenimiento de las herramientas y
servicios de seguridad, tales como, escaneo de red o sistemas de monitoreo, filtros, “wrappers”, firewalls,
redes privadas virtuales (VPN), o mecanismos de autenticación. CSIRT-CABASE puede también configurar
y mantener servidores, desktops, laptops, asistentes digitales personales (PDAs), y otros dispositivos
inalámbricos de acuerdo con las pautas de seguridad. Este servicio incluye el planteo a la gerencia de
cualquier tema o problema con las configuraciones o el uso de las herramientas y aplicaciones que el
CSIRT-CABASE cree que podrían dejar al sistema vulnerable a un ataque.
Este servicio incluye el desarrollo de cualquier herramienta nueva específica del destinatario del servicio
que sea requerida o deseada por las organizaciones asociadas o por el mismo CSIRT-CABASE. Esto puede
incluir, por ejemplo, el desarrollo de parches de seguridad a medida para software utilizado por miembros
del área de cobertura o distribuciones de software aseguradas que pueden ser utilizadas para rearmar las
computadoras comprometidas. Esto también puede incluir el desarrollo de herramientas o scripts que
extienden la funcionalidad de las herramientas de seguridad existentes, tales como un nuevo plug-in para
Document1 16.02.20 55
una vulnerabilidad o scanner de red, scripts que facilitan el uso de tecnología de encriptado, o mecanismos
automáticos de distribución de parches.
CSIRT-CABASE llevará a cabo este servicio por medio de revisión de los registros de IDSs existentes,
analizando e iniciando una respuesta para cualquier evento que cumpla con sus condiciones de umbral, o
enviando una alerta según el acuerdo de servicio o estrategia de alcance predefinidos.
CONCLUSIONES
Si bien es un proyecto definido para Argentina, creemos que el mismo puede ser también reproducido en
otros países con la variante de cada caso. Si bien en este documento no se explaya en lo referente a la
promoción de los servicios este es un elemento importante del Proyecto, dado que esta tarea es la le
quedaría sustentabilidad y visibilidad al mismo.
Las entidades sin fines de lucro, CABASE en este caso, deben tener en cuenta que un buen proyecto sin
los recursos necesarios para llevarlo a cabo de manera sustentable en el tiempo se torna inviable, además
de convertirse en un elemento negativo de futuras evaluaciones tanto de la entidad como de proyectos.
Teniendo en cuenta esto, se ha preparado un plan de negocios que cumpla con las expectativas antes
mencionadas y dentro del marco de una institución como CABASE.
http://www.cabase.org.ar
http://www.cert.org/
http://www.arcert.gov.ar/
http://www.cmu.edu
http://sgp.gov.ar
Document1 16.02.20 56