Carpeta Técnica “Seguridad Cibernética”

Comisión Interamericana de
Telecomunicaciones
(CITEL)

Carpeta 4 - Octubre 2013

Referencias: P1!T-1897/09, 2266/10, 3113/14

CITEL

Comisión Interamericana de Telecomunicaciones

1889 F St.NW #1020

Washington, DC
Estados Unidos

http://citel.oas.org

Para mayor información, por favor dirigirse a:

Marian Gordon

Relatora sobre Seguridad Cibernética y Protección de la Infraestructura Crítica

Tel:+1 (202) 647-0197

Correo electrónico: gordonmr@state.gov

Secretario Ejecutivo de la CITEL

Tel: +1 202 458 3004

Fax: +1 202 458 6854

Document1 16.02.20 i
Seguridad Cibernética

Correo electrónico: citel@oas.org

© CITEL, octubre 2013

Reservados todos los derechos. No podrá reproducirse o utilizarse el presente documento ni parte del
mismo de cualquier forma ni por cualquier procedimiento, electrónico o mecánico, comprendidas la
fotocopia y la grabación en micropelícula, sin autorización escrita de la CITEL.

CARPETA TÉCNICA1

Una Carpeta Técnica proveerá una manera formal de mantener una ficha sobre la información técnica de
proyectos que será puesta a disposición de la industria de las telecomunicaciones en los Estados
miembros.

CITEL utiliza dichas Carpetas Técnicas para:

a) Publicar información técnica para la caracterización de redes o funcionalidad de servicios

para servicios nuevos o existentes.

1
CCP.I/RES. 142 (XV-01)

Document1 16.02.20 ii
Seguridad Cibernética

b) Describir o informar sobre la situación de un proyecto en estudio para el uso presente y

futuro por parte de un Grupo de Trabajo.

c) Publicar los hallazgos de un estudio, una revisión o de una encuesta.

d) Documentar procedimientos, asuntos relacionados a trabajos realizados en conjunto o

asuntos de interconexión que beneficiarían a la industria pero que no son adaptables ni
prácticos como Documento sobre Coordinación de Normas (DCN).
e) Documentar normas, estén terminadas o en elaboración, para servicios nuevos o existentes,
que puedan ser consideradas para convertirlas a futuro en un DCN de acuerdo con los
procedimientos de aprobación del Grupo de Trabajo sobre Tecnología.

Los miembros de CITEL no han aprobado el contenido de este documento.

Document1 16.02.20 iii

 Índice

1. Introducción

1.1 Importancia de las comunicaciones IP para el crecimiento económico nacional y la economía

mundial. (Parte esencial de la infraestructura nacional. Mejora la eficiencia; promueve la circulación
libre de la información; facilita el crecimiento comercial; fomenta las inversiones; etc.)

1.2 Naturaleza de las amenzas para las comunicaciones IP:

1) amenazas internas y externas (países, delincuencia organizada, terroristas, empleados, etc.);

2) objetivos (dislocación de las comunicaciones, ganancia financiera, espionaje, robo (incluso

robo de identidades);

3) formas que pueden tomar estas amenazas (redes robot, software maligno, ataques DDoS,
penetración de cadenas de suministro, ingeniería social, etc.)

4) explotación de vulnerabilidades.

2. Actividades internacionales y regionales para la protección de las redes IP.

2.1 Pronunciamientos de principios generales. Resoluciones UNGA: 55/63 y 56/121 sobre la lucha
contra el uso delictivo de tecnologías de información; 57/239, 58/199 y 64/211 sobre la creación de una
cultura mundial de seguridad cibernética y la protección de infraestructuras críticas de información;
Cumbre Mundial sobre la Sociedad de la Información (CMSI), Declaración de Principios y Orden del Día de
la Fase de Túnez (en particular la línea de acción C5)

2.2 Normas que rigen el comportamiento entre Estados. Grupo de Expertos Gubernamentales del
Comité UNGA 1. Ver el Report of Group of Governmental Experts on Developments in the Field of
Information and Telecommunications in the Context of International Security (Informe de Expertos
Gubernamentales sobre novedades en el campo de la información y las telecomunicaciones en relación
con la seguridad internacional. (Doc. A/65/201 (30 de julio de 2010)).

Document1 16.02.20 1
2.3 Normas para combatir la delincuencia cibernética. (1) Congreso de la ONU sobre la delincuencia,
Oficina de la ONU sobre drogas y delincuencia, Comisión de la ONU sobre delincuencia; (2) Consejo de la
Convención de Europa sobre la delincuencia cibernética (Convención de Budapest); CICTE
(contraterrorismo); REMJA (delincuencia cibernética)

2.4 Programas internacionales para combatir el correo basura (spam). Plan de acción de Londres

2.5 Cooperación internacional en actividades de vigilancia, alerta, respuesta y recuperación. FIRST

e IMPACT

2.6 Consenso mundial respecto del contenido de las comunicaciones/circulación libre de

información/privacidad. Declaración Universal de los Derechos Humanos (Artículo 19) y el Pacto de
Derechos Civiles y Políticos (Artículo 19); Artículo 1 de la Constitución de la UNESCO

2.7 Creación de soluciones técnicas internacionales para la mayor seguridad de las redes.
Comisiones de Estudio 17 y 13 de la UIT; actividades de normalización ISO; actividades del IETF;
organizaciones normalizadoras regionales (p. ej., ATIS, ETSI, 3GPP)

2.8 Programas internacionales para ayudar a los países en desarrollo a mejorar sus programas
nacionales de seguridad cibernética. Orden del día de la UIT sobre la seguridad cibernética mundial;
Programa 2 de la Oficina de Desarrollo de las Telecomunicaciones (BDT) de la UIT; actividades de la
Cuestión 22/1 del UIT-D (Seguridad Cibernética); programa de asistencia para la legislación sobre
ciberdelincuencia del Consejo de Europa.

2.9 Estudios de políticas internacionales relativas a la seguridad cibernética. OECD

3. Actividades nacionales para la mayor protección de las redes IP

3.1 Estrategias nacionales para lograr la seguridad cibernética. Por ejemplo, el Cyberspace Policy
Review (2009) de EE.UU.

3.2 Programas nacionales para una mayor conciencia de los usuarios finales (individuos y empresas
pequeñas y medianas (pymes) en cuanto a sus responsabilidades en materia de ciberseguridad

Document1 16.02.20 2
3.3 Políticas nacionales respecto de asociaciones públicas-privadas

3.4 Leyes nacionales relativas a la ciberdelincuencia; leyes, reglamentos y políticas nacionales

respecto del correo indeseado o basura.

3.5 Programas nacionales de vigilancia, alerta, respuesta y recuperación (CIRT). Por ejemplo,
ejercicios Cyberstorm de EE.UU.

3.6 Programas bilaterales para asistir a países en desarrollo. Por ejemplo, programa del
Departamento de Justicia de EE.UU. para asistir en la redacción de legislación relativa a la
ciberdelincuencia; USTTI

4. Evaluación de riesgos de la seguridad

Apéndice 1

Referencias

Acrónimos

Apéndice 2. Estudios de casos de países

Capítulo 1: República Dominicana

Capítulo 2: República Bolivariana de Venezuela

Capítulo 3: Argentina

Document1 16.02.20 3
 SEGURIDAD CIBERNÉTICA

Alcance:

El fomento de la confianza y la seguridad en el uso de las Tecnologías de la Información y las

Comunicaciones (TIC) es esencial para que la Sociedad de la Información alcance su potencial con respecto
a los beneficios económicos y sociales que ésta puede brindar a nuestros ciudadanos. La interconectividad
cada vez mayor de las redes TIC hace que dichas redes y sus usuarios estén expuestos a un número cada
vez mayor y a una variedad cada vez más amplia de amenazas y vulnerabilidades, y requiere que todos
los participantes de la Sociedad de la Información trabajen conjuntamente en la creación de una cultura
de seguridad cibernética. Los objetivos de esta carpeta técnica son: elaborar instrumentos idóneos para
crear conciencia sobre las responsabilidades y los papeles que deben desempeñar las partes interesadas
con respecto al funcionamiento y uso de las redes TIC en la región; facilitar el examen y evaluación de los
riesgos correspondientes; crear consenso con respecto a las respuestas que son necesarias para garantizar
la seguridad de estas redes; y asistir en la formulación de enfoques y estrategias regionales que
incrementen la seguridad de estas redes y la confianza en las mismas.

1 Introducción

1.1. Importancia de las comunicaciones IP para el crecimiento económico nacional y la economía

mundial.
(Parte esencial de la infraestructura. Mejora la eficiencia; promueve la circulación libre de información;
facilita el crecimiento comercial, fomenta las inversiones; etc.)

1.2 Naturaleza de las amenazas a las comunicaciones IP:

1) amenazas externas e internas (países, delincuencia organizada, terroristas, empleados, etc.);

2) objetivos (dislocación de comunicaciones, ganancia financiera, espionaje, robo (incluso robo

de identidades);

3) formas que toman dichas amenazas (redes robot, software maligno, ataques DDoS,
penetración de cadenas de suministro, ingeniería social, etc.)

4) explotación de vulnerabilidades.

2. Actividades internacionales y regionales para una mayor seguridad de las redes IP.

Document1 16.02.20 4
2.1 Pronunciamientos de principios generales.

Resoluciones UNGA: 55/63 y 56/121 sobre la lucha contra el uso delictivo de tecnologías de
información; 57/239, 58/199 y 64/211 sobre la creación de una cultura mundial de seguridad cibernética
y la protección de infraestructuras críticas de información; Cumbre Mundial sobre la Sociedad de la
Información (CMSI), Declaración de Principios y Orden del Día de la Fase de Túnez (en particular la línea
de acción C5)

2.1.1 Estrategia de seguridad cibernética de la OEA

La OEA ha dispuesto una estrategia integral sobre seguridad cibernética. Dicha estrategia fue inicialmente
descrita en detalle en la resolución “Adopción de una estrategia interamericana integral de seguridad
cibernética: Un enfoque multidimensional y multidisciplinario para la creación de una cultura de seguridad
cibernética”, AG/RES. 2004 (XXXIV-O/04), (Aprobada en la cuarta sesión plenaria del trigésimo cuarto
período ordinario de sesiones de la Asamblea General de la OEA, celebrada el 8 de junio de 2004.

En el marco de la OEA, el CICTE, la CITEL y la REMJA constituyen los pilares fundamentales de la Estrategia
Interamericana de Seguridad Cibernética. Los esfuerzos multidisciplinarios de estos órganos brindan
apoyo al crecimiento, desarrollo y protección de la Internet y los sistemas de información conexos, y
protegen a los usuarios de dichas redes de información. El objetivo de la estrategia es crear y brindar
apoyo a una cultura de seguridad cibernética. Las actividades en curso son (1) coordinación y cooperación
entre las Secretarías del CICTE, la CITEL y la REMJA, y (2) refuerzo de la coordinación entre las autoridades
nacionales y las entidades, incluyendo los CSIRT nacionales, que intervienen en el debate de las cuestiones
relativas a la seguridad cibernética.

2.1.2 Cumbre Mundial sobre la Sociedad de Información

En 2001, el Consejo de la UIT decidió celebrar la Cumbre Mundial sobre la Sociedad de la Información
(CMSI). La primera fase de dicha Cumbre tuvo lugar en diciembre de 2003, y la segunda y final se efectuó
en noviembre de 2005.

La Declaración de Principios de la CMSI señala que el fomento de un clima de confianza, incluso en la

seguridad de la información y la seguridad de las redes, la autenticación, la privacidad y la protección de
los consumidores, es requisito previo para que se desarrolle la Sociedad de la Información y para
promover la confianza entre los usuarios de las TIC. Para alcanzar este objetivo, se debe fomentar,

Document1 16.02.20 5
desarrollar y poner en práctica una cultura global de ciberseguridad, en cooperación con todas las partes
interesadas y los organismos internacionales especializados.

En diciembre de 2002, en la resolución 57/239 de las Naciones Unidas se describían los elementos para
crear una cultura mundial de seguridad cibernética, instando a los Estados Miembros y a las
organizaciones internacionales pertinentes que los tuvieran en cuenta en sus preparativos para la
Cumbre. En diciembre de 2003 en la resolución 58/199 de las Naciones Unidas se subrayaba aún más la
promoción de una cultura mundial de seguridad cibernética, y la protección de las infraestructuras críticas
de información.

La UIT organizó un taller temático de seguridad cibernética en julio de 2005

(http://www.itu.int/osg/spu/cybersecurity/index.phtml). El informe de su Presidente contiene una serie
de conclusiones, en particular que, si bien se sabe mucho sobre la seguridad informática, la
implementación está retrasada, y constantemente se omiten medidas de seguridad. No basta con tener
datos confiables e indicadores relativos a las vulnerabilidades, las amenazas y las violaciones de la
seguridad. En el informe del Presidente también se señaló que la seguridad no sólo abarca la importante
cuestión de un desempeño sólido y confiable, sino que también plantea inevitablemente cuestiones
relacionadas con la protección de la infraestructura crítica, el cumplimiento de la ley y la seguridad
nacional.

En el Taller se destacó que la evolución de una cultura mundial de seguridad cibernética también significa
ayudar a las economías en desarrollo en la adopción de “tecnología, procesos y personal” de seguridad
cibernética. Debe fomentarse el intercambio de las mejores prácticas entre los países en desarrollo y se
necesita una mayor coordinación internacional en materia de seguridad cibernética.

2.2 Normas que rigen el comportamiento entre Estados.

Grupo de Expertos Gubernamentales del Comité UNGA 1. Ver el “Informe de Expertos Gubernamentales
sobre novedades en el campo de la información”

2.3 Normas para combatir la delincuencia cibernética.

(1) Congreso de la ONU sobre la delincuencia, Oficina de la ONU sobre drogas y delincuencia, Comisión de
la ONU sobre delincuencia; (2) Consejo de la Convención de Europa sobre la delincuencia cibernética
(Convención de Budapest); CICTE (contraterrorismo); REMJA (delincuencia cibernética)

Document1 16.02.20 6
2.4 Programas internacionales para combatir el correo basura

Plan de Acción de Londres

2.5 Cooperación internacional en actividades de vigilancia, alerta, respuesta y recuperación.

FIRST e IMPACT

En respuesta al mandato contenido en la Cuestión 22-1 del UIT-D, Garantía de seguridad en las redes de
información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseguridad, el UIT-
D ha elaborado varios informes (a partir del año 2013) en apoyo a estos objetivos:

 Un informe sobre el fortalecimiento de la capacidad nacional para manejar los incidentes

informáticos. Ofrece una perspectiva amplia para quienes desarrollan la capacidad nacional en
materia de los CIRT, determinando las responsabilidades de los actores clave y analizando los
principales objetivos y funciones. Algunos ejemplos son la gestión y análisis de incidentes,
servicios de investigación, diagnósticos de vulnerabilidad, análisis de códigos, servicios forenses,
capacitación y extensión, y coordinación de respuestas. El informe se encuentra disponible en
http://www.itu.int/md/D10-RGQ22.1.1-C-0006/es.

 Un documento sobre la gestión de un CSIRT nacional con los Factores Críticos de Éxito. Está
orientado a los dirigentes actuales y futuros de los CIRT, y a quienes sencillamente desean mejorar
sus prácticas en materia de seguridad cibernética. En el documento se definen los factores críticos
de éxito como “aquellas actividades que deberán ser realizadas o condiciones que deberán ser
satisfechas para que el CSIRT nacional cumpla con su misión y atienda eficazmente a su sector,”
con el objetivo de reducir la ambigüedad, hallar maneras de determinar y medir los objetivos,
entender los requerimientos informáticos, e identificar preocupaciones en la gestión de los
riesgos. El informe se encuentra disponible en: http://www.itu.int/md/D10-RGQ22.1.1-C-
0007/es.

 Un curso de capacitación sobre el establecimiento de un CIRT. Se trata de una presentación con

65 diapositivas, incluidos los apuntes para el expositor y numerosos ejercicios para complementar
los informes sobre el fortalecimiento de la capacidad nacional para la gestión de incidentes
informáticos y sobre los factores críticos del éxito. Esta obra es para su uso como material de
curso, ya sea en forma independiente o como parte de un taller de especialización u otro foro. El
material del curso se encuentra disponible en http://www.itu.int/md/D10-SG01-C-0193/es.

 Un informe sobre las alianzas público-privadas. Ofrece lineamientos para el éxito de las alianzas
público-privadas y está orientada a gobiernos y miembros del sector privado. Las principales
características de éxito en tales alianzas son: que sean mutuamente beneficiosas y voluntarias;
que exista un entendimiento común de su objetivos y alcance; la transparencia entre los aliados;
y que cada socio aporte con capacidades que tengan valor para los demás. El informe se encuentra
disponible en: http://www.itu.int/md/D10-SG01-C-0100/es.

Document1 16.02.20 7
2.6 Consenso mundial respecto del contenido de las comunicaciones/circulación libre de
información/privacidad. Declaración Universal de los Derechos Humanos (Artículo 19) y el Pacto de
Derechos Civiles y Políticos (Artículo 19); Artículo 1 de la Constitución de la UNESCO

2.7 Creación de soluciones técnicas internacionales para la mayor seguridad de las redes. Comisiones
de Estudio 17 y 13 de la UIT; actividades de normalización ISO; actividades del IETF; organizaciones
normalizadoras regionales (p. ej., ATIS, ETSI, 3GPP)

La importancia de la normalización de la seguridad es reconocida tanto por el IETF como por el UIT-T.
Respecto de la seguridad, el IETF (Grupo de Tareas Especiales de Ingeniería en Internet) creó el Área de
Seguridad, subdividiéndola además en grupos de trabajo.

El UIT-T ha designado a la Comisión de Estudio 17 (Seguridad) Comisión de Estudio Rectora sobre Gestión
de Seguridad (http://www.itu.int/en/ITU-T/studygroups/com17/Pages/telesecurity.aspx) e Identidad
(http://www.itu.int/en/ITU-T/studygroups/com17/Pages/idm.aspx), concentrándose en cuestiones de
seguridad a todo nivel. Se desprende del sitio Web de la SG-17 del ITU-T, que entre sus actividades figuran
la definición y el mantenimiento de los marcos globales de seguridad y la gestión de proyectos, que incluya
la coordinación, asignación y priorización de acciones que puedan resultar en unas recomendaciones
oportunas respecto a la seguridad en los sistemas de comunicación. La SG-17 prepara y mantiene material
de difusión sobre seguridad, coordina tareas relativas a la seguridad en el UIT-T, y determina trabajos de
seguridad y fija su orden de prioridad para promover la preparación oportuna de normas de seguridad
para telecomunicaciones.

2.7.1 Comisión de Estudio 17 del UIT-T

Las recomendaciones de seguridad abarcan un amplio abanico de temas, entre los cuales constan:
arquitecturas y marcos de seguridad, seguridad de las telecomunicaciones, protocolos, técnicas, servicios
de directorio y autentificación, gestión de redes, comunicaciones de multimedia, etc.

2.7.1.1 Listado de cuestiones del UIT-T en materia de seguridad

La lista de Cuestiones de la SG-17 del UIT-T se encuentra en el sitio Web de la Comisión de Estudio:

http://www.itu.int/en/ITU-T/studygroups/2013-2016/17/Pages/questions.aspx

Document1 16.02.20 8
2.7.1.2 Talleres de seguridad
La Comisión de Estudio 17 del UIT-T organizó un taller sobre seguridad realizado en Seúl, Corea, del 13 al
14 de mayo de 2001. Se encuentran las presentaciones e información conexa en:
http://www.itu.int/ITU-T/worksem/security/200205/index.html. El taller se centró en las siguientes
materias:

 Requisitos de seguridad y confiabilidad de las telecomunicaciones

 Temas más populares sobre la seguridad de la red IP

 Gestión de la seguridad

 Autentificación biométrica

 Seguridad móvil

Un segundo taller del UIT-T sobre la seguridad, titulado “Nuevos Horizontes para la Estandarización de la
Seguridad”, tuvo lugar del 3 al 4 de octubre de 2005. Este taller, que contó con el apoyo activo de la
Comisión de Estudio 17, sirvió para tratar problemas de seguridad de la información y comunicación, y
promovió una mayor cooperación entre las organizaciones involucradas en las labores de estandarización
de la seguridad. Se encuentran los detalles del programa y un informe del taller en http://www.itu.int/ITU-
T/worksem/security/200510/index.html.

Para mayores informes sobre otros talleres de seguridad, véase: http://www.itu.int/en/ITU-

T/studygroups/com17/Pages/telesecurity.aspx.

2.7.1.3 Simposios sobre la seguridad cibernética

El UIT-T organizó un Simposio de Seguridad Cibernética en octubre de 2004, en combinación con la AMNT-
04 realizada en Florianópolis, Brasil. El simposio reunió a los principales expertos de gobiernos, equipos
de respuesta a las emergencias informáticas (CERT), operadores de redes y fabricantes de equipos, para
tratar el estado actual de la seguridad cibernética y futuras metodologías para asegurar la seguridad en el
ciberespacio. Los detalles y materiales se encuentran en http://www.itu.int/ITU-
T/worksem/cybersecurity/index.html.

El II Simposio de Seguridad Cibernética (http://www.itu.int/ITU-T/worksem/cybersecurityII/index.html)

tuvo lugar en Moscú (Federación Rusa) el 29 de marzo de 2005.

2.7.1.4 Tutorial sobre la programación segura

Se ha preparado una lista de sugerencias para evitar los errores más comunes que afectan la debida
seguridad del software. Está orientada a programadores y abarca las fases de diseño, ejecución y prueba.
Se centra en los programas de aplicaciones para redes, aunque muchas de las sugerencias son igualmente
válidas para otros tipos de software.

Document1 16.02.20 9
2.7.1.5 Normas de seguridad

La Comisión de Estudio 17 del UIT-T está actualmente elaborando normas en las siguientes áreas:

C 1/17 Coordinación de la seguridad de las telecomunicaciones / TIC

C 2/17 Arquitectura y marco de seguridad

C 3/17 Gestión de seguridad informática de las telecomunicaciones

C 4/17 Ciberseguridad

C 5/17 Combatir el correo basura (spam) a través de medios técnicos

C 6/17 Asegurar aspectos de los servicios de telecomunicaciones ubicuos

C 7/17 Asegurar los servicios de aplicación

C 8/17 Seguridad de la computación en nube

C 9/17 Telebiometría

C 10/17 Arquitectura y mecanismos de la gestión de identidad

C 11/17 Tecnologías genéricas en apoyo de las aplicaciones seguras

Para mayores informes sobre las Cuestiones de la SG-17 del UIT-T, véase el sitio Web de la Comisión de
Estudio en:

http://www.itu.int/en/ITU-T/studygroups/2013-2016/17/Pages/questions.aspx

[Información adicional con respecto a las normas de seguridad del UTI-T puede encontrarse en el sitio
web de la CE17 del UIT-T (http://www.itu.int/ITU-T/studygroups/com17) o en la Carpeta Técnica “Redes
de Próxima Generación - Visión general de normas” del CCP.I de la CITEL.]

2.7.1.6 Arquitectura de seguridad para sistemas de comunicaciones extremo a extremo

La Recomendación UIT-T X.805, “Arquitectura de seguridad para sistemas de comunicaciones de extremo
a extremo” define una arquitectura de seguridad de red para proveer seguridad de red de extremo a
extremo. Esta arquitectura puede ser aplicada a varios tipos de redes en las que la seguridad extremo a
extremo es una preocupación y es independiente de la tecnología subyacente de la red. Esta
Recomendación define los elementos arquitectónicos generales relacionados con la seguridad que son
necesarios para proveer seguridad de extremo a extremo. El objetivo de esta recomendación es servir de
base para el desarrollo de Recomendaciones detalladas para la seguridad de red de extremo a extremo.

Document1 16.02.20 10
Esta arquitectura de seguridad fue creada para abordar los retos de seguridad globales que enfrentan los
proveedores de servicios, empresas y consumidores, y puede ser aplicada a redes inalámbricas, ópticas, y
alámbricas de voz, de datos o convergentes. La arquitectura aborda preocupaciones de seguridad para la
gestión, control y uso de la infraestructura, servicios y aplicaciones de la red. Provee, asimismo, una
perspectiva completa, de arriba-hacía-abajo y de extremo a extremo de seguridad de red, y puede ser
aplicada a elementos, servicios y aplicaciones de red para detectar, predecir y corregir vulnerabilidades
de seguridad.

La arquitectura de seguridad divide lógicamente un conjunto complejo de características relacionadas a

la seguridad de red de extremo a extremo en componentes arquitectónicos separados. Esta separación
permite un enfoque sistemático de la seguridad de extremo a extremo que puede ser usado para planificar
nuevas soluciones de seguridad, así como para determinar la seguridad de las redes existentes. Se
abordan tres componentes arquitectónicos: dimensiones de seguridad, niveles de seguridad y planos de
seguridad.

La Recomendación X.805 esboza las dimensiones de la arquitectura de seguridad en el siguiente gráfico:

Security layers
Applications security
THREATS
Communication security
Data confidentiality
Non-repudiation

Destruction
Authentication
Access control

Data integrity
Availability

Services security Privacy Corruption

VULNERABILITIES Removal
Disclosure

Infrastructure security Interruption

ATTACKS

End-user plane
Control plane 8 Security dimensions
Management plane X.805_F3

Rec. X.805 – Arquitectura de seguridad para la seguridad de red de extremo a extremo

La arquitectura de seguridad descrita en la Recomendación X.805 puede ser usada para guiar el desarrollo
de definiciones de políticas de seguridad exhaustivas, planes de respuesta a incidentes y de recuperación,
y arquitecturas de tecnología, tomando en consideración cada dimensión de seguridad en cada nivel y
plano de seguridad durante la fase de definición y planificación. La arquitectura de seguridad también
puede ser usada como la base de una evaluación de seguridad que examinaría cómo la implementación
del programa de seguridad aborda las dimensiones, niveles y planos de seguridad, a medida que se
expiden políticas y procedimientos y se despliega la tecnología.

Document1 16.02.20 11
[Nota del editor: Información adicional respecto de la Rec. X805 puede encontrarse en la Recomendación
original del UIT-T o en la Carpeta Técnica “Redes de Próxima Generación – Visión general de normas” del
CCP.I de la CITEL.]

1.1.1.1 Información adicional relativa a la seguridad de la SG-17 del UIT-T

El UIT-T publica un manual de seguridad titulado "Seguridad en las telecomunicaciones y las tecnologías
de la información" (http://www.itu.int/pub/T-HDB-SEC.05-2011.es). El propósito de dicho manual es
"presentar una amplia introducción al trabajo de la UIT-T en materia de seguridad".

La Comisión de Estudio del UIT-T ha elaborado además una hoja de ruta sobre las normas de seguridad
de las TIC (http://www.itu.int/ITU-T/studygroups/com17/ict/index.html), en la cual se presenta un
bosquejo de las actividades de estandarización en seis partes:

 Parte 1: Organizaciones de desarrollo de normas TIC y sus trabajos

 Parte 2: Normas de seguridad TIC aprobadas (base de datos con enlaces directos)

 Parte 3: Normas de seguridad en desarrollo

 Parte 4: Futuras necesidades y nuevas normas de seguridad propuestas

 Parte 5: Mejores prácticas de seguridad

 Parte 6: Panorama de la gestión de identidades (IdM)

Las recomendaciones de seguridad abarcan un amplio abanico de temas, entre ellos: arquitectura y
marcos de seguridad, seguridad de las telecomunicaciones, protocolos, técnicas, servicios de directorio y
autentificación, gestión de redes, comunicaciones por multimedia, etc.

La Comisión de Estudio 17 del UIT-T mantiene un sitio Web (http://www.itu.int/en/ITU-

T/studygroups/com17/Pages/telesecurity.aspx) que contiene información sobre las actividades de
estandarización de la seguridad, la cual incluye:

 Un catálogo de las Recomendaciones aprobadas en materia de la seguridad de las

telecomunicaciones

 Una lista de las definiciones de seguridad extraída de las Recomendaciones aprobadas del UIT-T

 Un resumen de las Comisiones de Estudio del UIT-T que tengan actividades relacionadas con la
seguridad

 Un resumen de las Recomendaciones en proceso de revisión para incluir consideraciones sobre la

seguridad

 Un resumen de otras actividades de seguridad de la UIT.

2.7.2 Normas de seguridad del IETF

Los siguientes Grupos de Trabajo del Área de Seguridad del IETF están elaborando normas de Internet

Document1 16.02.20 12
 abfab Application Bridging for Federated Access Beyond web

dane DNS-based Authentication of Named Entities

dice DTLS In Constrained Environments

emu EAP Method Update

httpauth Hypertext Transfer Protocol Authentication

ipsecme IP Security Maintenance and Extensions

jose Javascript Object Signing and Encryption

kitten Common Authentication Technology Next Generation

mile Managed Incident Lightweight Exchange

nea Network Endpoint Assessment

oauth Web Authorization Protocol

pkix Public-Key Infrastructure (X.509)

sacm Security Automation and Continuous Monitoring

tls Transport Layer Security

Para mayores informes sobre el Área de Seguridad en el IETF, véase su wiki en:
http://trac.tools.ietf.org/area/sec/trac/wiki .

2.7.2.1 Seguridad IP (IPSec)

La IPSec se refiere a una sucesión de protocolos de seguridad que protegen a las comunicaciones de la
Internet por medio del cifrado, la autenticación, confidencialidad, integridad de los datos, la protección
antirrepetición, y la protección contra el análisis del flujo de tráfico. El IPSec trabaja con métodos de
cifrado populares en la capa de la red—tales como Diffie-Hellman, DES, 3DES, MD5, y SHA1—y puede
adaptarse a nuevos algoritmos y normas que aparezcan.

El IETF ha elaborado RFC 4301 ("Arquitectura de seguridad para el Protocolo de Internet"), el cual ha sido
"diseñado para prestar servicios de seguridad para el tráfico a nivel de IP". Las últimas versiones y
actualizaciones del documento se encuentran en: http://datatracker.ietf.org/doc/rfc4301/.

2.7.2.2 Encabezamiento de autenticación (AH)

Document1 16.02.20 13
El AH, definido en RFC 4835 del IETF ("Cryptographic Algorithm Implementation Requirements for
Encapsulating Security Payload (ESP) and Authentication Header (AH)") y en RFC 4302 ("IP Authentication
Header") permite que las partes que se comunican mediante el IP verifiquen que los datos no se hayan
modificado durante la transmisión, y que proceden de la fuente original de la información. El AH
proporciona una integridad de los datos sin conexión, la autenticación de los datos, y brinda protección
contra ataques con repetición. El AH añade un bloque de código al paquete de datos que es el resultado
de una función de “troceo” aplicada a todo el paquete.

Estos RFC se encuentran en:

http://datatracker.ietf.org/doc/rfc4835/

http://datatracker.ietf.org/doc/rfc4302/

2.7.2.3 Carga útil de protección de encapsulado (ESP)

La ESP, definida en IETF RFC 4835 ("Cryptographic Algorithm Implementation Requirements for
Encapsulating Security Payload (ESP) and Authentication Header (AH)") y en RFC 4302 ("IP Encapsulating
Security Payload (ESP)"), , cifra la información para evitar que sea observada por una entidad que no sea
digna de confianza. La ESP también puede usarse para la autenticación. El campo de autenticación ESP
contiene la suma de prueba criptográfica que se computa sobre la parte restante de la ESP (menos el
campo de autenticación ESP mismo). La autenticación AH difiere de la versión ESP en que esta última no
protege el encabezamiento IP que precede al encabezamiento ESP.

Estos RFC se encuentran en:

http://datatracker.ietf.org/doc/rfc4303/

http://datatracker.ietf.org/doc/rfc4835/

2.7.2.4 Gestión de claves

El intercambio de claves Internet, versión 2 (IKEv2), un protocolo definido por el IETF RFC 5996 ("The
Internet Key Exchange (IKE)") , proporciona el marco “para la realización de la mutua autenticación y el
establecimiento y mantenimiento de las Asociaciones de Seguridad (AS). .

Se encuentra información sobre este RFC en http://datatracker.ietf.org/doc/rfc5996/.

2.7.2.5 Intercambio manual de claves

Document1 16.02.20 14
El intercambio manual es la forma más fácil de gestión de claves para un número pequeño de sitios. Ambos
extremos del túnel IPSec deben configurarse manualmente con las claves correspondientes. Pero la
codificación manual tiene muchas desventajas.

2.8 Programas internacionales para ayudar a los países en desarrollo a mejorar sus programas
nacionales de seguridad cibernética. Orden del día de la UIT sobre la seguridad cibernética mundial;
Programa 2 de la Oficina de Desarrollo de las Telecomunicaciones (BDT) de la UIT; actividades de la
Cuestión 22/1 del UIT-D (Seguridad Cibernética); programa de asistencia para la legislación sobre
ciberdelincuencia del Consejo de Europa.

2.8.1 Unidad de Estrategias y Política (SPU) de la UIT.

En colaboración con los tres sectores de la UIT, la Unidad de Estrategias y Política (SPU) asiste a la UIT y a
sus miembros en prever y analizar las implicaciones y problemas estratégicos del cambiante entorno de
las telecomunicaciones. La SPU utiliza un enfoque multidisciplinario para abordar cuestiones de política
de telecomunicaciones, mediante investigaciones, análisis, publicaciones y la organización de foros y
talleres.

La SPU ha publicado una serie de documentos sobre la seguridad de redes

(http://www.itu.int/osg/spu/publications/#security) en los que se trata sobre el correo basura (spam),
infraestructuras críticas de redes, y redes de Protocolo Internet (IP). También hay documentos
disponibles sobre política y regulación (http://www.itu.int/osg/spu/publications/#policy), incluyendo un
documento sobre correo basura.

En el año 2001, la SPU organizó un taller denominado “Creación de confianza en infraestructuras de red
críticas”. El taller concluyó que la cooperación internacional es fundamental y puede lograrse mediante lo
siguiente:

 normas internacionales

 intercambio de información

 detención de ataques cibernéticos en marcha

 coordinación de los ordenamientos jurídicos

 asistencia a los países en desarrollo

Document1 16.02.20 15
El taller también recomendó que los gobiernos, en consulta con los sectores correspondientes de la
industria, emprendan una evaluación de riesgos en cuanto a las vulnerabilidades y peligros que afectan a
las redes nacionales. Tal vez corresponda efectuar un examen de la política y/o puntos de vista
reglamentarios en el ámbito nacional. En el taller también se sugirieron funciones para la UIT en materia
de seguridad cibernética.

Al prepararse para este taller, Brasil, Canadá, la República de Corea y los Países Bajos presentaron una
serie de Estudios de Casos relativos a la seguridad y reglamentación de redes.

2.8.2 Agenda sobre Ciberseguridad Global (GCA)

En mayo de 2007, la Secretaría General de la UIT inauguró la Agenda sobre Ciberseguridad Global (GCA)
como marco de cooperación internacional para promover la ciberseguridad y aumentar la confianza y la
seguridad en la sociedad de la información. La GCA tiene el objeto de fomentar la colaboración entre los
participantes para promover la confianza y seguridad en el uso de las TIC. La GCA abarca las siguientes
iniciativas:

 Medidas de índole jurídica

o Recursos de la UIT sobre legislación en materia de delito cibernético

o Publicación de la UIT: “Entendiendo el delito cibernético: Guía para los países en

desarrollo”

o Juego de herramientas de la UIT para la legislación sobre delito cibernético

 Medidas técnicas y de procedimiento

o Labor de la UIT en materia de normalización

o Radiocomunicaciones de la UIT

o Centro de respuesta global de la Alianza Internacional Multilateral contra el

Ciberterrorismo (IMPACT)

 Estructuras orgánicas

o Centro de garantías de seguridad de IMPACT

 Formación de la capacidad

o Herramienta de la UIT para la autoevaluación nacional de la

ciberseguridad/protección de las infraestructuras esenciales de información (CIIP)

o Juego de herramientas de la UIT para promover una cultura de ciberseguridad

Document1 16.02.20 16
 o Juego de herramientas de la UIT para reducir la mitigación de las redes robot (botnet)

o Centro de capacitación y desarrollo de aptitudes de IMPACT

o Centro de investigación de IMPACT

 Cooperación internacional

o Grupo de Expertos de Alto Nivel

o Alianza Internacional Multilateral contra el Ciberterrorismo (IMPACT)

o Centro de políticas y cooperación internacional de IMPACT

o Pasarela de ciberseguridad de la UIT

o Protección de la infancia en línea

Puede hallarse más información acerca de la GCA de la UIT en el sitio en la Red de la AGC de la UIT:
http://www.itu.int/osg/csd/cybersecurity/gca/index.html

2.8.3 Sector de Desarrollo de la UIT

Las tecnologías de la información y la comunicación (TIC) están creando nuevas oportunidades en el

suministro y mejoramiento de servicios básicos en los sectores de la salud, la educación, los negocios, las
finanzas y el gobierno. Sin embargo, las ventajas que ofrece la sociedad de la información a los gobiernos,
empresas y particulares sólo pueden lograrse plenamente si se resuelven las cuestiones de seguridad y
confianza.

El mandato del Sector de Desarrollo de la UIT (UIT-D) en materia de ciberseguridad es el siguiente:

 Mejorar la seguridad y fomentar la confianza en la utilización de las redes públicas para

servicios/aplicaciones electrónicos.

 Asistir a los Estados Miembros en la formulación de leyes y legislación modelo para

servicios/aplicaciones electrónicos, la prevención de delitos cibernéticos, la seguridad,
cuestiones éticas y privacidad de datos.

 Identificar las necesidades de protección y proponer soluciones para la creación de una

infraestructura IP segura para servicios/aplicaciones electrónicos en diversos tipos de redes
utilizando las tecnologías pertinentes.

 Desarrollar herramientas para facilitar el intercambio de las mejores prácticas de seguridad

TI, cuestiones jurídicas relacionadas con las áreas de actividad de este programa.

Document1 16.02.20 17
La Cuestión 22-1/1 de la Comisión de Estudio del UIT-D ("Garantía de seguridad en las redes de
información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseguridad") ha
recibido la tarea de trabajar sobre los problemas de seguridad cibernética al interior del UIT-D.

Las estrategias electrónicas ayudan a los países en la ejecución de proyectos dirigidos a fortalecer la
seguridad y la confianza necesarias para llevar a cabo transacciones importantes en sectores tales como
los de la salud, la educación, el comercio y las comunicaciones entre los organismos y funcionarios
públicos. En Bulgaria, Burkina Faso, Costa del Marfil, Camboya, Georgia, Perú, Senegal, Paraguay y Turquía
(sector empresarial) se han introducido y se están ejecutando proyectos que utilizan tecnologías
avanzadas de seguridad y confianza basadas en la infraestructura de clave pública (PKI), incluida la
autenticación biométrica, tarjetas inteligentes, certificados digitales ITU-T X.509, y técnicas de firma
digital.

En 2004-2005, se implementaron y hay en curso actividades relacionadas con tecnologías de seguridad

cibernética para aplicaciones electrónicas en Afganistán, Barbados, Bhután, Bulgaria (fase III), Camerún,
Jamaica, Ruanda, Turquía (salud-e y gobierno-e) y Zambia (para firmas-e).

Se está preparando un manual de seguridad cibernética para asistir a los países en desarrollo y menos
desarrollados en la formación de capacidad local y la creación de conciencia acerca de algunos de los
principales desafíos en materia de seguridad para la sociedad de la información. Este manual explicará
algunos de los problemas más serios, tales como el correo basura, el software maligno (virus, gusanos,
troyanos), la privacidad de los datos, la falta de autenticación, la necesidad de confidencialidad de los
datos y la integridad de datos. Se espera finalizarlo en noviembre de 2005, y abarca otros temas tales
como pautas y las mejores prácticas legislativas para la seguridad cibernética, así como ejemplos de
métodos que se han aplicado para proteger infraestructuras críticas.

El ITU-D mantiene además una página Web sobre la seguridad cibernética (http://www.itu.int/en/ITU-
D/Cybersecurity/Pages/default.aspx) que contiene información sobre las actividades del UIT-D en
materia de la ciberseguridad.

2.9 Estudios de políticas internacionales relativas a la seguridad cibernética. OECD

3. Actividades nacionales para la mayor protección de las redes IP

3.1 Estrategias nacionales para lograr la seguridad cibernética.

Document1 16.02.20 18
Por ejemplo, el Cyberspace Policy Review (2009) de EE.UU.

3.1.1 Componentes de una estrategia nacional (por ejemplo, liderazgo, organización, estructuras,
funciones)

La protección de la infraestructura crítica nacional de información y del ciberespacio es esencial para la

seguridad nacional y para el bienestar económico de una nación. Las infraestructuras críticas nacionales
de información y el ciberespacio están interconectados a través de los sectores industriales y las fronteras
nacionales. La protección de estas infraestructuras y del ciberespacio requiere de una acción nacional
coordinada relacionada con la prevención, preparación, respuesta y recuperación de un incidente por
parte de las autoridades públicas a nivel nacional, estatal/provincial y local, el sector privado y los
ciudadanos/usuarios; y de la cooperación y coordinación con los socios internacionales.

La siguiente lista proporciona al lector algunos ejemplos de los tipos de actividades que deberían
emprenderse para desarrollar una estrategia nacional. Esta lista no es de ningún modo exhaustiva.

 Emprender discusiones a nivel de política con los principales actores y personas clave encargadas
de adoptar decisiones con respecto a las amenazas y vulnerabilidades y la necesidad de tomar acciones a
nivel nacional.

 Identificar la institución líder para un esfuerzo nacional; determinar la conformación y los

requerimientos gubernamentales para la instalación y puesta en operación de un equipo de respuesta en
caso de incidentes contra la seguridad de computadoras con responsabilidad nacional; e identificar las
instituciones líderes para cada aspecto de la estrategia nacional.

 Identificar las partes interesadas y puntos de contacto en los ministerios gubernamentales, el

gobierno estatal y local, y el sector privado. Identificar funciones, responsabilidades y acuerdos de
cooperación para y entre todos los participantes.

 Establecer mecanismos para la cooperación entre entidades del gobierno y del sector privado a
nivel nacional.

 Identificar a las partes interesadas y socios internacionales, y unirse a los esfuerzos

internacionales en materia de información para abordar temas de seguridad cibernética y CIIP, incluyendo
el intercambio de información y los esfuerzos de asistencia.

 Evaluar y llevar a cabo reevaluaciones periódicas de la condición actual de la seguridad cibernética

y CIP y desarrollar prioridades de programa.

 Identificar las necesidades de capacitación y de intercambios técnicos.

Document1 16.02.20 19
El APÉNDICE 2 de esta Carpeta Técnica contiene detalles de las Estrategias de Seguridad Nacional
específicos de cada país.

3.2 Programas nacionales para crear una mayor conciencia de los usuarios finales (individuos y
empresas pequeñas y medianas (pymes) en cuanto a sus responsabilidades en materia de
ciberseguridad

3.3 Políticas nacionales respecto de asociaciones públicas-privadas

3.4 Leyes nacionales relativas a la ciberdelincuencia; leyes, reglamentos y políticas nacionales

respecto del correo indeseado o basura.

3.5 Programas nacionales de vigilancia, alerta, respuesta y recuperación (CIRT). Por ejemplo,
ejercicios Cyberstorm de EE.UU.

3.5.1 Estructura de vigilancia, alerta y respuesta a incidentes

3.5.1.1 Manejo de incidentes a nivel nacional

Un elemento esencial en el desarrollo de la Cultura de Seguridad es el establecimiento de un plan de

respuesta nacional. Esto incluye el mantener una organización que sirva como punto focal para la
seguridad del espacio cibernético y para la protección de infraestructuras críticas nacionales de
información, cuya misión incluya esfuerzos de vigilancia, alerta, respuesta y recuperación, y la facilitación
de interacciones y colaboración entre y dentro de las entidades a nivel nacional, estatal y local, el sector
privado y universitario, así como a nivel internacional.

3.5.1.2 Estructura de vigilancia, alerta y respuesta ante incidentes

3.5.1.1 Gestión Nacional de Incidentes

Un elemento esencial en el desarrollo de una Cultura de Seguridad es el establecimiento de un plan

nacional de respuesta. El mismo abarca el mantenimiento de una organización que sirva de punto focal
para el aseguramiento del ciberespacio y la protección de infraestructuras nacionales críticas, cuya misión
incluye las acciones de vigilancia, alerta, respuesta y recuperación y de facilitar las interacción y

Document1 16.02.20 20
colaboración entre entidades del gobierno en el ámbito nacional, estatal y local; de los sectores privado y
académico; y del nivel internacional

3.5.1.2 CSIRTs (Equipos de Respuesta a Incidentes de Seguridad Informática)

La cuestión de la seguridad de la infraestructura al nivel nacional la reconocen bien nuestros colegas de

la CITEL. La formación de unos grupos nacionales de reacción en caso de incidentes en los computadores
es esencial para facilitar y fomentar un ambiente de cuidado por la ciberseguridad. La Asamblea Mundial
para la Normalización de las Telecomunicaciones (AMNT, Dubái, 2012) ha reconocido la importancia de
esta cuestión en la adjunta Resolución 58.

Alentamos a nuestros colegas a que tomen nota de la Resolución 58 de la AMNT.

3.6 Programas bilaterales para asistir a los países en desarrollo.

P. ej., programa del Departamento de Justicia de EE.UU para asistir en la redacción de legislación contra
la delincuencia cibernética; USTTI

4. Gestión de riesgos de seguridad

El crecimiento explosivo en el uso de la infraestructura de las tecnologías de la información y la

comunicación (TIC) ha hecho aumentar la dependencia de las organizaciones e individuos en la protección
de la información transmitida y almacenada en las redes de telecomunicaciones.

Ello ha conducido a una mayor sensibilización sobre la necesidad de proteger:

- La confidencialidad de la información, garantizando que la información solamente es accesible a las

personas autorizadas;

- La integridad de la información, salvaguardando la veracidad y amplitud de la información y métodos

de procesamiento; y

- La disponibilidad de información, asegurando que los usuarios autorizados tienen acceso a la

información y activos asociados cuando lo necesiten.

Para alcanzar estos objetivos de seguridad, las organizaciones aplican técnicas de protección seguras
basadas en metodologías especializadas para la gestión de riesgos potenciales.

Document1 16.02.20 21
La gestión de riesgos de seguridad desempeña un papel fundamental en la protección de la información
de las organizaciones frente riesgos de seguridad y se ha definido como un proceso lógico y analítico para
identificar riesgos y tomar medidas para reducir los riesgos a un nivel aceptable. Los riesgos de seguridad
se gestionan mediante:

- El análisis y evaluación de amenazas y riesgos a los que la información confidencial y activos asociados
están expuestos;

- La selección de salvaguardas para la mitigación de riesgos; y

- El desarrollo y puesta a prueba de planes de contingencia y reanudación de negocios.

Para gestionar los riesgos de seguridad es preciso definir qué es un riesgo, la magnitud (impacto) de los
daños causados por la amenaza, las causas o eventos con el potencial de causar daños a una
infraestructura TIC, y qué hacer ante el riesgo. La evaluación de las amenazas y riesgos constituye un
mecanismo para gestionar los riesgos. Otros mecanismos para gestionar los riesgos serían la educación y
creación de conciencia, políticas de seguridad, normas operativas y documentación técnica.

En la siguiente sección se describen los enfoques de gestión de riesgos en general, así como aplicaciones
para la gestión de riesgos potenciales de seguridad.

2 Presentación general sobre la gestión del riesgo

En las publicaciones sobre la materia, se encuentran disponibles varios marcos de gestión de riesgos. A
pesar de que estos marcos, y los procesos definidos en los mismos, son distintos en cuanto al detalle,
tienen ciertos elementos en común.

Aparecen los siguientes temas recurrentes [1], [2], [3], [4], [5], [6], [7]:

a) Identificación de los activos críticos

Dado que no es eficaz en función de los costos proteger todos los activos, es esencial que los activos
críticos sean identificados, de manera que pueda prestarse especial atención a su protección. La
designación deberá realizarse desde una perspectiva empresarial, considerando el impacto de la pérdida
o degradación de un activo sobre la empresa en su totalidad.

b) Identificación del riesgo

Document1 16.02.20 22
Deberá emprenderse un proceso de identificación de riesgos disciplinado e integral. Deberá incluir los
riesgos ambientales, así como aquellos causados por el ser humano. El grupo de “accidentes internos”
incluye los accidentes por error humano, así como la configuración incorrecta realizada por personal
insuficientemente capacitado. Cuando las personas representan una amenaza, el análisis deberá incluir
quiénes son estas personas, sus motivos para constituir una amenaza para el sistema, y los medios a través
de los cuales procurarán lograr sus objetivos.

c) Evaluación del impacto

Es necesario relacionar cada riesgo con uno o más de los componentes arquitectónicos y determinar el
impacto potencial de la amenaza sobre el activo.

d) Tratamiento del riesgo

Esta actividad se basa en la planificación e implementación del mejor curso de acción: la aceptación del
riesgo actual; la gestión activa del riesgo; la observación de cambios en las características del riesgo (y la
modificación del plan en la medida necesaria); y una mayor investigación sobre el riesgo hasta que se sepa
lo suficiente para aplicar adecuadamente una de las alternativas de planificación.

e) Notificación de riesgos

¿Quién debe tener conocimiento de los riesgos? ¿Quién debe tener conocimiento de los incidentes?
¿Quién debe tener conocimiento de las amenazas que se presentan?

f) Intercambio de información

¿Que información debe intercambiarse? ¿Cómo se realiza el intercambio? Cuáles son las restricciones
para el intercambio (por ejemplo, ¿deberán los datos hacerse anónimos antes de ser intercambiados?)

g) Monitoreo/Auditoría

¿Es necesario realizar auditorías internas? ¿Es necesario contar con auditores externos? ¿Imponen
auditorías los órganos reguladores? ¿Deben realizarse auditorías de los accionistas?

h) Entorno reglamentario/legislativo

¿Cuál es el marco reglamentario? ¿Qué leyes deben seguirse? ¿Qué requisitos de seguridad imponen los
órganos externos?

Document1 16.02.20 23
3 Proceso para la gestión del riesgo de seguridad

Los métodos para el análisis y gestión del riesgo de seguridad de la información normalmente respaldan
los conceptos generales especificados en la norma ISO/IEC 27000 [4] y tienen por objeto asistir a todo tipo
de organizaciones en la implementación satisfactoria de sistemas de seguridad de la información basados
en un enfoque de gestión de riesgos. En las siguientes subsecciones se describe un proceso de gestión de
riesgos, seguido de una presentación general de las guías para la gestión de riesgos de seguridad.

3.1 Guía de gestión del riesgo para los sistemas de tecnología de la información - NIST
SP 800-30

La metodología del NIST [5] se basa en un proceso de tres pasos: evaluación del riesgo; mitigación del
riesgo; y análisis y evaluación.

3.1.1
3.1.2 Evaluación del riesgo
Este proceso permite determinar el nivel de amenaza potencial y sus riesgos asociados con un sistema
TIC. El proceso de evaluación del riesgo incluye:

 Caracterización del sistema: Establece el alcance del ejercicio de evaluación del riesgo y proporciona
información esencial para definir el riesgo.

 Identificación de amenazas: Identifica las potenciales fuentes de amenaza que podrían explotar las
vulnerabilidades del sistema:

i. Humana: actos involuntarios (por ejemplo, entrada de datos inadvertida), o acciones deliberadas
(por ejemplo, ataques basados en la red, subida de software malintencionada, o acceso sin autorización);

ii. Natural: Inundaciones, terremotos, tormentas eléctricas; y

iii. Ambiental (por ejemplo, suspensión a largo plazo de la corriente eléctrica).

 Identificación de vulnerabilidades: Identifica las vulnerabilidades del sistema (defectos o fallos) que
podrían ser explotadas por potenciales fuentes de amenaza.

 Análisis de control: Especifica los controles que utiliza el sistema de información para mitigar la
probabilidad de ocurrencia de una amenaza (vulnerabilidad) y reducir su impacto. A continuación se
incluyen ejemplos de controles efectivos de seguridad o reducción de riesgos:

Document1 16.02.20 24
i. Controles técnicos incorporados en el hardware, software, o programa fijo del equipo
informático, y controles no técnicos, como políticas de seguridad; procedimientos operacionales; y
seguridad del personal y ambiental;

ii. Controles preventivos, por ejemplo, el cumplimiento de los controles de acceso, codificación
criptográfica y autenticación; y

iii. Una lista de control que se utiliza para verificar el cumplimiento/incumplimiento de los requisitos
de seguridad.

 Cálculo de probabilidad: Determina la probabilidad (alta, media o baja) de ocurrencia de una amenaza
(vulnerabilidad). Deben considerarse tres factores:

i. La motivación y capacidad de la fuentes de amenaza;

ii. La naturaleza de la vulnerabilidad; y

iii. La existencia de controles y la efectividad de los controles actuales.

 Análisis de impacto: Prioriza los niveles de impacto asociados con la importancia de los activos de
información de una organización basándose en una evaluación cualitativa o cuantitativa de la criticidad
de esos activos. En este paso, es necesario vincular cada riesgo con los componentes arquitectónicos y
determinar el impacto potencial de la amenaza sobre los activos y, posteriormente, establecer la
magnitud del impacto (alto, medio o bajo) que pudiera resultar de una amenaza exitosa.

 Determinación del riesgo: Valoración del nivel de riesgo para el sistema de información. Se calcula el
riesgo en función de:

i. La probabilidad de una fuente de amenaza;

ii. La magnitud del impacto; y

iii. La pertinencia de los controles de seguridad para reducir o eliminar el riesgo.

 Recomendaciones de control: Contribuyen al proceso de mitigación de riesgos y son el resultado del

proceso de evaluación del riesgo. El objetivo de este paso es reducir – a un nivel aceptable – el nivel de
riesgo para el sistema de información y sus datos. Deberá realizarse un análisis de costo-beneficio para
demostrar que los costos de implementación de los controles recomendados puede justificarse con la
reducción del nivel de riesgo.

 Documentación de resultados: La descripción de amenazas y vulnerabilidades, valoraciones de

riesgos, y recomendaciones para la implementación de controles son documentados en un informe oficial.

Document1 16.02.20 25
Su objetivo es servir de ayuda en el proceso de adopción de decisiones sobre cambios en la política, los
procedimientos, el presupuesto y el sistema para reducir y corregir pérdidas potenciales.

3.1.3 Mitigación del riesgo

La mitigación del riesgo es una metodología sistemática para reducir riesgos. Se basa en priorizar, evaluar
e implementar los controles apropiados de reducción de riesgos recomendados por el proceso de
evaluación del riesgo. La implementación del mejor curso de acción puede variar dependiendo de la
organización.

Hay cuatro soluciones alternativas para mitigar el riesgo:

1. Asumir el riesgo: Aceptar el riesgo potencial y continuar operando, o implementar controles para
reducir el riesgo a un nivel aceptable

2. Evitar el riesgo: Eliminar la causa y/o consecuencia del riesgo

3. Reducir el riesgo: Limitar el riesgo mediante la implementación de controles que minimizan el

impacto negativo de una amenaza que explota una vulnerabilidad

4. Transferir el riesgo: Utilizar otras alternativas para compensar las pérdidas, como la adquisición de
una póliza de seguro.

Tras identificar los posibles controles y evaluar su viabilidad y efectividad, se realiza un análisis de costo-
beneficio para determinar los controles apropiados a los que se asignarán recursos. Su objetivo es
demostrar que los costos de implementación de controles pueden justificarse con la reducción del nivel
de riesgo.

El análisis de costo-beneficio abarca:

- El impacto de la implementación de los controles (nuevos o mejorados);

- El impacto de la no implementación de los controles (nuevos o mejorados);

- Costos de la implementación: hardware y software, políticas y procedimientos, personal y

capacitación, y mantenimiento;

- Costos y beneficios en relación con la criticidad del sistema y los datos.

Document1 16.02.20 26
Una vez se ha establecido el costo de la implementación, y al comparar sus resultados, puede decidirse si
se implementan o no medidas de control de riesgos.

3.1.4 Análisis y evaluación

Es probable que tanto la red (componentes y aplicaciones de software) como las políticas de personal y
seguridad cambien con el paso del tiempo. Estos cambios significan que aparecerán nuevos riesgos y los
riesgos anteriormente mitigados pueden volver a aparecer. Por lo tanto, el proceso de gestión del riesgo
continúa con la identificación de riesgos nuevos o re-emergentes, mientras duren las actividades de
infraestructura o procesos de negocios.

Cuando se evalúa este proceso, pueden tomarse las siguientes medidas:

- Seguir con el plan actual – cuando los datos indican que el riesgo está bajo control;

- Invocar un plan de contingencia – cuando el plan original no funcionó como estaba previsto;

- Re-plan – volver a la etapa de planificación y cambiar de rumbo; o

- Cerrar el riesgo – cuando la probabilidad de riesgo y/o impacto potencial no existe o es muy baja.

En la próxima sección se describe la Guía para la gestión de riesgos de seguridad de la información, basada
en la norma ISO/IEC 27005, la cual procura aportar contribuciones fundamentales para el bienestar y
seguridad de toda organización.

3.2 Guía para la gestión de riesgos de seguridad de la información

La Guía para la gestión del riesgo de la seguridad de la información que esboza a continuación se basa en
la norma ISO/IEC 27005 [4], la cual procura aportar contribuciones fundamentales para el bienestar y
seguridad de toda organización. Esta Guía establece un proceso continuo que permite a la organización
implementar controles efectivos para mitigar los riesgos de seguridad. Esta práctica general se basa en
normas aceptadas por la industria para la gestión de los riesgos de seguridad e incorpora las primeras tres
fases del proceso de gestión de riesgos descritas con anterioridad.

Primera fase: Evaluación de riesgos

Esta fase incluye la planificación, la recopilación de datos y priorización de riesgos. La priorización de

riesgos conlleva enfoques cualitativos y cuantitativos para proporcionar información fiable sobre el riesgo
con ventajas y desventajas razonables en cuanto a tiempo y esfuerzo.

Document1 16.02.20 27
Segunda fase: Alternativas de tratamiento de riesgos

Durante esta fase, se determina la forma en que se abordarán los principales riesgos de la manera más
efectiva y eficaz en función de los costos. Las soluciones de control a implementarse se definen después
de una evaluación de todos los controles recomendados, costos estimados, y los niveles de reducción de
riesgo son medidos. El resultado de esta fase es un plan claro y aplicable para controlar o aceptar cada
uno de los principales riesgos identificados durante la fase de evaluación de riesgos.

Tercera fase: Evaluación del tratamiento

Durante esta fase, se desarrollan y ejecutan planes basados en las soluciones de control que emergieron
durante el proceso de apoyo de decisiones para medir la eficacia del programa. Cuando las fases
anteriores del proceso de gestión de riesgos de seguridad concluyen, las organizaciones evalúan el
progreso logrado con respecto a la gestión de riesgos de seguridad en su totalidad.

Los siguientes diagramas de flujo (de la ISO/IEC 27005) ilustran las fases descritas anteriormente para la
gestión de riesgos de seguridad.

Document1 16.02.20 28
 Figura 1. Proceso de gestión de riesgos (ISO/IEC 27005)

Por último, los aspectos clave para que la implementación de un programa de gestión de riesgos de
seguridad tenga éxito se basarán en:

– El compromiso de la dirección y el pleno apoyo y participación de los equipos de TIC;

– Los conocimientos técnicos especializados para aplicar la metodología de evaluación de riesgos

de seguridad a un sitio y sistema específicos, identificar los riesgos de la misión y proporcionar protección
eficaz en función de los costos;

– El conocimiento y cooperación de los miembros de la comunidad de usuarios; y

– Una evaluación constante de los riesgos asociados a las TIC.

4 Resumen

Esta contribución proporciona aportes sobre la gestión de riesgos de seguridad para la Carpeta Técnica
sobre Seguridad Cibernética. Proporciona una descripción detallada del proceso por medio del cual puede
llevarse a cabo la gestión de riesgos. Se examinan dos modelos: la “Guía de gestión de riesgos de los
sistemas de tecnología de la información - NIST SP 800-30” y la norma ISO/IEC 27005:2008, “Tecnología
de la información – Técnicas de seguridad – Gestión de riesgos de la seguridad de la información”.

Se recomienda que el Relator sobre Seguridad Cibernética del Grupo de Trabajo sobre consideraciones de
Política y Regulación considere incorporar esta contribución en el capítulo 3 de la Carpeta Técnica sobre
Seguridad Cibernética.

Document1 16.02.20 29
5 Referencias

1. Norma de gestión de riesgos, Instituto de Gestión de Riesgos (IRM),

http://www.theirm.org/publications/documents/Risk_Management_Standard_030820.pdf

2. Gestión de riesgos de seguridad cibernética: Una perspectiva económica, Dr. Lawrence Gordon,
http://www.rhsmith.umd.edu/faculty/lgordon/cybersecurity/CYBERSECURITY%20RISK%20MANAGEME
NT.AN%20ECONOMICS%20PERSPECTIVE.ppt

3. Guía de gestión de riesgos de seguridad para los sistemas de tecnología de la información,

Dirección de Seguridad en las Comunicaciones (CSE) del Canadá, MG-2, enero de 1996.

4. ISO/IEC 27005: Gestión del riesgo de seguridad de la información (REQUISITOS PARA LA

EVALUACIÓN Y GESTIÓN DE RIESGOS)

5. Guía de gestión de riesgos de los sistemas de tecnología de la información, NIST, Publicación

Especial 800-30 http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

6. “Marco para la gestión de riesgos”, Cigital Inc., patrocinado la División Nacional de Seguridad
Cibernética del Departamento de Seguridad Interna de los Estados Unidos, 2005,
https://buildsecurityin.us-cert.gov/daisy/bsi/articles/best-practices/risk/250-BSI.html

7. Marco para la gestión de riesgos (RMF) VISIÓN GENERAL,

http://csrc.nist.gov/groups/SMA/fisma/framework.html

Document1 16.02.20 30
 Apéndice 1

Referencias

Resoluciones de la UNGA: 55/63

Resoluciones de la UNGA: 56/121

Resolución de la ONU 57/239

Resolución de la ONU 58/199

Resoluciones de la UNGA 64/211

Cumbre Mundial sobre la Sociedad de la Información (CMSI), Enunciado de Principios, y

Cumbre Mundial sobre la Sociedad de la Información (CMSI) Túnez, Orden del Día

“Adoption of a Comprehensive Inter-American Strategy to Combat Threats to Cybersecurity: A

Multidimensional and Multidisciplinary Approach to Creating a Culture of Cybersecurity”, AG/RES.
2004 (XXXIV-O/04)

Informe del Presidente sobre el Taller Temático en Seguridad Cibernética, CMSI, UIT, julio de 2005,
http://www.itu.int/osg/spu/cybersecurity/chairmansreport.pdf

65ª Sesión de la UNGA. Informe del grupo de expertos gubernamentales sobre los avances en el campo
de la información y las telecomunicaciones en el contexto de la seguridad internacional. Doc.
A/65/201. 30 de julio de 2010. http://daccess-dds-
ny.un.org/doc/UNDOC/GEN/N10/469/57/PDF/N1046957.pdf

"Best Practices for National Cybersecurity: Building a National Computer Security Incident Management
Capability". Documento RGQ22-1/1/006-E. Fuente: EE.UU. http://www.itu.int/md/D10-
RGQ22.1.1-C-0006/es.

"Best Practices for National Cybersecurity: Managing a National CSIRT with Critical Success Factors". ITU-
D Doc RGQ 22-1/1/007-E. Abril de 2011. Fuente: EE.UU. http://www.itu.int/md/D10-RGQ22.1.1-
C-0007/es.

"Building a training course on building and managing a CIRT". ITU-D Documento 1/193-E. Agosto de 2012.
http://www.itu.int/md/D10-SG01-C-0193/es.

"Best Practices for Cybersecurity: Public-Private Partnerships". ITU-D Documento 1/100-E. Agosto de
2011. http://www.itu.int/md/D10-SG01-C-0100/es.

Naciones Unidas. Declaración Universal de los Derechos Humanos, Artículo 19.

http://www.un.org/en/documents/udhr/index.shtml

Naciones Unidas. Pacto Internacional de Derechos Civiles y Políticos, Artículo 19. Diciembre de 1966.
http://www.ohchr.org/en/professionalinterest/pages/ccpr.aspx

Document1 16.02.20 31
Constitución de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura, Artículo
1.

Comisión de Estudio 17 del UIT-T. "La seguridad de las telecomunicaciones y las tecnologías de la
información". 2012. http://www.itu.int/pub/T-HDB-SEC.05-2011/es

Acrónimos

Document1 16.02.20 32
Apéndice 2

Capítulo 1: República Dominicana

Seguridad cibernética, fraude en la red y delitos informáticos 2

Antecedentes

Una de las características principales de Internet es que no tiene fronteras. Nos permite comunicarnos de
manera instantánea con amigos y familiares alrededor del mundo, realizar transacciones financieras en
cualquier parte del mundo en cuestión de segundos, recibir educación a distancia, trabajar de manera
remota, entre otras tantas aplicaciones. De esta misma forma han surgido nuevas amenazas, nuevas
modalidades delictivas a la par del desarrollo del Internet, así como viejas modalidades delictivas que han
encontrado nuevas formas de ser cometidas a través del uso de las nuevas tecnologías. Estas amenazas
(virus, troyanos, etc.) y estos fraudes (phishing, etc.) pueden ocurrir dentro de las fronteras de un país o
economía, pero en su gran mayoría son transnacionales, tampoco existen fronteras para estos delitos y
amenazas.

Esto nos crea un gran problema legal de jurisdicción que debe ser atendido lo antes posible, a la vez que
obliga la adopción de legislaciones en todos los países que, primero, tipifiquen y castiguen este nuevo tipo
de delito; segundo, que estén armonizadazas (que se tipifiquen los mismos tipos de delitos… si una
conducta es criminal en un país debe serlo en todos); tercero, que contemplen la extraterritorialidad para
que de tal forma cualquier país pueda juzgar a una persona por un hecho cometido o que el alcance de la
ley tenga sus efectos en otro, en caso de que la extradición no sea posible o factible.

Debemos establecer procedimientos internacionales para la obtención, procesamiento y presentación de

evidencia digital, a fin de que una evidencia obtenida a través de los mecanismos de cooperación policial
internacional pueda ser válida en un tribunal en cualquier parte del mundo.

De lo anterior se desprende la necesidad de crear unidades policiales y judiciales de investigación de

delitos cibernéticos que estén en capacidad tanto de dar respuesta a la criminalidad cibernética dentro
de su territorio, como de colaborar con unidades policiales y judiciales de otros países en investigaciones
de delitos transnacionales y en la preservación y obtención de evidencia digital.

2
Fuente: XVII.CCP.I-TEL/doc. 787/06

Document1 16.02.20 33
Otra necesidad es la de crear Equipos de Respuesta a Incidentes de Seguridad en Computadoras (CSIRT)
locales que estén en capacidad ante un evento cibernético generalizado de:

• Detectar e identificar eficazmente la actividad,

• Crear estrategias de mitigación y respuesta,

• Establecer canales confiables de comunicación,

• Proporcionar alertas tempranas a las poblaciones y áreas afectadas,

• Notificar a otros miembros de las comunidades de Internet y de seguridad sobre los potenciales
problemas,

• Ofrecer una respuesta coordinada a la actividad,

• Compartir datos e información sobre la actividad y las correspondientes soluciones de respuesta,

y

• Rastrear y hacer un seguimiento de esta información para determinar las tendencias y estrategias
correctivas a largo plazo.

La República Dominicana ha ido realizado avances en cuanto al marco regulatorio en torno a la seguridad
cibernética, incluyendo:

 la elaboración y sometimiento al Congreso Nacional del Proyecto de Ley Contra Crímenes y Delitos
de Alta Tecnología, y

 la creación del Departamento de Investigación de Crímenes y Delitos de Alta Tecnología, adscrito

a la Policía Nacional.

Como parte de las iniciativas para el fomento del desarrollo de una cultura de seguridad cibernética en
República Dominicana, también se han encaminado los pasos en torno a la creación de una comisión
dedicada a la Seguridad Cibernética, como una entidad que forma parte de la Comisión Nacional para la
Sociedad de la Información y el Conocimiento (CNSIC) de la RD, además de la creación de un equipo de
respuesta a incidentes informáticos (CSIRT), dependiente del Instituto Dominicano de las
Telecomunicaciones (INDOTEL), con el apoyo de la Comisión Interamericana Contra el Terrorismo (CICTE).

Protección a la infraestructura crítica nacional

Infraestructuras críticas son aquellos servicios y funciones de soporte esenciales que son necesarios para
asegurar el funcionamiento de un gobierno o una economía.

Document1 16.02.20 34
Se incluyen, por ejemplo, las telecomunicaciones, los sistemas críticos de información gubernamental,
suministros de agua y alimentos, transporte, generación de energía y electricidad, producción de gas y
petróleo, sistemas bancarios y financieros y servicios de salud y emergencias.

Por ejemplo, en el caso de Estados Unidos, esto incluye:

- Transporte

- Servicios gubernamentales

- Energía

- Agua

- Salud pública

- Servicios de emergencia

- Sistemas financieros y bancarios

- Telecomunicaciones

- Agricultura

- Alimentos

- Industria química

- Base industrial de defensa

Muchos gobiernos, empresas, instituciones académicas e individuos utilizan el entorno dinámico e

interconectado de los sistemas de información en red que existen en la actualidad para mejorar las
comunicaciones, brindar control, proteger la información y fomentar la competitividad. En muchos casos,
el bajo costo de las comunicaciones por medio de Internet reemplaza otras formas tradicionales de
comunicación (como las comunicaciones impresas y el teléfono). Las computadoras se han convertido en
una parte tan integral de las empresas y el gobierno que los riesgos cibernéticos no pueden separarse de
los riesgos generales comerciales, de salud y de privacidad.

La Internet puede poner en peligro valiosos bienes del gobierno y de las empresas. Por ejemplo, los
intrusos pueden acceder a información de los clientes, la información financiera, la propiedad intelectual
y los planes estratégicos pueden estar en riesgo, el uso generalizado de bases de datos pone en peligro la
privacidad de los individuos, el mayor uso de las computadoras en aplicaciones de seguridad crítica,

Document1 16.02.20 35
incluido el almacenamiento y procesamiento de registros médicos, aumenta las posibilidades de que un
accidente o un ataque al sistema informático tenga como consecuencia la pérdida de vidas humanas.

La Internet misma se ha convertido en una infraestructura crítica que debe ser protegida. Esta continúa
expandiéndose y existe un continuo movimiento hacia las configuraciones distribuidas y heterogéneas de
cliente-servidor. La tecnología distribuida suele tener también una gestión distribuida.

Cada día dependemos más de Internet. Desafortunadamente, en este entorno dinámico, distribuido e
interconectado, los ataques cibernéticos ocurren rápidamente y pueden expandirse por todo el mundo
en cuestión de minutos, independientemente de las fronteras, la geografía o las jurisdicciones nacionales.
Como resultado, existe una creciente necesidad de poder comunicar, coordinar, analizar y responder a
estos ataques en todos los países y sectores empresariales.

En este sentido, las propuestas a nivel internacional incluyen:

- Fomentar la adopción de legislaciones en cada uno de los países miembros que tipifiquen y
castiguen los delitos cibernéticos.

- Armonizar la tipificación de estos delitos para que todos los países miembros criminalicen el
mismo tipo de conductas.

- Fomentar la creación de unidades de investigación de delitos cibernéticos en los países que no las
tengan.

- Fomentar la creación de equipos locales de respuesta a incidentes de seguridad informática,

(CSIRTs) y equipos de respuesta para emergencias comunitarias (CERTs) en los países que no los tengan.

Por tanto, y en vista de la necesidad de fomentar un clima de confianza que fortalezca la seguridad
cibernética y el uso de las redes en el país, considerando la seguridad de la información, la autentificación,
la privacidad y la protección de los consumidores una necesidad en esta Era Digital, República Dominicana
ha elaborado un marco regulatorio que incluye lo siguiente:

 Ley 126-02 sobre Comercio Electrónico, Documentos y Firmas Digitales (4 de septiembre de 2002)

 Decreto 335-03- Reglamento de Aplicación de la Ley 126-02 (8 de abril 2003)

 Norma sobre Criterios de Auditoria (30 de enero 2004)

 Norma sobre Procedimientos de Seguridad (30 de enero 2004)

 Norma sobre Procedimientos de Autorización y Acreditación (30 de enero 2004)

Document1 16.02.20 36
 Norma sobre Políticas y Procedimientos de Certificación (30 de enero 2004)

 Norma sobre Estándares Tecnológicos (30 de enero 2004)

 Norma sobre la Hora Oficial en Medios Electrónicos e Internet (2 febrero 2006)

 Norma sobre Publicidad y Difusión de Información por los Sujetos Regulados (16 de marzo 2006)

 Norma sobre la Protección de Datos de Carácter Personal por los Sujetos Regulados (23 de marzo
2006)

Finalmente, a la fecha se han elaborado, pero aún se encuentran en espera de aprobación, las siguientes
normas:

 Norma sobre la Protección de los Derechos de los Usuarios y Consumidores

 Norma sobre la Aplicación de la Ley 126-02 en Procedimientos Aduaneros

 Norma sobre Medios de Pago Electrónicos, y

 Norma sobre la Aplicación de la Ley 126-02 sobre Derechos de Propiedad.

La República Dominicana se inscribe con las demás iniciativas que persigan el propósito de reducir las
amenazas y vulnerabilidades a las cuales somos objetos en el ciberespacio día tras día.

Document1 16.02.20 37
Capítulo 2: República Bolivariana de Venezuela

La República Bolivariana de Venezuela considera que el tema de la ciberseguridad es estratégico para el

sano desarrollo de la Sociedad de la Información y del Conocimiento en la región, por ello contribuye
mediante este documento informativo a la Carpeta Técnica sobre Seguridad Cibernética que se esta
elaborando en el seno del Grupo de Trabajo sobre Servicios y Tecnologías de Redes Avanzadas del Comité
Consultivo Permanente I y refleja algunos aspectos de la normativa que en materia de ciberseguridad se
emplean en Venezuela.

Normativa venezolana en materia de ciberseguridad:

En materia de seguridad en las Tecnologías de Información y Comunicación, Venezuela actualmente

cuenta con las siguientes normativas:

1. La Ley sobre Protección a la Privacidad de las Comunicaciones;

2. La Providencia Administrativa que contiene normas relativas al requerimiento de información en

el servicio de telefonía móvil;

3. La Ley sobre Mensajes de Datos y Firmas Electrónicas y su Reglamento;

4. Ley Especial contra Delitos Informáticos;

La Ley sobre Protección a la Privacidad de las Telecomunicaciones fue publicada en Gaceta Oficial de la
República Bolivariana de Venezuela N° 34.863 en fecha 16 de diciembre de 1991, y tiene como objetivo
proteger la privacidad, confidencialidad, inviolabilidad y secreto de las comunicaciones que se produzcan
entre dos o más personas.

La precitada Ley establece sanciones a las personas que:

 De manera arbitraria, clandestina o fraudulenta grabe, se imponga, interrumpa o impida una

comunicación entre personas;

Document1 16.02.20 38
 Sin estar autorizados conforme a esa misma Ley instale aparatos o instrumentos con el fin de
grabar o impedir las comunicaciones entre personas;

 Perturben la tranquilidad de otra persona mediante el uso de información obtenida mediante

procedimientos condenados por la misma Ley.

No obstante lo indicado anteriormente, la legislación de Venezuela permite obligar a las empresas de

telecomunicaciones y a los proveedores de servicios de Internet revelar a las autoridades investigadoras
información relacionada con la actividad de comunicaciones incluyendo algunos datos personales de los
usuarios, de acuerdo con las disposiciones del Código Orgánico Procesal Penal y a lo que en este sentido
se encuentra establecido en la Ley sobre Protección a la Privacidad de las Telecomunicaciones; estas
normativas permiten la interceptación o grabación de conversaciones por medio telefónico u otros
medios radioeléctricos de comunicación siempre que para ello, el Ministerio Público haya obtenido del
juez de control del lugar donde se realiza la investigación, la correspondiente autorización, la cual será
otorgada a los fines de la investigación de los siguientes hechos punibles:

a) Delitos contra la seguridad o independencia del Estado;

b) Delitos previstos en la Ley Orgánica de Salvaguarda del Patrimonio Público;

c) Delitos contemplados en la Ley Orgánica sobre Sustancias Estupefacientes y Psicotrópicas; y

d) Delitos de Secuestro y Extorsión.

Así mismo, en Venezuela se cuenta a nivel sublegal con la Providencia Administrativa contentiva de las
normas relativas al requerimiento de información en el servicio de telefonía móvil, dictada por CONATEL
y publicada en Gaceta Oficial de la República Bolivariana de Venezuela N° 38.157, de fecha 1 de abril de
2005, la cual tiene por objeto establecer las normas relativas al requerimiento de los datos personales de
los abonados del servicio de telefonía móvil por parte de los operadores del servicio, en la suscripción de
los contratos de servicio respectivos, así como las normas relativas al suministro de información por parte
de los operadores del servicio de telefonía móvil a los órganos de seguridad del Estado, con ocasión de
una investigación penal.

En cuanto a la Ley sobre Mensajes de Datos y Firmas Electrónicas, publicado en Gaceta Oficial N° 37.148
de fecha 28 de febrero de 2001, esta tiene por objeto otorgar y reconocer la eficacia y valor jurídico a la
Firma Electrónica, al Mensaje de Datos y a toda información inteligible en formato electrónico,
independientemente de su soporte material, atribuible a personas naturales o jurídicas, públicas o

Document1 16.02.20 39
privadas, así como regular lo relativo a los Proveedores de Servicios de Certificación y los Certificados
Electrónicos.

La Ley sobre Mensajes de Datos y Firmas Electrónicas es aplicable a los Mensajes de Datos y Firmas
Electrónicas independientemente de sus características tecnológicas o de los desarrollos tecnológicos que
se produzcan en un futuro. A tal efecto, sus normas serán desarrolladas e interpretadas progresivamente,
orientadas a reconocer la validez y eficacia probatoria de los Mensajes de Datos y Firmas Electrónicas.

Mediante la Ley sobre Mensajes de Datos y Firmas Electrónicas, se crea la Superintendencia de Servicios
de Certificación Electrónica, SUSCERTE, como un servicio autárquico con autonomía presupuestaria,
administrativa, financiera y de gestión, en las materias de su competencia, dependiente del Ministerio de
Ciencia y Tecnología. Esta Superintendencia es responsable de acreditar, supervisar y controlar, en los
términos previstos en este Decreto-Ley y sus reglamentos, a los Proveedores de Servicios de Certificación
públicos o privados.

Algunas de las competencias de SUSCERTE son:

 Otorgar la acreditación y la correspondiente renovación a los Proveedores de Servicios de

Certificación.

 Revocar o suspender la acreditación otorgada cuando se incumplan las condiciones, requisitos y

obligaciones requeridas.

 Mantener, procesar, clasificar, resguardar y custodiar el Registro de los Proveedores de Servicios

de Certificación públicos o privados.

 Verificar que los Proveedores de Servicios de Certificación cumplan con los requisitos indicados
en la Ley sobre Mensajes de Datos y Firmas Electrónicas.

 Supervisar las actividades de los Proveedores de Servicios de Certificación.

 Inspeccionar y fiscalizar la instalación, operación y prestación de servicios realizados por los

Proveedores de Servicios de Certificación.

 Actuar como mediador en la solución de conflictos que se susciten entre los Proveedores de
Servicios de Certificados y sus usuarios.

En relación a la Ley Especial contra Delitos Informáticos, esta fue publicada en Gaceta Oficial de la
República Bolivariana de Venezuela N° 37.313 de fecha 30 de octubre de 2001, la cual tiene por objeto la
protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y

Document1 16.02.20 40
sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos
mediante el uso de dichas tecnologías. Esta Ley tipifica los siguientes delitos:

 Delitos contra los sistemas que utilizan tecnologías de la información;

 Delitos contra la propiedad;

 Delitos contra la privacidad de las personas y de las comunicaciones;

 Delitos contra niños/as o adolescentes;

 Delitos contra el orden económico.

Actualmente la seguridad informática ha tomado gran auge, dadas las cambiantes condiciones y nuevas
plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto
nuevos horizontes para explorar más allá de las fronteras nacionales, situación que ha llevado la aparición
de nuevas amenazas en los sistemas computarizados.

Esto ocasionó que muchas organizaciones gubernamentales y no gubernamentales elaboraran

documentos y directrices en torno al uso adecuado de estas habilidades tecnológicas, así como
recomendaciones para obtener el máximo beneficio de estas ventajas y evitar el uso inadecuado de las
mismas, lo cual podría ocasionar serios problemas para los bienes y servicios de las empresas del mundo.

En este sentido, las políticas sobre seguridad cibernética provienen de la Superintendencia de Servicios
de Certificación Electrónica (SUSCERTE) en tanto que es una entidad que ayuda a despertar la conciencia
entre los miembros de una organización sobre la importancia y la confidencialidad de la información.

De acuerdo con lo anterior, fue publicado en Gaceta Oficial No. 345.394 de fecha 6 de abril de 2006, La
Ley Orgánica de la Administración Pública en concordancia con la Ley Orgánica de Ciencia, Tecnología e
Innovación, considera que el Ministerio de Ciencia y Tecnología debe establecer políticas para el mejor
uso, protección y conservación de la información que se procesa y almacena en los equipos de
computación del Estado donde las Políticas de Seguridad Informática estarán dirigidas a implementar
controles necesarios que sirvan para preservar la operatividad y continuidad en los Órganos y Entes de la
Administración Pública Nacional.

El manual que presenta la Superintendencia de Servicios de Certificación Electrónica SUSCERTE incluye

casi todas las políticas ahora consideradas parte de la norma profesional no militar en seguridad
informática. La norma de cuidado profesional define el conjunto mínimo de medidas de seguridad
informática que se espera en una institución. En este material se han incluido muchas políticas adicionales

Document1 16.02.20 41
que van más allá de esta norma de debido cuidado, porque proporcionan un nivel más riguroso de
seguridad.

Si bien no existe en la actualidad una norma mundial que defina las políticas específicas de seguridad
informática. El más cercano es el documento número 17799 de la Organización Internacional de Normas
y Estándares (ISO), el cual define un esquema y proporciona orientación de alto nivel sobre políticas de
seguridad informática. Las políticas de este manual están organizadas sobre la base del esquema ISO
17799. Dada la rapidez de significativos desarrollos en las áreas legales, empresariales estatales e
informáticas, todavía mucha gente se pregunta si alguna vez tendremos un conjunto específico de
políticas normalizadas a nivel internacional.

Capítulo 3: Argentina

CREACION DE UN CSIRT EN ARGENTINA

Introducción

Uno de los temas de discusión permanente, no solo en la región sino también a nivel mundial es la
seguridad de la RED. Cada país desarrolla su propia política de seguridad de acuerdo a las características
y tipos de problemas que afrontan.

Si bien existen diferentes normas y protocolos internacionalmente aceptados e instituciones que lideran
estas tareas, como por ejemplo la Universidad de Carnegie Mellon en Estados Unidos, las acciones
llevadas a cabo por los gobiernos, en forma directa o a través de sus administraciones, no suelen ser
suficientes para paliar el impacto de los diferentes ataques en cualquiera de las modalidades conocidas.

En Argentina, el Estado Nacional, a través de la Oficina Nacional de Tecnologías de la Información (ONTI),

dependiente de la Subsecretaría de Tecnología de Gestión, que a su vez depende de la Secretaría de
Gabinete y Gestión Pública (www.spg.gob.ar) ha creado la Coordinación de Emergencia en Redes
Teleinformáticas de la Administración Pública Argentina (ArCERT) en Julio de 1999, con el objeto de
incrementar los niveles de seguridad informática del sector público y atender los incidentes de seguridad
informática ocurridos en las redes de la Administración Pública Nacional.. También, y como parte de sus

Document1 16.02.20 42
acciones, tiene vinculación con otras entidades públicas y el sector privado brindando apoyo en la
resolución de problemas.

Dentro de este contexto – CABASE – “Cámara Argentina de Bases de Datos y Servicios en Línea” dado este
nombre por ser una cámara cuya existencia es anterior a la Red, hoy se sitúa como la Cámara de Internet
de Argentina. Esta misma institución administra el NAP nacional (Network Access Point), primer NAP
independiente y sin fines de lucro de la región. Dentro de estas actividades que hacen al desarrollo de
Internet en la Argentina, CABASE impulsa permanentemente tanto en el país, como a través de su
participación en los foros internacionales donde tiene participación activa y permanente, proyectos que
permitan el crecimiento armónico de Internet y conjuntamente con la disminución de la brecha digital. En
este contexto, se tomó la decisión de crear un CSIRT, es decir, un Equipo de Respuesta a Incidentes de
Seguridad Informática, con el fin de dotar al sector privado, académico y a la sociedad en su conjunto, de
una institución que atienda los incidentes de seguridad y articule la colaboración entre el sector público y
el sector privado, actuando asimismo, como ente colaborador del ArCERT.

Este informe tiene como objetivo la difusión de estas actividades en la región y lograr que otras
organizaciones en diferentes países que todavía no han avanzado en la resolución de los problemas de la
Red , puedan definir proyectos en este sentido. Según los datos de Carnegie Mellon solo siete países de
la región tienen algún tipo de CERT, lo que demuestra la necesidad de acciones por parte de todos los
actores en esta problemática para modificar esta situación.

Document1 16.02.20 43
Resumen ejecutivo

A mediados del año 2008, se tomo la decisión de comenzar un proyecto denominado “CSIRT- CABASE”
con el objeto de brindar apoyo en temas relativos a seguridad informática a las empresas del sector y a la
sociedad en general.

En tal sentido, se busca crear un canal de comunicación seguro, permanente y confiable con los usuarios
de Internet que permita mantenerlos informados sobre los diferentes tipos de ataques, virus, gusanos,
fishing, etc, que se suceden en la Red y las soluciones disponibles, actuando para ello como centralizador
de reportes y repositorio de información. Asimismo, se busca desarrollar actividades de capacitación que
ayuden a incrementar los niveles de seguridad de las distintas redes, de acuerdo a las mejores prácticas
que se vayan desarrollando.

Es importante destacar el marco legal en el que se desarrolló dicho proyecto tomando en cuenta el marco
regulatorio nacional actual y dando a conocer las experiencias de otros países a nivel internacional

Cronología

Este Proyecto se dividió en Cuatro Etapas perfectamente definidas en función de la implementación del
mismo y de los servicios a prestar en cada una.

La Primera Etapa denominada “Definición del Proyecto” tuvo una duración de 240 días, finalizando el 15
marzo del corriente año. Cada Etapa siguiente (Segunda, Tercera y Cuarta) tienen una duración de seis
meses cada una. La segunda comenzó el 16 de marzo de este año y comprende, además de los objetivos
detallados y el plan respectivo, la evaluación de la etapa anterior y sus eventuales correcciones, si las
hubiera, así como el dimensionamiento de los servicios a prestar.

Principales funciones

- Mantener una base de datos de vulnerabilidades de seguridad con el objetivo de que sirva para consulta,
seguimiento, y registro histórico, además de contener toda la información pertinente sobre las

Document1 16.02.20 44
vulnerabilidades, plataformas a las que afectan y cuál es su mecanismo de prevención. La base de datos
incluye una indicación del grado de amenaza, de acuerdo a una métrica basada en normas (ISO TR 13335
- ISO/IEC 27005), lo que permite a quienes la consultan, tomar decisiones sobre la urgencia con que deben
actuar en sus sistemas a fin de lograr un cronograma de actualizaciones de seguridad eficiente y adecuado
a la dinámica de trabajo de cada organización. Las empresas asociadas, además de tener libre acceso a
esta base de datos, podrán acceder a un servicio personalizado a través del cual se les informará a las
personas que ellos indiquen, únicamente sobre las vulnerabilidades que afecten a las plataformas que
ellas tengan instaladas. Habrá una versión reducida de esta base que estará disponible para el público en
general, que contendrá información resumida de las vulnerabilidades de mayor relevancia para la
comunidad informática en general.

- Mantener una base de datos de incidentes de seguridad ocurridos en las organizaciones asociadas, con
el objetivo de brindar el nivel de ayuda que soliciten para dar respuesta a los mismos, generar acciones
que permitan evitar la repetición de la situación y funcionar como repositorio de información compartido
que permita aumentar el nivel de seguridad de la “comunidad CSIRT-CABASE” formada por los asociados.
Esta base sólo estará a disposición del público en general en forma de resultados anónimos, la cual
cumplirá los más altos grados de seguridad y no permitirá identificar a la organización que experimentó
un determinado incidente.

- Proveer un servicio especializado de asesoramiento en Seguridad de la Información basado en normas,

adaptado al marco legal, regulatorio y normativo vigente en Argentina.

- Promover la coordinación entre las organizaciones asociadas para la prevención, detección, manejo y
recuperación de incidentes de seguridad a partir del cumplimiento de la función de repositorio de
información sobre incidentes de seguridad, herramientas y contramedidas.

- Brindar capacitación a las áreas relacionadas con la seguridad de la información de las organizaciones
asociadas.

- Establecer contactos con otros centro de respuestas a incidentes del mundo, así como con las
organizaciones que los mismos agrupan, a fin de mantener un intercambio de información que aumente
el alcance de los conocimientos generados por el análisis de los incidentes locales, pero siempre
manteniendo el anonimato de las organizaciones que los sufrieron.

Alcance

Document1 16.02.20 45
CSIRT-CABASE cumple funciones de naturaleza eminentemente técnica y no investigará el origen de
ataques ni quiénes son sus responsables.

CSIRT CABASE mantendrá absoluta confidencialidad sobre las organizaciones implicados en los incidentes
de seguridad y sólo divulgará información de forma estadística, sobre la que no será posible individualizar
el origen de los incidentes.

CSIRT CABASE analizará los sistemas de las organizaciones, asociadas o no, sólo cuando estas lo soliciten
expresamente y como contratación de un servicio sobre el que se firmarán los correspondientes acuerdos
de confidencialidad y el contrato de servicio.

Servicios

Los servicios que ofrece CSIRT – CABASE comenzarán a estar disponibles en diferentes etapas de las cuales
la primera está prevista para el 15 de junio de 2009 y, siguiendo la estructura establecida para los CSIRT,
se clasifican en tres categorías:

- Servicios reactivos: Se inician ante la ocurrencia de un incidente de alcance general o de un pedido

particular de una organización asociada. Consisten en el análisis de la situación, el desarrollo de
recomendaciones para su control, la generación de contramedidas para minimizar la posibilidad de una
nueva recurrencia y la proposición de un esquema de modificaciones al esquema de herramientas
utilizadas, la Política de Seguridad, los Procedimientos y los Planes de contingencia existentes para
eliminar este riesgo.

- Servicios proactivos: Consisten en la recolección y generación de información específica para ayudar a

preparar, proteger y asegurar los sistemas de las organizaciones asociadas. Estos servicios tienen como
objetivo contribuir a la mejor toma de decisiones en cuanto a la actualización de los sistemas de seguridad
y servir de guía para quienes tienen que planificar y controlar la puesta al día de las actualizaciones de
seguridad necesarias. A partir de esta base de conocimiento se desarrollarán análisis de tendencias de
ataque que, junto con los servicios específicos, serán un factor que contribuirá a la disminución de los
incidentes. Una versión reducida de estos servicios estará disponible para la comunidad informática en
general.

- Servicios de gestión de calidad de la seguridad: Si bien son básicamente servicios de consultoría en

seguridad de la información exclusivos para las organizaciones asociadas, estos se prestan a partir de la

Document1 16.02.20 46
visión, experiencia e independencia del CSIRT-CABASE, como ente referencial que posee el conocimiento
específico de la realidad de la seguridad de la información en el país y bajo el marco legal, regulatorio y
normativo local.

Descripción de los servicios y etapas de implementación

Etapa 2

Alertas y advertencias

Este servicio incluye la difusión de información sobre formas de ataque, vulnerabilidades detectadas en
diferentes plataformas, virus y malware (software malintencionado) en general, y recomendaciones para
prevenir los problemas específicos. Cada alerta y advertencia está clasificada según su grado de criticidad
a través de una métrica de riesgo basada en normas (ISO TR 13335 - ISO/IEC 27005). Este servicio consiste
en cinco aplicaciones básicas:

- Jefes y Supervisores de Seguridad: tendrán una lista de referencia específica de las actualizaciones que
deberían realizar y un índice de criticidad de riesgo proveniente de una métrica basada en normas que
permitirá establecer la urgencia de la actualización en su sistema en particular.

- Gerentes de Seguridad o CIO’s: tendrán una referencia para determinar lo que deben controlar en cuanto
al cumplimiento de las actualizaciones.

- Auditoría Interna: tendrá una referencia para verificar el cumplimiento de las actualizaciones.

- Auditorías Externas: se les podrá presentar un mecanismo concreto de información para la toma de
decisiones de puesta al día de las actualizaciones de seguridad.

- Área de Legales: contará con un recurso en forma de servicio de referencia, que podrá utilizar para
manejar problemas relacionados con la responsabilidad dirigida del área de sistemas y tecnología.

La información proviene de las investigaciones de CSIRT-CABASE, proveedores, otros centros de respuesta

a incidentes, expertos en seguridad, y usuarios pertenecientes a organizaciones asociadas.

Document1 16.02.20 47
La organización asociada recibirá las alertas y advertencias específicas para las plataformas que tiene
instaladas y dirigidas a quienes determine.

Monitoreo tecnológico

CSIRT-CABASE monitorea y observa los nuevos desarrollos tecnológicos, las actividades de los intrusos, y
las tendencias relacionadas para ayudar a identificar amenazas futuras. Los temas analizados incluyen
disposiciones legales, amenazas sociales o políticas, y tecnologías emergentes. Este servicio se basa en la
lectura de listas de correos de seguridad, sitios web de seguridad, y noticias y artículos periodísticos
actuales en el campo de la ciencia, la tecnología, la política y el gobierno, para extraer información
relevante para la seguridad de los sistemas y las infraestructuras críticas de las organizaciones asociadas.
Los resultados de este servicio son anuncios, instrucciones, o recomendaciones.

Etapa 3

Manejo de vulnerabilidades

El manejo de vulnerabilidades comprende la recepción de información e informes acerca de las

vulnerabilidades de hardware y software, el análisis de la naturaleza, mecánica, y efectos; y el desarrollo
de estrategias de respuesta para su detección y reparación.

Análisis de vulnerabilidades

CSIRT-CABASE realiza un análisis técnico y examen de las vulnerabilidades en el hardware o software.

Esto incluye la verificación de las vulnerabilidades sospechadas y el examen técnico del hardware o
software a fin de determinar dónde están ubicadas y cómo pueden ser explotadas.

Análisis de artefactos

CSIRT-CABASE lleva a cabo un examen y análisis técnico de cualquier artefacto encontrado en un sistema.
El análisis incluye el tipo de archivo y estructura del artefacto, compara un nuevo artefacto con otros
existentes u otras versiones del mismo para detectar similitudes y diferencias, o aplica la ingeniería
reversa o desensamble del código para determinar su fin o función.

Document1 16.02.20 48
Análisis de riesgo

CSIRT-CABASE tiene capacidad para agregar valor al análisis y evaluación de riesgos. Esto puede mejorar
la habilidad de la organización para evaluar amenazas reales, para proveer evaluaciones cualitativas y
cuantitativas realistas de los riesgos de los activos de información, y para evaluar las estrategias de
protección y respuesta. CSIRT-CABASE puede guiar o asistir en las actividades de análisis de riesgo de
seguridad de la información para nuevos sistemas y procesos de empresas o para evaluar amenazas y
ataques contra los activos y sistemas de las organizaciones asociadas.

Planificación de la continuidad del negocio y recuperación de desastres

Cada vez más incidentes tienen el potencial de provocar una degradación seria de las operaciones del
negocio en base a eventos pasados y predicciones futuras de un incidente emergente o tendencias de
seguridad. Por lo tanto, las tareas de planificación deben considerar la experiencia y recomendaciones del
CSIRT para determinar cómo responder mejor a tales incidentes y, en consecuencia, asegurar la
continuidad de las operaciones del negocio. CSIRT-CABASE puede participar en la planificación de la
continuidad del negocio y de la recuperación de desastres para eventos relacionados con amenazas y
ataques a la seguridad informática.

Consultoría en seguridad

CSIRT-CABASE brinda asesoramiento sobre las mejores prácticas de seguridad a ser implementadas en las
operaciones comerciales de las organizaciones asociadas. El servicio consta de la preparación de las
recomendaciones y de la identificación de los requerimientos para compra, instalación o aseguramiento
de los nuevos sistemas, dispositivos de red, aplicaciones de software o procesos comerciales. Este servicio
incluye la provisión de asesoramiento y asistencia en el desarrollo de políticas de seguridad de la
organización asociada. También puede abarcar la provisión de pruebas o asesoramiento a cuerpos de
gobierno legislativos u otros.

Concientización

CSIRT-CABASE tiene la capacidad de identificar las áreas en que las organizaciones asociadas requieren
más información y asesoramiento a fin de cumplir mejor con las prácticas y políticas de seguridad
aceptadas. Acrecentando la concientización sobre la seguridad del personal de las organizaciones
asociadas no sólo se mejora la comprensión de los temas de seguridad, sino también se los ayuda a realizar
sus operaciones diarias en una forma más segura. Esto puede reducir los casos de ataques exitosos e
incrementar la probabilidad de que los destinatarios del servicio detecten e informen ataques, reduciendo

Document1 16.02.20 49
así los tiempos de recuperación y eliminando o minimizando las pérdidas. El CSIRT incrementa la
concientización sobre la seguridad a través del desarrollo de artículos, boletines, su sitio web, u otros
recursos de información que explican las mejores prácticas de seguridad y ofrecen consejos sobre las
precauciones a tomar. Las actividades incluyen la programación de reuniones y seminarios para mantener
al personal de las organizaciones asociadas actualizado en cuanto a los procedimientos de seguridad en
marcha y a las amenazas potenciales a los sistemas.

Educación/capacitación

Este servicio incluye suministrar información al personal de las organizaciones asociadas acerca de temas
relacionados con la seguridad de la información a través de seminarios, talleres, cursos y clases. Los temas
incluyen pautas para informar incidentes, métodos de respuesta apropiados, herramientas de respuesta
a incidentes, preservación de evidencia digital, métodos de prevención de incidentes, y otra información
necesaria para proteger, detectar, informar y responder a incidentes de seguridad.

Evaluación y/o certificación de productos

CSIRT-CABASE puede conducir evaluaciones de herramientas, aplicaciones y otros servicios para

garantizar la seguridad de los productos y su cumplimiento con las prácticas de seguridad del propio CSIRT
o de una organización. Las herramientas y aplicaciones analizadas pueden ser productos comerciales o de
otra fuente. Este servicio es provisto como una evaluación o a través de un programa de certificación,
según lo requiera la organización asociada.

Etapa 4

Manejo de Incidentes

El manejo de incidentes abarca la recepción, la clasificación, y la respuesta a solicitudes e informes, y el

análisis de incidentes y eventos.

Las actividades de respuesta pueden incluir:

 Llevar a cabo acciones para proteger los sistemas y redes afectados o amenazados por la acción
de un intruso.

 Proporcionar soluciones y estrategias de mitigación a partir de advertencias o alertas adecuadas.

Document1 16.02.20 50
 Buscar actividades del intruso en otras partes de la red.

 Filtrar el tráfico de la red.

 Reconstruir los sistemas.

 Parchar y reparar los sistemas.

 Desarrollar otras estrategias de respuesta o “soluciones alternativas“.

Análisis de incidentes

Existen varios niveles de análisis de incidentes y de servicios. El análisis de un incidente implica un análisis
de la información disponible y la evidencia que la sustenta o de los artefactos relacionados con un
incidente o evento. El propósito del análisis es identificar el alcance del incidente, el grado de daño
causado, la naturaleza y las estrategias de respuesta o soluciones alternativas disponibles. CSIRT-CABASE
puede utilizar los resultados de análisis de vulnerabilidades y artefactos para comprender y proporcionar
un análisis más completo y actualizado de lo ocurrido en un sistema específico. CSIRT- CABASE
correlaciona la actividad a través de incidentes para determinar cualquier interrelación, tendencias,
patrones o rastros de intrusos. Dos subservicios que se pueden brindar como parte del análisis de
incidentes son:

Recolección y preservación de evidencia forense: recolección, preservación, documentación, y análisis

de evidencia de un sistema de computación comprometido para determinar los cambios al sistema y para
asistir en la reconstrucción de los eventos que condujeron al compromiso. Esta recolección de información
y evidencia debe ser hecha de forma tal que documente una cadena de custodia demostrable que sea
admisible en un tribunal bajo las reglas de evidencia. Las tareas que abarca la recolección de evidencia
forense incluyen -pero no están limitadas a- hacer una copia bit a bit del disco duro del sistema afectado;
verificar los cambios al sistema, tales como nuevos programas, archivos, servicios y usuarios; controlar los
procesos activos y los puertos abiertos; y verificar si existen programas Troyanos y “toolkits”. El personal
del CSIRT-CABASE que realiza esta función también puede tener que estar preparado para actuar como
testigo experto en los procedimientos del tribunal.

Seguimiento o Rastreo: rastreo de los orígenes de un intruso o del sistema de identificación al cual el
intruso tuvo acceso. Esta actividad podría consistir en rastrear o efectuar el seguimiento de cómo el
intruso entró en el sistema afectado y las redes relacionadas, qué sistemas fueron usados para lograr ese
acceso, dónde se originó el ataque, y qué otros sistemas y redes fueron usados como parte del ataque.
También podría incluir tratar de determinar la identidad del intruso. Este trabajo podría ser realizado de
manera autónoma, pero generalmente implica trabajar con el personal auxiliar de la justicia, los
proveedores de servicio de Internet, u otras organizaciones involucradas.

Document1 16.02.20 51
Respuesta a incidentes en el lugar

CSIRT-CABASE provee asistencia directa en el lugar para ayudar a los destinatarios del servicio a
recuperarse de un incidente. CSIRT-CABASE analiza físicamente los sistemas afectados y conduce la
reparación y recuperación de los sistemas, en lugar de proveer sólo un soporte de respuesta a incidentes
por teléfono o correo electrónico (ver debajo). Este servicio abarca todas las acciones tomadas localmente
que son necesarias si se sospecha de u ocurre un incidente.

Soporte de respuesta a incidentes

CSIRT-CABASE asiste y guía a la(s) víctima(s) de un ataque para recuperarse del incidente vía telefónica,
correo electrónico, fax u otro mecanismo de comunicación disponible. Esto puede abarcar asistencia
técnica en la interpretación de los datos reunidos, provisión de información de contacto o un
asesoramiento sobre mitigación y estrategias de recuperación. No involucra acciones directas de
respuesta a incidentes en el lugar como las descriptas arriba.

Document1 16.02.20 52
Coordinación de respuesta a incidentes

CSIRT-CABASE coordina la tarea de respuesta entre las partes involucradas en el incidente. Esto
generalmente incluye a la víctima del ataque, a otros sitios involucrados en el ataque, y a cualquier sitio
que requiera asistencia en el análisis del ataque. Esto también puede incluir las partes involucradas que
proveen soporte IT a la víctima, tales como el proveedor de servicio de Internet, otros centros de
respuesta, y administradores de redes y sistemas del lugar. El trabajo de coordinación puede abarcar
actividades como: reunir información del contacto, notificar sitios acerca de su potencial participación
(como víctimas o fuente de un ataque), reunir estadísticas acerca de la cantidad de sitios involucrados, y
facilitar el intercambio y análisis de información. Parte del trabajo de coordinación puede implicar la
notificación y colaboración con un asesor legal de la organización, departamentos de recursos humanos
o relaciones públicas. También podría incluir coordinación con órganos de aplicación de la ley. Este
servicio no implica respuesta al incidente en el lugar.

Respuesta a vulnerabilidades

Este servicio implica determinar la respuesta apropiada para mitigar o reparar una vulnerabilidad. Esto
puede incluir desarrollar o investigar parches, reparaciones y soluciones alternativas (workarounds).
También abarca notificar a otros sobre la estrategia de mitigación, posiblemente creando y distribuyendo
asesoramiento y alertas. Este servicio puede incluir llevar a cabo la respuesta mediante la implementación
de de parches, reparaciones (fixes) o soluciones alternativas (workarounds).

Coordinación de respuesta a vulnerabilidades

CSIRT-CABASE notifica a las distintas partes de la organización asociada acerca de la vulnerabilidad y

comparte información acerca de cómo reparar o mitigar la vulnerabilidad. CSIRT-CABASE verifica que la
estrategia de respuesta a la vulnerabilidad ha sido implementada exitosamente. Este servicio puede
abarcar comunicación con otros proveedores, otros CSIRTs, expertos técnicos, miembros del área de
cobertura, y las personas o grupos que descubrieron o informaron la vulnerabilidad inicialmente. Las
actividades incluyen: coordinar los cronogramas de envío de los documentos correspondientes, parches,
o soluciones alternativas y sintetizar los análisis técnicos realizados por las diferentes partes. Este servicio
puede también incluir la creación de un archivo o base de datos pública o privada de información de
vulnerabilidades y las correspondientes estrategias de respuesta.

Manejo de artefactos

Un artefacto es cualquier archivo u objeto encontrado en un sistema que podría estar destinado a
investigar o atacar sistemas y redes o que está siendo usado para violar las medidas de seguridad. Los
artefactos pueden incluir - pero no están limitados a - virus de computadora, programas Troyanos,
gusanos, “exploit scripts”, y “toolkits”. El manejo de un artefacto implica obtener información acerca del

Document1 16.02.20 53
mismo y copias de los utilizados en los ataques de intrusos, reconocimiento, y otras actividades no
autorizadas o perjudiciales. Una vez recibido, el artefacto es revisado. Esto incluye el análisis de la
naturaleza, mecanismos, versión y uso de los artefactos; y el desarrollo (o la proposición) de estrategias
de respuesta para detectar, eliminar y defenderse contra éstos.

Respuesta a artefactos

Este servicio implica la determinación de las acciones apropiadas para detectar y eliminar los artefactos
de un sistema, como así también prevenir que se instalen los mismos. Esto puede implicar la creación de
firmas que pueden ser agregadas a un software antivirus o IDS.

Coordinación de respuesta a artefactos

Este servicio implica compartir y sintetizar los resultados del análisis y estrategias de respuesta
relacionadas con un artefacto con otros investigadores, centros de respuesta a incidentes, proveedores,
y otros expertos de seguridad. Las actividades incluyen notificar a otros y sintetizar los análisis técnicos
de una variedad de fuentes. Las actividades también pueden incluir mantener un archivo público o
solamente para miembros del área de cobertura, de los artefactos conocidos, su impacto y las estrategias
de respuesta apropiadas.

Auditorias o evaluaciones de seguridad

Este servicio ofrece una revisión y análisis detallados de la infraestructura de seguridad de la organización,
basados en los requerimientos definidos por la organización o por otras normas aplicables de la industria.
También puede incluir una revisión de las prácticas de seguridad de la organización. Hay varios tipos
diferentes de auditorias o evaluaciones que se pueden ofrecer, incluyendo:

Revisión de la infraestructura
Revisión manual de las configuraciones del hardware y software, routers, cortafuegos (firewalls),
servidores, y servicios de escritorio para asegurar que cumplan con las mejores prácticas de las políticas
de seguridad y configuraciones normalizadas para la organización o la industria.

Revisión de mejores prácticas

Entrevista a empleados y administradores de sistemas y de redes para determinar si sus prácticas de

seguridad responden a la política de seguridad definida en la organización o alguna norma específica de
la industria.

Document1 16.02.20 54
Escaneo

Uso de detectores de vulnerabilidad o virus para determinar qué sistemas y redes son vulnerables.

Prueba de penetración
Prueba de la seguridad de un sitio mediante el ataque deliberado de sus sistemas y redes.

Se requiere la aprobación de la gerencia superior antes de conducir tales auditorías o evaluaciones.

Algunos de estos enfoques pueden estar prohibidos por política de la organización. La provisión de este
servicio puede incluir la identificación de una serie de prácticas comunes a las cuales se realizan las
pruebas o evaluaciones, junto con el desarrollo de una serie de habilidades o requerimientos de
certificación para el personal que desarrolla las pruebas, las evaluaciones, las auditorías o revisiones. Este
servicio también podría ser contratado a terceros o a un proveedor del servicio de gestión de seguridad
con la experiencia apropiada en conducción de auditorías y evaluaciones.

Configuración y mantenimiento de las herramientas, aplicaciones, infraestructuras y servicios de

seguridad

Este servicio identifica o provee el asesoramiento adecuado sobre cómo configurar y mantener en forma
segura las herramientas, aplicaciones y la infraestructura informática general utilizada por una
organización asociada a CSIRT-CABASE o al mismo CSIRT-CABASE. Además de proveer asesoramiento, el
CSIRT-CABASE puede realizar actualizaciones de configuración y mantenimiento de las herramientas y
servicios de seguridad, tales como, escaneo de red o sistemas de monitoreo, filtros, “wrappers”, firewalls,
redes privadas virtuales (VPN), o mecanismos de autenticación. CSIRT-CABASE puede también configurar
y mantener servidores, desktops, laptops, asistentes digitales personales (PDAs), y otros dispositivos
inalámbricos de acuerdo con las pautas de seguridad. Este servicio incluye el planteo a la gerencia de
cualquier tema o problema con las configuraciones o el uso de las herramientas y aplicaciones que el
CSIRT-CABASE cree que podrían dejar al sistema vulnerable a un ataque.

Desarrollo de herramientas de seguridad

Este servicio incluye el desarrollo de cualquier herramienta nueva específica del destinatario del servicio
que sea requerida o deseada por las organizaciones asociadas o por el mismo CSIRT-CABASE. Esto puede
incluir, por ejemplo, el desarrollo de parches de seguridad a medida para software utilizado por miembros
del área de cobertura o distribuciones de software aseguradas que pueden ser utilizadas para rearmar las
computadoras comprometidas. Esto también puede incluir el desarrollo de herramientas o scripts que
extienden la funcionalidad de las herramientas de seguridad existentes, tales como un nuevo plug-in para

Document1 16.02.20 55
una vulnerabilidad o scanner de red, scripts que facilitan el uso de tecnología de encriptado, o mecanismos
automáticos de distribución de parches.

Servicios de detección de intrusiones

CSIRT-CABASE llevará a cabo este servicio por medio de revisión de los registros de IDSs existentes,
analizando e iniciando una respuesta para cualquier evento que cumpla con sus condiciones de umbral, o
enviando una alerta según el acuerdo de servicio o estrategia de alcance predefinidos.

CONCLUSIONES

Si bien es un proyecto definido para Argentina, creemos que el mismo puede ser también reproducido en
otros países con la variante de cada caso. Si bien en este documento no se explaya en lo referente a la
promoción de los servicios este es un elemento importante del Proyecto, dado que esta tarea es la le
quedaría sustentabilidad y visibilidad al mismo.

Las entidades sin fines de lucro, CABASE en este caso, deben tener en cuenta que un buen proyecto sin
los recursos necesarios para llevarlo a cabo de manera sustentable en el tiempo se torna inviable, además
de convertirse en un elemento negativo de futuras evaluaciones tanto de la entidad como de proyectos.
Teniendo en cuenta esto, se ha preparado un plan de negocios que cumpla con las expectativas antes
mencionadas y dentro del marco de una institución como CABASE.

Para mayor información, ingrese a:

http://www.cabase.org.ar

http://www.cert.org/

http://www.arcert.gov.ar/

http://www.cmu.edu

http://sgp.gov.ar

Document1 16.02.20 56