ARMADA DEL ECUADOR

ACADEMIA DE GUERRA NAVAL

Guayaquil
-o-

ENSAYO

ANÁLISIS DEL CUMPLIMIENTO DE LOS PROCEDIMIENTOS DE

CIBERSEGURIDAD EN LA ARMADA DEL ECUADOR

CURSO: ELABORADO POR:

ORIENTACIÓN BÁSICA
TNNV-IG ANDRÉS ALMEIDA
PROMOCIÓN: V
FREIRE

2017
 ARMADA DEL ECUADOR
ACADEMIA DE GUERRA NAVAL
Guayaquil

TRABAJO DE INVESTIGACIÓN INDIVIDUAL

ENSAYO

Tema:

ANÁLISIS DEL CUMPLIMIENTO DE LOS PROCEDIMIENTOS DE CIBERSEGURIDAD EN

LA ARMADA DEL ECUADOR

Título:

ANÁLISIS DEL CUMPLIMIENTO DE LOS PROCEDIMIENTOS DE CIBERSEGURIDAD EN

LA ARMADA DEL ECUADOR

Autor

TNNV-IG Andrés Lenin ALMEIDA Freire

2017

i
 ÍNDICE

INTRODUCCIÓN ................................................................................................................... 1

ANÁLISIS .............................................................................................................................. 4

ANTECEDENTES DE LA CIBERSEGURIDAD PARA LA CONFORMACIÓN DE

POLÍTICAS EFECTIVAS DE SEGURIDAD DE LA INFORMACIÓN .................................. 4

REFLEXIONES SOBRE LA INFLUENCIA CRECIENTE DE LOS ACCESOS INDEBIDOS

A LA INFORMACIÓN Y POSIBLES BRECHAS DE SEGURIDAD EN LAS POLÍTICAS DE
SEGURIDAD DE LA INFORMACIÓN ................................................................................ 8

LOS PROCEDIMIENTOS DE CIBERSEGURIDAD EN LA ARMADA DEL ECUADOR .... 15

CONCLUSIONES ................................................................................................................ 20

RECOMENDACIONES ........................................................................................................ 21

REFERENCIAS BIBLIOGRÁFICAS ..................................................................................... 22

LISTA DE ANEXOS

ANEXO A PROPUESTA DE DIRECTIVA PARA EL CUMPLIMIENTO DE LOS

PROCEDIMIENTOS DE CIBERSEGURIDAD DE LA ARMADA DEL
ECUADOR.

LISTA DE FIGURAS

Figura No. 1 Evolución de los ciberatacantes ........................................................................ 5

Figura No. 2 Aumento de la sofisticación de los ciberataques ............................................... 6

Figura No. 3 Cronología de los ciberataques desde 1990 hasta 2014 ................................... 7

Figura No. 4 Procedimientos de ciberseguridad................................................................... 19

ii
 INTRODUCCIÓN

Al considerar el acelerado dinamismo tecnológico que va de la mano con el

fenómeno del internet como medio de comunicación, transmisión y construcción de
información, que han caracterizado las últimas décadas la ciberseguridad, entendida como
la totalidad de acciones encaminadas a asegurar tanto las redes como los sistemas que
componen el ciberespacio a partir de tres posturas esenciales: descubriendo y afrontando
infracciones, revelando, contestando y recobrándose de sucesos y salvaguardando la
confiabilidad, los medios y totalidad de la información (Villalba, 2015), resulta un tema de
interés prioritario.

Asociado a ello y debido al progreso de las relaciones internacionales y los procesos

condicionados por la globalización y el desarrollo cibernético, los Estados se encuentran a sí
mismos en un riesgo permanente respecto a sus sistemas de defensa al producirse nuevas
amenazas como el ciberterrorismo, asunto que ha tomado importancia en la agenda de
seguridad internacional. (Torres, 2014).

El ciberespacio ha introducido una nueva dimensión en las sociedades y su uso se

ha incorporado de modo cotidiano y generalizado. Gracias al constante desarrollo de nuevas
tecnologías de la información y comunicaciones y al uso masivo del internet, se han
desarrollado proyectos que abarcan las más diversas áreas en la actividad humana. Los
adelantos en el campo de las telecomunicaciones y el abaratamiento de costes han
generado una red en la que pocos elementos escapan a estar conectados lo que se
denomina el internet de las cosas, además de otros muchos beneficios como el desarrollo
de nuevas capacidades en el área de las tecnologías de la información y comunicaciones,
marcando impulso en el ámbito de la investigación y gestión del conocimiento.

En cuanto al Ecuador, la Constitución aprobada en el año 2008, considera al ser

humano y su bienestar como el objetivo central de todas las acciones institucionales, entre
las cuales constan aquellas que garanticen la seguridad Integral, además en su artículo 158,
la Carta Magna define claramente la misión fundamental de Fuerzas Armadas en cuanto a la
protección de las libertades y garantías de los ciudadanos y la defensa de la soberanía e
integridad territorial dentro de este último el Ministerio de Defensa dispone como uno de sus
objetivos el desarrollo de las capacidades para la ciberdefensa a través de la
ciberseguridad, cuya competencia es evitar el uso no autorizado o por parte de agentes

1
extraños a los sistemas de información; redes de comunicaciones estatales; sistemas de
control y operación de la infraestructura estratégica civil y militar.

En este sentido, los escasos estudios que abordan la ciberseguridad en Ecuador

(Estado Mayor de la Fuerza Naval, 2010; Guagualango y Moscoso, 2011; Pérez, 2012;
Andrade y Fuertes, 2013; Delgado, 2014; Castro, 2015) ponen su acento en dos posiciones,
que aunque diferentes no resultan antagónicas, sino complementarias: la defensa
cibernética y la integración de la ciberseguridad en las políticas de seguridad de la
información. Es así que algunos investigadores preocupados por la temática alertan al
Ministerio de Defensa Nacional sobre la necesidad imperiosa de fundar un Mando de
Defensa Cibernética para el resguardo de infraestructuras y servicios púbicos críticos
(Ramos, 2014).

Es claro que las amenazas antes mencionadas generan riesgos según la forma en
que se las aplique y al escenario en el cual sea dirigido, pudiendo afectar a los
procedimientos y protocolos de ciberseguridad formalmente establecidos, la doctrina y la
cultura organizacional de Fuerzas Armadas específicamente de la Armada del Ecuador
objeto estudio, lo que lleva a la formulación del problema: ¿Se están cumpliendo los
procedimientos de ciberseguridad en la Armada del Ecuador?

Cuestionamiento que surge debido a la falta de claridad respecto al grado de

cumplimiento de los procedimientos de ciberseguridad dentro de las políticas de seguridad
de la información de la Armada del Ecuador. ¿Por qué podemos afirmar esto?

Un reciente estudio prospectivo de la ciberdefensa en las Fuerzas Armadas del

Ecuador (Castro, 2015) señala un conjunto de incongruencias en este sentido:
primeramente el Comando de Ciberdefensa no cuenta con profesionales capacitados en
ciberseguridad, aunque sí con experiencia en el manejo de las tecnologías de la
comunicación e información, en segundo lugar el aparato legal ecuatoriano no cuenta con
regulaciones de uso del internet y redes sociales, situación que deja impune a infracciones
ilícitas de vario tipo. Si bien el Código Orgánico Integral Penal contiene sanciones a
determinados delitos de orden informático, se requiere de leyes que normen la protección de
la información, así como evitar acciones ilegales a través del internet, además que las
políticas del Estado ecuatoriano no son claras en regular los mecanismos y respuestas ante
ataques de orden cibernético y por último existe un vacío en los convenios internacionales
entre los países que conforman UNASUR, en torno a implantar estrategias comunes de
ciberseguridad.

2
 En base hasta lo aquí descrito el objetivo del presente ensayo se centra en el análisis
del cumplimiento de los procedimientos de ciberseguridad en la Armada del Ecuador con la
finalidad de elaborar una propuesta de directiva al respecto, además que añade valor a la
literatura existente en dos direcciones, en primer lugar, sus hallazgos poseen interesantes
implicaciones tanto para la práctica como para la paulatina instauración de modelos más
pertinentes de ciberseguridad en la Armada del Ecuador. Por otro lado, las reflexiones
realizadas concernientes a la contrastación de la legislación a nivel de las fuerzas armadas
con aquella que rigen los sistemas relacionados con seguridad de la información a nivel
nacional pueden resultar de utilidad, al permitir que los generadores de políticas y
normativas ganen en comprensión en cuanto a la necesidad de que se inserte, en mayor
medida, la ciberseguridad en las mismas.

La investigación para la elaboración del ensayo siguió la metodología de la revisión

documental y se dividió en tres etapas; búsqueda, selección y análisis de la información
relevante. Dichos procesos favorecieron la aproximación a los antecedentes de la
ciberseguridad, la cual se dio mediante contraste de la legislación ecuatoriana con aquella
que rige los sistemas relacionados con seguridad de la información a nivel nacional y el
análisis, con carácter ilustrativo, de algunos ejemplos de la influencia creciente de los
accesos indebidos a la información y de posibles brechas de seguridad en las políticas de
seguridad de la información, unidos a una serie de consideraciones que tal vez puedan
resultar útiles para un futuro análisis sistemático y detallado del cumplimiento de los
procedimientos de ciberseguridad en las políticas de seguridad de la información
implementadas en la Armada del Ecuador a través de la Directiva General Permanente
COGMAR-INF-002-2010-O; 12-JUL-2010.

Respecto al procedimiento para el tratamiento y el análisis de información, de

acuerdo a una variación de la metodología propuesta por Gómez, Fernando, Aponte y
Betancourt (2014); se delimitó el material informativo como libros, revistas de investigación
científica y sitios Web. Las principales fuentes bibliográficas empleadas fueron documentos
del Ministerio de Defensa Nacional, trabajos de titulación de tercero y cuarto nivel, artículos
científicos, entre otros.

En síntesis, en el presente ensayo se expondrá en un inicio los antecedentes de la

ciberseguridad para la conformación de políticas efectivas de seguridad de la información,
posteriormente se realizarán reflexiones sobre la influencia creciente de los accesos
indebidos a la información y posibles brechas de seguridad en las políticas de seguridad de

3
la información, un análisis deductivo de los procedimientos de ciberseguridad adaptándolos
a la realidad que vive la Armada del Ecuador a fin de verificar su cumplimiento para de esta
manera establecer el respectivo diagnóstico, finalmente se exponen las conclusiones y
recomendaciones del presente ensayo así como también y una propuesta de directiva la
misma que servirá como insumo para la elaboración de una directiva definitiva o
actualización de la Directiva General Permanente COGMAR-INF-002-2010-O; 12-JUL-2010,
que permita el cumplimiento de los procedimientos de ciberseguridad en la Armada del
Ecuador

ANÁLISIS

ANTECEDENTES DE LA CIBERSEGURIDAD PARA LA CONFORMACIÓN DE

POLÍTICAS EFECTIVAS DE SEGURIDAD DE LA INFORMACIÓN

En la literatura es recurrente encontrar que los problemas de ciberseguridad son un

determinante de las intervenciones y en una de las causas de la mejora de la ampliación o
revisión de las políticas de seguridad de la información. No obstante, a menudo se plantean
dificultades para evaluar el impacto sobre las mismas, ya que la atribución de una
asociación causal entre la ciberseguridad, la conformación de políticas efectivas de
seguridad de la Información y su correcta aplicación carecen de suficiente evidencia
empírica.

Varios estudios han destacado la influencia de un eficaz sistema de ciberseguridad

para la creación de políticas efectivas de seguridad de la información. Riquelme (2012)
retoma el concepto de Guerra de la Información (GI), perteneciente al Departamento de
Defensa de los Estados Unidos, el más admitido teóricamente por los sistemas de fuerzas
armadas en el planeta, y que se relaciona con acciones realizadas con el objetivo de
alcanzar ventaja en el acceso y manejo de determinada base de datos; para implicarlo tanto
en los procesos como en los sistemas afines de sus contrarios, al mismo tiempo para
resguardar la información, así como los procesos y sistemas propios que toman a la
información como base. En la Figura 1 se muestra la evolución que han sufrido los
individuos que realizan ataques a los sistemas e infraestructuras informáticas denominados
“ciberatacantes” a lo largo del tiempo.

4
 Figura No. 1: Evolución de los ciberatacantes.
Fuente: Capacidades especiales para una ciberdefensa. (López, 2013).

Por su parte, Vargas (2014) al ahondar en el sistema de seguridad nacional

colombiano, recalca la potencialidad ofensiva que puede adquirir el Estado más débil
denominado también poder blando si maneja de manera óptima y eficiente el ciberespacio,
para poder encontrar a través de dicho manejo una ventaja militar frente a otro Estado más
fuerte denominado también poder duro durante una guerra convencional, de tal manera que
tenga la capacidad de manejar mejor la información y así encontrar rápidamente los puntos
vulnerables de su oponente para posteriormente atacarlos.

Sánchez (2012) conceptualiza tres términos de aceptada aplicación en los estudios

sobre las Políticas de Seguridad de la Información: el cibercrimen, el ciberterrorismo y la
ciberguerra. El primero contiene a una serie de infracciones de orden informático y
económico orientadas a la penetración de estados de intimidad, así como a la socialización
de mensajes ilícitos y perjudiciales y a la invitación a la prostitución y al crimen organizado.
El segundo se relaciona con las estrategias por medio de las cuales el terrorismo usa las
tecnologías de la información para amedrentar, obligar u originar daños a determinada
sociedad con objetivos político-religiosos; mientras que el tercero se vale de todo el
instrumental electrónico e informático para destruir los sistemas electrónicos y de
comunicación del contrincante y conservar los propios en óptimo funcionamiento. En la
Figura 2 se muestra la evolución del nivel de sofisticación de los ataques cibernéticos.

5
 Figura No. 2: Aumento de la sofisticación de los ciberataques.
Fuente: Capacidades especiales para una ciberdefensa. (López, 2013).

Un estudio realizado por Leiva (2015) evalúa la Estrategia Nacional de

Ciberseguridad (ENCS) en trece países de cuatro continentes, donde se define como uno de
sus componentes a las denominadas capacidades cibernéticas militares, es decir, la
posibilidad de las fuerzas armadas de una nación para precautelar y neutralizar toda
agresión o hecho de procedencia cibernética que incida negativamente en la protección de
su soberanía.

Otra investigación ejecutada en España (Amich y Velázquez, 2014) destaca la

importancia de aumentar y perfeccionar de forma permanente las capacidades de
ciberdefensa de las fuerzas armadas que faciliten una apropiada defensa de sus redes y
sistemas de información y telecomunicaciones, así como también de otros sistemas que
perjudiquen a la defensa del país.

Queiroz (2015), al analizar la Estrategia Nacional de Defensa (END) en el contexto

brasileño, enumera tres sectores medulares que sustentan el desarrollo de la defensa
nacional: el concerniente a la energía nuclear, el espacial y el cibernético. Para este
Ministerio de Defensa, la implementación de estrategias para la efectividad de un sistema
defensivo cibernético ha devenido una exigencia de máxima atención para que tanto la
Armada, como la Fuerza Aérea y el Ejército logren una sincronía mediante la utilización de

6
redes comunes. A nivel operativo, está la importancia de las operaciones conjuntas
coordinadas por el Estado Mayor Conjunto de las Fuerzas Armadas.

Sin duda alguna, dichos enfoques muestran una directriz teórica común y a tomar en
cuenta: si bien las maniobras ofensivas de la guerra cibernética no tienen esencia cinética,
posibilitan potenciales afectaciones a grupos humanos, así como secuelas físicas
irremediables.

Un punto de giro en la atención a la ciberseguridad lo constituyó la aparición en la

célebre revista inglesa The Economist, de su editorial “Cyberwar”, en julio de 2010, que
reconocía el riesgo de la extensión de la innovación digital hacia el nuevo concepto de
ciberataque o de ciberejército. (The Economist, 2010)

Jeffrey Carr (2010) relata ejemplos de ciberguerra ocurridos en los siglos XX y XXI, y
menciona los siguientes: China, Israel, Rusia (incluye en este acápite los casos de la
Segunda Guerra Rusia-Chechenia del periodo 1997-2001; la ciberguerra de Estonia (2007)
y la Guerra Rusia-Georgia (2008)), Irán y Corea del Norte. En la Figura 3 se muestra una
breve cronología de los ciberataques comprendidos entre 1990 y 2014.

Figura No. 3: Cronología de los ciberataques desde 1990 hasta 2014.

Fuente: Capacidades especiales para una ciberdefensa. (López, 2013).

En la administración de Obama, EE.UU., comenzó a entender a la infraestructura

digital americana como activo estratégico nacional. The Economist deja entrever otra

7
potencial problemática producto de una ruptura del sistema de comunicaciones a nivel
planetario. Si se tiene en cuenta que dicha rotura resulta improbable que se lleve a cabo
gracias a las múltiples estrategias de trasmisión de datos a través del internet, se puede
aseverar que en algunos puntos la infraestructura digital global se puede quebrar. Más de
las nueve décimas partes del tráfico de internet utilizan la vía submarina mediante cables
compuestos por fibra óptica, que alcanzan su nivel más vulnerable en las zonas siguientes:
bordeando Nueva York, el Mar Rojo o el estrecho de Luzón en Filipinas. Otras dificultades
reales que alerta dicha publicación guardan relación con la inconsistencia de algunos
gobiernos en ciertas zonas africanas que pueden dar al traste con la creación de amparos
para los cibercriminales. (Joyanes, 2011)

En síntesis, a pesar de que contar con leyes adecuadas para los delitos informáticos,
las infraestructuras críticas y la protección de datos resultan cruciales para la
ciberseguridad, no se ha privilegiado el desarrollo de un marco jurídico adecuado, basado
en precedentes tomados de acuerdos internacionales y de la legislación de otros países.

REFLEXIONES SOBRE LA INFLUENCIA CRECIENTE DE LOS ACCESOS INDEBIDOS A

LA INFORMACIÓN Y POSIBLES BRECHAS DE SEGURIDAD EN LAS POLÍTICAS DE
SEGURIDAD DE LA INFORMACIÓN

Las amenazas cibernéticas que podrían afectar la seguridad interna y externa del
Estado ecuatoriano ganan cada vez más peso, y han ido interviniendo progresivamente en
las políticas de seguridad de la información. Seguidamente se ilustra la influencia creciente
de los accesos indebidos a la información y posibles brechas de seguridad; tanto físicas,
tecnológicas y humanas, en dichas políticas.

Como la sociedad contemporánea resulta cada más dependiente de la tecnología, la

influencia de esta última en el efectivo funcionamiento de los Estados, y específicamente de
sus fuerzas armadas, cuerpos de seguridad e infraestructuras, se constata cada vez mayor,
por lo que, por consiguiente, la innovación futura aumentará esta incidencia.

Las tecnologías de la información permiten generalmente con efectividad el

funcionamiento de los sistemas de seguridad de la información y de la comunicación de las
fuerzas armadas, compuestos por el basamento logístico, el mando y examen sostenido de
sus fuerzas, así como los datos relacionados con la inteligencia en tiempo real. Toda esta
infraestructura se supedita a redes informáticas y de comunicaciones, que, en el caso
específico de EEUU, consisten en más de 15.000 redes y siete millones de terminales

8
informáticos dosificados en cientos de instalaciones en varias naciones, para cuyo
funcionamiento mantienen más de 90.000 especialistas. En menos de una generación, las
TIC en el contexto militar han progresado desde un simple instrumento para optimizar la
productividad administrativa a un mecanismo de defensa estratégico. (Díaz del Río, 2011).

Por su parte, ante la urgencia de adecuar la doctrina de seguridad al mundo

contemporáneo, en aras de implementar un nuevo Sistema de Seguridad Integral mediante
un enfoque civilista y diacrónico para el nuevo contexto geopolítico internacional; la Ley de
Seguridad Pública y del Estado (2009) demanda que la salvaguardia de la soberanía del
Estado y la integridad del territorio tendrá como componentes esenciales al Ministerio de
Defensa y al de Relaciones Exteriores en los contextos de su compromiso y competencia.
Corresponde a las Fuerzas Armadas su ejecución para cumplir con su misión fundamental
de defensa de la soberanía e integridad territorial. (p. 7)

Varios países han creado sistemas de ciberseguridad de la información y de la

comunicación: en Estados Unidos la seguridad en el ciberespacio representa la misma
importancia que el denominado “Homeland Security”, pues mediante un coordinador de
ciberseguridad en la Casa Blanca, se controlan las tácticas nacionales para garantizar los
intereses de los americanos en el ciberespacio. Por su parte, Alemania ha conformado la
Unidad de Reconocimiento Estratégico del Bundeswehr, compuesta por un nutrido grupo de
especialistas en seguridad y en el Reino Unido se ha fundado una Oficina de Ciber
Seguridad (OCS, Office of Cyber Security) que tiene como función coordinar las
capacidades de defensa y de respuesta a intromisiones en redes (Díaz del Río, 2011).

Otra problemática acuciante en la conformación efectiva de sistemas internacionales

de ciberseguridad es expuesta por Casar (2012) al evaluar las acciones de organismos
integradores e imperativos desde el punto de vista político, económico y militar, como la
ONU1, la OTAN2, la OCDE3, la UIT4 y la UE5. El autor, con quien se concuerda, defiende la
postura de la existencia de una fragmentación provocada por el objetivo de cada organismo
internacional, posición de índole natural que aboga por el cumplimiento y la satisfacción de
los fines para lo que fueron fundadas, razón por la que no se ha establecido una integridad
en temas de ciberseguridad.

1
Organización de Naciones Unidas.
2
Organización del Tratado del Atlántico Norte.
3
Organización para la Cooperación y el Desarrollo Económicos
4
Unión Internacional de Telecomunicaciones.
5
Unión Europea.

9
 Según Domínguez (2016) los modelos teóricos del campo científico de la
Criminalística deben redefinirse en el sentido de una nueva actuación que toma como base
mecanismos de pensamiento ante la posibilidad de agresiones, ataques y conflictos ya en el
amplio contexto de lo cibernético. Dicha postura con la cual se coincide, implica la búsqueda
de estrategias que permitan a los sistemas de ciberseguridad conocer y aplicar los enfoques
del aparato criminal, es decir, inspeccionar las posibles maniobras de operación de
supuestos atacantes, y estar dispuestos a adivinar los teatros de sus actuaciones. Si no se
da importancia a esta perspectiva, se estaría incurriendo en una dinámica de reacción, por
lo que se propone otras de tipo proactivo, o sea, de anticipación, de organizarse para no ser
afectado por los efectos de esta clase de ataques en la red.

Desde un enfoque jurídico, se toma partido por el criterio de Robles (2016), quien
afirma que el Derecho Internacional no ha tomado en cuenta realmente al ciberespacio
como el resto de componentes físicos, ni de su estructuración, ni de su régimen jurídico.
Teniendo en cuenta que su función persigue el ordenamiento de competencias al
constituirse como espacio genéticamente mundial, que se suma y transversaliza a los
anteriores porque además resulta estructural y funcionalmente global, no lo ha ejecutado.
No es simple problema de organización de las competencias, como en el resto de los
dominios, sino que se trata de ordenar la coexistencia social en un espacio diferente de sus
predecesores y con una extraordinaria capacidad de interacción y de afectación de los
mismos.

De igual modo se coincide con De Tomás (2014), quien aboga en otro ámbito, el
universitario, por la consolidación de una cultura de ciberseguridad, que necesita
consecuentemente de un reforzamiento de la cimentación de otra cultura de seguridad y
defensa que promueva una intervención de la totalidad de sectores mediante una importante
empresa de desarrollo y comunicación para que principios, valores y derechos
constitucionales (conciencia nacional) alcancen real valor.

Junto al hecho de identificar las amenazas cibernéticas potenciales y la disposición a

defenderse desde esta perspectiva, sin dar lugar a la interpretación; se exhorta al
establecimiento de una conciencia de ciberseguridad que facilite dar respuestas de manera
efectiva, conveniente y genuina a la amenaza cibernética que puede poner en peligro los
principios y valores democráticos o, incluso, la propia continuidad del Estado.

La existencia de brechas que en muchos casos definen al ciberespacio, como, por

ejemplo: “la utilización legal de equipos de penetración (red team), el uso legal de

10
monitorización de las redes, el uso legal de datos personales para investigaciones forense
de ciberataques, la determinación de las fronteras nacionales y la integridad territorial en el
ciberespacio, la atribución legal de ciberataques, las competencias policiales y militares”
(Ganuza, 2011, p. 172), establecen mecanismos paternalistas con posibles enemigos que
emplean las armas cibernéticas para agredir a sociedades de carácter democrático que, a
su vez, critican la implementación de las mismas armas para proteger su soberanía
informática.

Ante la definición de gobernanza de internet brindada por la Cumbre Mundial sobre la

Sociedad de la Información realizada en Túnez en el año 2005, entendida como el progreso
y ejecución a cargo de directivas gubernamentales, así como del sector privado y de la
sociedad civil, en sus papeles respectivos, de normativas, políticas y leyes que regulen la
toma de decisiones y de programas que permitan la evolución y utilización del internet
(Delgado, 2014); se pueden considerar como potenciales brechas de seguridad que incidan
negativamente en contextos tecnológicos, físicos o humanos a las siguientes situaciones:
a. Al prevalecer en Ecuador el uso de la telefonía móvil resulta imprescindible la
evaluación de la incidencia de esta clase de infraestructura de acceso en
cuanto a aquellas directrices que tienen relación con la protección de la
privacidad. La tecnología móvil, al utilizar estándares cerrados permite que su
firmware no pueda ser accesible, aunque en territorio ecuatoriano se exija un
registro de carácter ineludible de la totalidad de los dispositivos móviles.
Dicha problemática puede provocar infracciones reales a sistemas de
seguridad y comunicación y las consecuentes privacidad y libertad de
expresión. Por lo tanto, la práctica y cumplimiento de los derechos humanos
pueden verse afectados por sanciones de tipo legal, agresiones remotas e
implicación en ataques de terceros (Delgado, 2014).
b. Teniendo en cuenta que varias empresas proveedoras de servicios de
internet en Ecuador locales despliegan IPv6 y de que una cantidad
considerable de instituciones gubernamentales y académicas ya emplean
ambos protocolos; actualmente la generalidad de usuarios se conecta a
internet dentro de sub-redes dirigidas por los proveedores de servicio, a
través de soluciones denominadas “parche”, como los mecanismos NAT6 y
CIDR7. Dicha situación implica que un equipo en la jurisdicción del territorio

6
NAT (Network Address Translation) es un mecanismo utilizado por routers IP para hacer que redes
de ordenadores utilicen un rango de direcciones especiales (IPs privadas) y se conecten a Internet
usando una única dirección IP (IP pública).
7
CIDR (Classless Inter-Domain Routing) enrutamiento entre dominios sin clases. Se introdujo en
1993 por Grupo de Trabajo de Ingeniería de Internet (IETF por sus siglas en inglés) y representa la

11
 ecuatoriano cuenta con el acceso a internet público, no así Internet tiene
acceso a ese equipo, al menos no de tipo directo; contexto que compromete
el principio de extremo a extremo y la integridad de los sistemas de
información y comunicación (Kleiner, 2014).
c. Una investigación realizada en el año 2009 toma como objeto la red
inalámbrica del Laboratorio DELTA de la ESPOL8, y comprueba determinadas
brechas de seguridad mediante el programa NetStumbler9. La ausencia de
conciencia sobre la importancia de la información manejada por el personal
del laboratorio; así como la incomunicación del mismo con la directiva
gerencial, provocan la intrusión de agentes externos. (Castillo, Cabezas y
Escalante, 2009). Este ejemplo puede aplicarse a contextos macro e
inclusive, a nivel de país.
d. Otro estudio (Pérez, 2012) evalúa los sistemas de seguridad de las cuentas
nacionales del Banco Central del Ecuador y basándose en la norma ISO/IEC
2700110 analiza varias brechas en la seguridad de la entidad condicionadas
por:
1) Poca responsabilidad de la directiva con los sistemas de seguridad de
la información.
2) Poca capacitación al personal implicado en los sistemas de seguridad
de la información, en el orden de la actualización obligatoria sobre
manejo de tecnología asociada y de protocolos de seguridad
nacionales e internacionales.
3) Ausencia de un foro funcional transversal para la implementación de
políticas de seguridad.
4) La poca estructuración de las responsabilidades en torno a la
protección de activos.
e. Según Andrade y Fuertes (2013) se ha incrementado el número de ataques
informáticos en Ecuador que persiguen como objetivo extraer información
personal, ejecutar agresiones de denegación de servicio, ejecutar estafas con

última mejora en el modo de interpretar las direcciones IP. Su introducción permitió una mayor
flexibilidad al dividir rangos de direcciones IP en redes separadas. De esta manera permitió un uso
más eficiente de las cada vez más escasas direcciones IPv4.
8
Escuela Politécnica del Litoral.
9
NetStumbler es un programa para Windows que permite detectar redes de área local inalámbricas
(WLAN).
10
ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y publicado como
estándar internacional en octubre de 2005 por Organización Internacional de Estandarización y por la
Comisión Internacional Electrotécnica. Especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el
conocido como “Ciclo de Deming”: PDCA acrónimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar).

12
 tarjetas de crédito o destruir la reputación de una institución o empresa. Bajo
este contexto las organizaciones se han visto abocadas al desarrollo de sus
sistemas de seguridad de la información, al percibir que la ejecución de
modos de seguridad como firewalls, herramientas antivirus y anti-spam,
pertenecen solo a un componente de la llamada arquitectura de seguridad,
que debe erigirse sobre políticas, estándares, normas, modelos de gestión de
tecnología y operaciones de seguridad, para minimizar el impacto ante un
ataque a las actividades de la organización.
f. Guagualango y Moscoso (2011) evaluaron la seguridad informática del Data
Center de la Escuela Politécnica del Ejército y descubren que en principio se
incumple con la Norma ISO 2700411; los implicados en el sistema de
seguridad desconocen en gran medida las políticas que lo regulan, ante la
ausencia de documentos, normativas y procedimientos, así como un
responsable de la creación, actualización y aplicación de dichas políticas; falta
de controles asiduos para constatar la efectividad de las políticas; ausencia
de roles que definan el accionar del personal de seguridad; ausencia de
condiciones contractuales de seguridad con terceros y outsourcing12.

Pero aunque, en general, se reconozca que la influencia de la ciberseguridad sobre

la normativa es limitada, es evidente también que tiene mucho que ver en el diseño de
políticas de seguridad de la información. Seguidamente se contrasta la legislación a nivel de
las fuerzas armadas con aquella que rige los sistemas relacionados con seguridad de la
información a nivel nacional.

En lo que respecta a la legislación relacionada con seguridad de la información a

nivel de Ecuador, varios aparatos legales sustentan estas políticas en el contexto
ecuatoriano. Es así que la Constitución del Ecuador en su Sección undécima, titulada
“Seguridad humana” y específicamente en su Artículo 393, proclama: “El Estado garantizará
la seguridad humana a través de políticas y acciones integradas, para asegurar la
convivencia pacífica de las personas, promover una cultura de paz y prevenir las formas de
violencia y discriminación y la comisión de infracciones y delitos. La planificación y
11
La norma ISO27004 posibilita una variedad de mejores prácticas para la medición de los resultados
de un Sistema de Gestión de la Seguridad de la Información (SGSI) en ISO 27001. Este estándar
especifica cómo estructurar el sistema de medición, cuáles son los parámetros a medir, cuándo y
cómo medirlos.
12
La subcontratación, externalización de la mercadotecnia o tercerización (del neologismo inglés:
outsourcing) es el proceso económico empresarial en el que una sociedad mercantil transfiere los
recursos y las responsabilidades referentes al cumplimiento de ciertas tareas a una sociedad externa,
empresa de gestión o subcontratista, que precisamente se dedica a la prestación de diferentes
servicios especializados.

13
aplicación de estas políticas se encargará a órganos especializados en los diferentes niveles
de gobierno.” (Asamblea Constituyente, 2008, p. 176)

De igual modo, la Ley Orgánica de Transparencia y Acceso a la Información Pública

(2004-24), en su Artículo 17 establece directrices que impiden el derecho al acceso a la
información pública:
a. Los documentos considerados como reservados por el Consejo de Seguridad
Nacional, por razones de defensa nacional, entre ellos:
1) Los planes y órdenes de defensa nacional, militar, movilización, de
operaciones especiales y de bases e instalaciones militares ante
posibles amenazas contra el Estado;
2) Información en el ámbito de la inteligencia, específicamente los
planes, operaciones e informes de inteligencia y contra inteligencia
militar, cuando existiera conmoción nacional;
3) La información sobre la ubicación del material bélico cuando esta no
suponga peligro para la población;
4) Los fondos de uso reservado exclusivamente destinados para fines de
la defensa nacional. (Congreso Nacional, 2004, p. 10)

El Artículo no. 2 de la Ley Orgánica de la Defensa Nacional (2007-74) postula que las
Fuerzas Armadas, como componente de la fuerza pública, persiguen los siguientes
objetivos:
a. Conservar la soberanía nacional;
b. Defender la integridad, la unidad e independencia del Estado; y,
c. Garantizar el ordenamiento jurídico y democrático del estado social de
derecho.
d. Colaborar con el desarrollo social y económico del país; podrán participar en
actividades económicas relacionadas únicamente con la defensa nacional e
intervenir en los demás aspectos concernientes a la seguridad nacional de
acuerdo con la ley. (p. 2)
En su capítulo IV “Del comando conjunto de las Fuerzas Armadas” se enumeran
varias atribuciones que tienen relación directa con el protagonismo de estas fuerzas en la
elaboración de políticas de seguridad de la información de las cuales se mencionan las
siguientes:
b. Planificar el empleo de las Fuerzas Armadas, para contribuir al mantenimiento
de la seguridad nacional;

14
 c. Planificar el empleo militar de la Fuerza Auxiliar y de los órganos de apoyo a
la defensa;
g. Establecer y actualizar la doctrina militar conjunta y emitir las directrices que
permitan la interoperabilidad entre las Fuerzas;
k. Calificar los recursos estratégicos que tengan relación con la seguridad
nacional. (p. 5)

En este sentido, las intenciones de orden intelectual o económicas que sustentaban

a los ataques cibernéticos han mutado en los últimos años a objetivos centralmente
políticos, por lo que sus efectos ya no solo acarrean una pérdida económica, sino en las
contiendas entre naciones que ostentan y evalúan sus fuerzas, en torno a las directrices de
tierra, mar, aire y espacio, mediante el ciberespacio.

LOS PROCEDIMIENTOS DE CIBERSEGURIDAD EN LA ARMADA DEL ECUADOR

Respecto a la legislación relacionada con seguridad de la información a nivel de las

Fuerzas Armadas del Ecuador, puede afirmarse que al contar con férreas políticas de
seguridad de la información, la Armada del Ecuador detecta y controla los riesgos
cibernéticos de disímil tipología y procedencia.

La problemática teórica que gira en torno al campo de la ciberseguridad, sin dudas

ha influenciado las estrategias de conformación de Políticas de Seguridad de la Información
de la Armada del Ecuador, trayendo consigo sus propias implicaciones teórico-prácticas.

Por otra parte, con el objetivo de informar al personal (técnicos y administrativo) en

su calidad de usuario del Sistema de Comunicaciones Navales (SCN) de la Armada del
Ecuador, en función de proteger la infraestructura tecnológica y digital, las políticas de
seguridad de la información incluyen una normativa que estipula lo permitido o no en la
utilización tanto de la red constituida como de los diversos servicios tecnológicos.

En el caso de las políticas implementadas por las estructuras del SCN de la Armada
del Ecuador, se incluyen seis directrices en el diseño de su proceso de comunicaciones e
informático, que a continuación se detallan por su pertinencia:
a. Disponibilidad: busca la permanencia de la calidad de los componentes de la
red; así como el acceso sostenido y fácil, aunque limitado, de las bases de
datos que constituyen puntos vitales de información clasificada.

15
 b. Utilidad: la optimización de la totalidad de los recursos, tanto materiales
(equipos, material de oficina, impresoras, etc.), como digitales (disponibilidad
y rapidez de la red en torno a la conservación de su ancho de banda), permite
que dichos recursos estén disponibles para su utilización en casos de ataque
cibernético.
c. Integridad: la obligatoriedad del uso de certificados de seguridad por las
partes implicadas en el manejo de información clasificada o no; así como la
utilización de firmas de tipo electrónico y credenciales digitales, facilitan que
los datos tomen valor como centrales en la sustentabilidad del sistema de
seguridad; por lo que se establecen además estrategias viables para su
conservación y por tanto, se impide que sean adulterados por sujetos o
fuentes externas e internas que formen parte de un ciberataque.
d. Autenticidad: el sistema de seguridad de la información y de las
comunicaciones tiene la capacidad, como mecanismo de autoconservación,
de constatar la identidad de sus usuarios; así como de su propietario.
e. Confidencialidad: tanto el acceso como la utilización de determinada base de
datos es monitoreada por el sistema de seguridad, a tal punto de solo
permitirlo a sujetos autorizados y por ende, a su propietario.
f. Posesión: si solo el propietario tiene el total control sobre el sistema de
seguridad, entonces, ante la pérdida de ese control por causas de
penetración informática o de ataque de diverso tipo, se afecta el sistema en
su generalidad y, por consiguiente, el resto de usuarios autorizados a
acceder. (Fuerza Naval Ecuador, 2010, p. 13)

Con base en el estándar ISO/IEC 27002:200513, el sistema de seguridad del SCN,

para conformar una normativa legal interna que regule las políticas de seguridad de la
información y de las comunicaciones, ha decidido cumplir principalmente con los siguientes
dominios:
a. Políticas de seguridad: con carácter obligatorio, el paradigma normativo de la
ISO/IEC 27002:2005 exige que dichas políticas sean redactadas por un
comité de seguridad y comunicadas y aplicadas a la totalidad de implicados
en estos procesos. En este caso, los procesos de actualización e innovación
tecnológica y digital se entienden como vitales para la permanencia efectiva
del control de la información y de las comunicaciones.

13
ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la
información publicado por la Organización Internacional de Normalización y la Comisión
Electrotécnica Internacional. La versión más reciente es la ISO/IEC 27002:2013.

16
 b. Procesos organizativos: la gestión de la seguridad debe ejecutarse como
permanente.
c. Gestión de activos: la constante ejecución de inventarios de activos (tanto de
software como de hardware) complementa el diseño de instrumentos y vías
para el dominio de la información y de la comunicación, como también su
clasificación, jerarquización y etiquetado. (Fuerza Naval Ecuador, 2010)

Mencionadas estas disposiciones generales, es preciso declarar que son aplicables a

contextos o materiales de diversa índole, y que se convertirán en individuales según las
acciones que amerite cada sistema, tomando en cuenta el nivel de precaución, así como el
impacto de ataques cibernéticos de plural naturaleza.

Los Centros de Tecnologías de la Información de la Armada del Ecuador, teniendo

en cuenta la ingente preocupación de los organismos del Estado ante la posibilidad de ser
objetos de ataque de orden cibernético, establecen las siguientes directrices:
a. Mantener configuraciones de equipos, dispositivos y demás componentes
conforme a su función y responsabilidad, que permitan la conectividad y
provisión de los servicios de tecnologías de la información a los repartos
armados a nivel nacional y desde una perspectiva de seguridad.
b. Monitorear los servicios de internet, correo electrónico, con el objetivo de
garantizar su eficiencia y seguridad y constatando que cumplan con los
requerimientos de seguridad de la información y controlar que el personal de
mantenimiento de cada Centro de Tecnología de la Información, instale,
configure y actualice el software de gestión operativo y administrativo en el
equipamiento propio de la institución.
c. Verificar que se dé cumplimiento a los procedimientos de respaldo de los
sistemas de seguridad de la información y la comunicación y verificar que se
cumpla con el mantenimiento de los equipos informáticos y de comunicación
de datos, en función de dar cumplimiento a las directrices estipuladas en los
sistemas de ciberseguridad de la información.
d. Verificar que los servidores y equipos informáticos y de comunicaciones se
encuentren situados en espacios físicos adecuadamente administrados, y que
estén bajo condiciones ambientales apropiadas, medios de seguridad lógica y
física consecuentes con los necesarios planes de contingencia en situaciones
de ataque cibernético. (Fuerza Naval Ecuador, 2010)

17
 Una ciberseguridad que garantice una protección eficiente y eficaz frente a las
amenazas debe sustentarse en un amplio conjunto de procedimientos que deben incluir
aspectos organizacionales, procedimentales y tecnológicos. Es por esa razón que la
ciberseguridad se basa en el concepto de un centro de ciberseguridad que brinde el apoyo
técnico y que además realice las coordinaciones con otras áreas afines, con el objetivo de
contrarrestar los ataques cibernéticos así como también poder desplegar acciones
defensivas u ofensivas de respuesta activa. Los planes fundamentales sobre los que se
deben desarrollar las acciones se concentran en los siguientes procedimientos:
a. Conciencia situacional.- Se debe adquirir una conciencia generalizada
correspondiente a la importancia que tiene el uso del ciberespacio como un
medio para alcanzar los objetivos de seguridad nacional además de la
implementación de los cambios de comportamiento y de cultura de trabajo
que requiere un ambiente seguro.
b. Infraestructura y equipamiento.- Radica en alertar de manera temprana los
posibles ataques a la infraestructura propia de información nacional, ya sea
pública o privada, por parte de criminales, terroristas u otros Estados así
como también repeler dichos ataques y de contra atacar al agresor.
c. Contar con sistemas seguros y resistentes.- Establecer estándares y
protocolos que permitan proteger de los ciberataques a todos los sectores
para lo cual se requiere de un buen entrenamiento acerca de las posibles
vulnerabilidades y sus correspondientes impactos.
d. Modelos organizacionales.- Definir las diferentes funciones y objetivos
específicos de fuerzas armadas, tomando en consideración la misión y las
capacidades. Es fundamental evitar duplicidad de funciones y gasto de
recursos.
e. Educación, investigación y desarrollo.- Fomentar la educación y la experticia
en temas de ciberseguridad y ciberdefensa (ámbito militar), lo cual implica
entrenamiento específico, acreditaciones y la eventual implementación de una
carrera profesional. Estar al tanto de las tendencias globales y asegurar que
los esfuerzos en investigación y desarrollo estén dirigidos y coordinados hacia
los objetivos trazados.
f. Doctrina.- Ajuste de los marcos jurídicos y reglamentarios, realizados
conjuntamente por instancias públicas y privadas. Generación de una doctrina
conjunta para el control del ciberespacio a nivel fuerzas armadas.
g. Compromiso Internacional.- Coherencia del trabajo nacional en materia de
ciberseguridad con otros Estados amigos y organizaciones internacionales.
Revisión de la evolución de los temas concernientes al ciberespacio,

18
 recolectar lecciones aprendidas, compartir buenas prácticas con los aliados
estratégicos y proponer enmiendas en caso de que se requiera. (López, 2013)

Estrategia
Conciencia Formación y
Centro de situacional Tecnologías Modelos Doctrina
Ciberseguridad y sistemas organizativos

Figura No. 4: Procedimientos de ciberseguridad.

Fuente: Capacidades especiales para una ciberdefensa. (López, 2013).
Elaborado por: Autor.

Como se ha visto hasta aquí, el grado de cumplimiento de los procedimientos

Ciberseguridad en la Armada del Ecuador es limitado, a pesar de la creación de la Directiva
General Permanente COGMAR-INF-002-2010-O; 12-JUL-2012 “Seguridad de la
Información”. Lo cual constituye un llamado a la elaboración y el establecimiento de
prioridades de investigación en este ámbito, ya que se verifica una falta de una orientación
investigativa que permita evidenciar científicamente las propuestas de normativas e
intervenciones, introduciendo observaciones racionales a la hora de incorporar en la práctica
los resultados de las investigaciones realizadas en esta dirección, de manera que ello
redunde en la adopción de enfoques más integrales sobre la ciberseguridad y en el
fortalecimiento la regulación para asegurar los sistemas de información y la cooperación
internacional en ciberseguridad.

Es así que la Directiva General Permanente se basa en dominios correspondientes a

la norma ISO/IEC 27002:2005 en lo que corresponde principalmente a: políticas de
seguridad, procesos organizativos, gestión de activos, también toma hace referencia a otros
dominios como son: seguridad de recursos humanos, seguridad física y ambiental, gestión
de operaciones y comunicaciones, control de acceso, adquisición, mantenimiento y
desarrollo de sistemas de información, gestión de incidentes y seguridad de la información,

19
gestión de continuidad de negocio y cumplimiento pero no existen un vínculo fuerte con los
procedimientos de ciberseguridad detallados anteriormente por las siguientes razones:
a. No está implementado un Centro de Ciberseguridad de la Armada del
Ecuador, que emita políticas y directrices en temas de ciberseguridad,
únicamente se tiene un Centro de Respuestas a Incidentes.
b. En cuanto a infraestructura y equipamiento se dispone de limitación de
recursos para fortalecerlo.
c. Existen un entendimiento limitado de las posibles vulnerabilidades e impactos
de ataques a infraestructuras críticas del SCN.
d. Existe un limitado número de personal capacitado y con sólidos
conocimientos en temas de ciberseguridad, y que a la vez impulse la
investigación en dicho campo.
e. No existe una normativa jurídica guía en temas de ciberseguridad.
f. La Armada del Ecuador tiene una muy limitada participación en conferencias,
congresos talleres y cursos internacionales en temas de ciberseguridad.

Tomando en consideración el análisis descrito como entregable se elaborará la una

propuesta de directiva para el cumplimiento de los procedimientos de ciberseguridad, la cual
se encuentra descrita en el Anexo A.

CONCLUSIONES

a. Aunque la Armada del Ecuador cuenta con políticas de seguridad revisadas y

actualizadas desde la visión de la seguridad de la información las cuales están plasmadas a
través de la Directiva General Permanente COGMAR-INF-002-2010-O; 12-JUL-2010,
pueden ocurrir potencialmente accesos indebidos y posibles brechas de seguridad; tanto
físicas como tecnológicas y humanas, lo cual limita y afecta a la seguridad de la información
de la Institución, es por esta razón que adquieren un valor esencial el cumplimiento de los
procesos de ciberseguridad.

b. La Armada del Ecuador al no contar con personal capacitado en temas de

ciberseguridad, con orientación a la investigación que innove, tenga la capacidad de
desarrollar herramientas propias de defensa contra ciberataques y que pueda justificar las
propuestas de normativas e intervenciones, implantando compendios de racionalidad en el
momento de exponer los resultados de las investigaciones realizadas en este ámbito,

20
dificulta la adopción de enfoques más integrales sobre seguridad y por consiguiente cumplir
con los procedimientos de ciberseguridad.

c. A pesar que el Código Orgánico Integral Penal tiene artículos que sancionan delitos
informáticos, no se cuenta con una normativa legal y/o Políticas de Estado en el ámbito de:
ciberseguridad, protección de datos, uso del internet y redes sociales, lo que limita el
accionar de la Armada en cuanto al cumplimiento de los procedimientos de ciberseguridad
ya que ni el Ministerio de Defensa nacional ni el Comando Conjunto pueden emitir
disposiciones bajo el principio de legalidad en este ámbito.

RECOMENDACIONES

a. Al Estado Mayor de la Armada se recomienda revisar la propuesta de directiva en

base a las políticas del nuevo Gobierno con la finalidad de implementarla o actualizar la
actual D.G.P COGMAR-INF-002-2010-O; 12-JUL-2010, para que la Armada del Ecuador
cumpla con los procedimientos de ciberseguridad presentados, minimizando los ataques
informáticos lo cual se traduce en ahorro de recursos y el mejoramiento de la productividad
de la Institución.

b. La Dirección de Tecnologías de Información y Comunicaciones de la Armada, debe

gestionar la conformación del Centro de Ciberseguridad, con la finalidad de: contrarrestar los
ataques cibernéticos a través de acciones defensivas y de respuesta activa, planificar y
ejecutar proyectos, gestionar capacitación en este ámbito a través de los canales
pertinentes y planificar las acciones que tiendan a crear una cultura de ciberseguridad a
nivel institucional.

c. El Comando General de la Armada a través de los canales correspondientes debe

motivar al nuevo Gobierno la elaboración de una normativa legal y/o Política de Estado en lo
relacionado a ciberseguridad, así como también la planificación y ejecución de convenios
con los países sudamericanos en temas de ciberseguridad con la finalidad de crear
conocimiento y fomentar la investigación en este ámbito.

21
 REFERENCIAS BIBLIOGRÁFICAS

Amich, C. y Velázquez, A. P. (2014). La ciberdefensa y sus dimensiones global y específica

en la estrategia de seguridad nacional española. Icade. Revista cuatrimestral de las
Facultades de Derecho y Ciencias Económicas y Empresariales, (92), 50-76.
Andrade, R. y Fuertes, W. (2013). Diseño y dimensionamiento de un equipo de un equipo de
respuesta ante incidentes de seguridad informática (CSIRT). Caso de estudio: ESPE.
Recuperado de: http://ciencia.espe.edu.ec/wp-content/uploads/2013/05/COM61.pdf
Asamblea Constituyente. (2008). Constitución del Ecuador. Recuperado de:
http://www.asambleanacional.gob.ec/sites/default/files/documents/old/constitucion_de
_bolsillo.pdf
Asamblea Nacional. (2009). Ley de Seguridad Pública y del Estado. Recuperado de:
http://www.asambleanacional.gov.ec/documentos/Ley-de-Seguridad-Publica-y-
del%20Estado.pdf
Carr J. (2010). Cyber Warfare. Sebastopol, USA: O´Reilly.
Casar, J. R. (2012). El ciberespacio. Nuevo escenario de confrontación. España: Centro
Superior de Estudios de la Defensa Nacional.
Castillo, A., Cabezas, R. y Escalante, J. Consultoría para la determinación de brechas de
seguridad en una red inalámbrica (tesis de grado). Escuela Superior Politécnica del
Litoral, Guayaquil.
Castro, E. J. (2015). Estudio prospectivo de la ciberdefensa en las Fuerzas Armadas del
Ecuador (tesis de especialidad). Universidad de las Fuerzas Armadas ESPE,
Sangolquí, Ecuador.
Congreso Nacional. (2004). Ley Orgánica de Transparencia y Acceso a la Información
Pública. Recuperado de: http://www.seguridad.gob.ec/wp-
content/uploads/downloads/2015/04/ley_organica_de_transparencia_y_acceso_a_la
_informacion_publica.pdf
Congreso Nacional. (2007). Ley Orgánica de la Defensa Nacional. Recuperado de:
http://www.defensa.gob.ec/wp-
content/uploads/downloads/2012/07/LEY_ORGANICA_DE_LA_DEFENSA_NACION
AL.pdf
Cyberwar. (2010). The Economist, 396(8689), 2.
De Tomás, S. (2014). Hacia una cultura de ciberseguridad: capacitación especializada para
un “proyecto compartido”. Especial referencia al ámbito universitario. Icade. Revista
cuatrimestral de las Facultades de Derecho y Ciencias Económicas y Empresariales,
(92), 13-47.

22
Delgado, J. A. (2014). Gobernanza de Internet en Ecuador: infraestructura y acceso.
Recuperado de:
http://repositorio.educacionsuperior.gob.ec/bitstream/28000/1579/1/Gobernanza%20
de%20Internet%20en%20Ecuador.pdf
Díaz del Río, J. J. (2011). La ciberseguridad en el ámbito militar. Recuperado de:
https://dialnet.unirioja.es/descarga/articulo/3837348.pdf
Domínguez, J. (2016). La ciberguerra como realidad posible contemplada desde la
prospectiva. Revista de Pensamiento Estratégico y Seguridad CISDE, 1(1), 18-32.
Estado Mayor de la Fuerza Naval. (2010). Seguridad de la información. Recuperado de:
http://directivas.armada.mil.ec/servicios/clientes/docusArmada/verDocus.php?docuAr
madaId=563
Ganuza, N. (2011). Situación de la ciberseguridad en el ámbito internacional y en la OTAN.
Cuadernos de Estrategia, (149), 165-214.
Gómez Luna, E., Fernando Navas, D., Aponte Mayor, G. y Betancourt Buitrago, L.A. (2014).
Metodología para la revisión bibliográfica y la gestión de información de temas
científicos, a través de su estructuración y sistematización. DYNA. 81(184),158-163.
Recuperado de: https://dx.doi.org/10.15446/dyna.v81n184.37066
Guagualango, R. N. y Moscoso, P. E. (2011). Evaluación técnica de la seguridad informática
del Data Center de la Escuela Politécnica del Ejército (tesis de grado). Escuela
Politécnica del Ejército, Sangolquí, Ecuador.
Joyanes, L. (2011). Ciberseguridad. Retos y amenazas a la seguridad nacional en el
ciberespacio. Cuadernos de estrategia, (149), 11-46.
Kleiner, D. (2014, julio 30). Querida #NETMundial, la Gobernanza es genial y todo, pero
necesitamos EXIGIR el IPv6 ¡AHORA! (J. A. Delgado, Trans.) Recuperado de:
http://www.aperturaradical.org/
Leiva, E. (2015). Estrategias Nacionales de Ciberseguridad: Estudio comparativo basado en
Enfoque Top-Down desde una visión global a una visión local. Revista
Latinoamericana de Ingeniería de Software, 3(4), 161-176.
López, J. (2013). Capacidades esenciales para una ciberdefensa. España: INDRA.
Pérez, A. F. (2012). Diseño y ensayo del Sistema de Gestión de la Seguridad de la
Información Estadística (SGSIE). Caso de aplicación: cuentas nacionales en el
Banco Central del Ecuador (tesis de maestría). Escuela Politécnica Nacional, Quito.
Queiroz, V. J. (2015). La estrategia de Argentina y Brasil para la Defensa Cibernética, un
análisis por los niveles de la conducción (tesis de especialidad), Instituto Universitario
del Ejército, Buenos Aires.
Ramos, M. (2014). Acerca de la soberanía del Ecuador en el ciberespacio. Quito: Centro
Andino de Estudios Estratégicos.

23
Riquelme, E, J. (2012). La influencia de la Guerra de la Información en un Teatro de
Operaciones (tesis de especialidad). Escuela Superior de Guerra Conjunta de las
Fuerzas Armadas, Argentina.
Robles, M. (2016). El ciberespacio: Presupuestos para su ordenación jurídico-internacional.
Revista Chilena de Derecho y Ciencia Política, 7(1), 1-43.
Sánchez, G. (2012). Cibercrimen, ciberterrorismo y ciberguerra: los nuevos desafíos del S.
XXI. Revista Cenipec, (31), 239-267.
Torres, J. A. (2014). Análisis de la influencia del fenómeno del Ciberterrorismo en las
dinámicas de seguridad de la Unión Europea (tesis de pregrado). Universidad
Colegio Mayor de Nuestra Señora del Rosario, Bogotá.
Vargas, E. M. (2014). Ciberseguridad y ciberdefensa: ¿qué implicaciones tienen para la
seguridad nacional? (tesis de especialidad). Universidad Militar Nueva Granada,
Bogotá.
Villalba, A. (2015). La ciberseguridad en España 2011 – 2015. Una propuesta de modelo de
organización (tesis doctoral). Universidad Nacional de Educación a Distancia, Madrid.

24
 ANEXO A

PROPUESTA DE DIRECTIVA PARA EL CUMPLIMIENTO DE LOS PROCEDIMIENTOS

DE CIBERSEGURIDAD DE LA ARMADA DEL ECUADOR

A-1
 ESTADO MAYOR DE LA ARMADA

QUITO

DIRECTIVA GENERAL PERMANENTE

DGP-COGMAR-INF-XXX-2017-O; XX-XXX-2017

“PROCEDIMIENTOS DE CIBERSEGURIDAD”

2017
 ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-

DIRECTIVA GENERAL PERMANENTE XX de XXX de 2017

COGMAR- INF - XXX - 2017 - O

Asunto: Procedimientos de Ciberseguridad.

Ref. : a) Constitución del Ecuador 2008.

b) Ley Orgánica de la Defensa.
c) Ley de Orgánica de Transparencia y Acceso a la Información Pública.
d) Ley de Seguridad Pública y del Estado.
f) D.G.P COGMAR-INF-002-2010-O.

Anexos : 1) ANEXO “A” Procedimientos de Ciberseguridad.

I.- ANTECEDENTES

1. Al considerar el acelerado dinamismo tecnológico que va de la mano con el

fenómeno de Internet como medio de comunicación, transmisión y
construcción de información, que han caracterizado las últimas décadas la
ciberseguridad, entendida como la totalidad de acciones encaminadas a
asegurar tanto las redes como los sistemas que componen el ciberespacio a
partir de tres posturas esenciales: descubriendo y afrontando infracciones,
revelando, contestando y recobrándose de sucesos y salvaguardando la
confiabilidad, los medios y totalidad de la información, resulta un tema de
interés prioritario.

2. El ciberespacio ha introducido una nueva dimensión en las sociedades y su

uso se ha incorporado de modo cotidiano y generalizado. Gracias al constante
desarrollo de nuevas tecnologías de la información y comunicaciones y al uso
masivo de Internet, se han desarrollado proyectos que abarcan las más
diversas áreas en la actividad humana. Los adelantos en el campo de las
telecomunicaciones y el abaratamiento de costes han generado una red en la
que pocos elementos escapan a estar conectados lo que se denomina el
internet de las cosas, además de otros muchos beneficios como el desarrollo
de nuevas capacidades en el área de las tecnologías de la información y
comunicaciones, marcando impulso en el ámbito de la investigación y gestión
del conocimiento.

3. La Constitución del Ecuador aprobada en el año 2008, considera al ser

humano y su bienestar como el objetivo central de todas las acciones
institucionales, entre las cuales constan aquellas que garanticen la seguridad
Integral, además en su artículo 158, la Carta Magna define claramente la
misión fundamental de Fuerzas Armadas en cuanto a la protección de las
libertades y garantías de los ciudadanos y la defensa de la soberanía e
integridad territorial dentro de este último el Ministerio de Defensa dispone

1
 ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-

DIRECTIVA GENERAL PERMANENTE XX de XXX de 2017

COGMAR- INF - XXX - 2017 - O

Asunto: Procedimientos de Ciberseguridad.

como uno de sus objetivos el desarrollo de las capacidades para la

ciberdefensa a través de la ciberseguridad, cuya competencia es evitar el uso
no autorizado o por parte de agentes extraños a los sistemas de información;
redes de comunicaciones estatales; sistemas de control y operación de la
infraestructura estratégica civil y militar.

4. El Artículo no. 2 de la Ley Orgánica de la Defensa Nacional (2007-74)

postula que las Fuerzas Armadas, como parte de la fuerza pública, tienen la
siguiente misión: conservar la soberanía, defender la integridad territorial,
garantizar el ordenamiento jurídico, colaborar con el desarrollo social y
económico del país, participando económicamente en aspectos
concernientes a la seguridad nacional.

5. La Ley Orgánica de Transparencia y Acceso a la Información Pública (2004-

24), en su Artículo 17 establece directrices que impiden el derecho al
acceso a la información pública.

6. La Ley de Seguridad Pública y del Estado (2009) demanda que la

salvaguardia de la soberanía del Estado y la integridad del territorio tendrá
como componentes esenciales al Ministerio de Defensa y al de Relaciones
Exteriores en los contextos de su compromiso y competencia. Corresponde
a las Fuerzas Armadas su ejecución para cumplir con su misión
fundamental de defensa de la soberanía e integridad territorial.

7. La Directiva General Permanente COGMAR-INF-002-2010-O; 12-JUL-2010.

Establece disposiciones y políticas generales de seguridad de la
información para uso del Sistema de Comunicaciones Navales (SCN), con
el fin de autorizar el acceso a la información a través de los servicios y
sistemas de información utilizados en la gestión administrativa y operativa
de los repartos navales.

II.- PROPÓSITO

1. Evitar accesos indebidos y posibles brechas de seguridad; tanto físicas como

tecnológicas y humanas, que podrían afectar la seguridad interna y externa,
apegándose a las tres directrices esenciales sobre ciberseguridad: descubrir y
afrontar infracciones, revelar, contestar y recobrarse de sucesos y
salvaguardar la confiabilidad, los medios y la totalidad de la información.

2
 ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-

DIRECTIVA GENERAL PERMANENTE XX de XXX de 2017

COGMAR- INF - XXX - 2017 - O

Asunto: Procedimientos de Ciberseguridad.

2. Cumplir con los procedimientos de ciberseguridad (centro de ciberseguridad,

conciencia situacional, tecnologías y sistemas, formación, modelos
organizativos y estrategia y doctrina) con el fin de proteger la infraestructura
tecnológica y la información institucional de las amenazas existentes en el
ciberespacio.

3. Fortalecer la cultura de ciberseguridad en la Armada del Ecuador en el ámbito

profesional, legal y de investigación.

III.- DISPOSICIONES

A. Generales

1. Un manejo apropiado de computadoras debido a que permite acceder a

los recursos informáticos de la Armada, (correo electrónico, bases de
datos, aplicaciones web institucionales, gestión documental, etc.), con la
finalidad de disminuir las posibilidades de un ataque cibernético (robo de
información, correo basura, distribución de código malicioso, etc.).

2. Mantener actualizados los programas y antivirus instalados en las

computadoras, firewalls y servidores con las últimas versiones y eliminar
programas que ya no se utilicen.

3. En las computadoras, firewalls servidores y demás equipos informáticos

se deberán instalar software original y con licencia de uso.

4. Usar contraseñas robustas para acceso a computadoras, equipos

informáticos, dispositivos de red.

5. Evitar el uso de dispositivos de almacenamiento externo, para lo cual el

envío de información debe realizarse a través de los canales
institucionales debidamente autorizados (SISDON y ZIMBRA).

6. No dejar desatendido su puesto de trabajo, en caso de hacerlo se deberá

cerrar la sesión establecida en su computadora y/o equipo informático
para que pida clave de acceso al intentar ingresar de nuevo al mismo.

7. Limpiar el historial y cookies de los navegadores de acceso a internet

(Mozilla Firefox, Google Chrome, Internet Explorer, Safari, etc.).

3
 ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-

DIRECTIVA GENERAL PERMANENTE XX de XXX de 2017

COGMAR- INF - XXX - 2017 - O

Asunto: Procedimientos de Ciberseguridad.

8. Garantizar la navegación segura a través del internet al personal de la

Armada estableciendo filtros y controles de acceso prohibiendo el ingreso
a páginas relacionadas con juegos y apuestas en línea, pornografía y
redes sociales.

9. Evitar que los dispositivos móviles como teléfonos inteligentes, laptops y

tabletas ajenos a la Armada utilicen la infraestructura institucional para el
intercambio de voz, datos y video.

10. Los repartos navales deben reportar a los Centros y Unidades de

Tecnologías de la Información y Comunicaciones (CTIC/UTIC) cualquier
incidente en el ámbito de ciberseguridad, así como también solicitar
charlas informativas sobre ciberseguridad.

B. Específicas

1. Estado Mayor de la Armada

a. Impulsar los proyectos relacionados con el fortalecimiento de la

ciberseguridad.

b. Gestionar recursos para la ejecución de proyectos relacionados

con ciberseguridad.

c. Solicitar al Comando Conjunto de las Fuerzas Armadas

asesoramiento y directrices en temas de ciberseguridad a través
del Comando de Ciberdefensa (COCIBER).

d. Supervisar el cumplimiento de las disposiciones remitidas por el

Comando Conjunto a través del COCIBER.

e. Impulsar la cooperación internacional con Armadas de otros países

para la investigación en temas de ciberseguridad.

2. Dirección General de Talento Humano.

a. Verificar que el personal de oficiales, tripulantes y servidores

públicos, en la especialidad de informática, sistemas y
telecomunicaciones estén debidamente asignados a sus plazas

4
 ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-

DIRECTIVA GENERAL PERMANENTE XX de XXX de 2017

COGMAR- INF - XXX - 2017 - O

Asunto: Procedimientos de Ciberseguridad.

orgánicas y que desempeñen las funciones acorde a su

especialidad.

b. Remitir a la Dirección de Tecnologías de la Información y

Comunicaciones (DIRTIC) el listado de personal que tenga
formación profesional en el área de ciberseguridad.

3. Dirección General de Educación y Doctrina.

a. Planificar y gestionar cursos de capacitación para el personal de

oficiales, tripulantes y servidores públicos en la especialidad de
informática, sistemas y telecomunicaciones en lo relacionado a
ciberseguridad, así como también incluir en el pensum académico
y mallas curriculares de los centros de formación, capacitación y
perfeccionamiento la materia ciberseguridad y/o seguridad de la
información.

b. Con el asesoramiento de la DIRTIC gestionar convenios con las

universidades fuera y dentro del país que oferten maestrías en
ciberseguridad con la finalidad de que el personal de oficiales,
tripulantes y servidores públicos en la especialidad de informática,
sistemas y telecomunicaciones pueda acceder a dichas maestrías.

4. Dirección de Tecnologías de la Información y Comunicaciones.

a. Gestionar ante el Estado Mayor de la Armada y la Dirección de

Planificación y Gestión Estratégica de la Armada la creación del
Centro de Ciberseguridad y así cumplir con lo dispuesto en el
Anexo “A” de la presente directiva.

b. Elaborar proyectos que fortalezcan y contribuyan al desarrollo de la

ciberseguridad de la Armada del Ecuador siguiendo los canales
respectivos fin sean considerados en la Planificación Estratégica
Institucional.

c. Desarrollar y promover la investigación en el área de la

ciberseguridad.

d. Elaborar un cronograma de visitas a los repartos navales donde se

impartan charlas sobre ciberseguridad, haciendo hincapié en los

5
 ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-

DIRECTIVA GENERAL PERMANENTE XX de XXX de 2017

COGMAR- INF - XXX - 2017 - O

Asunto: Procedimientos de Ciberseguridad.

impactos de ataques informáticos fin incentivar la cultura de la

ciberseguridad a nivel institucional.

e. Verificar que el personal con más experiencia y capacitación en el

ámbito de ciberseguridad se desempeñe en cargos afines.

f. Remitir políticas y directrices en lo relacionado a ciberseguridad.

g. Monitorear permanentemente las redes, servicios informáticos y

de gestión de la Armada así como también ejecutar ejercicios de
hacking ético a fin de detectar oportunamente cualquier brecha de
seguridad o posible ataque.

h. Solicitar a COCIBER asesoramiento en temas relacionados con

ciberseguridad en su nivel.

i. Efectuar auditorías ciberseguridad con equipos de trabajo

conformados por COCIBER, INSGAR y la DIRTIC

j. Solicitar al Comando de Inteligencia Naval (COINNA) el inicio de

las investigaciones cuando se detecten violaciones a la seguridad
de la información que comprometan a la institución y a la
seguridad nacional que tengan repercusiones legales.

5. Comando de Inteligencia Naval.

a. Inspeccionar las instalaciones donde se encuentran ubicados los

centros de datos para que cumplan los requisitos de acceso y
seguridad física.

b. Realizar de manera periódica la Investigación de Seguridad de

Personal (ISP), a los administradores de red, servidores de
aplicaciones institucionales y datos de los CTIC´s y UTIC´s.

C. De Control

La Inspectoría General de la Armada, será la encargada de controlar el

cumplimiento de la presente Directiva.

6
 ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-

DIRECTIVA GENERAL PERMANENTE XX de XXX de 2017

COGMAR- INF - XXX - 2017 - O

Asunto: Procedimientos de Ciberseguridad.

IV.- VIGENCIA

La presente Directiva entrará en vigencia a partir del XX de XXX del 2017.

Renán RUIZ Cornejo

Contralmirante
COMANDANTE GENERAL DE LA ARMADA

DISTRIBUCIÓN: COOPNA COINNA DIGEIM DIGEDO DIGLOG DIGTAH DIRNEA

DIRPGE DIRTIC ESMAAR INSGAR SECGAR

AAF/Andrés.-

7
 ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-

DIRECTIVA GENERAL PERMANENTE XX de XXX de 2017

COGMAR- INF - XXX - 2017 - O

Asunto: Procedimientos de Ciberseguridad.

ANEXO “A”

PROCEDIMIENTOS DE CIBERSEGURIDAD

Una ciberseguridad que garantice una protección eficiente y eficaz frente a las amenazas
debe sustentarse en un amplio conjunto de procedimientos que deben incluir aspectos
organizacionales, procedimentales y tecnológicos. Es por esa razón que la Dirección de
Tecnologías de la Información y Comunicaciones (DIRTIC) brinde el apoyo requerido, con la
finalidad de contrarrestar los ataques cibernéticos y desplegar acciones defensivas u
ofensivas de respuesta activa. Los planes fundamentales sobre los que se deben desarrollar
las acciones se concentran en los siguientes procedimientos:

1. CONCIENCIA SITUACIONAL

A través de charlas y campañas informativas en los repartos de la Armada del Ecuador

se debe informar sobre la importancia que tiene el uso del ciberespacio como un
medio para alcanzar los objetivos institucionales, así como también la importancia de
un cambio de comportamiento y cultura de trabajo que fomente la ciberseguridad.

2. INFRAESTRUCTURA Y EQUIPAMIENTO

a. Mantenimiento preventivo y correctivo de los sistemas de seguridad y detección

de ataques informáticos.

b. Desarrollo de planes para el mejoramiento o renovación de los sistemas de

seguridad y detección de ataques informáticos.

3. SISTEMAS SEGUROS Y RESISTENTES

a. Establecer parámetros, protocolos y estándares para la adquisición de hardware

y software de equipos de ciberseguridad fin sea más factible su adquisición,
mantenimiento preventivo y correctivo.

b. Generar un documento calificado donde se registre histórico de ciberataques,

posibles vulnerabilidades de todos los servicios informáticos institucionales y
arquitectura de red, sus respectivos impactos.

c. En base a lo expuesto en el literal b. elaborar el Plan de Mitigación de

Vulnerabilidades y Continuidad de Negocio de la Armada.

8
A-1
 ARMADA DEL ECUADOR
ESTADO MAYOR DE LA ARMADA
Quito
-o-

DIRECTIVA GENERAL PERMANENTE XX de XXX de 2017

COGMAR- INF - XXX - 2017 - O

Asunto: Procedimientos de Ciberseguridad.

4. MODELOS ORGANIZACIONALES

Presentar la Dirección de Planificación y Gestión Estratégica de la Armada el

organigrama y orgánico por procesos del Centro de Ciberseguridad de la Armada del
Ecuador para su aprobación.

5. EDUCACIÓN, INVESTIGACIÓN Y DESARROLLO

a. Previa coordinación con universidades e institutos de investigación ecuatorianos,

presentar a DIGEDO Plan de Fortalecimiento de Capacidades en
Ciberseguridad, con el objetivo de que el personal idóneo realice cursos,
diplomados o maestrías en ciberseguridad.

b. El personal con mayores destrezas y conocimiento en temas de ciberseguridad

deberá conformar un equipo de investigación y desarrollo que propenda a
detectar posibles brecas de seguridad en los sistemas informáticos e
infraestructura de red de la Armada del Ecuador, así como también innovar y
desarrollar aplicaciones y sistemas de detección de ciberataques, con la finalidad
de evitar la dependencia de tecnología y software extranjero reduciendo de esta
manera costos.

6. DOCTRINA

a. Presentar a DIGEDO syllabus correspondiente a la materia Ciberseguridad

adaptado para el uso tanto en centros de formación como perfeccionamiento de
oficiales y tripulantes.

b. Presentar al Estado Mayor propuestas de manuales que contengan políticas en

temas de ciberseguridad.

c. Mantener actualizada la presente directiva.

7. COMPROMISO INTERNACIONAL

Solicitar al Estado Mayor de la Armada realice las coordinaciones pertinentes que

permitan el asesoramiento de Armadas de otros países en temas de ciberseguridad.

9
A-2