CENTRO DE CIBERSEGURIDAD INDUSTRIAL

EDICIÓN 2022

ESTUDIO DE
CSIRT–CERT EN LATAM
Situación actual de 11 países en Latinoamérica
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

Edición: 2022

ISBN: 978-84-124697-9-0

Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra queda rigurosamente prohibida y
estará sometida a las sanciones establecidas por la ley. Solamente el autor (Centro de Ciberseguridad Industrial, www.cci-es.org), puede
autorizar la fotocopia o el escaneado de algún fragmento a las personas que estén interesadas en ello.
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

El Centro de Ciberseguridad Industrial (CCI) es

una organización independiente, sin ánimo de lu-
Paseo de las Delicias, 30 - 2ª Planta cro, cuya misión es impulsar y contribuir a la mejo-
28045 Madrid ra de la Ciberseguridad Industrial, en un contexto
+34 910 910 751 en el que las organizaciones de sectores como el
info@cci-es.org de fabricación o el energético juegan un papel crí-
www.cci-es.org tico en la construcción de la sociedad actual, como
blog.cci-es.org puntales del estado del bienestar.
@info_cci
www.linkedin.com/in/ El CCI afronta ese reto mediante el desarrollo de
centrociberseguridadindustria actividades de investigación y análisis, generación
de opinión, elaboración y publicación de estudios
y herramientas e intercambio de información y co-
nocimiento sobre la influencia, tanto de las tecno-
logías, incluidos sus procesos y prácticas, como de
los individuos, en lo relativo a los riesgos −y su ges-
tión− derivados de la integración de los procesos
e infraestructuras industriales en el Ciberespacio.

El CCI es, hoy, el ecosistema y el punto de encuen-

tro de las entidades −privadas y públicas− y de los
profesionales afectados, preocupados u ocupados
de la Ciberseguridad Industrial; y es, asimismo, la
referencia hispanohablante para el intercambio de
experiencias y la dinamización de los sectores in-
volucrados en este ámbito.

CONSEJOS
Alt+flecha izquierda para volver a la vista anterior después de ir a un hipervínculo

Haz click en nuestro icono y visita nuestra web

Haciendo click en la banderas de la portada podrás ver la actividad de CCI en cada uno de esos países

Haciendo click en el número de página volverás al índice

3
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

PATROCINADORES
PATROCINADORES PL ATINUM

PATROCINADORES GOLD

PAT R O C I N A D O R E S S I LVE R

PATROCINADORES BRONZE
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

AUTORES DEL ESTUDIO

Nora Susana Alzúa

Freddy Macho

Diego Zuluaga

Mary Vargas

5
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

CONTENIDO
RESUMEN EJECUTIVO.................................................................................................................................... 7

CAPÍTULO 1 - CSIRT VERSUS CERT............................................................................................................ 8

CAPÍTULO 2 - CSIRT/CERT POR PAÍS.......................................................................................................10

ARGENTINA........................................................................................................................................................................................... 10

BRASIL...................................................................................................................................................................................................... 12

COLOMBIA............................................................................................................................................................................................. 14

COSTA RICA........................................................................................................................................................................................... 16

CHILE......................................................................................................................................................................................................... 17

ECUADOR............................................................................................................................................................................................... 19

MEXICO....................................................................................................................................................................................................23

PERÚ..........................................................................................................................................................................................................25

PARAGUAY............................................................................................................................................................................................ 26

URUGUAY.............................................................................................................................................................................................. 27

VENEZUELA......................................................................................................................................................................................... 28

CAPÍTULO 3 - REFLEXIONES Y CONCLUSIONES................................................................................. 29

TABLA COMPARATIVA ENTRE PAÍSES.................................................................................................... 31

6
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

RESUMEN EJECUTIVO
La respuesta a incidentes está convirtiéndose en un área importante para las organizaciones que gestionan
especialmente infraestructuras críticas, como así también organizaciones que operan sistemas del tipo
industrial (ICS).

Como es de público conocimiento, los sistemas de control industrial (ICS) originalmente fueron sistemas
independientes que no estaban interconectados y no poseían medidas de seguridad. Hoy se encuentran
conectados a Internet, por lo cual la permanente amenaza de incidentes de ciberseguridad está presente y
se evidencia un aumento de concientización de la necesidad de gestionar los riesgos y realizar un proceso
periódico de análisis de vulnerabilidades. Es de mucha importancia constar con equipos de respuesta a
incidentes cibernéticos conocidos como CSIRT’s que permiten afrontar ataques y colaborar con el control y
lograr minimizar los daños, como así también investigar lo ocurrido para resguardar “lecciones aprendidas”.

La importancia de la infraestructura crítica crece para los distintos países. En Octubre del 2018 el US-CERT
advirtió sobre los ataques que se producían sobre sectores de la energía, la energía nuclear, agua, aviación
y la fabricación crítica. A partir de ese momento EEUU hizo un llamamiento para encontrar y corregir las
amenazas, por lo cual, a la fecha CISA.GOV es quien reporta sobre las últimas vulnerabilidades, asimismo
es el centro donde se reportan incidentes, malware, phishing, se informan Indicadores de compromiso. En
este contexto es que fue de nuestro interés investigar la existencia en LATAM de organismos dedicados
específicamente a los sistemas de control industrial.

El análisis realizado consistió en revisar la existencia de CSIRT que apoyen los ICS’s en los países donde el CCI
tiene presencia a través de sus coordinadores, e investigar y documentar la situación actual de los mismos.

El documento se estructura en:

■ Un primer capítulo titulado “CSIRT Versus CERT” el cual proporciona la definición y diferencias entre un
CSIRT y CERT.

■ El segundo capítulo titulado “CSIRT/CERT por país” donde se especifican datos de cada país respecto al
formato, fechas, responsables y situación actual en el cual se encuentran a la fecha este estudio.

■ El último capítulo contiene conclusiones y reflexiones sobre lo estudiado para cada caso.

■ Tabla comparativa entre algunos de los países de LATAM

7
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

CAPÍTULO 1

CSIRT VERSUS CERT

En 1988 se crea el primer Centro de Respuesta a Emergencias Cibernéticas (CERT por sus siglas en Ingles
-Computer Emergency Response Team) bajo la dirección de DARPA ( Defense Advanced Research Projects
Agency) como respuesta a uno de los primeros gusanos que afectaron internet y que, para desviar las
investigaciones fue publicado desde las redes del MIT (Massachusetts Institute of Technology), aunque
había sido desarrollado por un estudiante de posgrado de la universidad Carnegie que aprovechó múltiples
vulnerabilidades de la época para replicarlo automáticamente a través de esta red de redes e infectó en poco
tiempo a un gran porcentaje de los equipos que estaban conectados.

Este evento que condujo a una de las primeras investigaciones de incidentes informáticos y condenas
por delitos en el mundo de Internet evidenció la necesidad de construir una comunidad de respuesta a
incidentes ante posibles eventos futuros. El CERT fue luego asignado al Instituto de Ingeniería de Software
de la universidad Carnegie Mellon desarrollado como marca propia que sólo puede ser usada por los CERT
nacionales y por quienes licencien su marca cumpliendo con los criterios para ello (aunque en el último
tiempo se ha dejado de perseguir el uso no debido de esta marca fuera de los Estados unidos).

En este sentido, se desarrollaron estructuras orientadas a la coordinación y gestión de incidentes de

seguridad en instituciones, públicas, privadas y académicas a través de todo el mundo, instituciones que se
apoyan para la respuesta a estos eventos que son generados en cualquier país del mundo y pueden afectar
igualmente en cualquiera de las fronteras geográficas.

Todas estas organizaciones han adoptado de nominaciones diversas que cada vez más convergen en Equipo
de Respuesta a Incidentes de Seguridad informática (CSIRT -Computer Security Incident Response Team).

Actualmente existen otras denominaciones comunes como Equipo de Respuesta a Incidentes de Seguridad
de Producto (PSIRT Product Security Incident Response Team) o Equipo de Respuesta a Incidentes de
Computadora (CIRT -Computer Incident Response Team).

Todas estas organizaciones se han enfocado en brindar servicios proactivos, detectivos y reactivos, para coordinar
acciones frente a los incidentes de ciberseguridad que puedan presentarse en la comunidad a la cual sirven con
el objetivo de minimizar y controlar los daños que resulten de los mismos y prevenir incidentes futuros.

Estos equipos de respuesta cada vez son más relevantes en el mundo de Internet para mantener la seguridad
y confiablidad de la red de redes, permitiendo a las comunidades contar con alertas oportunas frente a
incidentes, mejorar su conciencia frente los requerimientos de seguridad en esta red, detectar ataques en
progreso y brindar apoyo en una respuesta efectiva de una manera centralizada.

Una labor importante de estos centros que normalmente sirven a una comunidad variada, sectorial o
nacional es contar con servicios de ciber-inteligencia de amenazas e identificar cuando los ataques van
más allá de las fronteras de una organización y están dirigidos un sector o país, alertando a las empresas,
organizaciones e instituciones para lograr la contención efectiva y oportuna de los mismos.

8
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

Aparece otro concepto clave en estos equipos que son los Centros de Operaciones de Seguridad (SOC -
Securiy Operation Center) que normalmente están asociados a estructuras dentro de la organización que
realizan operaciones de seguridad y que, por lo tanto, van generalmente más allá de la respuesta a Incidentes
de seguridad, dedicando esfuerzos a la gestión y operación de herramientas de seguridad, la gestión de
riesgos y otras labores de control.

Es relevante comprender que las capacidades de todos estos centros de respuesta se ven fortalecidas en la
medida en la que pertenezcan y aporten a redes regionales, continentales y globales de respuesta a incidentes
que puedan apoyarlos con información, escalamiento o capacidades para la defensa en entornos complejos
y muchas veces transnacionales; por ello, foros como el FIRST que es la principal asociación global de los
CSIRTs y cuyo objetivo principal es promover la cooperación y coordinación en la prevención de incidentes
a través del globo, el CSIRT Américas de la Organización de los Estados Americanos y los CERT y CSIRT
de carácter nacional y sectorial en cada uno de los países con sus alianzas multilaterales complementan
efectivamente este ecosistema haciéndolo cada vez más unido, con posibilidades de compartir en un
entorno de confianza entre diferentes equipos dispersos en las diferentes regiones.

En el campo industrial que atañe de manera directa a este estudio para Latinoamérica aparecen los ISOC
– Industrial Securtity Operation Center y los CSIRT industriales, dos ramificaciones de los que veníamos
explicando que se dedican principalmente a industrias y organizaciones que cuentan con tecnologías de
operación o sistemas de control industrial y que entienden de primera mano los inconvenientes y diferencias
de proteger entornos ciber-físicos que pueden afectar directamente el mundo físico desde un ataque
al entorno digital llevando a afectaciones que no sólo implican información, sino que en muchos casos,
generan el deterioro o destrucción de los activos, afectaciones al medio ambiente, a las vidas humanas y a la
estabilidad de las naciones, en especial en el caso de las infraestructuras críticas industriales.

Es importante considerar que las capacidades y servicios de todas estas organizaciones son bastante
diversos, dependen de sus capacidades, intereses y niveles de evolución, por lo que se hace necesario en cada
momento identificar los CSIRT más cercanos y afines a la institución que se desea proteger, entendiendo sus
capacidades, y cómo éstas se complementan con las de la institución para que en la relación de las mismas
se den sinergias que permitan aportar a la comunidad y recibir beneficios ampliando las capacidades
internas y apoyando las de la sociedad.

Este estudio busca servir de mecanismo de reflexión sobre la necesidad de contar cada vez con más y mejores
CSIRT industriales que apoyen a la región, además de ser referencia para las organizaciones e instituciones
que tienen presencia en Latinoamérica para identificar organizaciones de apoyo en la gestión de incidentes
de ciberseguridad industrial que pueda presentarse y que requieran trabajo coordinado y efectivo para su
resolución, así como una referencia de las instituciones a las cuales deberían acudir para reportar eventos e
incidentes que puedan afectarlos principalmente en el entorno industrial, con el fin de que la comunidad
global de respuesta a incidentes se vea beneficiada de las experiencias obtenidas a través de la práctica de
gestión de las diferentes instituciones, permitiendo controlar más oportunamente los posibles ataques y
organizaciones cibercriminales que se puedan presentar en el entorno industrial a través de la región.

Para ello, el lector en las siguientes páginas encontrará una recopilación de los principales CERT, CSIRT,
ICSIRT y ISOC que pueden apoyar en los diferentes países de la región donde el Centro de Ciberseguridad
Industrial ha estado presente y colaborando en estos últimos años.
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

CAPÍTULO 2

CSIRT/CERT POR PAÍS

ARGENTINA
CERT-ARGENTINA

Las distintas iniciativas para implementar un CERT en Argentina comenzó el año 1999 con el ARCERT que
funcionó hasta el 2013 el cual dependía en aquel momento del área de Coordinación de Emergencia en
Redes Teleinformáticas de la Administración Pública

Algunos de sus objetivos principales fueron: Coordinar, colaborar y proponer normas para elevar umbrales
de seguridad, asesorar ante incidentes de la administración pública, como así también herramientas y
técnicas de protección de sus sistemas, difundir información para incrementar los niveles de seguridad, etc.

A partir de una reestructuración del gobierno en el 2013 hasta el 2020 cambió de área de gobierno y se
creó el ICIC (Infraestructuras Críticas de Información Y Ciberseguridad) orientado hasta el Programa de
Infraestructuras Criticas. En este caso dependía de Oficina Nacional de Tecnologías de Información (ONTI)
y en su definición inicial estableció 4 grupos de trabajo:

■ ICIC - CERT (Computer Emergency Response Team)

■ ICIC - GAP (Grupo de Acción Preventiva)

■ ICIC - GICI (Grupo de Infraestructuras Críticas de Información)

■ ICIC - INTERNET SANO” (Concientización)

En el Año 2021 se creó el CERT.AR por medio de la Disposición/1-2021 DI-2021-1-APN-CNCIB actualmente

dependiente de la Dirección Nacional de Ciberseguridad cuyos objetivos son los siguientes:

■ Administrar y gestionar toda la información sobre reportes de incidentes de seguridad en las entidades
y jurisdicciones del Sector Público Nacional definidas en el inciso a) del artículo 8° de la Ley Nº 24.156 y
sus modificatorios.

■ Asesorar técnicamente ante incidentes de seguridad en sistemas informáticos que reporten las entida-
des y jurisdicciones enumeradas en el artículo 1° de la presente medida.

■ Coordinar las acciones a seguir, ante incidentes de seguridad, con otros Programas y equipos de res-
puesta a incidentes de la REPÚBLICA ARGENTINA.

10
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

■ Contribuir a incrementar la capacidad de prevención, alerta, detección y recuperación ante incidentes

de seguridad informática que puedan afectar activos de información críticos del país.

■ Interactuar y cooperar con equipos de similar naturaleza de otros países.

■ Llevar un registro de estadísticas y establecer métricas a nivel nacional.

■ Coordinar la gestión de incidentes de seguridad informáticos que afecten recursos críticos a nivel na-
cional

■ Impulsar la formación de capacidades de prevención, detección, alerta y recuperación para la respues-

ta ante incidentes de seguridad informática.

■ Cooperar con los gobiernos provinciales y de la Ciudad Autónoma de Buenos Aires en la gestión de
incidentes de seguridad informática.

Actualmente el CERT.AR se encuentra:

■ implementando herramientas para gestionar el ciclo del proceso de gestión del CERT como así tam-
bién un Política de Clasificación de incidentes, estandarizar el proceso de comunicación y generar in-
dicadores de compromiso ante un evento.

■ definiendo una normativa para las empresas públicas que ante un incidente deberán notificar al CERT
el estado de situación e información sobre el incidente

En la página del CERT.AR la cual depende la página del Gobierno Nacional https://www.argentina.gob.ar/
jefatura/innovacion-publica/ssetic/direccion-nacional-ciberseguridad/cert-ar se verifican dos funciones ya
implementadas “Publicaciones” y “Reporte de Incidentes”

A su vez, dentro del sector en el país se ha hecho muy famosa La Universidad de La Plata ya que posee
el CERTUNLO que se ocupa de gestionar incidentes que puedan afectar a sus redes y adicionalmente
ha representado a la Argentina en competencias habiendo obtenido en el CyberEx 2019 (organizado pro
INCIBE) el quinto puesto, y ya en el CyberEx 2021 se consagró ganador de la competencia. Si bien en este
caso no es específico de entornos ICS es importante remarcar la función y el desempeño que han tenido
profesionalmente.

11
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

BRASIL
Se identifica para la fecha que, en Brasil no existe ningún documento oficial nacional sobre seguridad
cibernética en el que se establezca la coordinación entre las principales partes interesadas ya sea públicas
o privadas, para los ambientes industriales y las infraestructuras críticas. De igual manera, se identifica la
carencia de un CERT – CSIRT que tenga como foco específico el proveer servicios de Ciberseguridad a los
ambientes industriales y la infraestructura crítica.

No obstante, Brasil cuenta con el Equipo Nacional de Respuesta a Emergencias Informáticas (https://www.cert.br/)
que es un organismo certificado por el Foro de Equipos de Respuesta a Incidentes y Seguridad (FIRST) el
cual se encarga de la tramitación de los informes de incidentes para el sector privado. Sumado al anterior, el
país cuenta con El Equipo de Respuesta a Incidentes de Seguridad Informática del Gobierno del Brasil (CTIR
Gov) también certificado por FIRST, el cual proporciona respuesta a los incidentes para la Administración
Pública Federal (FPA), y el CERT militar que protege las redes militares.

El Decreto Nro. 9573, de 22 de noviembre de 2018, aprobó la Política Nacional de Seguridad para las
Infraestructuras Críticas Nacionales. Esta Política tiene como objetivo garantizar la seguridad y resiliencia de
la infraestructura crítica del país y la continuidad en la prestación de sus servicios. En este sentido, establece
el Sistema Integrado de Datos de Seguridad de Infraestructuras Críticas, la Estrategia Nacional de Seguridad
de Infraestructuras Críticas y el Plan Nacional de Seguridad de Infraestructuras Críticas. En sus principios,
la citada política señala la importancia de la prevención sobre la base del análisis de riesgos, lo que refleja la
necesidad de adoptar procedimientos de seguridad en todos sus aspectos, incluida la ciberseguridad.

El CERT.br mantiene anualmente el registro de incidentes nacionales y públicos, al igual que datos
estadísticos de amenazas e incidentes. Los sistemas automatizados se encuentran alineados a las normas
internacionales, tales como la Expresión estructurada de información sobre amenazas (STIX) y los Protocolos
de semáforo (TLP), las cuales garantizan que la información sobre amenazas se comparta con los CERT que
colaboran con el CERT.br.

Según un informe de la OEA indica que “La madurez de la capacidad de Brasil para proteger la infraestructura
crítica difiere entre los operadores de infraestructura crítica (IC) públicos y privados. Todas las instituciones
federales deben realizar evaluaciones del riesgo cibernético que se actualizan anualmente en función de
las lecciones aprendidas de los principales eventos. Las partes interesadas de infraestructura crítica pública
incluyen empresas de telecomunicaciones, transporte, energía e instituciones financieras, todas las cuales
cooperan y coordinan a través de canales formales de comunicación con el Ministerio de Defensa. Existen
políticas y procedimientos claramente definidos que todas las instituciones públicas deben seguir en
función de la información proporcionada por la herramienta de conocimiento del CERT.br.”

La labor jurídica actual se centra en la racionalización del intercambio de información sobre amenazas
entre todos los CERT, ya que no todas las partes interesadas en la infraestructura crítica privada tienen
derecho a recibir información sobre amenazas. A medida que aumenta la gama de partes interesadas en la
infraestructura crítica, es necesario contar con una mayor participación de las instituciones de investigación.

12
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

El CERT.br tiene la responsabilidad de fomentar la cooperación entre los integrantes de la red nacional de los
CERT. En consecuencia, el CERT.br ayuda a otros CERT a desarrollar su capacidad de manejo de incidentes
mediante reuniones, capacitación y presentaciones en conferencias.

Brasil aprobó la creación de la Estrategia Nacional de Ciberseguridad (Decreto Federal Nº 10.222) en

febrero de 2020. El Decreto “crea un modelo de gobernanza centralizado a nivel nacional para promover
la coordinación entre los diferentes actores relacionados con la ciberseguridad, establecer un consejo
nacional de Ciberseguridad y fomentar los controles internos de cumplimiento de la seguridad cibernética
en las entidades públicas y privadas”. Además, “alentar a estas organizaciones a implementar políticas de
ciberseguridad, que incluyen, entre otros aspectos, métricas, mecanismos de evaluación y revisión periódica”
al igual “que fomentar la creación de ETIR” y “fomentar la participación de infraestructuras críticas en
ciberejercicios”.

En función de lo expuesto se ha observado la existencia de iniciativas privadas (CSIRT específicos por negocio). Es
el caso de TI-Safe que actúa como un CSIRT para sistemas industriales que solo gestiona la ciberseguridad de sus
clientes. A su vez, este CSIRT privado desarrolla y mantiene activo el Centro de Incidentes (https://hub.tisafe.com)
donde divulga los incidentes cibernéticos en infraestructuras críticas.

Links asociados

Centro de Estudios, Respuesta y tratamiento de Incidentes de Ciberseguridad

https://www.cert.br/

Decreto 9.573 22/11/2018

https://presrepublica.jusbrasil.com.br/legislacao/650707334/decreto-9573-18

Estrategia Ciberseguridad Brasil (versión 2018)

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9573.htm

Estrategia Ciberseguridad Brasil (versión 2020)

https://www.in.gov.br/en/web/dou/-/decreto-n-10.222-de-5-de-fevereiro-de-2020-241828419
https://www.oas.org/es/sms/cicte/docs/ESP-Revision-de-capacidades-de-Ciberseguridad.pdf

13
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

COLOMBIA
En Colombia se encuentra desde principios de la década del 2000 se comenzó a tener respuesta a incidentes
de ciberseguridad especialmente por la policía nacional quien decidió atender los primeros crímenes por
computador de una manera especial dedicando algunos recursos a la gestión de estos incidentes, hacia
mediados de esa década comienza a tener interés desde el Ministerio de Defensa Nacional respecto de
la creación de un Centro de Respuesta a Emergencias Cibernéticas Nacional (CERT) y a vislumbrar las
necesidades de mejorar la coordinación nacional, para lo cual se presentó el documento de política económica
y social CONPES 3701 de 2011 donde se dictan los lineamientos de política en ciberseguridad y ciberdefensa
para el país y se formaliza la coordinación nacional en materia de gestión de incidentes cibernéticos
definiendo la creación del ColCERT adscripto al Ministerio de Defensa Nacional como ente coordinador
de las acciones necesarias, apoyado por el Centro Cibernético Policial - CCP, que ya venía operando con
fuerza para la defensa del ciudadano colombiano en el ciberespacio y el combate contra el cibercrimen.
Allí mismo se establece la creación del Comando Conjunto Cibernético CCOC adscrito al Comando General
de las Fuerzas militares como ente responsable de la defensa del país en el ciberespacio. Hacia el 2016 se
publica la Política Nacional de Seguridad Digital en el documento CONPES 3854 donde entre otros temas
relevantes, se da fuerza a la protección de las infraestructuras críticas cibernéticas y el fortalecimiento de las
capacidades estableciendo la necesidad del desarrollo de los CSIRT sectoriales y promoviendo su creación.

Esto siguió evolucionando hasta que en julio del 2020 se publica el documento CONPES 3995 que establece
la Política Nacional de Confianza y Seguridad Digital en la cual se reconoció la importancia de contar con un
registro central único de incidentes, el cual aprovechará las capacidades de los diferentes CSIRT sectoriales.

El sector eléctrico colombiano desarrolló sus primeras guías de ciberseguridad desde el 2012 y ha ido
evolucionando en sus exigencias de ciberseguridad especialmente para la infraestructura crítica que
soporta el sistema interconectado nacional a través de múltiples acuerdos del Consejo Nacional de
Operación, los cuales han considerado como aspecto fundamental, la adecuada respuesta ante incidentes
de ciberseguridad, solicitando recursos y planes para los mismos.

En febrero de 2022 se presenta una directiva presidencial en seguridad, seguida en marzo, de la publicación
del decreto 338 de la presidencia de Colombia, el ministerio de defensa y el ministerio TIC donde se hacen
cambios estructurales a la disposición de los CSIRT nacionales, se mueve el CERT nacional ColCERT al
ministerio TIC y se da fortaleza a la gestión de incidentes que deben hacer las autoridades nacionales.

Este desarrollo ayudó a fomentar la creación de CSIRTS en diferentes ámbitos llegando hoy a contar con 18
CSIRTS inscritos ante el FIRST, lo cual lo ubica como el País de Latinoamérica con más de este tipo de centros
de respuesta formalmente reconocidos ante este organismo internacional.

Sin embargo, cuando se analiza el alcance en temas industriales sigue dejando mucho que desear. Los
centros de respuesta actuales a nivel nacional apoyan a organizaciones industriales, pero normalmente no
cuentan con capacidades específicas en la materia y las empresas privadas responsables de infraestructura
critica cibernética industrial han decido crear sus propios centros internos y apoyarse en capacidades de
proveedores locales y globales que aportan el tema.

14
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

EL Sector eléctrico creó desde 2018 como resultado de iniciativas de las instituciones y de las organizaciones
que lo conforman un CSIRT que llamaron de nivel 0 de evolución pero que permite compartir información
especializada para este sector entre las compañías miembro de manera autónoma y coordinada por el
operador del sector eléctrico llamado XM, lo que puede considerarse el mayor centro nacional de respuesta
a incidentes con conocimiento industrial del país. Sin embargo, aún se espera su evolución a los niveles
superiores de madurez que permita prestar mayores servicios a las instituciones.

El Comando Conjunto Cibernético de las fuerzas militares apoya a varias instituciones de infraestructura
crítica, entre ellas algunas industriales, a través de convenios de cooperación en los cuales incluye monitoreo
desde su infraestructura y alertas tempranas, así como capacidades de apoyo en respuesta a incidentes
para disminuir impactos en organizaciones criticas para la nación. Estas capacidades, aunque no son
específicamente industriales, son muy valiosas para la respuesta integral de las organizaciones industriales
críticas del país.

El ColCERT, (www.colcert.gov.co) existente desde el 2011, pero recientemente trasladado al ministerio TIC,
está consolidando sus capacidades de coordinación y respuesta para apoyar a todo tipo de compañías en el
país a través de alertas tempranas, y apoyo en respuesta a los incidentes que se puedan presentar y para la
coordinación de los CSIRT sectoriales que son solicitados en el decreto 338 según los protocolos que deben
ser desarrollados este mismo año junto con el modelo nacional de atención de incidentes.

En síntesis, Colombia cuenta con un ecosistema de gestión de incidentes cada vez más consolidado, pero aún
adolece en general de centros de respuestas con capacidades industriales que apoyen a las organizaciones
de infraestructura crítica industrial y a la industria en general en sus necesidades especializadas.

15
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

COSTA RICA
En 1990 Costa Rica creó el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT).

En el 2018 crea el CSIRT-CR por medio del decreto 37052

https://www.micitt.go.cr/sites/default/files/texto_completo_norma_37052.pdf

Actualmente con el apoyo de la Organización de Estados Americanos (OEA), el Centro de Respuesta de

Incidentes Informáticos de Costa Rica (CSIRT) y la Dirección de Gobernanza Digital del MICITT, se encuentra
trabajando en la actualización que busca mejorar las capacidades de instituciones y retos para posicionar a
Costa Rica en materia de ciberseguridad; el trabajo está previsto se concluya en el primer trimestre del año 2022.

Las principales áreas de enfoque propuestas son la coordinación nacional, el desarrollo de la capacidad
nacional de ciberseguridad, la concientización pública, la cooperación y compromiso internacional, gestión
del riesgo, protección de infraestructura y fortalecimiento del marco legal.

No obstante al igual de otros países aún no existe un CSIRT dedicado a sistemas industriales y tampoco
dedicado específicamente las infraestructuras criticas aún no definidas para Costa Rica. Actualmente existe
un proyecto de ley presentado en el 2021 relacionado con la protección de infraestructuras criticas

https://d1qqtien6gys07.cloudfront.net/wp-content/uploads/2021/07/22591.pdf

En este proyecto define entre sus puntos fundamentales

■ La creación de un Catálogo Nacional de Infraestructuras Estratégicas

■ La preparación, ejecución y actualización anual de un programa denominado “Programa Nacional para

la Protección de Infraestructuras Críticas”

■ Coordinación de los diversos planes de actuación frente a eventuales amenazas a las infraestructuras
críticas.

Asimismo este proyecto define el concepto de infraestructura critica, sus impactos, responsabilidades de los
propietarios de infraestructuras críticas y otros aspectos pero no define explícitamente cuales son

Probablemente con la revisión de su estrategia de Ciberseguridad que actualmente está en curso y

el proyecto de “Ley para la Protección de Infraestructura Crítica” Expediente N°22.591, se conformaran
los mecanismos para la identificación y protección de las infraestructuras críticas como así también la
creación de políticas públicas específicas que apunten a mitigar incidentes dirigidos a dañar o discontinuar
operaciones sensibles y especialmente un ente que permita consolidar la colaboración, concientización y
divulgación para la respuesta a Incidentes de seguridad, dedicando esfuerzos a la gestión y operación de
herramientas de seguridad, la gestión de riesgos y otras labores de control.

16
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

CHILE
En marzo del 2022 Chile ha presentado un proyecto de ley sobre Ciberseguridad e Infraestructura Crítica de
la Información.

El ámbito de aplicación del proyecto de ley son los órganos de la Administración del Estado; los órganos
del Estado y las instituciones privadas que posean Infraestructura Crítica de la Información. Esta iniciativa
establece un marco normativo en Chile en materia de ciberseguridad, responsabilidades y deberes
asociados para los órganos señalados, estableciendo de esta manera, requisitos mínimos para la prevención
y resolución de incidentes de ciberseguridad y contingencias. En particular, el proyecto de ley consagra lo
siguiente:

1. Se definen los principios rectores como responsabilidad, protección, confidencialidad, integridad y dis-
ponibilidad. Establece las atribuciones y obligaciones de los órganos del estado e instituciones privadas
que posean Infraestructura calificada como critica

2. Establece la forma en que se determinan las infraestructuras críticas. El ministerio del Interior y Segu-
ridad Publica determinara aquellos sectores que constituyan servicios esenciales y por lo tanto serán
infraestructuras críticas.

3. Se crea la Agencia Nacional de Ciberseguridad (ANC) cuyos principales objetivos son: colaborar en la
protección del ciberespacio, regular y fiscalizar las acciones de entes públicos y privados los cuales po-
sean infraestructura crítica. La ANC dictará las normas técnicas generales y los estándares mínimos de
seguridad. Conjuntamente se crea el Registro Nacional de Incidentes de Ciberseguridad, que gestiona
la ANC y será confidencial el cual servirá como reservorio para generar alertas. También se incluye un
Consejo Técnico que asesorara técnicamente a la ANC. Finalmente se crea el Equipo Nacional de Res-
puesta a Incidente de Seguridad (CSIRT NACIONAL) cuyas principales funciones serán, responder a
incidentes que vulneren o pongan en riesgo las instalaciones, redes, sistemas servicios, etc. que posean
infraestructura critica (pública o privada), coordinar con los CSIRT sectoriales frente a incidentes; ser
punto de enlace con CSIRT extranjeros.

4. Regula los CSIRT sectoriales los cuales en el caso que se haya verificado un incidente relacionado a una
infraestructura Critica deberán informar al CSIRT Nacional

5. Define un CSIRT de Gobierno y Defensa

6. Define las medidas que se deben aplicar para mantener la información de un incidente considerándolo
como Secreto y de circulación restringida. Las infracciones cometidas en cuanto a la divulgación no
autorizada serán sancionadas y está previsto en el Código Penal

7. Establece infracciones y regula multas

8. Se crea un Comité que asesora al Ministro del interior

17
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

9. Define una modificación al estatuto del ministerio de defensa

10. Faculta al presidente de la Republica para que en un año de publicada la ley establezca los decretos
necesarios para desarrollar la Agencia de nacional de Ciberseguridad y todos los puntos definidos an-
teriormente

En conclusión, Chile ha presentado este proyecto de ley de modo de establecer las acciones necesarias para
diseñar una gobernanza de la Ciberseguridad en el país, creando la Agencia Nacional de Ciberseguridad
de la cual dependerán todos los CSIRT del país (el Nacional, Gobierno, CSIRT de Defensa y CSIRT sectoriales,
entre los que se encontraran los CSIRT industriales.

Como segundo punto relevante se identifica la definición de las diversas verticales que serán reconocidas
como Infraestructuras críticas, las cuales serán afectas a cumplir la regulación que define el proyecto de
ley presentado, el cual determina los tiempos de respuesta incidentes, el reporte de los mismos, sanciones,
forma de intercambio de datos, al igual que el resguardo de la información levantada por las empresas
públicas y privadas que deberán cumplir con la presente propuesta de regulación legal.

Habrá que verificar más adelante como progresa este proyecto de ley.

El enlace con el Proyecto de ley completo es

https://www.camara.cl/legislacion/ProyectosDeLey/tramitacion.aspx?prmID=15344&prmBOLETIN=14847-06

18
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

ECUADOR
Ecuador al momento no cuenta con un CERT formalmente establecido cuyo grupo objetivo sea la industria
o infraestructuras críticas; sin embargo, cuenta con un CSIRT nacional cuya Comunidad Objetivo, son
los Prestadores de Servicios de Telecomunicaciones, Instituciones de gobierno que conforman el Estado
Ecuatoriano y empresas privadas y ciudadanía; y, un CSIRT industrial específico cuya Comunidad Objetivo
es la Generación y Transmisión de Energía Eléctrica.

Antecedentes:

El artículo 140 de la Ley Orgánica de Telecomunicaciones, dispone: “Rectoría del sector. El Ministerio
encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de
las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las
comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de
políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información,
de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo
que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse
dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el
sector público como privado”;

Por otro lado, la Ley Orgánica de Telecomunicaciones Tercer Suplemento -- Registro Oficial Nº 439 --
Miércoles 18 de febrero de 2015, en el Artículo 142.- Creación y naturaleza, señala “Créase la Agencia de
Regulación y Control de las Telecomunicaciones (ARCOTEL) como persona jurídica ‘de derecho público,
con autonomía administrativa, técnica, económica, financiera y patrimonio propio, adscrita al Ministerio
rector de las Telecomunicaciones y de la Sociedad de la Información. La Agencia de Regulación y Control
de las Telecomunicaciones es la entidad encargada de la administración, regulación y control de las
telecomunicaciones y del espectro radioeléctrico y su gestión, así como de los aspectos técnicos de la
gestión de medios de comunicación social que usen frecuencias del espectro radioeléctrico o que instalen
y operen redes.”

El 03 de agosto de 2022, se aprueba la Estrategia Nacional de Ciberseguridad del Ecuador, en la cual se

establece en el Objetivo 2.3, del PILAR 2. Resiliencia cibernética, lo siguiente: “Continuar desarrollando
capacidades de respuesta y gestión de incidentes cibernéticos y del CERT nacional”

CSIRTs Ecuador

En el Ecuador existe alrededor de 15 CSIRT cuyos grupos objetivos son de todos los sectores; y pertenecen
tanto al sector público, como privado (https://csirt.ec/csirts-en-ecuador/listados/) ; no obstante, existe un solo
CSIRT nacional, y tal como lo indica la Estrategia Nacional de Ciberseguridad del Ecuador:

“En los últimos años, Ecuador ha dado pasos considerablemente notables para fortalecer sus capacidades de
gestión de incidentes cibernéticos. El Equipo del Centro de Respuesta a Incidentes de Seguridad Nacional

19
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

(EcuCERT), que opera bajo la Agencia para la Regulación y Control de las Telecomunicaciones (ARCOTEL)
y se rige por la Ley Orgánica de Telecomunicaciones, es reconocido como un punto de contacto nacional
e internacional en la coordinación de la respuesta de gestión de incidentes cibernéticos. Sin embargo, su
circunscripción a nivel nacional se limita a los operadores de redes de telecomunicaciones y, por lo tanto,
actualmente EcuCERT no tiene mandato ni competencias suficientes para operar íntegramente a nivel
gubernamental.”

CSIRT Nacional

EcuCERT es el Centro de Respuesta a Incidentes Informáticos de la Agencia de Regulación y Control de

las Telecomunicaciones ARCOTEL, su fecha de creación fue el 18 de julio de 2014. La Comunidad Objetivo
definida para EcuCERT, son los Prestadores de Servicios de Telecomunicaciones; Instituciones de gobierno
que conforman el Estado Ecuatoriano; y, empresas privadas y ciudadanía, bajo solicitud previa.

La misión de EcuCERT es brindar a nuestra Comunidad Objetivo el apoyo en la prevención y resolución

de incidentes y vulnerabilidades de seguridad informática, a través de la coordinación, concientización y
soporte especializado en el caso de requerirlo.

EcuCERT cuenta con servicios reactivos, proactivos y de valor agregado, los que se detallan a continuación:

Servicios reactivos

■ Catálogo de incidentes y vulnerabilidades.

■ Coordinación de la respuesta de Gestión de incidentes.

■ Coordinación de la respuesta de Gestión de Vulnerabilidades.

■ Alertas y advertencias.

Servicios proactivos

■ Comunicados.

■ Estadísticas.

■ Evaluaciones de Auditorías de seguridad ejecutadas a los PST

20
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

Servicios de valor agregado

■ Guías y Consejos.

■ Charlas de sensibilización (Bajo demanda con autorización de la máxima autoridad de ARCOTEL).

EcuCERT de ARCOTEL, es el punto principal de contacto a nivel internacional y Nacional para el reporte y
coordinación de la respuesta a incidentes y vulnerabilidades que afecten las redes de telecomunicaciones,
cuenta con fuentes de intercambio de información internacionales como la OEA, CSIRT de las Américas,
Organización FIRST, ITU, entre otros, y, a nivel Nacional, las principales fuentes e intercambio de información
son con los sectores de Telecomunicaciones, Educación, CERTs Privados a nivel Nacional, y, de forma parcial,
con las Fuerzas Armadas de Ecuador.

Entre agosto y septiembre de 2022, EcuCERT ha gestionado alrededor de mil ochocientos cuarenta y siete
(1847) incidentes de Ciberseguridad presentes en un gran total de 22729 direcciones IP involucradas a nivel
Nacional. Para el caso de vulnerabilidades, se han gestionado dosmil setenta y nueve (2079) vulnerabilidades
de Ciberseguridad presentes en un gran total de 14900 direcciones IP involucradas a nivel Nacional.

En lo que va de 2022, EcuCERT ha generado noventa y un (91) alertas de ciberseguridad, las que se son
de valor agregado y personalizadas para Ecuador, y se socializan a través de las redes sociales y sitio Web
Institucional.

La información getionada por EcuCERT es tratada con absoluta confidencialidad de acuerdo a las políticas
y procedimientos de seguridad de la información; la misma solo se distribuye a otros equipos y miembros
según la necesidad de saber y preferiblemente de forma anónima, según lo detalla el protocolo de TLP
(Traffic Light Protocol).

Invitamos a la comunidad de CERTs/SOCs a nivel Nacional a formar parte de nuestra Red Nacional de
Confianza, a través de la que, al cumplirse los requisitos establecidos, se realiza trabajo de tipo colaborativo
y de cooperación, trabajo que también incluye y a menudo requiere intercambio de información sobre
incidentes de seguridad y vulnerabilidades de tipo emergentes presentes o que puedan afectar a Ecuador.

Adicionalmente, EcuCERT invita a la ciudadanía en general, Academia, empresas públicas y privadas, a

seguirnos y compartir el contenido de nuestra red social Twitter @EcuCERT_EC y, compartir e informarse
sobre todo el contenido, servicios y detalles del trabajo que se realiza en el día a día a través del sitio Web:
https://www.ecucert.gob.ec/

CSIRT Industrial: CSIRT CELEC-EP

Es un equipo multidisciplinario de la Corporación Eléctrica del Ecuador- CELEC EP, dedicado a la protección
de los activos de información.

Su participación es importante en la salvaguarda de los activos Críticos, que se encuentran distribuidos en

las centrales de generación, subestaciones de transmisión y centros de control de generación y transmisión.

21
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

Gestiona incidentes de seguridad y comparte información relevante sobre ciberataques relacionados a

infraestructuras críticas en el ámbito del sector eléctrico

Participa de manera colaborativa con otros CSIRT del Ecuador, para resolver problemas de ciberseguridad
presentados en las diferentes instituciones del Ecuador.

Sus funciones principales son

a. Poner a disposición del grupo objetivo, distintos medios donde informar un incidente de ciberseguri-
dad, divulgar alertas sobre distintas vulnerabilidades que afecten al área y ataques.

b. Generar boletines informativos relacionados

c. Publicar estadísticas de

• NCSI (national cyber security Index) preparado por la e-Gobernance Academy Foundation de Estonia

• ITU GCI . La Global Cybersecurity Index es una referencia que mide el compromiso de los países con
la ciberseguridad a nivel global

• Estadística por países de Spam, Bootnet, ransomware etc.

d. Publicar Guías y consejos de ciberseguridad

e. Publicar noticias relacionadas

f. Generar guías de concientización

Su página principal es: https://csirt.celec.gob.ec/en/

22
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

MEXICO
El Centro de Respuesta a Incidentes Cibernéticos (CERT-MX) de la Dirección General Científica de la Guardia
Nacional tiene como misión, brindar los servicios de apoyo en la respuesta a incidentes cibernéticos que
afectan a las instituciones en el país que cuentan con infraestructura crítica de información, que incluye la
identificación de amenazas y modus operandi de la ciberdelincuencia para el alertamiento a la ciudadanía,
mediante la gestión de incidentes de seguridad informática, fungiendo como el único punto de contacto y
coordinación dentro y fuera del territorio nacional y actuando en la investigación forense digital y el análisis
técnico policial en apoyo al Ministerio Público. Opera las 24 horas del día y es la única autoridad acreditada a
nivel federal para el intercambio de información con policías cibernéticas nacionales y organismos policiales
internacionales de modo de identificar posibles incidentes que afecten las infraestructuras informáticas
gubernamentales o la ciudadanía.

El Equipo de Respuesta a Incidentes, CERT-MX, es miembro del Foro Mundial de Respuesta a Incidentes y
Equipos de Seguridad (FIRST) y sigue un Protocolo de Colaboración con otras entidades gubernamentales.

El CERT- MX está muy involucrado en la protección de la Infraestructura Crítica Nacional (ICN). Los interesados
coordinan la gestión de seguridad de infraestructuras y comparten información sobre los activos y las
vulnerabilidades de la ICN.

El modelo operativo del CERT.MX lleva a cabo numerosas tareas, desde monitorear las amenazas cibernéticas
hasta generar informes o consejos, pasando por la atención de requerimientos ministeriales, la coordinación
con las instituciones gubernamentales o la asesoría técnica y legal.

El centro está alineado con las buenas prácticas de la Organización de los Estados Americanos (OEA). En el
caso concreto de las infraestructuras críticas, la Guardia Nacional manifiesta que ayudan a su protección
mediante el Protocolo Nacional Homologado de Gestión de Incidentes Cibernéticos (PNHGIC).

En todas las agencias gubernamentales, las tecnologías se actualizan regularmente, se realizan copias de
seguridad y se adhiere a las disposiciones del Manual Administrativo de Aplicación General de Tecnologías
de Información y Comunicaciones y de Seguridad de la Información (MAAGTICSI), el cual se desarrolló en
base a normas internacionales como ISO 27001, y COBIT, entre otras.

La Ley General del Sistema Nacional de Seguridad Publica en sus artículos 146 al 149 define la necesidad de
proteger las estructuras críticas. Asimismo, el Protocolo Nacional Homologado de Gestión de Incidentes
Cibernéticos establece las actividades para las fases de preparación, detección, respuesta y recuperación
ante incidentes cibernéticos en activos esenciales de información a cargo de los Múltiples Involucrados. El
protocolo está basado en el Marco de Referencia sobre Ciberseguridad del Instituto Nacional de Estándares y
Tecnología (CSF NIST). El Modelo de Gobierno del Protocolo Nacional Homologado de Gestión de Incidentes
Cibernéticos establece en lo particular y dentro de la Administración Pública Federal en su punto N°4 lo
siguiente:

■ Los diversos sectores de infraestructura esencial y la Academia se coordinarán a través de los meca-
nismos establecidos o los que se definan para tal fin, quienes se apoyarán, conforme a las atribuciones

23
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

establecidas en la Ley de la Guardia Nacional y su Reglamento, de la Dirección General Científica a

través del CERT.MX.

No se observa que el CERT-MX pueda gestionar incidentes de empresas privadas que gestionen
infraestructuras críticas, no obstante existen iniciativas privadas (CSIRT específicos por negocio)

Links asociados

https://archivos.juridicas.unam.mx/www/bjv/libros/8/3716/14.pdf

https://www.gob.mx/gncertmx

https://www.gob.mx/gncertmx/articulos/protocolo-283239

24
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

PERÚ
Perú ha definido una política nacional de ciberseguridad indicando la necesidad de crear una estrategia
nacional de ciberseguridad y un comité́ nacional de ciberseguridad

La Ley 30618 del año 2017 define la seguridad digital como la “situación de confianza en el entorno digital,
frente a las amenazas que afectan las capacidades nacionales, a través de la gestión de riesgos y la apli-
cación de medidas de ciberseguridad y las capacidades de ciberdefensa, alineada al logro de los objetivos
del Estado”. Esta Ley define que la “Dirección Nacional de Inteligencia” la cual es responsable por “realizar
actividades y establecer los procedimientos destinados a alcanzar la seguridad digital en el ámbito de su
competencia”

Perú́ posee un PeCERT, cuyo objetivo es informar a los responsables de la seguridad digital de las entidades
públicas y las empresas privadas sobre las amenazas en el entorno digital para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población. EL PeCERT depende de la Oficina
Nacional de Gobierno Electrónico e Informática (ONGEI) y es miembro de la red CSIRT Américas. Este orga-
nismo genera alertas en forma periódica y adicionalmente a través de redes sociales como Twitter informa
sobre las alertas (@pecert “Coordinadora de Respuestas a Emergencia Teleinformáticas de la Administra-
ción Pública del Perú”)

Perú́, dictó la Ley de Gobierno Digital, la cual “tiene por objeto establecer el marco de gobernanza del
gobierno digital para la adecuada gestión de la identidad digital, servicios digitales, arquitectura digital,
interoperabilidad, seguridad digital y datos, así ́ como el régimen jurídico aplicable al uso transversal de
tecnologías digitales en la digitalización de procesos y prestación de servicios digitales por parte de las
entidades de la Administración Pública en los tres niveles de gobierno”

Links asociados

La Ley No 30.618 de 2017

https://cdn.www.gob.pe/uploads/document/file/1066792/27.07.17_Ley_30618.pdf

Reglamento gobierno digital

https://www.gob.pe/13326-reglamento-de-la-ley-de-gobierno-digital

Alerta integrada
https://www.gob.pe/institucion/pcm/colecciones/791-alerta-integrada-de-seguridad-digital-del-cnsd

25
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

PARAGUAY
El CERT-PY es un Centro de Respuestas a Incidentes Cibernéticos, responsable de la gestión de los incidentes
de seguridad en sistemas computacionales en las que estén involucradas redes o infraestructuras del país.

Este Centro de Respuestas a Incidentes Cibernéticos (CERT-PY), depende de la Dirección General de Ciber-
seguridad del Ministerio de Tecnologías de la Información y Comunicación (MITIC), cuyo objetivo principal
es actuar como coordinador central para las notificaciones de incidentes de ciberseguridad en Paraguay,
dando el apoyo necesario para dar respuesta a estos incidentes, actuando como coordinador entre las par-
tes afectadas e involucradas para la solución de los mismos.

Entre sus funciones se encuentra alcanzado el monitoreo y detección de incidentes en organismos del Esta-
do y en sus infraestructuras criticas:

LA RESOLUCIÓN MITIC N° 346-2020 - Reporte Obligatorio de Incidentes define la implementación del reglamen-
to sobre la obligatoriedad del reporte de incidentes cibernéticos de seguridad en el Estado y establece que:

■ Todo funcionario público debe reportar cualquier posible incidente cibernético de seguridad al Res-
ponsable de Seguridad de la Información, de su Institución.

■ Es obligación del Responsable de Seguridad de la Información de la institución, reportar todo incidente

cibernético de seguridad al CERT-PY enviando un correo electrónico a abuse@cert.gov.py, incluyendo
una descripción del mismo, como así también cualquier dato que pueda ayudar a investigar el inciden-
te, según sea el caso (logs, captura de pantalla, explicaciones, captura de tráficos, archivos, etc.).

Este reglamento establece además las pautas generales de la acción del CERT-PY frente a los reportes reci-
bidos, definiendo el alcance de acción, los niveles y criterios de criticidad, así como también la confidencia-
lidad con la que se manejarán los detalles de los incidentes que le son reportados.

Además, establece los lineamientos que se deben tener en cuenta en cuanto a la gestión comunicacional de un
incidente cibernético, debiendo ésta ser realizada de manera coordinada entre la institución afectada, las áreas téc-
nicas, las áreas comunicacionales, así como también el MITIC, (ministerio de Tecnología y comunicaciones) de ma-
nera a informar de manera clara, certera y transparente, sin comprometer la investigación, conforme a las guías y
lineamientos establecidos, velando por los derechos de todas las personas que fueran afectados por el incidente. El
MITIC guardará confidencialidad respecto a los detalles de los incidentes cibernéticos que le hayan sido reportados.

En función de lo expuesto no se observa que exista la obligatoriedad para empresas privadas o mixtas, sin
embargo define la obligatoriedad de informar de un incidente a los funcionarios públicos que gestionen
infraestructuras críticas.

Links asociados

https://www.cert.gov.py/

Resolución 346-2020
https://www.cert.gov.py/download_file/view/1904/1661

26
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

URUGUAY
Por medio del Decreto 451 del 2009 Uruguay ha creado el Centro Nacional de Respuesta a Incidentes de
Seguridad Informática (CERTuy) en la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la
Sociedad de la Información y del Conocimiento (AGESIC).

https://www.impo.com.uy/bases/decretos/451-2009

El alcance del CERTuy es proteger los sistemas informáticos que soporten activos de información críticos
del Estado, así como los sistemas circundantes a éstos. Define estos activos como aquellos activos de in-
formación necesarios para asegurar y mantener el correcto funcionamiento de los servicios vitales para la
operación del gobierno y la economía del país.

A pesar de que el CERTuy menciona activos críticos, no tiene como propósito asistir las infraestructuras
críticas dado que no gestiona sistemas del tipo industrial. Sin embargo las funciones definidas para el CER-
Tuy y sus artículos principales serían adecuados dentro de la problemática de los sistemas industriales. Es-
pecialmente su artículo 8 que define: “los organismos deben informar de forma completa e inmediata la
existencia de un potencial incidente de Seguridad Informática”. Asimismo el artículo 7 define que el CERTuy
debe guardar reserva acerca de la información relativa a incidentes de Seguridad Informática. Otro artículo
interesante es el articulo 9 donde el CERTuy puede solicitar con cierta autorización una inspección sobre la
seguridad de la información de cualquier activo de información crítico del Estado.

https://www.gub.uy/centro-nacional-respuesta-incidentes-seguridad-informatica/

Un modelo como el definido en este decreto podría aplicarse al momento de definir explícitamente las in-
fraestructuras críticas y un CSIRT que gestionara incidentes conjuntamente con organizaciones como por
ejemplo de energía, comunicaciones, financiera, etc.

Por último , dentro de la Agenda Digital 2020 definida por Uruguay han definido como objetivo “Fortalecer
el ecosistema de ciberseguridad” en donde propone la creación de un SOC (Centro de Operación de Ciber-
seguridad) con participación público y privado. Este SOC podría interactuar CERTuy y otros CSIRTs de modo
de intercambiar información y coordinar operaciones de ciberseguridad-, así como con otros SOC en el in-
tercambio y procesamiento de información y alertas de ciberseguridad

Links asociados

CERT UY
https://www.gub.uy/centro-nacional-respuesta-incidentes-seguridad-informatica/

27
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

VENEZUELA
La Superintendencia de Servicios de Certificación Electrónica (Suscerte), facilita mediante el Sistema Na-
cional de Gestión de Incidentes Telemáticos (VenCERT) la realización de diversos servicios de seguridad por
intermedio de convenios con las instituciones que integran la Administración Pública Nacional”.

Los Equipos de Respuesta ante Emergencias Informáticas (CERT, por su sigla en inglés) es una certificación
original otorgada por la Universidad Carnegie Mellon, CMU. Los CERT son los equipos encargados de gestio-
nar los incidentes telemáticos -mejor conocidos como ataques informáticos- a los sistemas y portales web
de las organizaciones.

La República de Venezuela cuenta con el VenCERT (creado en noviembre de 2008) para prevenir, detectar y
gestionar los incidentes telemáticos generados en los sistemas de información de la Administración Pública
y los entes estatales encargados de la gestión de Infraestructuras Críticas de la Nación.

VenCert, ente adscrito al Ministerio del Poder Popular para Educación Universitaria, Ciencia y Tecnología,
entrega entre otros servicios: avisos de seguridad, noticias, alertas y boletines en materia de seguridad de la
información y estadísticas así como la detección, identificación, análisis y gestión de Incidentes Telemáticos,
mediante un trabajo colaborativo con las entidades afectadas, proveedores de internet y otros CERT a nivel
mundial, además se brindan artículos técnicos de seguridad, guías de seguridad tecnológica y asesoría en
materia de PSI (Políticas de Seguridad de Información y Ciberseguridad).

El VenCert abarca tareas tales como el uso de Sistemas de monitorización y alerta temprana (SMAT), Red
de Honeypots, recomendación de herramientas de seguridad evaluadas previamente por el VenCert para
la protección de aplicaciones web, análisis básico y avanzado de vulnerabilidades, pentesting y evaluación
de los niveles de seguridad de los sistemas y aplicaciones de los organismos adheridos al VenCert. A su vez,
dicta cursos, talleres y eventos de seguridad, donde se otorga material de sensibilización en temas de segu-
ridad de la información y ciberseguridad.

El Gobierno de Venezuela ejecuta proyectos que garantizan la seguridad de las operaciones que se realizan
a través de las TIC. Suscerte y la Fundación Centro Nacional para el Desarrollo e Investigación en Tecnologías
Libres (Cenditel), firmaron un convenio que fortalece la infraestructura e iniciativas en materia de certifi-
cación electrónica, criptografía y ciberseguridad de la nación, cumpliendo con el mandato de la Ley sobre
Mensajes de Datos y Firmas Electrónicas.

El VenCert apoya a las organizaciones que realizan actividades en los ambientes industriales en temas bá-
sicos mas no es un CERT especializado en la gestión de incidentes en tecnologías de las operaciones (OT).

28
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

CAPÍTULO 3

REFLEXIONES Y CONCLUSIONES
Los ataques son recurrentes, no obstante, las organizaciones no divulgan estos eventos para proteger su
imagen, en otros casos para evitar pérdidas financieras, o penalizaciones de organismos de control.

Dado que no es obligatorio informar sobre un incidente para algunos países en las organizaciones, esto
parecería que permite ocular la existencia de eventos, pero a pesar de ello, en muchos casos los mismos se
conocen y son divulgados a través de canales informales o incluso a partir de los empleados en encuentros
con amigos.

En un mundo ideal, compartir información sobre un ataque podría colaborar para minimizar la efectividad
del mismo e incluso ser una especie de alerta temprana para otros. Las organizaciones podrían utilizar los
datos de los ataques ya experimentados por algunos para desarrollar medidas preventivas y fortalecer las
bases para un análisis del riesgo de seguridad más eficiente otorgándoles a los CISO’s una herramienta única
(aunque sabemos a ciencia cierta que las pérdidas pueden surgir incluso cuando hay defensas que están
bien desarrolladas y comprendidas). Compartir datos sobre ataques, amenazas y nuevos riesgos entre las
organizaciones ofrece una imagen más completa de las tácticas, técnicas y procedimientos aplicados por
el atacante, por lo cual, la colaboración es una ventaja predictiva para estar alertas ante futuros ataques.
Por suerte y a pesar de los antiguos preceptos en materia de seguridad por oscuridad, las organizaciones
que se encuentran en la misma industria se están asociando, creando conexiones personales que son
consideradas por los miembros muy valiosas pero a su vez deben ser tratadas en forma muy confidencial.
Estas relaciones de confianza facilitan un modelo de vigilancia adicional a cualquier medida de protección
aplicada, en el que las organizaciones pueden trabajar juntas para fortalecer la seguridad en general, a
través de compartir los indicadores de compromiso, y otra información relevante para la ciberseguridad.
En este contexto podemos mencionar como ejemplo las acciones desarrolladas por la “Matriz de Mitre
ATT&CK” como base de conocimiento y modelo de comportamiento del atacante, el CISA.GOV de EEUU
como Coordinador Nacional de Seguridad y resiliencia de las Infraestructuras Críticas, protegiendo las redes
del gobierno, coordinando la defensa cibernética nacional y dando respuesta de incidentes. Asimismo el
Csirt Americas de la OEA ha estado fomentando el desarrollo de una red colaborativa a través de LATAM.
También destacamos la función que venimos desarrollando desde el Centro de Ciberseguridad Industrial en
cuanto a fomentar el intercambio de experiencias y conocimiento entre profesionales de las organizaciones
relacionadas a sistemas industriales.

En nuestra investigación pudimos detectar que los CSIRT’s públicos de LATAM existentes en general, no están
dedicados a la ciberseguridad industrial, sino que trabajan normalmente en la Seguridad de la información,
protección de datos personales y respuesta a incidentes en redes administrativas convencionales.

Existen algunos CSIRT y SOC’s privados que gestionan la ciberseguridad industrial, sin embargo aun estos
son muy pocos y con alcances limitados para las necesidades actuales de las organización de la región.

29
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

Tampoco se verifica que existan controles centrados en concienciación y capacitación, dentro de la

Ciberseguridad Industrial, siendo más común la concienciación y capacitación orientada a la defensa de los
datos, los cuales fueron implicados en incidentes de seguridad con pérdidas financieras e inclusive de imagen.

La celeridad con la que evolucionan y se complejizan los ataques es un aspecto clave para contar con Equipos
de Respuesta a Incidentes que permitan a las organizaciones ser más resilientes y colaborar entre ellas
compartiendo información. Es de mucha importancia que dicha información sea tratada confidencialmente
dentro de redes de confianza. Esto permite un nivel de cooperación técnico entre quienes utilizan métodos
similares, siendo que en casi todos los casos utilizan herramientas comunes para proteger la infraestructura.

Para los profesionales de ciberseguridad limitar el impacto de un incidente está en primer lugar, sin embargo,
la posibilidad de compartir información y el apoyo de un Equipo de Respuesta a Incidentes es un factor clave
para combatir los ciberataques de manera eficiente.

Siendo de suma importancia compartir la información como hemos mencionado, manteniendo su

confidencialidad entre las redes de confianza, el uso del protocolo TLP (Traffic Light Protocol) que fue
actualizado por el FIRST a su versión 2.0 en Agosto del 2022.

Por último queremos mencionar que aún queda mucho por desarrollar en el tema de Csirt’s específicamente
para infraestructuras industriales y críticas. En este sentido se recomienda desde el Centro de Ciberseguridad
Industrial que los distintos países consideren la profundización de los Csirt’s existentes, su enfoque en
ciberseguridad industrial y de requerirlo, asesorarse para su implementación.

30
 CENTRO DE CIBERSEGURIDAD INDUSTRIAL

TABLA COMPARATIVA ENTRE PAÍSES

Estrategia Infraestructuras
País Csirt Industrial Otros Fecha URL
Ciberseguridad CrÍticas Definidas

https://www.argentina.gob.ar/jefatura/innovacion-pu-
ARGENTINA NO CERT 1999 2019 SI
blica/ssetic/direccion-nacional-ciberseguridad/cert-ar

BRASIL NO 2018 2015 Si https://www.cert.br/

COLOMBIA SI 2011 SI SI https://www.colcert.gov.co/800/w3-channel.html

COSTARICA NO CSIRT-CR 2022 2017 Parcial https://www.micitt.go.cr/ciberseguridad/

CHILE NO CSIRT Sectoriales 2022 2017 SI

ECUADOR NO CELEC-EP 2022 NO https://csirt.celec.gob.ec/en/

MEXICO NO CERT-MX 2017 NO https://www.gob.mx/gncertmx

PERU NO PECERT NO

PARAGUAY CERT-PY 2012 SI Parcial https://www.cert.gov.py/

https://www.gub.uy/centro-nacional-respuesta-inci-
URUGUAY CERTUy 2020 SI SI
dentes-seguridad-informatica/

https://segured.com/2015/05/26/venezuela-blinda-su-
VENEZUELA No VENCERT 2008 No No
plataforma-informatica-a-traves-del-vencert/

31
 Paseo de las Delicias, 30 - 2ª Planta
28045 Madrid

+34 910 910 751

info@cci-es.org
www.cci-es.org
blog.cci-es.org
@info_cci
www.linkedin.com/in/
centrociberseguridadindustria