A vueltas con Sony, Corea del Norte y Estados Unidos

No es que seamos amantes de las teorías conspiranoicas, pero es que nos lo ponen muy fácil. Nos referimos al reciente anuncio de Estados Unidos de aumentar las sanciones a Corea del Norte en relación con el ciberataque a Sony. Esta circunstancia supone señalar directamente al gobierno de Corea del Norte como autor material de los hechos, lo cual no es, en absoluto, trivial. Sobre todo, teniendo en cuenta que multitud de expertos (como Bruce Schneier o Brian Krebs entre otros, entre muchos otros, podríamos decir) dudan de que se pueda atribuir este ataque a Corea del Norte a pesar de las similitudes que se hayan podido detectar con herramientas presuntamente utilizadas por hackers de Corea del Norte previamente y de que nadie dude de las capacidades técnicas de Corea del Norte para llevar a cabo ciberataques. [Incluso en el caso de que se pudiera atribuir el ataque a Corea del Norte, ¿hasta qué punto se puede considerar un acto de guerra y no un “simple” acto de vandalismo como el propio Obama declaró en un principio? Podéis leer más sobre esta duda en este artículo de Chris Weigant]

Pero es que si analizamos las sanciones impuestas por EE.UU. nos encontramos que afectan a diez funcionarios relacionados con la venta de misiles y armas (dos son representantes en Irán y otros cinco actúan en Siria, Rusia, China y Namibia), es decir, nada que ver con el ataque a Sony y a tres entidades norcoreanas: la Oficina General de Reconocimiento (principal organización de inteligencia), la Corporación de Comercio para el Desarrollo de Minas (principal proveedor de armas y exportador de equipamiento relacionado con misiles y armas tradicionales) y la Corporación de Comercio Tangun de Corea (responsable de la compra de tecnología y equipos para soportar los programas de defensa).

Como decíamos al principio, todo este escenario hace que le salten las alarmas a cualquier persona por medianamente cabal que sea: Si a un ataque lleno de incertidumbres, le unimos unas sanciones que alcanzan a entidades que nada tienen que ver con el asunto, cualquiera podría pensar que a todos les ha venido bien señalar con el dedo a Corea del Norte: Al gobierno de Estados Unidos porque quiere enviar una señal a todos aquellos que estén pensando en (ciber)atacarles y también a su Senado para que siga aprobando dotaciones presupuestarias para mejorar sus cibercapacidades, a Sony porque le resultará más fácil defenderse en los juicios que tiene por delante y, si nos apuráis, al gobierno de Corea del Norte que “muestra su capacidad” para enfrentarse a un gigante… pero, en el fondo, no puede dejar de sonarnos a algo que ya vivimos hace algunos años en relación a la supuesta existencia de unas armas masivas en un país de Oriente Medio.

Lo que desde luego sí que es una realidad es que el ciberespacio es ya utilizado por todos los Gobiernos como un escenario más en el que realizan sus operaciones y dónde cada vez más tendremos que ser muy escépticos para no creernos todo lo que nos dicen (como dice @lawwait en su análisis de este mismo asunto), al menos, mientras no mejoren nuestras capacidades para atribuir los ataques que están sucediendo.

Posted under ciberinteligencia Etiquetas: , ,

¡Feliz Navidad y Próspero 2015!

Como es tradición por estas fechas, en lugar de la típica felicitación navideña, nos gustaría compartir un video corto que nos sirva para reflexionar. En esta ocasión, hemos elegido la charla de Sarah Lewis sobre la diferencia entre el éxito y la maestría.

En estos tiempos en los que sacar adelante cualquier pequeña iniciativa cuesta tanto y dónde a veces es fácil caer en la frustración, nos ha parecido una reflexión oportuna para seguir adelante y convertirnos en maestras y maestros de lo que nos gusta y apasiona.

Esperamos que os guste y que sirva para que afrontemos con mejor predisposición los retos futuros… os dejamos con el vídeo y, por supuesto, os deseamos… ¡Feliz Navidad y Próspero 2015!

 

Posted under marketing

Dilemas en torno a la Estrategia de Ciberseguridad Nacional

ieee

Nuestra habilidad para creer lo que nos resulta más cómodo puede hacer un flaco favor a la seguridad nacional de la misma manera que puede provocar una faena doméstica si pensamos que nadie nunca se planteará robarnos la vivienda o robarnos los datos bancarios personales que trajinamos con nuestros dispositivos electrónicos. Un proverbio inglés dice que un mar en calma no hace buenos marineros. Muy cierto, sobre todo, si durante la calma los marineros descartan que pueda levantarse la mar en muy poco tiempo. Hablando de seguridad, hay dos amenazas críticas. La primera, la prepotencia o la idiotez que llevan a pensar que las amenazas realmente no existen o no son para tanto. La segunda, que esas amenazas se ciernen sobre otros y no son ni serán un riesgo para nosotros. Podríamos citar una tercera amenaza crítica, muy mediterránea, que es la de responder con un “bueno, si eso, ya veremos”. Incluso una cuarta: otros nos sacarán las castañas del fuego. Todas relacionadas con lo mismo: una percepción del riesgo inadecuada o inexistente.

El Instituto Español de Estudios Estratégicos ha publicado un trabajo titulado “Dilemas Cibernéticos y la Estrategia de Seguridad Nacional“, (PDF) que evidencia la variedad de interrogantes a los que hay que dar respuesta si de verdad queremos estar ciberseguros en la medida de lo posible. Y muchas de las preguntas y respuestas orbitan alrededor de una cuestión central: ¿de verdad que nos creemos la ciberseguridad más allá de las actuaciones de la delincuencia más o menos sofisticada? ¿podemos sufrir un “ciberperejil”, una “cibermarcha verde” o un “ciber 11-M”? ¿estamos dispuestos a combatir ofensiva y defensivamente? ¿creemos que en caso de necesidad otros lo harán por nosotros? Como dice otro proverbio, esta vez japonés, “el pájaro que revolotee menos, permanecerá más tiempo en el vuelo”.

José Luis Hernangómez, Gerente de Ciberinteligencia

Puedes seguirnos en twitter.com/enplusone

Posted under análisis, Gobierno

Estrategia de Ciberseguridad Nacional

ecsn2013

ecsn2013ecsn2013Tras un par de semanas en el que hemos podido digerir con un poco de sosiego la Estrategia de Ciberseguridad Nacional (ECSN) [pdf] y tras mis comentarios iniciales (aquí), creo que ya podemos analizarla con un poco más de detalle.

No creo que aporte mucho repasando los objetivos y las líneas estratégicas, puesto que eso ya ha sido más que comentado, por lo que me centraré en resaltar los aspectos que para mí han sido más positivos y los que me han gustado menos. Todo ello, partiendo de la consideración de que soy de la opinión de que contando con una Estrategia de Seguridad Nacional (ESN) que ya trata la ciberseguridad, esta estrategia no era estrictamente necesaria, aunque entiendo que existen motivadores que hayan llevado a su desarrollo.

 En primer lugar, si hubiera que hacer un resumen general, yo diría que es un documento que trata todo lo que tiene que tratar. Es decir, si a cualquier experto le hubieran preguntado qué incluiría, los temas que habrían salido son los que podemos encontrar en el documento: coordinación, mejora instrumentos legales, mejora de capacidades, capacitación y concienciación, impulso al I+D+i… por tanto, empezamos bien.

 De hecho, incluye el que para mí es el aspecto básico, la cultura de seguridad [puesto que con una adecuada cultura, el resto de cosas vendrán solas] y también, el enfoque más adecuado para la ciberseguridad del siglo XXI, enfocarnos en detectar y responder [porque prevenir por dónde nos va a llegar el ataque es imposible].

 No obstante, esto no trata de hacer un ejercicio de seguidismo, sino de dar mi opinión del documento y he de decir que he encontrado algunas cosas dignas de comentar:

  •  Yo soy muy cuadriculado y que no cuadren las 6 líneas estratégicas de la ESN con la ECSN, me produce cierto desasosiego.
  • También se puede percibir una cierta relación entre las líneas de acción con ciertos actores. Por ejemplo, apostaría a que la línea de actuación primera ha sido propuesta por el Departamento de Seguridad Nacional, la segunda por el Centro Criptológico Nacional, la tercera por el Centro Nacional para la Protección de Infraestructuras Críticas, la cuarta por la Secretaría de Seguridad del Ministerio de Interior, la quina por INTECO… cuando en mi opinión necesitábamos algo más coral.
    Digamos que en lugar de hacer un traje a medida de los actores, me hubiera gustado un perfilado de la realidad al que hubieran tenido que amoldarse los actores. [wishful thinking]
  • En línea con lo anterior, hecho en falta un análisis detallado del escenario de riesgo al que nos enfrentamos. Dicho diagnóstico debería haber constituido el punto de partida para la estrategia, pero en lo que figura en el documento vemos que hay cierta confusión entre amenazas, actores, tipos de ataques…
  • Por último, no me parecen elegantes algunos deslices para que iniciativas actuales aparezcan en el documento de estrategia, como el apoyo a las certificaciones de producto… ¿acaso no debería importarnos más las certificaciones de los servicios? Los productos al fin y al cabo, son todos, por definición, inseguros (con mayor o menos probabilidad todos tendrán vulnerabilidades), ¿no?

Para finalizar, me gustaría añadir algunos aspectos que, a mi juicio, aún figurando en el presente documento deberían haber contado con un mayor respaldo / apoyo / protagonismo:

  1. Los mecanismos de detección y respuesta. Estos fundamentos de la seguridad ágil constituyen el paradigma actual de la seguridad; aunque los mecanismos de defensa siguen siendo útiles, hemos de reconocer que la posibilidad del incidente no la vamos a poder eliminar y tenemos que estar preparados para detectarlo a la mayor brevedad posible y estar preparados para responder con mecanismos ágiles para minimizar el impacto.
  2. Los incentivos para fomentar la adopción de mecanismos de seguridad. Aunque se reconoce la importancia de contar con un entorno ciber seguro, no se mencionan los mecanismos que se van a adoptar para conseguirlo, excepto desde el ámbito normativo y el cumplimiento no es la vía para conseguirlo… Quizás se podría haber iniciado el camino de explorar otras vías (incentivos fiscales, de contratación, ¿mercado de derecho de entornos inseguros?…)
  3. Consideración de la ciberseguridad como materia escolar. Está clara la apuesta de la estrategia por la capacitación, pero quizás una apuesta más clara, habría sido de agradecer; en el sentido de haberse “mojado” más.
  4. Apoyo decidido a la industria nacional de ciberseguridad. No estoy hablando de mecanismos proteccionistas, ni favoritismos, ni nada por el estilo, pero todos los países de nuestro entorno lo están haciendo (EE.UU., Francia, Alemania, Inglaterra…) y eso esta generando que dependamos de terceros para nuestra seguridad. La ciberseguridad puede ser un polo de atracción para talento, inversiones y empresas, por lo tanto, dada nuestra actual situación, podríamos haber aprovechado esta oportunidad.

Pido disculpas por la longitud de esta entrada, pero dada la importancia del documento, creo que merecía la pena.

Puedes seguirnos en twitter.com/enplusone

Posted under análisis, Gobierno

Análisis del proyecto de la Ley General de Telecomunicaciones

A finales del pasado mes de septiembre, se hizo publico el proyecto de Ley General de Telecomunicaciones cuyo texto íntegro puede ser consultado aquí.

Nos ha parecido interesante analizar brevemente las disposiciones del proyecto relacionadas con la ciberseguridad, en particular, nos centraremos en los artículos 44 y 77 y en la disposición final segunda.

Artículos 44. Integridad y seguridad de las redes y los servicios de comunicaciones electrónicas y 77. Infracciones graves

En este artículo se recogen las obligaciones que los operadores tienen en relación a esta materia, de forma resumida:

  • Gestionar adecuadamente los riesgos que puedan afectar a sus redes y servicios a fin de (i) garantizar un adecuado nivel de seguridad y (ii) reducir al mínimo el impacto de los incidentes en los usuarios y las redes.
  • Garantizar la integridad de las comunicaciones.
  • Notificar al Ministerio “las violaciones de seguridad o pérdidas de integridad que hayan tenido un impacto significativo en la explotación de las redes o los servicios”.
    A partir de ahí, el Ministerio decidirá si informa (o pide al operador que lo haga) a ENISA, al público y/o a la Secretaría de Estado de Seguridad – Ministerio del Interior de dichos incidentes, dependiendo del carácter y alcance de los mismos.
  • Adoptar los mecanismos de supervisión que decida el Ministerio: aportación de información o realización de una “auditoría de seguridad realizada por un organismo independiente por una autoridad competente”.
    Hay que ser conscientes de que el incumplimiento de las obligaciones de integridad y seguridad se considera una infracción grave (que conlleva una multa de hasta 2 millones de euros).

Respecto a estas obligaciones nos surgen algunas reflexiones:

  • ¿Qué es gestionar adecuadamente los riesgos o garantizar un nivel adecuado de seguridad? Es decir, ¿qué criterios se van a seguir para valorar que la gestión realizada por el operador es adecuada o no? Entendemos que se podrá requerir que utilicen metodologías de gestión de riesgos conforme a mejores prácticas, pero otra cosa es valorar el nivel de seguridad. ¿Cómo se va a medir el nivel de seguridad? ¿Qué métricas se van a utilizar? ¿Se van a establecer criterios comunes para todos los operadores?
  • Respecto a la notificación de incidentes, la reflexión es muy similar: ¿qué se entiende por un impacto significativo? ¿Quién lo decide? ¿Los criterios estarán definidos por el Ministerio?
  • Finalmente, respecto a la supervisión, vemos que existe una oportunidad para el sector privado que puede realizar dichas auditorías de seguridad independiente. Pero, al igual que ocurre con la LOPD, ¿se va a regular la función de auditoría o cualquiera podrá actuar como auditor? ¿Qué criterios se van a pedir para dichas auditorías? Si no se abordan estos asuntos, no tiene sentido solicitar auditorías, puesto que solo tienen sentido si realizan conforme a estándares elevados de independencia y responsabilidad.

Disposición final segunda. Modificación de la Ley 34/2002 – LSSI

Como ocurre en múltiples ocasiones, se aprovecha una Ley para modificar otras, en este caso la LSSI. En relación a las modificaciones propuestas, nos parece relevante destacar las siguientes:

  • Se habilita a la autoridad de asignación (de dominios) para suspender cautelarmente o cancelar los nombres de dominio que estén siendo utilizados para cometer un delito o falta del Código Penal por un requerimiento judicial o cautelar de las Fuerzas y Cuerpos de Seguridad (siempre que el responsable o el ISP no hubiera atendido a la solicitud previa y que no se trate de una asunto competencia exclusiva de los órganos jurisdiccionales).
  • Se introduce una disposición adicional sobre la gestión de incidentes de ciberseguridad de forma que los registros de nombres de dominio y agentes registradores presten su colaboración con el CERT competente. Dentro de esta colaboración se incluye el que “los prestadores de servicios de la Sociedad de la Información, respetando el secreto de las comunicaciones, suministrarán la información necesaria al CERT competente, y a las autoridades competentes, para la adecuada gestión de los incidentes de ciberseguridad, incluyendo las direcciones IP que puedan hallarse comprometidas“.
    Para poner en marcha esta colaboración, se da al Gobierno un plazo de 6 meses para impulsar un esquema de colaboración público-privada que ayude a identificar y mitigar los ataques e incidentes en Internet, mediante códigos de conducta.
  • Dichos códigos de conducta habilitarán a los ISPs para identificar a los usuarios afectados por incidentes, indicarles lo que deben hacer y el plazo que tienen para hacerlo, antes de ser aislados de la red.

Lógicamente estos cambios en la LSSI suponen una modificación sustancial de los mecanismos actuales y, que duda cabe, que pueden surgir dudas sobre su utilización puesto que abren una puerta al abuso. No obstante, dicho esto, antes de desconfiar, hemos de dar un voto de confianza y pensar en que son necesarios mecanismos ágiles de respuesta a incidentes (#seguridadagilpara responder a los continuos ataques que sufrimos los usuarios en la red, en particular a los redes de bots.

 

Puedes seguirnos en twitter.com/enplusone

Posted under análisis

Los informes de inteligencia

¿Un informe? ¡Socorro!

La pasada semana mantuve una reunión con un director de operaciones de una importante multinacional afincada en España. Como le van bien las cosas, tuvimos café durante la reunión. Hablábamos en ese momento de la comunicación interna. Él manifestaba su necesidad de contar con información interna de calidad, de la que sirve para la toma de decisiones. Pero se quejaba de no recibirla. “No te puedes hacer idea de los informes que recibo. Son infumables.” Le pregunté si eran todos tan malos, y de qué departamentos  tenía esa queja. “Los del dircom (sic) y los de seguridad. No hay cristiano que se los lea.” Naturalmente, le pregunté si había hecho llegar su valoración a los responsables de dichos informes. Me dijo que sí, que varias veces. Pero que ellos seguían redactando como si tal cosa, porque entendían que escribían lo que debían y que además lo hacían como debían hacerlo.

Este director me contaba que él no se consideraba Cervantes, sino una persona que a diario debía tomar decisiones trascendentales incluso para quienes le enviaban aquellos informes tan malos. El director, llamemosle Manuel, necesitaba apoyo de inteligencia para tomar decisiones. Para el día a día ya tenía a mano su cadena de mando, sus subdirectores. Y a sus amigos, aunque no fueran directivos. Incluso aunque fueran ajenos a la empresa. Él necesitaba cosas que no le contara nadie o, al menos, desde un punto de vista independiente, nada interesado. “A veces tengo la sensación de que los informes que recibo son sesgados y van orientados a no cambiar nada, no sea que ponga en peligro el sueldo de alguno de los que me los envían…

Cuando le pregunté de qué iban esos informes, Manuel me dijo que iban de riesgos, de situaciones complejas. “tema interesante y necesario, ¿no”, le respondí. Pero me dijo: “sí, pero no quiero novelas. No tengo tiempo de leerme informes de cincuenta folios en los que el responsable de un departamento firma o me escribe para intentar demostrarme todo cuanto sabe y lo bien que escribe. Y, aunque tuviera tiempo, esos informes no me servirían.

Le expliqué que debía hacer entender a sus subordinados, a su equipo de dirección, que un informe inteligente es distinto de un informe de inteligencia. Que se puede redactar un magnífico informe… que no sirva para tomar una decisión en la organización, sino para ser publicado en una revista académica de prestigio.

A eso me respondió que, a esas alturas de la vida, él no estaba para enseñar a leer y a escribir a sus colaboradores. Tenía razón. Pero tenía una tarea por delante: hacerles llegar que la presunción, que el miedo, que hacer la pelota, que la falta de ética… termina pasando factura. Debía convencer a su equipo de que un informe se redacta para ser leído. Y para que, una vez leído, quien lo reciba se vea impelido a tomar una decisión: la de seguir haciendo lo mismo o la de cambiar las cosas.

Un informe no es una obra de literatura. Ni unas estadísticas. Ni una denuncia. Ni un conjunto de opiniones, sin más. Un informe, por ejemplo, de ciberinteligencia, debe decir lo que ocurre, sus causas, sus orígenes y protagonistas, su impacto,  el estado de la situación, el riesgo de no continuar igual… y unas recomendaciones, con sus ventajas e inconvenientes.

Eso creo yo”, me dijo Manuel. “Lo demás, son patrañas. Se lo diré. O cambian, o van a encontrarse alguna sorpresa desagradable …”, terminó. Tomó unas notas, y continuamos con nuestro orden del día.

NOTA IMPORTANTE: Por este motivo, el próximo 21 de noviembre organizamos un seminario que lleva por nombre Cómo redactar informes de inteligencia (incluidos los de ciberinteligencia) en el que esperamos a todas las personas que tengan que redactar informes y, en especial, informes de inteligencia. Tienes todos los detalles aquí.

Autor: José Luis Hernangómez, Gerente de Ciberinteligencia

Posted under ciberinteligencia, Jornadas

Magazine en Flipboard

Lo habíamos visto recientemente y nos hemos decidido a probar a compartir la labor de scouting que realizamos de manera continuada sobre las novedades y noticias que se producen en la esfera internacional utilizando como medio Flipboard.

Para los que no lo conozcáis, Flipboard es un servicio en línea que permite crear tu propia revista con los artículos que se seleccionen para ello, que es justo lo que ponemos ahora a vuestra disposición, un magazine que hemos titulado de la misma manera que este blog, n+1 tiende a infinito.

En nuestro magazine encontraréis los artículos que hemos seleccionado por su interés en múltiples foros, blogs y revistas nacionales e internacionales. Para comenzar, hemos decidido incluir solo una de las temáticas a las que nos dedicamos: el gobierno de la seguridad (de ahí, el subtítulo).

Os invitamos a suscribiros y a enviarnos vuestros comentarios y opiniones:

http://flip.it/h2aVv

En futuras entradas, compartiremos con vosotros los resultados de la experiencia… esperemos que positivos…

Puedes seguirnos en twitter.com/enplusone

Posted under marketing

Impacto económico del cibercrimen

En la entrada de hoy vamos a comentar el reciente estudio elaborado por McAfee y el CSIS (Center for Strategic and International Studies) sobre “El impacto económico del cibercrimen y el ciberespionaje” (PDF).

La conclusión principal del estudio es que, dadas las dificultades para disponer de datos más o menos fiables, han tenido que recurrir a las analogías para estimar cuál podría ser dicho impacto, es decir, han utilizado los datos que existen para otros fraudes (en concreto, los datos relativos a accidentes de automóvil, a piratería, a hurtos y a crímenes por drogas) como base para la estimación final de un impacto que, como mucho, sería de 300.000 millones de euros, considerando entre un 0.5% y un 1% del PIB mundial.

Para realizar este cálculo han considerado seis tipos de actividad maliciosa:

  • Pérdida de propiedad intelectual
  • Cibercrimen
  • Pérdida de información corporativa sensible
  • Costes oportunidad (por interrupciones y reducción de confianza)
  • Costes adicionales de securizar los sistemas
  • Daños reputacionales

Aparte de esto, nos gustaría resaltar una mención que se hace en el estudio que nos ha llamado la atención puesto que, efectivamente, la ciberseguridad es algo que excede lo económico, puesto que puede tener efectos que van más allá:

“En el contexto de la economía global, estas pérdidas son pequeñas, pero eso no significa que no sea un interés nacional el tratar de reducir estas pérdidas y el robo de tecnología militar sensible que crea daños cuyo coste total no es fácilmente cuantificable en términos monetarios.”

Para finalizar y para contextualizar esta cifra, deberíamos pensar que si la aproximación está bien, el coste del cibercrimen en España (tomando como base un PIB en 2012 de 1’05 billones de euros) estaría ligeramente por encima de los…  ¡6.000 millones de Euros!

Para que nos hagamos una idea:

  • Sería como si cada español tuviera que desembolsar 130 € al año para costear el cibrecrimen.
  • Es más del triple del presupuesto para 2013 en Educación (1.995 millones de €) o un poco más del presupuesto para Defensa (5.786 millones de €).
  • O casi 10 veces el presupuesto que tuvo la Comunidad de Madrid en 2012 (617 millones de €)

¿Qué os parece la estimación? ¿Realista? ¿Inflada?

Puedes seguirnos en twitter.com/enplusone

Posted under análisis, ciberinteligencia, security economics

Propuesta de Directiva relativa a los ataques contra los sistemas de información

Se encuentra en estos momentos en discusión en el Parlamento Europeo una propuesta de Directiva que sustituye la Decisión marco 2005/222/JAI del Consejo que era la que se aplicaba hasta el momento.

Esta nueva Directiva persigue armonizar el tratamiento que se da en la Unión Europea a los ataques contra los Sistemas de Información (SS.II.) mediante la aproximación de las normas de Derecho Penal y, por dicho motivo, nos ha parecido relevante analizarla.

Lo primero que hay que decir es que se trata de un texto muy breve (tan solo 19 artículos), pero al margen de su brevedad, nos gustaría destacar algunos aspectos de la misma:

  • La definición de “sin autorización“, un aspecto clave en la Directiva, pues es lo que marca lo que se entiende como ataqueacceso ilegal. El artículo 2 lo define como “el acceso, la interferencia o la interceptación, que no haya sido autorizado por el propietario u otro titular del derecho sobre el sistema o parte del mismo o no permitidos por el Derecho nacional”.
    Es decir, para realizar las típicas pruebas de intrusión será necesario contar con la autorización del propietario (es decir, cómo siempre, ¿no?).
    Pero, ¿qué ocurre con la actividad de los investigadores que por su cuenta y riesgo estudian los sistemas para identificar nuevas vulnerabilidades? ¿tendrán que pedir consentimiento a los fabricantes? ¿o bastará con pedírselo al usuario que lo ha comprado para usarlo?
  • Las figuras que se identifican para ser recogidas en la normativa nacional son las de acceso ilegalinterferencia ilegal en los sistemas de información interferencia ilegal en datos, así como los inductores, los cómplices y las tentativas.
  • Se recoge también la figura de “instrumento utilizado para cometer las infracciones“, entendiendo como tal, tanto un “programa informático, concebido o adaptado principalmente para cometer una infracción de las mencionadas […]” o “una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información”. Y, en particular, se pretende evitar “la producción intencional, venta, adquisición para el uso, importación, distribución u otra forma de puesta a disposición […] sin autorización y con la intención de que sean utilizados con el fin de cometer cualquiera de las infracciones mencionadas“.
    Entonces, ¿estará perseguida la típica distribución Linux que ayuda a…? bueno, ya sabes a qué… ¿Es justo penalizar la fabricación de herramientas? Al fin y al cabo, todo depende del uso que se da a la tecnología, ¿no? No parece muy razonable penalizar a quien crea nuevas herramientas que ayudan a mejorar la seguridad de los sistemas… ¿o sí?
  • También es importante conocer que, la responsabilidad penal de las personas jurídicas, también está presente (artículo 11), es decir, se podrá responsabilizar a las empresas por los ataques a un sistema de información.
  • El asunto de la competencia también es interesante, puesto que intentar relacionar algo que ocurre en Internet con un espacio físico siempre supone un reto… ¿cuándo podremos entender que el atacante o el sistema de información está en un país? ¿Qué ocurre con los ataques distribuidos? ¿Y si empiezo el ataque en un país y lo acabo en otro?

Para finalizar, dos aspectos muy positivos que incluye la Directiva, los relacionados con el intercambio de información (¡¡debe funcionar en 24×7 y con un ANS de respuesta de 8 horas!!) y el seguimiento y estadísticas.

Veremos cómo queda, después de su paso por el Parlamento Europeo… 🙂

¿Qué os parece a vosotr@s?

Puedes seguirnos en twitter.com/enplusone

Posted under análisis

¿Es hora de abandonar los sistemas de información y volver a la máquina de escribir?

Al menos eso es lo que parece haber decidido el Kremlin, al menos para sus servicios de inteligencia, si hacemos casos a esta noticia.

Al margen de llamarnos la atención por tratar sobre un tema al que le hemos estado dedicando mucho tiempo últimamente (la aplicación de procesos de inteligencia a la ciberseguridad), el verdadero interés radica en las múltiples reflexiones que nos genera:

  • Entendemos que, tras un ejercicio de análisis de riesgos, el tratamiento informatizado de la información, por muchas medidas de protección que se utilizaran, siempre generaba un nivel de riesgo más elevado del que se deseaba asumir por la Dirección del Kremlin y han pensado que la estrategia más adecuada era la de eliminar el riesgo: Si no hay tratamiento informático de la información no hay riesgo de fuga “informática”. Con independencia de que nos pueda parecer una medida drástica, no hemos de olvidar que siempre hay varias estrategias para reducir el riesgo y que no siempre tenemos que apostar por minimizarlo (transferir y eliminar el riesgo también son estrategias válidas, aunque no siempre factibles).
  • En línea con esta decisión, es interesante recuperar el hilo argumental de “Liars & Outliars” de Bruce Schneier, sobre el hecho de que todo sistema tiene siempre un cierto porcentaje de “transgresores” que no obedecen las normas establecidas y que la sociedad tiene siempre un tope implícito para ese número que acepta, pero que si percibe que si ese tope se sobrepasa puede llegar a abandonar el sistema… Pues bien, parece ser que la Dirección del Kremlin ha decidido que en los entornos ciber ese porcentaje está por encima de su tope y ha decidido abandonarlo… ¿habrá más que le sigan? ¿qué ocurriría si la Sociedad empieza a percibir que hay demasiados fraudes, robos, etc. en Internet? ¿podríamos llegar a abandonar su uso?
  • Por otra parte, ésta, como cualquier decisión de seguridad, tiene que estar soportada por su correspondiente caso de negocio. Y en el caso de esta decisión, nos surgen muchas dudas: ¿merece la pena el sobrecoste que se va a asumir por la seguridad que (teóricamente) se va a ganar? ¿No habrá pesado más la nostalgia que la racionalidad?

De todos modos, en el caso de que el Kremlin o váyase usted a saber quién haya apostado por abandonar parcialmente la informática y las redes en favor de las máquinas de escribir en algunos departamentos, no es descabellado, aunque tenga un punto de retrógado y de absurdo. Al Kremlin no se le escapará que hay muchos más hackers y espías “tradicionales”, amigos de conseguir la información ajena por métodos más “tradicionales”, que expertos de los unos y de los ceros. ¿O es que antes de los computadores se espiaba menos? La caza de información en soporte papel es un arte muy trillado pero con muchas puertas traseras. Nos parece más difícil detectar un micropunto en un documento papel que un pendrive en un bolsillo de un empleado. En fin, quizá las empresas microfilmadoras españolas puedan recuperar mercado en Rusia…

Se nos ocurre otra reflexión final: ¿es creíble la noticia? ¿cuál es la fuente original de donde ha surgido? ¿cuándo se origina? ¿cómo termina en el medio donde la hemos encontrado? ¿cuándo se produce la comunicación masiva? ¿podría beneficiar a alguien si la noticia fuera falsa? Hablamos de decepción o de contradecepción, de engaño… de propaganda política, de marketing, dicho mal y pronto pero en plan fino. ¿Es una noticia “tururú” con el mensaje “por muchos Snowden, a nosotros no nos pillarán nunca” dirigida a los estadounidenses y originada por vayamos a saber quién? ¿o con el mensaje “ojo a nuestros potenciales traidorzuelos que piensen filtrar información, porque no lo tendrán fácil” dirigido al consumo interno de alguna organización? Si alguno piensa que esto es paranoia, vale, que lo piense. Pero igual le suena el nombre de Casandra…

Como decíamos una noticia que nos ha hecho reflexionar bastante… ¿qué os parece a vosotr@s?

Antonio Ramos y José Luis Hernangómez

Puedes seguirnos en twitter.com/enplusone.

Posted under ciberinteligencia
1 2 3 5