14 minute read
Desafíos a la ciberseguridad en Colombia
Ventana Regional
Desafíos a la ciberseguridad en Colombia
Advertisement
Las amenazas cibernéticas representan un gran reto para los Estados y para los organismos internacionales de seguridad a nivel mundial. El ciberterrorismo, el cibercrimen o la posibilidad de una guerra cibernética son situaciones para los que las autoridades deben estar preparadas.
Colombia ha reconocido estas amenazas y ha elaborado planes de seguridad digital, pero hay aspectos por mejorar para consolidar su ciberseguridad.
vicente torrijos rivera, david gonzález ortiz
INTRODUCCIÓN
Las amenazas tradicionales a la seguridad de las sociedades, durante la historia de la humanidad, han provenido de medios tangibles, físicos y propios de la interacción entre individuos, grupos y comunidades. El ciberespacio cambia las reglas de juego, en la medida en que se crean interacciones en un mundo virtual, donde las amenazas no se pueden visualizar con facilidad y tienden a permanecer incógnitas. El ciberespacio, como afirma Marc Goodman, 1 se convierte entonces en un quinto ámbito de batalla, donde convergen todo tipo de actores, desde Estados y grandes corporaciones, hasta individuos, intermediarios y piratas informáticos (hackers), inmersos en la economía digital.
1 Goodman, M. (2016). Los delitos del futuro. Barcelona: Ariel.
Las amenazas tradicionales, como el crimen organizado y el terrorismo, han migrado al escenario cibernético, generando contrapartes como el cibercrimen y los ataques cibernéticos. Esto es un llamado de alerta a los Estados y organismos de seguridad a nivel mundial, para que evolucionen, con tanta, o incluso con mayor agilidad que las amenazas cibernéticas, implementando planes de contingencia y sistemas de alerta temprana contra las ciberamenazas. Para el Estado colombiano, esta iniciativa de adaptación constante a la evolución tecnológica es una obligación ineludible. El presente documento tiene como propósito identificar las amenazas a la ciberseguridad de Colombia y cómo puede el Estado colombiano enfrentar este desafío.
Para ello, dividiremos este análisis en tres secciones. Primero, se expondrán las principales fuentes de amenaza para Colombia en el ciberespacio. Segundo, se analizarán las fortalezas con las que ya cuenta el Estado colombiano en materia de ciberseguridad. Y, finalmente, se determinarán qué aspectos del modelo colombiano se podrían mejorar, tomando como marco de referencia las características que debe tener un sistema de ciberseguridad de vanguardia.
AMENAZAS A LA CIBERSEGURIDAD EN COLOMBIA
Los factores de inseguridad que generan desafíos al Estado colombiano son diversos, y pueden variar desde individuos con un alto conocimiento técnico, hasta grandes estructuras y organizaciones. Dentro de estas ciberamenazas, tres pueden definirse como críticas; por esa razón, el Estado colombiano debe prepararse y anticiparse a ellas para garantizar su supervivencia y la seguridad digital del país. En primer lugar, se deben considerar las actividades terroristas enmarcadas en el concepto de ciberterrorismo. A pesar de que su definición ha sido ampliamente debatida, se puede decir que el ciberterrorismo consiste en la convergencia de actividades terroristas en el ciberespacio, dadas las posibilidades de maximizar los objetivos de los terroristas a través de herramientas digitales. 2
Para Colombia, las representaciones del ciberterrorismo podrían provenir de dos frentes: primero, de parte de grupos tradicionales en el marco del conflicto armado interno; segundo, de grupos terroristas extranjeros que tengan intereses particulares en Colombia o que quieran tomar al país como cabeza de puente para realizar actividades ciberterroristas en otros países. En el primero de los escenarios, grupos como el
2 Bucci, S. (2009). The Confluence of Cyber Crime and Terrorism. Heritage Lectures, Heritage Foundation.
Ejército de Liberación Nacional Colombiano (eln), o disidencias de las Fuerzas Armadas Revolucionarias de Colombia ( farc) o inclusive los llamados Grupos Armados Organizados ( gao), podrían incursionar en el ciberespacio para realizar actividades terroristas. Sobre este asunto, Gema Sánchez afirma: 3
Los grupos armados se han volcado en la red. Uno de los primeros fue el “Movimiento Sendero Luminoso”; después lo harían otros como Al Qaeda, el Ejército Republicano Irlandés (IRA), el ELN, las FARC, Euskadi Ta Askatasuna (ETA), Hezbollah, etc. Se podría decir que, prácticamente, todos los grupos armados disponen de algún tipo de espacio (web, foro, site, etc.) en la red. Bien sea para divulgar la historia de la organización y de sus actividades, la información sobre sus objetivos políticos e ideológicos, las críticas de sus enemigos, o simplemente, para verter amenazas o abrir foros de debate e interactuar con sus seguidores y simpatizantes.
La otra posibilidad de amenaza ciberterrorista para Colombia podría provenir de los grupos terroristas islamistas del exterior. Organizaciones como isis, Al-Qaeda y Hezbollah han utilizado el ciberespacio para realizar actividades ciberterroristas en el extranjero. 4 Hipotéticamente, podría darse que dichos grupos encuentren en Colombia un espacio libre de la férrea persecución de los organismos de seguridad internacionales que se encargan de neutralizar el ciberterrorismo islamista. Si fuera así, estos
3 Sánchez, G. (2015). El ciberterrorismo, de la web 2.0 al Internet profundo. Revista Ábaco, 85(3), p.101.
4 Europol (2016). The Convergence of Cyber and Terrorism. The Internet Organized Crime Threat Assessment (IOCTA).
grupos competirían por obtener recursos digitales, conocimientos o dominar una cabeza de puente que les permita atacar a sus enemigos comunes, los Estados Unidos, Europa, Israel, etc. Colombia podría ser una de esas cabezas de puente, y el Estado colombiano debe considerar esa posibilidad.
Un segundo tipo de actores que representan posibles amenazas para Colombia son las organizaciones criminales tradicionales que incursionan en el ciberespacio y el cibercrimen organizado colombiano. Las diferencias entre estos dos son su capacidad técnica y su ámbito de acción. Mientras que el crimen organizado tradicional compra o contacta intermediarios que actúen por ellos en el ciberespacio, los integrantes del cibercrimen organizado tienen una alta capacidad técnica y dominio de conocimientos en tecnología informática. 5 Este es el caso del tráfico ilegal de drogas o armas que se realiza a través de la web profunda (deep web), en el que intervienen organizaciones criminales, tanto fuera como dentro del ciberespacio. 6
En cuanto al cibercrimen organizado, sus habilidades tecnológicas están altamente desarrolladas y están activas de manera permanente. 7 Este tipo de criminales se dedican al intercambio de bienes y servicios ilegales, o que rayan en lo ilegal. Su ámbito de acción ideal son los mercados negros digitales de la web profunda y la web oscura (darknet), donde pueden ofrecer aplicaciones maliciosas, herramientas o kits de piratería informática, venta de tarjetas débito y crédito producto de fraudes
5 Kaarel, K. (2013). Illicit Network Structures in Cyberspace. 5th International Conference on Cyber Conflict.
6 Ablon, L.; Golay, A. & Libicky, M. (2014). Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar. Rand Corporation. 7 Kaarel, K. (2013). Illicit Network Structures in Cyberspace. 5th International Conference on Cyber Conflict.
Amenazas tradicionales Crimen organizado Terrorismo Conflictos externos
Ciberamenazas Terrorismo interno Grupos terroristas extranjeros Estados adversarios (guerra híbrida) Seguridad y Sociedad | año 7 | nº 15 | agosto 2017 | 25
Líneas de defensa
Documento CONPES 3854 del DNP (desde 2016) Infraestructura tecnológica robusta (ColCERT) Centro Cibernético Policial (CCP) de DIJIN Estrategias educativas del MINTIC Cámara Colomb. de Informática y Telecomunic. (CCIT) Desafíos futuros Revisión constante de regulaciones tecnológicas Mejorar prácticas de vigilancia tecnológica y adaptar capacidad regulatoria Desarrollar protocolos de intercambio de información y estudios prospectivos sobre cibercrimen
electrónicos, entre otros. 8 De esta manera, tanto el crimen organizado tradicional como el cibercrimen representan una amenaza al Estado colombiano, ya que minan la gobernabilidad de éste en el ciberespacio, e impiden que se respeten sus normas en materia digital y el ejercicio del Estado de derecho.
En tercer lugar, una amenaza potencial sería la de un Estado que se declare como adversario o contrario a los intereses de Colombia, y que subcontrate servicios de ciberterroristas o cibercriminales para atacar instituciones públicas, el sector privado, o el sistema financiero colombiano. Esto cae dentro del concepto de guerra híbrida, 9 en el que convergen diferentes formas de lucha, entre ellas la ciberguerra vía la subcontratación de agentes ciberterroristas o de cibercriminales. Al respecto, Martin Libicki 10 sostiene que la forma de hacer la ciberguerra comprenderá la alineación de todos los tipos de ciberataques y el aprovechamiento de las vulnerabilidades digitales, por lo que un Estado debe implementar estrategias para contrarrestar todos estos frentes. Las autoridades colombianas han comprendido este mensaje y ya cuentan con medidas contra estas amenazas, como se verá a continuación.
8 Ablon et al., (2014). 9 Hoffman, F. (2009). Hybrid warfare and challenges. National Defense University, Issue 52, pp. 34-39.
10 Libicki, M. (2017). The Convergence of Information Warfare. Strategic Studies Quarterly, vol. 11 (1).
AVANCES EN CIBERSEGURIDAD DEL ESTADO COLOMBIANO
Para que un sistema de seguridad cibernética sea efectivo, debe garantizar la seguridad de su propia población en el mundo virtual, así como impedir que amenazas internas o externas pongan en duda o en serios aprietos a las entidades de seguridad digital. Para comprender la evolución de Colombia en esta materia, es necesario reconocer las características de un sistema de seguridad cibernética de vanguardia. Según Andrés Gaitán, 11 se pueden tomar tres elementos esenciales para construir una primera barrera de ciberdefensa contra las amenazas cibernéticas:
Primero se encuentra la impenetrabilidad del sistema para evitar la intrusión de cualquier tipo de amenaza. Consecutivamente se deben establecer los mecanismos de visibilidad; herramientas informativas que impacten psicológicamente la voluntad del agresor al denunciarle costoso en tiempo, recursos tecnológicos, conocimientos en cibernética e informática, y por ende, recursos humanos que le demandará la ejecución de su operación. Por último, el sistema debe erigirse sobre el componente del restablecimiento. La capacidad del mecanismo para repararse a sí mismo después de un ataque cibernético.
Tres elementos esenciales para construir una primera barrera de ciberdefensa contra las amenazas cibernéticas: 1. La impenetrabilidad del sistema para evitar la intrusión; 2. Establecer mecanismos de visibilidad o herramientas informativas que impacten la voluntad del agresor; 3. Un componente de restablecimiento, la capacidad del mecanismo para repararse a sí mismo después de un ataque cibernético
A estas medidas, se debe añadir el factor educativo, ya que el agresor podría querer realizar un ataque al eslabón más débil de la barrera de la ciberdefensa: el usuario. Son ampliamente conocidas las consecuencias de un uso desprevenido de las herramientas virtuales, dada las potenciales amenazas que esto entraña para cualquier usuario del ciberespacio. Las técnicas de ingeniería social, como mecanismo para realizar ciberataques o cometer ciberdelitos, son una preocupación contante para entidades públicas y privadas, y una constante fuente de aprendizaje para los agentes generadores de ciberamenazas. 12
Para construir una red robusta que impida, elimine o disuada cualquier amenaza en el ciberespacio se requiere de una óptima y continua integración públicoprivada. El sistema financiero y el empresarial se encuentran cada vez más inmersos en el mundo digital. Todas las transacciones, operaciones de intercambio de información, creación de bases de datos y trabajo colectivo en la nube, generan una incursión creciente del sector privado en el ciberespacio. De igual manera, las instituciones públicas se encuentran inmersas en
12 Mitnick, K. & Simon, W. (2001). The art of deception: Controlling the human element of security.
esta dinámica, dada la necesidad de responder a las demandas sociales mediante herramientas tecnológicas que hagan eficiente el trabajo del Estado.
Esto hace que ambos ámbitos sean cada vez más interdependientes y cibedependientes, lo cual lleva a la necesidad de que exista un trabajo articulado contra las amenazas digitales. Sobre esta materia, Goodman 13 sostiene que:
Es evidente que las instituciones gubernamentales actuales no poseen el monopolio de las respuestas frente a muchos problemas que acechan nuestro mundo, pero sí pueden desempeñar un papel relevante como conciliadoras, tendiendo puentes de diálogo entre los sectores público y privado como medio para hallar soluciones a algunos de los retos más notables.
Una vez analizados estos elementos esenciales, debemos evaluar las acciones del Estado colombiano en términos de seguridad digital. Desde 2016, Colombia cuenta con una directriz elaborada por el Departamento Nacional de Planeación dnp, el documento conpes 3854, que determina la política nacional de seguridad digital. En materia de impenetrabilidad, el documento establece la importancia de la gestión de riesgos y de la responsabilidad compartida entre entidades del alto gobierno para evitar la intrusión de posibles agresores a la seguridad cibernética nacional como los descritos anteriormente. El enfoque de ciberseguridad en Colombia se basa en la prevención, la gestión de riesgos y la búsqueda de posibles actores que amenacen el espacio digital del país.
13 Goodman, op.cit., p.582.
En términos de visibilidad y restablecimiento, Colombia cuenta con una infraestructura tecnológica bastante robusta. Dos ejemplos de ello son, por un lado, el llamado Grupo de Respuesta a Emergencias Cibernéticas de Colombia colcert. Este centro para la gestión de contingencias o siniestros digitales son fundamentales para contrarrestar las ciberamenazas nacionales, ya que está en constante monitoreo de las posibles fuentes de inseguridad digital. Según el Observatorio de la ciberseguridad en América Latina y el Caribe de la oea (2016), estas iniciativas contribuyen sin lugar a dudas a la seguridad digital; para ningún atacante será fácil superar esta barrera.
Adicionalmente, para la lucha contra el cibercrimen y el ciberterrorismo, dentro de la Policía Nacional de Colombia se creó el Centro Cibernético Policial ( ccp) de la Dirección de Investigación Criminal e Interpol, 14 entidad que tiene cargo la persecución de los delitos informáticos y de las organizaciones criminales asociadas. Dada la calidad de su capital humano y uso de tecnología de punta, el ccp se constituye en una herramienta de reacción y disuasión frente a las amenazas cibernéticas.
En materia educativa, el Ministerio de las Tecnologías de la Información y las Comunicaciones ( mintic) desarrolla estrategias como ecosistema digital y ofrece servicios y guías para los y las ciudadanas, con el fin de que hagan un mejor uso de las tecnologías de la información. El ccp también proyecta avisos educativos en su página web, para concientizar sobre las amenazas cibernéticas.
En lo que tiene que ver con la interacción entre el sector público y el privado en asuntos de ciberseguridad, se
14 Conocida como dijin, antiguas siglas de Dirección de Policía Judicial e Inteligencia. Lanzamiento de la Política Nacional de Seguridad Digital (documento CONPES 3854); en http://www.mintic.gov.co/ portal/604/w3-article-15033.html
han construido puentes de comunicación y alianzas estratégicas. La integración del sector público con Asobancaria, para asuntos financieros, o la Cámara Colombiana de Informática y Telecomunicaciones (CCIT), para el gremio de los servicios informáticos, demuestran el interés por la construcción de redes de apoyo público-privadas contra las ciberamenazas.
ASPECTOS A MEJORAR Y DESAFÍOS FUTUROS
La infraestructura tecnológica e institucional que se ha construido en Colombia tiene claro el objetivo de la ciberseguridad. No obstante, como todo sistema de seguridad, es susceptible a ser mejorado y optimizado, lo cual resumiremos en dos grandes aspectos.
Primero, se debe hacer una revisión constante de la regulación en materia tecnológica para el ciberespacio. Es común que las leyes y el derecho tarden en cambiar y adaptarse al desarrollo tecnológico, que, por su naturaleza, evoluciona de manera ágil y se transforma constantemente. Por ello, el Estado colombiano debe mejorar sus prácticas de vigilancia tecnológica y prepararse para adaptar su capacidad regulatoria antes de que los fenómenos se den, no cuando los problemas ya se hayan desatado. Al respecto el informe de ciberseguridad elaborado por la oea en 2016 establece: 15
Colombia enmendó el Código Penal en 2009 mediante la Ley 1273 y el Código de Procedimiento Penal en 2011 mediante la Ley 1453. Por lo anterior la ley sustantiva parece estar en amplia armonía con los estándares internacionales, es decir, con el Convenio de Budapest. Disposiciones de derecho procesal más específicas pueden ser necesarias, incluyendo las enfocadas a la rápida conservación de datos.
Segundo, el Estado colombiano, a través de instituciones como la Fiscalía General de la Nación y el Centro Cibernético Policial, debe desarrollar
15 Organización de Estados Americanos (2016). Ciberseguridad ¿Estamos preparados en América Latina y el Caribe? Informe de ciberseguridad 2016. Observatorio de Ciberseguridad de América Latina y el Caribe, p.21.
protocolos más ágiles de intercambio de información y de estudios prospectivos sobre el cibercrimen. Dada la alta capacidad de aprendizaje en innovación criminal del crimen organizado colombiano, 16 esto resulta fundamental para la lucha contra las ciberamenazas en Colombia.
CONCLUSIÓN
El volcamiento de la sociedad y del mundo al ciberespacio, conlleva a que las amenazas tradicionales migren sus actividades al mundo digital, se valgan de las nuevas tecnologías o que se creen nuevas formas de inseguridad. Para Colombia, el ciberterrorismo, junto con el crimen organizado tradicional con incursión en el ciberespacio, el cibercrimen organizado, y la posibilidad de una guerra híbrida de carácter digital, representa sus mayores desafíos en seguridad digital. Al respecto, el Estado colombiano ha consolidado estrategias e instituciones que le permiten contrarrestar las ciberamenazas a través de la disuasión, negación de acceso, gestión de riesgos y emergencias, y la articulación público privada. Sin embargo, el ambiente tecnológico evoluciona con gran rapidez, por lo que una adecuada gobernabilidad digital del Estado colombiano requiere de ágiles adaptaciones regulatorias y conocimiento anticipado de la mutación de las ciberamenazas.
16 De León, I. (2014). Aprendizaje Criminal en Colombia: Un análisis de las organizaciones narcotraficantes. Bogotá: Ediciones de la U.
