Actualidades de la UIT

Conozca lo que está pasando en el mundo de las telecomunicaciones

中文  |  English  |  Français  |  Русский  |  download pdf
                     

Cinco años de CMSI
Crear confianza y seguridad en la utilización de las TIC
 
image
Crédito de la foto: Shutterstock
 

Internet se ha convertido en parte integral de las sociedades modernas y ha puesto al usuario final en la vanguardia de la comunicación. Cualquier tipo de información está disponible y además en numerosos formatos. Sin embargo, ¿cuánta de dicha información es auténtica? ¿es la información inexacta, engañosa? o incluso peor, ¿se trata de contenidos maliciosos? El fraude, el robo y la falsificación existen en línea al igual que fuera de ella. Para que los usuarios se beneficien de todas las ventajas de Internet, es de la máxima importancia que exista confianza en la infraestructura.

Por todo ello, durante la segunda fase de la CMSI dirigentes del mundo entero designaron a la UIT como organismo que debe liderar la coordinación de los esfuerzos internacionales destinados a promover la ciberseguridad. La UIT fue nombrada facilitador único de la Línea de Acción C5 relativa a la creación de confianza y seguridad en la utilización de las tecnologías de la información y la comunicación (TIC). En consecuencia, se ha instado a los Miembros de la UIT a que ésta asuma un papel más relevante en aspectos de ciberseguridad a través de Resoluciones, Decisiones y Recomendaciones. Desde 2006, la UIT ha realizado una amplia gama de actividades para que las comunicaciones sobre las redes de telecomunicaciones públicas sean seguras, fiables y amigables.

La Agenda sobre Ciberseguridad Global de la UIT, puesta en marcha el 17 de mayo de 2007 por el Secretario General de la UIT, Dr. Hamadoun I. Touré, es un marco para la cooperación internacional destinada a fortalecer la confianza y seguridad en la sociedad de la información. Abarca cinco pilares estratégicos: medidas legales, medidas técnicas y de procedimiento, estructuras institucionales, creación de capacidades y cooperación internacional.

Los cinco pilares de la Agenda sobre Ciberseguridad Global de la UIT
image
 

El Secretario General nombró un Grupo de Expertos de Alto Nivel sobre Ciberseguridad compuesto por representantes de los gobiernos, la industria, las organizaciones internacionales e instituciones académicas y de investigación. Su objetivo era proponer estrategias para una respuesta mundial a la naturaleza constantemente cambiante de las ciberamenazas y la creciente sofisticación del ciberdelito. Tras celebrar sendas reuniones en octubre de 2007 y mayo de 2008, el grupo presentó sus propuestas estratégicas al Secretario General de la UIT para apoyar a los Estados Miembros en el fortalecimiento de la ciberseguridad.

Las propuestas, alineadas con el mandato de la UIT, han sido tenidas en cuenta en los programas de trabajo de la Secretaría General y de los tres sectores: Radiocomunicaciones (UIT–R), Normalización de las Telecomunicaciones (UIT–T) y Desarrollo de las Telecomunicaciones (UIT–D).

Medidas legales

El establecimiento de la infraestructura legal apropiada es una componente integral de cualquier estrategia nacional sobre ciberseguridad. Como parte del Plan de Acción de Doha de 2006, la Oficina de Desarrollo de las Telecomunicaciones ha ayudado a los Estados Miembros a entender cabalmente los aspectos legales de la ciberseguridad con el fin de armonizar sus marcos legales.

El ciberdelito: guía para los países en desarrollo, publicada en 2009, es una parte importante de este trabajo y fue elaborada como una herramienta destinada a que los países en desarrollo tengan una mejor comprensión y capacidad de evaluación de las implicaciones nacionales e internacionales de las cada vez más presentes ciberamenazas. El mismo año, la BDT publicó el “Conjunto de herramientas para la legislación del ciberdelito”, desarrollado por un grupo de expertos para ofrecer a los Estados Miembros ejemplos de lenguaje legislativo y material de referencia a fin de ayudar a la armonización de las leyes y reglas de procedimiento sobre ciberdelitos. La BDT también ha elaborado un documento de referencia, Ciberseguridad: papel y responsabilidades de un regulador efectivo presentado en el Simposio Mundial para Organismos Reguladores, celebrado en Beirut, Líbano, en noviembre de 2009.

Medidas técnicas y de procedimiento

El trabajo de la UIT sobre seguridad abarca una amplia gama de actividades e incluye desde ataques a la red, denegación de servicio, robo de identidades, escuchas ilegales, telebiometría para autenticación hasta la seguridad en las comunicaciones de emergencia.

Las organizaciones de normalización juegan un papel fundamental en el tratamiento de las vulnerabilidades de seguridad de los protocolos. El UIT–T goza de una posición singular en el campo de la normalización pues aglutina a los sectores privado y gubernamental para trabajar de forma coordinada y promover la armonización de las normas sobre política y seguridad a escala internacional.

Along with many key security recommendations, ITU–T has developed an overview of security requirements, security guidelines for protocol authors, security specifications for IP-based systems, as well as guidance on how to identify cyberthreats and countermeasures to mitigate risks. ITU–T also provides the international platform for the development of the protocols that protect current and next-generation networks (NGN).

Junto a numerosas recomendaciones fundamentales sobre seguridad, el UIT–T ha analizado los requisitos de seguridad, directrices de seguridad para los diseñadores de protocolos, especificaciones de seguridad para los sistemas basados en IP, así como directrices para identificar ciberamenazas y contramedidas para la prevención de riesgos. El UIT–T también es la plataforma internacional para el desarrollo de protocolos que protejan las redes actuales y de la próxima generación (NGN).

El trabajo de la UIT abarca aspectos de seguridad de la arquitectura de las NGN, calidad de servicio, gestión de red, movilidad y comunicaciones de datos extremo a extremo y tiene en cuenta los requisitos de seguridad para servicios web y protocolos para aplicaciones. Además, actualmente son objeto de estudio nuevas áreas relacionadas con la computación en la nube y las rejillas inteligentes.

En la transición hacia servicios basados en el protocolo Internet (IP), las Recomendaciones de la Serie H.235.x relativas a “Seguridad H.323” definen la infraestructura y los servicios de seguridad (incluyendo autenticación y privacidad) a utilizar en los sistemas multimedios IP de la serie H.300 (tales como VoIP y videoconferencia), en aplicaciones punto a punto y multipunto. Las normas H.235.x incluyen aspectos de seguridad para proveedores y empresas, al tiempo que aseguran la interoperabilidad de los productos multimedios. La identidad de los usuarios que se comunican a través de IP es autenticada y autorizada correctamente utilizando H.235.x, protegiendo así sus comunicaciones de amenazas críticas para la seguridad.

La criptación de multimedios en tiempo real ofrece un nivel de seguridad adicional que protege contra la interceptación ilícita. La Recomendación UIT–T J.170, “Especificación de la seguridad IPCablecom”, define requisitos de seguridad de una arquitectura IPCablecom que permita a los operadores de televisión por cable ofrecer capacidades bidireccionales seguras en la provisión de servicios IP, incluida la VoIP.

La Recomendación UIT–T X.805 define la arquitectura de seguridad para sistemas que proporcionan comunicaciones extremo a extremo. Esta Recomendación permite a los operadores identificar puntos vulnerables de una red y darles el tratamiento adecuado, ampliándose el marco de seguridad de la UIT con directrices sobre la protección contra ciberataques.

La Recomendación UIT–T X.1205, “Aspectos generales de la ciberseguridad”, define la ciberseguridad y establece una taxonomía de amenazas. Analiza la naturaleza del entorno y de los riesgos de la ciberseguridad, posibles estrategias de protección de la red, técnicas de comunicaciones seguras y supervivencia de la red, incluso cuando está sometida a ataques.

Todas las Comisiones de Estudio de la UIT realizan como parte de su trabajo actividades relacionadas con la seguridad. No obstante, la Comisión de Estudio 17 del UIT–T es la Comisión de Estudio que lidera los aspectos de seguridad e identidad en las telecomunicaciones. La Comisión ha aprobado más de 100 Recomendaciones sobre seguridad de las comunicaciones, principalmente Recomendaciones de la Serie X, ya sea de forma autónoma o conjuntamente con la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI) u otras organizaciones relevantes. Regularmente actualiza el manual sobre Seguridad de las telecomunicaciones y las tecnologías de la información que constituye una exposición general de asuntos relacionados con la seguridad (la cuarta edición se publicó en septiembre de 2009). También publica de forma electrónica en su página web un Compendio de Seguridad y que contiene un catálogo de las Recomendaciones del UIT–T aprobadas relativas a la seguridad y un extracto de las definiciones de seguridad extraídas del UIT–T y otras fuentes.

La Comisión de Estudio 17 del UIT–T ha creado la Hoja de ruta de normas de seguridad de las TIC para promover la colaboración entre organismos de normalización. Esta iniciativa se convirtió en un esfuerzo conjunto cuando en enero de 2007 la Agencia Europea de Seguridad de la Red y la Información (EINSA, European Network and Information Security Agency) y el Grupo de Coordinación de Seguridad de la Red y la Información (NISSG, Network and Information Security Steering Group) se unieron a la iniciativa. La Hoja de ruta promueve el desarrollo de normas de seguridad, poniendo énfasis en las normas existentes y en el trabajo actual y futuro conjunto entre los principales organismos de normalización. La hoja de ruta informa a los usuarios sobre normas de seguridad.

El papel de la Comisión de Estudio 17 del UIT–T fue confi rmado y reforzado por la Asamblea Mundial de Normalización de las Telecomunicaciones que se celebró en Johannesburgo, República de Sudáfrica, en 2008 (AMNT-2008). La Resolución 50, “Seguridad cibernética”, guía los trabajos del UIT–T para la elaboración de Recomendaciones suficientemente robustas que impidan la actividad de partes maliciosas. La resolución 52, “Respuesta y lucha contra el correo basura”, insta a la integración de los medios técnicos para combatir el correo basura en el trabajo de las Comisiones de Estudio del UIT–T. Asimismo, la AMNT-2008 elaboró la Resolución 58, “Fomento de la creación de equipos nacionales de intervención en caso de incidente informático, especialmente para los países en desarrollo”, que la Comisión de Estudio 17 del UIT–T está actualmente implementando.

Desde septiembre de 2009, se han creado siete grupos de trabajo por correspondencia sobre asuntos de coordinación para la seguridad, cibersalud, seguridad de la computación en la nube y en rejillas inteligentes, centros nacionales para la seguridad de la red (NCNS), estrategias para la seguridad de las transacciones en línea, arquitectura descentralizada para el sistema mundial de resolución de nombres de redes IP y el marco para el intercambio e información de ciberseguridad (CYBEX).

Volviendo al ámbito de las radiocomunicaciones, las aplicaciones inalámbricas, tales como 3G (IMT-2000), se han convertido en parte integral de la vida cotidiana de las personas, y la utilización y gestión global de las frecuencias requiere un elevado nivel de cooperación internacional. La gestión mundial de frecuencias ha adquirido una importancia creciente para la generación de confianza y seguridad en la utilización de las TIC.

Ello pone de relieve la misión del UIT–R de lograr un uso garantizado, equitativo, eficiente y económico del espectro de frecuencias radioeléctricas por todos los servicios de radiocomunicaciones, incluidos los que utilizan las órbitas de los satélites, y de realizar estudios y aprobar Recomendaciones sobre radiocomunicaciones.

Proteger la calidad del servicio frente a la degradación o la denegación de servicio es vital para el funcionamiento seguro de las redes, y en este sentido, muchas de las últimas Recomendaciones del UIT–R sobre requisitos genéricos y protección de las radiocomunicaciones frente a la interferencia son relevantes a los efectos de la seguridad. El trabajo de la UIT sobre la normalización de las radiocomunicaciones continua al compás de la constate evolución de las modernas redes de telecomunicación.

El UIT–R ha aprobado Recomendaciones sobre principios y mecanismos de seguridad para redes 3G (en particular la Recomendación UIT–R M.1078, pero también las Recomendaciones M.1223, M.1457 y M.1645). También ha publicado Recomendaciones sobre aspectos de seguridad de la arquitectura de gestión de redes de sistemas satelitales (Recomendación UIT–R S.1250) y mejoras de la calidad de funcionamiento del protocolo de control de transmisión de redes satelitales (Recomendación UIT–R S.1711).

En el marco de la colaboración de la UIT con la Alianza Internacional Multilateral Contra el Ciberterrorismo (IMPACT), el Centro de Respuesta Global (GRC) juega un papel central en la ejecución del objetivo de la Agenda sobre Ciberseguridad Global de poner en marcha las medidas técnicas destinadas a combatir ciberamenazas nuevas y evolucionadas. El trabajo conjunto con asociados de los sectores académico y gubernamental permite al Centro ofrecer a la comunidad mundial un sistema de alerta temprana agregada y en tiempo real. La BDT está trabajando con IMPACT para poner este recurso a disposición de los Estados Miembros como parte de una estrategia más amplia de ayuda a sus esfuerzos contra el ciberterrorismo.

El Centro de Respuesta Global (GRC) ofrece dos servicios principales: el Sistema en red de alerta temprana (NEWS, Network Early Warning System) y la Plataforma de aplicaciones para la colaboración electrónica segura de expertos (ESCAPE, Electronically Secure Collaboration Application Platform for Experts). ESCAPE es una herramienta electrónica que permite a ciberexpertos autorizados de diversos países compartir recursos y colaborar a distancia, en un entorno seguro y fiable. El hecho de compartir los recursos y la experiencia de diferentes países en plazos muy breves, permite a los países y a la comunidad mundial utilizar ESCAPE para responder de forma inmediata a ciberamenazas, especialmente durante situaciones de crisis.

image
Crédito de la foto: AFP/ MKU
 

Estructuras institucionales

La falta de estructuras institucionales para el tratamiento de ciberincidentes (ataques, fraude, destrucción de información, diseminación de contenidos inadecuados) es un verdadero problema para dar una respuesta adecuada a las ciberamenazas. La BDT, en asociación con IMPACT, está desplegando medios para la creación de capacidades a nivel nacional y regional. En este sentido, se realiza una labor de coordinación con varios Estados Miembros de la UIT, centrándose en la ayuda para el establecimiento de equipos nacionales encargados de los incidentes informáticos (CIRT).

Gracias al apoyo recibido del gobierno de Australia y a la alianza con otras organizaciones (por ejemplo, AusCERT e IMPACT), la UIT está ayudando a que los Estados Insulares del Pacífico establezcan el equipo encargado de las emergencias informáticas (CERT) del Pacífico. En colaboración con IMPACT, la UIT ha ayudado a Afganistán a realizar un estudio de viabilidad sobre el establecimiento de un CERT nacional.

Creación de capacidades

Las personas constituyen el eslabón más débil. Uno de los desafíos fundamentales de la ciberseguridad es educar al usuario final. Entender y ser consciente de que los peligros potenciales son factores esenciales para que el usuario final se beneficie de las TIC de forma segura.

TEste es un asunto que preocupa a todas las partes, desde gobiernos e industria al sector educativo, para su aplicación tanto en los centros educativos como en el hogar. La concienciación de las oportunidades de un entorno seguro y de las amenazas inherentes al ciberespacio es algo fundamental. Los programas destinados a aumentar la concienciación y a la creación de capacidad a todos los niveles son importantes y también deben realizarse en un ámbito internacional.

Para ayudar a los Estados Miembros a diseñar su propio enfoque nacional para la ciberseguridad y protección de las infraestructuras esenciales de la información (CIIP), la BDT ha desarrollado la Herramienta nacional de autoevaluación de la ciberseguridad /CIIP (National Cyber Security/CIIP Self-Assessment Tool) y está actualizando su versión actual. La BDT también ha desarrollado el Conjunto de herramientas de la UIT para la defensa frente a las redes de robots o botnets a fin de hacer un seguimiento de éstos y mitigar sus efectos, con particular énfasis en los problemas específicos de las economías emergentes en Internet.

La BDT está organizando foros de ciberseguridad regionales en todas las regiones de la UIT, que también sirven como vehículos para la creación de capacidades sobre sus diferentes programas y actividades y para la constitución de plataformas operacionales para la cooperación a nivel regional e internacional.

Para la creación de capacidades, la BDT realiza, a través del Centro de formación y capacidades de IMPACT, presentaciones de alto nivel destinadas a representantes de los Estados Miembros, a los que proporciona información muy valiosa sobre las actividades y últimas tendencias de los trabajos del sector privado y de otros sectores, potenciales amenazas y tecnologías emergentes.

Cooperación internacional

Internet y las TIC han permitido una interconexión entre países que anteriormente no era posible. Los países no pueden cerrar fácilmente sus fronteras a amenazas entrantes y tampoco puede frenar las que proceden de su interior. Aunque los intentos por solucionar estos desafíos a nivel nacional e internacional son importantes, las soluciones deben estar armonizadas más allá de las fronteras nacionales ya que la ciberseguridad es tan global y tiene un alcance similar al de Internet. Ello exige necesariamente la cooperación internacional, no sólo a nivel gubernamental sino también entre la industria, organizaciones no gubernamentales e internacionales.

Alianza Internacional Multilateral Contra el Ciberterrorismo (IMPACT)

En marzo de 2009, el Secretario General de la UIT, Dr. Hamadoun I. Touré, y el Primer Ministro de Malasia, Dato' Seri Abdullah Haji Ahmad Badawi, inauguraron en Cyberyaja, Malasia, un centro equipado con la tecnología más reciente que aloja recursos, medios y expertos destinados a luchar contra las ciberamenazas más graves a nivel mundial. Denominada UIT–IMPACT, se trata de una alianza formada por numerosas partes interesadas de los sectores público y privado y que proporciona un espacio físico y operacional a la Agenda sobre Ciberseguridad Global de la UIT. Desde agosto de 2010, más de 50 Estados Miembros han acordado formalmente participar en los servicios ofrecidos por UIT–IMPACT. La UIT mantiene en Ginebra una exhibición virtual del sistema de alerta temprana, gestión de crisis y análisis en tiempo real de las ciberamenazas globales.

Pasarela sobre ciberseguridad de la UIT

La pasarela sobre ciberseguridad de la UIT fue reformada en 2009 para ofrecer un mejor acceso y distribución de la información y colaboración en línea entre las partes interesad que trabajan en ciberseguridad, incluyendo mecanismos para la realimentación de las partes.

Protección de la infancia en línea

Como parte de la Agenda sobre Ciberseguridad Global, la UIT junto con otras agencias del Sistema de las Naciones Unidas lanzó en noviembre de 2008 la iniciativa Protección de la infancia en línea (COP, Childhood Online Protection) como una colaboración internacional destinada a promover la ciberseguridad de los niños y jóvenes y proporcionar directrices para un comportamiento seguro en línea. Se han organizado diversos eventos, algunos ejemplos de los cuales son Un diálogo estratégico sobre un entorno seguro en Internet para la infancia, celebrado en junio de 2009 en Tokio, Japón, y un Foro abierto sobre la protección de la infancia en línea, organizado durante el 4.º Foro para la Gobernanza de Internet, en noviembre de 2009. Se han elaborado directrices para la protección de la infancia en línea para políticos, industria, educadores, padres, cuidadores y niños. Éstas han sido preparadas por la UIT en estrecha colaboración con numerosas organizaciones, incluido el Instituto Interregional de las Naciones Unidas para la Investigación Criminal y la Justicia (UNICRI), El Fondo de las Naciones Unidas para la Infancia (UNICEF), la Oficina de las Naciones Unidas para las Drogas y el Crimen (UNODC), el Instituto de las Naciones Unidas para la Investigación del Desarme (UNIDIR), la INTERPOL y la Agencia Europea de Seguridad de la Red y la Información (ENSIA).

La iniciativa global de Protección de la infancia en línea (COP) anunciada el 17 de noviembre de 2007 por el Patrono de la COP, Excma. Sra. Laura Chinchilla, Presidenta de Costa Rica, y el Secretario General de la UIT, Dr. Hamadoun Touré, en una ceremonia celebrada en San José, Costa Rica, proporcionará un marco para la coordinación de los esfuerzos actuales y para poner en marcha una serie de actividades de capacitación sobre seguridad y prevención. En esta nueva fase de la iniciativa, ésta evolucionará desde la elaboración de directrices al desarrollo de códigos de conducta para la industria, el establecimiento de líneas telefónicas nacionales de ayuda y la elaboración de hojas de ruta nacionales y herramientas para el desarrollo legislativo.

Lecciones aprendidas

Los delincuentes cibernéticos no son la única amenaza para Internet. Las vulnerabilidades de las TIC son un señuelo para actividades potencialmente más dañinas tales como el espionaje. La guerra y el espionaje cibernético están presentes y constituyen graves amenazas a las infraestructuras esenciales de la información.

Aunque se están adoptando medidas a nivel nacional, las ciberamenazas constituyen un problema internacional. Las lagunas legales son explotadas por perpetradores y la armonización entre las leyes deja mucho que desear. Si a ello se suma la falta de infraestructuras organizativas adecuadas, se concluye la existencia de un verdadero problema para responder a las ciberamenazas.

Todo ello sin tener en cuenta la constante evolución y sofisticación de dichas amenazas y las vulnerabilidades del software y más recientemente también del hardware y las aplicaciones. El extraordinario crecimiento de las comunicaciones móviles y de nuevas tendencias como la computación en nube, harán que previsiblemente las amenazas alcancen nuevos niveles.

Las ciberamenazas son globales y por tanto, las soluciones también deben ser globales. Es vital que todos los países alcancen un entendimiento común sobre ciberseguridad para proporcionar protección contra el acceso no autorizado, la manipulación y la destrucción de recursos esenciales.

La UIT considera que la estrategia para lograr una solución debe incluir la identificación de iniciativas nacionales y regionales a fin de fijar prioridades y trabajar de forma efectiva con todos los agentes involucrados. Con sus 192 Estados Miembros y sus más de 700 compañías y Asociados del sector privado, la UIT es un foro excelente para la acción y respuesta para promover la ciberseguridad y dar el tratamiento adecuado al ciberdelito. Sus miembros incluyen países menos desarrollados, economías en desarrollo y emergentes, así como países desarrollados.

Los logros han sido abundantes, pero la ciberseguridad es un desafío en constante evolución sobre el que es necesario mantener una alerta continua dada la naturaleza de cambio permanente de las TIC. La UIT trabajará sin descanso para la creación de seguridad y confianza que aseguren un entorno cibernético seguro para todos.

 

  Anterior Versión imprimible Comienzo de la página Enviar correo electrónico a un amigo Siguiente © Derecho de autor de la UIT 2014
Denegación de responsabilidades - Política de privacidad