 |
| Crédito de la foto: Shutterstock |
| |
Internet se ha convertido en parte integral de las sociedades
modernas y ha puesto al usuario final en la vanguardia de la
comunicación. Cualquier tipo de información está disponible y
además en numerosos formatos. Sin embargo, ¿cuánta de dicha
información es auténtica? ¿es la información inexacta, engañosa?
o incluso peor, ¿se trata de contenidos maliciosos? El fraude,
el robo y la falsificación existen en línea al igual que fuera de
ella. Para que los usuarios se beneficien de todas las ventajas de
Internet, es de la máxima importancia que exista confianza en la
infraestructura.
Por todo ello, durante la segunda fase de la CMSI dirigentes
del mundo entero designaron a la UIT como organismo que debe
liderar la coordinación de los esfuerzos internacionales destinados
a promover la ciberseguridad. La UIT fue nombrada facilitador
único de la Línea de Acción C5 relativa a la creación de
confianza y seguridad en la utilización de las tecnologías de la
información y la comunicación (TIC). En consecuencia, se ha instado
a los Miembros de la UIT a que ésta asuma un papel más relevante
en aspectos de ciberseguridad a través de Resoluciones,
Decisiones y Recomendaciones. Desde 2006, la UIT ha realizado
una amplia gama de actividades para que las comunicaciones
sobre las redes de telecomunicaciones públicas sean seguras,
fiables y amigables.
La Agenda sobre Ciberseguridad Global de la UIT, puesta en
marcha el 17 de mayo de 2007 por el Secretario General de la
UIT, Dr. Hamadoun I. Touré, es un marco para la cooperación
internacional destinada a fortalecer la confianza y seguridad en
la sociedad de la información. Abarca cinco pilares estratégicos:
medidas legales, medidas técnicas y de procedimiento, estructuras
institucionales, creación de capacidades y cooperación internacional.
| Los cinco pilares de la Agenda sobre Ciberseguridad Global de la UIT |
 |
| |
El Secretario General nombró un Grupo de Expertos de Alto
Nivel sobre Ciberseguridad compuesto por representantes de los
gobiernos, la industria, las organizaciones internacionales e instituciones
académicas y de investigación. Su objetivo era proponer
estrategias para una respuesta mundial a la naturaleza constantemente
cambiante de las ciberamenazas y la creciente sofisticación
del ciberdelito. Tras celebrar sendas reuniones en octubre de
2007 y mayo de 2008, el grupo presentó sus propuestas estratégicas
al Secretario General de la UIT para apoyar a los Estados
Miembros en el fortalecimiento de la ciberseguridad.
Las propuestas, alineadas con el mandato de la UIT, han sido
tenidas en cuenta en los programas de trabajo de la Secretaría
General y de los tres sectores: Radiocomunicaciones (UIT–R),
Normalización de las Telecomunicaciones (UIT–T) y Desarrollo de
las Telecomunicaciones (UIT–D).
Medidas legales
El establecimiento de la infraestructura legal apropiada es
una componente integral de cualquier estrategia nacional sobre
ciberseguridad. Como parte del Plan de Acción de Doha de 2006,
la Oficina de Desarrollo de las Telecomunicaciones ha ayudado
a los Estados Miembros a entender cabalmente los aspectos legales
de la ciberseguridad con el fin de armonizar sus marcos
legales.
El ciberdelito: guía para los países en desarrollo, publicada
en 2009, es una parte importante de este trabajo y fue elaborada
como una herramienta destinada a que los países en desarrollo
tengan una mejor comprensión y capacidad de evaluación de
las implicaciones nacionales e internacionales de las cada vez
más presentes ciberamenazas. El mismo año, la BDT publicó el
“Conjunto de herramientas para la legislación del ciberdelito”,
desarrollado por un grupo de expertos para ofrecer a los Estados
Miembros ejemplos de lenguaje legislativo y material de referencia
a fin de ayudar a la armonización de las leyes y reglas de
procedimiento sobre ciberdelitos. La BDT también ha elaborado
un documento de referencia, Ciberseguridad: papel y responsabilidades
de un regulador efectivo presentado en el Simposio
Mundial para Organismos Reguladores, celebrado en Beirut,
Líbano, en noviembre de 2009.
Medidas técnicas y de procedimiento
El trabajo de la UIT sobre seguridad abarca una amplia gama
de actividades e incluye desde ataques a la red, denegación de
servicio, robo de identidades, escuchas ilegales, telebiometría
para autenticación hasta la seguridad en las comunicaciones de
emergencia.
Las organizaciones de normalización juegan un papel fundamental
en el tratamiento de las vulnerabilidades de seguridad
de los protocolos. El UIT–T goza de una posición singular en el
campo de la normalización pues aglutina a los sectores privado
y gubernamental para trabajar de forma coordinada y promover
la armonización de las normas sobre política y seguridad a escala
internacional.
Along with many key security recommendations, ITU–T
has developed an overview of security requirements, security
guidelines for protocol authors, security specifications for
IP-based systems, as well as guidance on how to identify cyberthreats
and countermeasures to mitigate risks. ITU–T also
provides the international platform for the development of the
protocols that protect current and next-generation networks
(NGN).
Junto a numerosas recomendaciones fundamentales sobre
seguridad, el UIT–T ha analizado los requisitos de seguridad,
directrices de seguridad para los diseñadores de protocolos, especificaciones de seguridad para los sistemas basados en IP, así
como directrices para identificar ciberamenazas y contramedidas
para la prevención de riesgos. El UIT–T también es la plataforma
internacional para el desarrollo de protocolos que protejan las
redes actuales y de la próxima generación (NGN).
El trabajo de la UIT abarca aspectos de seguridad de la arquitectura
de las NGN, calidad de servicio, gestión de red, movilidad
y comunicaciones de datos extremo a extremo y tiene en cuenta
los requisitos de seguridad para servicios web y protocolos para
aplicaciones. Además, actualmente son objeto de estudio nuevas
áreas relacionadas con la computación en la nube y las rejillas
inteligentes.
En la transición hacia servicios basados en el protocolo
Internet (IP), las Recomendaciones de la Serie H.235.x relativas
a “Seguridad H.323” definen la infraestructura y los servicios de
seguridad (incluyendo autenticación y privacidad) a utilizar en
los sistemas multimedios IP de la serie H.300 (tales como VoIP y
videoconferencia), en aplicaciones punto a punto y multipunto.
Las normas H.235.x incluyen aspectos de seguridad para proveedores
y empresas, al tiempo que aseguran la interoperabilidad
de los productos multimedios. La identidad de los usuarios que
se comunican a través de IP es autenticada y autorizada correctamente
utilizando H.235.x, protegiendo así sus comunicaciones
de amenazas críticas para la seguridad.
La criptación de multimedios en tiempo real ofrece un nivel
de seguridad adicional que protege contra la interceptación
ilícita. La Recomendación UIT–T J.170, “Especificación de la
seguridad IPCablecom”, define requisitos de seguridad de una
arquitectura IPCablecom que permita a los operadores de televisión
por cable ofrecer capacidades bidireccionales seguras en la
provisión de servicios IP, incluida la VoIP.
La Recomendación UIT–T X.805 define la arquitectura de
seguridad para sistemas que proporcionan comunicaciones extremo
a extremo. Esta Recomendación permite a los operadores
identificar puntos vulnerables de una red y darles el tratamiento
adecuado, ampliándose el marco de seguridad de la UIT con directrices
sobre la protección contra ciberataques.
La Recomendación UIT–T X.1205, “Aspectos generales de la
ciberseguridad”, define la ciberseguridad y establece una taxonomía
de amenazas. Analiza la naturaleza del entorno y de los
riesgos de la ciberseguridad, posibles estrategias de protección
de la red, técnicas de comunicaciones seguras y supervivencia de
la red, incluso cuando está sometida a ataques.
Todas las Comisiones de Estudio de la UIT realizan como parte
de su trabajo actividades relacionadas con la seguridad. No
obstante, la Comisión de Estudio 17 del UIT–T es la Comisión
de Estudio que lidera los aspectos de seguridad e identidad
en las telecomunicaciones. La Comisión ha aprobado más de
100 Recomendaciones sobre seguridad de las comunicaciones,
principalmente Recomendaciones de la Serie X, ya sea de forma
autónoma o conjuntamente con la Organización Internacional de
Normalización (ISO) y la Comisión Electrotécnica Internacional
(CEI) u otras organizaciones relevantes. Regularmente actualiza
el manual sobre Seguridad de las telecomunicaciones y las tecnologías
de la información que constituye una exposición general
de asuntos relacionados con la seguridad (la cuarta edición
se publicó en septiembre de 2009). También publica de forma
electrónica en su página web un Compendio de Seguridad y que
contiene un catálogo de las Recomendaciones del UIT–T aprobadas
relativas a la seguridad y un extracto de las definiciones de
seguridad extraídas del UIT–T y otras fuentes.
La Comisión de Estudio 17 del UIT–T ha creado la Hoja de
ruta de normas de seguridad de las TIC para promover la colaboración
entre organismos de normalización. Esta iniciativa se
convirtió en un esfuerzo conjunto cuando en enero de 2007 la
Agencia Europea de Seguridad de la Red y la Información (EINSA,
European Network and Information Security Agency) y el Grupo
de Coordinación de Seguridad de la Red y la Información (NISSG,
Network and Information Security Steering Group) se unieron a
la iniciativa. La Hoja de ruta promueve el desarrollo de normas
de seguridad, poniendo énfasis en las normas existentes y en el
trabajo actual y futuro conjunto entre los principales organismos
de normalización. La hoja de ruta informa a los usuarios sobre
normas de seguridad.
El papel de la Comisión de Estudio 17 del UIT–T fue confi
rmado y reforzado por la Asamblea Mundial de Normalización
de las Telecomunicaciones que se celebró en Johannesburgo,
República de Sudáfrica, en 2008 (AMNT-2008). La Resolución 50,
“Seguridad cibernética”, guía los trabajos del UIT–T para la elaboración
de Recomendaciones suficientemente robustas que
impidan la actividad de partes maliciosas. La resolución 52,
“Respuesta y lucha contra el correo basura”, insta a la integración
de los medios técnicos para combatir el correo basura en
el trabajo de las Comisiones de Estudio del UIT–T. Asimismo, la
AMNT-2008 elaboró la Resolución 58, “Fomento de la creación
de equipos nacionales de intervención en caso de incidente
informático, especialmente para los países en desarrollo”,
que la Comisión de Estudio 17 del UIT–T está actualmente
implementando.
Desde septiembre de 2009, se han creado siete grupos de
trabajo por correspondencia sobre asuntos de coordinación para
la seguridad, cibersalud, seguridad de la computación en la nube
y en rejillas inteligentes, centros nacionales para la seguridad de
la red (NCNS), estrategias para la seguridad de las transacciones
en línea, arquitectura descentralizada para el sistema mundial de
resolución de nombres de redes IP y el marco para el intercambio
e información de ciberseguridad (CYBEX).
Volviendo al ámbito de las radiocomunicaciones, las aplicaciones
inalámbricas, tales como 3G (IMT-2000), se han convertido
en parte integral de la vida cotidiana de las personas,
y la utilización y gestión global de las frecuencias requiere un
elevado nivel de cooperación internacional. La gestión mundial
de frecuencias ha adquirido una importancia creciente para la
generación de confianza y seguridad en la utilización de las TIC.
Ello pone de relieve la misión del UIT–R de lograr un uso
garantizado, equitativo, eficiente y económico del espectro de
frecuencias radioeléctricas por todos los servicios de radiocomunicaciones,
incluidos los que utilizan las órbitas de los satélites,
y de realizar estudios y aprobar Recomendaciones sobre
radiocomunicaciones.
Proteger la calidad del servicio frente a la degradación o la denegación
de servicio es vital para el funcionamiento seguro de las
redes, y en este sentido, muchas de las últimas Recomendaciones
del UIT–R sobre requisitos genéricos y protección de las radiocomunicaciones
frente a la interferencia son relevantes a los efectos
de la seguridad. El trabajo de la UIT sobre la normalización de las
radiocomunicaciones continua al compás de la constate evolución
de las modernas redes de telecomunicación.
El UIT–R ha aprobado Recomendaciones sobre principios
y mecanismos de seguridad para redes 3G (en particular
la Recomendación UIT–R M.1078, pero también las
Recomendaciones M.1223, M.1457 y M.1645). También ha
publicado Recomendaciones sobre aspectos de seguridad de
la arquitectura de gestión de redes de sistemas satelitales
(Recomendación UIT–R S.1250) y mejoras de la calidad de funcionamiento
del protocolo de control de transmisión de redes
satelitales (Recomendación UIT–R S.1711).
En el marco de la colaboración de la UIT con la Alianza
Internacional Multilateral Contra el Ciberterrorismo (IMPACT), el
Centro de Respuesta Global (GRC) juega un papel central en la
ejecución del objetivo de la Agenda sobre Ciberseguridad Global
de poner en marcha las medidas técnicas destinadas a combatir
ciberamenazas nuevas y evolucionadas. El trabajo conjunto con
asociados de los sectores académico y gubernamental permite
al Centro ofrecer a la comunidad mundial un sistema de alerta
temprana agregada y en tiempo real. La BDT está trabajando
con IMPACT para poner este recurso a disposición de los Estados
Miembros como parte de una estrategia más amplia de ayuda a
sus esfuerzos contra el ciberterrorismo.
El Centro de Respuesta Global (GRC) ofrece dos servicios principales:
el Sistema en red de alerta temprana (NEWS, Network Early Warning System) y la Plataforma de aplicaciones para la colaboración
electrónica segura de expertos (ESCAPE, Electronically Secure Collaboration Application Platform for Experts). ESCAPE
es una herramienta electrónica que permite a ciberexpertos autorizados
de diversos países compartir recursos y colaborar a
distancia, en un entorno seguro y fiable. El hecho de compartir
los recursos y la experiencia de diferentes países en plazos muy
breves, permite a los países y a la comunidad mundial utilizar
ESCAPE para responder de forma inmediata a ciberamenazas,
especialmente durante situaciones de crisis.
 |
| Crédito de la foto: AFP/ MKU |
| |
Estructuras institucionales
La falta de estructuras institucionales para el tratamiento
de ciberincidentes (ataques, fraude, destrucción de información,
diseminación de contenidos inadecuados) es un verdadero problema
para dar una respuesta adecuada a las ciberamenazas. La
BDT, en asociación con IMPACT, está desplegando medios para
la creación de capacidades a nivel nacional y regional. En este
sentido, se realiza una labor de coordinación con varios Estados
Miembros de la UIT, centrándose en la ayuda para el establecimiento
de equipos nacionales encargados de los incidentes
informáticos (CIRT).
Gracias al apoyo recibido del gobierno de Australia y a la
alianza con otras organizaciones (por ejemplo, AusCERT e
IMPACT), la UIT está ayudando a que los Estados Insulares del
Pacífico establezcan el equipo encargado de las emergencias informáticas
(CERT) del Pacífico. En colaboración con IMPACT, la
UIT ha ayudado a Afganistán a realizar un estudio de viabilidad
sobre el establecimiento de un CERT nacional.
Creación de capacidades
Las personas constituyen el eslabón más débil. Uno de los
desafíos fundamentales de la ciberseguridad es educar al usuario
final. Entender y ser consciente de que los peligros potenciales
son factores esenciales para que el usuario final se beneficie de
las TIC de forma segura.
TEste es un asunto que preocupa a todas las partes, desde gobiernos
e industria al sector educativo, para su aplicación tanto
en los centros educativos como en el hogar. La concienciación
de las oportunidades de un entorno seguro y de las amenazas
inherentes al ciberespacio es algo fundamental. Los programas
destinados a aumentar la concienciación y a la creación de capacidad
a todos los niveles son importantes y también deben
realizarse en un ámbito internacional.
Para ayudar a los Estados Miembros a diseñar su propio
enfoque nacional para la ciberseguridad y protección de las
infraestructuras esenciales de la información (CIIP), la BDT ha
desarrollado la Herramienta nacional de autoevaluación de la ciberseguridad
/CIIP (National Cyber Security/CIIP Self-Assessment Tool) y está actualizando su versión actual. La BDT también ha
desarrollado el Conjunto de herramientas de la UIT para la defensa
frente a las redes de robots o botnets a fin de hacer un
seguimiento de éstos y mitigar sus efectos, con particular énfasis
en los problemas específicos de las economías emergentes en
Internet.
La BDT está organizando foros de ciberseguridad regionales
en todas las regiones de la UIT, que también sirven como vehículos
para la creación de capacidades sobre sus diferentes programas
y actividades y para la constitución de plataformas operacionales
para la cooperación a nivel regional e internacional.
Para la creación de capacidades, la BDT realiza, a través
del Centro de formación y capacidades de IMPACT, presentaciones
de alto nivel destinadas a representantes de los Estados
Miembros, a los que proporciona información muy valiosa sobre
las actividades y últimas tendencias de los trabajos del sector
privado y de otros sectores, potenciales amenazas y tecnologías
emergentes.
Cooperación internacional
Internet y las TIC han permitido una interconexión entre
países que anteriormente no era posible. Los países no pueden
cerrar fácilmente sus fronteras a amenazas entrantes y tampoco
puede frenar las que proceden de su interior. Aunque los intentos
por solucionar estos desafíos a nivel nacional e internacional son
importantes, las soluciones deben estar armonizadas más allá de
las fronteras nacionales ya que la ciberseguridad es tan global y
tiene un alcance similar al de Internet. Ello exige necesariamente
la cooperación internacional, no sólo a nivel gubernamental sino
también entre la industria, organizaciones no gubernamentales
e internacionales.
Alianza Internacional Multilateral Contra el Ciberterrorismo (IMPACT)
En marzo de 2009, el Secretario General de la UIT,
Dr. Hamadoun I. Touré, y el Primer Ministro de Malasia, Dato' Seri Abdullah Haji Ahmad Badawi, inauguraron en Cyberyaja,
Malasia, un centro equipado con la tecnología más reciente
que aloja recursos, medios y expertos destinados a luchar contra
las ciberamenazas más graves a nivel mundial. Denominada
UIT–IMPACT, se trata de una alianza formada por numerosas
partes interesadas de los sectores público y privado y que
proporciona un espacio físico y operacional a la Agenda sobre
Ciberseguridad Global de la UIT. Desde agosto de 2010, más
de 50 Estados Miembros han acordado formalmente participar
en los servicios ofrecidos por UIT–IMPACT. La UIT mantiene en
Ginebra una exhibición virtual del sistema de alerta temprana,
gestión de crisis y análisis en tiempo real de las ciberamenazas
globales.
Pasarela sobre ciberseguridad de la UIT
La pasarela sobre ciberseguridad de la UIT fue reformada
en 2009 para ofrecer un mejor acceso y distribución de la información
y colaboración en línea entre las partes interesad
que trabajan en ciberseguridad, incluyendo mecanismos para la
realimentación de las partes.
Protección de la infancia en línea
Como parte de la Agenda sobre Ciberseguridad Global, la
UIT junto con otras agencias del Sistema de las Naciones Unidas
lanzó en noviembre de 2008 la iniciativa Protección de la infancia
en línea (COP, Childhood Online Protection) como una colaboración
internacional destinada a promover la ciberseguridad de
los niños y jóvenes y proporcionar directrices para un comportamiento
seguro en línea. Se han organizado diversos eventos,
algunos ejemplos de los cuales son Un diálogo estratégico sobre
un entorno seguro en Internet para la infancia, celebrado
en junio de 2009 en Tokio, Japón, y un Foro abierto sobre la
protección de la infancia en línea, organizado durante el 4.º Foro
para la Gobernanza de Internet, en noviembre de 2009. Se han
elaborado directrices para la protección de la infancia en línea
para políticos, industria, educadores, padres, cuidadores y niños.
Éstas han sido preparadas por la UIT en estrecha colaboración
con numerosas organizaciones, incluido el Instituto Interregional
de las Naciones Unidas para la Investigación Criminal y la Justicia
(UNICRI), El Fondo de las Naciones Unidas para la Infancia
(UNICEF), la Oficina de las Naciones Unidas para las Drogas y
el Crimen (UNODC), el Instituto de las Naciones Unidas para la
Investigación del Desarme (UNIDIR), la INTERPOL y la Agencia
Europea de Seguridad de la Red y la Información (ENSIA).
La iniciativa global de Protección de la infancia en línea
(COP) anunciada el 17 de noviembre de 2007 por el Patrono de
la COP, Excma. Sra. Laura Chinchilla, Presidenta de Costa Rica,
y el Secretario General de la UIT, Dr. Hamadoun Touré, en una
ceremonia celebrada en San José, Costa Rica, proporcionará un
marco para la coordinación de los esfuerzos actuales y para poner
en marcha una serie de actividades de capacitación sobre
seguridad y prevención. En esta nueva fase de la iniciativa, ésta
evolucionará desde la elaboración de directrices al desarrollo de
códigos de conducta para la industria, el establecimiento de líneas
telefónicas nacionales de ayuda y la elaboración de hojas
de ruta nacionales y herramientas para el desarrollo legislativo.
Lecciones aprendidas
Los delincuentes cibernéticos no son la única amenaza para
Internet. Las vulnerabilidades de las TIC son un señuelo para
actividades potencialmente más dañinas tales como el espionaje.
La guerra y el espionaje cibernético están presentes y constituyen
graves amenazas a las infraestructuras esenciales de la
información.
Aunque se están adoptando medidas a nivel nacional, las ciberamenazas
constituyen un problema internacional. Las lagunas
legales son explotadas por perpetradores y la armonización entre
las leyes deja mucho que desear. Si a ello se suma la falta de infraestructuras
organizativas adecuadas, se concluye la existencia
de un verdadero problema para responder a las ciberamenazas.
Todo ello sin tener en cuenta la constante evolución y sofisticación
de dichas amenazas y las vulnerabilidades del software
y más recientemente también del hardware y las aplicaciones. El
extraordinario crecimiento de las comunicaciones móviles y de
nuevas tendencias como la computación en nube, harán que previsiblemente
las amenazas alcancen nuevos niveles.
Las ciberamenazas son globales y por tanto, las soluciones
también deben ser globales. Es vital que todos los países alcancen
un entendimiento común sobre ciberseguridad para proporcionar
protección contra el acceso no autorizado, la manipulación
y la destrucción de recursos esenciales.
La UIT considera que la estrategia para lograr una solución
debe incluir la identificación de iniciativas nacionales y regionales
a fin de fijar prioridades y trabajar de forma efectiva con todos
los agentes involucrados. Con sus 192 Estados Miembros y sus
más de 700 compañías y Asociados del sector privado, la UIT es
un foro excelente para la acción y respuesta para promover la
ciberseguridad y dar el tratamiento adecuado al ciberdelito. Sus
miembros incluyen países menos desarrollados, economías en
desarrollo y emergentes, así como países desarrollados.
Los logros han sido abundantes, pero la ciberseguridad es un
desafío en constante evolución sobre el que es necesario mantener
una alerta continua dada la naturaleza de cambio permanente
de las TIC. La UIT trabajará sin descanso para la creación
de seguridad y confianza que aseguren un entorno cibernético
seguro para todos.
|