Actualmente se habla de ciberguerra, ciberataques, ciber…. Pero ¿Realmente qué sabemos de ello? Cuando leemos ciber o lo escuchamos, parece que nos están hablando de una película futurista o de ficción, pero no, es real. Es una realidad actual en un mundo virtual, en el ahora mismo, y que viene desde años atrás, y cuyos efectos se ciernen sobre todos, nos está pasando.
El mundo virtual existe desde que Internet nos comunica a las personas, otro medio más como la voz o como la hoja escrita, como el extracto físico del banco que nos llega a casa o la carta de amor que entregábamos perfumada. Pero, ¿Qué es Internet? Y ¿Qué es el ciberespacio cuando hablamos de espacio que puede ser atacado? ¿Cómo nos afecta como personas y como organizaciones? ¿Quién nos puede ayudar? A estas preguntas responderemos por medio de este artículo.
Todos creemos saber qué es Internet, y es tan simple como entender que es un una red de comunicaciones. Pero es compleja, y su complejidad viene dada por su alcance mundial, sus numerosas funcionalidades, tanto personales, privadas, así como públicas, y por supuesto, la falta de regulación formal y específica.
Empezaremos por entender los orígenes de Internet y para ello necesitamos saber que existe desde la década de los 60 del siglo pasado, muy atrás para algunos, quizás. Fue creado por el Departamento de Defensa de Estados Unidos, con el fin de permitir las comunicaciones entre ordenadores, permitiendo grandes avances tecnológicos, inclusive comunicar a todo el mundo de nuestro planeta. Tras varios años, hasta ahora, ha evolucionado a grandes pasos, permitiendo, como todos conocemos, que nos podamos comunicar entre nosotros de manera personal, manejar nuestras cuentas bancarias, estudiar en línea, consultar información como si fuera una enciclopedia; inclusive para transar negocios mediante e-commerce, o poder interactuar con las administraciones públicas y gestionar muchas de nuestras obligaciones y derechos, a través de la red; y estos son sólo unos ejemplos, sin incluir el auge a nivel interno y externo que tiene dentro de las organizaciones para su funcionamiento, y por supuesto para la economía. Tan real puede llegar a ser este mundo virtual y lógico, aparentemente paralelo, que si es atacado, llegaría a afectar el mundo que conocemos.
Entonces, ¿Qué tan grave sería si no existiera? Y ¿Si fuera interrumpido o atacado? A estos ataques es lo que se conoce como ciberataques: un ataque a nuestro mundo virtual o lógico, que de verdad es real. Su realidad viene dada porque no sólo son redes que nos comunican, sino porque es un entramado de dispositivos que guardan datos, nuestros datos, y que además nos dan servicios. Por lo tanto, si interrumpen los servicios, si roban nuestros datos, y además cortan las comunicaciones…. De ahí su impacto. Por poner un ejemplo de la vida cotidiana, es como si fuéramos a un supermercado, no nos dejaran entrar, se hubieran robado la comida, y además, no sabes qué vas a comprar, porque no tienen nombre ni descripción, pero la información es poder, y la información se guarda en este espacio, el ciberespacio. Asemejar el mundo virtual al real es fácil.
Si tan sólo es un mundo lógico de dispositivos configurados sólo con valores ceros (0) y unos (1), y no los podemos tocar, que parece etéreo. ¿Por qué es tan difícil asimilar que no es una realidad paralela ni irreal? Al final estos ceros y unos, combinados y programados, comunicados a través de redes, es la información y programas que hacen posible que podamos comunicarnos por este espacio y obtener servicios a través de la red. Además, siempre se ha entendido como un mundo del cual podríamos prescindir, pero la verdad es que actualmente se volvería caótico si fallara. Sería poner en marcha atrás un mundo creado durante 50 años, que parece que fueran 100. Para algunos países, quizás puedan funcionar sin Internet, pero si damos un vistazo, hasta el país más pobre tiene infraestructura tecnológica conectada a la red; inclusive hay acuerdos para tener acceso a Internet con el proyecto de colaboración mundial internet.org, cuyo objetivo es dar acceso a Internet para los dos tercios del mundo que aún no están conectados.
¿Qué hace que sea tan fácil atacar en el ciberespacio? No se necesitan ejércitos, ni demasiados recursos físicos, ni armas para desarrollar y llevar a cabo un ataque de este tipo, sólo contar con conocimientos, un dispositivo electrónico (puede ser un ordenador u otro) y una conexión a la red.
Y la regulación y legislación entorno al ciberespacio, ¿En qué punto está? Desde luego que para que una civilización funcione debe contar con normas para que se haga un uso adecuado y funcione como debería, sin afectar nuestros derechos, permitiendo la convivencia segura. Sin embargo, Internet se ha gestionado como un medio de comunicación que debía regirse con las leyes, regulaciones y valores que existen en la Sociedad actual, no se ha tenido la conciencia que debía ser regulado específicamente. Desde hace unos trece años se está tomando la iniciativa a nivel gubernamental y mundial de la quizás necesaria regulación efectiva, que no deje cabos sueltos para poder garantizar un entorno seguro en Internet y en el ciberespacio. Esta regulación permitiría proteger no sólo la conexión por medio de las redes, los datos guardados en el ciberespacio, sino lo más fundamental, los servicios asociados a este mundo: los servicios esenciales para que una sociedad funcione.
Tras los ataques terroristas que se han perpetrado físicamente, como son: el de las Torres Gemelas (2001) y la maratón de Boston (2013) en Estados Unidos, el del 11M en Madrid (2004), así como el reciente, en Paris, al periódico Charlie Hebdo (2015), se ha ido evolucionando en materia de seguridad para hacer frente y protegernos de organizaciones terroristas así como de lobos solitarios, y así evitar que se produzcan atentados tan brutales como estos. Entre las medidas que se están tomando, se viene trabajando desde los gobiernos así como a nivel mundial, en la regulación de la seguridad tanto en los entornos físicos como lógicos. Podríamos decir que en estos atentados no se han cometido ataques en el ciberespacio, sin embargo, seguramente muchas de las comunicaciones que se han realizado entre los terroristas, lo hayan hecho a través de la red, que probablemente se hayan guardado en el ciberespacio, y debido a que no hay regulación aplicable al contexto del ciberespacio, muchas de estas comunicaciones no se han podido rastrear, más que nada para proteger el derecho a la intimidad de estos individuos.
El ciberespacio da la opción de actuar anónimamente, por eso se debe tener mucho cuidado de con quién tienes contacto, y a quién das tu información, cuál información publicas y desde donde accedes a tus cuentas de correo, redes sociales e inclusive al banco por la plataforma electrónica. Si existiese una regulación en cuanto a saber quién hace qué, desde dónde y a qué hora, sería más fácil proteger a las personas, sin embargo, con la regulación y legislación actual, no se puede hacer un seguimiento exhaustivo debido a la violación de derechos, como el ya mencionado, derecho a la intimidad, o la protección de los datos personales.
Además, existe la clara posibilidad de los ataques directamente en el ciberespacio. No sólo robando nuestros datos personales, dinero de nuestras cuentas, o interrumpiendo el servicio de páginas web, sino a gran escala. Por ejemplo, los ciberataques realizados a centrales nucleares (Corea del Sur (2014) o Bushehr en Irán (2011)) pudiesen haber provocado efectos letales en el mundo físico. También podemos mencionar los recién efectuados a la compañía Sony, no sólo robando información, sino dejando indisponibles sus servicios, afectando la imagen de la empresa, y provocando pérdidas económicas; o el más reciente, el ataque a más de 5000 medidores automáticos de gasolineras en Estados Unidos, las cuales resultaron manipuladas (2015). Estos ataques a veces son por intereses políticos, económicos, o ideológicos. Los efectúan por cualquier motivo, como la variedad y complejidad del mundo que se ofrece en la red.
Debido a que el ciberespacio es un mundo aún sin regular, demasiado complejo, las naciones están trabajando conjuntamente en un marco de prevención y reacción para poder proteger las infraestructuras de los servicios esenciales de la sociedad, como ha ocurrido desde siempre en las civilizaciones. Un servicio esencial es el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, además de asegurar las instituciones del estado.
En el contexto nacional español, se siguen los lineamientos de la Comisión Europea, que ha determinado que se debe trabajar y proveer una ley aplicable para proteger las infraestructuras que soportan estos servicios. Esta es la legislación aplicable en España: Medidas para la protección de las infraestructuras críticas (Ley 8/2011, de 28 de abril, y el Real Decreto 704/2011, de 20 de mayo).
Siendo o no necesaria una regulación específica para el ciberespacio, los ciudadanos podemos valernos de las leyes actuales, además de seguir las buenas prácticas, empaparnos un poco de la seguridad en torno a la tecnología, y procurar que primen los valores que tenemos en la vida real aplicándolos, así mismo, a la vida virtual. Como empresas y organismos, nos podemos valer de los estándares y normas de seguridad de la información tanto nacionales, publicadas por el Centro Criptológico Nacional (CCN), entre otros, y las que nos ofrecen a nivel internacional, como puede ser la ISO 27001.
Además, si nos encontramos con incidencias de seguridad y sufrimos ataques en el ciberespacio, contamos con la colaboración de los cuerpos de seguridad del estado (Policía, Guardia Civil), que tienen unidades dedicadas y a las cuales podemos recurrir. También debemos tener presente el soporte que nos den las empresas que nos brindan los servicios en la red, por lo cual se recomienda que siempre se lea con atención los términos de servicio que nos ofrecen y utilizarlos si fuera necesario.
Si sabemos, podemos prevenir y podemos reaccionar. La seguridad también depende de nosotros.
Bertha Parra
Especialista en Seguridad de la Información. Normativa y auditoría de TI
Áudea Seguridad de la Información