|
  |
|
|
|
|
|
Ciberataque:
Algunas
claves
para
sobrevivir
a
este
amenaza |
|
MADRID,
18
de
JUNIO
de
2014
-
LAWYERPRESS
/
@LuisjaSanchez |
|
|
|
 Mañana
tendrá
lugar
en
el
Congreso
de
los
Diputados
el
acto
de
posesión
de
Felipe
VI
como
nuevo
monarca
español.
Esta
ceremonia
que
no
ha
pasado
desapercibida
para
nadie,
estará
respaldada
por
un
fuerte
cordón
de
seguridad
y,
por
vez
primera
que
sepamos,
públicamente
otra
estrategia
de
ciberseguridad.
Sobre
ciberataques
hemos
hablado
con
Francisco
Pérez
Bes,
secretario
general
de
INTECO,
Carlos
Saiz,
socio
de
Ecix
y
vicepresidente
de
ISMS
Forum,
Noemi
Britto,
socia
de
Legistel
y
miembro
del
Comité
Operativo
del
DPI
también
de
ISMS
Forum.
Y es
que,
como
podrán
leer
a
continuación,
nadie
está
a
salvo
de
este
tipo
de
amenazas
a
través
de
la
red.
De
cara
al
jueves
19,
fecha
de
la
coronación,
se
ha
puesto
en
marcha
un
dispositivo
de
ciberseguridad
para
reforzar
la
protección
de
las
infraestructuras
críticas
nacionales
que
proporcionan
los
servicios
esenciales
necesarios
para
la
sociedad
y
para
el
buen
desarrollo
de
los
actos.
Las
infraestructuras
críticas,
dependientes
en
gran
medida
de
las
nuevas
tecnologías,
requieren
que
se
adopten
mecanismos
de
protección
no
solo
física,
sino
también
específicos
de
ciberseguridad,
tanto
desde
un
punto
de
vista
preventivo
como
desde
la
reacción,
la
mitigación
y la
respuesta.
En
este
reportaje
damos
las
claves
para
soportar
un
ciberataque.
 Este
dispositivo,
inédito
hasta
ahora
en
España,
y
bajo
la
dirección
del
Secretario
de
Estado
de
Seguridad,
contará
como
pieza
fundamental
con
la
recientemente
creada
Oficina
de
Coordinación
Cibernética
del
Ministerio
del
Interior
(OCC). Carlos
Sáiz,
experto
jurista
en
temas
de
privacidad
y
ciberseguridad,
reconoce
que
en
esta
ocasión
es
de
las
pocas
veces
que
se
ha
comentado
abiertamente
que
un
evento
como
la
coronación
de
Felipe
VI
tendrá
una
estrategia
específica
para
prevenir
ciberataques.
“Aprobada
recientemente
la
Estrategia
de
Ciberseguridad
Nacional
en
sus
líneas
maestras,
ahora
es
el
momento
de
desarrollarla
desde
un
punto
de
vista
práctico.
No
podemos
olvidar
que
es
un
parte
de
la
política
de
seguridad
global
de
un
país
en
este
caso”,
aclara.
Sin
embargo
recuerda
que
nuestro
país
ya
lleva
años
trabajando
en
estos
temas,
tanto
a
nivel
normativo
como
de
impulso
de
organismos
del
estilo
de
INTECO
para
trabajar
en
la
detección
de
estos
ataques
online.
“Todos
los
días
se
trabaja
a
nivel
público
y
privado
para
dar
respuesta
a
estos
ciberataques
y
aminorar
así
sus
impactos”.
Desde
su
punto
de
vista
en
cualquier
evento
de
primera
línea
pueden
coexistir
varios
tipos
de
riesgo:
“en
primer
lugar,
el
ataque
a
las
comunicaciones
de
ese
dispositivo
físico
en
ese
evento
concreto.
Eso
puede
hacer
que
teléfonos,
mail
o
internet
queden
inutilizados.
Al
mismo
tiempo
siempre
se
puede
focalizar
el
ciberataque
en
un
determinado
lugar
para
así
llamar
la
atención
y
lograr
publicidad
gratuita
desde
esta
perspectiva:
aquí
entrarían
los
ataques
a
una
web;
desde
una
red
social
o a
una
infraestructura
critica”,
recalca.
En
esta
línea
cuando
se
anuncian
ciertos
ciberataques
no
es
sino
con
el
ánimo
de
lograr
esa
repercusión
mediática
que
ofrecen
medios
tradicionales
y
online.
“Ha
llegado
el
momento
que
entidades
públicas
y
privadas
apuesten
por
la
ciberseguridad
y
trabajen
con
más
coordinación
que
hasta
ahora.
Es
una
amenaza
que
ya
está
aquí
y
hay
que
saber
como
frenar
sus
efectos
más
inmediatos”,
subraya.
Los
ciberataques
son
imposibles
de
frenar,
a
juicio
de
los
expertos
consultados
para
la
realización
de
este
reportaje.
“Las
ciberamenazas
son
muy
complicadas
de
frenar;
hablamos
de
ordenadores
y
servidores
repartidos
en
cualquier
parte
del
mundo,
no
siempre
detectables
por
las
fuerzas
de
seguridad”,
explica
Carlos
Saiz.
También
señala
como
el
peso
específico
de
Internet
en
nuestra
vida
se
ha
multiplicado
exponencialmente,
“cuentas
bancarias,
organización
de
eventos,
actividades
online,
todas
ellas
están
en
red
y en
este
sentido
conectan
unos
puntos
con
otros”,
advierte.
A su
juicio
es
fundamental
más
cooperación
internacional
entre
países
para
esta
lucha
“ahora
con
un
fenómeno
global
como
es
Internet
no
tenemos
ni
las
normas
ni
los
jueces
adecuados
para
perseguirlos”,
comenta.
Y es
que
el
95
por
ciento
de
los
delitos
quedan
impunes
precisamente
por
estas
circunstancias
que
alude
nuestro
interlocutor.
Para
Sáiz,
Reino
Unido,
centro
financiero
europeo,
es
un
modelo
de
gestionar
estos
asuntos
de
ciberataques.
El
gran
problema
de
estos
ataques
es
la
falta
de
interés
por
parte
de
las
empresas
o
instituciones
en
comunicar
que
ha
habido
ese
ciberataque
o el
llamado
Data
Breach
notification,
por
parte
de
los
expertos
“hay
mucha
normativa
que
obliga
a
las
empresas
a
notificar
esa
brecha
de
seguridad
pero
falta
la
sensibilidad
adecuada
para
que
la
empresa
acometa
esta
actividad.
Hay
que
darse
cuenta
que
es
un
duro
golpe
tanto
a
nivel
de
reputación,
como
de
clientes
y de
mercado.
Se
trata
de
buscar
una
fórmula
que
incentive
a
dar
esa
información
a
las
empresas”,
comenta
Saiz.
 Noemí
Britto
recuerda
que
en
EEUU
ya
existen
protocolos
que
garantizan
esa
comunicación
y
que
ser
transparente
ayuda
a
minimizar
los
riegos
que
surjan
de
estas
actividades
“de
hecho
es
un
valor
apreciado
por
clientes
y
terceros
contar
con
políticas
de
prevención
y
reacción
en
estos
temas”,
apunta.
Para
Pérez Bes
es
fundamental
colaborar
con
la
Policía
Nacional
a
través
de
la
Brigada
de
Investigación
Tecnológica
y
Guardia
Civil,
desde
el
Grupo
de
Delitos
Telemáticos,
encargados
iniciar
las
investigaciones
tras
el
ciberataque
y
perseguir
al
delincuente,
caso
que
desde
la
Fiscalía
contra
el
Cibercrimen,
también
de
nueva
creación,
se
observe
que
hay
delito
en
este
caso
 Ciberseguridad,
fenómeno
global
En
esta
evolución
de
la
red,
las
administraciones
públicas
no
han
quedado
paradas,
ni
mucho
menos.
En
esa
Estrategia
de
Ciberseguridad
que
conocimos
hace
unas
semanas,
se
comparte
el
protagonismo
el
Ministerio
del
Interior
y
las
propias
Fuerzas
Armadas,
con
el
Mando
Conjunto
de
Ciberdefensa
tienen
su
propio
organismo
especializado
sobre
este
tema.
Desde
INTECO,
empresa
pública
que
depende
de
la
Secretaria
Técnica
de
Telecomunicaciones,
cuyo
socio
único
es
Red.es,
adscrita
al
Ministerio
de
Industria,
es
uno
de
los
centros
neurálgicos
claves
sobre
la
ciberseguridad
en
nuestro
país.
“Ha
habido
una
evolución
en
su
desarrollo,
al
principio
estaba
pensando
para
dar
soporte
a
infraestructuras
críticas,
ahora
quiere
dar
ese
servicio
a la
empresa
privada
y al
ciudadano”,
comenta
Francisco
Pérez Bes,
su
secretario
general.
De
hecho
nos
cuenta
como
las
empresas
con
más
recursos
han
puesto
su
propia
política
de
ciberseguridad,
en
muchos
casos
asesorados
por
expertos
del
propio
INTECO
creando
los
CERT;
Centros
de
Respuestas
de
Ciberataques.
“Lo
bueno
de
esta
política
de
ciberseguridad
es
que
ve
el
fenómeno
como
algo
global,
estamos
hablando
de
una
amenaza
para
la
que
se
requiere
la
colaboración
de
las
empresas
publicas
con
las
privadas,
cada
uno
a su
nivel”,
comenta.
A
este
respecto,
la
jornada
de
mañana
en
el
Congreso
de
los
Diputados,
marcada
en
el
calendario
en
rojo
como
clave
para
la
seguridad
nacional,
hará
que
el
operativo
impulsado
desde
el
Ministerio
del
Interior
aglutine
diferentes
operadores,
entre
ellos
INTECO,
quien
por
la
lógica
discreción
no
puede
darnos
más
datos
de
su
papel
en
esa
efeméride.
En
el
caso
de
esta
entidad,
como
podemos
apreciar
tiene
un
doble
papel;
uno
en
la
esfera
pública
de
apoyo
al
resto
de
organismos
que
aglutinan
la
Estrategia
Nacional
de
Ciberseguridad,
y
otro
de
cara
a
dar
soporte
y
asesoramiento,
a
empresas,
pymes
y
particulares
sobre
el
diseño
de
esa
política
propia
de
ciberseguridad.
“Es
evidente
que
la
Administracion
también
se
preocupa,
además
de
las
grandes
industrias
o
infraestructuras,
por
evitar
que
el
resto
del
tejido
empresarial
sufra
ciberataques.
En
nuestro
caso
desde
nuestra
Oficina
de
Seguridad
del
Internauta
pretendemos
dar
ese
asesoramiento
al
ciudadano
en
particular”,
aclara
Pérez
Bes.
Respecto
al
ciberataque
y
qué
hace
en
estos
momentos,
el
secretario
general
de
INTECO
recuerda
que
“si
no
se
ha
podido
evitar,
hay
que
contactar
con
las
fuerzas
de
seguridad
del
Estado
y
denunciar
el
hecho.
En
función
de
la
gravedad
del
hecho
y si
estamos
ante
fuga
de
información
o de
robos
de
datos,
la
denuncia
será
necesaria.
Luego
habrá
que
seguir
sus
protocolos
para
intentar
dar
con
el
atacante
en
cuestión”,
comenta.
Respecto
a
las
responsabilidades
que
puede
generar
a la
empresa
atacada,
nuestro
interlocutor
nos
recuerda
que
hay
un
estudio
a
punto
de
salir
entre
ISMS
FORUM
Y
ENATIC
donde
se
analizan
las
posibles
responsabilidades
que
puede
acarrear
a
una
empresa
que
reciba
ese
ciberataque
“
Hay
temas
sensibles
como
el
robo
de
información
o la
protección
de
datos
que
pueden
acarrear
a
las
empresas
responsabilidades
administrativas,
civiles
o
penales”,
señala..
Una
amenaza
que
afecta
a
cualquiera
Los
ciberataques
no
discriminan
de
empresas
grandes,
pequeñas;
o
entidades
públicas
y
privadas
o
incluso
los
propios
ciudadanos.
De
ahí
que
lo
ideal
sea
diseñar,
en
función
del
tamaño
y
actividad
de
la
empresa
una
estrategia
a
medida
tanto
de
prevención
como
de
reacción
si
el
ciberataque
se
consuma.
Este
es
el
punto
de
vista
de
Noemi
Britto,
quien
además
señala
que
“hablamos
de
una
actividad
global
que
puede
afectar
a
cualquier
tipo
de
institución
y
que
en
el
caso
de
la
coronación
de
Felipe
VI
es
una
de
las
primeras
actividades
de
la
Oficina
de
Coordinación
Cibernética
del
Ministerio
del
Interior”.
Para
esta
jurista
es
evidente
que
además
de
las
llamadas
infraestructuras
criticas
el
golpe
de
un
ciberataque
se
puede
sufrir
por
cualquiera
“si
no
estás
dentro
de
este
catálogo
no
tienes
ni
los
medios
ni
te
protege
la
normativa
para
evitar
los
propios
ciberataques”,
resalta.
Y es
que
fuera
de
ese
marco
la
regulación
de
la
ciberseguridad
en
nuestro
país
es
de
carácter
voluntario
para
las
empresas
pese
a
los
riesgos
existentes.
Cuando
se
produce
un
ataque
cibernético
se
pueden
producir
diferentes
situaciones
complicadas
para
esa
empresa,
señala
Britto.
“Ese
robo
de
información
que
sufrimos
puede
generar
responsabilidades
administrativas,
no
cumplimos
la
legislación
y
eso
puede
generar
multas
importantes;
penales;
al
generarse
situaciones
delictivas
o
civiles”
explica.
Desde
su
punto
de
vista
es
fundamental
que
cada
entidad,
en
la
medida
de
lo
que
pueda,
apuesta
por
su
estrategia
de
seguridad
cibernética.
“Ahora
faltan
medios,
formación
e
información
para
abordar
estas
situaciones
con
lo
cual
lo
que
se
hace
siempre
es
reactivo,
una
vez
que
se
tiene
el
problema.
Falta
aún
una
auténtica
cultura
empresarial
para
proteger
nuestras
bases
de
datos
e
información”,
aclara.
Pese
a
que
los
atacantes
suelen
llevar
ventaja
frente
a
las
empresas
nuestra
interlocutora
recomienda
tener
cierta
planificación
si
llegan
a
suceder
este
tipo
de
ciberataques.
“Hay
que
saber
qué
hacer
y lo
que
es
más
importante
cómo
comunicar
que
tengo
una
brecha
de
seguridad,
cuestión
pendiente
para
muchas
empresas”.
A
medio
plazo,
el
nuevo
Reglamento
Europeo
de
Protección
de
Datos,
ahora
en
trámite,
ya
prevé
mecanismos
de
comunicación
de
esas
brechas
de
seguridad,
en
especial
a
las
autoridades
de
control.
“Es
un
tema
importante,
la
propia
AEPD
está
preparando
un
estudio
y
sometiéndolo
a
consulta
de
diferentes
operadores
sobre
esta
cuestión
de
comunicación
de
las
brechas
de
seguridad.
Al
final
tendrá
el
formato
de
Guía”,
subraya.
A su
juicio
se
trata
de
ser
transparente
y de
poder
dar
respuesta
a
esa
situación
si
surge
en
el
seno
de
cualquier
empresa
en
un
tiempo
razonable.
“A
veces
incluso
te
vuelven
a
atacar
y de
lo
que
se
trata
es
de
tener
unos
protocolos
para
minimizar
los
riesgos
inherentes
al
consabido
ataque”.
Es
evidente
que
aún
hay
mucho
por
hacer,
sobre
todo
en
la
relación
entre
empresas,
de
cara
a
compartir
información
sobre
esos
ataques
cibernéticos,
como
en
la
propia
colaboración
entre
las
instituciones
públicas
y
las
empresas
privadas.
|
|
|
|
|
|
|
|
|
|
|
