Editorial: Los problemas de la ciberseguridad

• Autor: Bernard Clements, Laurent Beslay y Duncan Gilson
• Cargo: IPTS
• Páginas: 02-08

'The IPTS Report, is the refereed techno-economic journal of the IPTS,edited by D. Kyriakou, published monthly in English, French, German and Spanish.'

La ciberseguridad es un tema amplio que va tomando cada vez mayor importancia a medida que las redes informáticas se van generalizando. Comprende los delitos informáticos, las cuestiones relativas a privacidad, la confianza y la dependencia de las infraestructuras esenciales. En cada uno de los estados miembros, los objetivos europeos de armonización e integración, junto con el proyecto eEurope, han creado la obligación de garantizar el acceso a las infraestructuras paneuropeas tales como las telecomunicaciones, los sistemas de energía eléctrica, el almacenamiento y transporte de gas y petróleo, la banca y las finanzas, el transporte, los sistemas de abastecimiento de agua y los servicios de emergencia. Estas infraestructuras esenciales dependen cada vez más de las infraestructuras de TIC. Con el fin de ser más eficientes, las empresas y las organizaciones están informatizando e interconectando sus sistemas, con lo que estos sistemas cada vez son más vulnerables a los ataques. Además, el inexorable movimiento hacia la normalización y hacia las plataformas abiertas, que caracteriza a los sistemas en la esfera civil, aumenta su vulnerabilidad en tanto en cuanto un sistema normalizado es un objetivo más fácil. Una de las líneas de investigación que se han identificado es la necesidad de prestar más atención a un conjunto de cuestiones sobre infraestructuras, y en particular, a la cuestión de las infraestructuras esenciales, con el fin de crear vínculos más fuertes entre el sector público y el privado. A diferencia del debate vigilancia versus privacidad, ésta es un área en la que los intereses de las esferas pública y privada coinciden.

La ciberseguridad también es una cuestión importante para el comercio electrónico. Se han identificado los tres principales obstáculos en cuanto a seguridad para que los usuarios adopten el comercio electrónico: 1) la seguridad que ofrecen los equipos y programas informáticos es tecnológicamente insuficiente; 2) la escasa difusión de los mecanismos de seguridad y 3) la sensación de inseguridad (es decir, el usuario desconfía). Las principales amenazas a la seguridad de las redes informáticas se pueden subdividir en aquellas actividades delictivas tradicionales que sencillamente ahora utilizan Internet como otra posibilidad más, y aquellas actividades cuyo objetivo específico es la red. Está claro que el desarrollo del comercio electrónico y de la sociedad de la información en general pasa por la necesaria solución de estos problemas. Para las empresas, una cuestión importante hoy en día es crear un modelo para la identificación (decir quién eres) y la autenticación (demostrar que eres quien dices ser) que no sólo sea fiable, sino que inspire la suficiente confianza en los usuarios y los comerciantes como para favorecer el uso del comercio electrónico. Por parte de los usuarios, la información que las empresas recogen de sus clientes o de los visitantes de sus páginas web es un punto de conflicto entre los intereses de las empresas que pretenden personalizar sus productos y servicios y el deseo de las personas de garantizar su privacidad y/o anonimato.

Uno de los retos más importantes de los legisladores, a la hora de enfrentarse al delito informático, es estimar su incidencia, su escala y su coste. Resulta esencial evaluar la escala y el impacto de la actividad ciberdelictiva para poder definir los tipos de medidas a adoptar y garantizar su proporcionalidad. Después, será necesario evaluar la eficacia de las medidas tomadas. Sin embargo, por una combinación de razones económicas y psicológicas, probablemente se denuncia sólo un número muy limitado de delitos informáticos. Dado que atentan contra el mismo concepto de seguridad tecnológica, las empresas pueden muy bien ser reacias a admitir que sus medidas aparentemente sofisticadas, diseñadas para proteger los intereses de sus clientes, han sido violadas con aparente facilidad por un adolescente. Es probable que los ataques informáticos a las cuentas bancarias tengan un impacto directo mucho mayor sobre el cliente que los robos de bancos tradicionales y por eso es fácil que influyan negativamente en la confianza del usuario. Este tipo de consideraciones probablemente influirá en la política del banco sobre seguridad y a la hora de manejar las reclamaciones sobre irregularidades. Aunque sea difícil, obtener estadísticas fiables es esencial si se quiere realizar una evaluación de riesgos coste-beneficio realista.

Ciberdelito: motivos, oportunidad y vulnerabilidad

El ciberdelito, como todos los delitos, es posible cometerlo cuando confluyen tres factores: motivo, oportunidad y vulnerabilidad. Cuando el valor es suficiente como para incitar el motivo, la influencia de los otros dos factores depende específicamente de las tecnologías disponibles -en el caso del ciberdelito, de la disponibilidad de las nuevas tecnologías de la información y la comunicación (TIC).

Como ya se predijo1, cada vez se van informatizando más actividades periodísticas, bancarias y de servicios públicos. Ello significa que estas actividades no sólo van evolucionando hacia procesos totalmente informatizados, sino que se convierten en parte de un entorno de redes totalmente interconectadas. Paradójicamente, es esta poderosa combinación tecnológica la que representa un punto clave de debilidad, ya que permite la creación de un mundo virtual que proporciona a la vez la oportunidad y la vulnerabilidad necesarias para que el ciberdelito prospere. La comunidad de los delincuentes tenderá a derivar su atención hacia el punto donde el máximo valor coincida con la máxima vulnerabilidad; y así, a medida que el valor se mueve cada vez más hacia las redes digitales, será necesario esforzarse más en proteger ese valor, de una forma u otra, frente a las intenciones de los elementos delictivos.

Hasta cierto punto, la revolución de la información se puede ver como el resultado y la continuación lógica del proceso de digitalización2 de la actividad económica. Así, algunos aspectos del comercio tradicional serán, en parte, simplemente sustituidos por el comercio electrónico, y en tanto en cuanto esto sea así, el ciberdelito y los ciberdelincuentes sustituirán parcialmente al delito tradicional y a los delincuentes tradicionales, aunque quizás con diferentes grados de sofisticación. En este sentido, algunos aspectos de la ciberdelincuencia serán nuevos, pero otros resultarán familiares a los responsables de la lucha contra la delincuencia.

A esta creciente complejidad hay que añadir, no obstante, otra cara del problema. El comercio electrónico puede ser atractivo, inicialmente, para las empresas, porque les permite reducir costes, incrementar la eficiencia y obtener una ventaja competitiva temporal. Pero su verdadero atractivo reside en su potencial a largo plazo para transformar las formas de hacer negocio, hasta el punto de que añade nuevo valor a la economía. A medida que se materializa el potencial de transformación del comercio electrónico, sus efectos sustitutorios disminuyen, y una nueva economía reemplaza a la antigua. Puesto que el delito va dirigido por naturaleza al origen del valor, sólo cabe esperar que detrás de la digitalización del valor venga la digitalización del delito. La creación de nuevo valor y el valor en sí mismo (el dinero electrónico es un ejemplo sencillo) constituyen así el nuevo objetivo de la actividad delictiva. Resulta irónico que el nacimiento del "delito en la red" pueda verse hoy como un signo positivo para el comercio electrónico ya que demuestra, quizá de una forma más efectiva que cualquier otro medio de publicidad, que el comercio electrónico genera valor económico.

Internet como vehículo o como objetivo

Las referencias hechas anteriormente a los nuevos efectos del comercio electrónico y a su efecto sustitutorio se reflejan en lo que nosotros percibimos como dos clases fundamentales de ciberdelito:

· formas tradicionales de delito en las que Internet es un mero vehículo para la actividad delictiva;

· ataques contra la red, en los que la misma Internet es el objetivo

Entre los ejemplos de la primera categoría se encuentran las transferencias no autorizadas de un saldo bancario, o la venta y distribución de pornografía infantil. Mientras que éstos son delitos que tienen un equivalente en el mundo físico, no hay duda que el uso de Internet les proporciona una nueva escala y una nueva dimensión. Ejemplos de Internet como objetivo son muchos sitios web (February 2000, Yahoo, Ebay, etc.) que han estado temporalmente cerrados como resultado de ataques informáticos a través de diferentes medios, incluso de virus. No obstante, existe más cibervandalismo que ciberrobos, y será necesario identificar las formas rentables del ciberdelito cuando Internet es, a la vez, la fuente del valor de las transacciones de comercio electrónico y la causa de su hundimiento. Está claro que la propiedad intelectual, el espionaje industrial, el uso indebido de información personal, etc. son todas ellas áreas de posible actuación.

El cumplimiento de las leyes en el ciberespacio

El carácter mundial e internacional de Internet y las dificultades para proporcionar una protección efectiva dan una idea del terreno en el que se mueven las operaciones de los delincuentes informáticos. La combinación de ausencia de fronteras y de garantía virtual del anonimato proporciona nuevas oportunidades para que el malhechor pueda disfrazarse y nuevos lugares donde refugiarse. Entre los factores que vienen a complicar la situación, la soberanía nacional es quizá el más espinoso. El delito informático fácilmente se puede cometer a distancia, desde una parte del mundo a otra donde existan distintas jurisdicciones y se apliquen leyes diferentes. Pueden surgir conflictos jurídicos en cuanto al lugar real donde se cometió el delito, en caso de que el delincuente y la víctima se hallen en dos jurisdicciones diferentes. Además, la potestad o la capacidad para investigar de cada país pueden variar, dificultando la persecución del caso incluso aunque la cooperación por parte de las autoridades de los dos países sea total. En muchos casos, los instrumentos habituales de la policía y los jueces ya no son suficientes para defender la ley cuando se enfrentan a casos como éstos. Las fuerzas de seguridad ya no pueden confiar sólo en los medios de investigación tradicionales, que cada vez se muestran más anticuados ante las nuevas tecnologías. Tal ausencia de protección legal efectiva contribuye a crear un clima favorable para el ciberdelito. Como dice una reciente Comunicación de la Comisión sobre los ciberdelitos, "la velocidad, movilidad y flexibilidad del delito informático desafían las reglas existentes del derecho procesal penal"3 (para algunas directivas y comunicaciones recientes, véase Cuadro 1).

Cuadro 1. Directivas y comunicaciones de la Comisión Europea relativas a seguridad informática

· Comunicación al Consejo y al Parlamento Europeo titulada Creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos, (COM(2000)890) 26/1/2001.

· Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité económico y Social y al Comité de las Regiones: Seguridad de las redes y de la información: Propuesta para un enfoque político europeo (COM(2001)298) 06/06/2001.

· Informe de la Comisión titulado e-Europe - Una Sociedad de la Información para todos. Informe de avance para el Consejo Europeo extraordinario sobre Empleo, Reforma Económica y Cohesión Social: Lisboa, 23 y 24 de marzo de 2000 (COM (2000) 130).

· Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico, en el mercado interior ("Directiva sobre el comercio electrónico").

· Directiva 1999/93/CE, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica.

· Comunicación de la Comisión sobre Fomento de la seguridad y la confianza en la comunicación electrónica, 8 octubre 1997, COM (1997) 503 final.

· Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones.

· Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

· Directiva 91/308/CEE del Consejo, de 10 de junio de 1991, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales.

· Propuesta de Directiva relativa a la comercialización a distancia de servicios financieros, julio 1999.

Además de las anteriores, el JRC de la Comisión Europea se encarga de fomentar la concienciación y promover el consenso en cuestiones que afecten mutuamente a un amplio abanico de interesados en Europa y a través de las fronteras internacionales. Las discusiones de un reciente seminario sobre delitos informáticos se centraron en las cuestiones técnicas y jurisdiccionales, así como en implicaciones políticas más amplias.

Por eso, la erosión de los límites de tiempo y distancia, producida por estas nuevas tecnologías, da un nuevo énfasis al problema de los sistemas legales no armonizados. Un claro ejemplo es el problema de la interceptación legal de las comunicaciones, tanto en términos de capacidad técnica como de motivos para tal interceptación. Según la misma Comunicación de la Comisión, "las nuevas tecnologías hacen esencial que los estados miembros trabajen conjuntamente si quieren mantener su capacidad de interceptación legal de las comunicaciones."4

Carencia de formación

La necesidad de proteger las redes y los datos ante un ataque o un uso indebido crea una demanda cada vez mayor de personal con la formación y los conocimientos adecuados. Hoy en día, un administrador de red no sólo debe tener conocimientos de gestión del sistema operativo, sino que también necesita saber de virus, criptografía, procesos de autenticación, etc. Al mismo tiempo, las autoridades responsables del cumplimiento de la ley no sólo necesitan conocer los métodos tradicionales de investigación de los delitos, sino que también necesitan saber cómo recoger y preservar las pruebas digitales relativas a los delitos informáticos o tradicionales. Está claro que la naturaleza altamente tecnificada del delito y el fraude informáticos también pone de manifiesto la necesidad de una estricta colaboración entre los sectores público y privado a la hora de definir y poner en práctica las políticas y los programas de formación.

Estos problemas subrayan la importancia de tomar medidas para garantizar la adecuada formación de las fuerzas de seguridad en el uso de las tecnologías avanzadas. La nueva "ciber-policía" estará especializada en la aplicación y uso de las tecnologías de la información y la comunicación, en sistemas operativos, en métodos de vigilancia electrónica y criptografía. Los nuevos conocimientos serán igual de importantes que las tareas policiales más tradicionales, que seguirán siendo necesarias, como la capacidad de análisis, los métodos de investigación y la familiaridad con las prácticas y motivos de los ciberdelincuentes. No obstante, los procesos forenses implicados en la identificación y recogida de pruebas serán completamente nuevos y, por tanto, aparecerán nuevas necesidades de formación. La escena de un ciberdelito puede muy bien ser virtual, pero su prueba sigue siendo un parámetro esencial para el éxito de la investigación. Así, surgirán también problemas tales como la recuperación de datos, la identificación del origen de los datos, las huellas en Internet, las pruebas informáticas y la cuestión de la armonización de los métodos forenses para la coherencia del método seguido.

El cumplimiento de las leyes y la privacidad. Cómo alcanzar un equilibrio adecuado

El dilema anteriormente descrito exige ser resuelto de forma que satisfaga en general los intereses tanto del sector público como del privado. El empleo de tecnologías de la información y la comunicación en la lucha contra el delito informático puede presentar algunos efectos secundarios no deseados. Aunque para el desarrollo y crecimiento del comercio electrónico es esencial un clima de confianza, las tecnologías utilizadas en investigación y vigilancia para proteger a los ciudadanos frente a un delito pueden de hecho amenazar su privacidad y los derechos humanos. El reto para los políticos será, pues, reducir eficazmente el delito informático, a la vez que se respeta el derecho de los ciudadanos a la privacidad en un entorno de red cada vez más interconectado. Quizás aquí se pueda aplicar una variante del principio de precaución. La construcción de escenarios sobre el impacto del ciberdelito en temas tales como los sistemas de pago electrónico, la inteligencia ambiental y la informática omnipresente, podría contribuir a elegir las tecnologías y las políticas correctas para el futuro.

La expansión de Internet en las redes domésticas y en los móviles, y la multiplicación del número de tipos y modos de conexión, convertirán al individuo en punto de convergencia de una completa gama de servicios interconectados. La identificación será una función crítica y esencial para los usuarios cuando se muevan en un entorno interconectado inteligente. Sin embargo, una identificación excesivamente "fuerte" conlleva problemas de privacidad. Por eso, los políticos deberán estar alerta sobre las amenazas a la privacidad individual y equilibrar las necesidades de una policía que tiene que vigilar y detectar actividades potencialmente delictivas, con el legítimo derecho a la privacidad que los ciudadanos deberían poder disfrutar en una sociedad democrática.

Sectores público y privado ¿una nueva relación?

La aparición del delito informático también exige mirar desde una nueva perspectiva las relaciones entre las autoridades públicas y el sector privado. Quizá la ilustración más clara de esto se encuentre en el ámbito de la criptografía. Por ser la más importante de las tecnologías que potencian la privacidad, la criptografía proporciona confidencialidad, integridad y autenticación a todas las formas de comunicación electrónica. Al contrario que en el pasado, el mayor esfuerzo en I+D en esta área proviene del sector privado. Sin embargo, dado que estos sistemas se pueden utilizar para actividades ilegales, las autoridades públicas mantienen un elemento de control sobre su uso y distribución. Esto crea cierto dilema en que, por una parte, los que promueven el crecimiento del comercio electrónico reclaman la mayor aplicación posible de la criptografía para proteger la integridad de las transacciones electrónicas, con el fin de crear un clima de confianza en su uso. Por otra parte, las fuerzas de seguridad deben tener la posibilidad de acceder a las comunicaciones cuando sea necesario para combatir el delito informático. Además, el sector público también depende de un clima de confianza que permita el desarrollo de los servicios electrónicos que ofrece a los ciudadanos, que son igualmente vulnerables al ciberdelito. Otro ejemplo de problema creado con la criptografía es que desaparecen las diferencias entre proteger la seguridad nacional y proteger los intereses económicos nacionales. Más que armas estratégicas de defensa, como eran consideradas durante la guerra fría, estas ramas de la tecnología se perciben hoy como instrumentos esenciales para proteger la confidencialidad comercial en un mercado competitivo cada vez más globalizado.

Iniciativas en el mundo contra el delito informático

En la actualidad están en marcha muchas iniciativas internacionales sobre el ciberdelito. El G-8 se reunió en Tokio del 22 al 24 de mayo de 2001 (reunión a la que siguieron varias otras de grupos de trabajo) y volvió a confirmar la importancia de las relaciones entre los gobiernos y el sector privado en la respuesta coordinada al delito informático. La OCDE ha adoptado un planteamiento más tecnológico con su directriz sobre política criptográfica5 de mayo de 1997. En abril de 2000, los 41 miembros del Consejo de Europa elaboraron una propuesta de Convenio Internacional sobre la lucha contra el delito informático, con disposiciones tanto técnicas como jurídicas. En la UE, el Consejo adoptó en 19956 una resolución (revisada en 1998-99) destinada a armonizar las reglas sobre interceptación legal de las telecomunicaciones.

El seminario (véase Cuadro 2) fue especialmente oportuno porque se celebró a raíz de la adopción por parte de la Comisión Europea de su Comunicación sobre Creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos. Más tarde en junio, con una comunicación del Consejo, la Comisión Europea quiso dar mayor impulso a las iniciativas sobre seguridad de redes e información. Merece la pena observar que estas iniciativas generalmente abordan la percepción actual del tipo de medidas de protección necesarias, basándose en el modo en que las nuevas tecnologías se aplican hoy en día. Podría argumentarse que tal perspectiva no es suficientemente previsora y que, como la tecnología evoluciona hacia niveles de sofisticación hasta ahora desconocidos, existe el riesgo de que los métodos de hoy se vuelvan rápidamente anticuados y, por tanto, ineficaces.

Cuadro 2. Posibles líneas de investigación

· Ausencia de estadísticas precisas. Es necesaria una información detallada sobre la importancia del fenómeno. Las estadísticas son cruciales tanto para el sector público, que tiene que definir la política de seguridad y determinar el grado de cumplimiento de la ley, como para el sector privado, para que pueda incluir este riesgo a la hora de definir los modelos económicos. Es necesario investigar para identificar los problemas que existen con la recogida de datos, para establecer el sistema de funcionamiento de la recogida anónima de estadísticas sobre delitos informáticos y definir sus requerimientos.

· Mejores prácticas en los métodos forenses y control de calidad de las pruebas digitales. Es necesario trabajar para definir las pruebas intangibles y establecer procedimientos para su recogida.

· Procedimientos de normalización, entre ellos los métodos para comunicar de forma anónima las estadísticas sobre delitos, a fin de compensar la ausencia de estadísticas.

· Métodos de prevención de los delitos informáticos, entre ellos campañas de información, educación y concienciación en todos los niveles educativos, para un estudio detallado de las medidas de prevención.

· Metodologías de evaluación del riesgo, esenciales para comprender mejor el funcionamiento del ciberdelito.

· Definiciones universales de delito informático, para permitir iniciativas de coordinación y armonización.

· Evaluación del impacto de los delitos informáticos en la seguridad nacional, la economía digital y la salvaguardia de las infraestructuras civiles esenciales.

· La necesidad de encontrar una forma de intercambio de información entre las autoridades responsables del cumplimiento de la ley, la industria y los usuarios.

· Comprender el impacto de las medidas legales en esta área (responsabilidad frente a derecho penal). La relación entre la intención en la legislación, la negociación de tratados y el efecto que tendrá una vez terminada, promulgada, adoptada, aplicada y entrada en vigor.

· La seguridad de los sistemas de usuario final.

· Responsabilidad legal de los fabricantes de software en caso de negligencia en el suministro de servicios o productos de seguridad.

Notas

1. Being digital, Nicholas Negroponte, editado por Alfred A. Knopf, Inc., Nueva York, 1995.

2. La digitalización en este sentido significa una combinación de informatización (bien establecida ya, aunque ahora más potente y de mayor rentabilidad) y comunicaciones (ahora más baratas, más rápidas, más fáciles y más populares).

3. Comunicación sobre Creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos, Comisión Europea, Bruselas, en preparación.

4. Ibid.

5. Directriz sobre política criptográfica, OCDE, 1997.

6. Resolución del Consejo de 17 de enero de 1995 sobre la interceptación legal de las telecomunicaciones (OJ C 329, 4.11.1996, pp. 1-6).

Contacto

Laurent Beslay, IPTS

Tel.: +34 954 488 206, fax: +34 954 488 208, correo electrónico: laurent.beslay@jrc.es