Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional PDF

Summary

Este documento proporciona una visión general de la normativa vigente sobre ciberseguridad a nivel nacional e internacional. Se centra en los retos de la ciberseguridad, la evolución de la población digital y el sector TIC español. El texto describe diferentes aspectos relacionados con la ciberseguridad y los incidentes en empresas y ciudadanos.

Full Transcript

Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional
5.2. La ciberseguridad y sus retos

El desarrollo de esta infraestructura digital está marcado por elementos como la

hiperconectividad, los avances tecnológicos o la incorporación incesante de nuevos

ciudadanos al mundo tecnológico.

La evolución de la población mundial sigue al alza y de la misma forma el número de

internautas y, por tanto, la población digital, también crece sin parar. Según datos de

Naciones Unidas más de 7.750 millones de personas habitan el planeta en 2020 de

los que el 67% disponen de un dispositivo móvil, el 59%, 4.450 millones, un 7% más

que el año anterior, son ciudadanos digitales y un 49%, 3.800 millones, un 9,2% más

que el año anterior son usuarios de redes sociales en el mundo.

Focalizándonos en España, según datos de la misma fuente, en enero de 2020 había

42,4 millones de usuarios de internet, un 4,3% superior al año anterior, alcanzando

una tasa de uso del 91% de la población. Más de 29 millones de personas en

España usaban las redes sociales, con un incremento anual del 3,1%, suponiendo un

62% de la población y el número de conexiones móviles suponían un 116% de la

población con más de 54 millones. Estas cifras ponen de manifiesto el uso intensivo

de las TIC en general por parte de la población española y su incremento año tras

año a pesar de estar ya en niveles muy altos de tasa de penetración.

En paralelo, el sector TIC en España sigue en pleno crecimiento tal y como

demuestran las cifras presentadas por el informe publicado por ONTSI en 2019 sobre

datos de 2018. El número de empresas sube un 3,2% respecto al año anterior hasta

situarse en 25.065. También sube un 8,3% el número de personas que tienen

Programa Profesional en Ciberseguridad 15
Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 6
© Universidad Internacional de La Rioja (UNIR)
 Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional
empleo en este sector hasta llegar a la cifra de 423.541 empleados y el volumen de
negocio que mueve en conjunto que sube un 4,1% alcanzando la cota de los 91.894
millones de euros. Esto es una muestra de la fortaleza del sector y de cómo la

tecnología, año tras año, va introduciéndose en todas las actividades.

Al igual que el sector TIC y el uso de la tecnología siguen su tendencia alcista,
también se incrementan los problemas de ciberseguridad; desde un punto de vista
internacional más del 80% de las organizaciones han experimentado al menos un
ciberataque con éxito durante 2019, y focalizándonos en España, según el informe
de la ONTSI "Dossier de Indicadores sobre Ciberseguridad y Confianza Digital en
España y Europa" publicado en mayo de 2020, el 23% de las empresas grandes en
España ha sufrido algún incidente de seguridad durante el último año. En el

caso de las PYMES el porcentaje baja hasta el 12% y en el caso de ciudadanos sube
hasta situarse en el 28% por debajo de la media europea que se sitúa en el 34%.

Estos porcentajes, elevados, en cualquier caso, de incidentes relevantes, ponen de
manifiesto la necesidad de proporcionar seguridad en el ciberespacio: seguridad de
la información, del negocio, de las personas... Y es que, en un entorno
hiperconectado, donde la tecnología avanza y se expande a todos los niveles, la
convergencia IT/OT -e incluso CT, Customer Technology, introduciendo en la
ecuación al usuario en su entorno personal- debemos hablar de una seguridad
global, que proporcione protección a todos los niveles, desde el doméstico hasta el
profesional.

En este contexto, donde la necesidad de protección en el ciberespacio es palpable,
es donde desarrolla su actividad el CCN-CERT, INCIBE y el resto de actores del
ecosistema de ciberseguridad o tecnología nacionales e internacionales: empresas,
organismos públicos, otros CERT, servicios homólogos de otros países... En
definitiva, en un contexto de requisitos y necesidades de ciberseguridad crecientes,
en la que los actores de la amenaza amplían cada día más sus capacidades y los
ataques son cada vez más numerosos y de mayor impacto. Afortunadamente, los

Programa Profesional en Ciberseguridad 15
Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 7
© Universidad Internacional de La Rioja (UNIR)
 Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional
esfuerzos para protegernos como país, como organización, como ciudadanos
también lo son, y gracias a estos esfuerzos individuales y colectivos podemos seguir
trabajando y aprovechando la tecnología en situaciones como la motivada por la
COVID-19.

Programa Profesional en Ciberseguridad 15
Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional 8
© Universidad Internacional de La Rioja (UNIR)
 Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional
5.3. Los ciberincidentes y ciberataques

En los siguientes epígrafes se desarrollan los ciberincidentes más significativos de

los últimos años, agrupados por las motivaciones de los agentes de las amenazas.

Actividades de Ciberconflictos / Ciberguerra / Guerra híbrida

Los últimos años han sido testigo de la explotación que se ha hecho de información

obtenida a través de ataques de este tipo con el objeto de influir en la opinión

pública, o de las perturbaciones que los agentes de las amenazas -en muchas

ocasiones, patrocinados por estados- han realizado sobre procesos electorales o al

socaire de situaciones de conflicto. Las víctimas han sido, en la mayoría de las

ocasiones, instituciones democráticas o partidos políticos de muchos países del

mundo, España entre ellos (parece demostrada la presencia de activistas

patrocinados por instituciones rusas en la expresión mediática del conflicto derivado

de la situación creada en Cataluña durante 2017, como consecuencia del alejamiento

de la legalidad constitucional vigente de ciertas instituciones autonómicas catalanas).

Ha quedado claro que la sustracción digital, la publicación de información o la

intoxicación de los medios de comunicación o las redes sociales se han utilizado

profusa y estratégicamente por actores estatales.

Se trata de operaciones dirigidas por Estados, utilizando tanto tácticas abiertas como

encubiertas, con el objetivo de desestabilizar otros Estados y polarizar a la población

civil.

Este tipo de actividades contempla una gran variedad de herramientas, entre ellas:

► Diplomacia y acciones de inteligencia tradicional

► Actos subversivos y de sabotaje

► Influencia política y económica

Programa Profesional en Ciberseguridad 15
Tema 5. Normativa vigente de ciberseguridad de ámbito nacional e internacional
9
© Universidad Internacional de La Rioja (UNIR)
 Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional
► lnstrumentalización del crimen organizado

► Operaciones psicológicas

► Propaganda y desinformación

Los dos últimos tipos de acciones han sido los más frecuentemente utilizados en el

periodo considerado.

Actividades dirigidas a influenciar a la opinión pública

El partido político alemán CDU, el movimiento En Marche! del presidente francés

Emmanuel Macron y el Partido Demócrata Americano fueron víctimas de ataques

digitales de este tipo. Como decimos, estas actividades parecen estar destinadas a

perturbar e influir en procesos democráticos. Se trataba de ataques dirigidos a las

vulnerabilidades personales de los votantes y no a ninguna (posible} vulnerabilidad

del proceso de votación.

En Francia, un importante volumen de correos electrónicos y documentos del

movimiento del entonces candidato presidencial Macron se publicaron on-line poco

antes de las elecciones presidenciales de mayo de 2017. Un año antes, el

movimiento había detectado que sus miembros estaban siendo atacados por una

campaña de phishing-email.

Por su parte, la compañía de seguridad TrendMicro anunció que el partido de la

canciller alemana Angela Merkel había sido víctima de ciberataques. Igual que en el

caso anterior, los empleados de la CDU recibieron correos electrónicos de spear

phishing que, en este caso, apuntaban a una falsa pantalla de inicio de sesión

utilizada en el servicio de correo web, con el objeto de adquirir las credenciales de

inicio de sesión. No está claro si el ataque tuvo o no éxito.

Programa Profesional en Ciberseguridad 16
Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 0
© Universidad Internacional de La Rioja (UNIR)
 Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional

Como es sabido, en el verano de 2016 se anunció que el Partido Demócrata de

Estados Unidos había sufrido una serie de ataques que había permitido la

sustracción de material políticamente sensible. Según los servicios de inteligencia

norteamericanos, los ataques fueron parte de una campaña originada por actores

rusos destinada a influir en las elecciones presidenciales, en la toma de decisiones y

en la opinión pública.

Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional

Un año después, el FBI anunció que el Partido Republicano también había sido
blanco de ciberataques, aunque la información sustraída no se había filtrado al
exterior. Según el FBI, se había utilizado un sistema de correo electrónico
perteneciente al Comité Nacional Republicano (RNC) que ya no estaba en uso.
Hasta donde sabemos, nunca antes había habido un intento a esta escala de influir
en las elecciones estadounidenses con ataques digitales contra sus instituciones
democrática.

En diciembre, el gobierno norteamericano anunció medidas diplomáticas contra
Rusia, aunque Rusia ha negado repetidamente la participación en los ataques del
mismo modo que lo hizo el presunto atacante, que se auto-denominaba Guccifer 2.0.

Programa Profesional en Ciberseguridad 16
Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1
© Universidad Internacional de La Rioja (UNIR)
1
 Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional
Actividades dirigidas a la disrupción de sistemas

En el verano de 2016, la botnet Míraí infectó decenas de miles de dispositivos de
consumidores en Internet of Things (loT). El proveedor francés OVH de servicios de
hosting fue también fue víctima de Mirai. Los sitios web de los clientes de OVH se
ralentizaron o estuvieron temporalmente indisponibles.

Por otro lado, la botnet LizardStresser fue responsable de varios ataques,
sirviéndose también de loT infectados. Aunque la utilización de grandes botnets no
es algo novedoso, sí lo es el hecho de que ambas se sirvieron de dispositivos loT de
consumidores finales para perpetrar significativos ataques DDoS. Aunque la autoría
no está clara, el colectivo hacktivista "New World Collective" se responsabilizó de los
ataques.

Por su parte, el proveedor Dyn (que da servicio de DNS al 14% de los dominios

mundiales más importantes, entre ellos Twitter, Spotify y Netflix) fue víctima de una
campaña de ataques DDoS usando botnets que compartían el código fuente de
Míraí.

En la noche del 17 al 18 de diciembre de 2016 se produjo un corte de energía (de 1
hora de duración, aprox.) en varios distritos de Kiev. La compañía energética
ucraniana Ukrenergo informó que el corte de energía había sido causado por un
ciberataque. Los investigadores de seguridad de ISSP y Honeywell confirmaron que,
efectivamente, había sido un ciberataque, al igual que el ataque del año anterior. El
objetivo habría sido probar técnicas de ataque usando la estación de distribución
eléctrica ucraniana como campo de pruebas. En el mismo período, Reuters informó
de diferentes ataques contra los Ministerios de Finanzas y Defensa de Ucrania.
Según las investigaciones, en casi todos los casos las infecciones habrían ocurrido al
abrir correos electrónicos de phishing.

Programa Profesional en Ciberseguridad 16
Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1
© Universidad Internacional de La Rioja (UNIR)
2
 Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional
De forma similar, las redes de energía eléctrica de Arabia Saudí, así como ciertas

agencias gubernamentales y parte del sector financiero también fueron víctimas de

ciberataques, empleándose para ello el código dañino Shamoon.

Actividades de ciberespionaje (adquisición de información)

Las agencias gubernamentales holandesas AIVD (Servicio General de Inteligencia y

Seguridad) y MIVD (Servicio Militar de Inteligencia y Seguridad) sufrieron varios

ataques persistentes y a gran escala de ciberespionaje. También el Ministerio de

Asuntos Exteriores y el Ministerio de Defensa fueron atacados varias veces, incluso -

así se manifestó- por países que no habían sido identificados previamente como una

amenaza para las redes del gobierno holandés. En algún caso, ataques dirigidos a

empresas con un alto nivel en l+D+i tuvieron éxito, siendo capaces de exfiltrar

información comercial confidencial.

Esta problemática ha afectado durante los últimos años a todos los países de nuestro

entorno occidental. Varias han sido las campañas de ciberespionaje de motivación

económica que se han venido desplegado durante años y la mayoría ha atacado

repetidamente a varias empresas españolas o residenciadas en España. Un ejemplo

fue Linkedln, atacado en 2012, exfiltrándose datos de las cuentas de 167 millones de

usuarios (nombres, direcciones de correo electrónico y los hash de las contraseñas).

En mayo de 2016, tal conjunto de datos se puso a la venta públicamente. En junio de

2016, Fox-lT informó sobre campañas de phishing en algunos países,

personalizadas según los datos obtenidos de Linkedln Importantes datos de

investigaciones avanzadas en materia de tecnologías de la información, marítima,

energética y de la Defensa se han exfiltrado en estos ataques, además de datos

personales, en ciertos casos.

Programa Profesional en Ciberseguridad 16
Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1
© Universidad Internacional de La Rioja (UNIR)
3
 Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional
Como hemos repetido, tales ataques son una amenaza para el desarrollo económico

y la capacidad de defensa militar y confirman el interés de los atacantes en la

información sensible de las empresas e instituciones españolas y, en general,

occidentales.

Veamos algunos ejemplos: en junio de 2016, el periódico Volkskrant publicó un

artículo sobre el ciberataque a la empresa de defensa germano-holandesa

Rheinmetall. Según el periódico, agentes chinos habrían estado atacando a esta

compañía desde 2012. Por otro lado, en diciembre de 2016, se anunció que se había

sustraído información comercial sensible de la empresa alemana ThyssenKrupp

como consecuencia de varios ciberataques a principios de ese año.

Una electrónica vulnerable, dirigida al consumidor final, también ha contribuido al

despliegue de ataques de este tipo.

Por ejemplo, el iPhone del activista de derechos humanos Ahmed Mansoor fue

atacado en agosto de 2016 utilizándose tecnología gubernamental de vigilancia. La

instalación del software espía Pegasus permitió al atacante espiar el micrófono, la

cámara y las comunicaciones, así como seguir los movimientos del teléfono

Programa Profesional en Ciberseguridad 16
Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1
© Universidad Internacional de La Rioja (UNIR)
4
 Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional

En este ataque, investigadores de seguridad descubrieron tres vulnerabilidades
desconocidas en los productos de Apple con un valor de mercado estimado de 1
millón de dólares, lo que provocó la reacción de Apple, que tuvo que implementar la
correspondiente actualización crítica de seguridad en todo el mundo.

Otros productos dirigidos a consumidores finales, aunque menos sofisticados,
también son vulnerables. Así lo demostró una investigación realizada por la
Asociación de Consumidores de Noruega, que reveló que los agentes de las
amenzas habían usado la muñeca infantil 'My Friend Gay/a' como un dispositivo de
escucha.

Programa Profesional en Ciberseguridad 16
Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1
© Universidad Internacional de La Rioja (UNIR)
5
 Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional

Actividades dirigidas a obtener beneficios económicos

Los proveedores de servicios gestionados señalan que las medidas de prevención y

respuesta al ransomware se ha convertido en uno de los ejes centrales de su

preocupación, lo que, más allá de la práctica generalizada de la realización de copias

de seguridad, evidencia que la resilencia a las infecciones por ransomware aún deja

mucho que desear.

Por ejemplo, en marzo de 2017, la Cámara de Representantes holandesa tuvo

problemas con una infección por ransomware, distribuida por correo electrónico a

varios miembros del Parlamento.

El denominado "fraude al CEO" parece estar en aumento en todos los países. El

sector financiero, especialmente, y los proveedores de servicios gestionados también

han venido informando de un aumento en el número de intentos de acciones de esta

clase. Como es sabido, en este tipo de fraude, los delincuentes intentan que el

departamento financiero de una organización deposite dinero en la cuenta de un

cómplice mediante un correo electrónico que pretende ser de un Directivo o Jefe de

Programa Profesional en Ciberseguridad 16
Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1
© Universidad Internacional de La Rioja (UNIR)
6
 Tema 5. Normativa vigente de ciberseguridad
de ámbito nacional e internacional
Departamento, utilizando nombres de dominio muy similares al nombre de dominio
de la empresa en cuestión.

Los ciberataques a entidades financieras continúan. Algunos ejemplos históricos: el 7
de noviembre de 2016, Tesco Bank suspendió los medios de pago on-line a todos los
titulares de sus cuentas tras detectarse 9.000 transacciones fraudulentas en los días
anteriores, por un valor total de 2,5 millones de libras esterlinas. El 3 de febrero de
2017, investigadores informaron sobre una serie de infecciones de malware en el
sector financiero polaco. Los delincuentes parecían haber utilizado el sitio web del
Supervisor Financiero como la fuente principalpara la distribución de malware
(Watering hole) a los sistemas internos de varios bancos.

En 2017, la policía italiana detuvo a dos individuos sospechosos de ciberpiratería.
Los cuerpos policiales señalaron que los individuos querían invertir basándose en la
información robada. En el ataque se habrían visto comprometidas cuentas
pertenecientes a despachos jurídicos, inversores, sindicatos, la propia policía,
funcionarios del Ministerio de Asuntos Económicos y el Vaticano, entre otras. La
compañía Kaspersky analizó el malware utilizado en el ataque, calificando a los
acusados como unos "aficionados muy efectivos".

Investigadores de seguridad de la empresa MedSec trabajaron en conjunto con la
compañía inversora Muddy Waters LLC para estudiar las vulnerabilidades en los
marcapasos del American St. Jude Medical. La compañía inversora Muddy Waters
LLC especuló sobre una caída anticipada en las cotizaciones en la bolsa tras la
publicación de un informe que daba cuenta de estas vulnerabilidades, lo que dio
lugar a un proceso penal. Las vulnerabilidades descubiertas podrían haberse usado
para interferir en el funcionamiento de marcapasos y desfibriladores. Pese a las
medidas adoptadas, la American Food&Drugs Administration (FDA) remitió en abril
de 2017 una advertencia al St. Jude Medical señalando que las medidas para
mejorar la seguridad no habían sido suficientes.

Programa Profesional en Ciberseguridad 16
Tema S. Normativa vigente de ciberseguridad de ámbito nacional e internacional 1
© Universidad Internacional de La Rioja (UNIR)
7