Compendio de Medidas para el Cuidado y Manejo de la Información PDF
Document Details
Uploaded by EasygoingMilkyWay
2023
Tags
Related
- CUI & SP800 PDF
- CUI and SP800 Information Security Guidelines PDF
- Regulamentul privind Informaţiile Clasificate (PDF)
- National and International Cybersecurity Standards and Controls PDF
- NIST Special Publication 800-100 PDF - Information Security Handbook
- Topic 10 Information Management, Security, & Integrity PDF
Summary
This document is a guide for the handling and protection of information within the Secretaria de la Defensa Nacional (Mexico's Ministry of National Defense in Spanish). It includes information about different aspects of information security, such as concepts of information, intelligence, and cybersecurity, and provides measures to ensure information security within their organization.
Full Transcript
Compendio de Medidas para el Cuidado y Manejo de la Información de la Secretaría de la Defensa Nacional Compendio de Medidas para el Cuidado y Manejo de la Información de la Secretaría de la Defensa Nacional i Índice...
Compendio de Medidas para el Cuidado y Manejo de la Información de la Secretaría de la Defensa Nacional Compendio de Medidas para el Cuidado y Manejo de la Información de la Secretaría de la Defensa Nacional i Índice Página Introducción………………………………………………..…. iii Capítulo I Generalidades………..………………..……………………... 1 Primera sección La seguridad…………………………………………………… 2 Subsección (A) Concepto de la información…………………………..….. 3 Subsección (B) Seguridad en las Tecnologías de la Información y Comunicaciones (TIC)…….……………...…………….... 3 Segunda sección La información e inteligencia……………………...……...….. 7 Subsección (A) Información………..….…….……………………………... 7 Subsección (B) Inteligencia aérea…………………………………………. 9 Tercera sección La contrainformación y contrainteligencia………………….. 9 Subsección (A) Contrainformación……………………………………….... 9 Subsección (B) Contrainteligencia……………………………………….... 10 Cuarta sección Ciberespacio, ciberseguridad y ciberdefensa…………….... 11 ii Página Capítulo II Medidas de seguridad en las Tecnologías de la 17 Información y Comunicaciones (TIC)……........……….... Primera sección Seguridad informática……………………...…………………. 17 Segunda sección Seguridad en las comunicaciones…….…………………….. 26 Capítulo III Medidas de seguridad en el manejo de la documentación militar……..……………………………….. 31 Capítulo IV Medidas de ciberseguridad………………………………… 36 Siglas ………….……….………………………………………. 48 Bibliografía……………………………………………………. 49 iii Introducción El Compendio de Medidas para el Cuidado y Manejo de la Información de la Secretaría de la Defensa Nacional contiene terminología de uso común en los ámbitos de la inteligencia, contrainteligencia y ciberseguridad, así como las medidas de seguridad necesarias para el cuidado y manejo de la información en todos los niveles y actividades a desarrollar por el personal militar en las unidades, dependencias e instalaciones, de forma pasiva o activa para verificar su cumplimiento. Tiene como propósito crear cultura y proporcionar doctrina al personal militar sobre un conjunto de conocimientos que han sido revisados, aprobados y aplicados como medidas de seguridad en el personal, documentación, instalaciones, sistemas computacionales y comunicaciones en las fuerzas armadas mexicanas. Para su elaboración se consideraron lineamientos generales contenidos en la bibliografía militar vigente en la materia, con el fin de armonizar los conceptos generales que deben saber las y los militares, así como quienes ingresen en las futuras generaciones. El alcance en la comprensión y conocimiento de estos conceptos por parte del personal militar es coadyuvar a garantizar la seguridad de la información, así como de las actividades cotidianas a desarrollar de forma individual o colectiva, dentro y fuera de los actos del servicio, contribuyendo a la correcta actuación de cada integrante de las fuerzas armadas mexicanas como parte de la disciplina para velar por la seguridad e imagen institucional. El objetivo de desarrollar cultura en temas de inteligencia, contrainteligencia y ciberseguridad es facilitar la aplicación de las medidas de seguridad en el cuidado y manejo de la información, como una actividad natural en el personal y favorecer al bien común de la confidencialidad dentro de las actividades donde se procese información y de la disciplina del secreto que conlleva en el actuar con sentido de pertenencia. iv La conciencia en la contrainteligencia será la convicción que desarrollará el personal militar sobre la obligación de aplicar las correspondientes medidas de seguridad para mantenerla en las actividades operativas, administrativas o logísticas como parte integral de su permanente adiestramiento. El contenido del presente compendio se integra con cuatro capítulos de la manera siguiente: Capítulo I Generalidades, contiene el marco conceptual y se definen aspectos respecto a la seguridad, cuidado y protección de la información, tecnologías de la información y comunicaciones, información e inteligencia, contrainformación, contrainteligencia y ciberseguridad, con el fin de que el personal militar conozca y comprenda los conceptos actuales que se utilizan en el escenario internacional con el empleo de las tecnologías de la información, incrementando su bagaje cultural y consolidar la unidad de doctrina en estos temas. Capítulo II Medidas de seguridad en las Tecnologías de la Información y Comunicaciones (TIC), define y describe las medidas de seguridad a ser utilizadas de forma activa y pasiva en las TIC para evitar el robo de información o intervención en las comunicaciones al asignar deberes, obligaciones y responsabilidades de las y los usuarios en el empleo de las tecnologías de la información y comunicación. Capítulo III Medidas de seguridad en el manejo de la documentación militar, establece las medidas de seguridad en el cuidado y manejo de la documentación militar que todo el personal debe saber utilizar a efecto de garantizar la protección y resguardo de los documentos militares, evitar fuga, robo, daño o destrucción que, de manera intencional o dolosa, pueda ocasionar perjuicio a la Secretaría de la Defensa Nacional con la consecuente responsabilidad administrativa o penal al personal militar. v Capítulo IV Medidas de ciberseguridad, presenta las medidas de seguridad a ser utilizadas a nivel usuario de las TIC para que el personal militar que emplea el ciberespacio conozca las conductas más comunes e inapropiadas que vulneran la seguridad individual y colectiva durante una navegación no segura en internet. El fin que se persigue es crear conciencia de los riesgos latentes que están presentes al hacer uso de este servicio y evitar ser víctima de la delincuencia que aprovecha el descuido humano para robar información, propagar software malicioso o realizar acciones en su propio beneficio. Cualquier persona que se encuentre informada estará alerta, siempre tendrá ventaja para enfrentar y solucionar problemas de mejor manera que una persona descuidada, por lo que el personal militar deberá adoptar medidas de seguridad, tanto en el medio civil como en el ambiente laboral, que contribuyan a reducir riesgos para evitar ser blancos de personas desafectas a la institución. Asimismo, debe estar consciente y convencido de que, al tener acceso a información, adquiere la responsabilidad de informarla cuando por causalidad la encuentre y de protegerla aplicando las medidas básicas que en este compendio se describen. En la búsqueda de información y generación de inteligencia participa todo el personal militar, de forma individual o colectiva, encuadrado o no en unidades, dependencias o instalaciones, mediante la búsqueda del informe en cualquier campo del poder y en comunicarlo inmediatamente para la oportuna toma de decisiones; de igual forma participa al adoptar medidas activas para negar información a personas ajenas al instituto armado, ya sea en el ámbito social y particularmente en el familiar. Es conveniente resaltar que todo integrante de las fuerzas armadas mexicanas, requisita y firma una carta compromiso de confidencialidad, la cual establece la responsabilidad que se adquiere en la aplicación de las medidas de seguridad en la información, sustentada en el marco jurídico siguiente: vi Ley de Seguridad Nacional, en sus artículos 53 y 54: Articulo 53.- “…Las Instancias que integren el Consejo de Seguridad Nacional, así como cualquier otro servidor público o persona que se le conceda acceso a la información relacionada con la Seguridad Nacional, deberán otorgar por escrito una promesa de confidencialidad que observarán en todo tiempo, aun después de que hayan cesado en el cargo en razón del cual se les otorgó el acceso…” Articulo 54.- “…La persona que por algún motivo participe o tenga conocimiento de productos, fuentes, métodos, medidas u operación de inteligencia, registro información derivados de las acciones previstas en la presente ley, debe abstenerse de difundirlo por cualquier medio y adoptar las medidas necesarias para evitar que lleguen a tener publicidad…” Ley General de Responsabilidades Administrativas, Artículo 49.-Todo servidor público tendrá la siguiente obligación: “…incurran en falta administrativa no grave el servidor público cuyos actos u omisiones incumplan o trasgredan lo contenido en las obligaciones siguientes: Registrar, integrar, custodiar y cuidar la documentación e información que, por razón de su empleo, cargo o comisión, tenga bajo su responsabilidad, e impedir o evitar su uso, divulgación, sustracción, destrucción, ocultamiento o inutilización indebidos…” Ley General de Archivos, articulo 121.- “…Será sancionado con pena de tres a diez años de prisión y multa de tres mil a cinco mil veces la unidad de medida y actualización a la persona que: I. Sustraiga, oculte, altere, mutile, destruya o inutilice, total o parcialmente, información y documentos de los archivos que se encuentren bajo su resguardo, salvo en los casos que no exista responsabilidad determinada en esta Ley…” vii Ley Federal de Transparencia y Acceso a la Información Pública, artículo 206.- “…La ley Federal y de las Entidades Federativas, contemplarán como causas se sanción por incumplimiento de las obligaciones establecidas en la materia de la presente Ley, al menos las siguientes: …IV. Usar, sustraer, divulgar, ocultar, alterar mutilar, destruir o inutilizar, total o parcialmente, sin causa legítima, conforme a las facultades correspondientes, la información que se encuentre bajo la custodia de los sujetos obligados y de sus Servidores Públicos o a la cual tengan acceso o conocimiento con motivo de su empleo, cargo o comisión…” Código Penal Federal, en sus artículos 210, 211, 211 bis 1, 211 bis 2, 211 bis 3: Articulo 210.-“…Se impondrá de treinta a doscientas jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin consentimiento del que pueda resultar perjudicado, revele algún secreto o comunicación reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto…” Articulo 211.- “…La sanción será de uno a cinco años, multa de cincuenta a quinientos pesos y suspensión de profesión en su caso, de dos meses a un año, cuando la revelación punible sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial…”. Artículo 211 bis 1.- “…Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trecientos días de multa Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días de multa…”. viii Artículo 211 bis 2.- “…Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistema o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días de multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trecientos días de multa. A quien autorización conozca, obtenga, copie o utilice información contenida en cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad pública, protegido por algún medio de seguridad se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá, además, destitución e inhabilitación de cuatro a diez años para desempeñarse en otro empleo, puesto, cargo o comisión publica…”. Artículo 211 bis 3.- “…Al que estando autorizado para acceder a sistemas y equipos de informática del Estado indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días de multa. Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días de multa…”. Código de Justicia Militar, en sus artículos 338 y 343: ix Articulo 338.- “…El que revele un asunto que se le hubiere confiado como del servicio y por su propia naturaleza o por circunstancias especiales deba tener el carácter de reservado, o sobre el cual se le tuviere prevenido reserva, o que encargado de llevar una orden por escrito u otra comunicación recomendadas especialmente a su vigilancia, las extravié por no haber cuidado escrupulosamente de ellas, o no las entregue a la persona a quien fueren dirigidas o no intentare destruirlas de cualquier modo y a cualquier costa cuando estuvieren en peligro de caer prisionero o ser sorprendido, será castigado, con 2 y 4 años de prisión…” Articulo 343.-“…El que sustraiga dolosamente, oculte o destruya expedientes o documentos o parte de ellos correspondientes a oficinas militares, será castigado con dos años de prisión…” Con el fin de mejorar el contenido de esta obra, se recomienda a las y los lectores que propongan las correcciones que estimen pertinentes, los cuales serán sometidas a consideración de la superioridad. Toda propuesta deberá citar en forma específica, la página, párrafo y líneas del texto cuyo cambio se recomiende, indicar en cada caso las razones que lo fundamenten con objeto de asegurar su comprensión y mejor valoración, las propuestas se remitirán a la Sección Segunda (Intl.) del Estado Mayor Conjunto de la Defensa Nacional, Secretaría de la Defensa Nacional, Lomas de Sotelo, Cd. Méx. 1 Capítulo I Generalidades Conceptos de la información La seguridad Seguridad en las TIC Información La información e Generalidades inteligencia Inteligencia aérea Contrainformación La contrainformación y contrainteligencia Contrainteligencia Ciberespacio, ciberseguridad y ciberdefensa Figura Número 1 Jerarquía cognitiva del capítulo 2 Primera sección La seguridad 1. La seguridad se refiere a la calidad de seguro, libre y exento de todo peligro, daño o riesgo.1 2. La seguridad de la información de las Tecnologías de la Información (TI), se refiere a la capacidad de preservación de la confidencialidad, integridad y disponibilidad de la información2. 3. Con el incremento en el uso de tecnologías de información tales como equipos de cómputo, dispositivos de almacenamiento masivo, teléfonos celulares con acceso a internet, el surgimiento de tecnologías disruptivas como la cadena de bloques, el internet de las cosas y la inteligencia artificial, entre otras, obligan a que la seguridad de la información y las medidas de ciberseguridad contra amenazas en el ciberespacio que se adoptan vayan cambiando y evolucionando, con el fin de prevenir e impedir el acceso no autorizado a la información, lo que implica que el personal militar conozca y utilice adecuadamente los conceptos que son de uso común en el ámbito internacional. 4. En las fuerzas armadas la seguridad en la información debe ser considerada en todo tipo de actividades para cuidarla, resguardarla y manejarla3 al aplicar las adecuadas medidas de seguridad de manera activa y pasiva. 1 Consúltese la página web del Diccionario de la Lengua Española dle.rae.es. 2 Cfr. Secretaría de la Defensa Nacional, [S.D.N.], (2020), Guía de Seguridad en las Tecnologías de la Información, S.D.N., México. 3 S.D.N, (2018), Manual de Operaciones Militares, S.D.N., México, p. 19. 3 5. Al emplear las medidas de seguridad se coadyuva con el éxito de la misión para evitar vulnerabilidades propias, riesgos a la información institucional, así como impactos adversos a la infraestructura critica de información, tales como equipos y sistemas de información, bases de datos y tecnología de control industrial que son utilizados para proporcionar servicios esenciales a la ciudadanía en diversos sectores, cuya interrupción o destrucción pondría en riesgo a la estabilidad económica, política y social del país. Subsección (A) Concepto de la información 6. La información es un conjunto de datos sobre personas, objetos, lugares o eventos,4 que, por su valor, se tiene la obligación de proteger y resguardar aplicando las medidas de contrainteligencia para proporcionar seguridad a las actividades de las fuerzas armadas. Subsección (B) Seguridad en las Tecnologías de la Información y Comunicaciones (TIC) 7. Las TI comprenden el equipo de cómputo, software y dispositivos de impresión que sean utilizados para almacenar, procesar, convertir, proteger, transferir y recuperar información, datos, voz, imágenes y video. 8. La seguridad en las TI consta de acciones tendientes a garantizar la confidencialidad, integridad y disponibilidad de los activos, entendiéndose por estos al hardware, sistemas de software o información, bases de datos, programas de cómputo, bienes informáticos físicos y otras soluciones tecnológicas. 4 S.D.N (2021), Manual de Inteligencia Militar, S.D.N., México, p. 62. 4 9. Asignación de responsabilidades en materia de las TI: A. Dirección General de Informática. B. Dirección General de Transmisiones. C. Unidades, Dependencias e Instalaciones del Ejército y Fuerza Aérea Mexicanos. D. Personal militar usuario de las TI.5 a. Administrador o administradora del centro de datos. b. Administrador o administradora de la red. c. Grupo de seguridad de la información. d. Responsable de Seguridad Informática. 10. La Dirección General de Informática es responsable del establecimiento de las directivas de seguridad en las TI, así como de la supervisión del cumplimiento por parte de las dependencias que integran la Secretaría de la Defensa Nacional. Proporcionar elementos de juicio que faciliten la toma de decisiones y recomendar lo relacionado con la seguridad de la información, de conformidad con las disposiciones legales aplicables y políticas que emita el Alto Mando. 11. Un activo de las TI se refiere al hardware, sistemas de información, programas de cómputo, bienes informáticos y soluciones tecnológicas relacionadas con el tratamiento de la información que tenga valor para la institución, se clasifican: A. Responsable de los activos de las TI. 5 Cfr. S.D.N, Guía de Seguridad en las Tecnologías de la Información, Op. Cit. 5 a. En los organismos quien funge como controlador de bienes en coordinación con la o el responsable de seguridad informática, debe mantener actualizado el inventario, sin importar que el equipo sea de cargo o particular, en catálogos digitales de uso exclusivo para bienes de esa naturaleza.6 b. La o el controlador de bienes, en coordinación con la persona designada como administrador de la red, deben mantener actualizada y disponible la documentación, características del hardware y software del organismo, a fin de que sea considerada por el personal que proporciona soporte y/o mantenimiento a las TI.7 B. Clasificación. a. La totalidad de activos con que cuenta la Secretaría de la Defensa Nacional, pueden ser activos de hardware y software. b. Los activos se clasifican conforme a los criterios de confidencialidad, integridad y disponibilidad, asignándole un nivel por cada uno de esos criterios. c. Con base a su contenido e importancia, la o el propietario de la información o infraestructura debe asignar el nivel de clasificación y realizar los cambios que se susciten en la misma de forma periódica, incluir una fecha de efectividad, comunicárselo a quien funja como depositario del recurso y realizar los cambios necesarios para que las y los usuarios conozcan la nueva clasificación. C. Rotulado de la información. a. Toda información e infraestructura de las TI debe estar clasificada y rotulada adecuadamente para su fácil y rápida identificación. 6 Ibíd. 7 Id. 6 b. La totalidad de activos deberán ser numerados progresivamente para incluirse en un catálogo o relación de activos hardware y software. c. Todo el personal militar debe sujetarse a las prescripciones específicas que correspondan a cada uno de los niveles de clasificación de la información e infraestructura de las TI. D. Administración de redes y centro de datos. El personal designado como administrador de red y administrador del centro de datos, utilizará los mecanismos o técnicas tendientes a mantener la red y/o el centro de datos operativo, eficiente, seguro, controlado y constantemente monitoreado, así como proporcionar el mantenimiento a cada uno de los componentes que lo integren con el fin de conservar en buen estado de funcionamiento la infraestructura tecnológica. 12. La seguridad en las comunicaciones es el conjunto de medidas y actividades llevadas a cabo con el fin de prevenir o evitar que personas no autorizadas obtengan información a través de los medios de transmisiones, las cuales se pueden clasificar de manera general en las siguientes: A. Seguridad física. Conjunto de medidas implementadas con el fin de proteger los medios de transmisiones y material clasificado, contra robo, captura, destrucción, pérdida, operación, fotocopiado y de toda acción material por personas no autorizadas, tendiente a impedir su uso u obtener información. B. Seguridad criptográfica. Conjunto de métodos utilizados para desarrollar sistemas criptográficos técnicamente seguros, con el fin de proteger el contenido de los mensajes mediante códigos y cifras, ocultando su verdadero significado a personas no autorizadas. C. Seguridad en la operación de los sistemas de comunicaciones. Conjunto de medidas destinadas a proteger el sistema de transmisiones contra la interferencia, intercepción, análisis de tráfico, radiogoniometría y el engaño por imitación. 7 13. La seguridad en los sistemas de comunicaciones son las medidas o acciones que se adoptan para proteger al personal y equipos de comunicación contra los factores que afectan a los mismos, los cuales son los siguientes: A. Factor humano. Son aquellos que de alguna forma afectan los sistemas de comunicaciones y la seguridad del personal que los opera cuando por descuido activan, desactivan, conectan y desconectan cables, conectores y software de un equipo o sistema. B. Factores en equipo y material. Son los que por sus características de diseño, fabricación, operación y mantenimiento llegan a su tiempo de vida útil y se siguen operando con riesgo de perder los enlaces en un sistema de comunicaciones.8 Segunda sección La información e inteligencia Subsección (A) Información 14. La información comprende la comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada.9 15. En las fuerzas armadas la información es el conjunto de datos sobre personas, objetos, lugares o eventos que agrupados tienen un significado, la cual es conceptualizada en información bruta, militar y de valor militar.10 8 S.D.N (2021), Manual de Aspectos Técnicos del Servicio de Transmisiones, S.D.N., México, p. 303. 9 Consúltese la página web del Diccionario de la Lengua Española dle.rae.es. 10 S.D.N, (2021), Glosario de Términos Unificados de Inteligencia y Contrainteligencia, S.D.N., México, p. 13. 8 16. La inteligencia se entiende como el trato y correspondencia secreta de dos o más personas o naciones entre sí.11 17. En las fuerzas armadas la inteligencia es el conocimiento obtenido a partir de la recolección, procesamiento, diseminación y explotación de información para la toma de decisiones.12 (figura Núm. 2). Figura Número 2 La inteligencia como un sistema 11 Consúltese la página web del Diccionario de la Lengua Española dle.rae.es. 12 S.D.N., Glosario de Términos Unificados de Inteligencia y Contrainteligencia, Op. Cit. 9 Subsección (B) Inteligencia aérea 18. La inteligencia aérea es el conjunto de habilidades aplicadas al ámbito aeronáutico que consisten en someter datos e información a un proceso, con el fin de generar productos y servicios de inteligencia. Su objetivo es reducir la incertidumbre, apoyar la toma de decisiones y contribuir en la selección de objetivos. 19. Inteligencia, vigilancia y reconocimiento (IVR). Son las operaciones militares, donde se emplean plataformas aéreas tripuladas, aeronaves pilotadas a distancia, satélites, así como medios terrestres y navales, equipados con sensores como cámaras electroópticas e infrarroja, de comunicaciones, entre otros, destinadas para la recolección, procesamiento, análisis, explotación y diseminación de información como productos de inteligencia, para apoyar la ejecución de otras operaciones militares.13 Tercera sección La contrainformación y contrainteligencia Subsección (A) Contrainformación 20. La contrainformación es el conjunto de medidas y actividades que la persona al mando y sus tropas adoptan para negar información, ocultar las fuerzas, intenciones y actividades propias, así como engañar, aplicar la sorpresa y obtener seguridad a través de la disciplina del secreto, censura y control de movimientos. 13 S.D.N. (2022), Manual de Operaciones de Inteligencia, Vigilancia y Reconocimiento (IVR), S.D.N., México, p. 3. 10 21. Aplicar la contrainteligencia es responsabilidad tanto de quienes funjan como comandantes y de cada integrante de las fuerzas armadas.14 22. La búsqueda de información y generación de inteligencia significa que todo el personal militar, de forma individual o colectivamente, encuadrado o no en unidades, dependencias o instalaciones, tengan como objetivo la búsqueda del informe en cualquier campo del poder e informarlo oportunamente; así como la adopción de medidas para su negación.15 Subsección (B) Contrainteligencia 23. La contrainteligencia es parte esencial de la seguridad, sirve para detectar, identificar, prevenir, impedir, minimizar o neutralizar cualquier amenaza y las vulnerabilidades de los sistemas de seguridad propios.16 24. Respecto a la seguridad, se debe entender que es el objetivo final que se busca con la aplicación de las medidas de contrainteligencia, ante cualquier esfuerzo de personas desafectas al instituto armado, para tratar de dañar o atentar de manera negativa en contra del personal, documentación, sistemas informáticos, comunicaciones e instalaciones militares, o bien, en contra de la defensa y seguridad nacional. 25. La responsabilidad de observar y aplicar las medidas de contrainteligencia recae en quien ejerce el mando, así como en cada integrante de las fuerzas armadas, por lo que todo el personal militar debe emplear las medidas necesarias en el nivel que le corresponda.17 14 S.D.N. (2022), Manual de Guerra Irregular, S.D.N., México, p. 95. 15 S.D.N. (2021), Manual de Inteligencia Militar, S.D.N., p. 93. 16 S.D.N. (2022), Manual de Contrainteligencia, S.D.N. p. 1. 17 Ídem, p. 66. 11 Cuarta sección Ciberespacio, ciberseguridad y ciberdefensa 26. El ciberespacio es un ambiente conceptual materializado por la Tecnologías de la Información y Comunicaciones (TIC), en donde se pueden desarrollar múltiples actividades: sociales, económicas, administrativas y políticas; en consecuencia, el medio militar no se excluye de este fenómeno, por lo que es de vital importancia tener una idea clara y precisa de su naturaleza. 27. El ciberespacio es un concepto, idea o noción; no es un espacio, físico, visible o tangible, por lo que ningún elemento material es parte intrínseca de él (infraestructura TIC, personas), tampoco los elementos no tangibles como la información, software o energía eléctrica.18 28. El ciberespacio es el ámbito intangible de naturaleza global, soportado por las TIC, en el que se comunican e interactúan las entidades públicas, privadas y sociedad en general. En las fuerzas armadas mexicanas se considera el quinto entorno operacional para proporcionar seguridad y defensa.19 29. Los sucesos que han ocurrido en los últimos años a nivel internacional relacionados con el empleo del ciberespacio para desarrollar operaciones militares, ya sea en apoyo a otros ámbitos de tierra, mar o aire; así como el desarrollo de ciberataques como único medio de conseguir un objetivo militar (evento de ciberguerra), han posicionado este nuevo entorno de operaciones en un papel protagónico en el contexto global. 18 Junta Interamericana de Defensa (JID), (2020), Guía de Ciberdefensa, Orientaciones para el Diseño, Planeamiento, Implantación y Desarrollo de una Ciberdefensa Militar, Canadá, p. 17 19 S.D.N. (2021), Glosario de Términos SEDENA-MARINA en Materia de Seguridad en el Ciberespacio, S.D.N., México, p. 6. 12 30. Como muestra de ello se puede resaltar que, en julio de 2016, durante la Cumbre de Varsovia, los países aliados de la Organización del Tratado del Atlántico Norte (OTAN), reconocieron el ciberespacio como un nuevo dominio de operaciones en el que deben defenderse tan efectivamente como lo hacen en los otros ámbitos.20 31. En este sentido, es de especial importancia entender los conceptos principales relacionados con este nuevo entorno operacional y su interacción con otros campos de seguridad tecnológica, con la finalidad de evitar confusión al respecto y generar unidad de doctrina respecto a ellos. 32. Comúnmente los términos seguridad de la información, seguridad informática y seguridad en las TIC se utilizan indistintamente; si bien contienen principios básicos comunes de protección y preservación de la confidencialidad, integridad y disponibilidad de la información, son diferentes. 33. La seguridad de la información se centra en los datos, independientemente de la forma que puedan tomar: electrónica, impresa, digital u otras. 34. La seguridad informática generalmente busca garantizar la disponibilidad y el correcto funcionamiento de un sistema informático sin preocuparse por la información almacenada o procesada por la computadora. 35. El término seguridad de las TIC se utiliza frecuentemente para incluir aspectos técnicos de seguridad informática y de seguridad en comunicaciones, y está relacionado con los principios de seguridad de la información, por tanto, la seguridad de las TIC va más allá de los dispositivos conectados a internet e incluye sistemas informáticos que se encuentran en redes institucionales o incluso aislados.21 20 Ciberdefensa OTAN, https://www.nato.int/cps/en/natohq/topics_78170.htm, consultado el 10 enero 2023. 21 Klimburg, Alexander (2012), National Cyber Security Framework Manual, Tallinn, Estonia, p. 9. 13 36. La ciberseguridad es la capacidad de un Estado-Nación y de todos los sectores de la sociedad para generar y aplicar políticas públicas, legislación, normas, procedimientos y controles tecnológicos para la protección de infraestructuras críticas soportadas en TIC.22 37. Lo anterior tiene como parte más importante identificar el conjunto de controles, procedimientos y normas de un organismo o Estado para proteger y asegurar sus activos en el ciberespacio. 38. La ciberdefensa es la capacidad de un Estado-Nación traducida en acciones, recursos y mecanismos en materia de seguridad y defensa nacionales en el ciberespacio, para prevenir, identificar y neutralizar ciberamenazas o ciberataques, incluidos los que atentan contra instalaciones estratégicas de un país.23 39. De manera sintetizada se puede entender como el conjunto de acciones, recursos y mecanismos de un Estado en materia de seguridad nacional para prevenir, identificar y neutralizar toda ciberamenaza o ciberataque que afecte a su infraestructura crítica nacional (figura Núm. 3). 22 S.D.N. Glosario de Términos SEDENA-MARINA, Op. Cit., p. 7. 23 Ídem, p. 6. 14 Figura Número 3 Relación entre la ciberseguridad y otros campos de seguridad tecnológica 40. La seguridad de la red se ocupa del diseño, implementación y operación de redes para lograr los propósitos de la seguridad de la información en redes dentro de las organizaciones, entre organizaciones y entre organizaciones y usuarios. 41. La seguridad en internet se ocupa de proteger los servicios relacionados con este servicio, así como los sistemas y redes de TIC relacionados, garantizando la disponibilidad y fiabilidad de los servicios de internet. 42. La protección a la infraestructura crítica de la información es un factor estratégico para el desarrollo y crecimiento económico del país, por lo que resulta indispensable la colaboración con el sector privado a cargo de servicios esenciales a la población. 15 43. Los delitos cibernéticos se definen como la actividad criminal en la que los servicios o aplicaciones en el ciberespacio se utilizan o son objeto de un delito, o cuando el ciberespacio es la fuente, la herramienta, el objetivo o lugar de un delito. 44. La ciberseguridad se ha definido como la preservación de la confidencialidad, integridad y disponibilidad de la información en el ciberespacio.24 45. En este sentido la ciberdefensa sería la aplicación de todos los conceptos anteriormente mencionados para preservar la seguridad nacional, prevenir, identificar y neutralizar toda ciberamenaza o ciberataque que afecte a la infraestructura crítica nacional. 46. En la siguiente figura se resume el contenido del presente capitulo, como una ayuda didáctica para su mejor comprensión (figura Núm. 4). 24 Klimburg, Alexander, National Cyber Security Framework Manual, Op. Cit. p. 10. 16 Figura Número 4 Seguridad 17 Capítulo II Medidas de seguridad en las Tecnologías de la Información y Comunicaciones (TIC) Primera sección Seguridad informática 47. La seguridad informática y en comunicaciones comprende el conjunto de medidas y actividades llevadas a cabo de forma pasiva y activa con el fin de prevenir o evitar que personas no autorizadas obtengan información mediante vulnerabilidades en el personal o en las TIC. 48. La Secretaría de la Defensa Nacional emite las acciones necesarias que deben implementarse en materia de seguridad informática y de seguridad en comunicaciones que rigen de forma permanente los principios de seguridad de la información, por lo que en las Unidades, Dependencias e Instalaciones es obligación de todo el personal militar conocerlas y utilizarlas. 49. El proceso de autorización para implementar Tecnologías de la Información en la Secretaría de la Defensa Nacional es el siguiente: A. El empleo debe cumplir con los requerimientos de seguridad de acuerdo con su aplicación. B. Toda la instalación de TI debe ser coordinada y planeada por los servicios técnicos involucrados. C. Antes de la compra y/o contratación de servicios que involucren TI, el personal usuario debe definir sus necesidades con la asesoría de los servicios técnicos, a fin de determinar las posibles soluciones que cumplan con las disposiciones de seguridad. 18 D. El organismo se apegará al marco de gestión de seguridad de la Secretaría de la Defensa Nacional, el cual se integra con el proceso de adquisición y contratación de las TI. 50. Mantenimiento de activos de hardware. A. Se entenderá como base de doctrina lo asentado en el Manual de Aspectos Técnicos del Servicio de Informática.25 B. Los equipos de cómputo deben contar con una bitácora, en donde se registre su entrada y salida del local, sea con fin de reparación, sustitución o baja y la situación en que se encuentre. C. Todo equipo informático que permita almacenar información debe contar con un precinto en su tapa a fin de prevenir el daño o robo de hardware; dicho precinto debe ser verificado diariamente por la persona usuaria y por lo menos una vez a la semana por la persona responsable de la seguridad en las TI. D. El mantenimiento del equipo de TI es proporcionado conforme a lo establecido en el sistema logístico militar por personal de los servicios técnicos y/o proveedores que se contraten, debidamente identificados y registrados, y según el escalonamiento enunciado en el Manual de Aspectos Técnicos de Informática. 51. Al equipo particular que se utilice para la materialización de trabajos oficiales, se le proporcionará el mantenimiento en el escalón correspondiente, pero la o el propietario es quien aporta el monto de las refacciones que se requieran. 52. Cualquier daño que presente los equipos de TI, sea deliberado o accidental, se debe informar a quien se desempeña como jefe del área y al controlador de bienes muebles. 25 S.D.N. (2022), Manual de Aspectos Técnicos del Servicio de Informática, S.D.N., México, pp. 91 y 92. 19 53. Las medidas de seguridad para el ingreso y retiro de equipo de TI, ya sea oficial o particular a las instalaciones son las siguientes: A. La o el titular del organismo, es quién autoriza la entrada y salida de equipo de las instalaciones y sólo en los casos que estén debidamente justificados tales como: alta, baja, mantenimiento, préstamo, en apoyo de las operaciones, entre otros. B. Se deberá privilegiar el mantenimiento en el sitio de los equipos que almacenan información y cuando no sea posible serán canalizados a los escalones de mantenimiento respectivos o bien, contratar los servicios de empresas civiles, a través de los escalones logísticos de mantenimiento correspondientes. C. En los casos que sea necesario llevar el equipo fuera de las instalaciones militares, se verificará que en sus medios de almacenamiento no exista información de valor militar dejando constancia por escrito. 54. Para el control de ingreso de equipo particular en instalaciones militares, se deben tomar las acciones siguientes: A. La persona propietaria aceptará por escrito las condiciones estipuladas en las hojas de control respectivas, mismas que están a cargo y se las hará saber la o el responsable de la seguridad de las TI. B. Periódicamente será revisado el equipo por personal especialista, a fin de verificar que la información que tenga almacenada no contravenga las disposiciones emitidas por la Secretaría de la Defensa Nacional. 55. Para el control del egreso de equipo particular de las instalaciones militares, se deben tomar las acciones siguientes: A. La persona designada como responsable de la seguridad verificará que sea borrada la información de carácter oficial que tenga almacenada, excepto cuando cuente con la autorización correspondiente. 20 B. El personal que haya sido autorizado para extraer equipo de TI de las instalaciones del organismo será responsable de su resguardo, mientras el equipo esté fuera de las instalaciones. C. Cuando por necesidades del servicio se requiera transportar equipo y material para trabajar fuera de las instalaciones, por ejemplo: Plan DN-III-E, operaciones de alto impacto, adiestramiento, comisiones, entre otros, la o el titular del organismo autorizará su salida, sin importar que el equipo sea de cargo o particular. 56. El personal militar usuario de equipos de las TI se sujetará a los lineamentos siguientes: A. Mantener en permanente observación el equipo y material transportado, el cual no será desatendido en lugares públicos. B. Respetar las instrucciones del fabricante para su cuidado y transporte. 57. Las medidas de seguridad del personal militar en el desempeño de sus funciones son las siguientes: A. Al causar alta en las fuerzas armadas deberá recibir una plática de inducción, a efecto de que conozca el marco legal respecto al manejo de la información a la que tendrá acceso. B. El personal militar debe conocer las medidas de seguridad en las TI que le corresponde saber por su situación particular en el organismo al que pertenece y quedará obligado a cumplirlas. 58. Las y los titulares de los organismos deberán supervisar el empleo de los medios de comunicación oficiales y particulares, a fin de verificar que la transmisión de información de carácter oficial se realice por medios autorizados y con las respectivas medidas de seguridad. 21 59. Deberán solicitar que el personal militar que tenga acceso a información clasificada y que labora en áreas sensibles, le sean practicadas las evaluaciones de control de confianza. 60. Asignarán funciones y controles de acceso para su personal en relación con el manejo de la información, ya sea impresa, en equipos de cómputo o de comunicaciones. 61. Se asegurarán de que el personal subordinado tenga conocimiento de sus deberes y responsabilidades legales respecto al empleo de la información y de las TI. 62. El personal militar, al causar alta en los organismos del Ejército y Fuerza Aérea Mexicanos, deberá firmar una carta compromiso donde se especifiquen las obligaciones respecto al manejo de la información y de las TI. 63. Los datos personales que se almacenen en los sistemas informáticos deberán ser tratados con carácter confidencial y estar disponible conforme lo indican la normatividad jurídica siguiente: Ley Federal de Transparencia y Acceso a la Información Pública, Ley General de Transparencia y Acceso a la Información Pública y Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. 64. Las medidas de seguridad lógica que adoptará el personal militar en el manejo de las TI serán las siguientes: A. Protección contra software malicioso. a. Los equipos de cómputo, de cargo y particulares, deberán tener instalado el software antivirus proporcionado por la Dirección General de Informática para la red de intranet, internet, así como para equipos aislados. 22 b. La configuración del software antivirus tendrá habilitada la exploración del sistema al inicio, de archivos salientes y entrantes de correo electrónico y la exploración de unidades de almacenamiento extraíbles, al acceder o cerrar archivos. Para tal fin la o el usuario será responsable de su equipo de cómputo y se asegurará que se hagan estas exploraciones o escaneos de manera permanente. c. La configuración antivirus de los equipos conectados a internet deberá incluir la exploración del sistema, además de ejecutar la tarea de actualización automática a los sitios del fabricante o de acuerdo con los mecanismos difundidos por la Dirección General de Informática. d. Se evitará descargar archivos de video, música, juegos, aplicaciones, etcétera, de páginas de dudoso origen, en caso de ser necesaria su descarga, se analizará con el antivirus, a fin de evitar código malicioso. e. El uso de dispositivos de almacenamiento externo, tales como USB o discos duros, serán escaneados por el software antivirus al ser insertados al equipo de cómputo. Se sugiere que se empleen estos dispositivos exclusivamente para transportar información y después depurarla; se prohibirá su almacenamiento prolongado con el fin de evitar portar un virus y transferirlo a otro equipo de cómputo. B. Administración de la seguridad lógica. a. La persona responsable de las TI elaborará un procedimiento de respaldo de la información, a fin de estar en posibilidades de recuperarla en caso de falla del equipo de cómputo, la frecuencia y funcionalidad de tal procedimiento deberá cubrir las necesidades del organismo que incluirá las siguientes: i. Información que resguardar. ii. Frecuencia de operación. iii. Personas que serán responsables de su ejecución. 23 iv. Periodicidad con la que se comprobará la efectividad del sistema implementado. v. Lugar físico donde se almacenarán las copias generadas. b. Las y los usuarios de los equipos de cómputo, respaldarán periódicamente la información que vayan generando en un medio de almacenamiento externo, para ello tendrán que identificar y catalogar los respaldos y guardarlos bajo el control de quien funja como jefe del área de trabajo. C. Administración y seguridad de los medios de almacenamiento extraíbles. a. Se limitará el uso de medios de almacenamiento extraíbles únicamente para lo indispensable y previa autorización de quien se desempeñe como jefe del área de trabajo. b. La información sensible que se tenga que transportar fuera del organismo en medios de almacenamiento extraíbles o en discos duros, se protegerá con contraseñas robustas, tanto el dispositivo como los documentos que contenga. c. Quien funja como titular del organismo, así como las personas encargadas de las TI, serán responsables de que la confidencialidad e integridad de la información se conserve antes, durante y después de su transporte y/o transmisión, conforme a las disposiciones vigentes. d. El personal que transporte y/o transmita por cualquier medio de información del organismo, conocerá las disposiciones y medidas de seguridad ordenadas al respecto para proteger su confidencialidad, integridad y disponibilidad durante el tiempo que esté bajo su resguardo. 24 e. Para cambiar a una nueva versión o eliminar aplicaciones de software, se verificará que no sea necesario el empleo del programa y que la información almacenada se encontrará disponible. f. Al desechar medios de almacenamiento se destruirán y se verificará que la información almacenada no pueda ser recuperada. g. El material, equipo y documentación que contenga información clasificada se guardará bajo llave o en la caja fuerte. h. Las y los responsables de las TI se asegurarán de que el personal militar conozca las técnicas para la creación, almacenamiento, modificación, copia y destrucción de la información impresa o contenida en los equipos. D. El personal militar que emplee dispositivos móviles y realice trabajo remoto, se apegará a lo siguiente: a. Se prohíbe su empleo para el desarrollo de las actividades laborales, excepto aquellos que se encuentren autorizados. b. Los dispositivos móviles de propiedad particular que se utilicen para el desarrollo de las actividades laborales se sujetarán a lo establecido respecto al ingreso y retiro de equipo de TI de las instalaciones, así como a la clasificación y control de activos. c. El personal militar que se traslade a un lugar diferente de su área de trabajo y que con autorización porte un dispositivo móvil, a fin de proteger la información contenida en el mismo, observará lo siguiente: i. Implementar mecanismos de cifrado de información. ii. Emplear contraseñas de control de acceso. 25 iii. Habilitar sólo las funciones mínimas necesarias. iv. Proteger el dispositivo contra pérdida o robo. d. El personal militar evitará trabajar asuntos oficiales en equipos que estén fuera de su adscripción, por ejemplo, casa, escuela u otras similares, excepto cuando cuente con la autorización de la o el titular del organismo, para lo cual aplicará las medidas de seguridad descritas. e. Sólo se permite efectuar trabajos de forma remota cuando existe la autorización de la persona responsable del sistema y/o dueña de la información. f. Los medios de TI utilizados para efectuar el trabajo remoto contarán con mecanismos de protección previamente sancionados por los servicios técnicos correspondientes. g. Existirán medios de autenticación para realizar trabajos remotos que permitan el acceso únicamente a personas autorizadas. h. Los sistemas contarán con mecanismos de registro de los accesos remotos, los cuales serán almacenados en una bitácora. 65. Medidas de seguridad para el uso de internet en instalaciones militares. A. Previa solicitud de las Unidades, Dependencias e Instalaciones, la Sección Segunda (Inteligencia) del Estado Mayor Conjunto de la Defensa Nacional, autorizará las conexiones a internet para el apoyo de las actividades del organismo. B. Las redes internas del organismo o intranet no se conectarán a internet ni aún en forma alternada. 26 C. Se puede publicar o transmitir información militar a través de Internet, previa autorización de la Sección Segunda (Inteligencia) del Estado Mayor Conjunto de la Defensa Nacional, para lo cual se utilizarán las herramientas criptográficas autorizadas, y autenticar el origen o destino. D. El internet sólo se usará como fuente de consulta de información; cuando se utilicen buscadores en internet se verificará la autenticidad y seriedad de la fuente, antes de utilizar la información descargada. E. Se prohíbe utilizar el equipo y sistemas de TI para uso personal, su empleo sólo está autorizado para realizar trabajos oficiales. Quien infrinja esta disposición se hará acreedor a las sanciones legales o administrativas que correspondan. Segunda sección Seguridad en las comunicaciones 66. El servicio de transmisiones tiene las funciones de planear, organizar, instalar, operar, conservar y supervisar los sistemas de comunicaciones de la Secretaría de la Defensa Nacional.26 67. Los sistemas de comunicaciones, administrados por la Dirección General de Transmisiones, permiten el envío y recepción de información de voz, datos y video. 68. Dentro de los más comunes se encuentran la Red Telefónica Militar (RTM) y telefonía comercial, los servicios de intranet e internet, los sistemas de radiocomunicación y comunicación satelital y el sistema de videoconferencia (Webex). 26 S.D.N. (2016), Manual de Aspectos Administrativos del Servicio de Transmisiones, S.D.N., México, p. 2. 27 69. Las medidas de seguridad que deberán usarse en todo momento son: A. Telefonía de la RTM y comercial. a. Considerar que las líneas telefónicas no son líneas seguras, ya que carecen de cifrado. b. Por lo anterior, no se deberán tratar asuntos del servicio de carácter clasificado o confidencial, ni comunicar información sensible por estos medios. c. Al contestar una llamada telefónica se identificará al interlocutor, solicitándole su grado, nombre, unidad a la que pertenece y extensión telefónica, en caso de requerir más información, y procederá desde luego a dar el parte correspondiente. d. Se evitará proporcionar información sobre el personal militar como grado, nombre o matricula, así como su situación o ubicación, y en caso de ser requerido por mandato superior, antes de proporcionar la información se dará parte al superior jerárquico que se encuentre presente o de servicio. e. En caso de recibir órdenes por este medio se procederá a confirmar la personalidad de quien realizó la llamada, para lo cual se regresará la llamada al número de extensión de la RTM que se proporcionó, solicitando los datos necesarios, a fin de dar el parte correspondiente a la superioridad. B. Medidas de seguridad en el uso de telefonía móvil (telefonía celular): a. La telefonía móvil es un medio de radiocomunicación que utiliza ondas electromagnéticas como medio de propagación, las cuales son recibidas por repetidores y radiadas nuevamente, proceso que continúa hasta que llega a su destino, por lo que la telefonía celular es altamente vulnerable a la intervención. 28 b. Por lo anterior, se prohíbe utilizar este medio para tratar asuntos del servicio y en su lugar usar los medios de comunicación oficiales (radios y teléfonos de la RTM) y aplicar las medidas de seguridad de estos sistemas. c. En caso de ser necesario hacer empleo del teléfono celular deberá ser por el tiempo mínimo indispensable y se evitará compartir información de carácter confidencial o sensible. d. En teléfonos celulares con acceso a internet, se evitará el uso de aplicaciones de mensajería o redes sociales, tales como WhatsApp, Facebook, Instagram, entre otros, para comunicaciones oficiales, toda vez que la información transita por servidores propiedad de particulares de los cuales se desconocen las medidas de seguridad con que cuentan para garantizar la privacidad de la información. 70. Medidas de seguridad en el uso de internet: A. El servicio de internet se utilizará solamente para actividades ordenadas y relacionadas con asuntos del servicio, por lo que queda prohibido ingresar a páginas que contengan contenido innecesario, y en caso de detectar a personal militar ingresar a sitios no seguros dar parte al inmediato superior, con el fin de no vulnerar la seguridad. B. Las redes inalámbricas de internet (wifi), deberán estar desactivadas. 71. Las medidas de seguridad general para los sistemas de comunicaciones de la Secretaría de la Defensa Nacional son las siguientes: A. Seguridad física en los sistemas de comunicación: a. En caso de tormenta eléctrica intensa, los sistemas de comunicaciones deberán ser apagados y desconectados. b. Evitar ingerir bebidas y alimentos donde existan equipos de comunicación. 29 c. Prohibir el acceso a personas ajenas a las áreas de comunicación o sensibles, en caso de presentarse el ingreso no autorizado se procederá desde luego a dar parte al inmediato superior. d. La transferencia de información militar, toda aquella generada por la Secretaría de la Defensa Nacional en sus diferentes organismos, deberá ser tramitada por medios oficiales, administrados por la Dirección General de Transmisiones. B. Desde el punto de vista de integridad de los sistemas y de la información en redes sociales considerar lo siguiente: a. Evitar exponer la identidad en redes sociales. b. La discreción en el empleo de redes sociales. c. Cuidar la información que se comparte o pública, y evidenciar la identidad militar por seguridad personal, familiar o de terceros. d. Desconfiar de la publicidad engañosa. e. Prevenir estafas, no proporcionar datos bancarios. f. No comprar en línea a través de accesos a internet gratuito. g. Proteger los datos personales con el fin de evitar el robo de identidad. 72. Quien funja como comandante, director o jefe, deberá definir los temas sensibles como datos personales, datos oficiales o información confidencial de cada área de trabajo, que el personal militar que le está subordinado deberá evitar proporcionar por los medios de comunicación con que cuente. 30 Figura Número 5 Seguridad en las TIC 31 Capítulo III Medidas de seguridad en el manejo de la documentación militar 73. El personal militar debe conocer y utilizar las medidas de seguridad en la custodia y manejo de la documentación militar para garantizar la protección y seguridad de ésta frente a fugas, robos, daños o destrucción que, de forma dolosa o intencionada, ocasione daño a la Secretaría de la Defensa Nacional y la consecuente responsabilidad administrativa o penal de las o los involucrados, por lo que es de vital importancia el debido entendimiento de estas medidas y su implementación en todos los niveles. 74. Un documento es la evidencia o testimonio que registra un hecho, acto administrativo, jurídico, fiscal o contable, producido, recibido y utilizado en el ejercicio de las facultades, competencias o funciones de los sujetos obligados, con independencia de su soporte documental. 75. Los documentos pueden estar en cualquier medio, sea escrito, impreso, sonoro, visual, electrónico, informático u holográfico y constituye una fuente importante de información para personas ajenas a las fuerzas armadas. 76. Para la distribución o reparto de la documentación de manera física, se llevará un registro de esta mediante una libreta o relación, en la cual el personal que recibe debe plasmar sus datos generales, así como su firma respectiva, conforme al procedimiento en materia de archivos27. 77. Todo documento de archivo generado deberá ser integrado en un expediente y clasificado conforme al cuadro general de clasificación archivística en series documentales.28 27 S.D.N. (2018), Manual de Archivo del Ejército y Fuerza Aérea Mexicanos, S.D.N., México, p. 4. 28 Diario Oficial de la Federación [D.O.F.], (2022), Ley General de Archivos, D.O.F., México, última reforma 19-01-2023, Art. 20. 32 78. La documentación que contenga información sensible, clasificada como reservada o confidencial, será resguardada y custodiada, bajo medidas de control, seguridad y contrainteligencia, en un lugar específico, con apego a los procedimientos establecidos por la Secretaría de la Defensa Nacional. 79. Los documentos deben ser examinados para determinar la clase de información que contienen y su importancia, con el objeto de verificar si deben o no ser clasificados. 80. Desde el punto de vista doctrinario y para efectos de operaciones, los documentos se clasifican como sigue: muy secreto, secreto y confidenciales.29 81. Sin embargo, deberá considerarse que, de conformidad a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública, se contempla que la información reservada podrá clasificarse cuando aquella comprometa la seguridad nacional, la seguridad pública o la defensa nacional, y cuente con un propósito genuino y un efecto demostrable.30 82. Se prohíbe enviar impresión de información clasificada a una impresora en red sin que se encuentre presente una persona autorizada para retirar las hojas impresas y así salvaguardar su confidencialidad durante y después de la impresión. 83. Las minutas y notas tomadas en reuniones de trabajo deben ser tratadas como confidenciales, y estar disponibles sólo para personal autorizado. 84. El personal militar que tiene acceso a información sensible, clasificada como reservada o confidencial, debe ser objeto de una cuidadosa selección, con base en el perfil de puesto y valores axiológicos, de lealtad, integridad, discreción, honestidad y honorabilidad. 29 S.D.N. (2022), Manual de Contrainteligencia, Op. Cit. p. 66. 30 D.O.F. (2021), Ley General de Transparencia y Acceso a la Información Pública, D.O.F., México, última reforma 20-05-2021, Art. 113. 33 85. Al personal que labora en los archivos o áreas de correspondencia, se les practicará la evaluación de confianza respectiva, por lo que es responsabilidad de quienes funjan como Jefes de Área solicitar se cumpla con esta formalidad. 86. En las áreas de archivo, existirá una relación de personal o funcionarios autorizados para consultar documentación, así como para el préstamo de esta, debiendo actualizarse cada vez que haya cambios. 87. Queda estrictamente prohibido el acceso a personal ajeno a los archivos o áreas donde se resguarde documentación, debiendo implementarse controles de acceso que permitan la seguridad de esta. 88. Las áreas de correspondencia o de entrada y salida, designarán, por escrito, al personal de estafeta que se encargará de distribuir la documentación. Para el traslado de la correspondencia deberá utilizar valijas con las medidas de seguridad respectiva, evitando llevarla en folders o carpetas. 89. La responsabilidad es el sentimiento que adquiere el personal militar para proteger la información clasificada como reservada o confidencial a la que tiene acceso, por lo que deberá adoptar los siguientes controles en la documentación: A. Por ninguna circunstancia debe facilitarse a persona alguna, documentos para su consulta o préstamo, sin que esté autorizada y facultada por la autoridad correspondiente, debiendo exigirse para el efecto, un recibo de préstamo. B. Cualquier persona que sustraiga del archivo de manera deliberada o dolosa, o en su defecto, oculte, destruya o dañe expedientes, documentos o parte de ellos, se la sancionará conforme a lo prescrito en las leyes y reglamentos militares. 34 90. Cualquier mal uso, manejo indebido, robo, deterioro o daño a la documentación militar propiedad de la Secretaría de la Defensa Nacional, debe de ser informada de inmediato, sin importar la jerarquía, cargo o comisión de la persona que cometa la acción, por lo que es de vital importancia crear conciencia y cultura en el personal militar de la importancia que reviste dar parte ¡no guardar silencio! por indolencia o negligencia, a fin de no vulnerar la seguridad en el personal o en las operaciones. 91. En la siguiente figura se resume el contenido del presente capítulo, como una ayuda didáctica para su mejor comprensión (figura Núm. 6). 35 Figura Número 6 Medidas de seguridad en el manejo de la documentación militar 36 Capítulo IV Medidas de ciberseguridad 92. Utilizar el ciberespacio, navegar por internet, consultar páginas web y formar parte de redes sociales se ha vuelto una actividad, tan común y corriente, donde participa e interacciona gran parte de la población mundial, sin embargo, se debe estar consciente de los riesgos potenciales presentes al utilizar este servicio para implementar las medidas de seguridad necesarias a efecto de evitar ser víctima de la delincuencia. 93. La ciberseguridad está íntimamente relacionada con otros campos de la seguridad, principalmente con la seguridad en las TIC, por lo que la mayoría de las medidas enfocadas al usuario, quedan comprendidas en el capítulo dedicado a este campo de la tecnología. 94. No obstante, se debe hacer notar las conductas más comunes en las que el personal militar emplea el ciberespacio y hacer difusión en la mejor manera de realizar esa interacción, a fin de evitar las conductas inapropiadas y los ciberataques más comunes. 95. Navegación segura.31 A. Hoy en día conectarse a internet se ha convertido en una acción más que cotidiana porque se puede buscar información en una página web, publicar en redes sociales, consultar el correo electrónico, comprar e incluso realizar operaciones bancarias. B. Esta facilidad para acceder a internet simplifica el diario acontecer, pero ¿somos conscientes de los riesgos que hay al navegar por internet? 31 S.D.N. (2021), Cartilla de Ciberseguridad, S.D.N., México, p. 10. 37 C. Del mismo modo que en la vida real, en internet, existen delincuentes que aprovechan el descuido humano y técnico, para robar información, propagar software malicioso o realizar acciones en su propio beneficio. 96. Consejos para navegar seguro.32 A. Al navegar en internet hay que revisar que en la barra del navegador aparezca HTTPS o el símbolo de un candado. B. Eliminar diariamente el historial de navegación, cookies y archivos temporales. C. Mantener el equipo actualizado: sistema operativo, navegadores web, aplicaciones y antivirus. D. Prestar atención a enlaces y archivos adjuntos antes de aceptarlos, si se desconoce el origen evitar abrirlos. E. Deshabilitar la opción de recordar contraseña y cerrar las sesiones al salir. 97. Software malicioso.33 A. El software malicioso o malware, es un programa diseñado para dañar un sistema, robar información y/o hacer modificaciones al sistema operativo, así como tomar control absoluto del dispositivo. B. Hay muchas clases de programas maliciosos tales como: virus, caballos de troya o troyanos, gusanos, keyloggers, backdoors o bots, exploits, programas espías, ransomware, entre otros. 98. ¿Cómo se puede infectar el equipo de cómputo o teléfono celular? A. Al buscar contenido o bajar información en sitios no confiables. 32 Id. 33 Ídem. p. 11. 38 B. Descargar aplicaciones de fuentes desconocidas en la computadora o teléfono celular. C. Conectar dispositivos de almacenamiento (USB, discos extraíbles) infectados a la computadora. 99. ¿Cómo proteger el equipo de cómputo o teléfono celular? A. Mantener actualizado el software de seguridad (antivirus) y el sistema operativo (Windows, MacOS, iOS y Android). B. Analizar los dispositivos de almacenamiento antes de revisar su contenido, tales como USB, discos duros, entre otros. C. Evitar descargar archivos sospechosos o de fuentes desconocidas, cuando estos lleguen al correo electrónico o al navegar en internet. 100. Seguridad en el equipo de cómputo.34 A. Actualmente tener una computadora en casa, escuela u oficina es muy habitual. B. No hace falta ser una persona experta en tecnología para poder beneficiarse de las innumerables funcionalidades que ofrecen: redacción de textos, edición de imágenes, conexión a internet, utilidades multimedia, entre otras. C. Sin embargo, es necesario seguir ciertas medidas de seguridad para mantener nuestro equipo de cómputo en buen estado de funcionamiento. 101. ¿Cómo proteger el equipo de cómputo? A. Instalar y mantener actualizado el antivirus. B. Actualizar periódicamente el sistema operativo. C. Crear usuarios con privilegios limitados. 34 Ibídem, p. 12. 39 D. Cambiar periódicamente la contraseña. E. Evitar instalar programas sin tener la licencia del proveedor (piratas). F. Mantener actualizado el navegador web (firefox, chrome, safari, entre otros). 102. La contraseña robusta es aquella que otras personas no pueden adivinar, aun utilizando programas automatizados. A. Al crear una contraseña, no se debe utilizar información personal, patrones de teclado, secuencias de números o caracteres repetidos. B. Evitar anotar la contraseña en una hoja de papel, post-it, bloc de notas o comunicarlo al personal. C. No escribir la contraseña en programas de mensajería instantánea o correo electrónico. 103. Consejos para crear una contraseña robusta:35 A. Al crear la contraseña se debe incluir números. B. Utilizar una combinación de letras mayúsculas y minúsculas. C. Incluir caracteres especiales, por ejemplo: -# !”$%&/()=?¡_[]{}+*~°|¬. D. Buscar que tenga una longitud mayor a ocho caracteres. E. No utilizar frases comunes o espacios en blanco. 35 Ibíd. p. 8. 40 104. Identificar correos maliciosos, la intención de estos correos es aprovecharse del desconocimiento, ingenuidad o buena voluntad, para obtener información que directamente no se proporcionaría; información que puede ir desde cuentas de correo electrónico hasta datos bancarios.36 105. El objetivo de un correo malicioso es: A. Robar y compartir datos personales, incluidas las contraseñas, información de contactos y/o información bancaria. B. Obtener un beneficio económico. C. Comprometer la seguridad del equipo de cómputo. 106. ¿Cómo protegerse de los correos maliciosos? A. Nunca descargar o aceptar enlaces de remitentes desconocidos. B. Desconfiar de los correos que ofrecen algún tipo de regalos. C. Utilizar un antivirus autorizado y analizar siempre los archivos adjuntos antes de abrirlos. D. No contestar los correos spam, ya que se utiliza para confirmar que la cuenta es válida. E. Los contactos personales pueden enviar correos maliciosos, cuando estos correos se encuentran infectados con algún tipo de software malicioso. 107. Conductas inadecuadas en internet.37 A. Frecuentemente se piensa que lo que se hace en internet es anónimo y ajeno a nuestras leyes, pero no es así. 36 Ibídem, p. 9. 37 Ibíd., p. 13. 41 B. Algunas conductas en internet pueden ocasionar daño a las personas y a la vez constituir un delito. 108. Por lo anterior, se describen algunas de ellas, a fin de crear cultura y conciencia, y de esta forma proteger a la persona, familia y el entorno de trabajo, es importante recordar que, si se está conectado, se está en riesgo. 109. El ciberacoso, también conocido como cyberbullying, engloba el uso de las tecnologías de información y comunicaciones, para causar daño psicológico, verbal o social de manera repetida, deliberada y violenta. Este abuso se comete mayormente entre grupos de niños, niñas y adolescentes.38 110. Recomendaciones en caso de ciberacoso. A. Evitar contestar a las provocaciones o insultos. B. La mayoría de las redes sociales tienen mecanismos de seguridad, denuncia y bloqueo, activarlas cuando la persona se sienta ofendida, acosada o amenazada. C. Si hay acoso, pedir ayuda con urgencia a una persona de confianza, si esta conducta se presenta entre el personal militar se deberá dar parte de inmediato. D. Comportarse con respeto hacia los demás en las redes sociales. 111. Chantaje sexual en el ciberespacio (sextorsión). Esta conducta se presenta cuando alguien amenaza a otra persona con difundir fotografías o videos de ésta con poca o sin ropa, si no accede a alguna petición; se recomienda lo siguiente.39 A. Detener la conversación o relación y no acceder al chantaje, en ninguna circunstancia. Pedir ayuda y dar parte si esta conducta se comete entre personal militar. 38 Ibídem, p. 14. 39 Ibíd. p. 15. 42 B. Configurar las redes sociales para que solo las amistades, familiares o personas de confianza puedan ver el perfil personal. C. Guardar todas las comunicaciones en la computadora o teléfono para poder denunciar en caso de presentarse una conducta inapropiada, ¡no borrarlas! 112. Mensajes sexuales en el ciberespacio (sexting). Es el envío o recepción de contenido de tipo sexual, principalmente fotografías o videos, los cuales son producidos por quien los envía a través de las TIC.40 113. El sexting se da de forma voluntaria cuando: A. A través de engaños se envían fotografías y/o videos con poca o sin ropa, a personas que han ganado la confianza de la persona, pero no la conoce en la vida real. B. En una relación sentimental o de amistad enviar fotografías y/o videos con poca o sin ropa. 114. Se debe tener precaución: A. Durante una conversación a través de una cámara de computadora, esta puede capturar y/o grabar imágenes que pueden ser publicadas en internet. B. Aunque se utilicen contraseñas y otros mecanismos de seguridad, las fotografías y videos del celular o computadora pueden compartirse en internet por robo, error, broma o extravío. C. La exposición de imágenes sexuales produce un daño irreparable a la privacidad e integridad de la persona y de sus familiares. D. Una vez que las imágenes o videos se envían a través del ciberespacio se pierde el control de ellos y pueden ser mal utilizados por cualquier persona. 40 Ibídem, p. 16. 43 115. Seducción en línea (grooming). Son las acciones que realiza un adulto utilizando engaños y mentiras que busca ganarse la confianza de niñas, niños y adolescentes, haciendo uso de las TIC. El grooming es utilizado como un medio para cometer delitos de violencia sexual, explotación y trata de personas.41 116. La persona que hace grooming suele utilizar las redes sociales, chats, juegos en línea y foros para contactar y hacer amistad con sus víctimas. Regularmente las atrae con un perfil atractivo para brindar confianza, en sus conversaciones expresa los mismos gustos, emociones y utiliza similares expresiones, lenguaje y/o emoticones para simpatizar con sus víctimas. Se presenta como el amigo, amiga, pareja perfecta o tener gran cantidad de seguidores en sus redes sociales (influencer). 117. Fases del grooming. La persona que hace esta actividad recurre a las siguientes acciones: A. Identifica o contacta a la víctima usando perfiles falsos, invitándole a ser su amigo o amiga. B. Querrá asegurarse que el niño, niña o adolescente acceda a hablar directamente, por lo que conversará sobre temas de interés, hablará de su situación familiar y de relaciones sentimentales, con el fin de crear un vínculo de amistad; hará preguntas sobre la edad y ubicación, e intentará conocer los gustos para adaptarse a ellos. Su objetivo es generar confianza. C. Obtener contenido íntimo que le permitirá ejercer presión sobre su víctima. 118. Algunos de los ciberataques más comunes que se producen a través de los usuarios y que pueden escalar hasta afectar los activos críticos de una organización o de un Estado son los que a continuación se describen. 41 Ibídem, p 18. 44 119. El phishing es un método de ataque que utiliza el correo electrónico o un servicio de mensajería, como las redes sociales, que pretende engañar a la víctima para que realice una acción como aceptar un enlace o descargar un archivo adjunto, con el riesgo de divulgar información confidencial, datos personales, contraseñas, entre otros, o que el equipo de cómputo sea infectado por algún virus informático. 120. Este tipo de ataque comienza con un señuelo, cuando se recibe un correo electrónico que parece ser de un remitente confiable y presenta las características siguientes: A. Tiene alto sentido de urgencia y solicita una acción inmediata como: abrir un enlace a un sitio falso, descargar archivos o enviar información personal de usuarios y contraseñas, poniendo en riesgo la información de la víctima, ya que facilitan a terceros la capacidad de intrusión o afectación a los equipos de cómputo para obtener algún beneficio o desprestigio a la Institución. B. Los correos electrónicos del tipo phishing a menudo intentan utilizar desencadenantes emocionales para que se reaccione rápidamente sin pensar en si se debe responder. C. Estos correos electrónicos generalmente incluyen instrucciones para responder con información privada o proporcionan enlace a un sitio web para verificar la cuenta solicitando información personal o confidencial. 121. Por lo anterior se recomienda seguir las siguientes medidas para evitar ser víctima de este ciberataque: A. Mantener actualizado el antivirus. B. Evitar abrir correos electrónicos de remitentes que no sean familiares y/o hacer acceder a un enlace dentro de un correo electrónico, a menos que se sepa exactamente a dónde lleva. 45 C. Si se sospecha que un correo electrónico no es legítimo, se puede seleccionar un nombre o parte del texto del mensaje e introducirlo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos. D. Desconfiar de mensajes que piden actualizar una contraseña que no se solicitó o realizar una acción inmediata como abrir un archivo o enlace. 122. Una amenaza persistente avanzada (APT por sus siglas en inglés), es un tipo de ciberataque que se realiza con el propósito de acceder a una red o sistema, infiltrándose de manera anónima, sigilosa y desapercibida, buscando perpetuarse para tomar el control de los activos de TIC, hasta obtener una ventaja estratégica en un período de tiempo prolongado, mediante el empleo de técnicas, tácticas y procedimientos. 123. También se denomina con estas siglas a algunos grupos organizados de expertos, asociados o no a un Estado-Nación; estos grupos tienen conocimientos muy sofisticados y un alto nivel de organización, en muchos casos sus acciones trascienden las fronteras de los países, afectan a regiones enteras y a la comunidad internacional en su conjunto. 124. Otro de los ciberataques más comunes en la segunda década del siglo XXI es el ransomware, que es un tipo de ciberataque que amenaza con publicar datos de la víctima o bloquear permanentemente el acceso a ellos, normalmente a través del cifrado de los ficheros de la víctima, si no se aviene a pagar un rescate. 46 125. La principal forma que utilizan los ciberatacantes para lograr sus objetivos es la ingeniería social,42 la cual es un conjunto de técnicas que los delincuentes usan para engañar a las o los usuarios de sistemas/servicios de las TIC para que les faciliten datos que les aporten valor, ya sean credenciales, información sobre los sistemas, servicios instalados, entre otros. 126. Por lo anterior, es de vital importancia fortalecer la cultura de ciberseguridad y ciberdefensa, logrando un consenso en el lenguaje de estas especialidades y la adopción de buenos hábitos al interactuar en el ciberespacio. 127. En la siguiente figura se resume el contenido del presente capitulo, como una ayuda didáctica para su mejor comprensión (figura Núm. 7). 42 Instituto Nacional de Ciberseguridad (2020), Glosario de términos de ciberseguridad una guía de aproximación para el empresario, Instituto Nacional de Ciberseguridad , España, p. 51. 47 Figura Número 7 Medidas de ciberseguridad 48 Siglas Para efectos de este manual, se entenderá por: APT Amenaza Persistente Avanzada. IVR Inteligencia, Vigilancia y Reconocimiento. RTM Red Telefónica Militar. TI Tecnologías de la Información. Tecnologías de la Información y TIC Comunicaciones. 49 Bibliografía Diario Oficial de la Federación (2022), Ley General de Archivos, México, última reforma 19-01-2023. __________________________ (2021), Ley General de Transparencia y Acceso a la Información Pública, D.O.F., México, última reforma 20-05-2021. Instituto Nacional de Ciberseguridad (2020), Glosario de términos de ciberseguridad una guía de aproximación para el empresario, Instituto Nacional de Ciberseguridad, España. Junta Interamericana de Defensa (2020), Guía de Ciberdefensa, Orientaciones para el Diseño, Planeamiento, Implantación y Desarrollo de una Ciberdefensa Militar, JID, Canadá. Klimburg, Alexander (2012), National Cyber Security Framework Manual, Tallinn, Estonia. Organización del Tratado del Atlántico Norte, (s/f) “Ciberdefensa”, OTAN, consultado el 10 enero 2023, recuperado de: https://www3.nato.int/cps/en/natohq/topics_78170.htm. Secretaría de la Defensa Nacional (2022) Manual de Guerra Irregular, S.D.N., México. ______________________________ (2016), Manual de Aspectos Administrativos del Servicio de Transmisiones, S.D.N. México. ______________________________ (2018), Manual de Archivo del Ejército y Fuerza Aérea Mexicanos, S.D.N., México. ______________________________ (2018), Manual de Operaciones Militares, S.D.N., México. ______________________________ (2020), Guía de Seguridad en las Tecnologías de la Información, S.D.N., México. 50 ______________________________ (2021), Glosario de Términos Unificados de Inteligencia y Contrainteligencia, S.D.N., México. ______________________________ S.D.N. (2021), Glosario de Términos SEDENA-MARINA en Materia de Seguridad en el Ciberespacio, S.D.N., México. ______________________________ S.D.N. (2021), Manual de Aspectos Técnicos del Servicio de Transmisiones, S.D.N., México. ______________________________ S.D.N. (2021), Manual de Inteligencia Militar, S.D.N., México. ______________________________ S.D.N. (2022), Cartilla de Ciberseguridad, S.D.N., México. ______________________________ S.D.N. (2022), Manual de Aspectos Técnicos del Servicio de Informática, S.D.N., México. ______________________________ S.D.N. (2022), Manual de Contrainteligencia, S.D.N., México. ______________________________ S.D.N. (2022), Manual de Operaciones de Inteligencia, Vigilancia y Reconocimiento (IVR), S.D.N., México. Página web del Diccionario de la Lengua Española dle.rae.es. Organismo responsable de elaboración y/o actualización DN-1, S-2 (Intl.) del E.M.C.D.N. Creación 2023 Revisión en la S-6 (E. y D.M.) del 2023 E.M.C.D.N. Próxima Revisión 2025 Texto alineado a las directivas sobre el uso del lenguaje incluyente y políticas de igualdad de género.