Fuente: abc.es (19-06-2011)

La seguridad nacional ya no se juega en un campo de batalla, ni depende de la información sensible que espías más o menos intrépidos puedan obtener en los países en los que se despliegan. Internet ha cambiado el escenario para siempre; el espacio virtual no pertenece a nadie y sin embargo en él se ventilan intereses críticos para los Estados. La globalización alcanza aquí su máximo sentido. El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), está diseñado para conjurar esas amenazas, cuyos perfiles cambian casi a diario.  Solo un dato: en lo que va de año, ha dado respuesta a unos 80 incidentes muy graves o críticos. En total, en ese periodo ha habido medio millar.

En el CCN lo tienen claro: «La tecnología plantea a diario nuevos retos de seguridad. Cada vez hay más redes informáticas empresariales, los móviles son capaces de conectarse a ellas.… Son herramientas que mejoran la eficacia de las administraciones públicas y de las grandes compañías, pero a cambio los riesgos de ataques informáticos aumentan». El ejemplo es claro: hasta ahora hemos podido proteger un edificio de una agresión convencional, ¿pero podemos decir lo mismo de la información que ese inmueble alberga? La magnitud del desafío se explica con algunas cifras. En 2008, el 14,9 de las vulnerabilidades detectadas en el ámbito de las administraciones fueron de nivel alto. Al año siguiente, alcanzaron el 21,2%, y en 2010 llegaron al 30,7. Cada año, se descubren unas 8.000. La amenaza, pues, crece. En el Centro Criptológico Nacional lo explican: «No hay que dramatizar. Los sistemas de detección han mejorado mucho».

«Cada vez hay más ciberataques – sostienen las mismas fuentes  – porque tienen un bajo coste; las herramientas necesarias para realizarlos son de un manejo relativamente sencillo; resultan muy rentables y efectivas, ya que de la red se puede sacar mucha información susceptible de traducirse en beneficios económicos, y cuando se produce una agresión compleja es extremadamente difícil atribuir una autoría».

Las investigaciones y el trabajo de inteligencia indican que en España hay hackers de primer nivel, aunque rara vez atacan en nuestro país.  De nuevo la ecuación riesgo-beneficio es decisiva: «Saben que aquí hay leyes investigadores capaces de descubrirlos. Lo habitual es que las agresiones tengan su origen en terceros países, como Bielorrusia, Rusia, Ucrania, Brasil o China, por poner algún ejemplo. Allí es mucho más difícil que se les aplique una legislación que a veces ni siquiera existe».

La mayor parte de los ataques, hasta un 65%, corresponde a la introducción de códigos dañinos en los sistemas informáticos, lo que se conoce como troyanos. En sa categoría se incluyen aquellos que se utilizan para obtener información sensible de datos bancarios; virus diseñados para dañar equipos; programas espía que permiten acceder al corazón de las redes más delicadas de información, e incluso aquellos que buscan infectar ordenadores para convertirlos en zombies; es decir, para que sin que el usuario lo detecte la terminal quede a merced de las órdenes que le suministra un tercero.

En este contexto, la figura del hacker, es decisiva. En el CCN se destaca que los mejores se han profesionalizado y pueden jugar tanto en el bando de la ley – en ese caso es más preciso y evita connnotaciones peyorativas denominarlos expertos en seguridad informática -, como en el de los criminales. Más de medio centenar colaboran con el Centro aportando información, análisis, elaborando respuestas ante una crisis y alertando de vulnerabilidades. Claro que también existe la otra cara de la moneda: no pocos hacker venden sus servicios a tramas criminales o incluso a servicios de inteligencia de Estados que quieren obtener información sensible de otros países. Es lo que se conoce como ciberespionaje, que afecta no solo a las administraciones, sino también a empresas punteras.

Junto a este concepto se habla de la ciberguerra, que no deja de ser un intento por parte de los países de aprovechar todas las posibilidades del ciberespacio. «Pero el foco, de momento, se está poniendo en el aspecto defensivo», afirman las fuentes consultadas.

El tercer término peliagudo sería el de ciberterrorismo. En el CCN prefieren hablar del «uso del ciberespacio por parte de terroristas» comunicaciones entre ellos, utilización de herramientas para obtener información de la red, el uso de Internet como medio de propaganda y también como herramienta de financiación. «Para que puedan perpetrar agresiones – sostienen en el Centro – hace falta una preparación técnica muy avanzada, que hasta ahora no se les ha detectado. De hecho, en este punto el nivel de amenaza actual está calificado de bajo o muy bajo». «Cuestión distinta -añaden- es que sean capaces de atacar sistemas de infraestructuras críticas que, no hay que olvidarlo, están en un 80% en manos del sector privado».

En España no hay cuantificación de las pérdidas causadas por los ataques, al contrario de lo que sucede en el Reino Unido. Allí, el CPNI calcula en 27.000 millones de libras los daños causados por la ciberdelincuencia.  «Aquí, a nuestra escala económica, las cifras pueden ser igual de mareantes», apuntan las fuentes.

….

Temario

01.- Visión General
02.-Cyberdelincuencia económica
03- Cyberdelincuencia intrusiva
04.- Prevención y Protección
05.- Aspectos procesales

Información ampliada en el folleto del curso.

Profesorado:

Emilio Aced. Subdirector Gral. del Registro de Ficheros y Consultoria. Agencia de Proteccion de

Datos de la Comunidad de Madrid.

Carlos Bachmaier. Director Corporate Risk Management&IS Audit. Loterias y Apuestas del Estado

Antoni Bosch. Director General Institute of Audit &IT-Governance. Director DPI-ISMS. Presidente

Fundador ISACA-Barcelona

José Carrillo. Profesor Titular UPM. Presidente de AEMES

Manuel de Juan. Catedratico. Director Instituto de Ciencias Forenses y de la seguridad. UAM

José Manuel Maza. Magistrado del Tribunal Supremo.

Roberto Moriyón. Catedratico de Lenguajes y Sistemas Informaticos. UAM

Alvaro Ortigosa. Director de proyectos I+D. ICFS-UAM.

Pablo Pérez. Gerente del Observatorio de la Seguridad de la Informacion . INTECO

José Luis Piñar. Catedratico de Derecho Administrativo. Universidad San Pablo CEU. Ha sido

Director de la Agencia Espanola de Proteccion de Datos

Jorge Ramió. Profesor Titular UPM. Director de CriptoRed y de la Catedra UPM Applus+

Antonio Ramos. Director de Unified Management Security Services. S21SEC

Jesús Rubí. Adjunto al Director. Agencia Espanola de Proteccion de Datos.

Juan Salom. Comandante y Director de la Unidad Central Operativa. Policia Judicial. Guardia Civil

Albano Sanchez-Ossorio. Decano del Colegio de Ingenieria Tecnica en Informatica de Catalunya.

Manuel Vázquez. Comisario jefe de la Brigada de Investigacion Tecnologica. Policia Judicial

Eloy Velasco. Magistrado de la Audiencia Nacional.

Información y matrícula

El precio de la matricula es de 1500 euros para Colegiados de cualquier Colegio de Ingeniería o Ingeniería Técnica en Informática de España y de 3000 euros para los no colegiados. El precio incluye toda la documentación y materiales necesarios para el seguimiento del programa.

Coordinacion del Programa

Oscar del Moral Queipo. E-mail: omoral.en@ceu.es

Escuela de Negocios CEU

Carrera de San Francisco 2, 28005 Madrid

Telefono: 91 354 07 18, Fax: 91 354 07 36. E-mail: en@ceu.es

www.en.ceu.es www.ceu.es

Así, respecto al ENS puede leerse lo siguiente:

La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.

El Gobierno, como no podía ser de otra manera, continúa así regulando la Informática. Sin embargo, y a pesar de la creciente demanda social, sigue sin regular la profesión lo cual constituye en sí mismo un sinsentido y una auténtica disonancia cognitiva: se definen unos requisitos mínimos para los sistemas informáticos que tratarán los datos de los ciudadanos, pero no se establece ninguna garantía acerca de los conocimientos que deberán tener los profesionales que los desarrollen, implanten, evalúen o auditen de manera que se asegure que dichos requisitos efectivamente se alcancen y que el resultado final salvaguarde los derechos de los ciudadanos.

Por otro lado, en una economía globalizada en la que los sectores productivos se mueven cada vez más a golpe de ratón, donde se realizan diariamente transacciones por valor de miles de millones de euros, resulta vital la confianza que las Administraciones Públicas deben transmitir a personas y a empresas. Esta confianza es el necesario catalizador capaz de provocar las sinergias y el cambio de modelo productivo que cual maná deberá sacarnos a todos de la crisis .

Y es ahora más que nunca, en medio de esta travesía en el desierto de la profunda recesión, cuando no podemos permitirnos perder el tren de la competitividad. Tenemos material humano, acaso nos falte la voluntad política.

¿De verdad quieren crear confianza? Regulen las Ingenierías Informáticas.

…………………………………………………………………………………………………………………………………

Esquema Nacional de Interoperabilidad

http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1331.pdf

Esquema Nacional de Seguridad

http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1330.pdf

Según ha podido saber EL PAÍS, en 2009 se produjeron más de 40 incidentes “graves” en instituciones y organismos clave españoles. Las fuentes del Centro Nacional de Inteligencia (CNI) que confirman esas más de 40 intervenciones, no facilitan información sobre la procedencia de los ataques. Pero esta es la primera vez que los servicios de inteligencia españoles admiten haber intervenido ante este tipo de acciones.

…Hoy en día, nadie está a salvo de los ciberespías. Ningún ministerio en España lo está. Ni siquiera el propio CNI. Según reconoce una fuente de este centro, el año pasado se produjeron cuatro ataques directos contra los servicios de inteligencia españoles: dos contra el CNI y dos contra el Centro Criptográfico Nacional (CCN), el órgano que garantiza la seguridad de las tecnologías de la información en la Administración y que depende del propio CNI.

…Según señalan desde el CNI, hace tres años los países occidentales destinaban un 1% de sus recursos de inteligencia a la ciberdefensa. Ahora este concepto engloba en torno a un 15% de los recursos. El Centro Criptológico Nacional ha triplicado su personal en los últimos cuatro años.

…A la hora de fichar agentes en España, Jiménez explica que los grupos de investigación de universidades son un buen caladero. En cuanto al contacto con los hackers malos, explica: “Hay un mundo underground con el que se habla, al que hay que acercarse. Pero no puedo detallar procedimientos”.

Son varios los expertos que se quejan de la lentitud de los cambios en el otro gran capítulo, el de la protección de las infraestructuras básicas. “Aún estamos bastante en pañales”, declara un alto cargo que trabaja para el Ministerio de Defensa. Opinión que ratifica Xabier Michelena, miembro del Consejo Nacional Consultivo de Ciberseguridad, que agrupa a las empresas españolas del sector. Francia, Alemania y Reino Unido llevan mucho más tiempo trabajando en este campo.

…Son más de 3.500 las infraestructuras que ya han sido catalogadas en España en el plan español. A escasos 18 kilómetros de Madrid, en un polígono industrial de Alcobendas, hay un edificio en el que todas las empresas allí ubicadas forman parte del plan. En su interior, un búnker: el Centro de Operaciones de Seguridad (SOC, siglas en inglés) del Laboratorio de Seguridad en Infraestructuras Críticas. Un lugar que el Ejército protegería en caso de un ciberataque importante.

El gran plan de seguridad español está unido al desarrollo del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), que depende de la Secretaría de Estado de Seguridad. Los profesionales del sector consultados por este periódico se quejan de que camina lento y reclaman cambios normativos urgentes. El viernes por la noche, un portavoz del Ministerio del Interior confirmaba que el Ministerio es consciente de esa necesidad y que se está trabajando en alguna reforma legal que permita mejorar el funcionamiento del centro.

…”Sin seguridad en la Red, no hay libertad“, afirma el senador, Félix Lavilla, senador del PSOE que impulsó una moción en el Senado para agilizar las cuestiones de seguridad nacional. Según avancen estos planes no tardarán en surgir voces que reclamen que no se cometan atropellos en nombre de la seguridad, que no se pisotee el derecho a la intimidad. Ya le ha pasado a Obama en Estados Unidos, cuando lanzó su plan de Homeland Security. Las críticas le vinieron de senadores de sus propias filas, demócratas.

La Fiscalía General del Estado (FGE) subraya la necesidad de unificar criterios en todas las comunidades autónomas para luchar contra el aumento de delitos informáticos, mejorar la formación de los fiscales y crear un encargado de esta materia en todas las fiscalías.

Éstas son algunas de las medidas propuestas en la Memoria de la Fiscalía de 2008 que destaca que los delitos informáticos con más incidencia son los relacionados con la tenencia y distribución de material de pornografía infantil y las estafas bancarias.

La Fiscalía sugiere adoptar medidas destinadas a mejorar la formación de los fiscales en esta materia y a disponer de un encargado de delitos informáticos en todas las fiscalías, que sirva de enlace con la FGE.

Con el objetivo de establecer criterios uniformes en el registro, la Fiscalía de Granada propone la elaboración de un catálogo de los tipos legales cuya comisión esté relacionada con las nuevas tecnologías. “La delincuencia informática sigue reflejándose de forma muy diversa en las memorias de cada una de las fiscalías”, reconoce esta fiscalía, una realidad que atribuye a la falta de un sistema estadístico eficaz.

…

]]> http://www.coitic.es/blog/2009/09/21/la-fiscalia-pide-unificar-criterios-para-luchar-contra-los-delitos-informaticos/feed/ 0 http://www.coitic.es/blog/2009/07/13/nace-la-oficina-de-seguridad-del-internauta/ http://www.coitic.es/blog/2009/07/13/nace-la-oficina-de-seguridad-del-internauta/#comments Mon, 13 Jul 2009 20:21:41 +0000 COITIC http://www.coitic.es/blog/?p=160 INTECO anuncia la puesta en marcha de la Oficina de Seguridad del Internauta
Los servicios que ofrece la OSI son los siguientes:

• Conceptos y amenazas de seguridad: Además de la posibilidad de realizar un test a través del que el usuario puede evaluar su nivel de conocimiento sobre la seguridad en la red, se ofrece un ABC sobre los principales problemas y amenazas en Internet.




• Ayuda ante dudas y problemas: Ante cualquier problema que pueda surgir, la Oficina de Seguridad del Internauta pone a la disposición del usuario un número de teléfono (901 111 121), un foro y un asistente de seguridad online a través del que el usuario puede ponerse en contacto con el equipo de soporte especializado.




• Recomendaciones y herramientas: Consejos y acceso a software con el que proteger el correo del usuario, su navegación, equipo informático y conexión a Internet.

Durante toda la mañana los problemas de seguridad se han multiplicado en popular.es, la nueva red social del PP estrenada este mismo lunes para promover la participación en las elecciones europeas.

Con ánimo de ganar en cercanía y proactividad, el PP lanzó una web (popular.es) en la que cualquiera podía darse de alta, crear un perfil, subir sus fotos, comentar qué estaba haciendo, debatir propuestas y planear a qué actos de campaña pensaban asistir.

Sin embargo, la seguridad de la plataforma ha quedado en entredicho sólo un día después de su estreno. Un error en la misma permitía acceder a los perfiles personales de todos los usuarios en lugar de respetar las restricciones que ellos mismos escogen al darse de alta.

Tanto el perfil de Mariano Rajoy como el de Jaime Mayor Oreja han sido los favoritos de los atacantes. El fallo de programación permitía modificar cualquier dato de los usuarios, así como conocer con qué correo se registraron. Para ello bastaba con modificar en la dirección del navegador el número que se da a cada usuario para poder modificar el perfil asociado al número.

Para evidenciar el error los propios hackers han creado un perfil que no existía, el de Esperanza Aguirre, aunque pronto ha sido neutralizado. Asímismo, han hecho público el correo de Mayor Oreja en su propio perfil.

Los propios hackers que han hecho los cambios, que prefieren mantenerse en el anonimato, han explicado en donde reside la tara: “El error técnico está en los controles de sesión; es un defecto de programación de base. Mezclan autentificación por sesiones, cookies y variables”. Han añadido que para poder corregir el error de manera efectiva sería necesario cerrar el servicio durante el arreglo de la avería.

Desde el departamento de prensa del Partido Popular aseguran que esto sucedió durante el lunes, pero no en la mañana del martes. Aunque son muchas las capturas de pantalla que se reproducen en diferentes blogs no terminan de tomarlas como válidas. “No decimos que las hayan hecho con PhotoShop, pero es fácil de hacer” aseveraban los responsables de medios de PP. Este tipo de errores pueden acarrear consecuencias de tipo legal, hecho que desde el Partido Popular aseguran que no sucederá: “No es un error de seguridad, sino de programación. Anoche se solucionó”.

DE INGENIEROS TÉCNICOS EN INFORMÁTICA DE CANARIAS

NOTA DE PRENSA

Según informan diferentes medios de comunicación, recientemente se dieron a conocer serios problemas en la infraestructura informática de los juzgados de la provincia de Santa Cruz de Tenerife.

Los problemas son originados, al parecer, por la propagación de un gusano informático a través de la infraestructura de telecomunicaciones del Gobierno de Canarias y que ha afectado a todas las Consejerías, pero con especial incidencia a las de Sanidad y Justicia, produciéndose notorias demoras en los Juzgados y afectando, según citan esas mismas fuentes, a la confidencialidad de datos altamente sensibles como casos clínicos y procedimientos judiciales.

El Colegio Profesional de Ingenieros Técnicos en Informática de Canarias (COITIC) se reserva su opinión sobre estas afirmaciones, hasta poder analizar las causas e implicaciones de este incidente.

No obstante, tenemos la obligación de informar que detrás de cada fallo técnico se esconde una cadena de carencias que deben ser reveladas, falta de proyectos, falta de planificación, falta de responsabilidad, en definitiva, una falta de regulación del sector que nos está llevando a niveles de inseguridad y desconfianza en la tecnología y en la Informática nada deseables.

La Informática profesional no es un juego: de ella dependen nuestros datos, el funcionamiento de nuestras Instituciones y, en ocasiones, vidas humanas.

El Colegio reclama pues la urgente regulación profesional que garantice la calidad y seguridad de los sistemas de información y continuará trabajando en pos de este objetivo, de manera que se acabe con la inseguridad y desconfianza que, de manera general, se percibe en la sociedad sobre la tecnología.

Desde el Colegio Profesional de Ingenieros Técnicos en Informática de Canarias tendemos pues nuestra mano a las Autoridades Canarias para tratar de impedir que dichos hechos se vuelvan a repetir, y los ciudadanos puedan por fin disponer de una Administración moderna, eficaz y segura que todos los canarios nos merecemos.