34
Segundo cuatrimestre 2016
artículo técnico
Ciberseguridad
A
nivel internacional, las cor-
poraciones privadas y las ad-
ministraciones públicas son
totalmente conscientes de lo vulnera-
bles que son sus activos digitales ante
las constantes amenazas cibernéticas.
Cuestión aparte es si la alta dirección
conoce la traducción de tales amenazas
en términos de negocio, área en la que
falta aún mucha concienciación y vi-
sión tanto por parte de las unidades de
negocio como de los profesionales del
mundo de la ciberseguridad. Tales ries-
gos no dejan de incrementarse año tras
año, y no sólo en número y frecuencia
de ocurrencia, sino también en lo que a
la sofisticación de los ataques se refiere.
No obstante, seguimos compro-
bando cómo un considerable número
de los ataques efectuados hacen uso
de vulnerabilidades conocidas desde
hace años, las cuales, supuestamente,
debían haber sido oportunamente so-
lucionadas en las infraestructuras tec-
nológicas. Asimismo, siguen siendo no-
torias las brechas provocadas por una
falta de cultura de seguridad en las or-
ganizaciones, por lo que podemos de-
cir que una de sus principales preocu-
paciones debe ser la introducción de
esa cultura y de una concienciación so-
bre el riesgo digital.
Esa falta de madurez nos muestra, en
la mayoría de los casos, la ausencia de
una mínima capa tecnológica en mate-
ria de ciberseguridad que permita a las
organizaciones filtrar un importante nú-
mero de ataques contra sus sistemas.
Por otro lado, y con un grado de impor-
tancia aún mayor, comprobamos cómo
las carencias o, directamente, la inexis-
tencia de un proceso de seguridad ha-
cen que las organizaciones sean extre-
madamente vulnerables. Por lo tanto,
podemos concluir que contar con un
proceso en materia de seguridad, y el
despliegue de soluciones tecnológicas
de valor, hará que el nivel de madurez
de las organizaciones aumente conside-
rablemente.
Ataques sofisticados
Otro tema aparte son los ataques sofis-
ticados, donde adversarios con recursos
y conocimientos elevados pueden lan-
zar ataques dirigidos contra nuestros sis-
temas. El concepto ligado a este tipo de
vectores de ataque lo representan las
amenazas persistentes avanzadas (APT,
por sus siglas en inglés), pero, usual-
mente, se emplea de forma errónea.
Una APT no es un ataque concreto
lanzado en un momento determinado
contra una organización durante un
cierto umbral de tiempo, sino el grupo
de adversarios que intentan aten-
tar contra una organización y el ciclo
de vida del proceso que emplean para
conseguir sus objetivos. En cualquier
caso, y como se comentaba anterior-
mente, debemos ser francos con no-
sotros mismos y entender que la ver-
dadera preocupación de las organiza-
ciones ha de ser alcanzar un nivel de
madurez en ciberseguridad sensato y
acorde a sus necesidades de negocio.
Una vez logrado este hito podremos
preocuparnos de cuestiones mayores.
Niveles de madurez
Dentro de este preocupante contexto
también existen diferentes niveles de
madurez y enfoques en los distintos paí-
ses y bloques geográficos. Por ejemplo,
en España se sigue avanzando con la im-
plantación del Esquema Nacional de Se-
guridad, que persigue que las adminis-
traciones públicas y los servicios que
presten a la ciudadanía tengan unas mí-
nimas condiciones de seguridad. Y ello
tanto desde el punto de vista de activos
nacionales estratégicos como desde el
razonamiento de que una verdadera ad-
ministración electrónica sólo podrá te-
ner lugar si los sistemas que lo sustentan
son fiables y, por lo tanto, los servicios
prestados tienen al menos las mismas
garantías que sus equivalentes en for-
mato manual o presencial.
Igualmente, la Unión Europea sigue
avanzando en su lucha contra la ciber-
delincuencia y el diseño de un espacio
digital donde se preserven los derechos
digitales de los ciudadanos. En ese sen-
tido, tenemos la Directiva NIS (Network
and Information Security), que da forma
a la construcción de una estrategia eu-
ropea en materia de ciberseguridad, los
mecanismos de cooperación para el in-
tercambio de información y la constitu-
ción de las pertinentes autoridades na-
cionales en esta área.
Retos latinoamericanos
En relación a Latinoamérica, un impor-
tante punto de partida es el informe rea-
lizado por el Banco Interamericano de
Desarrollo (BID) y la Organización de los
Estados Americanos (OEA), estudio en el
que se ponen de manifiesto una serie de
carencias de importancia en cibersegu-
ridad. Así, encontramos que un conside-
rable número de países no cuenta con
las oportunas estrategias y planes para
proteger sus infraestructuras críticas. Por
otro lado, y también como un factor real-
mente importante, se identifica la inexis-
tencia de legislación específica en esta
materia que permita perseguir oportu-
namente los delitos llevados a cabo. Y
aún queda todo o casi todo por hacer en
cuanto a la cooperación entre los diver-
José Antonio Rubio Blanco
PhD Ciberseguridad y Confianza Digital. Director de Responsabilidad Social y
Tecnopolítica. Fundación Ciencias de la Documentación
Confianza digital en Latinoamérica