Ciberseguridad

Figura 3. Tipos de incidentes. Fuente: CCI y Check Point Software Technologies, “Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España”, mayo de 2019.

Tema

Nuestra economía y sociedad dependen del sector energético y debemos asegurar su resiliencia ante incidentes de ciberseguridad.

Resumen

Las economías desarrolladas dependen para su funcionamiento de la energía en sus diferentes formas. Por este motivo, el objetivo de las infraestructuras energéticas es ofrecer un suministro de energía continuo e ininterrumpido, y esto sólo puede lograrse si la cadena energética, desde la generación al suministro, funciona apropiadamente y de forma segura.

La resiliencia es un reto para cualquier organización, pero, dadas las características del sector de la energía y su importante papel en nuestra economía y sociedad, es de vital importancia la resiliencia del ecosistema energético ante ciberataques.…  Seguir leyendo »

A computer hacked by a virus known as Petya. The Petya ransomware cyberattack hit computers of Russian and Ukrainian companies on 27 June 2017. Photo: Getty Images.

In discussions to date about how international law applies in cyberspace, commentators have tended to focus their attention on how the rules on the use of force, or the law of armed conflict, apply to cyber activities conducted by states that give rise to physical damage, injury or death.

But in practice, the vast majority of state cyberattacks fall below this threshold. Far more common are persistent, low-level attacks that may leave no physical trace but that are capable of doing significant damage to a state’s ability to control its systems, often at serious economic cost.

Such cyber incursions might include network disruptions in the operation of another government’s websites; tampering with electoral infrastructure to change or undermine the result; or using cyber means to destabilize another state’s financial sector.…  Seguir leyendo »

Ocho normas para la estabilidad en el ciberespacio

En poco más de una generación, Internet se ha convertido en un sustrato vital para las interacciones económicas, sociales y políticas, y ha hecho posibles enormes avances. Pero una mayor interdependencia trae consigo vulnerabilidades y conflictos. La cantidad de ataques de actores estatales y no estatales ha aumentado, lo que pone en riesgo la estabilidad del ciberespacio.

En noviembre, en el Foro de París para la Paz, la Comisión Mundial sobre la Estabilidad del Ciberespacio (GCSC por la sigla en inglés) publicó un informe sobre cómo crear un marco general para la ciberestabilidad. Esta comisión multisectorial (de la que fui miembro) fue convocada originalmente por el gobierno neerlandés hace tres años, tuvo copresidentes de Estonia, la India y Estados Unidos, y estaba integrada por ex funcionarios públicos, expertos de la sociedad civil y académicos de dieciséis países.…  Seguir leyendo »

Figura 3. Iniciativas de seguridad y ciberseguridad. Fuente: “Cyber Security and Resilience of smart cars”, p. 47.

Tema

Gran parte de nuestra economía depende de la movilidad y esta, de que se incluyan la ciberseguridad y la privacidad en el diseño de los vehículos y el de las infraestructuras.

Resumen

En los últimos años se ha producido una auténtica revolución en la industria de la automoción, en la que los vehículos han pasado de máquinas puramente mecánicas a auténticos ordenadores sobre ruedas. Los vehículos cuentan con sensores avanzados, gran capacidad de computación y miles de líneas de código para facilitar su conectividad y autonomía, pero precisan contar con sistemas fiables y robustos no sólo contra los riesgos de seguridad funcional, sino también contra las amenazas de ciberseguridad.…  Seguir leyendo »

Figura 1. Instrumentos de respuesta diplomática de la UE en función de la seguridad de la atribución y el nivel de coordinación entre sus Estados miembros. Fuente: Moret y Pawlak, European Union Institute for Security Studies (EUISS)8.

Tema

Los países democráticos están adoptando medidas ofensivas para disuadir a los países y grupos que realizan ciberataques de hacerlo o, al menos, que se arriesguen a pagar un precio. La cuestión es saber si el remedio de la disuasión es peor que la enfermedad de la impunidad.

Resumen

Las operaciones militares en el ciberespacio son el último recurso de la seguridad nacional, al igual que ocurre en cada uno de los demás dominios de tierra, mar, aire y espacio donde operan las fuerzas armadas. Pero las fuerzas armadas no sólo deben adoptar acciones defensivas para disuadir a los posibles agresores, sino también ofensivas.…  Seguir leyendo »

Figura 1. Ilustración de la interacción típica que existe dentro de una red C-ITS

Tema

Mantener la confianza en el mundo digital e hiperconectado implica desarrollar la ciberseguridad desde el diseño y por defecto, tanto en el ciclo de vida de desarrollo de sistemas como a lo largo de la cadena de suministro.

Resumen

La economía y la sociedad digitales en las que estamos inmersos dependen de la confianza en el buen funcionamiento de los sistemas y servicios digitales, una confianza que puede verse minada por los ciberataques, que afectan a su seguridad, privacidad y fiabilidad. Este ARI describe la necesidad de prestar mucha atención a la ciberseguridad tanto durante el ciclo de vida de desarrollo de los sistemas como en la cadena de suministro, las dificultades que encuentran las empresas, ciudadanos y Administraciones para hacerlo y las acciones que pueden llevarse a cabo desde las diferentes instituciones para facilitarla y crear una cultura de la ciberseguridad desde el diseño y por defecto.…  Seguir leyendo »

Tackle the ‘Splinternet’

The development of governance in a wide range of digital spheres – from cyberspace to internet infrastructure to emerging technologies such as artificial intelligence (AI) – is failing to match rapid advances in technical capabilities or the rise in security threats. This is leaving serious regulatory gaps, which means that instruments and mechanisms essential for protecting privacy and data, tackling cybercrime or establishing common ethical standards for AI, among many other imperatives, remain largely inadequate.

A starting point for effective policy formation is to recognize the essential complexity of the digital landscape, and the consequent importance of creating a ‘common language’ for multiple stakeholders (including under-represented actors such as smaller and/or developing countries, civil society and non-for-profit organizations).…  Seguir leyendo »

Tema

La cooperación es el hilo conductor que conecta, día a día, a agentes públicos y privados para hacer frente a los desafíos de la ciberseguridad. Un libro blanco facilitaría un debate estructurado para llevar a término dicha cooperación.

Resumen

Los libros blancos tienen por objeto analizar en profundidad un asunto o una política para asesorar a las partes interesadas, a los órganos legislativos o a los Gobiernos. En materia de ciberseguridad, el Estado es el primer y principal garante de la seguridad en el ciberespacio, pero la práctica totalidad del esfuerzo económico y operativo desplegado para anticipar y hacer frente a ciberataques, así como la innovación, provienen del sector privado, especialmente de aquellas empresas designadas operadores de servicios esenciales y de los operadores de infraestructuras críticas, cuyo funcionamiento es indispensable para el mantenimiento de los servicios públicos.…  Seguir leyendo »

Hace unos meses, funcionarios estadounidenses reconocieron que ciberoperaciones ofensivas de los Estados Unidos habían detenido intentos rusos de interferir en la elección legislativa de 2018. Esta clase de operaciones suele mantenerse en reserva, pero esta vez se habló de una nueva doctrina ofensiva de “combate permanente” (persistent engagement) con adversarios potenciales. ¿Funcionará?

Los partidarios del “combate permanente” lo defendieron con el argumento de que la disuasión no funciona en el ciberespacio. Pero eso es plantear una falsa antinomia: bien usada, una nueva doctrina ofensiva puede reforzar la disuasión más que reemplazarla.

Por “disuasión” (deterrence) se entiende evitar una acción del oponente convenciéndolo de que su costo superará el beneficio esperado.…  Seguir leyendo »

Tema

La aplicación de la inteligencia artificial (IA) al ciberespacio plantea un complejo debate ético y normativo sobre el aumento cualitativo y cuantitativo de las amenazas y de las contramedidas basadas en IA.

Resumen

En el campo de la ciberseguridad, la IA aporta importantes mejoras mediante el análisis algorítmico aplicado a gran cantidad de información, infiriendo resultados basados en el contexto y en el aprendizaje adquirido a partir de situaciones anteriores. Las capacidades de la IA, sus algoritmos, se pueden aplicar de forma similar por quienes crean inseguridad en las sociedades avanzadas y por quienes las protegen. La confrontación directa entre algoritmos de IA y su escalada pueden llevar a un punto en el que la intervención humana podría quedar relegada a un segundo plano.…  Seguir leyendo »

Tema

El Consejo de Seguridad Nacional aprobó en abril de 2019 una nueva Estrategia de Ciberseguridad que actualiza la de 2013. En conjunto, representa un avance sobre la anterior, aunque su desarrollo dependerá del respaldo político y presupuestario del futuro Gobierno.

Resumen

El Consejo de Seguridad Nacional ha aprobado el 26 de abril de 2019 una nueva Estrategia de Ciberseguridad que actualiza la de 2013. Elaborada por el Consejo de Ciberseguridad Nacional, la nueva Estrategia presenta notables avances sobre la anterior, aunque su aportación final dependerá del respaldo político y presupuestario del futuro Gobierno para desarrollarla. En este ARI se analiza su contenido y se compara con las recomendaciones propuestas desde el sector privado.…  Seguir leyendo »

Figura 4. Fases de una estrategia de ciberseguridad industrial

Tema

Las industrias españolas deben tomarse en serio la ciberseguridad para no verse afectadas por ciberataques, pero también para aprovechar las oportunidades del emergente mercado global de ciberseguridad.

Resumen

La ciberseguridad tiene una doble dimensión industrial: por un lado, las industrias y sus productos corren el riesgo de verse afectados por ciberataques y, por otro, la necesidad de protegerse está desarrollando un emergente mercado de ciberseguridad del que debe aprovecharse la industria española. La transformación digital en marcha, dentro de Industria Conectada 4.0, y el incremento de la conectividad aumentan la exposición industrial a los riesgos cíber, económicos y de reputación que se describen en este ARI.…  Seguir leyendo »

Digital Security en la nueva era de transformación digital

Tema

La transformación digital obliga a redefinir el concepto de ciberseguridad para asegurar que los nuevos elementos no asociados a las tecnologías de la información tradicionales (core IT) quedan recogidos en el enfoque más amplio de la Seguridad Digital.

Resumen

La transformación digital aporta un gran avance a la sociedad con la aparición de nuevas tecnologías y dispositivos digitales de todo tipo como smart things, ciudades inteligentes, smart-grids, coches autónomos, robótica, inteligencia artificial, la propia nube, el Internet de las Cosas (IoT) o el Internet Industrial de las Cosas (IIoT), entre otros. Todas estas tecnologías pueden ser interoperables y permiten a los usuarios experimentar nuevas experiencias haciendo desaparecer las barreras entre el mundo físico y el mundo digital.…  Seguir leyendo »

Resumen

La Estrategia de Ciberseguridad Nacional (ECN) de 20131 se encuentra en revisión. Ésta responde a tres consideraciones: la adaptación de la ECN a un nuevo contexto de retos y tecnologías de ciberseguridad inexistentes en 2013, la aplicación de las medidas destinadas a garantizar un nivel común de seguridad en las redes y los sistemas de información exigido en la Directiva NIS2 y las mejoras en la ECN a partir de la experiencia obtenida desde 2013.

Este ARI resume las perspectivas del sector privado sobre esos tres aspectos, que se desarrollan con más detalle en el Documento de Trabajo del mismo título elaborado dentro del Grupo de Trabajo sobre Ciberpolítica del Real Instituto Elcano.…  Seguir leyendo »

Resumen

La revisión de la Estrategia de Ciberseguridad Nacional de 2013 es una buena oportunidad para incluir en su elaboración a la mayor parte posible de implicados. Sólo una amplia participación del sector público y privado (whole-of-nation approach) daría a la Estrategia un carácter inclusivo y “nacional” (Estrategia Nacional de Ciberseguridad), mientras que una participación restringida a la Administración (whole-of-government approach) prorrogaría el enfoque gubernamental de la Estrategia de Ciberseguridad Nacional en 2019.

Introducción

La ECN de 2013 vino a resolver los retos de ciberseguridad asociados con la protección de las infraestructuras críticas y los servicios esenciales para la población vinculados a la seguridad nacional.…  Seguir leyendo »

L’Union européenne (UE) défend des échanges commerciaux libres et équitables, ainsi qu’un ordre international fondé sur des règles. Elle cherche à protéger et à promouvoir ses intérêts en pesant sur l’élaboration de ces règles et normes internationales, comme elle a réussi à le faire dans le domaine du respect de la vie privée et de la protection des données. Cependant, l’évolution de nos infrastructures et technologies numériques critiques à l’échelle mondiale, telles que la 5G, l’informatique en nuage et l’intelligence artificielle – qui constituent l’épine dorsale de notre existence interconnectée moderne – met en péril la capacité de l’UE à continuer d’exercer cette influence.…  Seguir leyendo »

Tema

La convergencia entre los sistemas de información y redes de operaciones (OT) que interconectan los distintos elementos de producción en planta y los sistemas de información corporativos (IT) de una industria plantea nuevos retos de ciberseguridad en el contexto de transformación de la industria 4.0.

Resumen

La digitalización de la práctica totalidad de los sectores industriales y la globalización de los modelos de producción son dos catalizadores que hacen inevitable la convergencia en las políticas de seguridad entre los sistemas de información del ámbito OT y los sistemas corporativos IT de las empresas de producción.

En este contexto, la ciberseguridad de los sistemas OT, en particular, se ve comprometida por vulnerabilidades sobrevenidas en un entorno con exigencias de seguridad específicas orientadas a la producción y considerablemente diferenciadas de las exigencias estándares de los sistemas de información corporativos.…  Seguir leyendo »

Tema

La agenda de ciberseguridad de la UE ha evolucionado significativamente desde el primer Plan Estratégico de Ciberseguridad en 2013 para incorporar nuevas medidas en defensa de la seguridad, prosperidad y libertades de los ciudadanos frente a las amenazas y vulnerabilidades disruptivas del ciberespacio.

Resumen

La seguridad del ciberespacio excede actualmente el ámbito de la ciberseguridad de redes y sistemas de información y se amplía al terreno de la ciberinteligencia, las amenazas híbridas o la ciberdefensa, con importantes consecuencias para los ciudadanos y los Estados. En respuesta, las autoridades europeas y nacionales amplían las iniciativas estratégicas y legales para hacer frente a este escenario de ciberamenazas que se amplía en extensión y alcance.…  Seguir leyendo »

Tema

Los Estados y las empresas han desarrollado sistemas, principalmente defensivos, frente a los ciberataques recibidos. Pero ahora se plantean realizar acciones ofensivas contra lfos atacantes (hack-back)1.

Resumen

Las empresas estratégicas y de infraestructuras críticas son el objeto preferente de los ciberataques, con el apoyo implícito o explícito de Estados con geopolíticas agresivas, que utilizan cepas sofisticadas de malware (virus informáticos) para atacar y vulnerar los sistemas tecnológicos de esas empresas, robar información de alto valor (ciberespionaje), destruir sus datos o distorsionar sus procesos críticos. Los Estados y las empresas han desplegado y robustecido capacidades de ciberseguridad y de ciberdefensa, pero no logran impedir ciberataques cada vez más sofisticados y dañinos.…  Seguir leyendo »

Circuit boards at a manufacturer of electronics in Zelenogra, Russia.CreditCreditAnton Novoderezhkin\TASS, via Getty Images

It’s no secret that computers are insecure. Stories like the recent Facebook hack, the Equifax hack and the hacking of government agencies are remarkable for how unremarkable they really are. They might make headlines for a few days, but they’re just the newsworthy tip of a very large iceberg.

The risks are about to get worse, because computers are being embedded into physical devices and will affect lives, not just our data. Security is not a problem the market will solve. The government needs to step in and regulate this increasingly dangerous space.

The primary reason computers are insecure is that most buyers aren’t willing to pay — in money, features, or time to market — for security to be built into the products and services they want.…  Seguir leyendo »