Ciberseguridad

Tackle the ‘Splinternet’

The development of governance in a wide range of digital spheres – from cyberspace to internet infrastructure to emerging technologies such as artificial intelligence (AI) – is failing to match rapid advances in technical capabilities or the rise in security threats. This is leaving serious regulatory gaps, which means that instruments and mechanisms essential for protecting privacy and data, tackling cybercrime or establishing common ethical standards for AI, among many other imperatives, remain largely inadequate.

A starting point for effective policy formation is to recognize the essential complexity of the digital landscape, and the consequent importance of creating a ‘common language’ for multiple stakeholders (including under-represented actors such as smaller and/or developing countries, civil society and non-for-profit organizations).…  Seguir leyendo »

Tema

La cooperación es el hilo conductor que conecta, día a día, a agentes públicos y privados para hacer frente a los desafíos de la ciberseguridad. Un libro blanco facilitaría un debate estructurado para llevar a término dicha cooperación.

Resumen

Los libros blancos tienen por objeto analizar en profundidad un asunto o una política para asesorar a las partes interesadas, a los órganos legislativos o a los Gobiernos. En materia de ciberseguridad, el Estado es el primer y principal garante de la seguridad en el ciberespacio, pero la práctica totalidad del esfuerzo económico y operativo desplegado para anticipar y hacer frente a ciberataques, así como la innovación, provienen del sector privado, especialmente de aquellas empresas designadas operadores de servicios esenciales y de los operadores de infraestructuras críticas, cuyo funcionamiento es indispensable para el mantenimiento de los servicios públicos.…  Seguir leyendo »

Hace unos meses, funcionarios estadounidenses reconocieron que ciberoperaciones ofensivas de los Estados Unidos habían detenido intentos rusos de interferir en la elección legislativa de 2018. Esta clase de operaciones suele mantenerse en reserva, pero esta vez se habló de una nueva doctrina ofensiva de “combate permanente” (persistent engagement) con adversarios potenciales. ¿Funcionará?

Los partidarios del “combate permanente” lo defendieron con el argumento de que la disuasión no funciona en el ciberespacio. Pero eso es plantear una falsa antinomia: bien usada, una nueva doctrina ofensiva puede reforzar la disuasión más que reemplazarla.

Por “disuasión” (deterrence) se entiende evitar una acción del oponente convenciéndolo de que su costo superará el beneficio esperado.…  Seguir leyendo »

Tema

La aplicación de la inteligencia artificial (IA) al ciberespacio plantea un complejo debate ético y normativo sobre el aumento cualitativo y cuantitativo de las amenazas y de las contramedidas basadas en IA.

Resumen

En el campo de la ciberseguridad, la IA aporta importantes mejoras mediante el análisis algorítmico aplicado a gran cantidad de información, infiriendo resultados basados en el contexto y en el aprendizaje adquirido a partir de situaciones anteriores. Las capacidades de la IA, sus algoritmos, se pueden aplicar de forma similar por quienes crean inseguridad en las sociedades avanzadas y por quienes las protegen. La confrontación directa entre algoritmos de IA y su escalada pueden llevar a un punto en el que la intervención humana podría quedar relegada a un segundo plano.…  Seguir leyendo »

Tema

El Consejo de Seguridad Nacional aprobó en abril de 2019 una nueva Estrategia de Ciberseguridad que actualiza la de 2013. En conjunto, representa un avance sobre la anterior, aunque su desarrollo dependerá del respaldo político y presupuestario del futuro Gobierno.

Resumen

El Consejo de Seguridad Nacional ha aprobado el 26 de abril de 2019 una nueva Estrategia de Ciberseguridad que actualiza la de 2013. Elaborada por el Consejo de Ciberseguridad Nacional, la nueva Estrategia presenta notables avances sobre la anterior, aunque su aportación final dependerá del respaldo político y presupuestario del futuro Gobierno para desarrollarla. En este ARI se analiza su contenido y se compara con las recomendaciones propuestas desde el sector privado.…  Seguir leyendo »

Figura 4. Fases de una estrategia de ciberseguridad industrial

Tema

Las industrias españolas deben tomarse en serio la ciberseguridad para no verse afectadas por ciberataques, pero también para aprovechar las oportunidades del emergente mercado global de ciberseguridad.

Resumen

La ciberseguridad tiene una doble dimensión industrial: por un lado, las industrias y sus productos corren el riesgo de verse afectados por ciberataques y, por otro, la necesidad de protegerse está desarrollando un emergente mercado de ciberseguridad del que debe aprovecharse la industria española. La transformación digital en marcha, dentro de Industria Conectada 4.0, y el incremento de la conectividad aumentan la exposición industrial a los riesgos cíber, económicos y de reputación que se describen en este ARI.…  Seguir leyendo »

Digital Security en la nueva era de transformación digital

Tema

La transformación digital obliga a redefinir el concepto de ciberseguridad para asegurar que los nuevos elementos no asociados a las tecnologías de la información tradicionales (core IT) quedan recogidos en el enfoque más amplio de la Seguridad Digital.

Resumen

La transformación digital aporta un gran avance a la sociedad con la aparición de nuevas tecnologías y dispositivos digitales de todo tipo como smart things, ciudades inteligentes, smart-grids, coches autónomos, robótica, inteligencia artificial, la propia nube, el Internet de las Cosas (IoT) o el Internet Industrial de las Cosas (IIoT), entre otros. Todas estas tecnologías pueden ser interoperables y permiten a los usuarios experimentar nuevas experiencias haciendo desaparecer las barreras entre el mundo físico y el mundo digital.…  Seguir leyendo »

Resumen

La Estrategia de Ciberseguridad Nacional (ECN) de 20131 se encuentra en revisión. Ésta responde a tres consideraciones: la adaptación de la ECN a un nuevo contexto de retos y tecnologías de ciberseguridad inexistentes en 2013, la aplicación de las medidas destinadas a garantizar un nivel común de seguridad en las redes y los sistemas de información exigido en la Directiva NIS2 y las mejoras en la ECN a partir de la experiencia obtenida desde 2013.

Este ARI resume las perspectivas del sector privado sobre esos tres aspectos, que se desarrollan con más detalle en el Documento de Trabajo del mismo título elaborado dentro del Grupo de Trabajo sobre Ciberpolítica del Real Instituto Elcano.…  Seguir leyendo »

Resumen

La revisión de la Estrategia de Ciberseguridad Nacional de 2013 es una buena oportunidad para incluir en su elaboración a la mayor parte posible de implicados. Sólo una amplia participación del sector público y privado (whole-of-nation approach) daría a la Estrategia un carácter inclusivo y “nacional” (Estrategia Nacional de Ciberseguridad), mientras que una participación restringida a la Administración (whole-of-government approach) prorrogaría el enfoque gubernamental de la Estrategia de Ciberseguridad Nacional en 2019.

Introducción

La ECN de 2013 vino a resolver los retos de ciberseguridad asociados con la protección de las infraestructuras críticas y los servicios esenciales para la población vinculados a la seguridad nacional.…  Seguir leyendo »

L’Union européenne (UE) défend des échanges commerciaux libres et équitables, ainsi qu’un ordre international fondé sur des règles. Elle cherche à protéger et à promouvoir ses intérêts en pesant sur l’élaboration de ces règles et normes internationales, comme elle a réussi à le faire dans le domaine du respect de la vie privée et de la protection des données. Cependant, l’évolution de nos infrastructures et technologies numériques critiques à l’échelle mondiale, telles que la 5G, l’informatique en nuage et l’intelligence artificielle – qui constituent l’épine dorsale de notre existence interconnectée moderne – met en péril la capacité de l’UE à continuer d’exercer cette influence.…  Seguir leyendo »

Tema

La convergencia entre los sistemas de información y redes de operaciones (OT) que interconectan los distintos elementos de producción en planta y los sistemas de información corporativos (IT) de una industria plantea nuevos retos de ciberseguridad en el contexto de transformación de la industria 4.0.

Resumen

La digitalización de la práctica totalidad de los sectores industriales y la globalización de los modelos de producción son dos catalizadores que hacen inevitable la convergencia en las políticas de seguridad entre los sistemas de información del ámbito OT y los sistemas corporativos IT de las empresas de producción.

En este contexto, la ciberseguridad de los sistemas OT, en particular, se ve comprometida por vulnerabilidades sobrevenidas en un entorno con exigencias de seguridad específicas orientadas a la producción y considerablemente diferenciadas de las exigencias estándares de los sistemas de información corporativos.…  Seguir leyendo »

Tema

La agenda de ciberseguridad de la UE ha evolucionado significativamente desde el primer Plan Estratégico de Ciberseguridad en 2013 para incorporar nuevas medidas en defensa de la seguridad, prosperidad y libertades de los ciudadanos frente a las amenazas y vulnerabilidades disruptivas del ciberespacio.

Resumen

La seguridad del ciberespacio excede actualmente el ámbito de la ciberseguridad de redes y sistemas de información y se amplía al terreno de la ciberinteligencia, las amenazas híbridas o la ciberdefensa, con importantes consecuencias para los ciudadanos y los Estados. En respuesta, las autoridades europeas y nacionales amplían las iniciativas estratégicas y legales para hacer frente a este escenario de ciberamenazas que se amplía en extensión y alcance.…  Seguir leyendo »

Tema

Los Estados y las empresas han desarrollado sistemas, principalmente defensivos, frente a los ciberataques recibidos. Pero ahora se plantean realizar acciones ofensivas contra lfos atacantes (hack-back)1.

Resumen

Las empresas estratégicas y de infraestructuras críticas son el objeto preferente de los ciberataques, con el apoyo implícito o explícito de Estados con geopolíticas agresivas, que utilizan cepas sofisticadas de malware (virus informáticos) para atacar y vulnerar los sistemas tecnológicos de esas empresas, robar información de alto valor (ciberespionaje), destruir sus datos o distorsionar sus procesos críticos. Los Estados y las empresas han desplegado y robustecido capacidades de ciberseguridad y de ciberdefensa, pero no logran impedir ciberataques cada vez más sofisticados y dañinos.…  Seguir leyendo »

Circuit boards at a manufacturer of electronics in Zelenogra, Russia.CreditCreditAnton Novoderezhkin\TASS, via Getty Images

It’s no secret that computers are insecure. Stories like the recent Facebook hack, the Equifax hack and the hacking of government agencies are remarkable for how unremarkable they really are. They might make headlines for a few days, but they’re just the newsworthy tip of a very large iceberg.

The risks are about to get worse, because computers are being embedded into physical devices and will affect lives, not just our data. Security is not a problem the market will solve. The government needs to step in and regulate this increasingly dangerous space.

The primary reason computers are insecure is that most buyers aren’t willing to pay — in money, features, or time to market — for security to be built into the products and services they want.…  Seguir leyendo »

The headquarters of Organization for the Prohibition of Chemical Weapons in The Hague. Photo: Getty Images.

The recent revelations about the cyberattacks conducted by Russian military intelligence (GRU) in several countries did not come as a surprise. The UK and its allies have been calling for public attribution of cyberattacks coupled with, when appropriate, a series of diplomatic and economic responses, and even retaliation-in-kind. The thinking behind this is that attribution, coupled with sanctions initiated by a united front of like-minded states, could create a deterring effect.

However, these revelations also play into wrangling over cyber regulation at the UN level. Russia is planning to submit two UN resolutions later this month, one on a code of conduct to regulate states behaviour in cyberspace and one on a new UN cybercrime convention.…  Seguir leyendo »

The two-faced scourge of cyberwarfare

Speaking to the U.N. General Assembly last week, Qatari Emir Sheikh Tamim bin Hamad Al-Thani promised that his country would soon hold an international conference on the scourge of hacking and cyberwarfare.

That’s excellent. Qatar is the perfect country to host such a confab. The regime’s officials could give speeches about how they recruit hackers and select their targets; the cyber mercenaries on Qatar’s payroll could discuss their career paths in hacking the citizens of foreign countries; and the American media consultants who work for Qatar could hold a panel discussion on how to successfully pitch and place hacked emails to and in the American media.…  Seguir leyendo »

Will China Hack the U.S. Midterms

President Trump recently accused the Chinese of interfering in American politics ahead of the midterm elections. “They do not want me or us to win because I am the first president to ever challenge China on trade,” he said, addressing the United Nations Security Council. He provided no evidence, and appeared to be complaining mostly about retaliatory tariffs by the Chinese government, which may hurt constituencies that support him, and an advertorial touting U.S.-China trade in an Iowa newspaper.

In a speech to the Hudson Institute on Thursday, Vice President Mike Pence doubled down on the accusation, arguing that China “has initiated an unprecedented effort to influence American public opinion, the 2018 elections and the environment leading into the 2020 presidential elections.” Neither the president nor the vice president charged China with stealing and releasing politically sensitive emails or manipulating social media, as the Russian government appears to have done to sway the 2016 presidential election.…  Seguir leyendo »

Es un lugar común afirmar que el progreso de las tecnologías de la información permite a los ciudadanos colaborar y organizarse en red circunvalando estructuras jerárquicas tradicionales. Sin embargo, el tecnooptimismo está en retirada dando paso al ciberdesencanto. Mientras en las democracias surgen interrogantes acerca del derecho a la privacidad, las cámaras de eco, las fake news o la destrucción de empleo, en los Estados autoritarios los Gobiernos han perfeccionado su capacidad de control sobre la población, de censurar online o de restringir la competencia empresarial.

Los Estados también usan sus cibercapacidades para proyectar poder más allá de sus fronteras. Como comenta en su último libro David Sanger (The New York Times) se trata del “arma perfecta”.…  Seguir leyendo »

Externaliser (outsourcer en bon franglais) signifie de confier à un tiers la réalisation de tout ou partie des traitements informatiques nécessaire à la réalisation des objectifs d’une organisation. Certains fournisseurs d’infrastructures et de services en nuage (cloud) peuvent apporter une réponse globale au besoin d’informatisation des organisations et offrir des prestations techniques qui intègrent des éléments de la sécurité informatique et de celle des réseaux de télécommunication.

S’il est désormais courant de penser à la sécurité informatique d’une organisation en terme de cybersécurité, englobant de ce fait toutes les dimensions de la sécurité physique et logique des infrastructures numériques, des systèmes d’information et de l’information, cela correspond en fait au besoin de pouvoir maitriser les risques générés par l’usage des technologies numériques.…  Seguir leyendo »

Hoy nadie discute que el desarrollo de las tecnologías y su utilización habitual por los ciudadanos está afectando a todas las facetas de nuestra vida y está influyendo en la propia percepción de la privacidad y en la forma en que ejercitamos los derechos fundamentales que nos corresponden como personas.

Y, al respecto, es importante recordar que estos nuevos parámetros que articulan actualmente las relaciones interpersonales o las que establecemos con organismos o instituciones públicas o privadas, no deben hacernos olvidar la necesidad de respetar y mantener online los mismos principios y valores que imperan en el mundo físico. No es posible plantear en el ciberespacio un marco básico de convivencia diferente al que hemos conquistado tras muchos años de historia, de reflexión y esfuerzo común para poder relacionarnos pacíficamente y cohonestar el ejercicio de nuestros derechos y libertades con el pleno respeto a los derechos y libertades de los demás porque, en definitiva, somos nosotros mismos, con nuestros derechos e intereses, los que interactuamos en el ciberespacio.…  Seguir leyendo »