Ciberseguridad - Real Instituto Elcano Feeds Elcano Copyright (c), 2002-2018 Fundación Real Instituto Elcano Lotus Web Content Management <![CDATA[ Capacidades ofensivas, disuasión y ciberdefensa ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari92-2019-arteaga-capacidades-ofensivas-disuasion-y-ciberdefensa 2019-09-10T02:32:36Z

Los países democráticos están adoptando medidas ofensivas para disuadir a los países y grupos que realizan ciberataques de hacerlo o, al menos, que se arriesguen a pagar un precio. La cuestión es saber si el remedio de la disuasión es peor que la enfermedad de la impunidad.

]]>
Tema

Los países democráticos están adoptando medidas ofensivas para disuadir a los países y grupos que realizan ciberataques de hacerlo o, al menos, que se arriesguen a pagar un precio. La cuestión es saber si el remedio de la disuasión es peor que la enfermedad de la impunidad.

Resumen

Las operaciones militares en el ciberespacio son el último recurso de la seguridad nacional, al igual que ocurre en cada uno de los demás dominios de tierra, mar, aire y espacio donde operan las fuerzas armadas. Pero las fuerzas armadas no sólo deben adoptar acciones defensivas para disuadir a los posibles agresores, sino también ofensivas. A esta conclusión se ha llegado en los últimos meses cuando las medidas defensivas, civiles y militares no han bastado para contener el crecimiento de ciberataques y, además, éstos se han patrocinado o consentido por algunos actores estatales. En consecuencia, las estrategias de ciberseguridad nacional se han ido abriendo a la planificación de capacidades ciberofensivas (defensa activa) que permitan disuadir a los posibles agresores o, al menos, hacerles pagar un coste elevado. Este ARI resume el estado de la disuasión y las ventajas e inconvenientes que plantean las operaciones ofensivas en el dominio del ciberespacio.

Análisis

La protección del ciberespacio se ha volcado en medidas defensivas para proteger las infraestructuras críticas de los países o los despliegues de sus fuerzas en teatros de operaciones. De las primeras se han venido ocupando las Administraciones Públicas y el sector privado corresponsables de la ciberseguridad, mientras que de las segundas se han encargado los mandos y fuerzas de ciberdefensa. Hasta el pasado inmediato, las acciones defensivas han primado sobre las ofensivas (offensive cyber capabilities, OCC) por la dificultad de identificar a los atacantes (atribución), por la falta de regulación del derecho a la legítima ciberdefensa o por los riesgos que implica una devolución de ataques (hacking-back). No obstante, en los últimos años se está produciendo un cambio desde la lógica de la resiliencia hacia la lógica de la disuasión, es decir, desde la prioridad de resistir y reponerse cuanto antes de los ciberataques a la de tomar medidas de represalia contra las mismas para evitarlas.

La disuasión funciona sobre la base de intenciones y capacidades. Su existencia aumenta la incertidumbre del posible agresor, porque corre el riesgo de que sus ciberataques desencadenen acciones de represalia. Y, cuanto menos conozca sobre ellas, mayor será su incertidumbre, porque complicará su cálculo de riesgos. Por el contrario, no disponer de capacidades ofensivas de contraataque o no estar dispuesto a usarlas genera un efecto contrario a la disuasión que incentiva los ciberataques ante la certidumbre de que no encontrarán respuesta. Esta lógica de la disuasión se ha ido abriendo paso a medida que la proliferación de ciberataques ha puesto a prueba la postura defensiva de los países y dado paso a la proliferación de declaraciones y capacidades ofensivas explícitas.

El cambio de lógica tiene un amplio respaldo en la sociedad civil, porque son las instituciones políticas, económicas y sociales las que más sufren los efectos de los ciberataques. Por ejemplo, el sector privado de los Estados Unidos solicitó a la Administración en 2018 que adoptara medidas para protegerlo de los ciberataques porque el coste de las medidas defensivas que asumían comenzaba a ser insoportable. Pidió que desarrollara una política de disuasión que redujera su exposición a los ataques, procedieran estos de las organizaciones criminales o de los servicios de inteligencia de algunos países. Se trataba de acabar con la impunidad reinante y asegurar que los responsables, directos o indirectos, pagarían un precio por los ciberataques. Algunos de esos ataques procedían de amenazas no estatales, como las organizaciones criminales que buscan el robo, rescates o la suplantación de la identidad con fines delictivos y lucrativos. Pero otros tenían detrás una clara intencionalidad estatal, como el ataque norcoreano a los estudios Sony en 2014, o forman parte del enfrentamiento geopolítico en curso entre países como Irán y Corea del Norte, que atacan las infraestructuras financieras de Estados Unidos en represalia por las decisiones de su Administración1.

En el caso de los países europeos, menos acostumbrados a crear y utilizar el poder militar que las grandes potencias, el cambio de lógica ha obedecido a la multiplicación de ciberataques sobre países, instituciones, procesos electorales e intereses vitales para la seguridad nacional. La constatación del reto ha obligado a la Unión Europea y a algunos de sus Estados miembros a combinar su prioridad normativa de regular el ciberespacio y fomentar la protección de las infraestructuras digitales del mercado único para abrir la puerta a capacidades más ofensivas, como las incluidas en el inventario de medidas diplomáticas de respuesta de la UE y el desarrollo de una ciberdefensa europea.

Las iniciativas anteriores han desarrollado capacidades y estructuras de ciberdefensa más ofensivas, pero no han resuelto las reservas de fondo sobre su utilidad y funcionamiento. El debate en torno a la disuasión en el ciberespacio sigue planteado, pero la acumulación de capacidades e intenciones lo eleva a un nivel de complejidad superior. De entrada, su introducción entre los instrumentos de respuesta afecta a la lógica de la disuasión tradicional, centrada en las armas nucleares y, sobre todo, en las convencionales, por lo que los analistas estratégicos tendrán que analizar su impacto sobre otros modos de disuasión2. Las capacidades ofensivas por sí solas no garantizan la disuasión en el ciberespacio y necesitan que su posesión se acompañe de capacidades defensivas adecuadas y de un desarrollo doctrinal que asocie su empleo a blancos adecuados y a cambios de conducta concretas. Mientras, el número de los países que disponen (Estados Unidos, China, Rusia, Israel, Reino Unido, Irán o Corea del Norte) o desean disponer de capacidades ofensivas (Bélgica, Alemania, Francia, Finlandia o India, entre otras) va creciendo (más de 30 países en 2016, según fuentes estadounidenses) y algunos países, como Estados Unidos, el Reino Unido o Australia, las han empleado contra el Estado Islámico en Oriente Medio3.

La disuasión en la ciberseguridad

Entre otros hitos importantes para el desarrollo de las capacidades ofensivas, se encuentra el reconocimiento por la OTAN del ciberespacio como un dominio para las operaciones militares en su Cumbre de Varsovia, en 2016. Entre los países occidentales, el liderazgo corresponde a los Estados Unidos. Según la información disponible en fuentes abiertas, la preocupación por las capacidades ofensivas se remonta a 2012, cuando tuvieron constancia de que la Federación Rusa sondeaba las infraestructuras críticas de Estados Unidos para descubrir sus puntos débiles e introducir software malicioso en ellas con el fin de poder activarlas algún día si escala la tensión entre ambos países. Desde entonces, las Administraciones han buscado la forma de disuadir al Kremlin de llevar a cabo actuaciones en el ciberespacio que pongan en peligro la seguridad nacional o la democracia en los Estados Unidos.

En coherencia con lo anterior, la nueva Estrategia de Ciberdefensa de los Estados Unidos responde a esta mayor agresividad que demanda la confrontación geopolítica con China y Rusia y en ella se pide al Departamento de Defensa que “compita, disuada y gane” en el dominio del ciberespacio4. Se pide a las fuerzas de ciberdefensa que se preparen para la guerra y construyan una fuerza más letal, que establezcan alianzas y partenariados y que compitan y disuadan activamente a sus rivales. La nueva Estrategia amplía el campo de la disuasión a la protección de las infraestructuras críticas, lo que se entiende que afecta a las acciones ofensivas, porque de las defensivas ya se encarga el Departamento de Seguridad Interior. La ampliación forma parte de un proceso de maduración de las capacidades del Departamento de Defensa desde la Estrategia de 2015, que cuenta ahora con un mando de ciberdefensa único, más de un centenar de equipos plenamente operativos y una experiencia de combate5. La madurez de las capacidades ofensivas ha permitido a la Administración estadounidense una mayor variedad y flexibilidad de instrumentos en su conflicto con Irán, recurriendo a operaciones ofensivas encubiertas para mantener controlada la escalada militar6.    

Ajena a la competición geopolítica entre China y Estados Unidos, la Unión Europea ha tenido que sopesar la necesidad de desarrollar capacidades de ciberdefensa bajo las evidencias y continuidad de las acciones ofensivas de la Federación Rusa. La sucesión de ciberataques contra Ucrania y los países bálticos o las intromisiones en procesos electorales han forzado a las instituciones europeas a recurrir a la disuasión. Hasta ahora, las medidas adoptadas por la UE se limitan a las menos agresivas del espectro7 dentro de la lógica de su cultura estratégica cooperativa y se han limitado a reforzar las infraestructuras de la Política Exterior y de Seguridad Común y los despliegues de la Política Común de Seguridad y Defensa, así como a desarrollar un catálogo de medidas diplomáticas (que recoge la figura 1) para responder a todo el espectro de agresiones en función de la mayor o menor certeza en su atribución.

Figura 1. Instrumentos de respuesta diplomática de la UE en función de la seguridad de la atribución y el nivel de coordinación entre sus Estados miembros
Figura 1. Instrumentos de respuesta diplomática de la UE en función de la seguridad de la atribución y el nivel de coordinación entre sus Estados miembros
Fuente: Moret y Pawlak, European Union Institute for Security Studies (EUISS)8.

En la figura se muestra el reparto posible de respuestas entre la UE, sus agencias y los Estados miembros, en los que las respuestas colectivas son más factibles cuanto más lejos se encuentran del umbral militar de respuesta. Entre las medidas adoptadas, algunas se han dirigido a contrarrestar la injerencia rusa en los procesos electorales y a combatir la desinformación. Hasta ahora, estas medidas blandas no han conseguido madurar suficientemente debido a la renuencia europea a legislar materias controvertidas y a la falta de eficacia de medidas como el Sistema de Alerta Rápida, que debería haber protegido las elecciones de mayo de 20199. Sin embargo, a pesar de la voluntad europea de prevenir la conflictividad en el ciberespacio, la intencionalidad y proliferación de los ciberataques registrados han ido elevando la presión para que las capacidades e intenciones de la ciberdefensa europea progresen hacia ese umbral, empezando por el Parlamento Europeo, que desearía que la UE y sus Estados miembros contaran con capacidades ofensivas disuasorias en su inventario10.

Francia, por su parte, se ha postulado como una potencia cibernética completa, con capacidad para combinar acciones defensivas y ofensivas, desde su Libro Blanco de la Defensa de 2008 hasta su Revisión Estratégica de la Ciberdefensa de 2018, aunque ha sido recientemente cuando ha elaborado –o revelado– detalles sobre sus elementos doctrinales ofensivos (“Eléments publics de doctrine militaire de lutte informatique offensive”) y defensivos (“Politique ministérielle de lutte informatique defensive”)11.

El Reino Unido sigue la tradición anglosajona de ubicar sus capacidades ofensivas dentro del ámbito de la inteligencia (Government Communication Headquarters, GCHQ), con la colaboración –pero no en dependencia– de las Fuerzas Armadas en el National Offensive Cyber Program (NOCP). No dispone de una doctrina explícita que revele sus capacidades ofensivas, pero sí han trascendido sus operaciones contra el Estado Islámico. Su capacidad de realizar contraataques en el ciberespacio de forma unilateral es distinta de la capacidad de ciberdefensa activa (Active Cyber Defence, ACD) que desarrolla en el ámbito de la ciberseguridad para la protección de activos civiles. En este ámbito, la Estrategia Nacional de Ciberseguridad 2016-2021 limita la defensa “activa” a disuadir de los ciberataques que no conllevan riesgo de una escalada militar12.

Algunos países europeos, como Alemania o España, también se han visto obligados, contra su cultura estratégica defensiva, a considerar la necesidad de contramedidas ofensivas para proteger su seguridad. En el primer caso, la Estrategia de Ciberseguridad de 2016 marcó el punto de inflexión desde una ciberseguridad basada en la protección civil de las infraestructuras críticas a otra de ciberdefensa que incluía medidas ofensivas. Bajo esa nueva orientación, Alemania ha ido construyendo su Mando de Ciberdefensa y dotándolo de capacidades tecnológicas, personal y formación para desarrollar operaciones militares defensivas y ofensivas en el dominio del ciberespacio13. En el caso español, la Estrategia Nacional de Ciberseguridad de 2019 reconoce la necesidad de implantar medidas de ciberdefensa activa para ir más allá de las medidas de autoprotección que los ciudadanos, autónomos y empresas puedan tomar, y el Concepto de Ciberdefensa incluye medidas de defensa, explotación y ataque14.

Los riesgos de la disuasión

El empleo de las capacidades ofensivas para respaldar la disuasión tiene abiertos varios frentes de debate. El primero surge de la tensión entre su legalidad y su eficacia. A diferencia de otros dominios, el uso de la guerra en el ciberespacio carece de una regulación internacional y parece poco probable que las grandes potencias se avengan a participar en una gobernanza internacional mientras les favorezca la falta de regulación. En su defecto, la eficacia es un parámetro más adecuado para medirla. Hasta ahora, se conocen pocos casos de empleo y no existe información en fuentes abiertas para evaluar cuáles eran los objetivos buscados y cuáles los conseguidos. Los datos conocidos entre 2000 y 2016 reflejan muy pocas operaciones ofensivas de gran calado y no hay evidencias empíricas que demuestren con rigor que esas operaciones eviten los ataques ni que los provoquen15. La dificultad para medir la eficacia desde fuera de los sistemas nacionales de ciberdefensa es mayor que en otros dominios y capacidades militares debido a su reducida trasparencia, sea deliberada para preservar la disuasión u obligada por el estadio preliminar de la conceptualización teórica. La intuición general parece coincidir en que es mejor contar con capacidades ofensivas que no contar con ellas, aunque no se puede medir cuánto mejoran la capacidad de disuasión16.

A falta de trasparencia y medición de su eficacia, la decisión de contar o no con este tipo de capacidades ofensivas depende de un conjunto aleatorio de factores. Seguir la tendencia general es un factor importante que explicaría la multiplicación de países que se apuntan a la tendencia dominante, independientemente de su relevancia estratégica. De no seguirla, sus Gobiernos tendrían que explicar las razones de su renuencia en el debate político y, lo que es peor, arriesgarse a hacerlo en caso de que se vean más afectados por los ciberataques que otros usuarios más decididos. Otro factor procede de la socialización de las élites político-militares con esas capacidades ofensivas en el marco de la defensa o la seguridad colectiva. La formación, el adiestramiento y el desarrollo de capacidades colectivas en los marcos de la OTAN o la UE facilitará con el tiempo la maduración de los conceptos, doctrinas, estrategias y estructuras de ciberdefensa de los distintos países, pero a corto plazo casi todas las iniciativas se encuentran en período de prueba.

Un obstáculo a esta vía de socialización, que ayuda a explicar la mencionada falta de trasparencia, es la necesidad de restringir el conocimiento de las intenciones y capacidades concretas de cada país. Los Estados son reacios a explicitar las capacidades ofensivas de las que disponen –incluso a sus aliados–, porque descubrir sus cartas les haría perder la ventaja comparativa de la que disponen. Descubrir sus procedimientos operativos, sus infraestructuras de ataque, sus fuentes de inteligencia o las ventajas y limitaciones de sus capacidades ofensivas proporcionaría una información demasiado valiosa a terceros. En consecuencia, las acciones ofensivas son fundamentalmente nacionales y es difícil que puedan llevarse a cabo ejercicios de adiestramiento u operaciones conjuntas de carácter ofensivo, porque todos los participantes tendrían acceso a las capacidades de los países más avanzados17.

Otro obstáculo para la consolidación de la disuasión tiene que ver con la falta de regulación internacional o nacional. A falta de ella, la delegación de poder que se traslada a los mandos de ciberdefensa para anticiparse o responder a los ciberataques escapa al control parlamentario y pende de la discrecionalidad de los presidentes y de los gabinetes de seguridad nacional. Hasta la Guerra Fría, los Parlamentos tenían la prerrogativa de declarar las guerras, y después muchos han reclamado el control de los desplazamientos de tropas al exterior en las operaciones y misiones de posguerra fría. El desarrollo de las operaciones ofensivas encubiertas complica el control parlamentario y aumenta el riesgo de que a partir de ellas se produzca una escalada que desemboque en un conflicto armado no autorizado. La agresividad de Rusia y China podría justificar la delegación, pero una vez admitida será difícil remover las capacidades ofensivas de los inventarios militares y evitar que se utilicen en casos menos justificados. Por eso, el desarrollo de las capacidades ofensivas debe complementarse con un marco regulatorio y doctrinal que establezca las asunciones de empleo y el reparto de responsabilidades entre los distintos decisores. La regulación es, además, imprescindible para prevenir su empleo por actores privados que no tengan una evaluación –o interés– sobre las posibles consecuencias, deseadas o no, para terceros. Esta preocupación se refleja, por ejemplo, en la doctrina militar francesa de ciberdefensa (“Eléments Publics”), en la que se regulan los mecanismos de supervisión de todos los riesgos asociados a las operaciones ofensivas y defensivas, aunque su operación se encomiende al Mando de Ciberdefensa (Commandement de la cyberdéfense, COMCYBER).

La delegación debe realizarse con controles, porque se corre el riesgo de que las capacidades ofensivas se empleen de forma sesgada o automática. Por un lado, es posible que algunos presidentes con amplios poderes utilicen los nuevos instrumentos sin conocer sus especificidades de empleo. Este podría ser el caso de los presidentes de Estados Unidos, que han usado –y abusado de– sus poderes de guerra para que sus Fuerzas Armadas intervengan en conflictos no declarados. En este sentido, el Memorándum Presidencial del 13 de septiembre de 2015 flexibilizó las normas de empleo de las capacidades ofensivas vigentes ampliando las opciones de sus Fuerzas Armadas y del Consejo de Seguridad Nacional, muy proclives a utilizar la fuerza en sus relaciones internacionales. Por otro, es necesario evitar que la falta de conocimiento y experiencia respecto a las acciones ofensivas aliente el mito de que pueden evitar los ciberataques o de que el ciberespacio favorece las acciones ofensivas, por lo que es importante que el desarrollo conceptual y doctrinal de la defensa activa no quede exclusivamente en manos de sus usuarios finales (en el caso británico, la supervisión corresponde al Comité de Inteligencia y Seguridad del Parlamento).

Conclusiones

Las capacidades ofensivas en el ciberespacio han llegado para quedarse. Las grandes potencias han abierto el camino para utilizarlas en su competencia geopolítica directa y los demás las están siguiendo para no descolgarse del nuevo modo de disuasión. Ni todas las expectativas que se crean están justificadas ni todos los reparos que se conocen están demostrados. Ante la dificultad de la evaluación, que llegará con el tiempo, los consejos de seguridad nacional y los mandos de ciberdefensa han creído que era mejor disponer de esas capacidades ofensivas que no tenerlas. Su disponibilidad debe completarse cuanto antes con un marco regulatorio que evite que las condiciones de empleo dependan exclusivamente de las autoridades militares o de seguridad. Su aplicación en el ámbito de la ciberdefensa conlleva riesgos poco conocidos, pero, si la maduración de las operaciones y medidas se acompaña de contención, sus resultados podrían aplicarse al ámbito de la ciberseguridad. Ya que no es posible devolver el genio de las capacidades ofensivas a la lámpara que lo contenía, habrá que meditar con prudencia los deseos que se le pidan.

Félix Arteaga
Investigador principal de Seguridad y Defensa, Real Instituto Elcano


1 David E. Simon (2017), “Raising the Consequences of Hacking American Companies”, Centre for Strategic and International Studies, octubre de 2017. Erika Borghard (2019), “Protecting Financial Institutions Against Cyber Threats: A National Security Issue”, Carnegie Endowment for International Peace.

2 Ellen Nakashima y Miss Ryan (2016), “U.S. military has launched a new digital war against the Islamic State”, The Washington Post, 15/VII/2016.

3 Max Smeets y Herbert S. Lin (2018), “Offensive Cyber Capabilities: To What Ends”, NATO CCD COE, 2018.

4 Departamento de Defensa de los EEUU, “Cyber Strategy” (resumen), septiembre de 2018.     

5 Nina Kollars y Jacqueline Schneider (2018), “Defending forward: the 2018 Cyber Strategy is here”, War on the Rocks, 20/IX/2018.

6 Julian Barnes y Thomas Gibbons-Neff (2019), “U.S. Carried Out Cyberattacks on Iran”, The New York Times, 22/VII/2019.

7 Secretaría General del Consejo, “Implementing Guidelines for the Framework on a Joint EU Diplomatic Response to Malicious Cyber Activities”, doc. 13007/17, de 9 de octubre.

8 Erica Moret y Patryk Pawlak (2017),“EU Cyber Diplomacy Toolbox: towards a cyber sanctions regime?”, Brief Issue 24, European Union Institute for Security Studies (EUISS).

9 Matt Apuzzo (2019), “Europe Built a System to Fight Russian Meddling. It’s Struggling”, The New York Times, 6/VII/2019.

10 Parlamento Europeo, “Report on Cyber-Defence”, doc. A8-0189/2018, de 25 de mayo.

11 Ministerio de Defensa, “Comunicado sobre la doctrina militar ofensiva”, 18/I/2019.

12 Tim Stevens y otros (2019), “UK Active Cyberdefence”, The Policy Institute, King’s Collegue, enero de 2019.

13 Matthias Schultze y Sven Herpig (2018), “Germany Develops Offensive Cyber Capabilities Without A Coherent Strategy of What to Do With Them”, Council on Foreign Relations (blog), 3/XII(2018.

14 Ministerio de Defensa, “Concepto de Ciberdefensa” (resumen ejecutivo), 18/IX/2018.

15 Brandon Valeriano y Benjamin Jansen (2019), “The Myth of the Cyber Offense”, CATO Policy Analysis 862, 15/I/2019.

16 James A. Lewis (2015), “The Role of Offensive Cyber Operations in NATO’s Collective Defence”, Tallin Paper 8, 2015.

17 Jack Waiting (2019), “Allies in the Multi-Domain Task Force”, RUSI Defence Systems 21(1), 5/IV/2019.

]]>
<![CDATA[ Ciberseguridad: construyendo cadenas de suministros seguras y de confianza ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari91-2019-ayerbe-ciberseguridad-construyendo-cadenas-de-suministros-seguras-y-de-confianza 2019-09-10T02:22:54Z

Mantener la confianza en el mundo digital e hiperconectado implica desarrollar la ciberseguridad desde el diseño y por defecto, tanto en el ciclo de vida de desarrollo de sistemas como a lo largo de la cadena de suministro.

]]>
Tema

Mantener la confianza en el mundo digital e hiperconectado implica desarrollar la ciberseguridad desde el diseño y por defecto, tanto en el ciclo de vida de desarrollo de sistemas como a lo largo de la cadena de suministro.

Resumen

La economía y la sociedad digitales en las que estamos inmersos dependen de la confianza en el buen funcionamiento de los sistemas y servicios digitales, una confianza que puede verse minada por los ciberataques, que afectan a su seguridad, privacidad y fiabilidad. Este ARI describe la necesidad de prestar mucha atención a la ciberseguridad tanto durante el ciclo de vida de desarrollo de los sistemas como en la cadena de suministro, las dificultades que encuentran las empresas, ciudadanos y Administraciones para hacerlo y las acciones que pueden llevarse a cabo desde las diferentes instituciones para facilitarla y crear una cultura de la ciberseguridad desde el diseño y por defecto.

Análisis

La Unión Europea (UE) acaba de identificar la ciberseguridad como una de las “cadenas de valor estratégicas” que potenciar en Europa, reconociendo su relevancia más allá del ámbito tecnológico y reflejando la necesidad de que las Administraciones y las industrias de los Estados miembros coordinen sus acciones e inversiones para asegurar que la UE se convierta en un líder industrial mundial en este ámbito1.

La razón por la que la UE considera que hay que proteger y potenciar la cadena de valor de la ciberseguridad es porque garantiza el desarrollo de la economía digital. Vivimos en un mundo digital e hiperconectado en el que las personas incorporamos cada vez más inteligencia y conectividad a objetos cotidianos (móviles, frigorífico, televisión o coche, entre otros), las Administraciones Públicas aumentan sus servicios digitales y las máquinas y procesos productivos de nuestras empresas, ya sean industriales o no, crean productos que pueden ofrecer a su vez servicios conectados. No debemos olvidar que digitalizar y conectar implica hardware, software (empotrado o no) y comunicaciones. Los ordenadores están dejando de ser en nuestra vida cotidiana esos elementos físicos visibles en nuestras casas y empresas para formar parte de objetos cotidianos que se convierten en inteligentes y que, a su vez, forman parte de sistemas que a su vez se conectan con otros, creando un mundo de sistemas de sistemas en donde los ordenadores siguen existiendo de forma transparente para sus usuarios. En definitiva, estamos hablando de ordenadores y redes que, aunque no los veamos físicamente como tales, no quiere decir que no existan, y, por tanto, hablamos de potenciales problemas de ciberseguridad causados por vulnerabilidades existentes en los equipos que puedan ser explotadas con fines no éticos.

Como resultado, los sistemas son cada vez más autónomos, pueden tomar sus propias decisiones e interactuar con el mundo físico a través de los sistemas ciberfísicos que podemos encontrar, por ejemplo, en las plantas industriales o en los vehículos conectados. Como ejemplo, la figura de abajo muestra cómo los vehículos con sistemas de trasporte inteligentes y cooperativos se comunican entre sí y con las señales de tráfico y las infraestructuras viarias.

Figura 1. Ilustración de la interacción típica que existe dentro de una red C-ITS
Figura 1. Ilustración de la interacción típica que existe dentro de una red C-ITS
Fuente: Cooperative Intelligent Transport System (C-ITS)2

Los retos que superar

La economía y la sociedad digital en las que vivimos se basan en la confianza en el buen funcionamiento de todos estos sistemas, que puede verse minada por ciberataques que exploten vulnerabilidades existentes. Por este motivo, la ciberseguridad adquiere una gran relevancia en todos los aspectos de nuestras vidas y nos permite hacer frente tanto a amenazas de confidencialidad, que pueden afectar a la privacidad, como a amenazas de integridad y disponibilidad de los sistemas, que pueden llegar a impactar en la seguridad física. De esta forma, la ciberseguridad se convierte en la guardiana de nuestra economía, sociedad e incluso de la salud de las actuales democracias3, ayudando a preservar la confianza en todos estos sistemas.

La importancia de que los sistemas funcionen de una forma segura y resiliente implica trasladar la seguridad a todos los objetos, sistemas y sistemas de sistemas, aunque en este último caso nos podamos encontrar con la complejidad añadida de que la superficie de ataque puede aumentar a veces de forma impredecible. La ampliación obliga a garantizar la ciberseguridad durante el proceso completo de desarrollo de sistemas (hardware, software, conectados) y garantizar la ciberseguridad a lo largo de toda la cadena de suministro, con las consiguientes implicaciones.

Muchas de las vulnerabilidades utilizadas por los ciberatacantes explotan errores de software en funcionamiento, software malicioso como el desbordamiento de búfer (buffer overflow) o software que ha podido estar cumpliendo con su misión sin problemas durante años hasta que un ciberatacante decide convertir ese error en una vulnerabilidad que utilizar para un ataque. Esto puede ocurrir por la forma artesanal en la que se ha venido –y se sigue– desarrollando el software en muchas organizaciones, por la que se da prioridad a las funcionalidades que puede ofrecer un nuevo equipamiento sobre su seguridad. Lo que prima en los procesos de desarrollo de software es la rapidez para sacar nuevos productos al mercado cuanto antes, que sean atractivos en términos de rendimiento y facilidad de uso y, sobre todo, que reduzcan los costes de desarrollo tanto como sea posible, lo que tiene consecuencias en términos de calidad o seguridad del software desarrollado y entregado posteriormente.

Esta forma de desarrollar el software ha empezado a dar quebraderos de cabeza y problemas de distinta envergadura en función de la empresa o sector, Administración o Estado del que hablemos y podría ser el comienzo de una tormenta perfecta si no se adoptan medidas que presten a la ciberseguridad del software la atención que merece a lo largo de todo el ciclo de su desarrollo dentro de una empresa.

Las medidas que tomar

La cadena de valor formada por una gran organización compradora de software y su red de proveedores tiene que tomar medidas para mejorar la calidad del software desarrollado y reducir los costes y los tiempos de entrega. Con independencia de si se utilizan metodologías ágiles o no, la industria del software debe incorporar requisitos de ciberseguridad, utilizar arquitecturas y diseño seguros, utilizar los estándares aplicables y realizar las verificaciones y validaciones necesarias, incluidas las fases finales de puesta en producción y de fin de la vida del producto.

La industria del software debe superar retos que se han superado en otros sectores. Entre otros, y según Iker Martínez4, el cambio constante de requisitos es una moneda común en la industria de software, algo que no ocurre en otros sectores. Sería impensable que se realizaran cambios constantes en el recorrido de una carretera o que se cambiaran los materiales de un puente a mitad de obra sin pensar cuál sería su efecto.

Igual ocurre con la arquitectura y diseño del software, que apenas se valoran. Es como si en la construcción de una central térmica no se tuvieran en cuenta las implicaciones del diseño y la arquitectura para su funcionamiento y seguridad o se tuvieran en cuenta tras la construcción para cumplimentar la documentación. La industria del software tampoco suele tener en cuenta la verificación y validación, salvo si se ha producido un error, para solucionarlo. Es como si se pusiera en marcha un poste de alta tensión cerca de una vivienda sin realizar todas las pruebas necesarias para garantizar su seguridad. A lo anterior hay que añadir lo que le cuesta a la industria del software automatizar los procesos de ingeniería, a diferencia de la industria manufacturera, que ha automatizado la detección de errores y ha eliminado los procesos manuales de la cadena de montaje para evitar fallos en los productos finales.

Como en todo, siempre hay honrosas excepciones, porque evidentemente no todos los procesos de desarrollo de software son iguales ni en todas las empresas ni en todos los sectores, y entre los que cuentan con procesos de desarrollo de software de calidad podemos hablar, por ejemplo, del sector bancario. Sin embargo, esto no es suficiente, y las medidas indicadas deberían extenderse a todos los productos y sectores de una u otra forma.

En este sentido, las industrias no de software y las ingenierías se encuentran con mayores dificultades para la incorporación de procesos de desarrollo de software seguro al no contar, en general, con los perfiles técnicos apropiados de desarrollo de software. Las dificultades obedecen a la falta de profesionales de ciberseguridad, como ingenieros o arquitectos de ciberseguridad, y la escasa formación en ciberseguridad de gran parte de los ingenieros de software y de otras ingenierías que finalmente acaban desarrollando software en las empresas. No deja de resultar curioso que en muchas empresas se piense que el software puede realizarlo cualquier persona y que basta con que haya hecho un curso de programación o bien que sea autodidacta y le guste programar. No tienen en cuenta el riesgo de ciberseguridad que corren cuando conectan el software de sus productos a Internet o cuando lo integran en alguna cadena de valor, algo que no sucede en ningún otro ámbito.

Del mismo modo, las empresas e industrias que subcontratan los desarrollos de software a otra empresa o aquellas que integran diferentes productos de distintos proveedores en su cadena de suministro tienen que requerir a sus proveedores las mismas exigencias de ciberseguridad que les empiezan a solicitar a ellas sus clientes y usuarios. En este sentido, es fundamental que esas empresas fijen en el modelo de gestión y de relación que tengan establecido con sus proveedores los indicadores de control de la ciberseguridad necesarios. Tampoco deben olvidar que los subcontratados en tareas de desarrollo pueden convertirse en amenazas internas5 o que, si los proveedores no se preocupan por la ciberseguridad, pueden permitir el acceso a datos de las empresas6 o facilitar que se aproveche la vulnerabilidad del eslabón más débil de la cadena para realizar ciberataques al resto de ella.

Las empresas e industrias deben incorporar la ciberseguridad desde el diseño inicial y tenerla en cuenta para todo el ciclo de vida del producto, proceso o servicio, así como la ciberseguridad por defecto en productos y servicios, ofreciendo una primera configuración lo más segura posible que permita reducir la carga del usuario en la configuración. Esto no es tan fácil de realizar, porque el mercado no valora suficientemente las ventajas de la ciberseguridad y penaliza el mayor coste de los productos con mejores garantías de ciberseguridad, por lo que el gasto difícilmente se podrá repercutir al cliente, penalizando los resultados de las empresas. En la práctica, sólo asumen el coste de la ciberseguridad aquellas empresas o industrias que se preocupan por reducir el riesgo de una parada de producción o de un accidente o las que están obligadas por alguna regulación.

También debemos considerar que estamos acostumbrados a que tanto los fabricantes de hardware como de software no tengan responsabilidades si algo va mal, ya que las pérdidas las asumen los usuarios. En el contexto actual, y teniendo en cuenta que algunos productos pueden estar sujetos a leyes de responsabilidad civil, debemos empezar a pensar qué va a pasar con sus productos conectados si algo va mal por el software que llevan. A esto debemos añadir las dificultades en determinados casos para asegurar que un determinado fallo ha podido ser debido a un ciberataque que ha explotado una vulnerabilidad del producto.

Bruce Schneier, en su conocido libro Haz clic aquí para matarlos a todos. Un manual de supervivencia, destaca tres ámbitos en los que las políticas deben actuar para fomentar un comportamiento seguro:

  • Ex ante, estableciendo reglas para evitar que sucedan cosas malas. Comprende regulaciones sobre productos y categorías de productos, licencias de profesionales y productos y requisitos de prueba y certificación que establezcan mejores prácticas en la industria y beneficios por hacer las cosas bien.
  • Ex post, con reglas que castigan el mal comportamiento una vez que algo malo ha ocurrido. Incluye multas por falta de seguridad y atribuciones de responsabilidades cuando las cosas salen mal.
  • Divulgación mediante leyes de etiquetado de productos y otras modalidades.

Por su parte, la UE ha comenzado a actuar en diferentes frentes, por ejemplo aumentando los costes de la inseguridad, como es el caso de las penalizaciones por incumplir el Reglamento General de Protección de Datos, o creando incentivos como el reglamento europeo para la certificación de productos y servicios TIC (Cybersecurity Act). En este último se menciona, en relación con las cadenas de suministro, que los fabricantes, proveedores de productos, servicios o procesos de TIC deben aportar las actualizaciones necesarias y recuperar, retirar o reciclar los productos, servicios o procesos de TIC que no cumplan las normas de ciberseguridad, mientras que los importadores y distribuidores deben asegurarse de que los productos, servicios y procesos de TIC que introduzcan en el mercado cumplan los requisitos aplicables y no supongan un riesgo para los consumidores europeos. El cumplimiento de las regulaciones y certificaciones propiciadas por la UE obligará a corto plazo a las empresas e industrias con productos o procesos más críticos para la economía, pero deben empezar a darse pasos para realizar cambios de cara al largo plazo, en el que la formación y la capacitación serán piezas claves para fomentar una cultura de la ciberseguridad desde el diseño y por defecto.

Conclusiones

La ciberseguridad es compleja y multidimensional. Tiene una dimensión tecnológica, ya que para desarrollar soluciones de ciberseguridad se utilizan tecnologías como la criptografía, la inteligencia artificial, la cadena de bloques o registros distribuidos, entre otras. Abarca no sólo software; también hardware, comunicaciones y sistemas de sistemas con complejas cadenas de valor. La ciberseguridad tiene campos de aplicación en todos los sectores en los que podamos pensar, desde la energía a la salud, pasando por los servicios públicos. Por otro lado, los ciberatacantes pueden estar en cualquier parte del mundo y cualquier avance tecnológico es rápidamente utilizado por ellos para perpetrar ataques más sofisticados. La ciberseguridad tiene dimensiones técnicas, económicas, sociológicas, educativas, de defensa y políticas que deben contemplarse de forma holística e integrada para lograr las masas críticas y los niveles de excelencia necesarios para reforzar la cadena de valor de la ciberseguridad tanto para los proveedores como para los clientes y poder mantener la confianza en la digitalización.

Debe actuarse en varios frentes. En el frente industrial se debe:

  • Crear una cultura de hacer las cosas bien desde el principio y poder solucionar los problemas rápidamente cuando surjan. Esto implica crear una cultura de la ciberseguridad desde el diseño y por defecto que no sólo sea aplicable a los productos y servicios, sino también a las nuevas tecnologías.
  • Promover la creación de estándares y certificaciones que faciliten a las empresas la prevención, detección y respuesta a los ataques cibernéticos y creen confianza sobre el nivel de seguridad de los productos, servicios y procesos de TIC. Una certificación simplifica la complejidad que hay detrás de un producto o sistema al usuario final y le tranquiliza respecto a su utilización.
  • Promover la utilización en todos los productos de la denominado “raíz de confianza”, de tal forma que se parta de componentes base, hardware o software certificados y a partir de ellos se construyan el resto de los sistemas como capas sucesivas.
  • Promover la asignación de responsabilidades ligadas al mal funcionamiento de dispositivos conectados para que, si las cosas van mal, las consecuencias no las tenga que asumir el usuario.
  • Promover un etiquetado de ciberseguridad útil y sencillo para los usuarios de los productos, tal y como existe en otros sectores, que permita comparar características de seguridad entre productos, durante cuánto tiempo mantendrá esas características el fabricante y cuándo pasarán a ser por cuenta y riesgo del usuario.
  • Promover que la I+D y la ciberseguridad deben ir de la mano con un equilibrio entre beneficiarse de las nuevas tecnologías y al mismo tiempo construirlas seguras.

En el ámbito de la educación y la formación, se deben promover políticas educativas específicas y alineadas con las políticas industriales:

  • Aumentar la educación pública en ciberseguridad enseñando a vivir en el mundo digital lo mismo que en el mundo real y permitiendo a todos los ciudadanos un conocimiento básico que les permita gestionar la ciberseguridad sin necesidad de ser expertos.
  • Definir estándares profesionales en ciberseguridad, ya que no hay ningún sistema para certificar o licenciar a los diseñadores de software, arquitectos de seguridad, ingenieros informáticos o programadores. Podría plantearse que un diseño de software lleve la firma de un profesional cualificado, lo mismo que se exige la firma de un arquitecto colegiado en los diseños de obra.
  • Capacitar a los ingenieros de diferentes especialidades que posteriormente estarán implicados en tareas de desarrollo en el diseño y desarrollo seguro de software.
  • Concienciar a las empresas de la importancia creciente del software para sus productos y de que el proceso de desarrollo de software debe profesionalizarse.

El camino va a ser largo y complicado, pero el objetivo es conseguir que nuestra sociedad y nuestra economía sean resilientes frente a los ciberataques. Para reforzar su “sistema inmunológico”, se precisa adoptar medidas como las indicadas para contar con una industria de la ciberseguridad más fuerte y competitiva, que permita aumentar los niveles de protección y de respuesta ante incidentes de los usuarios, ya sea ciudadanos, empresas o Estados, con soluciones apropiadas de ciberseguridad, logrando el liderazgo en áreas claves de la ciberseguridad que permita ampliar la cuota de mercado internacional.

Ana I. Ayerbe
Directora del Área de Negocio TRUSTECH de Tecnalia
| @AnaAyerbe


1 Comisión Europea, “European Commission announces the Key Strategic Value Chains”, 17/II/2019.

2 Comisión Europea, DG Move, figura extraída del C-IT Platform. Final Report, enero de 2016, p. 52.

3 BELFER Center Science and International Affairs, “The Cybersecurity Campaign Playbook”, mayo de 2018.

4 Iker Martínez de Soria (2016), “Oportunidades en la industria del software”, Blog Tecnalia, 24/V/2016.

5 Agustín Marco (2019), “Naturgy sufre el chantaje de un ‘hacker’ que robó información ultraconfidencial”, El Confidencial, 18/VII/2019.

]]>
<![CDATA[ CIBER elcano No.47 ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ciber-elcano-47-septiembre-2019 2019-07-09T05:00:12Z

Presentamos el número 47 de CIBER elcano con los artículos “Ciberseguridad: construyendo cadenas de suministros seguras y de confianza”, de Ana I. Ayerbe; y “Capacidades ofensivas, disuasión y ciberdefensa”, de Félix Arteaga. Como cada número, ofrecemos una serie de documentos de interés y la agenda.

]]>

Ciberseguridad: construyendo cadenas de suministros seguras y de confianza

Ana I. Ayerbe — Mantener la confianza en el mundo digital e hiperconectado implica desarrollar la ciberseguridad desde el diseño y por defecto, tanto en el ciclo de vida de desarrollo de sistemas como a lo largo de la cadena de suministro.

Capacidades ofensivas, disuasión y ciberdefensa

Félix Arteaga — Las medidas ofensivas para disuadir a los ciberatacantes tratan de acabar con la impunidad actual pero crean el riesgo de desembocar en una escalada incontrolada si se utilizan sin ponderación ni mecanismos de supervisión.

Documentos de interés

Cyber Deterrence is overrated

SWP. Agosto de 2019. Matthias Schulze cuestiona la utilidad de la defensa activa para la disuasión, como sostiene la doctrina de Estados Unidos de 2018 y sus mentores en Alemania.

The Challenges of Scaling the Internet of Things

CSS - ETH. Agosto de 2019. Alice Crelier revisa el estado del Internet de las cosas para evaluar su concepto, retos, regulación y su prioridad (baja) en las políticas de ciberseguridad y ciberdefensa.

The Evolution of US Defense Doctrines in Cyberspace (1980-2019)

CSS - ETH. Agosto de 2019. Stefan Soesanto estudia la evolución de las doctrinas del Departamento de Defensa, desde las defensivas de los comienzos a las más ofensivas actuales.

Online jihadist propaganda. 2018 in Review

Europol. 2019. La EU’s Internal Referral Unit (EU-IRU) analiza las capacidades digitales, actuaciones, contenidos y tendencias del Estado Islámico y de Al Qaeda en Internet durante 2018.

Estratégia Nacional de Segurança do Ciberespaço 2019-2023

Consejo de Ministros, Portugal. Mayo de 2019. Publicada la primera Estrategia portuguesa de Ciberseguridad (ENSC) bajo la autoridad del Centro Nacional de Ciberseguridad (CNCS).

Más CIBER elcano

Minimizing cyber-risk through policy interventions

Minimizing cyber-risk through policy interventions

Myriam Dunn Cavelty, una de las principales analistas sobre ciberseguridad, expone la escasa contribución de las ciencias políticas al estudio del ciberespacio en el World Economic Forum

Lloyd’s City Risk Index

Lloyd’s City Risk Index

La aseguradora Lloyd’s ofrece un medidor gratuito de los daños económicos que la inseguridad, incluida la del ciberespacio, puede causar a las grandes ciudades (22 amenazas, 300 ciudades).

>
Australia’s 5G decision

Australia’s 5G decision

Danielle Cave, directora adjunta del ICPC, comenta la posición de los principales países sobre la participación o exclusión de compañías chinas en las redes de quinta generación (5G).

Agenda

14 de septiembre de 2019,TechParty 2019 (Madrid, España).

25 de septiembre de 2019, IBM Security Summit (Madrid, España).

1-3 de octubre de 2019, EU Symposium on Electronic Crime Research (Barcelona, España).

14 de octubre de 2019, CyberPYME Day (Madrid, España).

]]>
<![CDATA[ CIBER elcano No.46 ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ciber-elcano-46-julio-2019 2019-07-09T05:00:12Z

Presentamos el número 46 de CIBER elcano con los artículos “Ciberseguridad y seguridad integral en el sector energético”, de Félix Arteaga; y “In virality we trust! The quest for authenticity in digital diplomacy”, de Corneliu Bjola. Como cada número, ofrecemos una serie de documentos de interés y la agenda.

]]>

Ciberseguridad y seguridad integral en el sector energético

Félix Arteaga — Pese al razonable éxito de la ciberseguridad para hacer frente a los riesgos y amenazas del ciberespacio del sector energético, el crecimiento de éstos y la irrupción de otros nuevos obliga al sector a revisar el contexto estratégico de su seguridad.

In virality we trust! The quest for authenticity in digital diplomacy

Corneliu Bjola — La viralidad es lo último en diplomacia digital para los ministros de Asuntos Exteriores y los diplomáticos, porque no sólo tienen que estar presentes en las redes sociales, sino también en condiciones de hacerlo de forma viral.

Documentos de interés

Ciberamenazas y Tendencias 2019

CCN-CERT. Mayo de 2019. Analiza los principales ciberincidentes, amenazas, tipos de ciberataques, vulnerabilidades, medidas adoptadas y tendencias durante 2018.

National Cyber Security Strategy 2016-2021. Progress Report

UK Cabinet Office. Mayo de 2019. Contiene una autoevaluación de la ejecución de la Estrategia de Ciberseguridad y de la labor del Centro Nacional de Ciberseguridad a mitad del período previsto.

Verizon 2019 Data Breach Investigations Report

Verizon. Mayo de 2019. Analiza la ingeniería de ciberataques contra los altos ejecutivos para conseguir información sensible, principalmente con fines económicos.

Cybersecurity of NATO’s Space-based Strategic Assets

Chatham House. Mayo de 2019. Las operaciones militares dependen del funcionamiento de los equipos emplazados en el ciberespacio, lo que obliga a asegurar su ciberseguridad.

Delitos 2.0. Aspectos penales, procesales y de seguridad de los ciberdelitos

Moisés Barrio. Junio de 2019. El libro actualiza la información sobre las prácticas delictivas, sus repercusiones jurídico-penales y las nuevas medidas de investigación tecnológica.

Más CIBER elcano

How to improve cybersecurity career and technical education

How to improve cybersecurity career and technical education

En marzo de 2019, el Brookings Center for Technology Innovation organizó un debate sobre la formación en las carreras asociadas a la ciberseguridad y la educación técnica

The Readiness Side of Cyber

The Readiness Side of Cyber

Raytheon muestra la importancia de la ciberseguridad en el mantenimiento de la operatividad de equipos y unidades militares en un entorno de combate altamente digitalizado.

Exercise in a Box: Fitness tracking

Exercise in a Box: Fitness tracking

El Centro Nacional de Ciberseguridad (NCSC, por sus siglas en inglés) del Reino Unido ofrece esta herramienta gratuita para hacer pruebas sin poner en riesgo los sistemas operativos (exercise in a box).

Agenda

16-27 de julio de 2019, Cybersecurity Summer BootCamp 2019 (León, España).

25 de septiembre de 2019, IBM Security Summit (Madrid, España).

14 de octubre de 2019, CyberPYME Day (Madrid, España).

]]>
<![CDATA[ Ciberseguridad y seguridad integral en el sector energético ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari83-2019-arteaga-ciberseguridad-y-seguridad-integral-en-el-sector-energetico 2019-07-08T07:46:31Z

Pese al razonable éxito de la ciberseguridad para hacer frente a los riesgos y amenazas del ciberespacio del sector energético, el crecimiento de éstos y la irrupción de otros nuevos obliga al sector a revisar el contexto estratégico de su seguridad.

]]>
Tema

Pese al razonable éxito de la ciberseguridad para hacer frente a los riesgos y amenazas del ciberespacio del sector energético, el crecimiento de éstos y la irrupción de otros nuevos obliga al sector a revisar el contexto estratégico de su seguridad. 

Resumen

La ciberseguridad ha progresado de forma eficiente en el sector energético debido a la trascendencia de las infraestructuras críticas para los servicios públicos, el alto valor de los activos empresariales a proteger y, desafortunadamente, por la necesidad de defenderse ante los ciberataques que tienen al sector en su punto de mira.

Este ARI analiza el estado y expectativas de la ciberseguridad en un sector como el energético, sobre el que se van acumulando nuevos riesgos, tanto los relacionados con la ciberseguridad como los relacionados con los procesos más amplios de regulación y digitalización, así como los derivados de la creciente competencia geoeconómica entre las grandes potencias1.

Análisis

El ciberespacio es el nuevo espacio donde se desarrollan la economía, la cultura, el consumo, la producción y el ocio de la sociedad de nuestro tiempo: la sociedad informacional o digital. Una sociedad en la que se producen cambios muy rápidos en los aspectos sociales, económicos y políticos y cambios disruptivos en lo tecnológico, lo geopolítico o lo geoeconómico, y esos cambios afectan al sector de la energía en general y muy especialmente al de su seguridad.

Son cambios que tienen que ver con la expansión del sector en el ciberespacio, su inmersión en la economía digital, su exposición a las nuevas reglas —o la falta de ellas— y, últimamente, al enfrentamiento geopolítico, geotecnológico y geoeconómico por el poder mundial entre las potencias al que se asiste. El sector energético, como tantos otros, no puede sustraerse a estos cambios, que van a tener —y ya tienen— un impacto funcional, orgánico y cultural en el sector de la energía.

La ciberseguridad en el sector energético

El sector cuenta con grandes compañías de petróleo, gas, electricidad, nucleares y renovables que controlan infraestructuras críticas para los servicios públicos esenciales y cuya perturbación puede generar un grave efecto dominó sobre el conjunto de la economía y el modo de vida de las sociedades avanzadas2. Las inversiones en ciberseguridad y el trabajo de los CISO y sus equipos han conseguido limitar razonablemente los daños en el sector de la energía y aumentar notoriamente su capacidad de resiliencia para reponerse tras los ciberataques.

A pesar de ello, el sector sigue atrayendo los ciberataques según todas las estimaciones de riesgo y algunos han conseguido su propósito, como muestra la siguiente selección de ciberincidentes3:

  • USA, 2003, nuclear power plant, malware slammer;
  • Iran, 2008, nuclear facilities, stuxnest worm;
  • USA, 2012, power generation, human error, virus mariposa; Saudi Arabia, oil company, virus shamoon; The Netherlands, telecommunications, hacking;
  • USA, 2013, non-energy infrastructure, malware slammer;
  • USA and Canada, 2013-2015, power generation, human error, hacking;
  • Germany, 2014, manufacturing, hacking;
  • South Korea, 2015, nuclear power plant, hacking; Australia, public sector, hacking, virus;
  • Israel, 2016, public sector; power grid, malware, human error;
  • Saudi Arabia, 2017, oil safety instrumented systems, malware;
  • USA, 2019, Los Angeles and Salt Lake electrical systems, DDoS.

Sin embargo, y quizás por la razonable satisfacción de lo logrado, la ciberseguridad no figura entre las preocupaciones más urgentes del sector, según los resultados de la última encuesta del World Energy Council a unos 2.300 directivos de 50 empresas y 6 continentes. Tal y como refleja la Figura 1, la encuesta revela que existe entre los directivos una preocupación moderada por el impacto de los ciberataques (figura en la zona media del indicador) aunque su probabilidad de que ocurra es de las más elevadas (figura en la parte alta del indicador). Lo que más tiempo les ocupa son asuntos como la situación en China, los subsidios a la energía, la eficiencia energética, los precios y las renovables (en color azul), pero lo que parece quitarles el sueño son los precios de las mercancías, los mercados, la digitalización, el crecimiento económico o el almacenamiento de la energía (en color naranja).

Figura 1. Preocupaciones principales entre los directivos del sector
Figura 1. Preocupaciones principales entre los directivos del sector

Esa percepción del sector es más benigna que la que tienen otros directivos, como las recogidas por el World Economic Forum de Davos, que ven crecer en los últimos años la ciberseguridad y la tecnología como factores de riesgo empresarial4. En particular, como refleja la Figura 2, los directivos consultados incluyen entre los riesgos de mayor crecimiento a corto plazo (en 2019) algunos de los que parece que van a afectar al sector de la energía en el futuro inmediato: el enfrentamiento político y económico entre las grandes potencias, la erosión de la gobernanza, los ciberataques para interrumpir los servicios, robar los datos o pedir rescates, el proteccionismo nacional y la desinformación.

Figura 2. Riesgos principales a corto plazo para los directivos empresariales
Figura 2. Riesgos principales a corto plazo para los directivos empresariales

Para hacer frente a estos riesgos, la ciberseguridad ha ido creciendo desde que atendía los riesgos de información y de los sistemas informáticos (TIC) a los aparecidos tras la conexión de los anteriores con otros a través de Internet, la protección de las infraestructuras críticas (PIC) como parte de la seguridad nacional, la obligación de salvaguardar los datos y la privacidad de los clientes y la prestación de servicios esenciales para la economía digital.

A mayor digitalización, más riesgos de seguridad

La digitalización, a la que la ciberseguridad debe proteger, está abriendo nuevos riesgos para la seguridad del sector de la energía. Las infraestructuras se digitalizan y las energías renovables traen nuevos actores al sector, como las centrales solares, los aerogeneradores, las electrolineras o los sistemas dedicados al almacenamiento de energía. Los datos y las operaciones de las compañías se suben a la nube y eso complica la gestión de la ciberseguridad (seguir protegiendo lo que se sube o delegar su protección al gestor de la nube).

Siguiendo la evolución de la Figura 3, la conectividad trae nuevos problemas de seguridad industrial a equipos industriales que antes estaban al margen de las redes y no tenían que protegerse de los riesgos del ciberespacio. Su exposición pone en peligro las tecnologías de las operaciones (OT) —conocidas como ‘tecnologías de la información en la sombra’ (IT shadow)— y, con ello, la generación, distribución y consumo de la energía. Un riesgo para el que la Comisión Europea acaba de pedir a los Estados miembros que presionen a los miembros del sector energético para que refuercen las medidas de concienciación y formación y, si es necesario, que se incluyan estas obligaciones en el ordenamiento del sector5.

Figura 3. La evolución de la digitalización en el sector energético
Figura 3. La evolución de la digitalización en el sector energético
Fuente: Elaboración propia.

El crecimiento de la variedad y longitud de las cadenas de suministro aumenta también la vulnerabilidad del sector al eslabón más débil de la cadena. Aparecen nuevos servicios y productos digitales necesarios para los servicios, redes y ciudades inteligentes, como contadores o las cámaras y drones de vigilancia, entre otros, lo que acerca los riesgos del Internet de las cosas (IoT) al sector de la energía. Y, por si lo anterior no bastara para complicar la gestión de la seguridad, la inteligencia artificial irrumpe ahora como un multiplicador de los todos los factores de riesgos señalado debido a su capacidad para potenciarles y subirlos la seguridad a un nuevo nivel disruptivo para el sector.

Los riesgos de cumplimiento se disparan

El cumplimiento ha dejado de ser una obligación autoimpuesta para preservar la reputación y la imagen corporativa de las compañías mediante directrices y códigos internos. Estos siguen existiendo, pero se ven cada vez más desbordados por normas de obligado cumplimiento que emanan de las distintas autoridades regulatorias —nacionales e internacionales— a la que deben someterse las compañías del sector. A las obligaciones impuestas a los operadores críticos por el Plan Estratégico Sectorial de la Energía (electricidad, gas y petróleo) siguieron las derivadas del Reglamento General de Protección de Datos (RGPD) o de la trasposición de la Directiva para la seguridad de las redes y sistemas de información (Directiva NIS). A la regulación de naturaleza administrativa hay que añadir la derivada de los estándares técnicos a los que adaptarse o a los mecanismos de certificación que se deben reunir para operar.

Figura 4. Evolución de las obligaciones de cumplimiento
Figura 4. Evolución de las obligaciones de cumplimiento
Fuente: Elaboración propia.

En la Figura 4 aparecen dos nuevos capítulos en el horizonte de la expansión del cumplimiento. Por un lado, la inmersión del sector en la transición energética aumenta las obligaciones —asumidas o impuestas— que las compañías deben cumplir para responder a las expectativas creadas desde el punto de vista de la eficiencia, la reducción de emisiones, la descarbonización y la sostenibilidad climática. Por otro, las grandes compañías comienzan a tener en cuenta nuevas obligaciones relacionadas con los aspectos éticos y de transparencia que los consumidores o los movimientos sociales espera de la responsabilidad social corporativa. La presión y el escrutinio social obliga al sector a crear códigos de conducta, centros y campañas de información para anticiparse a las dudas, quejas o campañas de desinformación que puedan afectar a la continuidad de su negocio.

Por último, pero no menos importante, la rivalidad entre las grandes potencias

La geografía ha vuelto6 y las grandes potencias se enfrentan por el poder, arrastrando a todos los demás sin hacer prisioneros7. Esa competición se desarrolla también en el ciberespacio: los Estados desarrollan software malicioso que usan o ceden a sus grupos afines para que ataquen o espíen a sus países rivales, pero ese know how ha ido pasando a grupos criminales, individuos y compañías que lo utilizan ahora en su interés particular y lo ofrecen como servicio. Otras tácticas de enfrentamiento, como la desinformación o las operaciones de influencias, creadas también por los Estados para desacreditar o desmoralizar a sus rivales, seguirán probablemente el mismo camino y lo que ahora es un instrumento en la competición geopolítica entre Estados no tardará en ser un instrumento más de competición entre particulares y empresas.

El trasvase se produce porque hay una combinación —una hibridación— de distintos actores y herramientas de agresión. Los actores públicos y privados (amenazas) cooperan para dificultar la atribución de sus ataques y combinan sus distintas capacidades cibernéticas (ciberataques, desinformación, sabotaje, espionaje, fake news, propaganda e influencia, entre otros). Pero también pueden combinarlas con ataques convencionales. Así, el enfrentamiento entre Irán y Estados Unidos durante junio de 2019 se tradujo en ataque sobre buques petroleros en las inmediaciones del estrecho de Ormuz, ataques con drones sobre oleoductos de Emiratos y un misil contra una planta saudí de electricidad. Como resultado, algunos gobiernos como Estados Unidos, el Reino Unido, Francia, o la propia Unión Europea, comienzan a adoptar medidas de defensa activa para evitar el crecimiento impune de los ciberataques al sector privado y disuadir a los rivales de amenazar las infraestructuras críticas.

Además, el proteccionismo y la rivalidad fragmentan los mercados, las regulaciones y las oportunidades de negocio en función de la geografía, lo que dificulta la gobernanza de un sector tan globalizado como el de la energía. La composición accionarial, los clientes o la ubicación de las instalaciones de las compañías del sector pueden crear problemas de identificación con alguno de los bandos en conflicto y exponerse a presiones, sanciones o exclusiones que deben, desde ahora, tenerse en cuenta en el análisis de riesgos. Además, la superioridad de Estados o empresas en tecnologías disruptivas como la inteligencia artificial o la computación cuántica pueden facilitar el desplazamiento de las empresas que lleguen tarde a ellas (the winner takes it all), por lo que la innovación tecnológica representa un reto adicional para la geopolítica de la energía8.

Conclusiones (provisionales)

Como resultado de todos estos cambios, y si la investigación pendiente lo confirma, el sector energético podría colocarse en una situación de seguridad parecida a la siguiente:

  • El sector es muy sensible a los cambios y deberá tomar conciencia de la acumulación y magnitud de los riesgos y adoptar medidas al respecto (la inacción o la minusvaloración de riesgos hace que la sensibilidad se convierta en vulnerabilidad).
  • El análisis de riesgos y de respuestas se convierte en un elemento central en el diseño y conducción del negocio energético. Se debe pasar de la inteligencia táctica (ejecución) y operativa (respuestas a incidentes) a la inteligencia estratégica (conocer las amenazas, anticiparse a los riesgos y asistir a las decisiones).
  • Para limitar daños, se debe pasar de la concienciación voluntaria a la formación y exigencia coactiva de empleados y cadenas de suministro (formación obligatoria y responsabilidad contractual).
  • La seguridad multiplica sus dimensiones y pasa de lo físico, lógico, reputacional, industrial, cumplimiento o una seguridad de seguridades (seguridad integral). Las dimensiones de seguridad se combinan y suben por la cadena orgánica (centralizar la gestión).
  • La seguridad se convierte en un activo —o un pasivo— empresarial, porque los consejos de administración, las juntas de accionistas o los fondos de inversión valoran la madurez de las empresas (rendición de cuentas).
  • El paso del ocultamiento de incidentes a la trasparencia obliga a desarrollar políticas y estructuras de comunicación estratégica, pasando de la nota de prensa única a los mensajes segmentados por los distintos públicos y redes sociales y de la reacción a la anticipación (ética y explicabilidad).
  • Para limitar los daños y reforzar la resiliencia, el sector tendrá que articular su cooperación con el resto del sector para buscar sinergias (cooperación sectorial) y mejorar su capacidad de interlocución e influencia con el sector público para buscar una redistribución equilibrada de las responsabilidades (cooperación privada-pública).

Félix Arteaga
Investigador principal de Seguridad y Defensa del Real Instituto Elcano y coordinador del Grupo de Trabajo sobre Ciberpolítica


1 El contenido de este ARI se expuso previamente en la reunión anual de Sedigas de 26 de junio de 2019 en Madrid y va a servir de base a un análisis más detallado del Real Instituto Elcano en colaboración con el sector energético para evaluar conjuntamente el impacto funcional, orgánico y cultural de las tendencias de cambio en la seguridad que se incluyen en el texto.

2 Para una simulación del impacto de un apagón sobre la red eléctrica de Estados Unidos, ver “Bussines Blackout”, Lloyd’s, 2015. En el mismo sentido, el encargo de la Comisión Europea a ECOFYS, “Study on the Evaluation of Risks of Cyber Incidents in the Energy Sector”.

3 Fuente: World Energy Council, Marsh & McLennan Companies, Swiss Re Corporate Solutions.

4 Entre otros, “The Evolving Risk Report 2009-2019”, World Economic Council, pp. 5-8.

5 Comisión Europea, Recomendación C(2019) 240 sobre ciberseguridad en el sector energético, de 3 de abril de 2019.

6 Robert D. Kaplan, The revenge of geography, Random House, Nueva York, 2012.

7 Kristina Kauch, “Cheap Havoc: How Cyber-Geopolitics will Desestabilize the Middle East”, German Marshal Fund, noviembre de 2017.

8 Severin Fischer, “Technology Innovation and the Geopolitics of Energy”, en Strategic Trends 2018, Center for Security Studies, Zúrich, 2018.

]]>
<![CDATA[ Hacia un ecosistema español de Inteligencia Artificial: una propuesta ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/policy-paper-2019-hacia-ecosistema-espanol-inteligencia-artificial-una-propuesta 2019-06-12T07:39:43Z

Este informe pretende contribuir a un debate verdaderamente “español”, transversal, con propuestas para la construcción de un ecosistema español de Inteligencia Artificial en el que participen las administraciones públicas, las empresas, el mundo académico y la sociedad.

]]>
Contenidos

Resumen ejecutivo

  1. Objetivo de la propuesta
  2. Justificación de la propuesta
  3. Retos para una estrategia española de IA
  4. Prioridades del sistema de IA
  5. Visión estratégica
  6. Articulación y proceso productivo
  7. El factor humano
  8. Inversión e inversores
  9. Reputación y relato
  10. La gobernanza del ecosistema
  11. Relación con los ecosistemas externos y otros actores

Recomendaciones
Agradecimientos
Documentos de referencia

Resumen ejecutivo

La Inteligencia Artificial (IA) no es una tecnología más o una actividad que afecte sólo al ámbito académico y científico. Es una tecnología crítica para la transformación y la economía digital, por lo que su disponibilidad o carencia afecta al bienestar, prosperidad e igualdad de la sociedad española.

Este informe pretende contribuir a un debate verdaderamente “español”, transversal, con propuestas para la construcción de un ecosistema español de IA en el que participen las administraciones públicas, las empresas, el mundo académico y la sociedad. También, se trata de engarzar ese ecosistema español con el ecosistema europeo y con el resto de los actores o ecosistemas internacionales. No es una estrategia nacional de IA que le corresponda al Gobierno impulsar, en línea con otros países y con lo que pide la Comisión Europea, sino una propuesta para la creación de un entorno que facilite la creación, desarrollo y sostenibilidad de esa estrategia.

Como señala la Comisión Europea, el éxito de la coordinación de la IA descansa sobre  tres pilares: (1) aumentar las inversiones públicas y privadas en IA; (2) prepararse para los cambios socioeconómicos; y (3) garantizar un marco ético y legal adecuado. Ninguno de estos pilares se puede construir con un enfoque exclusivamente gubernamental sino con uno ecosistémico. España dispone de actores y conocimiento especializados en IA, pero le falta un modelo de coordinación, por lo que precisa articular un ecosistema que corrija esa carencia. El Gobierno precisa asociarse con el resto de los actores del ecosistema para maximizar su potencial interno y aprovechar las oportunidades de cooperación en marcos multilaterales (como la UE) o bilaterales (como el acuerdo franco-alemán sobre IA) en Europa y fuera de ella. Siendo interdependientes, el ecosistema debe ser inclusivo y permitir la participación de las administraciones públicas, incluidas las autonómicas y municipales, así como la de los sectores económicos, académicos o sociales implicadas en el desarrollo de la IA.

Para señalar objetivos estratégicos y prioridades de IA es necesario desarrollar una capacidad de inteligencia estratégica en IA que permita analizar el estado, necesidades y opciones de la IA española. El mejor conocimiento posible del estado de la IA es imprescindible para que el análisis estratégico pueda identificar y seleccionar los nichos y cadenas de valor donde aplicar la IA con mayor impacto sobre sus objetivos públicos y privados. La prioridad de esta inteligencia estratégica, recogida y procesada por el ecosistema, consiste en estar pendiente de lo que va a venir en IA y no sólo en sacar partido de lo que ya existe, en conocer qué áreas debe desarrollar y cuáles consumir. Toda estrategia española en IA debe ser coherente con una visión de país y con otros ecosistemas y estrategias tecnológicas elaboradas o en elaboración.

La mayoría de las estrategias conocidas apuestan por concentrar los esfuerzos nacionales de IA en la prestación de servicios públicos preferentes y en la producción de alto valor añadido, en lugar de dispersar los recursos limitados en desarrollos de carácter genérico. Su necesidad es más urgente en los sectores públicos o privados ya digitalizados que disponen de datos suficientes para permitir la aplicación de la IA. El ecosistema ha de ser capaz de integrar capacidades de conocimiento con capacidades industriales y sociales. Sus esfuerzos deberían centrarse en impulsar plataformas industriales que utilicen la IA como elemento competitivo de sus negocios y en la prestación de servicios públicos con un gran impacto social.

El desarrollo, captación y retención de talento es crítica, especialmente cuando escasea, no sólo en España, sino en el conjunto de Europa y del mundo. La carencia de talento afecta a la investigación y desarrollo en IA, a la adaptación y reciclaje de los directivos y empleados de las empresas e industrias digitales y, finalmente, a todos los niveles educativos. Para atender las necesidades más urgentes, el ecosistema deberá comenzar por mejorar las condiciones laborales y económicas del talento dedicado a la investigación, creando y financiando un hub de IA que asegure una masa crítica de investigadores de alto nivel para cubrir las necesidades básicas. La articulación permitiría disponer de un Centro de Excelencia, aunque sea en red, como los elaborados en otros ámbitos de la digitalización, que añaden valor al desarrollo de la IA del ecosistema compartiendo talento y financiación. También aportarían a los investigadores mayor remuneración y estabilidad profesional, así como una mejor conexión con el mundo empresarial con el que suelen están poco conectados. Posteriormente, el ecosistema deberá financiar y formar el talento necesario para facilitar la distribución de la IA a los servicios públicos y a las empresas, así como para integrarla en todos los sistemas y niveles educativos y de formación.

La inversión en IA comprende un amplio abanico de inversiones públicas y privadas, tanto para inversión, desarrollo e innovación de IA, como para su consumo mediante compra pública o privada. La Comisión Europea propone que la UE en su conjunto invierta 20.000 millones de euros al año entre 2021 y 2027 en I+D en IA, tanto público como privado. La financiación comunitaria, complementaria de la nacional, se establecería como mínimo en 7.000 millones para el período.

España debería adoptar un compromiso de llegar en un plazo de tres a cinco años a una inversión pública y privada en torno a 200 millones de euros anuales. Se podría pedir un mandato al Gobierno o al Parlamento para facilitar la presupuestación plurianual. El sector privado debe participar notablemente en el esfuerzo inversor, porque no puede esperar que el sector público invierta en la IA que precisan sus intereses de negocio; al igual que el sector público no puede esperar que el sector privado atienda intereses que estén fuera del mercado. La corresponsabilidad en el ecosistema facilita compartir riesgos e inversiones, también por medio de la habilitación de incentivos fiscales.

El desarrollo de la IA precisa la construcción de un relato que permita conocer su trascendencia para la prosperidad y bienestar de la sociedad. El relato de la Estrategia debe hacer hincapié en las oportunidades que la IA crea para el bienestar de los ciudadanos, los servicios públicos y la competitividad de la economía y abordar los retos incluyendo posibles soluciones. Sin hacerlo, la comunicación estratégica de la IA convertirá a la inteligencia artificial en un asunto exclusivamente de competitividad científico-tecnológica o económica. Este relato informativo debe completarse con la construcción de una reputación solvente de marca, articulando la capacidad científica del ecosistema con una gestión eficaz, un liderazgo claro y el respaldo político y social.

El ecosistema debe ser inclusivo, incluido en materia social y de género, y transparente. El carácter público o privado no afecta a la inclusividad porque la cooperación en red del ecosistema es pública-pública, privada-privada  y  público-privada  simultáneamente. La transparencia es, además, imprescindible cuando la IA afecta a derechos, libertades y expectativas de vida de gran parte de la población, por lo que un ecosistema tiene la responsabilidad social de la transparencia hacia afuera y hacia adentro del mismo. Siendo inclusivo y transparente, el ecosistema puede intermediar el diálogo social desde el principio incorporando disciplinas no asociadas a la IA que enriquezcan el debate ético, moral y social, facilitando la “explicabilidad” de la IA.

En cuanto a su gobernanza, el ecosistema necesita impulso político, que en el sistema español significa desde Presidencia del Gobierno, y quizá la constitución de un ministerio que agrupara estas y otras competencias. El ecosistema debe contar con un nivel “estratégico” potente, con un alto comisionado o similar y un consejo de autoridades públicas y privadas, además de un nivel operativo o técnico (que podría incluir un CDTI-IA) y otro táctico. Para agilizar la adopción de decisiones, el ecosistema deberá funcionar como un nodo, relacionándose con otros ecosistemas y plataformas (multinodal) y con los distintos niveles de decisión (multinivel) en red para eludir bloqueos.

Por razones de tamaño y de inversión científica y tecnológica, la autonomía estratégica de la IA española no puede sólo depender de un ecosistema nacional. La integración es necesaria en el ecosistema europeo, a cuyo grupo motor franco-alemán ha de unirse España, pero no suficiente porque existen otros ecosistemas más avanzados con los que se debe colaborar y buscar asociaciones estratégicas. Los intereses y necesidades españoles en materia de IA le han de llevar a cooperar con el ecosistema más dinámico y potente en materia de IA como es el de EEUU, aprovechando la presencia de grandes empresas estadounidenses y su imbricación en la economía española, pero no debe descartar la cooperación con los de otros países –China incluida– o tender puentes (de forma autónoma y/o europea) con los ecosistemas de IA de América Latina y de África.

Félix Arteaga
Investigador principal del Real Instituto Elcano

Andrés Ortega
Investigador senior asociado del Real Instituto Elcano
| @andresortegak

]]>
<![CDATA[ CIBER elcano No.45 ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ciber-elcano-45-junio-2019 2019-06-11T01:59:00Z

Presentamos el número 45 de CIBER elcano con los artículos “Sanciones contra los ciberataques: la UE enseña las uñas”, de Félix Arteaga; “La importancia de la I+D para potenciar una industria de seguridad competitiva”, de Ana I. Ayerbe; y “Un Libro Blanco para la cooperación público-privada en ciberseguridad”, de Carlos Galán Javier Alonso Lecuit. Como cada número, ofrecemos una serie de documentos de interés y la agenda.

]]>

Sanciones contra los ciberataques: la UE enseña las uñas

Félix Arteaga — La UE acaba de aprobar las primeras medidas sancionadoras para prevenir los ciberataques desde fuera de sus fronteras.

La importancia de la I+D para potenciar una industria de seguridad competitiva

Ana I. Ayerbe — Analiza la necesidad de que la Unión Europea incentive la investigación y el desarrollo de la ciberseguridad para potenciar una industria europea de ciberseguridad competitiva y para defenderse de las crecientes ciberamenazas.

Un Libro Blanco para la cooperación público-privada en ciberseguridad

Carlos Galán y Javier Alonso Lecuit — Proponen la elaboración de un libro blanco para estructurar la reflexión y los debates en torno a los diferentes asuntos en los que comparten interés los sectores público y privado.

Documentos de interés

Estudio sobre ciberseguridad y confianza en los hogares españoles

ONTSI. Red.es. Abril de 2019. Resultados de la encuesta a los hogares españoles sobre el uso de medidas de seguridad en sus ordenadores, conexiones inalámbricas y dispositivos móviles.

Cyber Law Toolkit

CCDCOE OTAN. Mayo de 2019. Es una herramienta interactiva con trece escenarios hipotéticos de ciberataques que permite evaluar la aplicabilidad del Derecho Internacional en ellos.

Iranian cyber-activities

CSS ETH Zurich. Mayo de 2019. En este estudio se analizan las actuaciones iraníes en el ciberespacio en función del contexto de rivalidad regional y las tensiones internacionales.

Regulation in Cyberspace

INSS. Abril de 2019. Gabi Siboni e Ido Sivan-Sevilla analizan el desarrollo de la regulación internacional y los modelos autorregulados, los vinculantes y los basados en incentivos.

El Libro Blanco del CISO (2ª edición)

ISMS Forum. Mayo de 2019. Actualiza la primera edición de octubre de 2018 e incluye los datos y las conclusiones de una encuesta realizada a los CISO de 40 empresas.

Más CIBER elcano

Los criminales prefieren el criptominado

Los criminales prefieren el criptominado

El vicepresidente de la IBM, Caleb Barlow, describe en la cadena Fox cómo aumenta el interés criminal por el criptominado mientras que se reduce el que tenía por los rescates.

La ciberseguridad de los partidos en las últimas elecciones

La ciberseguridad de los partidos en las últimas elecciones

Los responsables de ciberseguridad de los partidos políticos españoles muestran sus preocupaciones y soluciones ante las elecciones pasadas al programa “La Noche” de 24h de RTVE.

Agenda

12 junio 2019, CISO Day 2019, Madrid, España.

18 junio 2019, I Encuentro del ENS, Madrid, España.

20 junio 2019, openexpo europe, Madrid, España.

20 junio 2019, Chatham House Cyber 2019, Londres, Reino Unido.

16-27 julio 2019, Cybersecurity Summer BootCamp 2019, Leon, España.

]]>
<![CDATA[ Sanciones contra los ciberataques: la UE enseña las uñas ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/comentario-arteaga-sanciones-contra-los-ciberataques-la-ue-ensena-las-unas 2019-06-11T12:22:54Z

El incremento de la cantidad y calidad de los ciberataques amenaza con superar la capacidad defensiva de los actores públicos y privados, por lo que en los últimos años se ha ido abriendo paso la necesidad de contar con instrumentos de ciberdisuasión.

]]>
El incremento de la cantidad y calidad de los ciberataques amenaza con superar la capacidad defensiva de los actores públicos y privados, por lo que en los últimos años se ha ido abriendo paso la necesidad de contar con instrumentos de ciberdisuasión, para llevar al ánimo de los ciberatacantes la existencia de un riesgo, y de contrataque, para materializar ese riesgo.

“En junio de 2017, la Comisión Europea y sus Estados miembros decidieron poner en marcha un régimen de sanciones diplomáticas disuasorias”.

En junio de 2017, la Comisión Europea y sus Estados miembros decidieron poner en marcha un régimen de sanciones diplomáticas disuasorias, el EU Cyber Diplomacy Toolbox, que se ha materializado el 17 de mayo de 2019 con las primeras medidas sancionadoras del Consejo en respuesta a los ciberataques generados fuera de la UE y que puedan tener o tengan un impacto importante sobre la ciberseguridad de la UE (infraestructuras críticas, servicios públicos, elecciones, información clasificada y seguridad interior o exterior) o de Estados y organizaciones internacionales. Las sanciones se enmarcan en la Política Exterior y de Seguridad Común de la UE (artículos 21 y 30 del TUE) y consisten en la prohibición de viajar o la congelación de bienes, entre otras, a quienes realizan o coadyuban a la realización de ciberataques, incluso en grado de tentativa.

La ciberseguridad no cuenta todavía con una regulación específica en el derecho internacional, por lo que la UE trabaja para el desarrollo progresivo de normas voluntarias tanto en Naciones Unidas como en otros foros que permitan trabar su gobernanza en el futuro, como el G20 o el Llamamiento de París para la Confianza y Seguridad en el Ciberespacio. Pero, mientras se trata de llegar a acuerdos vinculantes, los Estados intentan ponerse de acuerdo con otros Estados mediante acuerdos bilaterales o disuadirlos aprobando regímenes sancionadores como el que acaba de adoptar la UE. El Consejo comenzó a muñir sus instrumentos diplomáticos en febrero de 2015, solicitando a las instituciones y Estados miembros en sus “Conclusiones sobre Ciberdiplomacia” que reflexionaran sobre la necesidad de incluir en su acción exterior medidas relacionadas con la regulación internacional del ciberespacio, la protección de los derechos y libertades o la cooperación internacional.

El Consejo no recomendó en aquel momento el desarrollo de medidas sancionadoras, pero esa reflexión inicial condujo a 2017, cuando la Comisión y el Servicio Europeo de Acción Exterior presentaron al Consejo para su aprobación su inventario de medidas diplomáticas de respuesta a ciberataques (Cyber Diplomacy Toolbox). El Consejo, siguiendo el dictamen del Grupo de Expertos Gubernamentales de 2015, consideró necesario adoptar medidas diplomáticas disuasorias, incluidas sanciones, contra los Estados que llevaran a cabo ciberataques contra la UE desde sus territorios o que consintieran su realización desde los mismos por actores no estatales. El Consejo se mostró dispuesto a encajar estas medidas en el derecho internacional aplicable a la ciberseguridad y aplicarlas con todas las cautelas y proporcionalidad posible, pero evitó vincular su aplicación a la atribución previa, ya que algunas medidas diplomáticas no precisaban contar con la certeza absoluta de la atribución para ser disuasorias.

“Los Consejos Europeos de junio y octubre de 2018 reiteraron la necesidad de desarrollar las capacidades disuasorias de la UE para responder a los ciberataques”.

Mientras se desarrollaba este mandato, arreciaron los ciberataques como los del WannaCry o del NotPetya, por lo que el Consejo de Asuntos Exteriores de abril de 2018 condenó su proliferación y reiteró la necesidad de buscar respuestas disuasorias dentro de la PESC, incluyendo sanciones. Los Consejos Europeos de junio y octubre de 2018 reiteraron la necesidad de desarrollar las capacidades disuasorias de la UE para responder a los ciberataques, apelaciones que precedieron a las medidas adoptadas en abril de 2019.

Las medidas aprobadas ahora pueden complementarse en el futuro con otras medidas, diplomáticas o no, de la UE o de sus Estados miembros. Esa combinación depende del nivel de atribución que sea posible, porque, cuanta más certeza exista sobre la autoría, más fácil será adoptar medidas de mayor rigor. En la Figura 1 aparece un hipotético inventario en el que se recogen todas las medidas de respuesta posibles frente a los ciberataques, tanto de la UE como de sus Estados miembros, solos o en colaboración con terceros y ordenadas por el nivel de atribución.

Figura 1. Inventario de posibles medidas en respuesta a los ciberataques

La previsión de estas medidas es necesaria porque las medidas defensivas no bastan para contener la progresión de los ciberataques: se hace necesario que los Estados miembros de la UE adopten, individual o colectivamente, medidas disuasorias que desincentiven la agresión y mitiguen la impunidad con la que se atacan bienes, personas, libertades y derechos a través del ciberespacio. No serían necesarias si existiera una verdadera voluntad de cooperación internacional, pero es difícil que esa cooperación cristalice mientras las grandes potencias del ciberespacio no se vean amenazadas por las mismas capacidades y amenazas avanzadas persistentes que ellos mismos han creado o consentido. Cuanto mejor funcionen estas medidas disuasorias, más difícil será subir por la peligrosa escalera de las medidas de represalia (defensa activa), pero tal y como están las cosas en la ciberseguridad, parece inevitable incluirlas en el inventario de respuesta, tal y como acaba de hacer la nueva Estrategia francesa de ciberdefensa o como lo acaba de anunciar la Estrategia Nacional de Ciberseguridad.

Félix Arteaga
Investigador principal de Seguridad y Defensa, Real Instituto Elcano

]]>
<![CDATA[ Un libro blanco para la cooperación público-privada en ciberseguridad ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari67-2019-galanalonsolecuit-libro-blanco-para-cooperacion-publico-privada-ciberseguridad 2019-06-11T09:23:02Z

La cooperación es el hilo conductor que conecta, día a día, a agentes públicos y privados para hacer frente a los desafíos de la ciberseguridad. Un libro blanco facilitaría un debate estructurado para llevar a término dicha cooperación.

]]>
Tema

La cooperación es el hilo conductor que conecta, día a día, a agentes públicos y privados para hacer frente a los desafíos de la ciberseguridad. Un libro blanco facilitaría un debate estructurado para llevar a término dicha cooperación.

Resumen

Los libros blancos tienen por objeto analizar en profundidad un asunto o una política para asesorar a las partes interesadas, a los órganos legislativos o a los Gobiernos. En materia de ciberseguridad, el Estado es el primer y principal garante de la seguridad en el ciberespacio, pero la práctica totalidad del esfuerzo económico y operativo desplegado para anticipar y hacer frente a ciberataques, así como la innovación, provienen del sector privado, especialmente de aquellas empresas designadas operadores de servicios esenciales y de los operadores de infraestructuras críticas, cuyo funcionamiento es indispensable para el mantenimiento de los servicios públicos. Tanto la Ley de Seguridad Nacional de 2017 como la Estrategia Nacional de Ciberseguridad de 2019 respaldan la cooperación público-privada (CPP), pero su materialización precisa una reflexión previa y un debate en profundidad sobre sobre la visión, objetivos, prioridades, métricas y recursos necesarios de esa cooperación. Este ARI aboga por la elaboración de un libro blanco para para estructurar el debate conceptual y, de aprobarse mediante un acuerdo del Consejo de Ministros, facilitar el desarrollo de las normas jurídicas necesarias para materializar sus objetivos.

Análisis

El  apoyo mutuo entre el Estado y el sector privado no solo es resultado de un mandato legal encuadrado en la regulación de la seguridad de las redes y sistemas de información (la transposición de la Directiva NIS), sino una manifestación de la necesidad de una estrecha cooperación entre lo público y lo privado. Entre las recomendaciones de la Comisión Europea sobre la implantación de CPP en ciberseguridad figura el informe de Enisa de 2011 “Cooperative Models for Effective Public Private Partnerships Good Practice Guide”, el cual ofrece directrices para la formación de partenariados en ciberseguridad enfocados a diferentes propósitos junto a ejemplos de buenas prácticas en las distintas regiones. Mas recientemente, en 2015, Enisa ha publicado el documento “EP3R 2009-2013 Future of NIS Public Private Cooperation”, orientado a la cooperación en materia de resiliencia en el contexto de la Directiva NIS. Es también de obligada referencia el partenariado público-privado Contractual Public Private Partnership on Cybersecurity, iniciado en 2016 entre la European Cyber Security Organization (ECSO) y la Comisión Europea para el desarrollo de la industria de ciberseguridad europea mediante la financiación conjunta de proyectos en el marco del programa de investigación e innovación Horizonte 2020.

La práctica de los libros blancos en el sector público cuenta con varios precedentes en España, como son el Libro Blanco para la Reforma del Sistema Educativo de 1989 del Ministerio de Educación, Cultura y Deporte; los libros blancos para el diseño de títulos de grado adaptados al Espacio Europeo de Educación Superior, elaborados a principios de los años 2000 por una red de universidades españolas apoyada por la Agencia Nacional de Evaluación de la Calidad y Acreditación (Aneca); el Libro Blanco de la Sanidad, elaborado en 2018 por la Confederación Española de Organizaciones Empresariales (CEOE), o el Libro Blanco del Desarrollo Español de Videojuegos 2018, promovido por la Asociación Española de Empresas Desarrolladoras de Videojuegos (DEV) y el Instituto Español de Comercio Exterior (ICEX), también en 2018.

En materia de ciberseguridad, cabe señalar el estudio monográfico “Ciberseguridad: la cooperación público-privada”, publicado en 2017 por el Instituto Español de Estudios Estratégicos del Ministerio de Defensa y el Departamento de Seguridad Nacional. Aborda la cooperación público-privada desde cuatro vertientes: (1) el advenimiento de la transformación industrial y las tecnologías facilitadoras; (2) el análisis, intercambio de información y modelo integral de respuesta a las ciberamenazas desde el sistema de seguridad nacional; (3) la protección de las infraestructuras críticas, y (4) la cultura, capacitación y nuevos perfiles profesionales.

Aunque no se pueden considerar libros blancos, la CPP cuenta con dos referencias centrales. En su “Aproximación española a la ciberseguridad”, el Centro Criptológico Nacional señala tres objetivos para la construcción de una comunidad basada en la cooperación público-privada: (1) el intercambio de información sobre vulnerabilidades y ciberamenazas, (2) la promoción de la cooperación con sectores de la industria o servicios de ciberseguridad para la mejora de las capacidades de detección, prevención, respuesta y recuperación, y (3) el impulso de estándares1.

La segunda referencia es la reciente Estrategia Nacional de Ciberseguridad 2019, que define algunas líneas de acción específicas para fomentar la CPP con el objeto de (1) garantizar la cooperación y el intercambio de información sobre ciberincidentes e inteligencia de ciberamenazas, , (2) promover el compromiso de los proveedores de servicios de internet (ISP) y de servicios digitales para la protección del ecosistema empresarial, social y de los ciudadanos, y (3) promover la creación del Foro Nacional de Ciberseguridad con el objetivo de potenciar y crear sinergias público-privadas, particularmente en la generación de conocimiento sobre las oportunidades y amenazas para la seguridad en el ciberespacio. Esta tercera línea demandará una mayor estructuración de los distintos agentes del sector privado con el objetivo de consolidar la representatividad en su interlocución con el sector público.

Elementos para la reflexión y el debate

Como se ha mencionado, los libros blancos son tanto más necesarios cuanto más complejo es el problema por tratar. En el caso español, la CPP en materia de ciberseguridad puede observarse desde distintas ópticas. Primero, desde una perspectiva estratégica y política, porque la ciberseguridad es una parte de la seguridad nacional. Segundo, desde la perspectiva de los actores económicamente involucrados en su desarrollo y utilización (fabricantes, usuarios, compradores y vendedores de productos, soluciones o servicios de ciberseguridad, etc.). Tercero, desde una visión ética y jurídica, porque la respuesta a las ciberamenazas exige contemplar medidas de naturaleza jurídica amparadas en el respeto a unos principios éticos esenciales. Cuarto, desde un punto de vista sociológico, porque los nuevos métodos de defensa frente a las ciberamenazas pueden tener un impacto significativo en el comportamiento de las sociedades. Finalmente, el académico y de investigación, porque no es posible construir una adecuada ciberseguridad sin el concurso de las actividades de I+D+i y la presencia de la academia en tales investigaciones.

Además de estas dimensiones, un libro blanco para la CPP en materia de ciberseguridad debería satisfacer alguno de los siguientes objetivos esenciales. Debe elaborar una clara definición del alcance de tal cooperación y señalar hasta dónde debe llegar una cooperación efectiva, capaz de salvaguardar al mismo tiempo los intereses particulares de las empresas privadas (en materia de propiedad intelectual e industrial, por ejemplo) y los intereses generales del Estado y sus ciudadanos. También debe señalar cuáles son las garantías que pueden ofrecerse para asegurar que el intercambio de información entre las empresas privadas y las Administraciones gubernamentales no va a usarse posteriormente para otros propósitos. Otro de los objetivos es la clarificación del marco legal —y ético— en el que podrán desenvolverse las actividades de los investigadores en ciberseguridad; por ejemplo, a la hora del desarrollo de políticas responsables de revelación coordinada de vulnerabilidades. Y ya que, por definición, el ciberespacio no conoce fronteras físicas, las medidas que el sector público adopte para disuadir a terceros de atacar los sectores públicos y privados nacionales debe legitimarse mediante un consenso internacional.

En función de todo ello, se pueden señalar algunas cuestiones que deberían estar presentes en un libro blanco sobre la cooperación público-privada en materia de ciberseguridad.

Investigación, intercambio de datos e inteligencia

Los vectores de ataque de muchas de las amenazas conocidas siguen el mismo patrón, con independencia de su objetivo final, y los procedimientos, tácticas y técnicas usados en un ataque de ciberespionaje contra una empresa privada no difieren gran cosa de otro realizado contra una institución pública. Con los ataques provenientes de las organizaciones delincuenciales sucede otro tanto. Hasta ahora, la respuesta ha sido parcial y, en consecuencia, poco eficiente, por lo que parece cada vez más necesario que los sectores público y privado aúnen esfuerzos para afrontar un problema común, y una manera efectiva de hacerlo es compartir inteligencia, información y datos que permitan una respuesta eficaz y sistémica y que no comprometa las metodologías (inteligencia pública) ni las fuentes de los datos (privacidad).

Cuestiones sobre la cooperación en inteligencia:
  • ¿Cuál debe ser el papel del sector público a la hora de compartir y promover la difusión de información e inteligencia sobre amenazas?
  • ¿Cómo deben compartirse datos entre el sector privado y el sector público? ¿Y entre actores privados? ¿La compartición debe ser obligatoria o voluntaria? ¿Cuál debe ser el modelo de compartición de datos de las organizaciones multinacionales?
  • ¿Cuál debe ser el tipo de información que puede compartirse? ¿Cómo han de ser los mecanismos para el intercambio: automáticos, manuales, mixtos?
  • ¿Puede permitirse una compartición parcial o debe ser completa?
  • ¿Debe eximirse de responsabilidad a las entidades privadas por compartir datos personales de sus clientes o usuarios? ¿Debe regularse?
  • ¿Cuál sería el coste de compartir grandes volúmenes de datos? ¿Quién debería asumir tal coste?

Las vulnerabilidades de día cero en los productos de software (o de hardware)

Como es sabido, una vulnerabilidad de día cero (zero-day) hace referencia a una brecha de seguridad —accidental o intencionada— no conocida públicamente en un producto de hardware o, más frecuentemente software y para la que no se han desarrollado las acciones correctoras correspondientes. Por su parte, los denominados exploits de día cero (zero-day exploits) son herramientas usadas para aprovechar dichas vulnerabilidades desarrolladas por todo tipo de actores, desde hackers a grupos delincuenciales, pasando por los propios Estados, y que se pueden adquirir en foros underground o en la Internet profunda (deep web). El descubrimiento de tales vulnerabilidades puede tener lugar en dos momentos diferentes: antes de un ataque, como consecuencia del trabajo de grupos de investigación pertenecientes o ajenos a la empresa desarrolladora del software vulnerable, o tras un ataque. Obviamente, cuanto mayor es el tiempo que permanece una vulnerabilidad sin ser reparada, mayor será el riesgo de que terceras partes puedan descubrirla y servirse de ella para propósitos dañinos. Aunque la garantía no es absoluta, una adecuada metodología de desarrollo puede ayudar a limitar la introducción de vulnerabilidades en el software.2

Cuestiones sobre las vulnerabilidades de día cero:
  • ¿En qué medida debe participar el sector público en la investigación, desarrollo y “adquisición” de vulnerabilidades y exploits de día cero?
  • Cuando tiene constancia de ello, ¿hasta qué punto debería el sector público compartir estas vulnerabilidades con el sector privado y con quién (fabricante del producto de hardware o software vulnerable, terceras empresas, ciudadanos, etc.)? Tal compartición, ¿debería estar regulada legalmente? ¿Deberían existir penalizaciones o sanciones para los fabricantes que, tras habérseles comunicado una vulnerabilidad, no la solucionan en tiempo y forma?
  • ¿Es necesario imponer legalmente la obligación de usar metodologías adecuadas en el desarrollo de software? ¿Cómo evaluar, auditar y, en su caso, certificar los productos evaluados? En este escenario, ¿es razonable limitar la importación de productos que no estén certificados o limitar las subvenciones públicas a desarrollos no evaluables?

Responsabilidad por las vulnerabilidades

Al tiempo que las sociedades occidentales son cada vez más dependientes de sus sistemas de información, la importancia del hardware y, muy especialmente, del software sobre el que se sustentan ha crecido de forma pareja. Muchas actividades actuales relacionadas con la economía, el trabajo, la salud, las relaciones o el ocio se apoyan en unas tecnologías que deberían garantizar su seguridad y su correcto funcionamiento. Desafortunadamente, esto no siempre es así. La celeridad que el mercado impone a los fabricantes provoca que muchos productos tecnológicos se comercialicen con graves vulnerabilidades, que obligan a los destinatarios a estar permanentemente atentos y adoptar las medidas de remedio más adecuadas en cada caso o a las que tienen acceso. Frente a esta realidad, los fabricantes han venido esquivando su responsabilidad por la presencia de vulnerabilidades en sus productos, que, en ocasiones, ponen en grave peligro el normal desenvolvimiento de las sociedades. Por otro lado, la desaparición de empresas, la obsolescencia de la tecnología, la preocupación por el desarrollo de nuevas versiones —y el olvido de las anteriores— o la falta de continuidad en la generación de parches incrementan significativamente estos riesgos.

Cuestiones sobre vulnerabilidades:
  • ¿Cuál debe ser la actitud de los poderes públicos en materia de vulnerabilidades? ¿Es necesaria una regulación que determine el alcance de la responsabilidad de los fabricantes?
  • ¿Quién es responsable de los perjuicios de una vulnerabilidad en un producto de hardware o software? ¿Es algo que puedan negociar las partes en todos los casos? ¿Es igualmente responsable un proveedor de software abierto que uno que sea propietario? ¿En qué casos un integrador podría ser responsable por un software de terceros? ¿Cabe la misma responsabilidad en un software comercial que en software como servicio?
  • ¿Quién es responsable de eliminar una vulnerabilidad una vez descubierta?
  • ¿Cuál es la responsabilidad de los usuarios en implementar los parches cuanto antes?
  • ¿Cómo abordar el desinterés de un fabricante por generar un parche ante una vulnerabilidad conocida?
  • ¿Debería alterarse la responsabilidad de los fabricantes si los productos están al final de su vida útil?

La atribución de los ciberataques

Es sabido que atribuir la autoría de un ciberataque a un actor concreto puede ser, en muchos casos, una tarea extraordinariamente compleja. Lo mismo cabe señalar de los supuestos “colaboradores” o cómplices de los atacantes: la ocultación, el enmascaramiento o las llamadas acciones de falsa bandera contribuyen a ello. La complejidad de la atribución aumenta en relación con la oportunidad y el alcance de la respuesta: mientras que una respuesta inadecuada podría causar incidentes y réplicas contraproducentes, la ausencia o tibieza de respuesta podría aumentar el número de ataques y el descrédito de las instituciones.

A falta de una regulación o acuerdo internacional sobre atribución, las acciones de disuasión en sus vertientes pasiva (poner dificultades a los atacantes) o activa (responder ante los ataques, lo que se ha dado en llamar defensa activa) ya forman parte de los contenidos de las estrategias nacionales de seguridad modernas, porque son los Gobiernos los responsables del ejercicio de las acciones de respuesta. No obstante, la CPP deberá precisar el papel del sector privado en la atribución de los ciberataques, tal y como refleja el cuadro siguiente.

Cuestiones sobre atribución:
  • ¿Cómo deben involucrarse los Gobiernos cuando el sector privado alega públicamente que un actor concreto es responsable de un ciberataque?
  • ¿Hasta dónde debe involucrarse una entidad privada en la atribución de un ciberataque?
  • ¿Cómo deben verificar los Gobiernos la verosimilitud de una supuesta atribución? ¿Cómo abordar el problema cuando las víctimas son organizaciones multinacionales? ¿Cómo debe manejarse públicamente una situación como esta?

Ataques generados por botnets

Un botnet es un conjunto (generalmente extenso) de dispositivos previamente infectados —que pueden ir desde ordenadores personales a dispositivos de IoT, wearables, etc.— utilizados por los agentes de amenazas para generar ciberataques (ataques de denegación de servicio o de propagación de ransomware, por ejemplo). Cuanto mayor sea el número de dispositivos comprometidos por un botnet en cualquier parte del mundo, mayor será el efecto de tales ataques, y es ahí donde se difuminan las consideraciones en torno a actores o fronteras terrestres. La prevención y respuesta frente a los botnets es otro componente importante de la CPP.

Cuestiones sobre botnets:
  • ¿Qué deben hacer los sectores público y privado para prevenir la proliferación de botnets y cómo deberían cooperar?
  • ¿Cómo deberían investigarse y estudiarse los botnets existentes? ¿Existe alguna limitación en cuanto a las entidades que pueden investigar o a los métodos de investigación usados? ¿Cómo articular la cooperación público-privada en la investigación de botnets?
  • ¿Cómo deberían desmantelar las botnets los actores de todo el ecosistema? ¿Cómo gestionar los riesgos asociados a la comercialización de los productos y a la reputación de los fabricantes? ¿Cómo compaginar el derecho a la privacidad de los usuarios con el desmantelamiento de botnets?
  • ¿Qué responsabilidad deben asumir los actores involucrados (fabricantes, distribuidores o usuarios) en el caso de dispositivos vulnerables no parcheados?

Monitorización o supervisión de los ciberataques

La monitorización o supervisión de datos e informaciones —comunicaciones, esencialmente— forma parte del arsenal de trabajo de los investigadores en ciberseguridad. Dichas informaciones pueden ser parte de las relaciones entre un empresario y sus trabajadores, entre un ISP y sus clientes o entre una plataforma tecnológica (pública o privada) y sus usuarios. No obstante lo anterior, no es menos cierto que la monitorización o supervisión de las comunicaciones exige, como así lo señalan las regulaciones sustentadas en los principios del Estado de derecho de todo el mundo, un escrupuloso respeto a los derechos fundamentales de los individuos, en concreto a su privacidad.

Cuestiones sobre la monitorización/supervisión:
  • ¿Quién debe estar facultado para monitorizar/supervisar qué tipo de información?
  • ¿Hasta dónde ha de alcanzar la monitorización: a los mensajes, a los metadatos…? ¿Es necesario regular con mayor profundidad las excepciones legales a la monitorización de contenidos?

La gobernanza de la ciberseguridad

En la actualidad, y por lo que respecta a España, la gobernanza de la ciberseguridad está distribuida entre distintas entidades, entre las que cabe destacar: órganos de coordinación y asesoramiento (Consejo Nacional de Ciberseguridad y Departamento de Seguridad Nacional, respectivamente), organismos públicos ejecutivos (Centro Nacional de Inteligencia-Centro Criptológico Nacional, Instituto Nacional de Ciberseguridad, Centro Nacional de Protección de Infraestructuras y Ciberseguridad, Mando Conjunto de Ciberdefensa) y otros organismos públicos y privados gestores de CSIRT o centros de operaciones de ciberseguridad (SOC). El futuro libro blanco deberá seleccionar aquellos ámbitos en los que centrar la cooperación CPP, así como promover objetivos y líneas de acción establecidas en las referencias mencionadas. Entre estas, cabe mencionar la manera de articular el ecosistema y la interlocución de los agentes privados, la forma de identificar los nuevos ámbitos de la ciberseguridad por regular y el modo de hacerlo, la necesidad de enmarcar el modelo de cooperación en ámbitos clave de la seguridad nacional tales como la Ley PIC o el modelo que seguir para el fomento de la investigación, entre otras. Una adecuada gobernanza de la ciberseguridad exige la mayor coordinación entre las diferentes entidades y, quizás, la creación de un Centro Nacional de Ciberseguridad.

Cuestiones sobre gobernanza:
  • ¿Cuál debe ser el modelo de gobernanza de la ciberseguridad?
  • ¿Qué entidades y organizaciones públicas deben ser responsables de asumir qué competencias nacionales en materia de ciberseguridad?
  • ¿Bajo qué esquemas deben participar las entidades privadas en este modelo de gobernanza?
  • ¿Es necesaria una Ley de Ciberseguridad Nacional capaz de articular todo ello?

El acceso a datos cifrados

Las técnicas criptográficas y, en concreto, el cifrado de la información constituyen los mecanismos más útiles a la hora de proteger la información que se transmite o se almacena, por lo que podemos concebir la criptografía como un recurso que forma parte de los derechos y la libre iniciativa de los usuarios de los medios tecnológicos. Sin embargo, la criptografía también está al alcance de quienes se aprovechan de sus características para perpetrar ataques (ocultación de identidad, inclusión de código dañino o malware en los contenidos trasmitidos, etc.), que, de no ser descubiertos a tiempo, pueden comportar daños importantes para los sistemas de información de las víctimas.

Así las cosas, y admitiendo que el cifrado es un derecho, los cuerpos policiales de Europa han venido solicitando la presencia de mecanismos legales y la estrecha colaboración de operadores de comunicaciones electrónicas, proveedores de plataformas de Internet (OTT) y fabricantes de terminales con el fin de descifrar las comunicaciones cifradas (criptoanálisis) o acceder a información cifrada en el dispositivo del usuario y en las plataformas de servicios. Esta colaboración se practica en circunstancias regladas y sin conculcar derechos fundamentales, como el derecho a la privacidad o el secreto de las comunicaciones, pero ha abierto el debate en torno a los llamados mecanismos de cifrado fuerte (más robustos y cuya ruptura exige los mayores recursos tecnológicos) frente a un cifrado débil (menos robusto y con puertas traseras, lo que lo hace más vulnerable al criptoanálisis).

Cuestiones para la reflexión y el debate:
  • ¿Quién debería poder acceder a datos y comunicaciones cifradas y en qué supuestos?
  • ¿Es conveniente o útil diferenciar cifrado fuerte de cifrado débil? ¿Quién debería determinar qué algoritmos de cifrado débil podrían usarse? ¿Cuál sería la responsabilidad del sector público en asegurar la inviolabilidad de las puertas traseras de tales algoritmos?
  • ¿Debe regularse la obligación de usar técnicas de cifrado en determinadas comunicaciones, incluso en el sector privado? ¿Qué tipo de cifrado: débil o fuerte?
  • ¿Cómo cohonestar el derecho al cifrado con la responsabilidad de las instituciones públicas competentes en la prevención e investigación de los delitos?

Conclusiones

La articulación de un libro blanco sobre la cooperación público-privada en materia de ciberseguridad ofrecería un marco conceptual adecuado para potenciar la cooperación y la priorización de áreas donde sea más necesaria. En particular, proporcionaría un análisis sobre la necesidad de normas jurídicas, estándares o esquemas de certificación que faciliten la consecución de los objetivos establecidos.

En este sentido, la Estrategia Nacional de Ciberseguridad 2019 establece unas líneas de acción específicas para el estímulo de la cooperación público-privada, en concreto la creación de un Foro Nacional de Ciberseguridad orientado a la identificación entre todos los agentes de las oportunidades y amenazas prioritarias para la ciberseguridad.

Con el ánimo de propiciar un debate muy preliminar sobre los contenidos que abordar en un posible libro blanco sobre la cooperación público-privada, este ARI ha señalado distintos elementos y puntos de vista desde donde puede observarse el problema de la ciberseguridad, así como cinco objetivos de carácter general y ocho elementos significativos que considerar, sobre los que se exponen distintas cuestiones abiertas a debate.

Carlos Galán
Licenciado y doctor en Informática, licenciado en Derecho y abogado especialista en Derecho de las TIC, profesor de la Universidad Carlos III de Madrid, presidente de la Agencia de Tecnología Legal y y miembro del Grupo de Trabajo de Ciberpolítica del Real Instituto Elcano.

Javier Alonso Lecuit
Miembro del Grupo de Trabajo de Ciberpolítica del Real Instituto Elcano


1 En el terreno práctico, el Centro proporciona las Guías CCN-STIC sobre normas, instrucciones y recomendaciones para la mejora de organizaciones, junto con el Sistema de Alerta Temprana del CCN, al servicio de las Administraciones y empresas de interés estratégico para el país.

2 Tales como las patrocinadas por el Open Web Application Security Project (OWASP) o el National Institute of Standards and Technology (NIST). Security Considerations in the System Development Life Cycle. Gaithersburg, MD: U.S. Dept. of Commerce.

]]>
<![CDATA[ La importancia de la I+D para potenciar una industria de seguridad competitiva ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari66-2019-ayerbe-importancia-de-id-potenciar-industria-seguridad-competitiva 2019-06-11T09:13:54Z

La investigación y el desarrollo de la ciberseguridad en la Unión Europea es necesaria para potenciar una industria de ciberseguridad competitiva y defenderse de las crecientes ciberamenazas.

]]>
Tema

La investigación y el desarrollo de la ciberseguridad en la Unión Europea es necesaria para potenciar una industria de ciberseguridad competitiva y defenderse de las crecientes ciberamenazas.

Resumen

El reforzamiento de la investigación y desarrollo (I+D) de la ciberseguridad europea es imprescindible para que la Unión Europea pueda defenderse de las crecientes ciberamenazas y competir por el mercado industrial y tecnológico de la ciberseguridad. Este ARI describe el estado de la I+D en la UE y las medidas que se están adoptando para impulsarla en los distintos ámbitos de la inversión, la coordinación de los centros, los riesgos y las líneas de investigación prioritarias.

Análisis

La preocupación por la I+D europea en ciberseguridad es patente en la fragmentación existente en el ámbito de la I+D, con una industria que apenas cuenta con jugadores mundiales y una inversión pública a todas luces insuficiente —de entre 1.000 y 2.000 millones de euros— si se compara con la inversión en Estados Unidos —de 19.000 millones de dólares al año, incluyendo 900 millones para investigación e innovación— o frente al programa chino de tecnología cuántica enfocado a la ciberseguridad —de unos 10.000 millones—, lo que coloca claramente a Europa en una situación delicada a la hora de defenderse de las ciberamenazas.1 En este contexto, es necesario trabajar en Europa tanto en aspectos organizativos que permitan crear masas críticas investigadoras de relevancia como coordinando las operaciones de las infraestructuras de laboratorios para no duplicar esfuerzos ya realizados o dotando a las diferentes iniciativas planteadas de presupuestos apropiados a la dimensión y relevancia de la ciberseguridad, con apuestas que se acerquen a las que se están realizando en otras partes del mundo.

En el caso de España, a pesar de que el Índice Global de Ciberseguridad, (Global Cybersecurity Index, GCI) la sitúa entre los países líderes en ciberseguridad,2 la preocupación se refleja en la recientemente elaborada Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional el 12 de abril, 3 que señala que debe seguirse avanzando en reforzar capacidades que permitan afrontar las ciberamenazas y el mal uso del ciberespacio, planteando la I+D+i en ciberseguridad, junto con la gestión del talento tecnológico y el fomento de una base industrial de ciberseguridad, como pilares para incrementar la autonomía tecnológica.

En relación con la relevancia de la I+D+i, la Estrategia plantea líneas de acción específicas como las siguientes:

  • “Potenciar la colaboración de los centros de excelencia e investigación en la lucha contra las ciberamenazas” y “asegurar la protección de las Infraestructuras Científico-Técnicas Singulares y los centros de referencia de I+D+i”, dentro del Objetivo 1 de la Estrategia (“Seguridad y resiliencia de las redes y los sistemas de información y comunicaciones del sector público y de los servicios esenciales”)
  • “Potenciar la industria española de ciberseguridad y la generación y retención de talento, para el fortalecimiento de la autonomía digital”, dentro del Objetivo 4 (“Cultura y compromiso con la ciberseguridad y potenciación de las capacidades humanas y tecnológicas”).

Dentro de esta última línea de acción se plantean nueve medidas, todas ellas relacionadas con el desarrollo de la I+D+i, como un medio para lograr las competencias y tecnologías necesarias en ciberseguridad para obtener resiliencia a los ciberataques contra la Administración Pública, la industria y la sociedad y ayudar al desarrollo del mercado de la ciberseguridad. Destacan especialmente dos de las medidas:

  • “Impulsar programas de apoyo a la I+D+i en seguridad digital y ciberseguridad en pymes, empresas, universidades y centros de investigación, facilitando el acceso a programas de incentivos nacionales e internacionales y mediante programas de compra pública innovadora”.
  • “Impulsar programas específicos de I+D+i en ciberseguridad y ciberdefensa”.

El panorama de la I+D+i en Europa

En la Unión Europea (UE), la necesidad de desarrollar la I+D+i quedó patente en septiembre de 2017 en el primer compromiso político de la UE para desarrollar una ambiciosa estrategia de ciberseguridad con la comunicación sobre ”Resilience, Deterrence and Defence: Building strong cybersecurity for the EU”,4 donde se ponía el énfasis en apoyar el desarrollo de ciberresiliencia e I+D en ciberseguridad al mismo tiempo que reforzar la cooperación para prevenir, detectar y responder a ciberamenazas y poder responder de forma conjunta a ciberincidentes a gran escala en Europa. En la misma comunicación se anunciaba la intención de apoyar la creación de una red de centros de competencia en ciberseguridad, con un centro de competencia en ciberseguridad para estimular el desarrollo e implantación de tecnología de ciberseguridad.

En este contexto, el Joint Research Centre, un centro de la Comisión Europea sobre ciencia y conocimiento, junto con la Dirección General para las Comunicaciones (DG Connect), inició la tarea de delimitar el complejo contexto de la ciberseguridad, sus dominios de aplicación, investigación y conocimiento, así como la de definir una taxonomía de la ciberseguridad y un esquema de clasificación que alineaba las terminologías de ciberseguridad, definiciones y dominios de la Figura 1.

Este estudio se complementó con la identificación y mapeo de los centros de ciberseguridad existentes (centros tecnológicos, laboratorios, asociaciones, grupos académicos, instituciones…) a nivel europeo (655 participantes en la encuesta)5 utilizando la taxonomía propuesta y mostrando que en Europa existe una importante comunidad investigadora en ciberseguridad que presenta, en algunos casos, dificultades para lograr la masa crítica necesaria, falta de coordinación en dominios sinérgicos y ciertas dificultades para conectar con la industria.

Figura 1. Taxonomía de la ciberseguridad (visión de alto nivel)
Figura 1. Taxonomía de la ciberseguridad (visión de alto nivel)

Este estudio concluyó que existen dominios de importancia para la ciberseguridad que actualmente están escasamente apoyados por la comunidad investigadora, como son el de la criptografía cuántica y poscuántica, la investigación del cibercrimen y tecnologías para crear confianza y ciberseguridad en la inteligencia artificial. De las conclusiones del estudio se han extraído las Figuras 2 y 3, que reflejan el número, distribución y prioridades de investigación en la UE.

Figura 2. Distribución geográfica y número de participantes
Figura 2. Distribución geográfica y número de participantes
Figura 3. Aplicaciones y tecnologías de ciberseguridad por país
Figura 3. Aplicaciones y tecnologías de ciberseguridad por país

Durante 2018, la Comisión Europea lanzó una fase piloto para la creación de una red de centros de ciberseguridad europeos a cargo del Programa Horizonte 2020.6 Esta fase comprendía tres programas piloto para que, por un lado, escalasen la investigación existente en ciberseguridad con soluciones cercanas al mercado y, por otro lado, pusiesen en marcha y probasen una red de competencia en ciberseguridad con un hub central de competencia. Finalmente fueron aprobados cuatro proyectos piloto en lugar de tres (Concordia, Sparta, CyberSecurity4Europe y ECHO). Estos pilotos han iniciado su ejecución en 2019 y persiguen aunar a la comunidad investigadora de cada uno de los proyectos en la realización de hojas de ruta sobre ciberseguridad, certificación, entrenamiento, educación y cyber ranges.7 La Comisión está poniendo especial énfasis en la coordinación entre los cuatro pilotos como un medio de avanzar hacia la futura red de centros. Los resultados de los pilotos, junto con la participación de la Organización Europea de Ciberseguridad (ECSO) y los Estados miembros, ayudarán a sentar la base para la construcción de la nueva estructura de la red de centros de competencia en ciberseguridad y plantear los asuntos sobre los que Europa deba investigar.

Dentro del próximo Marco de Financiación Plurianual de la Comisión Europea (2021-2027), el futuro programa de I+D europea se denomina Horizon Europe y cuenta con una propuesta de presupuesto de 100.000 millones de euros, pendiente de un acuerdo sobre el siguiente presupuesto total a largo plazo de la Unión Europea.8 La I+D de Horizon Europe se articulará en función de misiones que permitan ligar la I+D a las necesidades de la sociedad y los ciudadanos de forma visible y con impacto. La ciberseguridad aparece mencionada explícitamente en el reto “Sociedad segura e inclusiva”, aunque estará presente transversalmente en el resto de los retos.

Figura 4. Objetivos y pilares del programa Horizon Europe de la UE
Figura 4. Objetivos y pilares del programa Horizon Europe de la UE

Para complementar el programa Horizon Europe, la Comisión Europea ha propuesto la creación del primer programa Digital Europe, con un presupuesto de 9.200 millones de euros para alinear el próximo presupuesto de la UE para el periodo 2021-2027 con los crecientes retos digitales.9 Digital Europe se centrará en cinco áreas: ciberseguridad, inteligencia artificial, supercomputación, competencias digitales y fomento de la utilización de tecnologías digitales por parte de la economía y sociedad. Estas cinco áreas no son estancas, sino que presentan múltiples interacciones y puede considerarse la ciberseguridad de forma transversal a todas ellas. Por ejemplo, la inteligencia artificial se utiliza en ciberseguridad, pero al mismo tiempo hay que garantizar la ciberseguridad de la inteligencia artificial; la supercomputación puede utilizarse para la ciberseguridad y, al mismo tiempo, hay que asegurar su ciberseguridad, por no hablar de desarrollar competencias digitales en ciberseguridad.

En septiembre de 2018 y ya habiéndose lanzado la fase piloto para la creación de una red de centros de ciberseguridad, la Comisión Europea realizó una propuesta para una regulación que permitiese crear un Centro Europeo de Competencia en Ciberseguridad Industrial, de Tecnología e Investigación y una Red de Centros de Coordinación Nacionales.10 El Centro de Competencia sería el principal organismo para gestionar los recursos financieros europeos dedicados a la investigación en ciberseguridad de los futuros programas de Horizon Europe y Digital Europe.

En este sentido, cabe mencionar que España fue pionera en detectar la necesidad de la creación de una red de centros de ciberseguridad, ya que en 2015 el Instituto Nacional de Ciberseguridad (Incibe) publicó un estudio en el que detectó, tras analizar el contexto y las dinámicas de la investigación en ciberseguridad en España, la necesidad de la creación de una red,11 que, posteriormente, se materializó en la creación de la Red de Centros de Excelencia Nacional de Investigación en Ciberseguridad (Renic). Esta red abierta está constituida por 16 socios fundadores y tiene como objetivo ser una asociación sectorial nacional que represente al ecosistema investigador nacional en ciberseguridad. Cabe mencionar que el Incibe también publicó en enero de 2017 el “Catálogo y mapa de conocimiento de la I+D+i en ciberseguridad”.12

En relación con las líneas de investigación en I+D, el Grupo de Trabajo 6 de la ECSO tiene como objetivo definir la hoja de ruta de la I+D en ciberseguridad para fortalecer y construir un ecosistema europeo resiliente, diseñando y desarrollando tecnologías de confianza que aborden los retos de digitalización de la sociedad y sectores industriales para promover la autonomía digital europea. En la Agenda Estratégica de Investigación y Desarrollo (SRIA) publicada por la ECSO en junio de 2017, y como aportación al Programa de Trabajo 2018-2020 de H2020, se incluían cuatro tipos de proyectos:

  • Ecosistema: proyectos con componente sociotécnico para el desarrollo de ecosistemas que favorezcan una mejor implementación y utilización de soluciones innovadoras de ciberseguridad, contemplando ámbitos como la simulación, educación, entrenamiento, certificación y estandarización, cyber ranges y un apoyo a las pymes.
  • Demostración: proyectos de demostración de soluciones existentes en dominios verticales concretos, como industria 4.0, energía, smart buildings y smart cities, transporte y salud.
  • Infraestructuras transversales: proyectos que permitan integrar tecnologías transversales a varios dominios en ámbitos como el del cumplimiento de la seguridad y la gestión del riesgo, prevención y protección, compartición de información, analítica de seguridad, detección y gestión de amenazas.
  • Componentes tecnológicos: proyectos para el desarrollo de tecnología de ciberseguridad que permita eliminar las barreras a la confianza de aplicaciones y servicios guiados por datos manteniendo una infraestructura ICT segura y de confianza.

Actualmente, la ECSO está trabajando sobre prioridades potenciales para Horizon Europe y Digital Europe y ha identificado como tecnologías básicas y disruptivas con impacto en la ciberseguridad las siguientes:

  • Inteligencia artificial y ciencias cognitivas.
  • Robots y cíborgs.
  • Blockchain y tecnologías de registro distribuidas.
  • Gemelos digitales.
  • Internet de las cosas y sistemas ciberfísicos.
  • Criptografía cuántica y poscuántica.
  • Biotecnologías y mejoramiento humano.

Por su parte, Enisa también ha propuesto una serie de recomendaciones sobre prioridades para la I+D en ciberseguridad con la intención de convertir Europa en un líder mundial en ciberseguridad para 2025, asegurando la confianza y la protección de ciudadanos, consumidores y empresas.13 Entre las prioridades se mencionan:

  • Reto social: La utilización de la tecnología provoca cambios sociales y puede llevar riesgos asociados en términos de ciberseguridad de los que la sociedad debe ser consciente. Vivimos en un mundo híbrido y es necesario aprender a vivir en el mundo digital, lo mismo que hemos aprendido a vivir en el mundo real.
  • Reto educativo: Partiendo de la base de la carencia de expertos en ciberseguridad, se hace necesario crear capacidades de ciberseguridad adaptando la educación en los diferentes niveles para reducir dicho desfase.
  • Amenazas existenciales: Amenazas que si se convierten en realidad tienen el potencial de dañar en diferente medida la parte de la sociedad, industria o negocio que sea vea afectada:
    • La inteligencia artificial genera nuevas oportunidades y nuevos riesgos (la IA forma parte de la solución en ciberseguridad, pero también del problema) ¿Podemos confiar en que los datos o los algoritmos no hayan sido manipulados y forzados en la toma de una determinada decisión?
    • Las tecnologías cuánticas pueden utilizarse tanto en ataques hacia los métodos de protección criptográficos actuales como en el desarrollo de nuevos modelos computacionales más seguros.
    • La complejidad de las interconexiones puede conducir a fallos en cascada de múltiples sistemas a lo largo de la cadena de suministro.
    • Los cibercriminales van a ser pioneros (early adopters) en la utilización de medios digitales y nuevas tecnologías, por lo que se debe trabajar en preservar las identidades digitales y activos de valor.
    • Las amenazas a la privacidad aumentan con el big data y las inferencias asociadas que pueden llevarse a cabo por lo que es necesario identificar fórmulas para preservarla.

Conclusiones

El estado de la I+D en la ciberseguridad europea que se ha mostrado confirma la necesidad de impulsarla de forma más decidida para paliar su fragmentación, aumentar su presencia entre los jugadores mundiales e incrementar la inversión para evitar quedarse en una situación delicada a la hora de defenderse de las ciberamenazas o de competir con países como Estados Unidos o China. En este contexto, es necesario trabajar en Europa tanto en aspectos organizativos que permitan crear masas críticas investigadoras de relevancia e interoperando infraestructuras de laboratorios para no duplicar esfuerzos ya realizados como dotando a las diferentes iniciativas planteadas de presupuestos apropiados a la dimensión y relevancia de la ciberseguridad, con apuestas que se acerquen a las que se están realizando en otras partes del mundo.

Por otro lado, no debemos olvidar que cualquier proyecto que implique conectividad a la red —que va prácticamente implícito en cualquier proyecto de digitalización con independencia del sector— puede enfrentarse a un problema de ciberseguridad, por lo que debe tener en cuenta aspectos de seguridad y privacidad como elementos esenciales desde la concepción del proyecto si queremos avanzar en la seguridad y privacidad desde el diseño y no intentando poner parches de ciberseguridad, como hasta ahora.

Dado que cualquier nueva tecnología puede utilizarse desde un punto de vista ético para el fin para el que fue desarrollado o para otros fines no éticos y dado que en el ámbito de la ciberseguridad los ciberatacantes están siendo early adopters con un uso evidentemente no ético de tecnologías como la inteligencia artificial, la internet de las cosas y la computación cuántica, debemos realizar, desde el punto de vista de la I+D+i y en coordinación con la industria, los esfuerzos investigadores necesarios en nuevas tecnologías para hacerles frente.

Finalmente, a pesar de que España ocupe actualmente lugares de privilegio en la I+D europea en ciberseguridad junto con países como Estonia, Francia o el Reino Unido, entre otros, y dado el elevado número de entidades trabajando en la I+D+i, deben llevarse a cabo las acciones necesarias para mantenernos en posiciones relevantes en un ámbito tan tecnológico y con tanta necesidad de I+D+i como es el de la ciberseguridad.

Ana I. Ayerbe
Directora del Área de Negocio TRUSTECH de TECNALIA
| @AnaAyerbe


1 Comisión Europea, “Impact Assessment”, SWD (2018) 305, de 6 de abril de 2018.

2 International Telecommunication Union, Global Cybersecurity Index (GCI) 2017, 2017.

3 Consejo Nacional de Seguridad, “Estrategia Nacional de Ciberseguridad”, Orden PCI/487/2019, de 26 de abril.

4 Joint Communication to the European Parliament and the Council: “Resilience, Deterrence and Defence: Building strong cybersecurity for the EU”, septiembre de 2017.

7 Un cyber range es una plataforma virtual que permite simular entornos operativos reales —estáticos o desplegables, clasificados o no clasificados— para la formación y el entrenamiento —individual o colectivo— de profesionales, así como la experimentación, el testeo y la validación de nuevos conceptos, tecnologías, técnicas y tácticas de ciberseguridad y ciberdefensa. Enrique Fojón Chamorro, “Cyber Range: una capacidad estratégica”, Blog RIE, 12 de diciembre de 2016.

8 Comisión Europea, “Horizon Europe, the next research and innovation framework Programme”, 20 de marzo de 2019.

9 Comisión Europea, “Digital Europe”, 6 de junio de 2018.

13 Enisa, “Analysis if the European R&D priorities in cybersecurity”, 19 de diciembre de 2018.

]]>