Ciberseguridad - Real Instituto Elcano Feeds Elcano Copyright (c), 2002-2018 Fundación Real Instituto Elcano Lotus Web Content Management <![CDATA[ CIBER elcano No.51 ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ciber-elcano-51-enero-2020 2020-01-14T05:12:35Z

Presentamos el número 51 de CIBER elcano, el primero de 2020,  con los artículos “Los análisis de riesgos en la ciberseguridad”, de Félix Arteaga;  “El Real Decreto Ley 14/2019: una nueva regulación del entorno del ciberespacio en clave nacional”, de Vicente Moret Millás; y “La ciberseguridad en el sector energético”, de Ana I. Ayerbe. Como cada número, ofrecemos una serie de documentos de interés y la agenda de eventos.

]]>

Los análisis de riesgos en la ciberseguridad

Félix Arteaga — Los analistas de riesgos tienen que actualizar continuamente sus metodologías para afrontar la creciente complejidad del ciberespacio.

El Real Decreto Ley 14/2019: una nueva regulación del entorno del ciberespacio en clave nacional

Vicente Moret Millás — Las medidas urgentes por razones de seguridad aprobadas en octubre de 2019 suponen una importante modificación del régimen jurídico de la gestión digital.

La ciberseguridad en el sector energético

Ana I. Ayerbe — Las infraestructuras y servicios energéticos precisan una resiliencia especial por su carácter crítico para la economía, incluidas las cadenas desde la generación al suministro.

Documentos de interés

Europe’s Third Way in Cyberspace

SWP. Diciembre 2019. Se analiza la tercera vía que ensaya la UE para articular un modelo normativo propio, entre el modelo liberal de Estados Unidos y el autoritario de China.

Mapa de Ciberriesgos

ISMS Forum y AGERS. Noviembre 2019. Se describe y aplica los mapas de riesgos como herramientas para valorarlos en función de su frecuencia e intensidad.

SIRIUS EU Digital Evidence Situation Report 2019

Europol. Diciembre 2019. El proyecto SIRIUS pretende asegurar el acceso de las autoridades policiales y judiciales a las evidencias digitales situadas fuera de la UE.

Good practices for security of IoT

ENISA. Noviembre 2019. Estudio que resume las buenas prácticas centradas en las pautas del desarrollo software de productos y servicios IoT (‘Internet de las Cosas’) seguros a lo largo de su vida útil.

Más CIBER elcano

Inauguración XIII Jornadas STIC CCN-CERT

Inauguración XIII Jornadas STIC CCN-CERT

Mesa redonda sobre el estado de la ciberseguridad en España con Margarita Robles, ministra de Defensa en funciones, encargada de Asuntos Exteriores, Unión Europea y Cooperación; Fernando de Pablo, secretario general de Administración Digital; Miguel Ángel Ballesteros, director del Departamento de Seguridad Nacional; Rosa Díaz, directora general del INCIBE; Luis Jiménez, subdirector general del CCN; y Juan Carlos López, jefe del Área de Coordinación del CNPIC.

Retos 2020

Retos 2020

Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN), habla sobre los retos de ciberseguridad para España.

Agenda

24 enero 2020: Security Hell Conference (SH3LLCON), (Santander, España).

31 enero – 1febrero 2020: H-c0n-Hackplayers Conference, (Madrid, España)

20 febrero 2020, HACKRON: (Tenerife, España).

]]>
<![CDATA[ El análisis de riesgos en la ciberseguridad ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/comentario-arteaga-analisis-de-riesgos-en-ciberseguridad 2020-01-14T04:30:24Z

Los analistas de riesgos tienen que actualizar continuamente sus metodologías para afrontar la creciente complejidad del ciberespacio.

]]>
La calidad de las grandes decisiones sobre la ciberseguridad que tienen que ver con las medidas que se toman frente a los riesgos y amenazas que padecen las infraestructuras críticas, los sistemas y tecnologías de la información o los servicios públicos y privados que se prestan sobre ellas depende de la calidad de los análisis de riesgos utilizados. El sentido común no basta para decidir qué riesgos se afrontan y cuáles no, las prioridades de inversión o los riesgos que se desplazan hacia terceros. Los análisis de riesgos orientan a quienes tienen que aconsejar o tomar esas decisiones.

“el reto ahora es el de interconectar las distintas metodologías y disciplinas de análisis [de riesgos] para potenciar análisis transversales y transdisciplinares”.

Las metodologías de análisis en España se han desarrollado rápida y eficazmente, como se verá a continuación con algunos ejemplos, pero el objeto de análisis, la ciberseguridad, se ha ido complicando progresivamente debido al incremento de la complejidad de los factores tecnológicos, empresariales y regulatorios implicados. Cada sector empresarial o de la Administración ha respondido a la complejidad enriqueciendo los análisis cualitativos tradicionales con nuevos tipos de análisis cuantitativos que han aumentado el rigor y la objetividad de los resultados. Sin embargo, y a pesar del progreso analítico en cada sector individual –infraestructuras críticas, banca, seguros, operadores…–, el reto ahora es el de interconectar las distintas metodologías y disciplinas de análisis para potenciar análisis transversales y transdisciplinares.

Esta necesidad es más evidente en las grandes empresas y organizaciones, donde interactúan varios tipos de riesgos, que en las pymes, donde se reduce el ámbito de análisis. La complejidad no dispone de modelos de análisis adecuados porque la diversidad de riesgos, indicadores y metodologías ha impedido elaborar estándares y métricas de propósito general que facilitaran el desarrollo posterior de modelos de análisis sectoriales. Un reciente estudio de Science pone de relieve el daño que producen las barreras disciplinares en el análisis de ciberriesgos y las ventajas que generaría, por ejemplo, una colaboración entre los expertos en riesgos regulatorios y los expertos en computación o entre expertos en economía que evalúen los incentivos para reducir ciberriesgos y expertos en ciencias de la conducta humana1. A falta de esa colaboración transversal (entre sectores) y transdisciplinar (entre áreas de conocimiento), las decisiones importantes, como mudarse a la nube, el desarrollo de aplicaciones o la organización de la cadena de suministro, se adoptan sobre una débil base metodológica. Además, la falta de métricas relevantes –las que transmiten una idea de riesgo a los decisores no iniciados– dificulta el proceso de decisiones de los directivos y consejos de administración.

El Incibe ha desarrollado un análisis de riesgos básico a disposición de los empresarios para que elaboren su plan director de seguridad. El riesgo se determina combinando en una matriz la probabilidad de ocurrencia con el impacto potencial, proporcionando a los que tienen que adoptar decisiones un mapa de riesgos. Se apoya en la metodología Magerit de análisis y gestión de riesgos en los sistemas de información, desarrollada por el Centro Criptológico Nacional (CCN-CERT). Estas herramientas permiten a los responsables analizar el entorno del análisis de riesgo (EAR) para identificar los activos que proteger y las medidas más adecuadas para hacerlo. También aquí el CCN-CERT pone a disposición de los analistas algunas herramientas de análisis en diferentes versiones: íntegra (PILAR), simplificada para pymes y Administraciones locales (PILAR Basic), exprés (μPILAR) o personalizada (RMAT).

Las metodologías siguen los principios y directrices genéricas adoptados en la norma internacional ISO 31000 –actualizada por la ISO 31010–de la Organización Internacional de Normalización (International Standards Organization) para gestionar los riesgos genéricos de las organizaciones, que luego cada una tiene que adaptar a sus peculiaridades cibernéticas. Las directrices de la ISO 31000 también se aplican al Mapa de Ciberriesgos que acaban de publicar ISMS Forum y la Agencia Española de Gerencia de Riesgos y Seguros (AGER). El grupo de trabajo que ha estado detrás de su elaboración describe la metodología del mapa de riesgos y cómo se integran en una matriz las valoraciones de probabilidad e impacto para ayudar a tomar decisiones sobre la eliminación, transferencia, mitigación, explotación o aceptación de los riesgos –se incluyen dos casos prácticos para una mejor comprensión–.

Los ejemplos de metodologías sectoriales se multiplican y actualizan, constatando la consolidación de la función de análisis y de los perfiles profesionales de los analistas. Entre otras, se pueden mencionar las dedicadas a la seguridad industrial. Destaca el Modelo de Análisis de Riesgos Ligeros de Seguridad Integral de Ciberseguridad en Sistemas de Control Industrial (ARLI-CIB), a iniciativa del Esquema Nacional de Seguridad Industrial (ENSI), que aparece en la Figura 1.

Figura 1. Marco conceptual del modelo de análisis de riesgo sobre ciberseguridad en sistemas de control industrial
Figura 1. Marco conceptual del modelo de análisis de riesgo sobre ciberseguridad en sistemas de control industrial. Fuente: ARLI-SI: Análisis de Riesgos Ligero de Seguridad Integral, Incibe-CERT
Fuente: ARLI-SI: Análisis de Riesgos Ligero de Seguridad Integral, Incibe-CERT.

La Autoridad Bancaria Europea (EBA, en sus siglas en inglés) también ha elaborado sus propias directrices para la evaluación de los riesgos de ciberseguridad en el marco del proceso de revisión y evaluación supervisora (PRES). Esta evaluación forma parte de un proceso de supervisión que tiene en cuenta diversas prioridades. Para 2020, las Prioridades de Supervisión Bancaria incluyen, entre otras, revisión de los modelos internos de capital, riesgos de mercado, criterios de suscripción, capital interno y adecuación de liquidez, modelos de negocio, gobernanza, prueba de estrés y, desde luego, la ciberseguridad. Este modelo de análisis compuesto sirve para reiterar la importancia de combinar los análisis verticales (prioridades) con los horizontales (interacciones), de forma que la supervisión final sea algo más que la yuxtaposición de análisis sectoriales, tal y como defendían los analistas en Science. Para abundar en su argumentación, mencionan el caso del riesgo residual en las grandes organizaciones, un riesgo que escapa al control de los análisis verticales y que planea sobre los directores de seguridad de la información (CISO o chief information security officer) y los directores de sistemas de información (CIO o chief information officer) sin que cuenten con un sistema de análisis que los respalde.

Otro caso de estudio que muestra la necesidad de articular sistemas de análisis transversales y transdisciplinares se encuentra en la Unión Europea. ENISA, la Agencia Europea de Seguridad de las Redes y de la Información, está tratando de articular modelos de análisis de ciberriesgos sectoriales a nivel europeo. Por ejemplo, y paralelamente a la implantación del Reglamento General de Protección de Datos (RGPD) y la Directiva NIS, ENISA comenzó a interesarse por la adaptación del sector de los seguros a la nueva realidad digital. Como resultado, elaboró en 2016 el estudio “Cyber Insurance: Recent Advances, Good Practices and Challenges” consultando al sector sobre sus métodos de análisis, un sector de difícil armonización, incluida la terminología de riesgos2  –aseguradoras como Lloyd’s han esperado hasta el 1 de enero de 2020 para declarar obligatoria en sus pólizas la cláusula de cobertura o exclusión de ciberriesgos–. Al igual que las instituciones oficiales mencionadas en España, ENISA colabora con los actores principales, los centros de investigación y los Estados miembros para desarrollar modelos de análisis o, como ha ocurrido con la controversia sobre las redes de quinta generación (5G), coordinar los análisis nacionales de riesgo. También analiza las limitaciones de los modelos, como las detectadas en la capacidad de usar inteligencia en el análisis de riesgos (“Exploring the opportunities and limitations of current Threat Intelligence Platforms”). Al hacerlo, se incrementa el acervo metodológico europeo para –algún día– disponer de los modelos transversales y transdisciplinares de análisis de riesgo que se proponían al principio de este comentario.

Félix Arteaga
Investigador principal de Seguridad y Defensa, Real Instituto Elcano


1 Gregory Falco et al. (2019), “Cyber risk research impeded by disciplinary research”, Science Policy Forum, vol. 366, nº 6464, 29/XI/2019.

2 ENISA ha complementado el informe anterior con otro sobre “Commonality of risk assessment language in cyber insurance” en 2017.

]]>
<![CDATA[ El Real Decreto-Ley 14/2019: una nueva regulación del ciberespacio en clave nacional ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari4-2020-moret-real-decreto-ley-14-2019-nueva-regulacion-ciberespacio-en-clave-nacional 2020-01-14T04:26:25Z

La aprobación del Real Decreto Ley 14/2019 ha supuesto una importante modificación del régimen jurídico aplicable a algunas de las tecnologías de la información más relevantes para gestionar el ámbito digital.

]]>
Tema

La aprobación del Real Decreto Ley 14/2019 por el que se adoptan medidas urgentes por razones de seguridad en materia de administración digital, contratación del sector público, y telecomunicaciones, ha supuesto una importante modificación del régimen jurídico aplicable a algunas de las tecnologías de la información más relevantes para gestionar la realidad digital.

Resumen

La regulación de la realidad digital por los Estados refleja el modelo político de cada uno. Mientras algunos tratan de preservar una Internet abierta y libre, otros como China o Rusia buscan fragmentarla del mismo modo que lo hacen con las fronteras físicas, en lo que se ha dado en llamar “balcanización” de la Red o incluso splinternet. La Unión Europea (UE) desarrolla una tercera vía de aproximación normativa que pretende proteger tanto la libertad de Internet como los derechos fundamentales y el uso de los datos personales de los ciudadanos.

Dentro de este proceso general para la regulación de la soberanía digital de los Estados y la gobernanza del ciberespacio, el Real Decreto Ley (RDL) 14/2019 responde a la necesidad de regular la realidad digital para evitar su uso ilegítimo y poner en riesgo la seguridad nacional. Aprobado por el Consejo de Ministros y convalidado por el Congreso de los Diputados, espera ahora su trámite como Proyecto de Ley.

Análisis

El RDL 14/2019 modifica el régimen jurídico de materias importantes tales como el documento nacional de identidad, la identificación electrónica ante las Administraciones Públicas, el almacenamiento de los datos que obran en poder de estas, la contratación pública o la regulación de las redes de comunicaciones.

Uno de los hechos novedosos que introduce esta norma en nuestro panorama jurídico es que por primera vez se justifica un RDL en el sustrato normativo de la Ley 36/2015 de Seguridad Nacional para que, según alega su exposición de motivos: “la administración digital se emplee para fines legítimos que no comprometan los derechos y libertades de los ciudadanos”. El desarrollo tecnológico, se señala, implica una mayor exposición a nuevas amenazas, y la hiperconectividad actual agudiza algunas de las vulnerabilidades de la seguridad pública, por lo que es necesaria una mejor protección de redes y sistemas, así como de la privacidad y los derechos digitales del ciudadano. Protección también necesaria frente a las actividades de desinformación, las interferencias en los procesos de participación política de la ciudadanía y el espionaje debido a las posibilidades que ofrece la sofisticación digital para acceder a ingentes volúmenes de información y datos sensibles.

Llama la atención la referencia abierta y sin equívocos a la razón fáctica por la cual se aprueba la norma que se incluye en la misma exposición de motivos: “Los recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación. Tales hechos demandan una respuesta inmediata para evitar que se reproduzcan sucesos de esta índole estableciendo un marco preventivo a tal fin, cuyo objetivo último sea proteger los derechos y libertades constitucionalmente reconocidos y garantizar la seguridad pública de todos los ciudadanos”.

Según esto, estamos ante la adopción de una norma-medida que trae causa del proceso de destrucción de la Constitución en terminología de Smith que se está intentando llevar a cabo por parte de algunas fuerzas políticas catalanas desde 2014 y que alcanzó el máximo nivel de desafío a la legalidad en el referéndum del 1 de octubre y la fallida declaración de independencia de 10 de octubre de 2017. Ante esta situación, y ante la posibilidad de que ese proceso continúe utilizando las enormes posibilidades que el ciberespacio proporciona, el Estado decide actuar aprobando las siguientes normas que modifican seis leyes, una de ellas orgánica.

Modificación del régimen legal del Documento Nacional de Identidad

La novedad que se introduce materia es la de considerar al Documento Nacional de Identidad, con carácter exclusivo y excluyente, como el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular1. De esta forma se elimina cualquier posibilidad de que alguna Administración Pública pretenda introducir un nuevo documento de acreditación de la identidad con el propósito de sustituirle. Por esta misma razón, se modifica también el artículo 15.1 de la Ley 59/2003 de firma electrónica para reconocer ese mismo valor al DNI en su forma electrónica, con los efectos legales reconocidos en la Ley de Seguridad Ciudadana.


También se puede considerar como una manera de evitar intentos de introducción de documentos de identificación de la personalidad de forma ilegal como ya supuso en su día el denominado DNI vasco, emitido por la Udalbiltza a partir de 2001, y reiteradamente declarado ilegal por diversas sentencias judiciales. Según estas, es el Estado el que, sobre la base del artículo 149.1.2 de la Constitución tiene competencia exclusiva en materia de nacionalidad y en la ordenación de registros e instrumentos públicos según el artículo 149.1.8. En definitiva, se trata de evitar que la emisión de un documento de identificación por otras Administraciones distintas de la del Estado se convierta en un intento de usurpación de funciones que pretendan dar una imagen de legitimación de Estado a un ente territorial que no lo es.

Medidas en materia de identificación electrónica ante las Administraciones Públicas y sobre la ubicación de determinadas bases de datos y datos cedidos a otras Administraciones Públicas

Se modifica la regulación de los medios de identificación electrónica de los interesados prevista en la Ley 29/2015 de Procedimiento Administrativo Común de las Administraciones Públicas para reducir los sistemas de identificación. Mientras que en la anterior redacción del artículo 9.2 de la ley citada se permitía esa identificación “a través de cualquier sistema que cuente con un registro previo como usuario que permita garantizar su identidad”, ahora se fija una lista cerrada que antes sólo se citaba a modo de ilustración de las posibilidades existentes.
A partir de ahora, solamente se podrán emplear para acreditar la identidad digital los sistemas basados en certificados electrónicos cualificados de firma electrónica contenidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’. Con ello se da cumplimiento al artículo 22 del Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. Según él, cada Estado miembro debe establecer, mantener y publicar listas de confianza con información relativa a los prestadores cualificados de servicios electrónicos de confianza, es decir, certificaciones electrónicas, firma y sellos electrónicos.  El Ministerio de Energía, Turismo y Agenda Digital será el único competente para elaborar la Lista de Confianza que gozará de todas las presunciones legales de veracidad y legitimidad a nivel europeo.

Un cambio de mayor calado se refiere a los sistemas de clave concertada (usuario más contraseña) para identificar a los ciudadanos ante la Administración para cualquier actuación ante esta2.  A partir de ahora seguirán siendo plenamente utilizables, pero requerirán la previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior.

La nueva redacción del artículo 9.2 de la Ley 39/2015 establece, no obstante, límites a esa necesidad de autorización previa por parte de la Administración del Estado. Solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. La autorización habrá de ser emitida en el plazo máximo de tres meses y la falta de resolución de la solicitud de autorización se entenderá que tiene efectos desestimatorios (en este caso el silencio será negativo)3. El RDL ha tenido la prevención de dejar claro que esa autorización previa sólo podrá fundarse en aspectos relativos a la materia seguridad pública que es competencia del Estado, de forma tal que ese control que constituye la autorización por parte del Estado a otras Administraciones Públicas se basa en una competencia exclusiva del Estado y no es un control general, sino tan sólo limitado a esa materia.

En este sentido, la norma que ahora se analiza tiene bien presente la doctrina del Tribunal Constitucional expresadas en la Sentencia 55/2018 y citada en la propia exposición de motivos que reconoce la posibilidad de que cada Administración diseñe sus propios sistemas de identificación electrónica o admita los expedidos por otras entidades públicas o privadas según sus preferencias. Por ello dicha autorización tendrá por objeto, exclusivamente, verificar si el sistema validado tecnológicamente por parte de la Administración u Organismo Público de que se trate puede o no producir afecciones o riesgos a la seguridad pública. Si así fuera –y solo en este caso–, la Administración del Estado denegará dicha autorización.

Otra importante modificación introducida en el apartado 3 de este artículo 9 introduce la obligatoriedad de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de clave concertada se encuentren situados en territorio de la UE. Además, se establece una limitación adicional y es que esa localización deberá ser en territorio español en caso de que se trate de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679 que regula la Protección de Datos (RGPD). La modificación busca claramente reforzar la denominada soberanía digital, es decir, proteger activos electrónicos valiosos y decisivos a la hora de asegurar un correcto funcionamiento de los Estados, sus servicios y en general de las sociedades actuales, mediante el aseguramiento de la ubicación territorial en la UE y su jurisdicción, todo ello bajo el amparo regulatorio del marco de normas europeas, principalmente el Reglamento General de Protección de Datos (RGPD).

Así mismo, ciertos datos y sistemas se consideran tan sensibles que sólo podrán situarse físicamente en territorio español. En concreto esta imposición de la territorialización se ciñe a la categoría especial de datos incluidos en el artículo 9 del RGPD, es decir, datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, y datos relativos a la vida sexual o las orientación sexuales de una persona física. El propio RGPD, consciente de la sensibilidad absoluta de estos datos, incluye una habilitación a los Estados para que puedan regular de forma adicional esta categoría de datos. Además, se fija con claridad la prohibición de transferencia a un tercer país u organización internacional, salvo que sean objeto de una decisión de adecuación de la Comisión Europea si su régimen jurídico y las garantías jurisdiccionales son adecuadas y equivalentes a las europeas (disponen de ellas AndorraArgentinaGuernesey, Israel, Isla de Man, JapónJerseyNueva Zelanda, Suiza, Uruguay, Estados Unidos y está próxima a concluirse el procedimiento con Corea del Sur) o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.

Esta limitación responde a la situación generada desde 2017 por el Govern de la Generalitat de Cataluña que puso en marcha lo que se denominó la Republica Digital. Para ello empezó a establecer los fundamentos de una administración virtual en la que sus ciudadanos pudieran votar y hacer trámites o que incluso expidiera documentos de identidad. Se trata de un claro intento de construir una realidad estatal paralela con el objetivo de desplazar a la realidad estatal vigente en nuestro sistema constitucional, aprovechando el vacío regulatorio que en el ámbito internacional existe sobre muchas de estas áreas de actividad digital y que en el mundo físico son sencillamente delitos o infracciones administrativas. El objeto en este caso no es mejorar los servicios públicos o ejecutar competencias propias, es sencillamente sustituir una legalidad estatal por otra legalidad paralela y supuesta, cuya legitimidad no se basa en normas jurídicas sino en el vacío regulatorio y en la dificultad de aplicar el derecho en el ciberespacio al amparo de marcos normativos nacionales diversos o sencillamente inexistentes, como ocurre en los llamados “paraísos digitales”. Se trataba de construir una república digital reconocida internacionalmente cuyos activos y servidores están alojados fuera del territorio de la UE, según información publicada, en territorios tan exóticos como la Isla de Nieves en las Antillas, precisamente para evitar la aplicación de ese marco jurídico europeo y español que pudiese perseguir la comisión de delitos o de infracciones administrativas desde esas ubicaciones territoriales extraeuropeas. Esta obligación de residencia podría parecer drástica pero el propio RGPD permite que la UE o los Estados miembros introduzcan disposiciones específicas con respecto a los datos especiales del artículo 9 para proteger los derechos fundamentales y los datos personales de las personas físicas.

Por todo lo anterior, se reconoce a los Estados miembros la capacidad para imponer restricciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, a las decisiones basadas en la elaboración de perfiles, entre otras, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública. Así se recoge en el artículo 23 del propio RGPD, que establece la competencia de los Estados para limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos siempre que respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar entre otras la seguridad del Estado; la defensa; o la seguridad pública. Por otra parte, debe señalarse que estas obligaciones de almacenamiento territorializado se imponen sólo a las Administraciones Públicas y no a los particulares, ya que en este apartado en concreto la norma solo se está refiriendo a los datos que son necesarios para utilizar sistemas de clave concertada.

No obstante, cabría analizar si la restricción del flujo de los datos protegidos por el artículo 9 al territorio español puede producir una distorsión en el ámbito del Mercado Único Digital de la UE al limitar el tráfico de datos. Es muy probable que dicha excepción a la libre circulación y almacenamiento de datos en el marco de la UE pueda justificarse por motivos de seguridad nacional o de seguridad pública o jurídica, pero sería conveniente estudiar en el posterior trámite parlamentario que permita convertir este RDL en ley si tiene sentido mantener esa restricción en favor sólo del territorio nacional o si bastaría una limitación a la obligatoriedad de territorialización dentro de la propia UE.

Por último, el RDL prohíbe de forma tajante el uso de tecnologías de registro distribuido (blockchain). No serán admisibles en las relaciones de los interesados con las Administraciones en ningún caso y, por lo tanto, no podrán ser autorizados los sistemas de identificación basados en tecnologías de registro distribuido y los sistemas de firma basados en los anteriores, en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la Unión Europea.

Ubicación de los sistemas de información y transmisiones de datos entre Administraciones

El RDL modifica el artículo 46 de la Ley 40/2015 de Régimen Jurídico del Sector Público que regula la territorialización de unos sistemas de información especialmente relevantes desde el punto de vista del funcionamiento de cualquier Administración y de los Estados mismos. Por un lado, regula los sistemas para la recogida, almacenamiento, procesamiento y gestión del censo electoral4 y los padrones municipales de habitantes y otros registros de población5. Por otro, los datos de los usuarios del sistema nacional de salud, equiparados con los anteriores por el Real Decreto Ley respecto a las obligaciones de localización, aunque plantea dudas respecto a la trascendencia político-administrativa que podría derivarse de su uso ilegítimo por las Administraciones, por lo que precisará debatir su equiparación en el futuro trámite parlamentario.

Además, el RDL introduce una serie de obligaciones relativas a las transmisiones de datos entre administraciones públicas. Cada una de ellas deberá facilitar el acceso de las restantes a los datos de interesados especificando las condiciones, protocolos y criterios funcionales o técnicos con las máximas garantías de seguridad, integridad y disponibilidad. En este sentido, y en cumplimiento de un principio de lealtad institucional, se prohíbe el tratamiento ulterior de los datos para fines incompatibles con el fin para el cual se recogieron inicialmente los datos personales. En este caso lo que se está regulando es una manifestación del principio de lealtad institucional que debe presidir las relaciones entre las Administraciones Públicas regulado en el artículo 140 de la Ley 40/2015. Cuando la Administración cesionaria de los datos pretenda el tratamiento ulterior de los mismos para una finalidad que estime compatible con el fin inicial, deberá comunicarlo previamente a la Administración cedente, la cual podrá oponerse.

Modificaciones en materia de contratación pública en materia de protección de datos

La Ley 9/2017 de Contratos del Sector Público se modifica para considerar obligatoria en ellos la referencia a la legislación aplicable en materia de protección de datos y, además, se considera causa de nulidad del contrato el incumplimiento de la obligación de hacer constar en los pliegos de contratación las obligaciones respecto a los datos tales como su sometimiento a la normativa, la ubicación de los servidores o la comunicación de los cambios y la subcontratación.

En materia de protección de datos es importante señalar que, con la nueva regulación del RDL, los subcontratistas quedarán obligados solo ante el contratista principal quien asumirá la total responsabilidad de la ejecución del contrato. Asimismo, se introduce una prohibición de contratar por incumplimiento de las especificaciones de protección de datos en otros contratos públicos anteriores debido a infracción grave, concurriendo dolo, culpa o negligencia. La finalidad última de estas reformas en la normativa de contratación es evitar que esos datos especialmente protegidos y que son relevantes desde el punto de vista administrativo puedan ser manipulados irregularmente mediante la externalización en favor de empresas adjudicatarias de contratos administrativos. De nada serviría establecer todo un régimen de limitaciones para las Administraciones Públicas si esas limitaciones pueden ser burladas utilizando empresas contratadas por esas mismas administraciones públicas. 

Reforzamiento de las potestades del Estado en materia de Telecomunicaciones

El RDL modifica la Ley 9/2014 General de Telecomunicaciones (LGT) para habilitar al Gobierno, con carácter excepcional y transitorio, para que la Administración General del Estado asuma la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional. Este reforzamiento de las potestades del Estado es relevante, aunque no tan novedoso y disruptivo como se ha venido defendiendo desde la aprobación del RDL. Esta facultad extraordinaria atribuida al Gobierno ya se aplicaba a los supuestos que afectasen a la “seguridad pública y la defensa nacional” y ahora se amplía a la seguridad nacional y el orden público como causas legitimadoras de esa intervención. 

Por gestión directa hay que entender cualquier modo de prestación de servicios públicos que suponga que la Administración ejecuta directamente con sus propios medios o por medio de entes instrumentales, si se dan ciertas causas excepcionales. Se distingue así de otras formas de gestión indirecta de los servicios públicos tales como la concesión o el concierto. Ya que el artículo 2 de la LGT establece que éstas son servicios de interés general que se prestan en régimen de libre competencia, lo que se regula es el paso de una forma de gestión regulada por la ley, en su caso privados, a una forma de gestión directa por el Estado si se dan ciertas causas excepcionales. El supuesto más excepcional es la intervención de las empresas privadas porque altera el principio de libertad de empresa en el marco de una economía de mercado consagrado en el artículo 38 de la Constitución, aunque se trata de un supuesto reconocido en el artículo 128 de la Constitución por razones de interés general por el que siguen permaneciendo bajo la titularidad de sus propietarios, pero su gestión y actividad se dirige por un órgano estatal que la toma de decisiones.

Así mismo, se establece la obligación de que las Administraciones Públicas comuniquen al Ministerio de Economía y Empresa todo proyecto de instalación o explotación de redes de comunicaciones electrónicas en régimen de autoprestación que haga uso del dominio público. Además, se considera infracción muy grave el incumplimiento de las obligaciones en materia de acceso a redes o infraestructuras físicas susceptibles de alojar redes públicas de comunicaciones electrónicas, interconexión e interoperabilidad de los servicios. Este régimen restrictivo que aumenta el control del Estado sobre esas redes se refuerza mediante una serie de medidas cautelares que, si bien ya se recogían en el artículo 81 de la LGT, ahora se ha ampliado a otros supuestos. Previamente al inicio del procedimiento sancionador, mediante resolución sin audiencia previa, se podrá ordenar el cese de la presunta actividad infractora cuando existan razones de imperiosa urgencia basada la exista una amenaza inmediata y grave para el orden público, la seguridad pública, la seguridad nacional o la salud pública; cuando puedan producirse perjuicios graves al funcionamiento de los servicios de seguridad pública, protección civil y de emergencias, otros servicios o redes de comunicaciones electrónicas o a otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas.

Esta modificación que parecería en exceso rigurosa no lo es tanto si se analiza en contexto, ya que en su redacción original este artículo de la LGT en 2014 ya recogió este procedimiento y ahora solamente se ha procedido a añadir otro supuesto de aplicación relativo a la amenaza inmediata y grave para el orden público, la seguridad pública o la seguridad nacional, en plena consonancia con el objetivo final de toda el RDL, que es precisamente evitar los ataques contra el orden constitucional desde el ciberespacio y las redes de comunicaciones. Por tanto, no se introduce una restricción general nueva, sino que se amplía a un supuesto adicional la aplicación de un procedimiento que ya existe.

No obstante, y como corresponde en general a la regulación de cualquier tipo de actuación excepcional de los poderes públicos, en la aplicación de esta medida provisional se determinará el ámbito objetivo y temporal de la medida, sin que pueda exceder del plazo de un mes, limitando así el posible efecto temporal de esta medida restrictiva. Por ello, la resolución que adopte este mecanismo deberá motivar muy bien las razones de esa decisión, así como los límites de esta en cuanto a su extensión material y temporal.

Medidas en materia de seguridad de las redes y sistemas de información

Por último, el RDL adopta medidas en materia de seguridad de las redes y sistemas de información consistentes en la modificación del RDL 12/2018 sobre la seguridad de las redes y sistemas de información. Esta modificación afecta de lleno al modelo de gobernanza de la ciberseguridad en España que se reguló con la trasposición de la Directiva NIS. Se refuerza el papel que el CCN/CNI ejercerá en cuanto a la coordinación de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT) nacionales e internacionales.

Conclusiones

El RDL 14/2019, por su contenido y las circunstancias de su aprobación, es una norma de amplio calado que supone un antes y un después en cuanto a la utilización de la seguridad nacional como título competencial habilitante para la acción normativa del Estado. Representa una innovación legislativa para prevenir los intentos de quebrar el sistema constitucional utilizando las posibilidades que ofrece el ciberespacio para desestabilizar sistemas democráticos. Y aunque en todos los ordenamientos constitucionales de las democracias liberales existen mecanismos para la defensa de la Constitución, deben dotarse de instrumentos para hacer frente a las nuevas tecnologías que ponen en riesgo los sistemas constitucionales utilizando las libertades y derechos que precisamente ese régimen garantiza.

El texto de esta norma, convalidado por el Congreso de los Diputados, responde a la legitima finalidad para la que fue aprobada por el Consejo de Ministros y lo hace dentro del margen de atribución competencial que el Tribunal Constitucional ha ido reconociendo en el ámbito de las materias seguridad nacional y seguridad pública. Es un texto con un amplísimo margen de aplicabilidad, aunque es muy probable que algunos aspectos se modifiquen en su tramitación parlamentaria como proyecto de ley.

Con las peculiaridades que afectan a la situación política española actual, esta nueva norma se inscribe en una nueva tendencia que se está manifestando masivamente en los últimos años, y que se corresponde con los intentos reiterados de muchos Estados y de la propia UE de regular el ciberespacio por la trascendencia económica, política, geopolítica y social que la realidad digital tiene para la gobernación de cualquier país.

Vicente Moret Millás
Letrado de las Cortes Generales y Of Counsel de Andersen Tax & Legal


1 Modifica el artículo 8.1 de la Ley Orgánica 4/2015 de protección de la seguridad ciudadana que no tiene el carácter de orgánico según establece la propia ley, en el sentido de afirmar su carácter único a la hora de ser por sí mismo suficiente para esa acreditación.

2 Se trata de una plataforma común para la identificación, autenticación y firma electrónica del ciudadano ante organismos de la Administración. En el caso de la Administración del Estado ese sistema se denomina Cl@ve y contempla la utilización de sistemas de identificación basados en claves concertadas y certificados electrónicos (incluyendo el DNIe).

3 A pesar de que la Ley 39/2015 establece en su artículo 24 que el sentido del silencio administrativo será positivo, lo cierto es que a continuación señala la posibilidad de excepción en los supuestos en los que una norma con rango de ley establezca lo contrario, como es el caso que nos ocupa.

4 La Ley Orgánica 5/1985 de Régimen Electoral General define en su artículo 31 que “El censo electoral contiene la inscripción de quienes reúnen los requisitos para ser elector y no se hallen privados, definitiva o temporalmente, del derecho de sufragio”.

5 La inscripción sólo considera obligatorios el nombre, sexo, domicilio habitual, nacionalidad, lugar y fecha de nacimiento, número de documento nacional de identidad o documento similar de extranjeros y los datos fiscales relacionados con tributos propios o cedidos.

]]>
<![CDATA[ La ciberseguridad en el sector energético ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari3-2020-ayerbe-la-ciberseguridad-en-el-sector-energetico 2020-01-14T04:10:36Z

Nuestra economía y sociedad dependen del sector energético y debemos asegurar su resiliencia ante incidentes de ciberseguridad.

]]>
Tema

Nuestra economía y sociedad dependen del sector energético y debemos asegurar su resiliencia ante incidentes de ciberseguridad.

Resumen

Las economías desarrolladas dependen para su funcionamiento de la energía en sus diferentes formas. Por este motivo, el objetivo de las infraestructuras energéticas es ofrecer un suministro de energía continuo e ininterrumpido, y esto sólo puede lograrse si la cadena energética, desde la generación al suministro, funciona apropiadamente y de forma segura.

La resiliencia es un reto para cualquier organización, pero, dadas las características del sector de la energía y su importante papel en nuestra economía y sociedad, es de vital importancia la resiliencia del ecosistema energético ante ciberataques.

Análisis

Cuando hablamos de la energía, estamos hablando de la electricidad, el gas y el petróleo, fundamentalmente, y, si hablamos de la distribución de energía, estamos hablando de infraestructuras que ofrecen unos servicios que posibilitan el normal funcionamiento de otras industrias y de la vida ciudadana. No tenemos más que pensar en las redes eléctricas inteligentes (smart grids), que proporcionan suministro eléctrico a infraestructuras pertenecientes a otros sectores, como el de la salud, el transporte, las telecomunicaciones o la banca, entre otros.

Una interrupción del suministro eléctrico puede dejarnos sin luz durante un determinado tiempo, con las consiguientes incomodidades, pero si se alarga la interrupción del servicio puede impactar en servicios ofrecidos por otros sectores. El efecto en cascada puede afectar no sólo a otros sectores, sino también a otras redes e incluso a otros países, dada la interconexión de las redes energéticas. En este efecto en cascada debe resaltarse la estrecha relación de interdependencia que existe entre las smart grids y las redes de telecomunicaciones, ya que, si las smart grids ofrecen a las redes la energía necesaria para su funcionamiento, las redes de telecomunicaciones son también necesarias para el buen funcionamiento de las smart grids, y esta relación será cada vez más dependiente a medida que la tecnología 5G vaya implantándose en el mundo industrial.

A la importancia del sector energético para nuestra economía y sociedad hay que añadir que el mundo de las utilities y de las redes eléctricas se está enfrentando a retos de gran calado, como la descarbonización mediante la reducción al máximo de los combustibles fósiles, la descentralización mediante tecnologías de control descentralizadas y la digitalización en toda la cadena de valor, desde la generación y la distribución hasta llegar al consumidor. La generación renovable y distribuida en baja tensión, la energía solar fotovoltaica, el almacenamiento y el vehículo eléctrico, conectados todos ellos en los puntos de consumo, son auténticas tendencias del sector. A esto hay que añadir el nuevo papel de los consumidores, que ahora no sólo pueden consumir energía, sino también producirla, lo que implica cambios en la relación con las compañías y en el modelo de negocio de las distribuidoras, convirtiéndolas en facilitadores de mercado que explotan la gran cantidad de información de la que disponen y ofrecen nuevos servicios relacionados de alto valor añadido1.

Merece especial atención la integración de los dispositivos inteligentes y la Internet de las Cosas (IoT), ya que el volumen de los dispositivos electrónicos que se integrarán o conectarán a las redes eléctricas inteligentes aumentará exponencialmente en los próximos años. Los vehículos eléctricos, que precisarán equipamiento específico que integrar en la infraestructura, como estaciones y puestos de recarga, y la generación eólica o la distribuida con paneles fotovoltaicos domésticos, entre otros, son algunos ejemplos. Y, ya que la conexión de dispositivos IoT aumentará los riesgos de las smart grids, debemos pensar en cómo considerar su seguridad desde el diseño para evitar ataques masivos desde dispositivos IoT provenientes, por ejemplo, de los sistemas de control de la humedad, el vapor y el aire acondicionado (HVAC) instalados en hogares y organizaciones.

Figura 1. La digitalización acelera la exposición a ciberriesgos
Figura 1. La digitalización acelera la exposición a ciberriesgos. Fuente: Nicolas Richet (CIO-ENTSO-E), “Cybersecurity & Energy in Europe ”, p. 3

Garantizar la resiliencia de las empresas del sector energético ante diferentes tipos de incidentes que puedan producirse, tanto de seguridad física como de ciberseguridad o una combinación de ambos, es fundamental. Las organizaciones de inteligencia estadounidenses incluyeron los ciberataques a su red eléctrica como una de las mayores amenazas a la seguridad nacional a principios del 20193, año en el que estadounidenses y rusos han cruzado acusaciones relacionadas con intentos de hackeo de sus redes eléctricas4, llegando a hablar de iniciar una ciberguerra5. Podríamos pensar que ya estamos en ese tipo de escenario si echamos un vistazo al histórico de ciberataques que se han venido produciendo en los últimos años en sistemas de control industrial del sector energético, según la Figura 2, de Deloitte.

Figura 2. Ciberataques en empresas energéticas
Figura 2. Ciberataques en empresas energéticas. Fuente: Steve Livingston y otros (2019), “Managing Cyber Risk in the electric Power Sector”. Deloitte Insights, 31/I/2019

¿Cuál es la situación en España?

Según un informe del Centro de Ciberseguridad Industrial (CCI) realizado en colaboración con Check Point, los sectores donde se conocen más tipos diferentes de incidentes son la electricidad, el gas y el petróleo (Figuras 3, 4 y 5)6. Por otro lado, un 41% de las organizaciones encuestadas piensan además que en el futuro un número importante de incidentes vendrán de dispositivos IoT comprometidos y, en menor medida, de los ataques multivector y del ransomware de operación.

Figura 3. Tipos de incidentes
Figura 3. Tipos de incidentes
Fuente: CCI y Check Point Software Technologies, “Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España”, mayo de 2019.

 

Figura 4. Sistemas afectados por incidentes
Figura 4. Sistemas afectados por incidentes. CCI y Check Point Software Technologies, “Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España”, mayo de 2019
Fuente: CCI y Check Point Software Technologies, “Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España”, mayo de 2019.

Según dicho informe, casi un 30% de los profesionales encuestados consideran que una de las principales consecuencias de un incidente de ciberseguridad puede ser la pérdida de un servicio esencial, dado que las tecnologías industriales que operan los servicios esenciales no han incorporado requisitos de ciberseguridad, lo que las hace vulnerables a comportamientos no esperados.

Figura 5. Impacto de los incidentes
Figura 5. Impacto de los incidentes. CCI y Check Point Software Technologies, “Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España”, mayo de 2019
Fuente: CCI y Check Point Software Technologies, “Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España”, mayo de 2019.

¿Están preparadas las empresas del sector para un ciberataque?

El sector energético está expuesto a ciberataques de distinta índole, que van desde el malware a ataques basados en web o de aplicaciones web, ataques de denegación de servicio, patrones estándar de ataques a través de amenazas avanzadas persistentes (APT) o verse envueltos en una guerra híbrida y sufrir ataques patrocinados por Estados. Los ciberatacantes pueden perseguir objetivos como la obtención de dinero mediante su robo, el secuestro de datos o de servicios y la consiguiente petición de rescate, el robo de datos de los clientes, realizar algún tipo de daño a la imagen de la empresa, provocar interrupciones del negocio o del servicio y, en los casos más graves, la destrucción de la infraestructura o la pérdida de vidas humanas. Detrás de los ciberataques nos podemos encontrar con ataques oportunistas provenientes de activistas, script kiddies y cibercriminales deseosos de obtener dinero a través del secuestro o robo de datos y con ataques dirigidos provenientes de Estados nación, trabajadores descontentos o ciberterroristas. Digamos que las empresas del sector energético están expuestas a los ataques habituales de cualquier empresa industrial, a los que debemos añadir, en el caso de las empresas consideradas como infraestructuras esenciales, los posibles ataques nación o terroristas.

Para hacer frente a los ciberataques, estas empresas presentan problemas ligados a la cultura empresarial, dado que la preocupación principal del sector venía siendo la seguridad física de las infraestructuras y la disponibilidad de la red, y la ciberseguridad es un nuevo escenario de juego al que hay que adaptarse. Por otro lado, cuentan con sistemas de control industrial del que, en su mayoría, venían siendo propietarios y fueron diseñados e instalados sin tener en consideración la ciberseguridad y que han pasado de estar aislados a estar conectados. Lo mismo puede decirse de la gran cantidad de aplicaciones legadas instaladas. A esto hay que añadir que la continuidad de las operaciones industriales dificulta la actualización de los sistemas, además de obligar a pasar por nuevas certificaciones en ciertos casos. También hay aspectos organizativos, ya que es posible utilizar sistemas de diferentes empresas como puerta de entrada a los sistemas de control industrial por los canales de comunicación existentes entre diferentes entidades de la empresa.

A esto hay que añadir un confuso escenario legal y la carencia de una regulación europea común y un marco de certificación en ciberseguridad. Aunque se han definido algunos estándares de ciberseguridad para sistemas industriales y de potencia, se echa de menos una regulación unificada y un marco de certificación a nivel europeo para los operadores de red y los proveedores de tecnología que ayude a los operadores a saber qué deben pedir y a los fabricantes qué deben desarrollar. ENISA está trabajando en la definición de una regulación unificada para el sector eléctrico, pero esta debería ser más ágil para acelerar la necesaria armonización a nivel europeo. Además, las empresas del sector energético también se enfrentan a una falta de recursos financieros para abordar la ciberseguridad y una escasez de recursos humanos capacitados en ciberseguridad y, en el caso de las infraestructuras esenciales, pueden llegar a sufrir disputas territoriales.

En este complejo contexto, debemos pensar en los diferentes agentes de la cadena de valor del sector energético, ya que cada uno debe enfocarse hacia la ciberseguridad y privacidad por defecto y desde el diseño teniendo en cuenta sus especiales características y requisitos:

  • Operadores: mejorar la resiliencia de sus instalaciones para que no se produzca una interrupción del servicio o un accidente ante un ciberincidente. Utilizar estándares para la operación, gestión y mantenimiento. Formar a sus empleados en medidas higiénicas de ciberseguridad.
  • Proveedores de equipamiento: proporcionar sistemas hardware, software y empotrados seguros y, a poder ser, certificables. Establecer nuevos procedimientos para la actualización segura de sistemas (gestión del ciclo de vida de equipos seguros). Adaptar/asegurar los sistemas legados.
  • Otros proveedores de equipamiento, como los de vehículo eléctrico y estaciones de recarga o dispositivos IoT plug & play: proporcionar sistemas ciberseguros compatibles.
  • Compañías de ingeniería e integración: utilizar arquitecturas seguras y aplicar estándares.
  • Proveedores de soluciones de ciberseguridad: desarrollar tecnologías y soluciones para la detección temprana de ciberataques y anomalías teniendo en cuenta los requisitos de tiempo real de muchas partes de las instalaciones. Monitorizar y controlar el nivel de seguridad de la red.
  • Consultoras y empresas de servicios de ciberseguridad: apoyar en la aplicación e implantación de políticas y estándares.
  • Entidades de I+D: investigar en nuevas tecnologías como inteligencia artificial, machine learning, deep learning y criptografía avanzada para apoyar el desarrollo de nuevas soluciones para la prevención de ciberincidentes, la detección temprana, la gestión y respuesta ante incidentes y el desarrollo de equipamiento con ciberseguridad y privacidad por defecto y desde el diseño.
Figura 6. Fases para una hoja de ruta de la ciberseguridad
Figura 6. Fases para una hoja de ruta de la ciberseguridad. Fuente: Nicolas Richet (CIO-ENTSO-E), “Cybersecurity & Energy in Europe ”, p. 8.

Por otro lado, la infraestructura es solo una parte del sistema completo. Las personas siguen siendo el eslabón más débil en la cadena de la ciberseguridad. Esto hace que sea necesario concienciar a los empleados en medidas higiénicas de ciberseguridad, pero también a la gran cantidad de personal externo subcontratado que suele trabajar en esas instalaciones. Dada la creciente participación de los consumidores en los nuevos modelos de negocio, también se hace necesaria su formación en ciberseguridad.

El papel de los consumidores

La Organización de Consumidores Europeos (BEUC) en su informe “The Future of Energy Consumers”7 plantea que la relación entre los consumidores y la energía está cambiando drásticamente, ya que podrán elegir el momento de realizar el consumo de una forma más automatizada, participar activamente en el mercado vendiendo su energía y acceder a productos y servicios más sofisticados. Este cambio, en principio beneficioso para los consumidores, supone riesgos asociados con la protección de datos. Por este motivo, desde la organización se plantea la necesidad de seguir criterios de privacidad por defecto y desde el diseño, y que se fijen reglas para el acceso a los datos. También solicitan que todos los proveedores de energía y de servicios sean conformes a la Directiva NIS y que sean considerados por los Estados miembros como operadores de servicios esenciales con independencia de su tamaño.

Si tenemos en cuenta que los datos provenientes de contadores inteligentes, los puntos de recarga del vehículo eléctrico en el hogar u otros productos ligados al consumo en el hogar pueden proporcionar una gran cantidad de información acerca de las preferencias de uso y hábitos de sus usuarios, pudiendo ser utilizados de formar monopolística por algunas empresas de energía, desde BEUC sugieren que la gobernanza de los datos debe estar centrada en el consumidor para evitar la concentración de los datos en unas pocas manos. En cuanto a la utilización de la inteligencia artificial para modificar el modo en el que consumimos energía o en el que funciona el sistema energético, BEUC pide transparencia respecto al funcionamiento de los algoritmos y que las empresas que los utilizan puedan demostrar que han sido diseñados para cumplir con la legislación vigente.

El papel de la Unión Europea en el sector energético

Desde Europa se han planteado diferentes iniciativas relacionadas con el sector energético y que incluyen la ciberseguridad:

  • Cybersecurity Act, que ENISA materializará en diferentes certificaciones.
  • Directiva NIS en su Grupo de Cooperación con Estados Miembros (Work Stream 8 sobre Energía). En España la Directiva NIS ha sido completamente transpuesta en el Real Decreto Ley 12/2018.
  • Intercambio de información a nivel técnico en el grupo de trabajo sobre smart grids del European Energy-Information Sharing & Analysis Centre (EE-ISAC).
  • Regulación sobre la preparación para riesgos eléctricos.
  • Regulación sobre la seguridad del suministro de gas.
  • Acciones de concienciación y de movilización en colaboración con la Red Temática de Protección de Infraestructuras Críticas (TNCEIP) y la Infraestructura Europea de Gas (GIE), involucrada en la construcción de la infraestructura energética europea.
  • Recomendación de la Comisión Europea sobre la ciberseguridad en el sector energético.

Esta última plantea una serie de acciones para considerar las particularidades que presenta el sector de la energía, como los efectos en cascada, los requisitos de tiempo real, que plantean retos para las soluciones estándares de ciberseguridad, y la combinación de tecnología con dispositivos que fueron implementados y puestos en funcionamiento cuando no había requisitos de ciberseguridad o nuevos dispositivos de la IoT que tampoco han sido diseñados o instalados considerando la ciberseguridad, lo que implica retos en cuanto a la gestión del ciclo de vida de los productos e instalaciones. Debemos tener en cuenta que las soluciones de ciberseguridad que se implanten lo harán sobre una infraestructura antigua y geográficamente dispersa con miles de dispositivos legados en un contexto en el que la vida media de los productos se reducirá drásticamente y serán necesarias revisiones continuas de vulnerabilidades que afectarán a la fabricación, la actualización y los procesos de certificación.

Esta misma recomendación insta a los agentes relevantes, como operadores de la red de energía, proveedores tecnológicos y especialmente a los operadores de servicios esenciales, a que tomen las medidas apropiadas en relación con la ciberseguridad en el sector de la energía, recomendando estándares como el ISO/IEC 27001/27019, IEC62443, IEC62351 y ISO/IEC31000. Entre las acciones que considera, cabe mencionar:

Figura 7. Acciones recomendadas por la Comisión Europea
Figura 7. Acciones recomendadas por la Comisión Europea. Fuente: Nicolas Richet (CIO-ENTSO-E), “Cybersecurity & Energy in Europe”

Además de aplicar la recomendación, se está preparando la implementación de los Códigos de Red Europeos (CdR) para la electricidad en cooperación con la Asociación Europea de Transportistas y Operadores del Sistema (ENTSO-E), los distribuidores europeos de energía (EU DSO) y la Agencia para la Cooperación de los Reguladores de la Energía (HACER), de acuerdo con la nueva regulación eléctrica publicada en mayo/junio. El art. 59(2) tiene un acto delegado que habla de “reglas específicas del sector para aspectos de ciberseguridad de los flujos de electricidad transfronterizos, incluyendo reglas sobre requisitos comunes mínimos, planificación, monitorización, reporte y gestión de crisis”.

A finales del 2019, ENISA ha organizado un taller para tratar de identificar las necesidades de certificados de ciberseguridad europeos para los productos, procesos y servicios de energía que sean válidos a través de toda la Unión Europea. Muchos aspectos deben tenerse en cuenta a la hora de definir el proceso de certificación para el sector de la energía, pero en cualquiera de los casos tendrá que ser un esquema ágil y que tenga en cuenta las necesidades de actualización de los dispositivos a lo largo de su ciclo de vida.

Conclusiones

El sector energético es fundamental en una economía y sociedad desarrolladas, por lo que debe asegurarse la resiliencia del ecosistema energético ante diferentes tipos de amenazas o accidentes de seguridad, entre los que se cuenta la ciberseguridad.

Al tratarse de un sector en profunda transformación con la digitalización, la IoT y el nuevo papel de los consumidores, es necesario asegurar el buen funcionamiento y la resiliencia de las infraestructuras existentes que puedan considerarse esenciales teniendo en cuenta los equipos y sistemas legados instalados y analizando cómo minimizar los riesgos asociados. Al mismo tiempo, las nuevas instalaciones y equipos que se desarrollen e instalen deberán hacerse bajo principios de ciberseguridad y privacidad desde el diseño y a lo largo de toda la cadena de suministro, así como de su ciclo de vida. En este sentido, es fundamental la definición y seguimiento de estándares claros y de un marco de certificación que aporte seguridad a usuarios, fabricantes y operadores.

Integrar la ciberseguridad y privacidad desde el diseño implica fomentar una cultura de ciberseguridad en las organizaciones, de forma que puedan definir y gestionar políticas de ciberseguridad, capacitar a las personas, adoptar ciclos de vida ciberseguros para el desarrollo de los equipos y pensar en las respuestas ante posibles incidentes. Ante el nuevo papel de los consumidores como generadores de energía, también debemos pensar en qué formación en ciberseguridad pueden llegar a necesitar.
No debemos olvidar considerar la ciberseguridad en las nuevas interrelaciones y dependencias que se irán estableciendo entre los diferentes servicios ligados a la utilización de nuevas tecnologías como la 5G, así como la aplicación responsable de la inteligencia artificial.

Ana I. Ayerbe
Directora del Área de Negocio TRUSTECH de Tecnalia
| @AnaAyerbe


1 Ángel Díaz Gallo (2017), “La digitalización afecta a toda la cadena de valor de la distribución de energía”. INN (Tecnalia), n.º 2, diciembre de 2017.

2 Presentación realizada en el Cybersecurity Day in the Energy Community en Viena (Austria), 11 de abril de 2019.

3 Danny Bradbury (2019), “Electricity Grid Hacking Makes US Top Threat List”, Info Security, 15/II/2019.

4 Andy Greenberg (2019), “The Highly Dangerous ‘Triton’ Hackers Have Probed the US Grid”. Wired, 14/VI/2019.

5 Ivan Nechepurenko (2019), “Kremlim Warns of Cyberwar After Report of U.S. Hacking into Russian Power Grid”. The New York Times, 17/VI/2019. 

6 CCI y Check Point Software Technologies, “Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España”, mayo de 2019.

7 The European Consumer Organization, “The Future of Energy Consumers – Bright or Burdensome?”, 4 de octubre de 2019.

]]>
<![CDATA[ CIBER elcano No.50 ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ciber-elcano-50-diciembre-2019 2019-12-10T05:12:00Z

Presentamos el número 50 de CIBER elcano con los artículos “Internet y sus enemigos”, de Félix Arteaga; y “Hacia la transformación digital de las profesiones jurídicas”, de Moisés Barrio Andrés. Como cada número, ofrecemos una serie de documentos de interés y la agenda.

]]>

Internet y sus enemigos

Félix Arteaga — Los ciberataques no son el único problema del ciberespacio: la infraestructura de Internet y la información y los datos que circulan por ella también tienen enemigos.

Hacia la transformación digital de las profesiones jurídicas

Moisés Barrio Andrés — Se describe el impacto de las nuevas herramientas tecnológicas (legaltech) en las tareas de los profesionales del Derecho.

Documentos de interés

ENISA Threat Landscape for 5G Networks

ENISA. Noviembre de 2019. Este informe complementa la evaluación de riesgos coordinada de los Estados miembros y profundiza en los aspectos técnicos y vulnerabilidades de las redes 5G.

The Application of the International Law to State Cyberattacks

Chatham House, Harriet Moynihan. Diciembre de 2019. Debate la aplicabilidad del Derecho Internacional y los principios de soberanía y no intervención frente a los ciberataques.

ICT Supply Chain Integrity. Principles for Governmental and Corporation Policies

Carnegie, Ariel E. Levite. Octubre de 2019. La seguridad de las cadenas de suministro en las tecnologías de la información (IT) y de las operaciones (OT) es ya un asunto estratégico.

Advancing Cyberstability

Global Commission on the Stability of Cyberspace (GCSC). Noviembre de 2019. Contiene propuestas de los miembros, centros y empresas de la Comisión para estabilizar el ciberespacio.

Interpol Organized Crime Threat Assessment 2019 (IOCTA)

Interpol. Noviembre de 2019. El informe describe el estado y las tendencias de la criminalidad organizada en torno a delitos contra el comercio, los menores o el terrorismo, entre otros.

Más CIBER elcano

Le mois européen de la cybersécurité

Le mois européen de la cybersécurité

Mes europeo de la ciberseguridad. La UE fomenta campañas de concienciación de los ciudadanos europeos cada mes de octubre. El vídeo del Ministerio del Interior francés es un ejemplo, entre muchos otros, a seguir.

Cybersécurité: besoin pressant de candidats

Cybersécurité: besoin pressant de candidats

Todas las encuestas y estudios, como los que se muestran en el vídeo de Cyber News TV, señalan el desfase entre la demanda de empleo y la escasez de profesionales.

Agenda

11-12 de diciembre de 2019: XIII Jornadas STIC CCN-CERT (Madrid, España).

24 de enero de 2020: Security Hell Conference (SH3LLCON) (Santander, España).

31 de enero-1 de febrero de 2020: H-c0n-Hackplayers Conference (Madrid, España).

]]>
<![CDATA[ Internet y sus enemigos ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari117-2019-arteaga-internet-y-sus-enemigos 2019-12-10T08:26:48Z

La mayoría de los análisis de riesgos en el ciberespacio se centran en los objetivos de los ciberataques, mientras que pocos se centran en la infraestructura de Internet y en la información y datos que circulan por ella.

]]>
Tema1

La mayoría de los análisis de riesgos en el ciberespacio se centran en los objetivos de los ciberataques, mientras que pocos se centran en la infraestructura de Internet y en la información y datos que circulan por ella.

Resumen

Internet, una innovación tecnológica inicialmente ideada para la conexión de redes de comunicaciones de defensa y posteriormente ofrecida al bien público mundial, y la información (datos) que circula sobre ella se ven amenazadas por múltiples actores y prácticas que tratan de limitar el acceso o la inclusividad del bien público que es Internet y alterar o manipular el contenido de sus flujos. En este ARI se describen, por un lado, los riesgos tecnológicos, comerciales y políticos que afectan a la gobernanza de Internet y, por otro, los que amenazan a la sociedad de la información que se nutre de las ideas, noticias y datos que circulan por Internet.

Análisis

La infraestructura de Internet conecta a los usuarios a la Red mediante proveedores de servicios de acceso privados (ISP), que se conectan a su vez a la Red a través de operadores globales (carriers) o plataformas privadas especializadas en la entrega de contenidos (content delivery networks, CDN). En la gobernanza de la infraestructura, sus redes, conexiones, estándares y protocolos participan los expertos técnicos, los operadores y proveedores de servicios y los reguladores gubernamentales dentro de un modelo de gestión público-privado2.

La gobernanza ha pasado de un enfoque estrecho, centrado en la asignación y gestión de direcciones IP públicas y nombres de los dominios de Internet, a otra más amplia que incluye el impacto de las nuevas tecnologías y la resolución de los problemas asociados a la infraestructura física y lógica de Internet. La gobernanza técnica de Internet se sostiene por la dedicación de un conjunto heterogéneo de instituciones que velan por la interconexión de distintos tipos de redes creando estándares y protocolos como el Consorcio World Wide Web (W3C) o el Instituto de Ingenieros Eléctricos y Electrónicos (Institute of Electrical and Electronics Engineers, IEEE).

Los dominios y las direcciones IP públicas asignados a dispositivos y redes conectados a Internet están controlados por una asociación privada (Internet Corporation for Assigned Names and Numbers, ICANN) organizada en torno a varios agentes (multistakeholders) académicos, privados o institucionales –gubernamentales o no– que adoptan acuerdos en pie de igualdad. No obstante, sus recomendaciones no tienen fuerza vinculante y las resoluciones gubernamentales que podrían tener esa fuerza en el marco de la Unión Internacional de Telecomunicaciones (UIT) no van más allá de la limitada voluntad de cooperar en la gobernanza de Internet, capitalizada por las grandes potencias (las resoluciones de la UIT se circunscriben a aspectos institucionales, técnicos –tipo ICANN– o relativos a las tasas de interconexión que favorecen a países emergentes).

Este mismo enfoque multiparticipativo (multistakeholderism) se replica en el Foro de Gobernanza de Internet, creado por Naciones Unidas para apoyar la gobernanza de Internet de forma abierta a la participación y los asuntos que la afectan; un foro que se reúne anualmente, la última vez en noviembre de 2018 en París, cuando se lanzó la “Paris Call for trust and security in the cyberspace” a iniciativa del presidente Emmanuel Macron y secundada por numerosos actores, públicos y privados, que preparan las agendas de trabajo3. En la defensa de una Internet abierta y accesible participan otras asociaciones, como Internet Society, dedicada a expandir la accesibilidad y fomentar la seguridad técnica mediante su Grupo de Trabajo de Ingeniería de Internet (Internet Engineering Task Force, IETF), su Consejo de Arquitectura de Internet (Internet Architecture Board, IAB) o su Grupo de Trabajo de Investigación en Internet (Internet Research Task Force, IRTF). Entre los valedores de Internet también se encuentran think tanks como el EastWest Institute y el Hague Centre for Strategic Studies, que dan soporte a la Global Commission on the Stability of the Cyberspace4. Estos ecosistemas abiertos, cosmopolitas y liberales, valedores de la sociedad de la información, coadyuvan a la gobernanza de Internet, pero carecen de instrumentos vinculantes para implantar sus propuestas y acuerdos y se enfrentan a la resolución de graves problemas de seguridad, conectividad y manipulación de sus contenidos.

Las amenazas y riesgos del soporte y los servicios de Internet

En líneas generales, la gobernanza de Internet se enfrenta a un riesgo de fragmentación debido a retos de naturaleza tecnológica, económica y política. Internet se configuró como una red de redes, una red de sistemas y aplicaciones que permitía la conectividad de esos sistemas autónomos. Por consiguiente, hay que diferenciar entre el riesgo tecnológico de la fragmentación de la conectividad formando islas y los riesgos que las malas prácticas comerciales y políticas representan para el bien común mundial que es Internet.

Entre los riesgos tecnológicos que amenazan a una Internet abierta, según el Foro Económico Mundial (WEF), están los que comprometen su arquitectura, sus estándares y protocolos en sus distintas capas , tales como la compatibilidad entre versiones de los protocolos de Internet, la separación entre la superficie accesible desde buscadores web y las partes más profundas de la web, el desvío de los flujos de información mediante el secuestro de puertas de enlace de red (BGP, Border Gateway Protocol, o Protocolo de Fronteras entre Puertas de Enlace), la alteración de las cachés de los servidores de nombres de dominio (DNS) o los certificados de autenticación falsos. Estos obstáculos técnicos dificultan la comunicación de extremo a extremo de la Red y disminuyen su capacidad de multiplicar la innovación.

Además de los riesgos tecnológicos que afectan a la infraestructura de Internet y la conectividad de los usuarios, existen otras prácticas que afectan a los servicios que se prestan a través de la Red y que limitan la libertad de acceso y uso de Internet y sus servicios debido a la creciente competencia comercial y política entre Estados y grandes plataformas. En efecto, las malas prácticas comerciales, especialmente debido al abuso de la posición de dominio de las grandes plataformas, también pueden afectar a la apertura de Internet. La fragmentación o los sesgos discriminatorios de las búsquedas, la geolocalización, el geobloqueo por razones arbitrarias, el pago adicional por el tráfico de acceso a determinados contenidos que se suma al pago por el acceso a Internet o la pérdida de la neutralidad de la Red son, entre otros, motivos de preocupación para los internautas, según el informe del WEF.

Fuera de motivos técnicos y comerciales, Internet corre el riesgo de que los Estados quieran controlar la gobernanza de los dominios que no son de titularidad gubernamental (generic top-level domains, gTLD), ya sea para proteger la privacidad de sus ciudadanos y empresas o para facilitar las investigaciones de las agencias de seguridad, con la consiguiente tensión entre los gestores gubernamentales de la UIT y los multistakeholders de la ICANN.

La acumulación de los riesgos anteriores ha llevado a cuestionar la integridad de Internet como una única red de redes y a prever su fragmentación en redes segregadas (splinternet), lo que se conoce como balcanización. El riesgo de fragmentación es constatable en regímenes autoritarios como China (el Gran Cortafuegos), Rusia (RuNet), Irán o Corea del Norte, entre otros, que tratan de aislar a sus ciudadanos de toda influencia exterior que pueda llegar por Internet y controlar el uso interno de las redes segregadas de la Internet mundial. Pero también existen precedentes de vigilancias y censuras sobre Internet en las democracias liberales por razones de seguridad nacional o para prevenir campañas de radicalización o de odio. Se espera en ellas que las grandes plataformas ejerzan el papel de regulación y control que no pueden o no saben realizar sus Gobiernos. La tensión entre los servicios mundiales y las regulaciones nacionales puede agravar el riesgo de que las grandes plataformas privadas de uno u otro lado se acaben segregando en las redes privadas de la Internet pública y mundial6.

En todos los casos, aunque con distinta motivación y alcance, la fragmentación aumenta la vulnerabilidad de los internautas frente a las prácticas de los Gobiernos y conglomerados tecnológicos. Se materialice o no, el riesgo de fragmentación se suma a los factores de seguridad e inestabilidad, que están haciendo crecer la desconfianza en la Red y disminuyendo su potencial dinamizador e innovador, lo que ralentiza el progreso hacia la economía digital. A pesar de todos estos riesgos y de los indicios de fragmentación de Internet, en relación con la gobernanza mundial o con los servicios que se prestan sobre ella, los valedores públicos, privados y público-privados de la gobernanza de Internet han conseguido preservar hasta ahora la conectividad de la infraestructura. Como señala Zoraida Frías: “Mientras la gobernanza técnica de Internet ha conseguido establecerse al margen de los Gobiernos, la gobernanza socioeconómica ha convertido la Red en el campo de batalla en el que se juega el nuevo orden mundial”7. No obstante, se enfrentan al reto de sostener esa conectividad de Internet frente a nuevos problemas como son la competencia geopolítica y tecnológica entre las grandes potencias y la alteración de la información que circula por ella.

Las amenazas y riesgos sobre el flujo de información y datos

La información y los datos no pueden escapar a su instrumentalización (weaponization) por las grandes potencias en su competición geotecnológica por el poder y la supremacía mundial8. Gobiernos como los de Estados Unidos, China o Rusia utilizan el ciberespacio para vigilar o espiar a sus rivales, influir en sus decisiones o desestabilizar sus sociedades. Desarrollan instrumentos, técnicas y prácticas que pueden emplearse tanto para defenderse como para atacar y entrenan a organizaciones gubernamentales o paragubernamentales en su empleo y perfeccionamiento. Entre otros, la desinformación, el espionaje, el robo de propiedad intelectual y el malware (p. ej. WannaCry, Stuxnet) son instrumentos gubernamentales que, más pronto que tarde, dejarán de serlo para pasar al ámbito no estatal, donde esos instrumentos y sus aplicaciones se ofrecerán para alentar conflictos sociales o económicos a través de Internet, una pérdida de la hegemonía estatal en el ciberespacio que ya han iniciado actores criminales, hacktivistas y terroristas cuyas acciones se dirigen contra Internet y contra la información que circula por ella.

Las formas de dañar la infraestructura de Internet son distintas de las de atacar los datos que circulan por ella. Las sociedades avanzadas, al igual que la economía digital, funcionan en torno a datos (el nuevo petróleo), por lo que éstos son fuente de oportunidades y de vulnerabilidades. Mientras que las grandes plataformas luchan por acumular datos para competir en posiciones de ventaja frente a las compañías poco digitalizadas y sin capacidad para procesar los datos, los agentes estatales y no estatales luchan por desarrollar instrumentos de influencia construidos a partir de esos datos.
Los Estados han desarrollado instrumentos y doctrinas para influir sobre el comportamiento de los líderes y las opiniones públicas en tiempos de conflicto (guerra de la información, operaciones de influencia y cognitivas) que ahora aplican a la competición geopolítica distinta de la guerra. Son instrumentos que llevan la antigua guerra política (political warfare) de la Guerra Fría al ciberespacio y desarrollan nuevas formas de defensa y agresión para competir en los nuevos modos de conflicto geopolítico que no son ni de guerra ni de paz y para los que se emplean distintas denominaciones de guerra: “sin restricciones”, “de nueva generación”, “de zona gris”, “híbrida” o “asimétrica”. Y no solo actores estatales como Estados Unidos o Rusia, sino también actores como Daesh, según análisis como los de la Rand Corporation9.

Las fuentes abiertas de información disponibles en Internet ofrecen estudios sobre la manipulación del contexto informativo y los valores, creencias y principios que condicionan la percepción social (cognición) de la información (infosfera) mediante operaciones de influencia o cognitivas10. Revelan la interferencia detectada en algunos procesos electorales, el recurso a la desinformación o las noticias falsas para facilitar la desestabilización social y política11. Las democracias liberales, especialmente las europeas, han sido ingenuas creyendo que el ciberespacio se mantendría al margen de la rivalidad geopolítica y que los agentes autoritarios no utilizarían como armas las infraestructuras y los datos de Internet. Sin embargo, lo preocupante no son tanto los ciberataques, la desinformación o las noticias falsas que utilizan Internet, sino el potencial de manipulación social que conllevan las nuevas tecnologías de análisis, procesamiento y computación de datos.

Basta una lectura rápida a la “Investigación sobre el uso del análisis de datos en campañas políticas” del comisario de Información al Parlamento del Reino Unido tras el escándalo de Cambridge Analytica para darse cuenta de la capacidad de influencia de esas tecnologías. Y no sólo para alterar el resultado de las votaciones o manipular a la sociedad, sino para alterar la percepción de la realidad y cambiar el modelo de las relaciones o la estructura social provocando la disrupción social mediante las nuevas herramientas de ingeniería social disponibles –ahora online– para la sociedad de la información.

Por un lado, se fragmenta la percepción social de la realidad. Se reduce el número de fuentes de información solventes y contrastadas y se concentra su control en pocas manos. A la reducción de la diversidad se añade el aislamiento en burbujas de información y la presión de influencers, trolls y mecanismos de adicción sobre las redes sociales. La combinación de los factores anteriores aumentará la dificultad para discernir la realidad de la ficción, disminuirá la confianza en las instituciones y potenciará la polarización social, una disrupción potenciada desde el mal uso de Internet que amenaza la democracia, según la Fundación Koffi Annan de Stanford, salvo que se adopten medidas para prevenirlas 12. La defensa de las sociedades abiertas frente a esta combinación de procesos e intenciones disruptivos resulta difícil, porque se lleva a cabo de forma larvada e imperceptible. Tras la sensación virtual de los internautas de que cada vez disponen de más información y mayor libertad de opciones que nunca se esconde la manipulación encubierta de sus emociones, preferencias y decisiones por la nueva ingeniería tecnológica, una disrupción que se acentuará con el perfeccionamiento de la inteligencia artificial y la llegada de la computación cuántica en un escenario distópico que la RAND etiqueta como de “conflicto social virtual”13.

Para prevenir una evolución distópica de la sociedad de la información, los valedores de Internet abogan por una mayor coordinación de las iniciativas públicas y privadas14. Por su relevancia, hay que destacar la iniciativa “Contract for the Web” del creador de la World Wide Web y director de la Fundación del mismo nombre, Tim Berners-Lee, para restaurar la accesibilidad de Internet y proteger la privacidad de sus usuarios. Además, la Unión Europea se dispone a pelear, alineada con el Foro de Gobernanza de Internet, para avanzar hacia la próxima generación de Internet (Next Generation Initiative, NGI). La esperanza de que se descentralice Internet, de que su gobernanza pueda adoptar contramedidas activas y desarrollar servicios comunes contra el dominio de Internet, su información y los datos, para que los usuarios recuperen el control de sus datos y los innovadores, oportunidades de negocio .

Conclusiones

Internet cuenta con tantos enemigos como defensores que velan por que mantenga su condición de bien común mundial y neutro que facilite la consolidación de la sociedad digital de la información.

La batalla se libra, por un lado, sobre las infraestructuras y los servicios de Internet y, aunque los defensores han conseguido hasta ahora preservar la conectividad mundial, los enemigos tienden a reforzar la fragmentación de los distintos sistemas de la Red, unos actores, los públicos, tratando de prevenir la influencia exterior y, otros, los privados, tratando de proteger sus mercados cautivos en sus grandes plataformas.

Por otro, la batalla se libra en el frente de la información, donde actores públicos y privados compiten por hacerse con los datos y desarrollar tecnologías que les garanticen el control social o de los mercados. En medio de una creciente rivalidad geopolítica entre las grandes potencias y de una revolución económica y tecnológica acelerada, los instrumentos y prácticas que han desarrollado esas potencias para competir o defenderse en el tablero mundial se irán transfiriendo a los actores no estatales para que compitan por los mercados de la economía, la influencia o la manipulación social.

El escenario favorece a los enemigos de Internet, porque el perímetro de ataque es demasiado grande, porque los atacantes pueden concentrar sus medios de ataque y porque cuentan con la ventaja de la despreocupación social y la actuación encubierta. Frente a lo anterior, los defensores de las sociedades y la Internet abiertas se ven ante las paradojas de tener que fragmentar sus sistemas para preservar la conectividad de Internet y de tener que controlar la información que reciben sus sociedades para evitar la disrupción. La defensa de Internet no sólo necesita valedores e iniciativas como las señaladas; también necesita más estrategia, coordinación, recursos y capacidad de movilización. La edad de la inocencia se ha acabado.

Félix Arteaga
Investigador principal de Seguridad y Defensa, Real Instituto Elcano


1 Este ARI desarrolla las ideas apuntadas por el autor durante el Foro de Gobernanza de Internet celebrado en Madrid el 7/XI/2019.

2 Para un estado actualizado de la gobernanza, ver a Daniel Voelsen, “Cracks in the Internet’s Foundation”, SWP Research Paper 14, noviembre de 2019, y a Emily Taylor y Stacie Hoffmann, “EU-US Relations on Internet Governance”, Chatham House, noviembre de 2019.

3 El capítulo español (IGF Spain) organizó en Madrid sus jornadas de noviembre sobre “Conflicto en la red? Internet, el tablero estratégico mundial” para preparar la sesión anual del IGF de 2019 en Berlín en noviembre.

4 Esta Comisión Mundial sobre la Estabilidad en el Ciberespacio recomienda en su informe “Advancing Cyberstability” (noviembre de 2019, p. 17) el enfoque multiparticipativo para la protección del ciberespacio y la promulgación de estándares.

5 Los protocolos permiten un modelo de conexión entre los servicios (Transmission Control Protocol/Internet Protocol, TCP/IP) que se prestan a través de la capa física (cable, satélites, routers, IXP, ISP) y las distintas capas lógicas de Internet, como las de acceso (WiFi, Ethernet), direccionamiento (IP), trasporte de datos (UDP, TCP) o aplicaciones (HTTP, SMTP).

7 Zoraida Frías, “Guerra por la gobernanza socioeconómica”, Telos 110, pp. 37-43.

8 Eric Rosenbach y Katherine Mansted, “The Geopolitics of Information”, Belfer Center, 28/V/2019.

9 Linda Robinson et ál., Modern Political Warfare, RAND Corporation, 2018, p. xiv.

10 Yossi Kupperwasser y David Simon-Tov, “The Cognitive Campaigns: Strategic and Intelligence Perspectives”, Intelligence in Theory and Proactive 4, INSS, octubre de 2019.

11 Entre otros en español, los del CCN-CERT sobre “Buenas Prácticas PP/13. Desinformación en el ciberespacio” y el de Ángel Badillo sobre “La sociedad de la propaganda, ‘fake news’ y la nueva geopolítica de la información”, DT 8/2019, Real Instituto Elcano, mayo de 2019.

12 Nathaniel Persily, “The Internet’s Challenge to Democracy. Framing the Problem and Assessing Reforms”, Kofi Annan Commission on Elections and Democracy in the Digital Age, 2019.

13 Michael J. Mazarr et ál., The Emerging Risk of Virtual Societal Warfare, RAND Corporation, 2019.

14 Dan J. B. Svantesson, “Global Status Report 2019”, International & Jurisdiction Policy Network, p. 17.

15 DG Connect, “Next Generation Internet 2025”, DG Connect, 2018, pp. 17-18.

]]>
<![CDATA[ Hacia la transformación digital de las profesiones jurídicas ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari116-2019-barrio-hacia-la-transformacion-digital-de-las-profesiones-juridicas 2019-12-10T08:23:38Z

La combinación del conocimiento y la experiencia humanos, acompañada de nuevas herramientas tecnológicas (LegalTech) hará que el profesional del Derecho sea más valioso, al permitir éstas la robotización de tareas de menor valor.

]]>
Tema

Frente a los que predicen que la tecnología reemplazará a los juristas, la combinación del conocimiento y la experiencia humanos, acompañada de nuevas herramientas tecnológicas (LegalTech, abreviatura inglesa de Tecnología Legal), hará que el profesional del Derecho sea más valioso, al permitir éstas la robotización de tareas de menor valor.

Resumen

Las profesiones jurídicas están experimentando unos cambios disruptivos que están revolucionando el sector, obligándole a reinventarse. El conocimiento jurídico posee una serie de rasgos que facilitan su digitalización y automatización. En breve veremos sistemas basados en inteligencia artificial capaces de ofrecer asesoramiento legal preciso y de analizar grandes cantidades de datos que los despachos de abogados y las asesorías jurídicas utilizarán para mejorar s u gestión y aumentar su productividad.

En este análisis expondremos los elementos del cambio que trae la Tecnología Legal o LegalTech, que está transformando los valores, los principios, las políticas, los procesos y las prácticas del mundo jurídico.

Análisis

Mucho se ha dicho y escrito sobre la transformación digital, la disrupción tecnológica, el aprendizaje automático (o machine learning) y la inteligencia artificial (IA), la tecnología blockchain o los smart contracts. Pero ¿qué significa esto para nosotros, los profesionales del Derecho, que somos abogados por cuenta propia, trabajamos en una asesoría jurídica interna, para un despacho de abogados español o internacional, o para el Estado o las Administraciones públicas en 2019? ¿Tendremos trabajo en 2025? Probablemente. Pero ¿cómo será este trabajo? ¿Estaremos rodeados de las mismas personas, haciendo el mismo trabajo de la misma manera, o realizaremos tareas como la redacción de documentos legales, la búsqueda de información jurídica, la oferta de nuestros servicios, etc., de manera significativamente diferente a como lo hacemos hoy en día? En caso afirmativo, ¿de qué modo? ¿Podremos controlar este cambio o seremos arrastrados sin apenas poder decir nada? ¿Y tendremos las habilidades adecuadas para enfrentarnos con éxito a la transformación digital?

Y más allá, ¿cuál es el papel del ecosistema legal en la era de la digitalización? ¿Nuestras facultades de Derecho modificarán la forma de la enseñanza jurídica? ¿Habrá una guerra por los talentos?, y, de ser así, ¿cómo está cambiando el reclutamiento y la contratación de los profesionales? ¿Cuál es el estado del sector Legal Tech y qué están haciendo los operadores jurídicos? ¿Cuáles son las tecnologías y cómo están afectando a todos los profesionales jurídicos, no solo a los abogados? ¿Pueden surgir nuevas formas para los abogados de ofrecer sus servicios que hoy no conocemos o que no están todavía suficientemente desarrolladas? ¿Qué nuevas tendencias que todavía no se han definido cabe atisbar?

A estas y otras muchas preguntas hemos dado respuesta en una obra muy reciente1, donde todos los autores coincidimos en apuntar que el panorama jurídico es muy diferente de la forma en como se suele presentar oficialmente y reflejan por lo general los manuales y las exposiciones al uso en la enseñanza del Derecho. Desde hace unos años la práctica legal cada vez se parece menos a las narraciones de John Grisham o a los enredos de Harvey Specter y Mike Ross en Suits2. Voces crecientes nos advierten de que probablemente el mundo del Derecho cambie de forma más radicalmente en las próximas dos décadas de lo que lo ha hecho en los últimos dos siglos. Esta metamorfosis vendría provocada por el fenómeno de la transformación digital y la creciente expansión de la LegalTech.

La LegalTech

Aunque no existe una definición universal del concepto “Legal Tech” (Tecnología Legal), que también recibe las denominaciones de “Legal Technology”, “law tech”, “LegalIT” o “legal informatics”, se puede decir que el mismo abarca una serie de soluciones tecnológicas y de software que, en aras a conseguir una mayor competitividad y una mejora de la productividad, ayudan a los operadores jurídicos a racionalizar y mejorar la prestación de los servicios jurídicos. Esa vocación de practicidad es lo que aporta un valor inmediato a su adopción por parte de los profesionales del Derecho, puesto que su utilización facilita, apoya e incluso sustituye en ciertos casos la ejecución de tareas jurídicas concretas, a menudo las más rutinarias, lo que permite al profesional ahorrar tiempo y dedicarlo a otras actividades de mayor valor añadido.

Más en concreto, podemos destacar como grandes grupos de soluciones los siguientes: 1) las herramientas para que un profesional o despacho lleven la gestión de clientes, asuntos o minutación; 2) los servicios de asesoramiento legal automatizado para los ciudadanos, donde es posible por ejemplo obtener asesoramiento o incluso tramitar reclamaciones sencillas; 3) los marketplaces jurídicos o plataformas que facilitan que el profesional se dé a conocer y que un potencial cliente encuentre al abogado que más le conviene por cercanía o coste, incluso valorando y puntuando el servicio recibido; 4) las empresas de externalización del trabajo jurídico para los despachos y departamentos jurídicos; 5) las herramientas de automatización documental para autogenerar contratos por ejemplo, así como 6) herramientas de e-discovery y revisión documental; 7) análisis predictivo de casos, capaces de predecir decisiones futuras con base en el estudio sistemático de las ya producidas; y 8) todos los servicios en línea para apoyar el aprendizaje y la formación jurídica.

Por todo ello, la transformación digital y la LegalTech remodelarán masivamente la forma de trabajar de todas las profesiones jurídicas. Algunos incluso sugieren que la tecnología –especialmente el perfeccionamiento de la IA– hará que muchos abogados queden obsoletos. Entre otros, Richard Susskind predice que los abogados tradicionales serán “reemplazados en gran parte y a largo plazo por sistemas avanzados, o por trabajadores menos costosos apoyados por tecnología o procesos estándar, o [incluso] por legos armados con herramientas de autoayuda en línea”3. No hay duda de que ambas palancas del cambio automatizarán, informatizarán y racionalizarán rápidamente las tareas manuales y, por lo tanto, reducirán el trabajo de los operadores jurídicos en varias etapas evolutivas. Sus efectos en el flujo de trabajo legal variarán ampliamente según el tipo de trabajo que realicen los juristas, pero impactarán en todos los sectores y niveles, tanto del sector público como del privado.

En realidad, no es tan difícil automatizar tareas jurídicas por la inteligencia de las máquinas, todo depende de lo estructuradas y repetitivas que sean las tareas (por ejemplo, no es lo mismo preparar un contrato de arrendamiento o una petición inicial de un juicio monitorio que redactar un recurso de casación) y de que los imprevistos sean predecibles y controlables. Las tareas que requieren de habilidades profundamente humanas, como la creatividad y la detección y gestión de emociones, son difíciles de automatizar. Por lo tanto, será complicado automatizar funciones como, por ejemplo, el asesoramiento y la comunicación con los clientes, la preparación y comparecencia ante los tribunales, las entrevistas con los demandantes para obtener información relacionada con los procedimientos judiciales o la investigación académica. Cuando el trabajo legal no pueda ser mecanizado, los clientes seguirán recurriendo a un abogado tradicional. Sin embargo, la velocidad con la que se desarrollan los avances en la IA y el aprendizaje automático continuará desafiando nuestras suposiciones sobre lo que es automatizable y en qué horizonte temporal.

En cambio, las tareas de bajo nivel y repetitivas, como la gestión documental y revisión de formularios, la facturación o la contabilidad, para las que apenas se requiere un verdadero asesoramiento jurídico, pronto se automatizarán o subcontratarán. Es probable que el trabajo sin contacto con el cliente, comoditizado y a nivel de proceso, se industrialice y se estandarice utilizando herramientas de LegalTech ya disponibles (por ejemplo la de Derecho Práctico). Muchas otras funciones se automatizarán solo en parte, como la redacción de documentos, la realización de due diligences o la práctica del e-discovery. Gracias a los progresos recientes, veremos que incluso tareas que al principio parecen difíciles de automatizar serán mecanizadas gradualmente con la eventual sustitución del profesional jurídico en lo que se comienza a denominar como Law Tech.

Debido al progreso de la inteligencia artificial, los profesionales del Derecho tendremos la oportunidad de olvidarnos de aquellas ocupaciones rutinarias y repetitivas para centrarnos en las tareas más nucleares, creativas y de alto valor de la práctica legal. Algunos de estos cometidos pueden incluso ser completamente nuevos. La LegalTech ofrece la posibilidad de trasladar el trabajo aburrido a las máquinas. Los abogados podremos participar cada vez más en las partes analíticas, creativas y estratégicas de la práctica jurídica, es decir, nos centraremos en el trabajo más intelectual. Y, por supuesto, los juristas debemos ser parte del diseño y entrenamiento de estas aplicaciones para garantizar su adecuación al Derecho y su operatividad real. En otras palabras, un jurista exitoso del siglo XXI será un profesional que sabe cómo aprovechar las herramientas digitales para llevar a cabo las tareas monótonas de recopilación de datos y cribado de información, y luego aplicar sus destrezas intelectuales para enmarcar cuestiones y argumentos, y brindar un punto de vista sugerente que el software, por sí solo, no puede proporcionar.

El impacto de la digitalización en la profesión jurídica no tiene que ser visto como una batalla entre máquinas y personas. A nuestro juicio, la LegalTech debe considerarse (al menos por el momento) como un facilitador que ayuda a los operadores jurídicos, no como un sustituto de los verdaderos juristas que asesoran a las personas físicas y jurídicas. Habrá una nueva colaboración entre los ordenadores y los operadores jurídicos. Esto no significa, sin embargo, que sigamos trabajando como en épocas anteriores. La digitalización ya está transformando la composición del trabajo y el comportamiento de las profesiones jurídicas, ha alterado las rutinas y los procesos y requiere nuevas formas de estructura organizativa en la prestación de servicios. En resumen, la LegalTech y los demás impulsores de la transformación digital arrumbarán en menos de dos décadas las profesiones jurídicas en su configuración tradicional.

Y, en conexión con lo anterior, la transformación digital de las profesiones jurídicas requiere asimismo integrar la ciberseguridad y la protección de datos también como deber deontológico del operador jurídico por defecto y desde el origen, siendo aquí prioritario la incorporación por todos los despachos de abogados y asesorías jurídicas de las necesarias medidas preventivas de orden tecnológico para reducir la tasa de éxito de los ciberataques y, en última instancia, proteger la información del cliente y mejorar el servicio de defensa prestado a éste.

Conclusiones

Por todo ello, los juristas necesitamos entender las tecnologías, metodologías y conceptos que subyacen a la digitalización, ya que la capacidad de utilizar ésta será una ventaja competitiva que aumentará rápidamente. Debemos comprender sus beneficios y riesgos, y también tenemos que conocer cómo se pueden aplicar las diferentes tecnologías y herramientas para garantizar los mejores resultados de servicio con unos honorarios competitivos. No será suficiente que un profesional aprenda los conocimientos jurídicos en el futuro. Los abogados necesitamos desarrollar una nueva mentalidad y habilidades para asegurarnos de que podemos prestar nuestros servicios de una manera eficiente, lo cual promueve por ejemplo el llamado Legal Design Thinking, una metodología que ayuda a los profesionales del Derecho a transformarse en la nueva era digital.

Para estimular esta nueva mentalidad y destrezas, los operadores jurídicos precisamos al menos de una comprensión básica de la programación informática y de las técnicas y métodos subyacentes que se utilizan en las tecnologías en las que se apoya la transformación digital. Debemos ser capaces de entender qué es el código informático, una blockchain o un smart contract por ejemplo y cómo se encajan en el Derecho. Los juristas tenemos que conocer qué herramientas de LegalTech existen en el marcado y en qué medida podemos utilizarlas en nuestro trabajo diario. Esto significa principalmente destacar que el trabajo jurídico no es monolítico. Es posible descomponer o desagregar el trabajo jurídico en varias tareas sin menoscabar la calidad. La LegalTech trae una nueva actitud de trabajo que fomenta la descomposición de las tareas legales. Al realizar la transformación digital en nuestra organización o despacho, tenemos que discernir si cada tarea debe ser informatizada, estandarizada o automatizada y en qué medida, o si realmente necesita una solución artesanal.

Además, gracias a la transformación digital y a la LegalTech surgirán una serie de nuevas oportunidades y carreras para personas formadas en Derecho. Los servicios legales estandarizados e informatizados requerirán de los llamados “ingenieros de conocimiento legal” para estructurar y modelizar materiales y procesos legales complejos. Estos profesionales desarrollarán normas y procedimientos legales para organizar y representar el conocimiento legal en los sistemas informáticos. Otras personas, bautizadas por Susskind4 como “tecnólogos jurídicos”, tenderán un puente entre el Derecho y la tecnología. El tecnólogo jurídico está formado tanto en Derecho como en tecnología.

Por último, y para asegurar que los profesionales jurídicos estén bien preparados para los desafíos impuestos por la LegalTech y la transformación digital, la enseñanza del Derecho necesita modificar sus técnicas y planes de estudios. Muchas universidades y facultades de Derecho están mal pertrechadas para formar a sus estudiantes en LegalTech y en las aplicaciones y herramientas que ya están disponibles. Las facultades de Derecho tienen que revisar sus planes de estudio como parte de un enfoque interdisciplinario más amplio. Deberían, por ejemplo, introducir conferencias, cursos, seminarios, prácticas y talleres de LegalTech que proporcionen los conocimientos teóricos y prácticos para los futuros trabajos descritos anteriormente. En particular, las universidades tienen que formar a los futuros juristas para que puedan prestar servicios jurídicos de manera más eficaz y eficiente en este contexto.

Esperamos con estas líneas crear una imagen poliédrica del cambio que ya está en marcha en las profesiones jurídicas, así como brindar claves prácticas para afrontar con éxito la transformación digital y la implantación de aquellas herramientas de la Legal Tech que nos ayuden a ser más eficientes. Con estos cambios estaremos a la altura del resto de los sectores que ya han evolucionado. En este momento, y según indica el informe 2019 Future Ready Lawyer (El abogado del futuro), de Wolters Kluwer, que recoge la opinión de más de setecientos profesionales de despachos de abogados, asesorías jurídicas y empresas de Estados Unidos y de toda Europa, sólo un tercio de los abogados (el 34 %) cree que su organización está muy preparada para seguir el ritmo de los cambios en el mercado jurídico. Tanto en Europa como en Norteamérica, los profesionales coinciden en que las dos mayores áreas de transformación están relacionadas con un aumento del uso de la tecnología y una mayor especialización. Sin embargo, tan sólo el 22 % ha empezado a implementar la transformación digital en su organización debido a que les resulta muy difícil adaptarse a la nueva economía digital. No podemos demorar más esta misión.

Moisés Barrio Andrés
Letrado del Consejo de Estado, doctor en Derecho, profesor de Derecho Digital, árbitro y abogado
| @moisesbarrioa  


1 Moisés Barrio Andrés (dir.): Legal Tech. La transformación digital de la abogacía. Editorial Wolters Kluwer, Madrid, 2019.

2 Suits es una serie legal estadounidense creado por Aaron Korsh para USA Network.

3 Richard Susskind: The End of Lawyers, Editorial Oxford University Press, Oxford, 2008, p. 2.

4 Richard Susskind: Tomorrow´s lawyers, OUP 2017, 2.ª edición, pp. 133 y ss.

]]>
<![CDATA[ CIBER elcano No.49 ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ciber-elcano-49-noviembre-2019 2019-11-12T10:02:08Z

Presentamos el número 49 de CIBER elcano con los artículos “La UE ya tiene una evaluación de los riesgos 5G (ahora falta tomar medidas)”, de Félix Arteaga; “La seguridad y la privacidad del blockchain, más allá de la tecnología y las criptomonedas”, de Javier Alonso Lecuit; y “La ciberseguridad aplicada a la automoción”, de Ana I. Ayerbe. Como cada número, ofrecemos una serie de documentos de interés y la agenda.

]]>

La UE ya tiene un análisis de riesgos de las redes 5G (ahora falta tomar medidas)

Félix Arteaga — La Comisión Europea ha consolidado las evaluaciones de riesgos sobre las redes 5G de los Estados miembros en un Informe previo a otro en el que recomendará las medidas a adoptar.

La seguridad y la privacidad del blockchain, más allá de la tecnología y las criptomonedas

Javier Alonso Lecuit — Este ARI ofrece un recorrido sobre los retos en la seguridad y la regulación de la protección de datos de carácter personal que plantea la tecnología blockchain.

La ciberseguridad aplicada a la automoción

Ana I. Ayerbe — La autora analiza el impacto de la ciberseguridad en el sector industrial de la automoción.

Documentos de interés

EU coordinated risk assessment of the cybersecurity of 5G networks

Grupo de Cooperación NIS. Octubre de 2019. Se presenta la evaluación de riesgos y amenazas de las redes de quinta generación realizadas por los Estados miembros, la Comisión y ENISA.

Identificación de operadores de servicios esenciales en la UE

Consejo de la Unión Europea. Octubre 2019. Muestra la identificación de los operadores de servicios esenciales realizadas por cada Estado miembro (132 en España) y analiza las (in)coherencias que dificultan la comparación de las listas de servicios y fragmentan la aplicación de la Directiva NIS.

Annual Review 2019

National Cyber Security Centre. El informe anual recopila los progresos realizados en la ciberseguridad del Reino Unido y los principales incidentes registrados (658) durante 2018.

Guardian of the Galaxy: EU Cyber Sanctions and Norms in Cyberspace

EUISS. Se analiza la viabilidad del régimen de sanciones creado por la UE para fomentar la regulación internacional del ciberespacio y reducir los ciberataques.

Más CIBER elcano

El cazador de cerebros – Ciberataques. La delincuencia digital

El cazador de cerebros – Ciberataques. La delincuencia digital

RTVE. Programa de divulgación permite conocer algunos de los responsables de ciberseguridad, entre ellos los del CNPIC, la OCC o la Unidad de Investigación Tecnológica.

Using 'stalkerware' to spy on a colleague's phone

Using 'stalkerware' to spy on a colleague's phone

Se vende como una aplicación para vigilar a los niños, pero se emplea para conocer la ubicación, relaciones y entorno de cualquier persona a la que se quiera vigilar o acosar.

In the last 10 months, 140 local governments, police stations and hospitals have been held hostage by ransomware attacks

In the last 10 months, 140 local governments, police stations and hospitals have been held hostage by ransomware attacks

Según datos de la CNN, más de 140 centros locales de Estados Unidos se han visto atacados en los últimos 10 meses por una ola de ataques ransomware para pedir rescates.

Agenda

19 noviembre 2019, Security Innovation Day (Madrid, España).

27 noviembre 2019, IV Foro de la Movilidad e IoT (Madrid, España).

27-30 noviembre 2019: CyberCamp19 (Valencia, España).

29-30 de octubre de 2019: Cybersecurity Congress (Barcelona, España).

11-12 diciembre 2019, XIII Jornadas STIC CCN-CERT (Madrid, España)

]]>
<![CDATA[ La UE ya tiene una evaluación de los riesgos 5G (ahora falta tomar medidas) ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/comentario-arteaga-ue-ya-tiene-evaluacion-de-riesgos-5g 2019-11-12T09:45:49Z

La Comisión Europea ha consolidado las evaluaciones de riesgos sobre las redes 5G de los Estados miembros en un Informe previo a otro en el que recomendará las medidas a adoptar.

]]>
La Comisión acaba de hacer público un informe con su análisis de riesgos de la ciberseguridad de las redes de quinta generación (5G), elaborado sobre las valoraciones de los Estados miembros y con la colaboración de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA, por sus siglas en inglés) 1>/sup . En 2016 presentó su plan de acción  para dotar a la UE de unas infraestructuras digitales de quinta generación (5G) cuyo diseño incidía en elementos claves para el despliegue, pero sin contemplar como punto central la seguridad. Sólo posteriormente, y en medio de la creciente controversia geopolítica sobre el despliegue de redes con componentes de Huawei, se ha reconocido la necesidad de evaluar los riesgos de seguridad de las nuevas infraestructuras. En su comunicación de marzo de 2019, se pedía a los Estados miembros que evaluaran la seguridad de las redes 5G para el 30 de junio de 2019 junto con los requisitos de seguridad y los métodos de análisis de riesgos que van a aplicar. La elaboración se realizó a petición del Consejo Europeo del mismo mes para que el Grupo de cooperación NIS pudiera definir a finales de año tanto las medidas necesarias para mitigar los riesgos, como los requisitos mínimos de seguridad exigibles.

“Las nuevas tecnologías 5G aumentan la superficie de exposición de las redes actuales, la sensibilidad y la vulnerabilidad de los componentes ante nuevas amenazas (actores) y riesgos (integridad, disponibilidad y confidencialidad)”.

Las evaluaciones nacionales debían identificar los principales activos, amenazas y actores de las redes 5G, así como la sensibilidad y vulnerabilidad de sus distintos componentes, incluidas las derivadas de las cadenas de suministro. Podían contar para ello con las valoraciones de los reguladores y, en su caso, de los operadores y proveedores asociados a las infraestructuras.

¿Qué es la tecnología 5G? Fuente: Comisión Europea

Las nuevas infraestructuras de red 5G utilizarán tecnologías virtualizadas, cuyos nodos físicos se sustituirán por una nueva arquitectura en la que los protocolos de red se establezcan y ejecuten mediante programas de software (virtualización de funciones de red o NFV) en servidores de carácter general (redes definidas por software o SDN). Este nuevo paradigma ofrece gran flexibilidad, escalabilidad y capacidad de especialización orientadas a proporcionar con agilidad servicios innovadores y especializados, además de mejoras en eficiencia en costes de operación (OPEX) y de inversión (CAPEX) con respecto a las tecnologías actuales. También facilita la actualización y el parcheo del software, pero, en contrapartida, aumenta la exposición de las funciones de red a ciberataques si los desarrolladores del software no integran la seguridad desde el diseño inicial. La virtualización permite segmentar los servicios de red (network slicing) a la medida de los dispositivos finales o las necesidades de los distintos verticales (p. ej. acceso a internet, industria 4.0, redes corporativas, etc.), pero a costa de aumentar la superficie de exposición al riesgo. La descentralización de la arquitectura de red móvil (mobile edge computing) permite reducir la latencia y dotar de inteligencia a una red de acceso 5G muy capilarizada para ofrecer cobertura y capacidad de procesamiento a miles de dispositivos conectados (IoT) a cambio de descentralizar y rebajar las exigencias de los controles de seguridad característicos del núcleo de una red actual.

No son riesgos insalvables, pero, como señala el informe, complican la seguridad porque alargan las cadenas de suministro al incorporar a muchos actores con distintas culturas en ciberseguridad (entre otros, operadores de redes móviles, proveedores de servicios, infraestructuras y contenidos, fabricantes de equipos IT, integradores, proveedores de software y servicios cloud, usuarios finales…). Las nuevas tecnologías 5G aumentan la superficie de exposición de las redes actuales, la sensibilidad y la vulnerabilidad de los componentes ante nuevas amenazas (actores) y riesgos (integridad, disponibilidad y confidencialidad).

En contra de lo que se podía esperar de un informe elaborado en medio de una creciente competencia geopolítica y del que se esperaban identificaciones concretas sobre la evaluación de los escenarios de riesgos y amenazas, resulta bastante genérico y la identificación de amenazas y actores, casi elemental. El informe reconoce que las valoraciones nacionales han identificado, como se les pedía, que “ciertos países fuera de la UE representan una ciberamenaza para sus intereses nacionales”, pero la consolidación de la Comisión adolece de corrección política y no revela cuáles son esos países. El informe identifica como riesgos principales la disrupción local o global de las redes 5G, el espionaje o desvío del tráfico que circula por ellas y la destrucción o alteración de infraestructuras asociadas a ellas, pero no puede evaluar ni la probabilidad ni el impacto de esos riesgos, porque dependen de numerosos factores que se limita a enunciar. Lo mismo ocurre con los actores, a los que se evalúa en función de sus recursos e intenciones, parámetros de difícil objetivación que conducen al lugar común de que los actores estatales o apoyados por los Estados son siempre los más peligrosos.

“los nuevos riesgos y las medidas que adoptar van a crear un modelo de ciberseguridad nuevo en las redes 5G del que se deberán revisar las políticas públicas de regulación, supervisión y atribución de responsabilidades en las cadenas de suministro privadas”.

La evaluación de la sensibilidad (sensitivity) de los componentes de las redes se ordena según su impacto –moderado, alto o crítico– en las funciones del núcleo de red (core network functions), en la gestión y coordinación de recursos de los servicios de red (management and network orchestration), en otros sistemas de gestión (management systems and supporting services), en la red de acceso radio (radio access network), en los puntos de intercambio de tráfico de internet (internetwork exchanges) o en las funciones de la red de transporte y transmisión (transport and transmission functions). En función de la sensibilidad de las categorías anteriores, el informe describe las vulnerabilidades previsibles de las redes 5G. Algunas son comunes a las redes de generaciones anteriores, como la falta de personal cualificado o la debilidad de los controles internos de seguridad, la monodependencia de suministradores y el mantenimiento o el incumplimiento de estándares, aunque añaden a esos viejos problemas un nivel superior de complejidad. 

Finalmente, el informe combina los cuatro elementos anteriores –riesgos, actores, sensibilidad y vulnerabilidad– e identifica los escenarios de riesgo a los que se enfrentan las redes 5G derivados de las cadenas de suministro, los tipos de ataques que afrontar, las medidas de ciberseguridad que adoptar y su interacción con otros sistemas e infraestructuras.

Se espera que el Grupo de cooperación NIS, con el apoyo de ENISA, Europol, BEREC (Body of European Regulators for Electronic Communications) y el Centro de Situación e Inteligencia de la UE aprovechen las mejores prácticas nacionales para elaborar un inventario de riesgos y medidas de respuesta. Entre los primeros deben figurar riesgos que afecten a la cadena de suministro, al control de acceso, al software o a la exposición a problemas regulatorios en terceros países. Entre las medidas se apuntan pruebas de control o certificación de hardware y software y la identificación de suministradores, productos o servicios inseguros.

En conjunto, los nuevos riesgos y las medidas que adoptar van a crear un modelo de ciberseguridad nuevo en las redes 5G del que se deberán revisar las políticas públicas de regulación, supervisión y atribución de responsabilidades en las cadenas de suministro privadas. Dado el esfuerzo inversor que deben realizar los operadores de telecomunicaciones, es previsible que se acentúe la tensión entre la comercialización de la red y sus servicios, y la adecuación de los niveles de ciberseguridad que ya ha experimentado la implantación de las redes de generaciones anteriores. También incrementará la dificultad de armonizar las medidas de supervisión adoptadas en los Estados miembros de la UE para evitar que la red 5G cuente con eslabones vulnerables, especialmente si las cadenas de suministro desbordan sus fronteras, dentro y fuera de la UE. Las medidas a tomar se esperan antes de 2020, coincidiendo con el año en que se acaba la cuenta atrás para implantar las redes 5G en la UE.

Félix Arteaga
Investigador principal, Real Instituto Elcano


1 ENISA está elaborando un informe sobre algunos aspectos técnicos que complementará el informe actual.

]]>
<![CDATA[ La seguridad y la privacidad del blockchain, más allá de la tecnología y las criptomonedas ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari106-2019-alonsolecuit-seguridad-y-privacidad-del-blockchain-mas-alla-de-tecnologia-y-criptomoneda 2019-11-12T09:29:01Z

Este ARI ofrece un recorrido sobre los retos en la seguridad y la regulación de la protección de datos de carácter personal que plantea la tecnología blockchain.

]]>
Tema

El artículo ofrece un recorrido sobre los retos en la seguridad y la regulación de la protección de datos de carácter personal que plantea la tecnología blockchain.

Resumen

La tecnología blockchain vive un momento prometedor en el campo de las inversiones (7.400 millones en startups en 2018, según la Comisión Europea) y las expectativas (gestionará un 10% del PIB mundial en 2025, según el Foro Económico Mundial), a lo que habría que añadir el uso de criptomonedas tales como Bitcoin, Ethereum, Litecoin y Monero. A pesar de esta prometedora perspectiva, el blockchain es una tecnología en construcción que presenta notables retos tecnológicos, jurisdiccionales y jurídicos. Aun siendo conceptualmente segura, su implementación no tiene por qué serlo en igual medida, según evidencian diversos incidentes registrados hasta la fecha, así como los retos que en ocasiones plantea la interpretación y la aplicación de la regulación de datos personales, tales como el derecho a la rectificación o el derecho al olvido.

Análisis

La tecnología blockchain permite realizar transacciones de valor entre usuarios sin que intervengan intermediarios en el proceso, es decir, descentraliza la gestión de las transacciones y presenta a todos sus participantes un mismo libro de registro o base de datos descentralizada (distributed ledger). Las transacciones pueden ser monetarias (criptomonedas) o de otra naturaleza (bienes, información, servicios, etc.) y se desarrollan sobre plataformas cuyos nodos se comunican mediante redes de pares iguales (P2P1) a través de conexiones a Internet. El blockchain ofrece una representación o registro dinámico e inalterable de esas transacciones a lo largo del tiempo que sustituye a intermediarios y autoridades centralizadas de confianza (p. ej. notarios, bancos, aseguradoras, etc.) que respalden las transacciones por la confianza digital que los usuarios han depositado en esta tecnología.

El blockchain ofrece transparencia (todos los participantes pueden ver la totalidad de la información contenida en la base de datos distribuida), compartición y descentralización (una misma copia de la base de datos en todos los nodos), irreversibilidad (una vez registrado un dato, no puede ser modificado o borrado) y desintermediación (sin árbitro central, los participantes toman las decisiones por consenso). La cadena de bloques enlaza la secuencia de transacciones e incorpora una marca de tiempo que da transparencia y trazabilidad a las operaciones sin por ello quebrantar a priori la privacidad de los usuarios (puede conocerse el camino2 y el contenido aunque no siempre sea factible inferir la identidad del usuario). Los actores pueden adoptar tres roles: usuarios con derecho a tener y consultar una copia de la base de datos distribuida (accessors), participantes con derecho a realizar transacciones (participants) y usuarios encargados de validar las transacciones y crear bloques (miners). Todos ellos disponen de una copia validada y única de la base de datos.

Cada plataforma establece sus reglas de participación, operación y gobernanza. Las plataformas pueden ser abiertas (públicas) si son accesibles sin restricciones (permissionless ledgers), como, por ejemplo, la criptomoneda Bitcoin. Son semipúblicas o autorizadas (permissioned ledgers) cuando se condicionan la participación, el derecho a veto de nuevos miembros o la posibilidad de decidir el protocolo de consenso al inicio de la cadena. También pueden ser privadas cuando un actor establece las reglas; en este caso, se desdibuja la diferencia entre una cadena de bloques y un base de datos descentralizada convencional.

El blockchain emplea mecanismos criptográficos de seguridad para acceder, firmar y cifrar las transacciones, los bloques y su encadenado. Las claves privadas pueden estar vinculadas a la identidad de los usuarios o a elementos intermedios; por ejemplo, las carteras digitales con las que la plataforma ofrece el anonimato de las operaciones. Las reglas que ejecutan las transacciones pueden estar establecidas mediante contratos inteligentes3; en el blockchain Ethereum, por ejemplo, aseguran un entendimiento común de la transacción entre las partes, en particular sobre las obligaciones contraídas, ofreciendo una visibilidad probatoria limitada a los interesados (las terceras partes del blockchain ajenas al contrato no tienen acceso a sus estipulaciones o a su cumplimiento).

Determinados nodos de la red se especializan en validar la transacción y escribirla cifrada en el bloque, encadenándolo a los preexistentes una vez completado. Antes de que un nuevo bloque pueda ser agregado a la cadena, su autenticidad ha de ser verificada por un proceso de validación por consenso. El mecanismo de consenso asegura que todas las copias del libro distribuido comparten el mismo estado. Validada la transacción, los nodos “mineros” actualizan la base de datos distribuida mediante la agregación de la transacción al bloque de transacciones en curso (todavía no está definitivamente registrado); cuando este bloque alcanza un número dado de transacciones validadas, los “mineros” proceden a sellarlo e incorporarlo a la cadena, quedando estas transacciones registradas permanentemente.

Los nodos mineros utilizan algoritmos matemáticos para convertir la información de un bloque en un código alfanumérico o hash que enlace al hash del bloque anterior y encadenar los bloques entre sí. Por cada bloque añadido a la cadena, el nodo minero percibe una remuneración en criptomonedas o una participación en el negocio objeto de la transacción; una vez agregado un bloque, éste es inmutable. La participación de los nodos mineros sigue las reglas definidas por cada plataforma relativas al mecanismo de consenso, el cual determina en gran medida la seguridad, fiabilidad, velocidad y coste computacional y energético del proceso.

Los retos tecnológicos

La complejidad, la velocidad de crecimiento, la proliferación de un gran número de plataformas distintas o su alto potencial de negocio dificultan la resolución de retos tecnológicos significativos tales como la escalabilidad, la estandarización o la interoperabilidad, aspectos estos de especial incidencia en la seguridad.

La necesidad de escalabilidad se ve acentuada por el crecimiento exponencial de las principales plataformas públicas (por ejemplo, Bitcoin creció el 450% entre julio de 2012 y julio de 2016). A medida que la red crece, aumenta la competencia para realizar las validaciones, se tarda más tiempo y se incrementa el coste unitario por transacción. Por consiguiente, son necesarios nuevos mecanismos de consenso que reduzcan el tiempo de procesamiento sin comprometer la seguridad.

La necesidad de interoperabilidad se acentúa dadas la proliferación de distintas soluciones y la necesidad de compartir datos entre plataformas o de utilizar monederos electrónicos comunes. El intercambio de datos exige la traducción entre protocolos y la conciliación de distintos mecanismos de consenso, que se ve dificultado por la ausencia de estándares. Más allá de los aspectos técnicos, la interoperabilidad entre plataformas habrá de dar respuesta también a necesidades tales como la facilidad de uso de las aplicaciones y la capacidad para transferir activos, limitar el volumen de transacciones, impedirlas o establecer salvaguardas ante cambios de propiedad fraudulentos.

Un reto tecnológico en permanente debate es la eficiencia energética , dado el elevado consumo intrínseco al blockchain y el significativo coste oculto vinculado a los mecanismos de consenso para la validación y cálculo de bloques realizados por los nodos mineros. Estos factores guardan una relación directa con el impacto medioambiental 4 y determinan la necesidad de protocolos de validación más eficientes y seguros que faciliten la participación en la plataforma blockchain de dispositivos autónomos de limitado consumo, por ejemplo, IIoT en el ámbito industrial.

Blockchain, más allá de las criptomonedas

Existen infinidad de aplicaciones de blockchain actualmente en desarrollo con usos distintos a las criptomonedas en la práctica totalidad de los sectores, lo cual evidencia la transversalidad de esta tecnología, según se refleja en la figura 1. A título de ejemplo, cabe citar el sector financiero (transacciones bancarias entre entidades, medios de pago, pólizas de seguros), el logístico (trazabilidad y gestión de las mercancías), el energético (integración de medios de generación a la red eléctrica), el sanitario y farmacéutico (historiales, gestión médica, trazado de medicamentos), la industria audiovisual (gestión de los derechos a través de la cadena de valor de la obra), el turismo (gestión de reservas, contrataciones, tarifas, acciones de fidelización, gestión de la identidad, seguimiento de equipajes), la industria 4.0 (construcción de comunicaciones seguras en las redes industriales mediante el registro actualizado en tiempo real de los dispositivos IIoT fiables integrados a la red operaciones) o la Administración Pública (gestión de licencias, transacciones, eventos, movimiento de recursos y pagos, gestión de propiedades, gestión de identidades).

Figura 1. Oportunidades estratégicas para el blockchain
Figura 1. Oportunidades estratégicas para el blockchain. Fuente: Jenny Scribani, “The Business Value of the Blockchain”, Visual Capitalist, 30/XI/2018

Cabe señalar la aplicación del blockchain en el ámbito de la identidad digital como sistema para validar identidades de forma irrefutable, segura e inmutable, lo que permitiría a los ciudadanos el control del uso de sus datos por terceros. En el ámbito jurídico y regulatorio, esta tecnología permite trazar el cumplimiento de obligaciones contractuales y normativas, por ejemplo para evidenciar ante el regulador el cumplimiento de las obligaciones de los controladores de datos en el marco del Reglamento General de Protección de Datos (RGPD). En cada sector y empresa, la proliferación de plataformas blockchain tendrá importantes implicaciones económicas (inversión, escala mínima, economías de escala), organizativas (incorporación al diseño de los departamentos de ciberseguridad, cumplimiento y responsables de privacidad) y de gobernanza, así como formativas al ser una tecnología compleja y de uso transversal. En este sentido, el rol de las autoridades públicas y la colaboración público-privada desempeñan un papel clave, tal como evidencian las iniciativas de la Comisión Europea, el Gobierno, las Autonomías o el sector privado con ejemplos como Alastria o entornos de colaboración y supervisión conjunta público-privada con las autoridades regulatorias (regulatory sandboxing).

La seguridad del blockchain

El blockchain es una tecnología conceptualmente segura gracias a su naturaleza distribuida, la irreversibilidad de las transacciones y el uso intensivo de cifrado. Las vulnerabilidades surgen habitualmente como resultado de la implementación de las plataformas y aplicaciones, es decir, se vinculan al desarrollo del código informático, de los protocolos de comunicación o de la simplificación de los mecanismos de validación y consenso de los bloques.

El blockchain es una tecnología reciente y compleja. A pesar de un diseño y revisión exhaustivos del código, no pueden excluirse las vulnerabilidades a consecuencia de errores de programación. Identificadas éstas, resultan especialmente complicadas de parchear sin afectar al servicio debido a la arquitectura distribuida y la inmutabilidad de la cadena de bloques. Las vulnerabilidades se ven acentuadas por la multiplicidad de lenguajes de programación y protocolos, esto es, por la ausencia de estándares tecnológicos. Esta fragmentación ralentiza la curva de madurez de esta tecnología, reduce las posibilidades de detección de errores y de implantación de controles sobre el código y dispersa la experiencia de los desarrolladores, sometidos a una presión constante para acortar los tiempos de entrega.

Asimismo, la integración de las plataformas de blockchain con los sistemas de información que apoyan los procesos de negocio de la empresa o la interoperabilidad entre distintas plataformas de cadenas de bloques es todavía muy incipiente, lo cual limita la eficiencia e incrementa los riesgos de ciberseguridad. Puede tardarse años en alcanzar un grado de madurez y consenso técnico que facilite la convergencia de estándares de seguridad y la interoperabilidad entre plataformas. Por consiguiente, desarrolladores y empresas han de incorporar ineludiblemente metodologías de seguridad por diseño desde las primeras fases de desarrollo contando con la participación de los departamentos de sistemas de información y ciberseguridad.

Las plataformas, servicios y redes comparten riesgos de seguridad con las tecnologías de la información, tales como los de confidencialidad, privacidad, gestión de claves, criptografía, identificación y parcheado de vulnerabilidades o concienciación ante amenazas de ingeniería social. Pero además ofrecen riesgos específicos: 

  • secuestro del mecanismo de consenso mediante la coalición de usuarios (51% attack) o adquisición puntual de gran capacidad de computación en la nube con el fin de alterar la validación (por ejemplo, denegando transacciones o reasignando un activo ya gastado);
  • minado de cadenas laterales o paralelas (sidechains5) al contar con menos capacidad de minería o ante la posibilidad de ataques que puedan bloquear una cadena lateral y revertir la carga transaccional sobrecargando el blockchain raíz;
  • ataques de denegación de servicio distribuidos mediante la inyección de un alto número de transacciones spam (vulnerabilidad acentuada ante la posibilidad de almacenamiento en el blockchain de datos y algoritmos);
  • ataques centrados en las capacidades de la entidad gestora (única) de un blockchain autorizado (permissioned).

A medida que aumenta el número de bloques de una cadena, los nodos mineros tienden a agruparse (pools), ya que disminuye la posibilidad de que un nodo individual selle un bloque y obtenga la recompensa. Esta concentración puede plantear vulnerabilidades de cara a obtener un consenso fiable si la preponderancia de unos pocos pools es dominante en la plataforma.

En relación con el empleo generalizado de smart contracts para llevar a cabo transacciones, éstos se ven expuestos a los errores y vulnerabilidades –más probables en la medida en la que los smart contracts son más complejos– derivados de su codificación y de los de la plataforma de cadena de datos en la que se ejecutan6. Además de errores de programación, las tecnologías blockchain se enfrentan a riesgos que tienen que ver con las técnicas criptográficas que aseguran la confidencialidad y la integridad del registro de las transacciones, tales como la custodia de las claves de acceso del usuario, el alojamiento de los monederos7 o la hipotética ruptura de algoritmos criptográficos mediante computación cuántica en un futuro.

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA, por sus siglas en inglés) proporciona recomendaciones pormenorizadas y buenas prácticas para afrontar las amenazas y retos reseñados8. La mayoría de los incidentes registrados no están directamente vinculados al diseño conceptualmente seguro del blockchain. Por consiguiente, se debería partir de la base de que las plataformas blockchain se ven expuestas a riesgos de ciberseguridad y operativos similares a los de cualquier sistema de información, tal como evidencian numerosos ciberincidentes de gran impacto para los clientes, como los contenidos en el “Informe de Amenazas contra blockchain 2018” de McAfee o el informe de CipherTrace que analiza la actividad delictiva en el mercado de las criptomonedas.

A continuación se hace referencia a algunos incidentes a título de ejemplo:

  • En agosto de 2010, un hacker generó 184.467 millones de bitcoins en una transacción utilizando una vulnerabilidad del código conocida como “incidente por desbordamiento de valor”, solucionada al cabo de horas.
  • En enero de 2018, Coincheck, uno de los operadores de cambio más populares de Japón, perdió 532 millones de dólares en monedas NEM, lo que afectó a 260.000 inversores. Un ciberdelincuente había accedido al ordenador de un empleado e instalado malware para obtener claves de los monederos digitales utilizados en transacciones online inmediatas (hot wallet) y vaciar las cuentas.
  • En marzo de 2018, Schneier on Security se hizo eco de las vulnerabilidades de los smart contracts de plataformas blockchain como Ethereum9.
  • En mayo de 2019, la plataforma Binance sufrió el robo de 41 millones de dólares en bitcoins. Los hackers utilizaron varias técnicas, desde virus hasta phishing, para introducirse en el sistema y acceder a una cartera de bitcoins de la compañía desde la que sus clientes realizaban transacciones.
  • En 2019 el fallecimiento del CEO de un fondo de gestión de criptoactivos provocó la desaparición de las credenciales para acceder a las criptomonedas que administraba, por valor superior a 150 millones de dólares, que se volvieron irrecuperables.

Resulta significativa la gran variedad de incidentes ajenos al diseño conceptual del blockchain, así como el fuerte crecimiento de delitos denunciados: las criptomonedas sustraídas de sitios de intercambios y estafadas a inversores aumentaron más de un 400% en 2018, alcanzando alrededor de 1.700 millones de dólares al cambio. De los 1.700 millones de dólares, 950 millones constituían robos a servicios de intercambio de criptomonedas e infraestructura, como carteras, lo que representa un aumento de casi el 260% frente a los 266 millones de dólares robados en 2017 (Corea del Sur y Japón acaparan el 58% de los robos de sitios de intercambios).

Llegados a este punto, es importante reiterar la importancia de cuidar los aspectos no tecnológicos derivados de incorporar una plataforma blockchain a los procesos de negocio u operaciones, en particular los relativos a los impactos organizativos y de procesos de negocio. Por ejemplo, el departamento de seguridad de la información de la compañía habrá de participar en el diseño de la solución desde su inicio, así como en la implantación, al igual que con cualquier otra plataforma tecnológica.

En un ámbito distinto, la creciente aceptación y el anonimato que caracterizan las transacciones de las nuevas criptodivisas han propiciado el cryptojacking o uso ilegítimo por cibercriminales de la capacidad de procesamiento de equipos informáticos ajenos al blockchain para la obtención fraudulenta de criptomonedas. El cryptojacking detrae recursos (computacionales, de memoria, energéticos) del equipo del usuario afectado para apropiarse de activos de una plataforma blockchain. Se estima10 que en enero de 2018 el número de muestras de este tipo de código dañino rondaba los 94.000, mientras que sólo tres meses más tarde esta cifra llegó a incrementarse un 74%.

El diseño de la privacidad

El blockchain plantea nuevas y complejas cuestiones en torno a la protección de los derechos de la privacidad en el uso de datos de carácter personal y en particular en la aplicación del RGPD cuando las transacciones gestionan datos de carácter personal o bien la información de los bloques hace referencia a datos de carácter personal de los participantes11.

Características tales como la descentralización del procesado y del almacenamiento de los datos dificultan la interpretación del Reglamento. Las autoridades nacionales de regulación e instituciones europeas promueven el análisis regulatorio y emiten directrices e informes que son referencia obligada para desarrolladores. En este ámbito hay que mencionar la contribución del Observatorio y Foro sobre Blockchain de la UE (EU Blockchain Observatory and Forum).

Es importante indicar que el RGPD no evalúa una tecnología en materia de privacidad, sino la manera en que la utilizan los distintos casos de uso y aplicaciones. Por consiguiente, es ineludible iniciar todo diseño de una plataforma o aplicación blockchain realizando un exhaustivo análisis sobre los impactos en privacidad, evaluando la conveniencia de adoptar soluciones alternativas al blockchain más apropiadas o la necesidad y proporcionalidad de las opciones de diseño que se hayan elegido. Por ejemplo, habrá de evaluarse la conveniencia de utilizar un blockchain público, ya que los autorizados y privados plantean menores dificultades regulatorias (por ejemplo, en los blockchain públicos todo usuario puede trazar las transacciones de origen a destino o descargarse el libro de registro, lo que dificulta el ejercicio del derecho al olvido o de rectificación). Igualmente sensible es el uso de contratos inteligentes que puedan ser origen de fugas de datos de carácter personal.

Un blockchain puede contener dos categorías de datos personales: los que permiten la identificación de emisor y receptor de la transacción mediante claves públicas y la información incluida en la transacción relacionada con terceras personas. A partir de esta distinción es de aplicación la metodología de análisis del RGPD (identificación del controlador de los datos, derechos y salvaguardas, gestión de riesgos, etc.). A grandes rasgos, las tensiones regulatorias sobre el RGPD que capitalizan el debate entre autoridades y desarrolladores giran en torno a la identificación de los roles de controlador y de procesador de los datos o qué implicaciones tiene que varios participantes decidan procesar las transacciones conjuntamente junto a las obligaciones derivadas, a la anonimización de los datos de carácter personal y al ejercicio de derechos tales como la rectificación, el borrado, derecho al olvido, la objeción al tratamiento o la portabilidad de datos de carácter personal. Asimismo, el diseño debe prestar especial atención a las obligaciones derivadas de la subcontratación o a las reglas de gobernanza en la transferencia internacional de datos, en particular entre blockchain públicos.

En este sentido, el Observatorio y Foro sobre Blockchain de la UE indica a los desarrolladores cuatro directrices de aplicación general:

  • Iniciar el diseño a alto nivel evitando que el blockchain se convierta en una solución innovadora en busca de problema: ¿cuál es la aportación de valor de la solución para el usuario? ¿Es realmente necesaria una plataforma blockchain? ¿Cómo gestionar los datos?
  • Evitar almacenar datos de carácter personal en el blockchain; utilizar técnicas de ofuscación, cifrado y agregación para anonimizar estos datos.
  • Mantener los datos personales fuera de los bloques siempre que sea posible o utilizar blockchain autorizado o privado; analizar la transferencia de datos de carácter personal al conectar blockchain privados con públicos.
  • Ofrecer total transparencia ante los usuarios sobre el tratamiento de los datos.

Conclusiones

El blockchain es una de las tecnologías de la información más disruptivas, complejas e incipientes, cuyo vertiginoso crecimiento es transversal a todos los sectores de actividad del ámbito público y privado. Más allá de las criptomonedas, cuenta con enorme potencial como paradigma de la descentralización y empoderamiento de personas físicas y jurídicas, junto a no pocos retos regulatorios, jurisdiccionales y tecnológicos tales como la escalabilidad, la interoperabilidad o el impacto medioambiental.

El blockchain es una tecnología conceptualmente muy segura que se ve expuesta en el curso de su implementación a errores y vulnerabilidades propios de cualquier sistema de información, añadidos a los específicos de esta tecnología. A esto se suman los retos de seguridad, interoperabilidad y tecnológicos derivados de su progresiva madurez, complejidad, falta de estandarización y diversidad de protocolos, a los que se superponen las exigencias propias de un vibrante entorno competitivo.

El alineamiento con la regulación del RGPD en este ámbito es una labor compleja y abierta a estudio con el necesario apoyo de las autoridades regulatorias. Ha de ofrecer respuesta, entre otros aspectos, a la identificación de los roles de controlador y de procesador de los datos, la anonimización, el ejercicio de derechos tales como la rectificación, el borrado, derecho al olvido, la objeción al tratamiento o la portabilidad, las obligaciones derivadas de la subcontratación o la transferencia internacional de datos.

En consecuencia, la aplicación de los principios de la seguridad y la privacidad por diseño son ineludibles desde las fases iniciales del diseño junto a consideraciones resultado de integrar la plataforma blockchain a los procesos de negocio u operaciones, como los impactos en la organización y en los procesos de negocio. Afrontar estos retos exige la constitución de equipos multidisciplinares que cuenten con la participación desde el inicio del área jurídica/regulatoria, de ciberseguridad y de sistemas de información de las empresas.

Javier Alonso Lecuit
Miembro del Grupo de Trabajo de Ciberpolítica del Real Instituto Elcano


1 Red P2P (peer-to-peer) o ‘red de pares’ cuyos nodos se comportan como iguales entre sí, sin clientes o servidores fijos.

2 Determinadas criptomonedas (por ejemplo, monero) ofrecen también intrazabilidad.

3 Los smart contracts son contratos cuyas estipulaciones se programan informáticamente para que se puedan ejecutar de forma automática cuando se cumplan las condiciones programadas.

4 Christian Stoll, Lena Kaarssen y Ulrich Gallersdörfer, “The Carbon Footprint of Bitcoin”, MIT Working Paper 18, 2018.

5 Las cadenas de bloques laterales son piezas de software conectadas a la cadena de bloques que se emplean para ejecutar determinadas aplicaciones en la plataforma y evitar que la saturación de una cadena afecte al blockchain en su totalidad. Asimismo, facilita añadir funcionalidades al blockchain a través de una cadena de bloques lateral que, una vez validada, se incorpora al blockchain principal.

6 David Arroyo, Álvaro Rezola y Luis Hernández, “Principales problemas de seguridad en los smart contracts de Ethereum”, XII Jornadas STIC CCN-CERT, diciembre de 2018.

7 El programa que implementa la función de monedero electrónico en el equipo del usuario debe proteger las claves durante la operación y en su almacenamiento y evitar accesos no autorizados, ya que, en caso de sustracción, sería imposible revertir las transacciones fraudulentas realizadas durante el intervalo de tiempo en que la situación pase inadvertida.

8 ENISA, “Distributed Ledger Technology & Cybersecurity. Improving information security in the financial sector”, 18/I/2017.

10 Informe CCN-CERT IA-25/18 sobre cryptojacking, septiembre de 2018, pág. 4.

11 Michèle Finck, “Blockchain and data protection in the EU”, EDPL 1, 2018.

]]>