• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
5   ciberseguridad
 

5 ciberseguridad

on

  • 810 views

 

Statistics

Views

Total Views
810
Views on SlideShare
810
Embed Views
0

Actions

Likes
0
Downloads
31
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    5   ciberseguridad 5 ciberseguridad Document Transcript

    • ASPECTOS REGULATORIOS ASOCIADOS A LACIBERSEGURIDAD. Centro de Conocimiento del Negocio Septiembre de 2009 Comisión de Regulación de Comunicaciones – República de Colombia
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA ÍNDICE 1. ANTECEDENTES ............................................................................................... 5 2. NORMAS DE SEGURIDAD DE ENTES INTERNACIONALES ............................... 6 2.1 Organizaciones Internacionales desarrolladoras de Estándares de seguridad de las TIC ................................................................................................................................. 7 2.1.1 Unión Internacional de Telecomunicaciones – UIT - .......................................... 7 2.1.2 International Electrotechnical Commission –IEC................................................ 9 2.1.3 Internet Engineering Task Force ...................................................................... 10 2.1.4 The 3rd Generation Partnership Project- 3GPP............................................... 11 2.1.5 Alliance for Telecommunications Industry Solutions – ATIS- ........................ 12 2.1.6 The European Telecommunications Standards Institute – ETSI-................. 12 3. AMENAZAS, VULNERABILIDADES Y MECANISMOS DE SEGURIDAD ............ 12 3.1 AMENAZAS............................................................................................................ 13 3.1.1 Amenazas de Autorización .................................................................................. 13 3.1.2 Falsificación IP (IP Spoofing) ............................................................................. 13 3.1.3 Rastreadores de red (Network sniffers) ............................................................ 13 3.1.4 Denegación de servicio - DoS ............................................................................. 14 3.1.5 Ataques en Cadena .............................................................................................. 14 3.1.6 Trampas traseras ................................................................................................. 15 3.1.7 Enmascaramiento, Ataques por Respuesta, Modificación de Mensajes........... 15 3.1.8 Ataques desde el Interior.................................................................................... 15 4. AMENAZAS Y MECANISMOS DE SEGURIDAD EN LAS CAPAS OSI .................. 16 4.1 AMENAZAS CONTRA LA SEGURIDAD ........................................................................ 16 4.1.1. Amenazas accidentales ...................................................................................... 17 4.1.2 Amenazas intencionales...................................................................................... 17 4.1.3 Amenazas pasivas................................................................................................ 17 4.1.4 Amenazas activas ................................................................................................ 17 4.1.5 Tipos específicos de ataque ................................................................................ 17 4.2 SERVICIOS DE SEGURIDAD....................................................................................... 18 4.2.1 Servicio de Autenticación.................................................................................... 19 Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 2 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 4.2.2 Control de acceso ................................................................................................ 19 4.2.3 Confidencialidad de los datos ............................................................................. 19 4.2.4 Confidencialidad del flujo de tráfico................................................................... 19 4.2.5 Integridad de los datos ....................................................................................... 19 4.2.6 No repudio............................................................................................................ 19 4.3 MECANISMOS DE SEGURIDAD .................................................................................. 20 4.3.1 Cifrado .................................................................................................................. 20 4.3.2 Mecanismos de firma digital ............................................................................... 20 4.3.3 Mecanismos de control de acceso ...................................................................... 20 4.3.4 Mecanismos de integridad de los datos ............................................................. 20 4.3.5 Mecanismo de intercambio de autentificación .................................................. 20 4.3.6 Mecanismo de relleno de tráfico......................................................................... 21 4.3.7 Mecanismo de control de encaminamiento ....................................................... 21 4.3.8 Mecanismo de notarización................................................................................. 21 5. SEGURIDAD EN LAS REDES MÓVILES ........................................................... 22 5.1 AMENAZAS Y MECANISMOS DE SEGURIDAD EN REDES MÓVILES ......................... 22 6. DEFINICIONES .............................................................................................. 27 7. NORMAS Y SOLUCIONES DE SEGURIDAD ..................................................... 31 7.1 Normas de Seguridad................................................................................................. 31 7.1.1 ISO/IEC 27001 .................................................................................................... 31 7.1.2 ISM3 ..................................................................................................................... 31 7.1.3 COBIT ................................................................................................................... 32 7.1.4 ITIL ....................................................................................................................... 32 8. ESTADO ACTUAL DE SEGURIDAD EN LAS REDES DE TELECOMUNICACIONES EN COLOMBIA ................................................................................................... 34 8.1 Practicas de Seguridad .............................................................................................. 34 8.2 Políticas de Seguridad ............................................................................................... 39 9. LEGISLACIÓN ................................................................................................ 43 9.1 LEGISLACIÓN INTERNACIONAL................................................................................ 44 9.2 LEGISLACIÓN LATINOAMERICANA........................................................................... 45 9.3 NORMATIVIDAD COLOMBIANA................................................................................. 48 10. ACCIONES REGULATORIAS PROPUESTAS ................................................... 54 10.1 DEFINICIONES - MODIFICACIÓN ARTÍCULO 1.8 RESOLUCIÓN 1740 DE 2007S 55 Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 3 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 10.2 MODIFICACIÓN ARTÍCULO 2.4 RESOLUCIÓN CRT 1740 DE 2007 ....................... 57 10.3 MODIFICACIÓN DE LOS ARTÍCULOS 22 y 23 DE LA RESOLUCIÓN CRT 1732 DE 2007 .................................................................................................................................. 58 11. PARTICIPACIÓN DEL SECTOR ..................................................................... 59 12. BIBLIOGRAFÍA ............................................................................................ 60 Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 4 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA ASPECTOS REGULATORIOS ASOCIADOS A LA CIBERSEGURIDAD. 1. ANTECEDENTES Dentro de este contexto, una de las principales responsabilidades de la Comisión de Regulación de Comunicaciones es aquélla relacionada con la expedición de la regulación asociada a la protección de los derechos de los suscriptores y/o usuarios de los servicios de telecomunicaciones, facultades que fueron otorgadas inicialmente en virtud de la Ley 142 de 1994, el Decreto 1130 de 1999, la Ley 555 de 2000 y el Decreto 2870 de 2007 y, posteriormente, recogidas en la Ley 1341 de 2009, norma que asigna a la CRC la función de fijar el régimen de derechos y obligaciones de los usuarios de todos los servicios de telecomunicaciones, establecer el régimen de regulación que maximice el bienestar social de los usuarios, así como de promover como expresión del poder de intervención del Estado en el sector para lograr condiciones de seguridad de los servicios al usuario final, incentivando acciones de prevención de fraudes en la red, la seguridad informática y de redes para desarrollar las Tecnologías de la Información y las Comunicaciones –TIC-. Dentro de este marco conceptual, la Comisión en el año 2007, publicó para conocimiento del sector y del público en general, el documento titulado Estudio para la implementación de una estrategia nacional de ciberseguridad, elaborado a partir de experiencias e iniciativas internacionales sobre el tema de Ciberseguridad. Adicionalmente, en junio de 2008, la Comisión publicó un documento denominado Recomendaciones para elaborar y adoptar una Estrategia Nacional de Ciberseguridad, con el fin de proporcionar instrumentos idóneos para la colaboración y cooperación sobre la materia entre el gobierno y todos los niveles del sector privado, el cual fue sometido a la consideración del Gobierno Nacional, del sector privado y de la academia. En línea con lo anterior, durante el segundo semestre de 2008 se llevó a cabo una encuesta con operadores de telecomunicaciones sobre el estado de la seguridad informática, la cual permitió comparar, analizar y generar un diagnostico sobre los tipos de mecanismos de seguridad y certificaciones en seguridad informática, así como la existencia de potenciales riesgos de seguridad. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 5 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Por otra parte, se adelantó un estudio sobre la implementación y funcionamiento de un CSIRT1, el cual proporciona elementos de referencia para identificar servicios, políticas y procedimientos apropiados de este tipo de centros que son aplicables a cualquier sector en el ámbito nacional y, en particular, al sector de telecomunicaciones. Dado lo anterior, y teniendo en cuenta que la protección del ciberespacio es un factor de trascendente importancia para preservar la seguridad de la nación y su economía, resulta preciso estudiar los cambios que se han generado sobre estos asuntos y, además, analizar alternativas de modificación o creación de reglas para contribuir desde la perspectiva regulatoria interna. Con el fin de cumplir con lo descrito anteriormente, es necesario considerar las diferentes tendencias mundiales sobre la materia, el estado actual de redes de telecomunicaciones en el país, realizar un análisis de las teorías sobre amenazas, los servicios y mecanismos de seguridad que son implementados en las redes de telecomunicaciones. A su vez, examinar las herramientas de seguridad para la protección a múltiples niveles, las principales herramientas de seguridad en Internet, las tecnologías de seguridad para las comunicaciones móviles, las regulaciones que han sido implementadas en Colombia y en otros países y presentar recomendaciones regulatorias sobre posibles cambios de la regulación actual, de acuerdo con las directrices presentadas en el desarrollo de este documento sobre seguridad en redes de telecomunicaciones. 2. NORMAS DE SEGURIDAD DE ENTES INTERNACIONALES En este capítulo se describen las organizaciones mundiales que desarrollan estándares de seguridad de las TIC de carácter internacional y regional. A su vez, se analizarán los estándares que se encuentran disponibles y los que se encuentran en desarrollo, en temas de seguridad de la información, redes y aplicaciones. 1 Un Equipo de Respuesta a Incidentes de Seguridad (CSIRT) es una organización que es responsable de recibir, revisar y responder a informes y actividad sobre incidentes de seguridad. Sus servicios son generalmente prestados para un área de cobertura definida que podría ser una entidad relacionada u organización de la cual dependen, una corporación, una organización de gobierno o educativa; una región o país, una red de investigación; o un servicio pago para un cliente. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 6 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 2.1 Organizaciones Internacionales desarrolladoras de Estándares de seguridad de las TIC Este numeral contiene información sobre los enfoques de cada una de las organizaciones internacionales encargadas del desarrollo de estándares de seguridad de las TIC, a su vez, se describirán terminologías y vocabulario utilizado en los estándares. Dichas organizaciones se pueden clasificar de la siguiente manera: Las de carácter internacional: • International Telecommunication Union - Telecommunication Standardization Sector (ITU-T) • International Organization for Standardization (ISO) • International Electrotechnical Commission (IEC) Las de carácter regional: • Alliance for Telecommunications Industry Solutions (ATIS) • The European Telecommunications Standards Institute (ETSI) • Regional Asia Information Security Standards Exchange (RAISE Forum) Los foros y cuerpos de seguridad: • Organization for the Advancement of Structured Information Standards (OASIS) • The 3rd Generation Partnership Project 2 (3GPP2) A continuación se describirán las principales normatividades y estándares desarrollados en el área de seguridad de las telecomunicaciones, por las organizaciones antes descritas. 2.1.1 Unión Internacional de Telecomunicaciones – UIT - Grupo de Estudio 17 (SG 17)2 de la UIT-T Este grupo de estudio fue desarrollado para liderar temas de seguridad de las telecomunicaciones en concordancia con lo dispuesto en la última Asamblea Mundial de Estandarización de las Telecomunicaciones (WTSA-08). Las principales actividades que desarrolla este grupo se centran en 2 http://www.itu.int/ITU-T/studygroups/com17/index.asp Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 7 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA mantener material de investigación actualizado sobre temas de seguridad e identificar las principales necesidades en el área de seguridad con el objeto de desarrollar recomendaciones. Dentro del SG 17 existe la cuestión 1/17 en donde se desarrollan soluciones o mecanismos de seguridad. Los demás grupos de estudios de la UIT tienen la obligación de mantener informado al citado grupo sobre trabajos o planes que serán desarrollados y que involucren temas de seguridad. Para el desarrollo de sus actividades, el SG17 está dividido en dos subgrupos (Working Grups) relacionados con seguridad: WP1 Seguridad en Información y Redes (Network and information security); Q 1/17 Proyecto de seguridad de sistemas de telecomunicaciones (Telecommunications systems security project ) Q 2/17 Marco y arquitectura de Seguridad (Security architecture and framework) Q 3/17 Manejo de seguridad de la información en Telecomunicaciones (Telecommunications information security management) Q 4/17 Ciberseguridad (Cybersecurity) Q 5/17 Lucha contra el spam por medios técnicos (Countering spam by technical means) WP2 Seguridad de Aplicaciones (Application security); Q 6/17 Aspectos de seguridad de servicios de telecomunicaciones ubicuos (Security aspects of ubiquitous telecommunication services) Q 7/17 Garantizar servicios de aplicación (Secure application services) Q 8/17 Servicio de arquitectura orientada a la seguridad ( Service oriented architecture security) Q 9/17 Telebiometria (Telebiometrics) En febrero de 2009, el SG17 desarrolló la versión 2.3 del Roadmap3 de seguridad, en donde define los principales estándares sobre seguridad de las TIC. El citado documento es considerado como una actividad continua con la intención de publicar las normas que se encuentran en desarrollo y las que sean publicadas para conocimiento general. 3 El RoadMap (mapa del camino), se usa para comentar el estado actual en el cuál está el desarrollo de los estándares o recomendaciones de seguridad. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 8 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Las principales recomendaciones sobre seguridad realizadas por la UIT se encuentran discriminadas en el Anexo 1 del presente documento. Así mismo, las recomendaciones de seguridad más relevantes en el área de telecomunicaciones serán tratadas en los consiguientes capítulos. 2.1.2 International Electrotechnical Commission –IEC La ISO e IEC hacen parte del sistema especializado para la normalización en todo el mundo. Todos los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de normas internacionales a través de comités técnicos establecidos por la organización para hacer frente a determinados ámbitos de actividad técnica. Al mismo tiempo, la ISO y la IEC colaboran en los comités técnicos de los organismos nacionales ejerciendo una colaboración mutua. Así mismo, otras organizaciones internacionales, gubernamentales y no gubernamentales, aportan al desarrollo de estándares con la ISO y la IEC, En el campo de las TIC, la ISO y la IEC han establecido el Comité Técnico Mixto 1 (ISO / IEC JTC 1), que tiene la responsabilidad de la normalización en el ámbito de las TIC. Dentro del mismo, el subcomité 27 (SC27)4 trata temas relativos a seguridad informática, en áreas tales como técnicas y mecanismos de seguridad, gestión de la información, tecnologías de la información y la seguridad de las comunicaciones, apoyo a la gestión de la documentación (incluida la terminología), las evaluaciones de la conformidad y los criterios de evaluación de las normas de seguridad. Además, incluye la normalización de algoritmos criptográficos para la integridad, autenticación y servicios de no repudio. Las actividades actuales de la SC 27 se dividen en cinco grupos de trabajo, siendo los grupos más relevantes los siguientes: Grupo de Trabajo 1: Sistemas de Gestión de Seguridad de la Información Incluye el desarrollo de ISMS (Information Security Management System) de normas y directrices, abarcando el desarrollo y la actualización de la norma ISO / IEC 27000 ISMS. Así mismo, contempla la identificación de las necesidades para el desarrollo de futuras normas y directrices ISMS. Grupo de Trabajo 2: Criptografía y Mecanismos de Seguridad Tiene como objetivos de trabajo el desarrollar la terminología, los modelos generales, normas técnicas y mecanismos para su uso en servicios de seguridad. El ámbito de aplicación abarca la 4 http://www.jtc1sc27.din.de/cmd?level=tpl-home&contextid=jtc1sc27&languageid=en Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 9 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA confidencialidad, las entidades de autenticación, el manejo de no repudio, la gestión de claves y la integridad de los datos, tales como mensajes de autenticación y firmas digitales. Grupo de Trabajo 4: Controles de seguridad y servicios Abarca el desarrollo y actualización de las normas y directrices sobre los servicios y aplicaciones de apoyo a la aplicación de los objetivos de control definidos en la norma ISO / IEC 27001. Esto incluye seguridad de redes TIC (ISO / IEC 18028), gestión de incidentes de seguridad de la información (ISO / IEC TR 18044), directrices para servicios de recuperación de desastres (ISO / IEC 24762), selección, despliegue y operación de sistemas de detección de intrusos (Intrusion Detection Systems IDS) (ISO / IEC 18043) y control de acceso (UIT-T X.841 I ISO / IEC 15816). Así mismo, contempla aspectos relativos a la identificación de las necesidades para el desarrollo de futuras directrices, en los ámbitos de la continuidad del negocio o servicio y Ciberseguridad. Las principales recomendaciones sobre seguridad elaboradas por la ISO/IEC se encuentran listadas en Anexo 1 del presente documento. Así mismo, las recomendaciones de seguridad más relevantes en el área de telecomunicaciones serán tratadas en los consiguientes capítulos 2.1.3 Internet Engineering Task Force La IETF es una comunidad internacional de diseñadores de red, operadores, vendedores e investigadores interesados en la evolución de la arquitectura de Internet y el buen funcionamiento de ésta. El trabajo técnico de la IETF se hace en grupos que se organizan por temas en varios ámbitos. La IETF celebra reuniones tres veces por año. El Área de Seguridad de la IETF5 se compone de los Directores de Área de Seguridad, que a su vez son asistidos por un Área de Dirección de Seguridad. La Dirección está integrada por los presidentes del grupo de trabajo en el Área de Seguridad y un grupo de individuos que actúan como asesores. El Grupo Asesor de Área de Seguridad es llamado SAAG6, el cual actúa como un foro abierto para las cuestiones de seguridad. Los principales grupos de seguridad de las redes son las siguientes: 5 http://sec.ietf.org/ 6 http://jis.mit.edu/pipermail/saag. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 10 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA • IETF X.509 infraestructura de clave pública • IETF Seguridad en la capa de Transporte (Transport Layer Security (TLS)) • Modelo Integrado de Seguridad para SNMP • Seguridad en Sistemas de Multidifusion (Multicast Security ) • Perfiles de uso de la PKI (Public Key Infrastructure) en IPSEC (Internet Protocol Security) • Capas de seguridad • La Firma Digital XML WG • Seguridad operacional para la infraestructura de redes IP 2.1.4 The 3rd Generation Partnership Project- 3GPP 3GPP fue establecido en diciembre de 1998 y reúne a una serie de órganos creados en virtud de las normas de telecomunicaciones, los socios actuales de esta organización son: • ARIB - Association of Radio Industries and Businesses (Japón) • CCSA - China Communications Standards Association (China) • TIA - Telecommunications Industry Association (Norteamérica) • TTA - Telecommunications Technology Association (Corea del Sur) • TTC - Telecommunications Technology Committee (Japón) El objeto principal de 3GPP se centra en realizar especificaciones técnicas aplicables a nivel mundial enfocadas en sistemas de tercera generación de comunicaciones móviles GSM (3G). El alcance de 3GPP fue posteriormente modificado para incluir la actualización y desarrollo de especificaciones técnicas dirigidas a sistemas como General Packet Radio Service (GPRS) y Enhanced Data rates for GSM Evolution (EDGE). Las principales recomendaciones sobre seguridad realizadas por la 3GPP se encuentran listadas en el Anexo 1. Las recomendaciones de seguridad más relevantes en el área de telecomunicaciones serán tratadas en los consiguientes capítulos. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 11 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 2.1.5 Alliance for Telecommunications Industry Solutions – ATIS- ATIS es un organismo que se ha comprometido a promover el desarrollo de normas técnicas para las TIC, creando soluciones que apoyan el despliegue de nuevos productos y servicios en el mercado de las telecomunicaciones. Sus actividades de normalización en redes alámbricas e inalámbricas incluyen normas de interconexión, portabilidad numérica, transmisión de datos, VoIP, fraude en telecomunicaciones, facturación, entre otros. ATIS está acreditada por la American National Standards Institute (ANSI – Instituto Nacional Americano de Estándares). Las principales recomendaciones sobre seguridad realizadas por ATIS se encuentran discriminadas el Anexo 1. Las recomendaciones de seguridad más relevantes en el área de telecomunicaciones serán tratadas en los consiguientes capítulos. 2.1.6 The European Telecommunications Standards Institute – ETSI- El Instituto Europeo de Normas de Telecomunicación (ETSI) es una organización independiente, sin fines de lucro, cuya misión es elaborar normas sobre temas relacionados a las telecomunicaciones, siendo oficialmente responsable de la normalización de las TIC en Europa. Las principales recomendaciones sobre seguridad realizadas por ETSI se encuentran discriminadas el Anexo 1. Las recomendaciones de seguridad más relevantes en el área de telecomunicaciones serán tratadas en los consiguientes capítulos. 3. AMENAZAS, VULNERABILIDADES Y MECANISMOS DE SEGURIDAD En este capítulo se analizan las principales amenazas, los activos7 y las vulnerabilidades de los principales servicios que prestan las redes de telecomunicaciones. A su vez, se analizan los diferentes mecanismos de seguridad que son implementados en las mismas con el objeto de limitar y prevenir ataques y amenazas. 7 Activo: En relacion a la seguridad de la información, se refiera a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor con la organización . Según la recomendación ISO/IEC 13335-1:2004, Cualquier cosa que tiene valor para la organización. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 12 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 3.1 AMENAZAS De acuerdo con las recomendaciones internacionales sobre las amenazas cibernéticas, es recomendable que los encargados de la seguridad en los proveedores de servicios de telecomunicaciones consideren su red como un recurso al que accederán usuarios que, en general, no son fiables. Los agresores disponen de numerosas herramientas, técnicas y metodologías para generar inestabilidad en las redes. Los piratas pueden emplear estas herramientas para lanzar ataques multinivel con el único objeto de acceder a la red de forma no autorizada. En ocasiones, los agresores explotarán un punto débil de la seguridad y lanzarán ataques secundarios para dañar otras partes de la red [5]. En este numeral se describen las principales técnicas, herramientas y metodologías identificadas y utilizadas por agresores e intrusos para poner en peligro una red. 3.1.1 Amenazas de Autorización El acceso no autorizado a los recursos de una red suele ser el resultado de una configuración inadecuada del sistema y de fallos en la utilización. Los agresores pueden acceder ilegalmente aprovechando la insuficiencia de autenticación y autorización de usuarios y tareas en los sistemas de empresa, o también descuidos de los empleados [6]. 3.1.2 Falsificación IP (IP Spoofing) La falsificación IP es un ataque complejo que se aprovecha de las relaciones de confianza. El agresor asume la identidad de un host o servidor fiable a fin de sabotear la seguridad del servidor objetivo, de tal forma que este último cree que está en comunicación con un servidor confiable. Los ataques de falsificación IP pueden tener éxito porque resulta sencillo falsificar direcciones IP, debido a las limitaciones de las técnicas de autenticación de direcciones basadas en la red. Los ataques de falsificación IP suelen utilizarse como un primer paso para otros ataques, entre otros, la Negación de servicio (DoS). 3.1.3 Rastreadores de red (Network sniffers) En un principio, los rastreadores de red se diseñaron como una ayuda para que los gestores de red pudiesen diagnosticar problemas, realizar análisis o mejorar la calidad de funcionamiento de sus Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 13 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA redes. Los rastreadores de red trabajan en un segmento que no está conmutado, tales como aquellos correspondientes a los segmentos conectados a una central. De esta manera, el rastreador puede ver todo el tráfico de ese segmento. Los atacantes emplean rastreadores para ver la información de usuario y las contraseñas en los paquetes en redes públicas o privadas. En general, los agresores pueden utilizar dichos rastreadores poniendo en peligro la seguridad de la empresa, en la medida que el acceder a la red de paquetes principal permite al agresor determinar configuraciones y modos de funcionamiento que puede aprovechar en un futuro. 3.1.4 Denegación de servicio - DoS Los ataques de denegación de servicio (DoS) tienen por objetivo impedir a los usuarios legítimos de un servicio que lo utilicen. Pueden interrumpir el funcionamiento de una empresa y desconectarla del resto del mundo. Los ataques de denegación de servicio distribuidos utilizan recursos de más de una máquina para lanzar un ataque DoS sincronizado a un determinado recurso. Este tipo de ataques puede impedir a los usuarios legítimos el acceso a los servidores, aplicaciones web y otros recursos de red. Los ataques DoS pueden: • Negar la conectividad de la red a Internet; • Negar la disponibilidad de un elemento de red a los usuarios legítimos; • Negar la disponibilidad de aplicación a los usuarios legítimos. Los ataques DoS explotan los puntos débiles de la arquitectura del sistema atacado. En algunos casos, se explotan los puntos débiles de muchos protocolos comunes, tales como el protocolo de mensajes de control Internet (ICMP, Internet control message protocol). 3.1.5 Ataques en Cadena Los ataques en cadena también se conocen como ataques por intermediario. En este caso, el agresor intercepta mensajes durante el intercambio de clave pública entre un servidor y un cliente. El agresor retransmite los mensajes, sustituyendo su clave pública por la solicitada. Los participantes originales creen que mantienen una comunicación entre ellos. El agresor puede simplemente acceder a los mensajes o modificarlos. Pueden utilizarse rastreadores de red para lanzar este tipo de ataques. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 14 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 3.1.6 Trampas traseras Las puertas traseras son un método rápido de acceder a los recursos de red, y pueden producirse así: • Introducción deliberada en el sistema por sus diseñadores • Introducción por los empleados para facilitar la realización de sus tareas. • Instalación normal del sistema operativo, que no se han eliminado mediante fortalecimiento de las combinaciones ID de usuario/contraseña por defecto para la inscripción. • Introducción por empleados hostiles para poder acceder después del cierre. • Creación a través de la ejecución de un código malicioso, como un virus. 3.1.7 Enmascaramiento, Ataques por Respuesta, Modificación de Mensajes El enmascaramiento consiste en fingir ser personal de mantenimiento o programación válido a fin de acceder a la red. Por ejemplo, el intruso puede modificar datos relacionados con la gestión de la configuración y las capas de señalización de la red, así como la facturación y los datos de uso. Los ataques por respuesta se dan cuando se repite un mensaje, o parte del mismo, para obtener un efecto no autorizado. Por ejemplo, una entidad8 responde un mensaje válido con información de autenticación para autenticarse. La modificación de mensajes ocurre cuando el contenido de una transmisión de datos se altera sin que se detecte y causa un efecto no autorizado. 3.1.8 Ataques desde el Interior Los ataques desde el interior ocurren cuando usuarios legítimos de un sistema se comportan de manera imprevista o no autorizada. Muchos de los delitos informáticos conocidos cuentan con la participación de usuarios internos que ponen en peligro la seguridad del sistema. Se pueden reducir los riesgos de ataques desde el interior escogiendo cuidadosamente al personal y llevando a cabo una vigilancia constante del hardware, el software y la política de seguridad. 8 Según la UIT una entidad puede ser: 1) Un ser humano, una organización, un componente de hardware o un software. 2) Cualquier cosa concreta o abstracta de interés. Aunque en general la palabra entidad puede ser utilizado para referirse a Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 15 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 4. AMENAZAS Y MECANISMOS DE SEGURIDAD EN LAS CAPAS OSI En este capítulo se describirán de forma general los servicios de seguridad y mecanismos relacionados, que pueden ser proporcionados al modelo OSI9 y, a su vez, se definirán las posiciones o ubicaciones dentro de las capas del modelo OSI, en que pueden proporcionarse los mismos. La norma ISO 7498-2, relativa a la Arquitectura de Comunicaciones para la Interconexión de Sistemas Abiertos OSI, trata la arquitectura de seguridad de este modelo de referencia, planteando sistemáticamente el conjunto de procedimientos, servicios y mecanismos de salvaguarda necesarios para proteger los datos durante su transmisión [7]. Para ello incluye una descripción general de los servicios y mecanismos de seguridad que puede proporcionar el modelo y en cuáles de sus siete niveles pueden ofrecerse. Existen tres conceptos fundamentales que se interconectan en la arquitectura de seguridad OSI: 1. Amenazas. 2. Servicios 3. Mecanismos de Seguridad. Cada uno de estos elementos se analiza en las siguientes secciones. 4.1 AMENAZAS CONTRA LA SEGURIDAD De acuerdo a la recomendación UIT X.80010 y la norma ISO 7498-211 , las principales amenazas contra un sistema de comunicación de datos son las siguientes: a) Destrucción de información y/o de otros recursos; b) Corrupción o modificación de información; c) Robo, supresión o pérdida de información y/o de otros recursos; cualquier cosa, en el contexto de la modelización que se reserva para referirse a cosas en el universo de discurso que se inspira. 9 El Modelo OSI es un lineamiento funcional para tareas de comunicaciones que contiene 7 niveles o capas, Nivel Físico, Nivel Enlace de Datos, Nivel de Red, Nivel de Transporte, Nivel Sesión, Nivel Presentación, Nivel Aplicación. 10 Recomendación UIT-T X.800 Arquitectura de seguridad de la interconexión de sistemas abiertos 11 ISO 7498-2. Tratamiento de la información - Interconexión de Sistemas Abiertos - Modelo Básico de Referencia. Parte 2: Arquitectura de Seguridad. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 16 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA d) Revelación de información; e) Interrupción de servicios. Existen varios tipos de amenazas discriminadas por su intención, las cuales pueden ser clasificadas en amenazas accidentales o amenazas intencionales, las cuales a su vez pueden ser activas o pasivas [8]. 4.1.1. Amenazas accidentales Las amenazas accidentales son las que existen sin que haya premeditación. Algunos ejemplos de este tipo de amenazas son: • Fallos del sistema • Equivocaciones en la operación • Errores en los programas. 4.1.2 Amenazas intencionales Las amenazas intencionales pueden ir desde el empleo de instrumentos de monitoreo, hasta ataques sofisticados con un conocimiento especial del sistema. 4.1.3 Amenazas pasivas Las amenazas pasivas son las que, si se concretan, no producirían ninguna modificación de las informaciones contenidas en los sistemas y que no modifican el funcionamiento ni el estado de los mismos. La interceptación para observar informaciones transmitidas por una línea de comunicaciones es una forma de concretar una amenaza pasiva. 4.1.4 Amenazas activas Las amenazas activas contra un sistema conllevan la alteración de información contenida en el mismo, o las modificaciones de su estado u operación. La modificación maliciosa de las tablas de encaminamiento de un sistema por un usuario no autorizado es un ejemplo de amenaza activa. 4.1.5 Tipos específicos de ataque Usurpación de identidad La usurpación de identidad tiene lugar cuando una entidad o persona se hace pasar por otra. Se utiliza generalmente con otras formas de ataque activo, especialmente la reproducción y la Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 17 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA modificación de los mensajes. Una entidad autorizada que tiene pocos privilegios dentro del sistema OSI puede usurpar la identidad de otra para obtener privilegios suplementarios de otra entidad que tiene estos privilegios. Negación de servicio La negación de servicio se produce cuando una entidad o persona no cumple su función propia o actúa de manera que impide a otras entidades cumplir sus funciones propias. El ataque puede ser general, o bien el ataque puede tener un objetivo específico. Ataques del interior Los ataques del interior se producen cuando los usuarios legítimos de un sistema se comportan de manera imprevista o no autorizada. La mayor parte de los delitos conocidos en que han intervenido computadores son cometidos por ataques del interior que han comprometido la seguridad del sistema. Ataques del exterior Los ataques del exterior pueden utilizar las técnicas siguientes: a) Interceptación (activa y pasiva); b) Interceptación de emisiones; c) Usurpación de la identidad de usuarios autorizados del sistema o de componentes del sistema; d) Contorneo de los mecanismos de autenticación o de control de acceso. Caballo de Troya Un “Caballo de Troya” es un programa introducido en el sistema con una doble función, la función autorizada o función por la cual fue creado y, además, la función ilícita o función no autorizada que genera un conflicto en cualquier capa del sistema OSI. 4.2 SERVICIOS DE SEGURIDAD Los servicios de seguridad descritos por la recomendación UIT X.80012 y la norma ISO 7498-213 son servicios de seguridad básicos. Estos servicios se implementan en las capas OSI con el objeto de 12 Recomendación X.800 Arquitectura de seguridad de la interconexión de sistemas abiertos 13 ISO 7498-2. Tratamiento de la información - Interconexión de Sistemas Abiertos - Modelo Básico de Referencia. Parte 2: Arquitectura de Seguridad. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 18 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA satisfacer la política de seguridad y/o las exigencias de los usuarios. Los servicios de autenticación requieren información almacenada localmente y datos que se transfieren con el objeto de facilitar la misma. 4.2.1 Servicio de Autenticación Este servicio proporciona seguridad entre comunicaciones de las capas, y corrobora la capa con la cual se debe realizar la comunicación. Este servicio no proporciona protección contra la duplicación o modificación de las unidades de datos. 4.2.2 Control de acceso Este servicio proporciona protección contra el uso no autorizado de recursos accesibles, y puede aplicarse a diversos tipos de acceso a un recurso, o a todos los accesos al mismo. 4.2.3 Confidencialidad de los datos Estos servicios proporcionan la protección de los datos contra la revelación no autorizada, y puede ser en modo con conexión o sin conexión. 4.2.4 Confidencialidad del flujo de tráfico Este servicio proporciona la protección de la información que pudiera derivarse de la observación de los flujos de tráfico. 4.2.5 Integridad de los datos Estos servicios contrarrestan las amenazas activas detectando la duplicación de datos o cualquier modificación, inserción, supresión o reproducción de un dato específico. 4.2.6 No repudio Este servicio proporciona al destinatario de los datos la prueba del origen de los datos. Esto lo protegerá contra cualquier tentativa del expedidor de negar que ha enviado los datos o su contenido: por otra parte, se proporciona a quien envía los datos la prueba de la entrega de los mismos. Esto lo protegerá contra cualquier tentativa posterior del destinatario de negar que haya recibido los datos o su contenido. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 19 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 4.3 MECANISMOS DE SEGURIDAD Los principales mecanismos de seguridad pueden ser incorporados en una determinada capa OSI y su objeto es el de proporcionar algunos de los servicios descritos en la sección anterior [8]. 4.3.1 Cifrado El cifrado puede proporcionar la confidencialidad de la información de datos o del flujo de tráfico, y puede desempeñar una función en otros mecanismos de seguridad o complementarlos. 4.3.2 Mecanismos de firma digital Estos mecanismos definen dos procedimientos: a) Firma de una unidad de datos; y b) Verificación de una unidad de datos firmada. El primer proceso utiliza información que es privada (es decir, única y confidencial) del firmante. El segundo proceso utiliza procedimientos de información que están disponibles públicamente, pero a partir de los cuales no puede deducirse cuál es la información privada del firmante. 4.3.3 Mecanismos de control de acceso Estos mecanismos pueden utilizar la identidad autenticada de una entidad o información sobre la entidad (tal como la lista de miembros de un conjunto conocido de entidades) o capacidades de la misma, para determinar y aplicar los derechos de acceso de la entidad. Si la entidad intenta utilizar un recurso no autorizado, o bien uno de éstos con un tipo impropio de acceso, la función de control de acceso rechazará la tentativa y puede informar además el incidente, a efectos de generar una alarma y/o anotarlo en el registro de auditoría de seguridad. 4.3.4 Mecanismos de integridad de los datos La integridad de los datos tiene dos aspectos: la integridad de una sola unidad de datos o de un solo campo, y la integridad de un tren de unidades de datos o de campos de unidad de datos. En general, se utilizan diferentes mecanismos para proporcionar estos dos tipos de servicios de integridad, aunque no es práctica la provisión del segundo sin el primero. 4.3.5 Mecanismo de intercambio de autentificación Algunas de las técnicas que pueden aplicarse a los intercambios de autenticación son: Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 20 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA a) utilización de información de autenticación, como contraseñas, suministradas por una entidad expedidora y verificadas, por la entidad receptora; b) técnicas criptográficas; y c) uso de características y/o propiedades de la entidad. 4.3.6 Mecanismo de relleno de tráfico Pueden utilizarse mecanismos de relleno de tráfico para proporcionar diversos niveles de protección contra análisis del tráfico. Este mecanismo puede ser eficaz solamente si el relleno de tráfico está protegido por un servicio de confidencialidad. 4.3.7 Mecanismo de control de encaminamiento Las rutas pueden elegirse dinámicamente o por acuerdo previo con el fin de utilizar sólo subredes, relevadores o enlaces físicamente seguros. Al detectar ataques de manipulación persistentes, los sistemas extremos pueden dar instrucciones al proveedor del servicio de red que establezca una conexión por una ruta diferente. 4.3.8 Mecanismo de notarización Pueden garantizarse las propiedades sobre los datos comunicados entre dos o más entidades, tales como su integridad, origen, fecha y destino, mediante la provisión de un mecanismo de notarización. La seguridad es proporcionada por una tercera parte que actúa como notario, en el que las entidades comunicantes tienen confianza y que mantiene la información necesaria para proporcionar la garantía requerida de una manera verificable. La tabla 1 relaciona los diferentes servicios de seguridad y en que capa del modelo OSI pueden ser implementados (tabla 1) CAPAS OSI CAPA 2 CAPA 1 CAPA 3 CAPA 4 CAPA 5 CAPA 6 CAPA 7 SERVICIOS ENLACE DE FÍSICA RED TRANSPORTE SESIÓN PRESENTACIÓN APLICACIÓN DATOS AUTENTICACIÓN CONTROL DE ACCESO CONFIDENCIALIDAD INTEGRIDAD NO REPUDIO Tabla 1. Relación de Servicios de seguridad y las capas OSI Fuente: Recomendación X.800 de la UIT Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 21 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 5. SEGURIDAD EN LAS REDES MÓVILES A partir de los lineamientos generales expuestos en las secciones anteriores, en este capítulo se describen las amenazas contra la seguridad en las comunicaciones móviles de datos de extremo a extremo y los requisitos de seguridad en relación con el usuario móvil y el proveedor de servicio. Así mismo, se describen técnicas de seguridad en los modelos aplicables a este tipo de comunicaciones. 5.1 AMENAZAS Y MECANISMOS DE SEGURIDAD EN REDES MÓVILES Hoy en día los terminales móviles tienen la capacidad de comunicación de datos y están surgiendo nuevos servicios de aplicación como el comercio electrónico móvil. La seguridad es necesaria, incluso esencial, en el entorno del comercio electrónico. En el contexto de la seguridad de las comunicaciones móviles desde el punto de vista del usuario y del ASP, (application service provider), uno de los aspectos más importantes es la seguridad de las comunicaciones móviles de datos de extremo a extremo entre un terminal móvil y un servidor de aplicación. Para llevar a cabo las funciones de seguridad, se utilizan diversas tecnologías para comunicaciones móviles de datos de extremo a extremo. Éstas se clasifican según la función de seguridad efectuada por la respectiva tecnología y dónde se aplica la misma. Los lugares en los que se aplican dichas tecnologías de seguridad señalan entidades o relaciones entre entidades [7]. La Recomendación UIT-T X.1121 describe dónde aparecen las amenazas de seguridad en modelos de comunicaciones móviles de datos de extremo a extremo. Además, describe los requisitos que se aplican como medida preventiva para una determinada amenaza, y las funciones que satisfacen los requisitos de seguridad [9]. Una determinada tecnología de seguridad móvil puede ejecutar sólo una parte de las funciones de seguridad o ser aplicada a un lugar específico. Por ejemplo, se puede utilizar el algoritmo criptográfico o tecnologías de autenticación biométrica para realizar la función de intercambio de autenticación en la relación entre el usuario y un terminal móvil. La tecnología PKI (infraestructura Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 22 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA de clave pública) se puede utilizar para efectuar todas las funciones de seguridad en las relaciones entre terminal móvil y servidor, terminal móvil y pasarela de seguridad móvil, y servidor y pasarela de seguridad móvil. En la Rec. UIT-T X.1121 se definen dos tipos de modelos de seguridad para el marco de las comunicaciones móviles de datos de extremo a extremo entre un usuario móvil y un ASP: el modelo general (figura 1) y el modelo de pasarela (figura 2). Un usuario móvil utiliza el terminal móvil para acceder a diversos servicios móviles de los ASP. Un ASP proporciona servicios móviles a los usuarios móviles a través de un servidor de aplicación. La pasarela de seguridad del servicio móvil retransmite paquetes de los terminales móviles al servidor de aplicación, transforma un protocolo de comunicaciones de red móvil en un protocolo de red abierta y viceversa. Comunicación de datos Terminal Servidor de móvil aplicación (Usuario (ASP) móvil) Red móvil Red abierta Figura 1. Modelo general de comunicación de datos de extremo a extremo entre un usuario y un ASP Fuente Rec. UIT X.1121 Comunicación Comunicación de datos de datos Terminal Servidor de móvil aplicación (Usuario Pasarela (ASP) móvil) Red de Red móvil seguridad abierta Figura 2 – Modelo de pasarela para las comunicaciones móviles de datos de extremo a extremo entre un usuario móvil y un ASP Fuente Rec. UIT X.1121 Dentro de las amenazas de seguridad que pueden afectar las comunicaciones móviles y los requisitos de seguridad desde el punto de vista del usuario móvil y del ASP, existen dos tipos de amenazas: la general de todas las redes abiertas, y otra específica a las comunicaciones móviles. Las amenazas que pueden afectar la red de comunicaciones móviles de datos de extremo a extremo se muestran en la figura 3. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 23 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Figura 3 – Amenazas para las comunicaciones móviles Fuente Rec. UIT X.1121 Los puntos en donde deben ser situados los mecanismos de seguridad, se pueden observar en la figura 4. Usuario móvil Red Red Pasarela Servidor de aplicación Terminal móvil móvil abierta de seguridad • Intercambio de • Cifrado • Cifrado • Cifrado autenticación • Intercambio de claves • Intercambio de claves • Intercambio de claves • Control de acceso • Firma digital • Firma digital • Firma digital • Control de acceso • Control de acceso • Control de acceso • Integridad de los datos • Integridad de los datos • Integridad de los datos • Intercambio de • Intercambio de • Intercambio de autenticación autenticación autenticación • Atestación Figura 4 –Mecanismos de seguridad requeridas para cada entidad y relación entre entidades Fuente Rec. UIT X.1121 Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 24 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Por su parte, la Recomendación UIT-T X.1122 describe directrices para la construcción de sistemas móviles seguros basados en la tecnología PKI, la cual es de gran utilidad en la medida que permite realizar un gran número de funciones de seguridad (cifrado, firma digital, integridad de datos, etc.) en las comunicaciones móviles de datos extremo a extremo, pero a la vez es necesario adaptarla para su uso en las comunicaciones móviles de datos extremo a extremo [9]. La Tabla 2 muestra la relación entre los requisitos de seguridad y las funciones descritas en la recomendación citada. Tabla 2. Requisitos de seguridad y las funciones en las comunicaciones móviles Fuente. Recomendación X.1121 La Rec. UIT X.1122 define dos modelos de PKI para proporcionar servicios de seguridad a las comunicaciones móviles. El modelo PKI general que no incluye funciones de pasarela de seguridad en las comunicaciones de datos móviles de extremo a extremo, y el modelo PKI de pasarela, donde hay una pasarela de seguridad que conecta la red móvil con la red abierta. En la figura 5 se muestra el modelo PKI general para las comunicaciones móviles de extremo a extremo. La Autoridad de Certificación o CA usuario móvil expide un certificado a este usuario y gestiona un registro donde se almacena la lista de revocación de certificados (CRL, revocation bit) Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 25 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA que ya ha expedido la CA. La Autoridad de Validación o VA de usuario móvil (VA, validation authority) proporciona un servicio de validación de certificados en línea para los usuarios móviles. La CA del ASP expide un certificado al proveedor de servicios de aplicación y gestiona un registro donde se almacena la lista de revocación de certificados que ya ha expedido la CA del ASP. La autoridad de validación del ASP proporciona un servicio de validación de certificados en línea para los certificados de ASP. CA del usuario Registro CA del ASP móvil CA&RA CA RA Registro VA del usuario móvil VA del ASP Terminal Servidor de móvil aplicación (Usuario (ASP) móvil) Red móvil Red abierta Figura 5 – Modelo PKI general para las comunicaciones móviles Fuente. Recomendación X.1122 Hay dos métodos de expedición de certificados, dependiendo de la entidad que genera las claves públicas/privadas. En el primero, la fábrica del terminal móvil genera y fabrica un par de claves criptográficas; en el otro método, el par de claves criptográficas las genera el terminal móvil o una llave protegida contra falsificaciones, por ejemplo una tarjeta inteligente anexa al terminal móvil (figura 6). Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 26 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Fábrica CA del usuario Registro CA 5 Distribuidor del dispositivo (RA) 5 4 Registro 1 VA del usuario móvil 6 RA 2 3 Terminal móvil (usuario) Servidor del ASP Red móvil Red abierta 1 El usuario ordena la compra de un 4 Aplicación del certificado dipositivo 2 Generación de claves 5 Almacenamiento y expedición del certificado 3 Aplicación del certificado 6 Expedición del certificado Figura 6- Expedición de certificados por terminal móvil Fuente. Recomendación X.1122 6. DEFINICIONES La terminología y las definiciones son claves en el desarrollo de una norma de seguridad. Es esencial que los términos utilizados deban ser claros e inequívocos. Una serie de glosarios de seguridad desarrollados por el Grupo de Estudio 17 de la UIT-T insta a que los expertos que participan en el desarrollo de utilizar las definiciones de estos glosarios siempre que sea posible. A continuación se describen los principales glosarios en temas de seguridad de las TIC. Existen varios glosarios de definiciones realizados por entes normalizadores, siendo los más importantes los siguientes: • La UIT-T realizó una recopilación denominada “Compendium of ITU-T approved security definitions extracted from ITU-T recommendations”14 • La ISO realizó dos glosarios, el primero denominado “ISO/IEC JTC 1/SC 27 Terminology “15 y el segundo comprendido en el documento “ISO/IEC JTC1 SC 37 Harmonized Biometric Vocabulary “16 que contiene una lista de definiciones relacionados con biometría. • La RFC suministró un glosario que ofrece definiciones, abreviaturas, y explicaciones de la terminología para la seguridad de sistemas de información. (Internet Security Glossary17) 14 Tomado de la pagina Web de la UIT: http://www.itu.int/dms_pub/itu-t/oth/0A/0D/T0A0D00000A0002MSWE.doc 15 Tomado de la pagina Web de la ISO: http://www.jtc1sc27.din.de/sce/SD6 16 Tomado de la pagina Web de la ISO: http://isotc.iso.org/livelink/livelink/6714484/JTC001-SC37-N- SD_2_version_8.pdf?func=doc.Fetch&nodeid=6714484 17 Tomado de la pagina Web de la RFC: http://www.rfc-editor.org/rfc/rfc4949.txt Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 27 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA • La ETSI entregó el glosario de terminología de seguridad ETR 232 “ETSI Glossary of security terminology ETR 232”18 A continuación se describiran definiciones que han sido tratadas por los entes normalizadores antes descritos y que son relevantes en el tema de ciberseguridad. TERMINO DEFINICION REFERENCIA Causa potencial de un incidente no deseado, el cual puede causar el ISO/IEC 13335-1:2004 daño a un sistema o la organización. UIT 1) 3.3.55/X.800 1) Amenaza de una alteración deliberada y no autorizada de la información que figura en el sistema, o del estado del sistema. Amenaza Nota – Ejemplos de amenazas activas relativas a la seguridad: la modificación de mensajes, la reproducción de mensajes, la inserción de mensajes espurios, la usurpación de identidad (o impostura) de una entidad autorizada, la de negación de servicio, la modificación malintencionada de los cuadros de encaminamiento de un sistema por un usuario no autorizado. Actividades realizadas para obviar los mecanismos de seguridad de UIT un sistema o aprovechar sus deficiencias. Los ataques directos a un 3.4/H.235 sistema aprovechan las deficiencias en los algoritmos, principios o Ataque propiedades subyacentes de un mecanismo de seguridad. Los ataques indirectos obvian el mecanismo, o hacen que el sistema utilice el mecanismo incorrectamente. 1) El proceso de verificación de una identidad. Nota – Véase UIT entidad principal y verificador y las dos formas de autenticación 1) X.811 distintas (autenticación de origen de datos y autenticación de entidad). La autenticación puede ser unilateral o mutua. La autenticación unilateral garantiza la identidad de una sola entidad principal. La autenticación mutua garantiza las identidades de ambas entidades principales. 2) Confirmación de la identidad con que se presenta una entidad. 3) Véase autenticación del origen de datos y autenticación de 2) X.811 entidad par. El término autenticación no se emplea en relación con 3) X.800 Autenticación la integridad de los datos; para ello se emplea el término integridad de datos. 4) La confirmación de la identidad de objetos cuando se va a crear 4) X.217 una asociación. Por ejemplo, las AE, AP, y los usuarios humanos de aplicaciones. Nota – Este término se ha definido así para establecer que se trata de un marco de autenticación más amplio que la autenticación de entidades pares de la Rec. CCITT X.800. 5) Proceso de verificación de la identidad que presenta de una 5) J.170 entidad ante otra entidad. 6) J.93 6)Proceso destinado a permitir al sistema asegurar la identificación de una parte. 1. Atribución de derechos, incluido el acceso basado en los UIT correspondientes derechos. Nota – Esta definición implica la 1) X.800 Autorización concesión de permisos para realizar determinadas actividades (por ejemplo, acceder a datos) y su relación con determinados procesos, entidades o agentes humanos. 18 Tomado de la pagina Web de la ETSI: http://webapp.etsi.org/WorkProgram/Expert/QueryForm.asp Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 28 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA TERMINO DEFINICION REFERENCIA 2. Concesión de permisos sobre la base de identificación 2) H.235 autenticada. 3) J.170 3. Concesión de acceso a un servicio o dispositivo cuando se tiene el permiso para utilizarlo. El caballo de troya introducido en el sistema tiene una función no UIT autorizada, además de su función autorizada. Un relevador que A.2.5.8/X.800 Caballo de Troya también copia mensajes destinados a un canal no autorizado es un caballo de troya. (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos ISO 27000 electrónicos. Se pueden distribuir a través de varios métodos Código malicioso incluyendo el email, Web site, Shareware / freeware y de otros medios tales como material promocional. (Inglés: Confidenciality). Acceso a la información por parte ISO/IEC 13335-1:2004, únicamente de quienes estén autorizados. Según [ISO/IEC 13335- ISO 27000 1:2004]:" característica/propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no Confidencialidad autorizados. UIT: 1) Propiedad que garantiza que la información no se pone a 1) 3.3.16/X.800 disposición ni se divulga a personas, entidades o procesos no autorizados. Disciplina que abarca los principios, medios y métodos para la UIT transformación de los datos con el fin de esconder su contenido de 3.3.20/X.800 información, impedir su modificación no detectada y/o su uso no Criptografía autorizado. Nota – La criptografía determina los métodos utilizados para cifrar y descifrar. El criptoanálisis es un ataque destinado a vencer los principios, medios y métodos criptográficos. El conjunto de herramientas, políticas, conceptos de seguridad, UIT salvaguardas de seguridad, directrices, métodos de gestión de 3.2.5/X.1205 riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Los activos de la organización y los usuarios son los dispositivos informáticos Ciberseguridad conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno. (Inglés: Availability). Acceso a la información y los sistemas de ISO/IEC 13335-1:2004, tratamiento de la misma por parte de los usuarios autorizados ISO 27000 cuando lo requieran. Disponibilidad Según [ISO/IEC 13335-1:2004]: característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada 1. Método utilizado para traducir información en texto legible UIT: a texto cifrado (criptograma). 1) 3(12)/J.170 Encriptación 2. Proceso de aleatorización de señales con el fin de evitar el 2) 3.9/J.93 acceso no autorizado.. 1. Ser humano, organización, elemento de equipos UIT: Entidad informáticos o un programa informático. 1) 3/X.842 2. Cualquier cosa de interés concreta o abstracta. Si bien en 2) 6.1/X.902 Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 29 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA TERMINO DEFINICION REFERENCIA general el término entidad puede emplearse para referirse a cualquier cosa, en el contexto de la modelización se utiliza para referirse a algo que forma parte del proceso modelizado. 1. Datos añadidos a una unidad de datos, o transformación UIT: criptográfica (véase criptografía) de esta última que permite al destinatario comprobar la fuente y la integridad de la unidad de 1) 3.3.26/X.800 datos y proteger contra la falsificación (por ejemplo, por el 2) X.843 destinatario). 2. Transformación criptográfica de una unidad de datos que Firma Digital permite al destinatario comprobar el origen y la integridad de la unidad de datos, y que protege al remitente y al destinatario de la unidad de datos contra la falsificación por parte de terceros, y al remitente contra la falsificación por parte del destinatario. X.800 SPAM Envío de correo masivo no solicitado ISO 27000 Evento único a serie de eventos de seguridad de la información ISO/IEC TR 18044:2004 inesperados o no deseados que poseen una probabilidad Incidente significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información Generalmente enviando correos electrónicos que intentan inducir a ISO 27000 Phishing brindar datos importantes. Redirigir tráfico de la red de un servidor a otra red controlada para ISO 27000 Pharming descubrir códigos de acceso o información confidencial. (Inglés: Integrity). Mantenimiento de la exactitud y completitud de ISO 27000 la información y sus métodos de proceso. Según [ISO/IEC 13335- ISO/IEC 13335-1:2004, Integridad 1:2004]: propiedad/característica de salvaguardar la exactitud y completitud de los activos. (Denial of Service - DoS): Los ataques de negación del servicio se ISO 27000 diseñan generalmente para obstruir sistemas informáticos de red con una inundación de tráfico en la red. Esta inundación del tráfico Negación del tiene a menudo el efecto de negar el acceso al sistema informático Servicio para los usuarios legítimos. El tráfico indeseado se genera a menudo usando los sistemas informáticos inocentes conocidos como zombis, que se ha infectado previamente con código malévolo. 1. Capacidad de evitar que un remitente niegue más tarde UIT haber enviado un mensaje o ejecutado una acción. 1) 3(22)/J.170 2. Impedir que una de las entidades que participa en una 2) 3.13/H.235 comunicación niegue que ha participado en toda la comunicación No Repudio niegue parte de ésta. 3) 3.15/J.93 3. Proceso por el que el remitente de un mensaje (por ejemplo una solicitud sobre un elemento de consulta previo pago) no puede negar que ha enviado el mensaje. (Inglés: Vulnerability). Debilidad en la seguridad de la información ISO 27000 de una organización que potencialmente permite que una amenaza ISO/IEC 13335-1:2004 afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un UIT: Vulnerabilidad activo o conjunto de activos que puede ser explotado por una 1) A.2.1/X.800 amenaza. 1) Cualquier debilidad que podría explotarse con el fin de violar un sistema o la información que contiene. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 30 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 7. NORMAS Y SOLUCIONES DE SEGURIDAD El uso cada vez mayor de las comunicaciones e Internet y las nuevas amenazas de seguridad que cada día aumentan, genera en la industria , el Gobierno y la comunidad en general un interés por la protección de la información, ayudando a su vez a la creación de normas y mejores practicas con el fin de proteger la información. En este capítulo se describen brevemente las normas y las soluciones de seguridad que actualmente están utilizando los operadores y entidades que prestan servicio es Internet a nivel nacional como internacional. 7.1 Normas de Seguridad Las organizaciones que proveen normas o mejores prácticas, enfocan sus esfuerzos en optimizar el uso de los recursos de TIC y reducir los riesgos como brechas de seguridad, fallas de los sistemas críticos y fallas de los proveedores de servicios. A continuación se nombraran las normas más utilizadas en Colombia. 7.1.1 ISO/IEC 27001 La norma NTC ISO/IEC 27001 fue liberada por el Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC en el año 2006, y es una copia idéntica por traducción de la norma ISO/IEC 27001. Esta norma permite diseñar una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos. La norma adopta el modelo de procesos Planificar-Hacer-Verificar- Actuar (PHVA) para estructurar los procesos del Sistema de Gestión de Seguridad de la Información, SGSI. 7.1.2 ISM3 El modelo ISM3v2.00 para la administración de la seguridad de la información extiende los principios de gestión de calidad de la norma ISO 9001 para sistemas de gestión de seguridad de la información. ISM3 está orientado a procesos y utiliza niveles de madurez de capacidad y de cubrimiento. Así mismo, define los procesos de seguridad organizados por nivel estratégico, táctico y operativo, e incorpora en su descripción los siguientes elementos: Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 31 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA • El nivel de la organización responsable por cada conjunto de procesos (estratégico, táctico y operacional) • La justificación del proceso • Entradas del proceso, • Productos del proceso • Dueño del proceso • Métricas ISM3 alinea los objetivos de negocio con los objetivos de seguridad y requiere que la organización defina estos últimos, los cuales se constituyen en base para el diseño, implementación y monitoreo del sistema de gestión de seguridad. ISM3 ha sido desarrollado por ISM3 Consortium y representa los esfuerzos de profesionales de la seguridad, académicos y la industria para proponer alternativas que procuren una mejor gestión de la seguridad de la información. 7.1.3 COBIT Cobit4.1 (Objetivos de Control para la Información y tecnología Relacionada) consiste en un conjunto de documentos clasificados como buenas prácticas generalmente aceptadas para el gobierno de la tecnología de información, el control y el aseguramiento. La primera versión fue liberada por Information Systems Audit. and Control Foundation (ISACF) en 1996. En el año 1998 se liberó la segunda versión con objetivos de control adicionales y las herramientas de implementación. En el año 2000 el IT Governance Institute (ITGI) liberó la tercera versión que incluía las guías administrativas y nuevos objetivos de control. En el 2005 el ITGI publicó Cobit 4.0 con un enfoque al gobierno de TI. La versión actual Cobit 4.1 fue liberada en el 2007. Cobit 4.1 se compone de 4 dominios, 34 procesos y 215 objetivos de control. En la descripción de cada proceso, además de los objetivos de control, se identifican los criterios de información impactados por el proceso, los recursos de TI utilizados, la alineación del proceso con las áreas de gobierno de TI, las entradas, salidas y actividades del proceso, el diagrama RACI, las metas y métricas de proceso y el modelo de madurez para evaluar el proceso. 7.1.4 ITIL ITIL Service Management versión 3 es una serie de 6 libros considerados como mejores prácticas para la administración y garantía de alta calidad en la prestación de servicios de TI. Los libros se titulan: Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 32 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA • Estrategia del servicio • Diseño del servicio • Transición del servicio • Operación del servicio • Mejoramiento continúo del servicio • Introducción Oficial al ciclo de vida del servicio La primera versión de ITIL fue creada en los ochentas por la oficina de Gobierno de Comercio del Reino Unido (OGC), La segunda versión en los 90s y la versión 3 fue liberada a mediados del 2007 con un enfoque orientado al proceso y al ciclo de vida del servicio. A continuación se muestra la tabla 4, en donde se da un breve resumen del propósito y principio de las normas descritas en este capitulo. ISO 27001 ISM3 COBIT ITIL Brindar un modelo para al Prevenir y mitigar ataques, Conjunto de buenas Promover un enfoque da establecimiento, implementación errores y accidentes que prácticas de control y calidad para lograr operación, seguimiento, revisión, puedan comprometer la aseguramiento de TI cuyo efectividad y eficiencia en b mantenimiento y mejora de un seguridad de los sistemas de propósito es asegurar prestación da servicios de TI. sistema de gestión de la seguridad información y los efectividad en la PROPÓSITO de la información (SGSI). procesos organizacionales implementación de TI de que los soportan. Optimizar manera que minimice los el uso de los recursos (la riesgos tecnológicos y información. las inversiones y maximice los beneficios de gastos, las personas, el las inversiones de TI tiempo y la infraestructura). Adhesión a los principios de la OCDE siguientes objetivos básicos El marco de referencia de Administración integrada de para la seguridad de de seguridad: Cobit se basa en el siguiente servicio: • Responsabilidad • El uso de servicios y el principio: "Con el fin de Orientación hacia los clientes • Respuesta acceso a repositorios está proporcionar la información y usuarios de la tecnología • Valoración de riesgos restringido a usuarios que la empresa necesite para • Diseño e Implementación de autorizados; alcanzar sus objetivos, los seguridad • La disponibilidad de los recursos da TI deben ser • Gestión de la seguridad repositorios, servicios y administrados por un • Reevaluación canales excede las conjunto de procesos de expectativas da los clientes: TI agrupados en forma PRINCIPIO • La confiabilidad y el natural” desempeño de los servicios y canales excede las expectativas de los cuentos: • La existencia de repositorios y servicios esta asegurada tanto corro las expectativas de los clientes: • Los repositorios que terminen su ddo de vida son destruidos; Tabla 4. Mapa de Interrelación de Estándares de Seguridad de la Información Fuente: Informe sobre el diseño de un CSIRT para la estrategia de Gobierno en Linea- Ministerio de las TIC. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 33 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 8. ESTADO ACTUAL DE SEGURIDAD EN LAS REDES DE TELECOMUNICACIONES EN COLOMBIA Con el objeto de entender las diferentes amenazas que vienen agrediendo las redes de telecomunicaciones nacionales, es necesario analizar las acciones que están efectuando los operadores nacionales para enfrentar y proteger las redes de actividades que desestabilicen la seguridad del ciberespacio. Para tal efecto, la Comisión de Regulación de Comunicaciones realizó durante el año 2008 una encuesta de seguridad informática cuyo principal objetivo fue comparar, analizar y generar un diagnostico sobre el estado de avance de las políticas de seguridad que han implantado las empresas de telecomunicaciones en Colombia. La encuesta incluyo información sobre los tipos de mecanismos de seguridad, las certificaciones en seguridad informática, el conocimiento sobre la existencia de potenciales riesgos a la seguridad, los presupuestos previstos y/o ejecutados para fortalecer la seguridad informática que poseen en general las entidades prestadoras de servicios de transmisión de datos e Internet. La encuesta fue contestada por 14 operadores, en donde se incluían 15 preguntas, que fueron realizadas en consonancia con las encuestas internacionales como el Australian Computer Crime and Security Survey, el CSI/FBI Computer Crime and Security Survey, el Information Security Breaches Survey, el IBM X-Force- Trend Statistics, Informe de fraude online 2007 y primer semestre 2008 de S21Sec, CISCO Security Index y la Encuesta Nacional de Seguridad Informática de ACIS.[2] En este capítulo se analizarán los resultados obtenidos diferentes encuestas de seguridad informática, como son: la 1ª Encuesta latinoamericana sobre seguridad Informática 2009, desarrollada por el CSIRT-ANTEL de Uruguay, UNIVA de México y la Universidad de los Andes Colombia, la VIII encuesta nacional de Seguridad informática desarrollada por ACIS y la Encuesta de seguridad informática desarrollada por la CRC en el año 2008. 8.1 Practicas de Seguridad Según la encuesta adelantada por la CRC, las principales prácticas de seguridad que utilizan los operadores están enfocadas en la protección contra virus, spam y el acceso no autorizado. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 34 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Las cifras de la encuesta realizada por el regulador colombiano durante el año 2008 muestra que los antivirus, los antispam y las contraseñas son utilizados por la totalidad de las empresas encuestadas (100%) y que, como complemento de lo anterior, los firewalls de hardware, los sistemas de VPN y Proxies son los mecanismos de seguridad más utilizados (92,9%). Estos datos contrastan con el porcentaje de empresas que utilizan ADS (sistemas de protección de anomalías), equivalente al 7,1%. Dichas tendencias son similares a las presentadas en el Information Security Breaches Survey 200819, que presenta como tecnologías más sobresalientes, las siguientes: los firewalls, los antivirus y los sistemas de detección de intrusos. Este mismo informe muestra un marcado interés por las herramientas de computación forense, herramientas que en el país no son muy utilizadas, y que demuestran que la evidencia digital está abriéndose camino en la administración de justicia [2]. Durante el año 2008, las herramientas más utilizadas (Figura 1) correspondían a las contraseñas, los antivirus y Anti-Spam, seguido por las VPN/IPsec y los Firewalls basados en Hardware. Este tipo de herramientas siguieron siendo utilizadas en su mayoría en el 2009 (figura 2). En lo relativo a las fallas de seguridad más comunes en el 2008, se encontró que la más recurrente en los prestadores del servicio de Internet en Colombia, son los Virus (78, 6%). Así mismo, un 50% de los ISPs colombianos que respondieron la encuesta reportaron que fueron agredidos por algún tipo de phishing (Figura 4), y un 42,9% tuvo intrusiones en el acceso a la Web. Por su parte, la negación del servicio se ubicó en el cuarto agresión más común con un 35,7%. En línea con lo anterior, la VIII Encuesta Nacional de Seguridad Informática mostró que en el 2008, el ataque más común correspondió a virus, seguidos por accesos a la Web no autorizados, los caballos de Troya y la negación del servicio (figura 3). 19 http://www.pwc.co.uk/eng/publications/berr_information_security_breaches_survey_2008.html pagina 19. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 35 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA ADS 7,1% Monitoreo 7x24 35,7% Sistemas detección de Intrusos 78,6% Proxies 85,7% VPN / IPsec 92,9% Firmas y Certificados Digitales 57,1% Firewalls Software 78,6% Firewalls Hardware 92,9% Filtro de paquetes 71,4% Encriptación de datos 64,3% Contraseñas 100,0% Anti-Spam Software 100,0% Antivirus Software 100,0% Biométricos 57,1% Smart Cards 42,9% 0,0% 20,0% 40,0% 60,0% 80,0% 100,0% Figura 1. Mecanismos de seguridad informática Fuente: Encuesta de seguridad informática desarrollada por la CRC - 2008 Figura 2. Top (10) Herramientas de seguridad Fuente: VIII Encuesta Nacional de Seguridad informática Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 36 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Figura 3. Fallas de seguridad más comunes20 Fuente: VIII Encuesta Nacional de Seguridad informática Pharm ing 7,1% Phishing 50,0% Perdida de inform ación 21,4% Perdida de integridad 7,1% Negación del servicio 35,7% Monitoreo del trafico 7,1% Caballos de Troya 28,6% Robo de Datos 7,1% Virus 78,6% Fraude 14,3% Accesos a la Web 42,9% aplicaciones de softw are 7,1% Ninguno 14,3% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% Figura 4. Tipos de ataques detectados entre 2007-2008 Fuente: Encuesta de Seguridad Informática desarrollada por la CRC - 2008 20 VIII Encuesta Nacional de Seguridad informatica- ACIS- . Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 37 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA En el tema de pruebas de seguridad, una parte de los operadores adelanta por lo menos una de ellas al año (28,6%), mientras que el 37% realiza de 2 a 4 pruebas por año, y el 28,6% no manifestó llevarlas a cabo (figura 5). En este punto, es pertinente resaltar que las pruebas de seguridad informática ayudan a los encargados de neutralizar los ataques informáticos, mediante la identificación de las nuevas posibilidades que utilizan los intrusos para materializar sus acciones. Al realizar pruebas de seguridad se busca entonces encontrar información sobre nuevas vulnerabilidades y puertos abiertos encontrados. Estas pruebas pueden hacerse online, y arrojan como resultado listas de vulnerabilidades clasificadas por severidad y categoría. 40,0% 35,7% 35,0% 28,6% 28,6% 30,0% 25,0% 20,0% 15,0% 10,0% 7,1% 5,0% 0,0% Una al año 2 y 4 al año Mas de 4 al año Ninguno Figura 5. Numero de pruebas de seguridad informática por año Fuente: Encuesta de Seguridad Informática desarrollada por la CRC - 2008 Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 38 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Figura 6. Numero de pruebas de seguridad informática por año Fuente: VIII Encuesta Nacional de Seguridad Informática- ACIS- . En línea con los datos anteriores, según la VIII Encuesta Nacional de Seguridad Informática desarrollada por ACIS, una gran mayoría de entidades no realiza ningún tipo de prueba, seguido por pruebas entre 2 y 4 al año (figura 6). De otro lado, de acuerdo con el estudio Annual Computer Security Institute (CSI) Computer Crime and Security Survey 2008, durante este año el uso de herramientas forenses fue del 41% y del 65% para Herramientas de vulnerabilidad. En general, las mismas no son normalmente usadas en Colombia. 8.2 Políticas de Seguridad Esta sección indaga sobre aspectos relativos al nivel de formalidad que las empresas le asignan a la implementación de políticas de seguridad en la organización, a los principales obstáculos para lograr un nivel adecuado de seguridad y a los contactos y relaciones que se mantienen con Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 39 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA autoridades nacionales e internacionales en el marco de un esquema de colaboración en casos de respuesta a episodios que comprometan la seguridad como la persecuciones a intrusos. En relación con el nivel de relevancia que otorgan las empresas participantes a las certificaciones, los resultados obtenidos en la encuesta realizada por la CRC, muestran que la mitad de los operadores (50%) no tiene certificación en materia de seguridad informática. Si bien esta cifra puede indicar que para muchos el hecho de estar certificado en materia de seguridad no resulta algo significativo, se considera fundamental hacer un llamado al respecto, y a su vez, crear posibles soluciones sobre las razones por las que no se estima importante obtener una certificación que ayudaría a formar en la empresa una cultura de seguridad cibernética de largo plazo. Las certificaciones CISSP Certified Information Systems Security Professional (35,7%), CISA y CISM Certified Information Security Management (14,3%) son las más utilizadas en el mercado, y otra certificación que se está requiriendo por las entidades encuestadas es la GSEC (GIAC Security Essencitals Certification). El nivel de uso comparativo por tipo de certificación se presenta en la Figura 7. 60,0% 50,0% 50,0% 40,0% 35,7% 30,0% 20,0% 14,3% 14,3% 10,0% 7,1% 0,0% 0,0% 0,0% Ninguna CISSP CISA CISM CFE CIFI CIA Figura 7. Certificaciones en materia de seguridad informática Fuente: Encuesta de Seguridad Informática desarrollada por la CRC - 2008 Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 40 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Figura 8. Estándares más utilizados en materia de seguridad informática Fuente: VIII Encuesta Nacional de Seguridad Informática- ACIS- . Los estándares y normas más utilizadas en seguridad en el área de telecomunicaciones en Colombia son la ISO 270001, COBITA, NIST e ISM3 (figura 8). Estas y otras normas se describirán en el próximo capítulo. La 1ª Encuesta de seguridad en Latinoamérica muestra que estándares de seguridad como ISO 27000, ITIL y el Cobit 4.1, están implementados en las áreas de seguridad de la información o en los departamentos de tecnología informática de las empresas. Estas metodológicas están orientadas a establecer marcos de planeación y acción en temas de tecnologías de información y seguridad que permitan a la organización ordenar la práctica de dichas áreas. [10] Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 41 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Tabla 3. Estándares y buenas prácticas de seguridad Fuente: I Encuesta Latinoamericana de Seguridad de la información 2009. En conclusión, las encuestas de la CRC y de ACIS muestran que las inversiones de las entidades encuestadas en seguridad de la información está enfocadas a la protección de la red y a la protección de los datos críticos, pero dejan a un lado la contratación de personal calificado y la realización de pruebas y evaluaciones de seguridad con regularidad. Así mismo, las certificaciones de los empleados en seguridad informática son mínimas y no enfocan sus esfuerzos a formar al usuario final, que es quién, por desconocimiento en el tema, puede facilitar la realización de acciones ilegales por agentes externos. Bajo este contexto, se estima necesario recomendar el fortalecimiento de los sistemas de gestión de la seguridad de la información de las entidades encuestadas, utilizando para el efecto las referencias contempladas en normas como la ISO/IEC 27001, o en el caso nacional la norma NTC- ISO/IEC 27001 de ICONTEC21. Así mismo, también pueden llegar a adoptarse otras prácticas y normas como la ISM3 v2.00 previamente descrita [2]. De otro lado, para realizar un fortaleciendo del recurso humano en temas de seguridad informática, se deben crear y promover programas de educación formal como especializaciones o maestrías, o 21 ICONTEC www.icontec.org/Catalogo.asp Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 42 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA bien acceder a certificaciones internacionales sobre tecnologías informáticas, como lo son la Certificación CompTIA Security, Cisco, Microsoft y GIAC, entre otras, que son utilizadas y exigidas a nivel mundial. Respecto del desarrollo de políticas de seguridad, debe incrementarse el interés de los directivos en el tema y, en general, buscando mitigar el paradigma según el cual la implementación de las mismas en forma eficiente resulta costosa. Para tal efecto, se debe considerar que dicha apreciación no tiene en cuenta los costos que generan los ataques contra la seguridad22. 9. LEGISLACIÓN Entendiendo que tanto Internet como las TIC generan impactos positivos en donde se incluye una ilimitada posibilidad de mejorar las condiciones humanas, es claro que al mismo tiempo existen impactos dados por fenómenos como la interferencia de las redes y los datos, el robo de información, la divulgación de información privada o protegida, el fraude, robos de identidad, lavado de dinero, phishing, spam y ataques de las infraestructuras críticas de las naciones. Por lo anterior, es necesario admitir que los recursos para abordar el problema de la delincuencia cibernética y garantizar la seguridad de las redes varían dentro de las empresas y entre las naciones, por lo cual se hace necesario disuadir a la delincuencia cibernética, para lo cual a su vez se requiere la cooperación internacional, el intercambio de información, la investigación y la asistencia entre todas las naciones y la armonía mundial en los sistemas jurídicos. Para tal efecto, se hace necesario procesar de manera efectiva los cibercriminales y ciberterroristas generando enfoques comunes para la tipificación de tales actos, así como la correlación con respecto a las cuestiones jurídicas. En este capítulo se describirán tanto las legislaciones internacionales en la materia como la normatividad actual en Colombia. A su vez, se presentan las definiciones de los términos más comunes en ciberseguridad 22 Las tendencias norteamericanas muestran que los ataques cibernéticos generaron en el 2007 perdidas de US$ 7.1 mil millones en el 200722. Así mismo, si bien no existen datos confiables en cuanto al costo de oportunidad potencial que paga la sociedad por causa de la reducción en la confianza y en la aceptación de la utilización de tecnologías de información, debe tenerse en cuenta que según el estudio Financial Aspects of Network Security: Malware and Spam adelantado por la UIT, una parte considerable de usuarios expresó su preocupación e indicó que ha reducido la realización de transacciones en línea22. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 43 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 9.1 LEGISLACIÓN INTERNACIONAL A continuación se presentará una matriz con algunas de las acciones legales en el tema de definiciones, Acceso Ilegal, interceptación Ilegal, Interferencia de Datos y fraude Computacional, que se han desarrollado en los principales países del mundo en el tema de seguridad cibernética (Tabla 5). Acciones CoE Australia Canadá UE Alemania Japón Singapur UK USA India China Legales Definiciones X X X23 X 24 X25 Derecho Penal Sustantivo Acceso Ilegal X X26 X27 X X28 X29 X30 X X31 X32 X33 Interceptación X37 X38 X39 X40 X41 Ilegal X X34 X35 X36 Interferencia X X42 X43 X X44 X45 X46 X X X47 X48 de Datos Fraude X X X49 X X50 X X51 X52 X53 23 CMA, Section 1.2, (“interpretation”). 24 EC Regulations, Section 2. 25 Regulations on Safeguarding Computer Information Systems, Article 2, Feb. 1996. 26 Cybercrime Act 2001; Div 478.1. 27 Canada Criminal Code, Theft, Section 326; Canada Criminal Code, Unauthorized Use of Computer, Section 342.1. 28 StGB, Section 202a (1). 29 conectar un computador a otro computador a través de una línea de telecomunicaciones - debe tener la función de control de acceso 30 CMA, Sections II.3, 4 CMA. 31 Computer Fraud and Abuse Act (USC 18 Section 1030). 32 Information Technology Act of 2000, Section 43(a), (g) and Section 66 (hacking). 33 Criminal Law of the People’s Republic of China, Article 285. 34 Cybercrime Act 2001; Div 478.1. 35 Canada Criminal Code, Interception of Communications, Sections 183-196; Canada Criminal Code, Unauthorized Use of Computer, Section 342.1. 36 Covered in part by section 201 of StGB as well as section 148 and section 89 of the German Telecommunications Act (Telekommunikationgesetz (“TKG”). 37 Sections II.6 CMA. 38 RIPA, Section 1. 39 Wire and Electronic Communications Interception and Interception of Oral Communications, USC 18 Sections 2510-2522. 40 Information Technology Act of 2000, Section 43(b) and Section 66 (hacking). 41 Criminal Law of the People’s Republic of China, Article 252. 42 Cybercrime Act 2001; Div. 478.3. 43 Canada Criminal Code, Mischief, Section 430; Security of Information Act, Section 3(1)(d). 44 StGB, Section 303a. 45 Limitado a la interferencia con una transacción comercial realizada con un sistema informático. 46 CMA, Sections II.5, 7. 47 Information Technology Act of 2000, Section 43(a) and Section 66 (hacking). 48 Criminal Law of the People’s Republic of China, Article 286. 49 Section 263a StGB. 50 Section II.4 CMA. 51 Computer Fraud and Abuse Act (USC 18 Section 1030) 52 Information Technology Act of 2000, partly covered in Section 43 and Section 66 (hacking). Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 44 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Acciones CoE Australia Canadá UE Alemania Japón Singapur UK USA India China Legales Computacional Interceptación del contenido X X X54 X X55 X X X56 de los datos Tabla 5. Matriz de legislación sobre temas de Ciberseguridad Internacional Fuente: ITU Toolkit for Cybercrime Legislation 9.2 LEGISLACIÓN LATINOAMERICANA A nivel latinoamericano las legislaciones están divididas en delitos contra la información y delitos por medios electrónicos. A su vez, los delitos contra la información están subdivididos en acciones de intrusión, alteración y espionaje; y los delitos por medios informáticos en delitos contra la propiedad, la fe pública, la privacidad, las comunicaciones, la propiedad intelectual y la pornografía infantil. En la tabla 10 se describen las legislaciones de diferentes países, su año de expedición y los tipos de delitos que cubre [12]. En Argentina, la Ley 25.326 de 200057, por medio de la cual se protegen los Datos Personales, establece que la divulgación, y en general el tratamiento de los datos de personas, se debe realizar con consentimiento de la misma, de forma exacta y total, y sólo puede ser utilizada para fines compatibles a los que motivaron la obtención de la información. En este sentido, la mencionada Ley dispone que la obtención de datos privados por medios ilícitos sea una violación contra las normas de protección de datos. Así mismo, en Brasil, la Ley 9.983 de julio 7 de 200058 está relacionada con los delitos informáticos y castiga conductas con las cuales se alteren y suministren datos falsos al sistema de la administración pública, así como la divulgación de información privada en este mismo sistema (artículos 313-A inserción de datos falsos dentro de un sistema de información y 313-B Modificación no autorizada o alteración de sistemas de información). En este sentido, en Brasil, la normatividad manifiesta la gravedad de estas conductas incorporándolas al Código Penal y penalizándolas; no 53 Criminal Law of the People’s Republic of China, Article 287 (“or other crimes”). 54 Canada Criminal Code, Section 487(2)1. 55 StPO, Covered in part by section 100g StPO. 56 State Security Law of the People’s Republic of China, Article 10; People’s Police Law of the People’s Republic of China, Article 16. 57 http://www.habeasdata.org/ley25326 58 http://www.cybercrimelaw.net/laws/countries/brazil.html Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 45 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA obstante, la Ley sólo establece que estas conductas son delictivas cuando ponen en peligro la estabilidad de la administración pública, más no contempla situaciones de carácter privado. Delitos Contra La Delitos Por Medios Electrónicos Información PAÍS NORMA AÑO ALTERACIÓN INTRUSIÓN ESPIONAJE PROPIEDAD FE PUBLICA DATOS TIC PORNOGRAFÍA PROPIEDAD PRIVADO INFANTIL INTELECTUAL ARGENTINA LEY 25326 2000 BRASIL LEY 9983 2000 CHILE LEY 19223 1993 LEY 599 2000 COLOMBIA LEY679 2001 LEY 8148 2001 COSTA RICA LEY 8131 2001 ECUADOR L 2002-67 2002 GUATEMALA DEC 33-96 1996 MÉXICO 1999 Ley 26612 1996 PERÚ LEY 27309 2000 LEY 28251 2004 REPUBLICA LEY 53-07 2007 DOMINICANA VENEZUELA DEC 48 2001 Tabla 6. Leyes Latinoamericanas sobre delincuencia cibernética59 Fuente: Documento - Recomendaciones al Gobierno Nacional para la implementación de una Estrategia Nacional de Ciberseguridad – CRC 2007 Ahora bien, en Chile la alteración de datos y el uso indebido de los mismos son las conductas que se incluyen en la Ley 19223 de 1993. En dicha ley se protege la información (datos) contenida en redes informáticas. En concreto, la normatividad sanciona el acceso a información contenida en redes informáticas, siempre que se ejecute con ánimo de apropiación, uso o conocimiento; el daño a los sistemas informáticos y a los datos (hardware); y la divulgación de los datos contenidos en los sistemas [13]. 59 Maresca-cibercrime-buenos-aires-oct-07.pdf Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 46 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA De esta manera, la modificación o destrucción indebida de datos que afecte el contenido de los sistemas de información, no necesariamente el de la Administración Pública, es el delito informático que recibe la máxima pena autorizada para este tipo de conductas, mientras que otros delitos, que igualmente son incluidos en la legislación como el hecho de interceptar, difundir o alterar información de carácter privado, reciben penas en menores grados (Artículos 1,2 y 3). En Costa Rica, la Ley 814860 de 2001, por medio de la cual se reprimen y sancionan delitos informáticos, condena a prisión los delitos de intercepción, modificación y alteración de información ajena que se realicen a través de medios electrónicos por personas encargadas del manejo de soportes electrónicos e informáticos. En Ecuador, el comercio electrónico, las firmas electrónicas y los mensajes de datos, son establecidos por medio de la Ley 2002-6761, en la cual se reconoce la validez jurídica y el carácter de confidencialidad de los mensajes de datos, igualando su valor al de los documentos escritos. A su vez, la citada Ley penaliza infracciones informáticas entre las que cabe la obtención de información confidencial de forma ilícita a través de cualquier medio electrónico, la utilización de esta información de forma no adecuada, y la falsificación electrónica de mensajes ajenos. En Guatemala, la legislación existente se basa en la penalización de delitos por medios electrónicos, y específicamente, la Ley de Derechos de Autor y Derechos Conexos aprobada por medio del Decreto 339862, incluye la protección del software y los registros que se efectúen a través de medios informáticos. En este sentido, la Ley guatemalteca impone sanciones de carácter tanto civil como penal para quien realice o adquiera copias de software sin aceptación previa del autor. En Perú, la legislación relacionada con la ciberseguridad tuvo su inicio en el año 1996 cuando se expidió la Ley 22612 de 1996, la cual contempla la posibilidad que los libros contables y otros originales con repercusión tributaria pudieran ser trasladados a medios magnéticos. Luego, la Ley 27309 de 2000, incorpora los delitos informáticos en el Cogido Penal y establece que aquél que 60 http://delitosinformaticos.com/legislacion/costarica.shtml 61 http://www.davara.com.mx/upload/documents/556/Ley0267EC.pdf 62 http://www.rpi.gob.gt/descargas/LEY%20DERECHO%20DE%20AUTOR%2033-98.pdf Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 47 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA utiliza o ingresa indebidamente a un sistema, recibirá una pena de hasta 2 años de prisión, aunque sí esta información pone en riesgo la seguridad nacional, la penalización contemplada es de 7 años. En República Dominicana se aprobó la Ley 53 de 200763 sobre Crímenes y Delitos de Alta Tecnología, que busca proteger los sistemas que utilicen tecnologías de información y comunicación y su contenido, y sanciona aquellos delitos que alteren el adecuado funcionamiento de dichas tecnologías. En esta ley se le otorgan penas a los siguientes delitos: la alteración, clonación, falsificación de códigos de acceso a sistemas de información, así como a los contenidos. Igualmente, son tipificadas de conductas ilegales el acceso ilícito a sistemas electrónicos, la reproducción y falsificación de programas informáticos, la interceptación de datos, el sabotaje, la obtención, el robo y transferencia de fondos a través de el uso ilícito de códigos de acceso, la estafa que se lleve a cabo por medios electrónicos, la falsedad de documentos y firmas electrónicas, entre otros. 9.3 NORMATIVIDAD COLOMBIANA En cuanto a la normatividad colombiana relacionada con los medios informáticos, la Ley 527 de 1999 define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, establece las entidades de certificación y reconoce el valor jurídico de los mensajes de datos e información en forma electrónica. adicionalmente, determina los requisitos que debe contener la firma en un mensaje de datos, y los mecanismos para identificar a quien inicia el mensaje de datos y que el contenido de éste cuente con su aprobación. El capítulo II de dicha Ley, hace referencia a las entidades encargadas de emitir certificados relacionados con las firmas digitales de personas naturales y jurídicas, así como los certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos, lo cual puede concebirse como una garantía para establecer relaciones electrónicas permanentes y habituales. En el marco de lo anterior, el Decreto 1747 de 2000 introdujo nuevas funciones para las entidades de certificación relacionadas con la obligación de abstenerse de acceder o almacenar la clave privada de un usuario, la obligación de mantener el control de su clave privada y establecer las medidas necesarias para que no sea conocida por el público, garantizar la confidencialidad de la 63 http://www.scribd.com/doc/15267309/Ley-53-07-contra-Crimenes-y-Delitos-de-Alta-Tecnologia Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 48 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA información que no figure en el certificado, capacitar y advertir a los usuarios sobre las medidas de seguridad que deben observar para la utilización de la firma y los certificados digitales, ente otros. De otro lado, la Ley 962 de 2005 dicta disposiciones sobre racionalización de trámites y procedimientos administrativos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan servicios públicos, y establece dentro del objeto y los principios rectores de la administración pública el fortalecimiento tecnológico, con el fin de disminuir los tiempos y costos de realización de los trámites por parte de los administrados. Además, dispone que para atender los trámites y procedimientos de su competencia, los organismos y entidades de la Administración Pública deben ponerlos en conocimiento de los ciudadanos, pudiendo emplear cualquier medio tecnológico o documento electrónico de que dispongan, por lo que podrán implementar las condiciones y requisitos de seguridad que para cada caso sean procedentes. Adicionalmente, debe mencionarse que a principios de 2009, el Congreso de la República de Colombia aprobó la Ley 1273 “Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la Protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”. Esta ley tipificó delitos relacionados con el manejo de datos personales, que se encontraban desprotegidos desde el punto de vista de la legislación penal. La importancia de esta Ley radica en que por primera vez se tipifican ciertos delitos informáticos, para lo cual se encuentra dividida en dos capítulos, a saber: • Capítulo I “De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos” • Capítulo II “De los atentados informáticos y otras infracciones”. Respecto del capítulo I, a nivel de seguridad informática se destacan los siguientes artículos de la citada Ley: “…- Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 49 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor. - Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses. - Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. - Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. - Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes..” Como referente para lo anterior, debe considerarse que la Ley 1266 de 200864 definió el término dato personal de la siguiente forma: “e) Dato personal. Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal. Los datos personales pueden ser públicos, semiprivados o privados;” “- Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que 64 http://www.legislacionyjurisprudencia.com/temas/2008/Ley126631122008.pdf Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 50 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave. La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.” En este último artículo se tipifica el phishing, modalidad a través de la cual, según la Unidad de Delitos Informáticos de la Policía Judicial (DIJÍN), se han generado perdidas monetarias a los usuarios del sistema financiero desde el año 200665. En el artículo 269H de la ley 1273, se agregan circunstancias de agravación punitiva, dentro de las cuales se incluyen aspectos relativos a los sistemas informáticos o de comunicaciones estatales, así: “..ARTÍCULO 269H: CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA: Las penas imponibles de acuerdo con los artículos descritos en este título, se aumentaran de la mitad a las tres cuartas partes si la conducta se cometiere: 1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros. 2. Por servidor publico en ejercicio de sus funciones 3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este. 4. Revelando o dando a conocer el contenido de la informaci6n en perjuicio de otro. 5. Obteniendo provecho para sí o para un tercero. 6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional. 7. Utilizando como instrumento a un tercero de buena fe. 8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales…” En complemento de lo anterior, el capítulo II establece las siguientes medidas: - Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 del Código Penal, es decir, penas de prisión de tres (3) a ocho (8) años. - Artículo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes. 65 Revista CAMBIO http://www.cambio.com.co/tecnologia_cambio/792/ARTICULO-WEB-NOTA_INTERIOR_CAMBIO-4498813.html Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 51 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA En general, se destaca que la importancia de estos dos artículos se centra en el hecho de incorporar al artículo 239 del Código Penal, acciones punibles utilizando medios informáticos, electrónicos ó telemáticos. Dentro de la regulación desarrollada por la Comisión en temas de seguridad, en primer lugar se encuentra la Resolución CRT 1732 de 2007, “Por la cual se expide el Régimen de Protección de los Derechos de los Suscriptores y/o Usuarios de los Servicios de Telecomunicaciones”, norma que dentro de sus considerandos dejó sentado que: “[E]n un escenario convergente de redes y servicios, los servicios comparables desde el punto de vista del usuario no se diferencian desde la óptica regulatoria por el simple hecho de que sean ofrecidos por diferentes canales o plataformas tecnológicas, por lo que la regulación en dichos escenarios debe reconocer los derechos de todos los usuarios, sin lugar a diferenciaciones distintas a las establecidas por la ley. Así mismo, la regulación debe procurar la protección de los usuarios de servicios convergentes a través de la mínima intervención posible, promoviendo de esta manera la consolidación de los mercados en ambiente de convergencia tecnológica y en esta medida, debe proveer herramientas que garanticen el suministro de información relevante para los usuarios, la privacidad de sus datos personales, la confidencialidad de la información en las comunicaciones, la seguridad en las redes y servicios y el mejoramiento continuo de la calidad de los servicios. “(NFT) Teniendo en cuenta esta orientación, en la Resolución CRT 1732 de 2007 se estableció en relación con los riesgos asociados a la red y a los servicios contratados que se encuentren por fuera del ámbito de los instrumentos implementados por los operadores para su control, el deber a cargo de estos últimos de informar a los usuarios respecto de tales riesgos en los siguientes términos: “8.2. Informar al momento de la celebración del contrato, de manera verbal o escrita, sobre los riesgos relativos a la seguridad de la red y del servicio contratado, que escapen a los mecanismos por ellos implantados para evitar su ocurrencia y sobre las acciones a cargo de los usuarios para preservar la seguridad de la red y de las comunicaciones.”66 (NFT) 66 La Resolución CRT 1732 de 2007 establece en su artículo 40, regulación asociada particularmente a los eventos de fraude y cobro de consumos facturados con ocasión de los mismos que son aplicables a todos los servicios de telecomunicaciones: “ARTÍCULO 40. PREVENCIÓN DE FRAUDES. Los operadores de telecomunicaciones deben hacer uso de las herramientas tecnológicas apropiadas para prevenir la comisión de fraudes y hacer seguimiento periódico de los mecanismos adoptados al interior de sus redes para tal fin, información que deberá estar disponible para consulta de la CRT y las autoridades de inspección, vigilancia y control. En todo caso, cuando los usuarios interpongan PQR que puedan tener relación con presuntos fraudes, los operadores deberán adelantar todas las acciones necesarias para identificar las causas que originaron tal requerimiento y, de no ser fundadas, demostrar materialmente al peticionario, las razones por las cuales no procede lo solicitado. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 52 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA De otra parte, el artículo 2.4 de la Resolución CRT 1740 de 2007, determina lo siguiente: “ARTÍCULO 2.4. SEGURIDAD DE LA RED. Los operadores de valor agregado que ofrezcan acceso a Internet deben utilizar los recursos técnicos y logísticos tendientes a garantizar la seguridad de la red y la integridad del servicio, e informar en su página web sobre las acciones adoptadas en relación con el servicio prestado al usuario final, tales como el uso de firewalls, filtros antivirus y la prevención de spam, phishing, entre otras. Esta responsabilidad no cubre los equipos del cliente dado que los mismos son controlados directamente por el usuario del servicio.” (NFT) Esta disposición establece entonces la responsabilidad en cabeza de los operadores, en particular en los de valor agregado que provean acceso a Internet, de destinar recursos de índole técnica y logística con el fin de garantizar la seguridad de la red y la integridad del servicio sin definir en forma explícita las posibles amenazas en relación con estos conceptos. Igualmente, encarga claros deberes de información a los operadores en cuanto a la divulgación referente a la aplicación de medidas. En este punto del análisis, es de mencionar que en la disposición en comento el segmento normativo final se establece una cortapisa a la obligación antes dispuesta, al excluir del objeto de responsabilidad del operador los equipos del cliente, con lo cual el operador es responsable desde el ámbito de la red que controla hasta la interfaz usuario-red. Con todo, la regulación modula esta exclusión estableciendo derechos de información en favor de los usuarios respecto de los riesgos que escapen a las acciones y mecanismos implantados por los operadores para su contención, según los términos establecidos en el artículo 8.2 de la Resolución CRT 1732 de 2007 como se explicó anteriormente. Ahora bien, de acuerdo con las directrices implantadas por la Ley 1341 de 2009, en virtud del principio constitucional de intervención del Estado en el sector de Tecnologías de la Información y las Comunicaciones, se establece en el articulo 4 numeral 4 que el Estado promoverá “condiciones de seguridad del servicio al usuario final, incentivando acciones de prevención de fraudes en la red“67, así como el numeral 11 “la seguridad informática y de redes para desarrollar las Tecnologías de la Información y las Comunicaciones.”68. Cuando se encuentre que el usuario actuó diligentemente en el uso del servicio contratado, cumpliendo con las condiciones de seguridad informadas por el operador según lo previsto en el numeral 8.2 del artículo 8 de la presente resolución, no habrá lugar al cobro de los consumos objeto de reclamación.” 67 Numeral 4, artículo 4º de la Ley 1341 de 2009 68 Numeral 11, artículo 4º de la Ley 1341 de 2009 Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 53 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA “ARTICULO 4.- INTERVENCIÓN DEL ESTADO EN EL SECTOR DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES. En desarrollo de los principios de intervención contenidos en la Constitución Política, el Estado intervendrá en el sector las Tecnologías de la Información y las Comunicaciones para lograr los siguientes fines: … 4. Promover la oferta de mayores capacidades en la conexión, transporte y condiciones de seguridad del servicio al usuario final, incentivando acciones de prevención de fraudes en la red… … 11. Promover la seguridad informática y de redes para desarrollar las Tecnologias de la Información y las Comunicaciones…” Este poder de intervención se concreta en competencias específicas establecidas en la CRC, para expedir toda la regulación concerniente a la protección de usuario. En efecto, el artículo 22 de la Ley 1341 de 2009 determina como función de la Comisión la de expedir regulación relativa a los parámetros de calidad de los servicios (num. 3): “ARTÍCULO 22.- FUNCIONES DE LA COMISIÓN DE REGULACIÓN DE COMUNICACIONES. Son funciones de la Comisión de Regulación de Comunicaciones las siguientes: …3. Expedir toda la regulación de carácter general y particular en las materias relacionadas con el régimen de competencia, los aspectos técnicos y económicos relacionados con la obligación de interconexión y el acceso y uso de instalaciones esenciales, recursos físicos y soportes lógicos necesarios para la interconexión;… Al paso que el artículo 53 de la mencionada Ley dispone que dispone que la CRC es el organismo competente para expedir la regulación en materia de protección al usuario en lo que se refiere a servicios de comunicaciones. De acuerdo con lo anterior, en el marco de las competencias de la Comisión, se considera necesario adelantar medidas generales de carácter regulatorio en materia de seguridad, las cuales se plantean en la siguiente sección. 10. ACCIONES REGULATORIAS PROPUESTAS De acuerdo con lo descrito en el capítulo 2, se considera pertinente a nivel regulatorio establecer definiciones relativas a la terminología asociada a la seguridad de redes de telecomunicaciones. Para tal efecto, se propone tomar como base los glosarios de seguridad desarrollados por el Grupo de Estudio 17 de la UIT-T. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 54 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 10.1 DEFINICIONES - MODIFICACIÓN ARTÍCULO 1.8 RESOLUCIÓN 1740 DE 2007S Por otra parte sobre el artículo 1.8 de la Resolución 1740 de 2007, se recomienda de manera preliminar la adopción de las siguientes definiciones, de tal forma que las mismas sean incluidas en la regulación actual, en línea con las disposiciones internacionales sobre seguridad cibernética. ARTÍCULO 1.8. TÉRMINOS Y DEFINICIONES. Para efectos de la presente Resolución, se adoptan las siguientes definiciones: 1. Acceso a Internet: Acceso físico que incluye todas las funcionalidades y conexiones nacionales y/o internacionales necesarias para permitir a un usuario establecer comunicación con un nodo de Internet, entendido éste último como un punto TIER-1 o un punto de acceso nacional (NAP). 2. Acceso conmutado: Forma de acceso a Internet en la cual la conexión entre el terminal de usuario y el equipo de acceso del operador que presta el acceso a Internet, se hace a través de la marcación sobre una línea telefónica de la red de TPBC. 3. Banda ancha: Es la capacidad de transmisión con ancho de banda suficiente para permitir de manera combinada la provisión de voz, datos y video, ya sea de manera alámbrica o inalámbrica. Para efectos de la comercialización, debe tenerse en cuenta que será considerada una conexión de “banda ancha” aquella en la que las velocidades efectivas de acceso cumplan los siguientes valores mínimos: Sentido de la conexión Velocidad Efectiva Mínima ISP hacia usuario o 512 Kbps “downstream” Usuario hacia ISP o 256 Kbps “upstream” Nota: El valor será aplicado a partir del 1º de enero del año 2008. En el caso de los accesos satelitales la relación Downstream/Upstream es de 4:1. Se entiende como velocidad efectiva aquella garantizada por el ISP en los sentidos del ISP al usuario y del usuario al ISP, incluyendo tanto el segmento de acceso como los canales nacionales e internacionales, y que corresponde al valor mínimo de las mediciones asociadas al parámetro establecido en el numeral 5.2.3 de la recomendación ETSI EG 202 057-4 V1.1.1 (2005-10). 4. Banda angosta: Es la capacidad de transmisión alámbrica o inalámbrica con velocidad efectiva de transmisión de datos inferior a la establecida en la definición de banda ancha. 5. Calidad de servicio (QoS): El efecto global de la calidad de funcionamiento de un servicio que determina el grado de satisfacción del servicio por parte de un usuario. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 55 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 6. Velocidad de Transmisión de Datos: En sistemas digitales corresponde a la cantidad de información que puede ser transmitida en el tiempo a través de un canal de comunicación, expresada en bits por segundo (bps) y sus múltiplos. Parágrafo: La velocidad efectiva asociada a la definición de Banda Ancha podrá ser revisada y actualizada cuando la CRT lo considere apropiado. 7. Autenticación: Proceso destinado a permitir al sistema asegurar la identificación de una parte. 8. Autorización: Atribución de derechos o concesión de permisos para realizar determinadas actividades y su relación con determinados procesos, entidades, personas jurídicas o naturales. 9. Ciberespacio: es el ambiente tanto físico como virtual compuesto por computadores, sistemas computacionales, programas computacionales (software), redes de telecomunicaciones, datos e información que es utilizado para la interacción entre usuarios. 10. Ciberseguridad: El conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno. 11. Confidencialidad: Característica o propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no autorizados. 12. Disponibilidad: Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. 13. Entidad: Persona natural o jurídica, organización, elemento de equipos informáticos o un programa informático. 14. Firma Digital: Transformación criptográfica de una unidad de datos que permite al destinatario comprobar el origen y la integridad de la unidad de datos, y que protege al remitente y al destinatario de la unidad de datos contra la falsificación por parte de terceros, y al remitente contra la falsificación por parte del destinatario. 15. Infraestructura Crítica: es el conjunto de computadores, sistemas computacionales, redes de telecomunicaciones, datos e información, que su destrucción o interferencia puede debilitar o impactar en la seguridad de la economía, salud pública, o la combinación de ellas, en una nación. 16. Integridad: propiedad o característica de salvaguardar la exactitud y completitud de la información y sus métodos de proceso. 17. Interceptación: Es la adquisición, visualización, captura o capia de contenido o parte de contenido, de una comunicación, incluido datos, tráfico de datos, por medio alambrico, Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 56 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA electrónico, óptico, magnético, u otras formas, durante la transmisión de datos por medios electrónicos, mecánicos, ópticos, electromagnéticos. 18. Interferencia: Es la acción de bloquear, esconder, impedir, interrumpir, la confidencialidad, la integridad de programas computacionales, sistemas computacionales, datos, información, mediante la transmisión, daño, borrado, destrucción, alteración o supresión de datos, de programas de computación o trafico de datos. 19. Interrupción: es el evento causado por un programa computacional, una red de telecomunicaciones o sistema computacional que es operado con el objeto de interferir o destruir un programa computacional, una red de telecomunicaciones, datos e información que esta contenga. 20. No Repudio: Impedir que una de las entidades que participa en una comunicación niegue que ha participado en toda la comunicación niegue parte de ésta. 21. Pharming: Redirigir tráfico de la red de un servidor a otra red controlada para descubrir códigos de acceso o información confidencial. 22. Phising: Es la acción de modificar el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda sea un sitio personal, comercial o de confianza. (De acuerdo al Artículo 269G de la ley 1273 de 2009). 23. Software Malicioso (Malware): es un programa computacional que es insertado en un computador o sistemas computacionales, sin autorización, con el objeto de comprometer la confidencialidad, integridad de un sistema computacional, red de telecomunicaciones, datos y tráfico de datos. En donde cubre virus, gusanos, y Troyanos electrónicos, que se pueden distribuir a través de email, Web site, Shareware / freeware. 24. Vulnerabilidad: Cualquier debilidad que podría explotarse con el fin de violar un sistema o la información que contiene. 10.2 MODIFICACIÓN ARTÍCULO 2.4 RESOLUCIÓN CRT 1740 DE 2007 Por otra parte, sobre el artículo 2.4 de la Resolución CRT 1740 de 2007, se recomienda de manera preliminar la siguiente modificación, de acuerdo a las normas de seguridad descritas en el capítulo 8 de este documento: “ARTÍCULO 2.4. SEGURIDAD DE LA RED. Los proveedores de redes y/o servicios de telecomunicaciones que ofrezcan acceso a Internet deben utilizar los recursos técnicos y logísticos tendientes a garantizar la seguridad de la red, y la integridad del servicio, para evitar la interceptación, interrupción, e interferencia del mismo. Para tal efecto, deberán informar en su página web sobre las acciones adoptadas en relación con el servicio prestado al usuario final, tales como el uso de firewalls, filtros antivirus y la prevención de spam, phishing, malware entre otras. Esta responsabilidad no cubre los equipos del cliente, dado que los mismos son controlados directamente por el usuario del servicio. Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 57 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA Estos proveedores deberán implementar soluciones de acuerdo con los marcos de seguridad definidos por la UIT en lo que respecta a las recomendaciones pertenecientes a la serie X.810 dictadas por este organismo, al menos en relación con los siguientes aspectos: 1) Autenticación: Verificación de identidad tanto de usuarios, dispositivos, servicios y aplicaciones. La información utilizada para la identificación, la autenticación y la autorización debe estar protegida (Recomendación UIT X.811). 2) Acceso: Prevenir la utilización no autorizada de un recurso, El control de acceso debe garantizar que sólo los usuarios o los dispositivos autorizados puedan acceder a los elementos de red, la información almacenada, los flujos de información, los servicios y aplicaciones. (Recomendación X.812) 3) No Repudio: Creación de pruebas que más adelante se puedan utilizar para demostrar la falsedad de un argumento. En términos más generales, el concepto de no repudio de creación, presentación, almacenamiento, transmisión y recepción de datos. (Recomendación X.813) 4) Confidencialidad: Garantizar que la información no se divulgará ni se pondrá a disposición de individuos, entidades o procesos no autorizados. (Recomendación X.814) 5) Integridad: Garantizar que los datos no han sido alterados sin autorización. incluyendo la consulta, la transferencia y la gestión de información. (Recomendación X.815) Los proveedores de redes y servicios de telecomunicaciones a través de redes móviles, además de las soluciones de seguridad antes descritas, deberán implementar modelos de seguridad que eviten el acceso no autorizado, la interrupción, el repudio o la interferencia deliberada de la comunicación, utilizando modelos de cifrados, firmas digitales y controles de acceso descritas en las recomendaciones UIT Rec. X.1121 y Rec. X.1122. 10.3 MODIFICACIÓN DE LOS ARTÍCULOS 22 y 23 DE LA RESOLUCIÓN CRT 1732 DE 2007 Sobre los artículos 22 y 23 de la Resolución CRT 1732 de 2007, se recomienda la siguiente modificación, de acuerdo a las normas y directrices de seguridad mencionadas en este documento ARTÍCULO 22. INVIOLABILIDAD DE LAS COMUNICACIONES. Los proveedores de redes y/o servicios de telecomunicaciones deben adoptar todas las medidas de seguridad requeridas para garantizar la inviolabilidad, confidencialidad, integridad y no repudio de las comunicaciones, la información que se curse a través de ellas y los datos personales de los suscriptores y/o usuarios, en lo referente a la red y servicios suministrados por dichos operadores. El secreto de las telecomunicaciones se extiende Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 58 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA a las comunicaciones de voz, datos, sonidos o imágenes y a la divulgación o utilización no autorizada de la existencia o contenido de las mismas. Salvo orden emitida por autoridad competente, proveedores de redes y/o servicios de telecomunicaciones no pueden permitir, por acción u omisión, la interceptación, violación o repudio de las comunicaciones que cursen por sus redes. Si la violación proviene de un tercero, el proveedor de redes y/o servicios de telecomunicaciones debe tomar de inmediato las medidas necesarias y tecnológicamente disponibles para que la conducta cese y denunciar ante las autoridades competentes la presunta violación. ARTÍCULO 23. SEGURIDAD DE LOS DATOS E INFORMACIONES. Los proveedores de redes y/o servicios de telecomunicaciones adoptarán mecanismos que garanticen el manejo confidencial, la integridad de los datos de los suscriptores y/o usuarios, los cuales sólo pueden ser intercambiados con otros proveedores , para efectos de la prevención y control de fraudes en las telecomunicaciones y el cumplimiento de las obligaciones regulatorias que así lo exijan. Así mismo, deben garantizar la confidencialidad y la Integridad de la información que se curse en las comunicaciones que para su establecimiento hacen uso de sus redes. Los datos suministrados por los suscriptores y/o usuarios para efectos de la adquisición de servicios o la atención de peticiones, no pueden ser usados por los proveedores de redes y/o servicios de telecomunicaciones para la elaboración de bases de datos con fines comerciales o publicitarios, distintos a los directamente relacionados con los servicios ofrecidos por el operador, salvo que medie autorización expresa y escrita del suscriptor y/o usuario. 11. PARTICIPACIÓN DEL SECTOR La Comisión de Regulación de Comunicaciones invita a todos los interesados a manifestar a esta Entidad, sus opiniones respecto de la propuesta regulatoria que acompaña el presente documento, enviando los argumentos que las sustentan a través del correo roberto.diazgranados@crt.gov.co Cronograma ACTIVIDAD FECHA Publicación propuesta regulatoria Octubre 2 de 2009 Plazo para envío de comentarios Octubre 23 de 2009 Consolidación, análisis de comentarios y ajustes Noviembre 2009 Expedición regulación Noviembre 2009 Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 59 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09
    • COMISION DE REGULACION DE COMUNICACIONES - REPUBLICA DE COLOMBIA 12. BIBLIOGRAFÍA [1] ITU-T Security Initiatives – an Update, Michael Harrop ITU-T SG 17 Q4, Communications Security Project- Document 2/4-E [2] Encuesta Seguridad informática en operadores de telecomunicaciones, 2008 - Comisión de Regulación de Telecomunicaciones. [3] ITU TOOLKIT FOR CYBERCRIME LEGISLATION - ICT Applications and Cybersecurity Division - Abril 2009 [4] Documento Amarillo - Estudio para la implementación de una Estrategia Nacional de Ciberseguridad, 2007 - Comisión de Regulación de Telecomunicaciones. [5] Rec UIT X.1205 - Aspectos generales de la Ciberseguridad - Serie X: Redes de Datos, Comunicaciones de Sistemas Abiertos y Seguridad – Abril 2008 [6] Documento Ciberseguridad - Recomendaciones sobre Implementación del CSIRT- Colombia con énfasis en el sector de Telecomunicaciones- 2008- Comisión de Regulación de Telecomunicaciones. [7] Documento Análisis Preliminar – Seguridad en Redes de Telecomunicaciones - 2009 Comisión de Regulación de Telecomunicaciones. [8] Recomendación X.800 Arquitectura de seguridad para sistemas abiertos de Interconexión para aplicaciones CCITT [9] Recomendación X.1121 Marco general de tecnologías de seguridad para las comunicaciones móviles de datos de extremo a extremo. [10] Seguridad de la Información en Latinoamérica Tendencias 2009- Jeimy J. Cano, Ph.D, CFE Coordinador Segurinfo Artículo revista SISTEMAS- ACIS [11] ITU Toolkit For Cybercrime Legislation - ITU-D ICT Applications and Cybersecurity Division [12] Documento Recomendaciones al Gobierno Nacional para la implementación de una Estrategia Nacional de Ciberseguridad - 2007 - Comisión de Regulación de Telecomunicaciones. [13] Proyectos de Ley en materia de Ciber Delitos (Boletín 3083-7) Gobierno de Chile - Ministerio de Justicia - http://www.oas.org/juridico/spanish/cybGE_IIIChi_Rep2.doc [14] Security Compendium Part 2 – http://www.itu.int/dms_pub/itu-t/oth/0A/0D/T0A0D00000A0002MSWE.doc [15] Internet Security Glossary, Version 2 RFC - http://www.rfc-editor.org/rfc/rfc4949.txt Documento Soporte Centro de Conocimiento del Negocio Análisis de aspectos regulatorios asociados a la Ciberseguridad. Fecha actualización: 01/10/09 Fecha revisión: 02/10/09 Página 60 de 60 Revisión No. 2 Aprobado por: Director Ejecutivo Fecha de vigencia: 31/07/09