El ciberespacio es real, las amenazas cibernéticas en y a través del mismo con un
impacto en el mundo físico también, y en el centro de todo están las sociedades,
las empresas, los gobiernos, sus derechos, sus interacciones y sus logros. Las
amenazas cibernéticas cada vez más frecuentes, complejas y destructivas atentan
contra bienes jurídicamente tutelados como la vida, la integridad, la salud, el patrimonio,
los activos de información, la privacidad, la reputación e incluso incidiendo
en la opinión pública a través de información falsa, lo que crea desinformación,
perjudicando a niñas, niños, adultos, empresas, instituciones gubernamentales y
relaciones internacionales.
La ciberseguridad y el ciberespacio son temas de gran complejidad y de carácter
transversal, que implican cuestiones técnicas en esencia, legales, de seguridad,
económicas, políticas y sociales, así como de gestión de riesgos y crisis, con un alto
componente de diplomacia, relaciones internacionales y liderazgo.
Este libro permitirá al lector conocer y comprender a un alto nivel qué es el ciberespacio
y la ciberseguridad, así como una serie de elementos esenciales que giran
alrededor de:
? Antecedentes internacionales y conceptos;
? El ámbito militar y el derecho internacional;
? Riesgos, vulnerabilidades y resiliencia;
? Principales amenazas y ataques, vectores de ataque y Cyber Eff ects;
? Infraestructuras críticas y servicios esenciales en la experiencia internacional, y
? Contexto mundial con los principales referentes y organismos internacionales.
"No habrá desarrollo, ni logro económico ni tecnológico
en un futuro que un individuo, una empresa y un gobierno
pueda lograr sin la ciberseguridad."
Jonathan López Torres
Ciberespacio & Ciberseguridad
Siglas...................................................................................................................... 13
¿POR QUÉ UN LIBRO SOBRE CIBERESPAC IO Y CIBERSEGURIDAD ?.................. 15
INTRODUCCIÓN........................................................................................................ 19
Capítulo I
CIBERESPAC IO
1.1 PREFIJO “CIBER-”........................................................................................... 21
1.2 NORBERT WIENER Y LA CIBERNÉTICA.......................................................... 22
1.3 ORIGEN DEL TÉRMINO................................................................................... 26
1.4 CONCEPTO...................................................................................................... 27
1.5 EL CIBERESPACIO EN EL ÁMBITO MILITAR................................................... 30
1.6 APLICACIÓN DEL DERECHO INTERNACIONAL Y COMPORTAMIENTO EN
EL CIBERESPACIO........................................................................................... 34
1.6.1 Estrategia Internacional para el Ciberespacio....................................... 34
1.6.2 Grupos de expertos gubernamentales de Naciones Unidas................ 35
1.6.2.1 Informe del grupo de expertos de Naciones Unidas 2013..... 35
1.6.2.2 Informe del grupo de expertos de Naciones Unidas 2015..... 37
1.6.3 Cumbre de Gales.................................................................................. 42
1.6.4 El Llamado de París.............................................................................. 42
Capítulo II
CIBERSEGURIDAD
2.1 CIBERSEGURIDAD........................................................................................... 45
2.2 SEGURIDAD DE LA INFORMACIÓN................................................................ 51
2.2.1 Confidencialidad................................................................................... 53
2.2.2 Integridad.............................................................................................. 53
2.2.3 Disponibilidad....................................................................................... 53
2.2.4 Autenticidad.......................................................................................... 54
2.2.5 No repudio............................................................................................ 54
2.3 CRIPTOLOGÍA ................................................................................................. 55
2.3.1 Criptografía........................................................................................... 55
2.3.2 Criptoanálisis........................................................................................ 58
2.3.3 Métodos criptográficos......................................................................... 59
2.3.3.1 Criptografía de clave simétrica.............................................. 59
2.3.3.2 Criptografía de clave asimétrica............................................. 60
2.4 RIESGO Y CIBERSEGURIDAD.......................................................................... 61
2.4.1 Concepto de riesgo ............................................................................. 62
2.4.2 Riesgos de ciberseguridad .................................................................. 63
2.5 AMENAZAS DE CIBERSEGURIDAD................................................................. 65
10 Índice
2.5.1 Clasificación de amenazas de ciberseguridad...................................... 67
2.6 VULNERABILIDADES....................................................................................... 68
2.7 RESILIENCIA.................................................................................................... 70
2.8 EQUIPOS DE RESPUESTA A INCIDENTES DE SEGURIDAD CIBERNÉTICA... 72
2.8.1 Concepto.............................................................................................. 73
2.8.2 Tipos de equipos de respuesta a incidentes de seguridad cibernética. 752.9 CONVENCIÓN DE BUDAPEST......................................................................... 80
Capítulo III
AMENAZAS Y ATAQUES
3.1 TÉRMINOS RELACIONADOS.......................................................................... 84
3.1.1 Eventos................................................................................................. 85
3.1.2 Incidentes de seguridad informática..................................................... 85
3.1.3 Ataques................................................................................................ 86
3.1.4 Vectores de ataque............................................................................... 87
3.1.4.1 Tipos de vectores de ataque................................................. 88
3.1.4.2 Consecuencias de los ataques (Cyber Effects)..................... 89
3.2 TIPOS DE ATAQUES Y AMENAZAS................................................................. 91
3.2.1 Amenaza Avanzada Persistente............................................................ 91
3.2.2 Malware................................................................................................ 93
3.2.2.1 Tipos de malware.................................................................. 95
3.2.2.1.1 Virus.................................................................... 95
3.2.2.1.2 Troyanos.............................................................. 96
3.2.2.1.3 Gusanos.............................................................. 97
3.2.2.1.4 Bots y Botnets..................................................... 97
3.2.2.1.5 Ransomware....................................................... 98
3.2.2.1.6 Spyware.............................................................. 100
3.2.2.1.7 Cryptojacking....................................................... 101
3.2.3 Ataque de denegación de servicios (DoS)............................................ 102
3.2.4 Ataque de denegación de servicios distribuido (DDoS)........................ 103
3.2.5 Ingeniería social.................................................................................... 105
3.2.6 Phishing y Spear Phishing.................................................................... 105
3.2.7 Ataque de día cero............................................................................... 107
3.2.8 Ataques vía web................................................................................... 108
3.2.9 Ataques a aplicaciones web................................................................. 108
3.2.10 Amenazas internas............................................................................... 109
3.2.11 Espionaje.............................................................................................. 110
Capítulo IV
INFRAESTRUCTURAS CRÍTICAS Y SERVICIOS ESENCIALES
4.1 IMPORTANCIA................................................................................................. 113
4.2 CONCEPTOS.................................................................................................... 117
4.3 IDENTIFICACIÓN DE INFRAESTRUCTURAS CRÍTICAS Y SERVICIOS ESENCIALES
EN LA UNIÓN EUROPEA.................................................................... 120
4.3.1 Comunicación de la Comisión Europea (2004)..................................... 120
Índice 11
4.3.2 Comunicación de la Comisión Europea (2006)..................................... 121
4.3.3 Directiva 2008/114/CE........................................................................... 122
4.3.4 Directiva (UE) 2016/1148....................................................................... 124
4.4 SECTORES QUE COMPRENDEN INFRAESTRUCTURA CRÍTICA Y SERVICIOS
ESENCIALES........................................................................................... 128
4.4.1 EUA...................................................................................................... 129
4.4.2 Unión Europea...................................................................................... 130
4.4.3 Reino Unido.......................................................................................... 131
4.4.4 España.................................................................................................. 132
Capítulo V
LA CIBERSEGURIDAD EN EL CONTEXTO MUNDIAL
5.1 UNIÓN EUROPEA............................................................................................ 136
5.2 ESTADOS UNIDOS DE AMÉRICA.................................................................... 139
5.3 ORGANIZACIÓN DE LAS NACIONES UNIDAS................................................ 141
5.4 UNIÓN INTERNACIONAL DE TELECOMUNICACIONES................................. 143
5.5 FORO ECONÓMICO MUNDIAL....................................................................... 146
5.6 ORGANIZACIÓN DE LOS ESTADOS AMERICANOS....................................... 148
5.7 BANCO INTERAMERICANO DE DESARROLLO.............................................. 150
5.8 ORGANISMO INTERNACIONAL DE ENERGÍA ATÓMICA .............................. 152
5.9 FONDO DE LAS NACIONES UNIDAS PARA LA INFANCIA.............................. 154
5.10 ORGANIZACIÓN DEL TRATADO DEL ATLÁNTICO NORTE.............................. 158
5.11 ORGANIZACIÓN PARA LA COOPERACIÓN Y EL DESARROLLO ECONÓMICOS. 160
5.12 FONDO MONETARIO INTERNACIONAL......................................................... 162
CONCLUSIONES...................................................................................................... 167
FUENTES CONSULTADA S....................................................................................... 171
Apéndices
1. INFORME 2010 DEL GRUPO DE EXPERTOS GUBERNAMENTALES SOBRE
LOS AVANCES EN LA INFORMACIÓN Y LAS TELECOMUNICACIONES EN
EL CONTEXTO DE LA SEGURIDAD INTERNACIONAL.................................... 199
2. INFORME 2013 DEL GRUPO DE EXPERTOS GUBERNAMENTALES SOBRE
LOS AVANCES EN LA INFORMACIÓN Y LAS TELECOMUNICACIONES EN
EL CONTEXTO DE LA SEGURIDAD INTERNACIONAL.................................... 205
3. INFORME 2015 DEL GRUPO DE EXPERTOS GUBERNAMENTALES SOBRE
LOS AVANCES EN LA INFORMACIÓN Y LAS TELECOMUNICACIONES EN
EL CONTEXTO DE LA SEGURIDAD INTERNACIONAL.................................... 215
4. CÓDIGO INTERNACIONAL DE CONDUCTA PARA LA SEGURIDAD DE LA
INFORMACIÓN................................................................................................ 227
5 ANEXO III DE LA DIRECTIVA 2008/114/CE DEL CONSEJO DE LA UNIÓN
EUROPEA DE 8 DE DICIEMBRE DE 2008 SOBRE LA IDENTIFICACIÓN Y
12 Índice
DESIGNACIÓN DE INFRAESTRUCTURAS CRÍTICAS EUROPEAS Y LA EVALUACIÓN
DE LA NECESIDAD DE MEJORAR SU PROTECCIÓN.................... 229
6. ANEXO I DE LA DIRECTIVA 2008/114/CE DEL CONSEJO DE LA UNIÓN
EUROPEA DE 8 DE DICIEMBRE DE 2008 SOBRE LA IDENTIFICACIÓN Y
DESIGNACIÓN DE INFRAESTRUCTURAS CRÍTICAS EUROPEAS Y LA EVALUACIÓN
DE LA NECESIDAD DE MEJORAR SU PROTECCIÓN.................... 231
7. ANEXO II DE LA DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO
Y DEL CONSEJO DE 6 DE JULIO DE 2016 RELATIVA A LAS MEDIDAS DESTINADAS
A GARANTIZAR UN ELEVADO NIVEL COMÚN DE SEGURIDADDE LAS REDES Y SISTEMAS DE INFORMACIÓN EN LA UNIÓN.................... 233
Sobre el autor ..................................................................................................... 239