Se presenta una vista de las particularidades que presenta el ejercicio de la ciberseguridad en nuestro país. Donde usualmente confundimos ciberseguridad con cibercrimen, donde confundimos inversión en defensa con gasto injustificable. Donde asociamos la practica de la ciberseguridad a un concepto oscuro e ininteligible dominado por pocos pero atractivo para la mayoría.
Haremos una revisión de los eventos más importantes sonados en una línea de tiempo que nos guie hacia la creación de un conocimiento fuera de una burbuja que en Costa Rica nos cubre donde en general consideramos que por no tener ejercito estamos exentos de cualquier amenaza a nuestro patrimonio e infraestructura. A veces recurrimos a soluciones muy pintorescas para tratar el tema de la ciberdelincuencia y las cibersoluciones.
Y culminaremos con un cuadro de acciones y una proyección de lo que esperamos de la ciberseguridad en Costa Rica en los próximos años.
Un desarrollo explosivo de las tecnologías de la información y la telecomunicación (TIC) ha sido particularmente palpable en Costa Rica a diferencia de los otros países de la región Centroamericana. Sin embargo Costa Rica al ser un país pacífico, se puede decir que prácticamente todo el tema de seguridad en muchos sectores ha quedado en segundo plano. La expansión masiva de la red informática costarricense no contemplo a su vez el despliegue de mecanismos de defensa para la seguridad de la misma fuera de las básicas precauciones asociadas a un modelo estándar de desarrollo tecnológico.
Los llamados delitos informáticos que constituyen actos delictivos que se cometen a través de las TIC son un tema relativamente nuevo para el costarricense de a pie. La mayoría no comprende de los conceptos básicos y en la calle hasta con ojos de desconfianza se mira a quien realiza presentaciones al respecto. Las mismas instituciones desconfían del especialista pues el ciberdelito es aún un tabú para la mayoría, un tema que se relega a los más expertos pero que no permea en la población general.
Es común para el tico confundir los deberes y responsabilidades de su identidad física y los deberes y responsabilidades de su identidad virtual. “Para ser víctima, basta estar conectado” Luis Paulino Mora Mora uno de los principales problemas inicia en el muchos consideran que los actos que realizan en el ciberespacio no tienen relación con su vida cotidiana, especialmente entre los jóvenes la noción de responsabilidad digital es muy escaza, no se cuenta con un programa de estudios que involucre la exploración digital al nivel que se espera según los estándares mundiales ni mucho menos que el gobierno se involucre de una manera activa como si lo hizo en su momento los Estados Unidos en anteriormente desde el año 1986 con el famoso “Computer Fraud and Abuse Act” y posteriormente con otras regulaciones como el “Cyber Space Policy Review” que establecía el tema como prioridad tanto educativa como de estudio investigativo profundo para ubicar el ciberespacio como una plataforma fundamental para el desarrollo de la innovación y la prosperidad de la sociedad norteamericana y el mundo habilitando luego cientos de oportunidades para el mejoramiento de políticas y fondos para los emprendedores.
En Costa Rica se iniciaban trabajos en las políticas relacionadas al control del ciberespacio con proyectos como el Código Penal de 1995 el cual daba un primer paso en la lucha contra el incipiente cibercrimen en Costa Rica especialmente dirigido al daño, estafa, hurto e intervención de datos digitales y telecomunicaciones. Sobre esas bases se dio inicio a la redacción de los primeros incisos y revelo las primeras dificultades para compáralos con los delitos tradicionales y sus fuentes de capitalización financiera. Por su parte el OIJ inaugura en 1996 la Sección de Delitos Informáticos quien inicia operaciones de soporte a la hora de tratar allanamientos que involucraban extracción segura del equipo de cómputo y la información que contenía.
Aunque siempre presente desde los ataques tradicionales por parte de extremistas en diferentes partes del mundo en los años 90. Un suceso marco por completo el cambio en global en todo sentido, y particularmente al mundo cibernético. Los ataques a las torres gemelas el 11 de Setiembre de 2001 marca un antes y un después de la mayoría de políticas de seguridad y prevención en el mundo y para nosotros el nacimiento del término “ciberterrorismo” y en respuesta el nacimiento de las primeras represalias a gran escala por parte de un gobierno para utilizar las primeras armas cibernéticas de la historia.
En este periodo Costa Rica comienza a incursionar en una avanzada sostenida para la habilitación de servicio de internet inalámbrico cada vez más complejos y con mayores beneficios al usuario final. De las famosas redes TDMA hacia las más sofisticadas redes GSM que brindarían a nuestros ciudadanos los primeros servicios de contenido en el móvil a través de internet sin tener que iniciar sesión en un ordenador casero. Las primeras pruebas iban ya perfilándonos para ser pioneros en esta avanzada regional. El OIJ reportaba a inicio de los 2000 una escalada sostenida de los correos electrónicos denominados “phising” hacia instituciones y empleados del gobierno, la mayoría en su momento disfrazados felicitaciones de cumpleaños para descargas tarjetas virtuales o notificaciones falsas de premios o reclamos de herencias. Así los delincuentes en Costa Rica empezaban a dar sus primeros pasos en la creación de campañas de fraude electrónico dirigido a obtener datos de la vida privada de la víctima, datos financieros de sus cuentas bancarias o tarjetas de crédito entre otros.
En el 2003 Estados Unidos incluye a través de la promulgación de su “Estrategia Nacional para un ciberespacio seguro” y la “Estrategia Nacional para la protección física de infraestructuras físicas y otras instalaciones clave” completa una lista de sectores como: Información y comunicación, transporte e infraestructura vial, energía y distribución, banca y finanzas, aprovisionamiento, Salud, Agricultura, alimentos, banca y sector financiero, química y productos peligrosos, industria militar, energía, educación y legal y se nombró a Ana Hathaway para coordinar los esfuerzos de protección contra ataques cibernéticos. La administración Obama tuvo un impacto significativo en el cambio de postura mundial respecto a los delitos informáticos pues a diferencia de sus predecesores quienes lo mantenían como un tema privado, Obama hizo sus esfuerzos públicos y lo convirtió en un tema de discusión nacional, desmarcándose de la línea del “Gran Hermano” de sus predecesores. En ese mismo periodo en Costa Rica el tema aun no alcanzaba ningún titular ni mucho menos un abordaje amplio por parte del gobierno para fortalecer y dar mayores herramientas a nuestros cuerpos de seguridad. En 2003 en Costa Rica la contraloría general de la república emite el “Manual Institucional de Políticas de Seguridad en Tecnologías de la Información” con el fin de normar la utilización de las tecnologías de información y minimizar situaciones de riesgo sobre la plataforma tecnológica quien daría insumos para la actualización de la llamada “Norma Técnica” que rige sobre las instituciones públicas del país y que incluye controles mínimos para la protección de la información. En el 2006 el Tribunal Supremo de Elecciones Implementa una Reforma para modificar el proceso de elecciones, un cambio radical que el día de hoy nos permite conocer los resultados en tiempo real de las mesas de votación y asegura una transmisión segura de la información que hasta la fecha ha probado ser un éxito y un ejemplo de transparencia y calidad a nivel mundial.
No fue hasta el periodo entre 2009 y 2013 que Costa Rica se ve forzada a actuar respecto al tema de los delitos informáticos. En parte por dos eventos trascendentales. En primer lugar el descubrimiento de la ciber arma conocida como Stuxnet en el 2010, un derivado de un proyecto anterior por parte del conocido “Equation Group”, nombre clave de la unidad especial “Tailored Access Operations (TAO)” de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos el cual dio una alerta mundial y marco el nacimiento del término “cyberwarfare” o “ciberguerra” y elevo a una escala ahora gubernamental el término “ciberespionaje” para entonces el gobierno de la república de Costa Rica inicio esfuerzos para capacitarse en el tema y brindar protección a sus diplomáticos así como le fue recomendado a las demás naciones y posteriormente el segundo factor de cambio lo marco el poderoso grupo “Anonymous” quién colocó en los noticieros el ahora popular término “Ciberhacktivismo”.
Anonymous no deja a Costa Rica por fuera y durante el debate de la denominada “Ley Mordaza” una célula del grupo se infiltra en nuestro país y da inicio la “Operación Pura Vida” la cual tenía como blanco páginas web del gobierno central y sistemas periféricos quienes durante este periodo permanecen en un constante asedio dejando a las autoridades y proveedores de servicio como el ICE quienes estaban mal aprovisionadas para contener esta actividad casi dependiendo de la suerte, la cooperación internacional y el instinto para mantener a flote los sistemas afectados. En este periodo es cuando Costa Rica abre un poco más los ojos y da inicio la aprobación de una serie de normativas, en 2012 se aprueba la ley 9048 que introdujo formalmente el delito cibernético al código penal del país, se reconoce en este periodo la Convención Interamericana sobre Asistencia Mutua en Materia Penal y se crea por decreto el Centro de Respuesta de Incidentes Tecnológicos (CSIRT) como la ley 8968 para la Protección de la Persona y el Tratamiento de sus Datos Personales aprobada en el diario la Gaceta el 5 de marzo de 2013. En 2015 a inicios del mes de agosto Costa Rica es impactada de manera indirecta por un ataque global, que consume hasta 25 GB/s del ancho de banda nacional provocando una intermitencia en los servicios nunca antes observada. El 20 de enero de 2015 el exPat Canadiense Ryan Piercy fue secuestrado marcando el primer secuestro donde se piden $50,000 equivalentes de la criptodivisa denominada BitCoin para liberarlo. El 14 de Julio de 2015 un joven de Heredia es arrestado en una operación conjunta con el FBI a causa de participar de actividades ilícitas en la DeepWeb. El 1 de Abril de 2016 El hacker colombiano Andrés Sepulveda asegura haber influido en los resultados de las elecciones de Latinoamérica incluyendo Costa Rica. En Diciembre 22 del 2015, El Hacker Ruso Kapustkiy revela haber extraído con éxito más de 280 credenciales de acceso a sistemas de la Embajada Costarricense en China y publica a modo de burla 50 de ellas para que las autoridades las verifiquen. El 4 de Mayo de 2016 se publica en la Gaceta la creación de la Asociación de Especialistas en Seguridad Digital de Costa Rica (ASEDI) con el propósito de velar por todos los profesionales y especialistas de la ciberseguridad en el país. El 19 de Mayo se anuncia la adhesión por parte de Costa Rica al Contra la Ciberdelincuencia el cual abre un amplio abanico de opciones de cooperación en temas de cibercriminalidad. En Julio de 2017 da inicio la Comisión de Ciberseguridad del Colegio de Profesionales en Informática en Computación cuyo objetico es el de facilitar al gremio herramientas de consulta e investigación respecto al tema y en Octubre de 2017 Costa Rica aprueba la primer “Estrategia de Ciberseguridad Nacional” responsabilidad del MICITT primer herramienta gubernamental vinculante para la coordinación de las demás entidades públicas en el ejercicio de la ciberdefensa nacional.
Algunas de las áreas que se indican para trabajo en los próximos años son:
Desarrollar directivas claras en área de estandarización de procesos de seguridad de datos a través de todas las instituciones Incluir dentro de los planes de estudio desde edades tempranas la gestión de las nuevas tecnologías, ciberseguridad y protección de la privacidadCrear una entidad rectora de coordinación adscrita a la presidencia Impulsar la implementación de la estrategia de ciberseguridad nacionalFomentar la investigación en las áreas de ciberseguridad por parte de las universidades estatalesDesarrollar una cantidad adecuada de profesionales calificados para ocupar puestos de alta exigencia técnica y administrativa en el área de la ciberseguridadFortalecer las alianzas público-privadas en materia de desarrollo tecnológicoTrabajar en las reformas a la legislación nacional que otorguen más y mejores herramientas a los cuerpos de ley pero que a su vez garanticen un ambiente favorable para el crecimiento de los emprendedores y las PyMES
Para finalizar es importante hacer un reconocimiento a todos y todas quienes han aportado al crecimiento de esta rama en el país y que ha permitido que Costa Rica destaque frente a otros y nos podamos hoy por hoy ubicar con orgullo como una de las naciones que no solo realizan mas esfuerzos para evolucionar en la seguridad de los datos que produce sino también que mantiene un compromiso firme con la defensa del usuario final sus derechos y su privacidad.
Link Original: https://www.facebook.com/notes/esteban-jim%C3%A9nez-ciberseguridad/ciberseguridad-a-la-tica/544570915924397/?__tn__=HH-R
Comments