Post on 15-Oct-2021
Contenido
Propuesta de Buenas Prácticas para Fortalecer los Controles de Prevención y Detección Temprana del
Cibercrimen en las Empresas Colombianas .................................................................................................. 2
1. Introducción....................................................................................................................................... 3
2. Metodología....................................................................................................................................... 7
3. Situación de las empresas colombianas frente al cibercrimen financiero ......................................... 9
3.1 Realidad cuantificable de las pérdidas financieras en las empresas colombianas a causa del
cibercrimen. ......................................................................................................................................... 10
4. Normatividad colombiana sobre Ciberseguridad y Ciberdefensa. .................................................. 18
4.1 Historia normativa de la seguridad informática en Colombia. ...................................................... 18
4.2 Iniciativas y planes de acción contra el cibercrimen impulsados por el estado colombiano ......... 28
5. Tendencias y prácticas internacionales sobre seguridad informática. ............................................. 41
5.1 Normatividad y convenios internacionales vigentes contra el Cibercrimen (Rango UIT) ............ 41
5.2 Panorama internacional del Ciberdelito ........................................................................................ 66
6. Propuesta de buenas prácticas para cada una de las conductas penales “delitos” consignados en la
Ley 1273 del 2009. .................................................................................................................................. 97
6.1 Limitantes en la normatividad del Estado Colombiano en la prevención del cibercrimen frente a
los adelantos internacionales. .............................................................................................................. 97
6.2 Propuesta de buenas prácticas para cada una de las conductas penales o delitos consignados en la
Ley 1273 del 2009, que permitirá a las empresas disminuir la brecha que aumenta el riesgo al
cibercrimen. ....................................................................................................................................... 106
7. Conclusiones Preliminares ............................................................................................................ 142
8. Referencias bibliográficas ............................................................................................................. 145
2
Propuesta de Buenas Prácticas para Fortalecer los Controles de Prevención y Detección
Temprana del Cibercrimen en las Empresas Colombianas1
Katy Alejandra Vásquez Zarate**
María Paula Cárdenas Rodríguez***
Resumen
Durante la evolución económica y financiera de los mercados globales han surgido y
desarrollado fuerzas negativas que afectan el panorama de la seguridad cibernética. La aparición
de nuevas plataformas tecnológicas no solamente ha generado un incremento de las
transacciones financieras, sino que ha dado lugar a nuevas posibilidades de delito informático.
Por lo anterior, es necesario establecer buenas prácticas de prevención y detección temprana de
este tipo de fraude, uniendo esfuerzos del sector gubernamental y privado para disminuir las
brechas de vulnerabilidad asociadas al cibercrimen en las empresas colombianas.
Abstract
During the economic and financial developments in global markets they have emerged and
developed negative forces that affect the landscape of cybersecurity. The emergence of new
technology platforms has not only generated an increase of financial transactions, but has led to
* El presente es un artículo de revisión bibliográfica comparativa, con fundamento en una investigación analítica que busca proponer una estructura conceptual de buenas prácticas para fortalecer los controles de prevención y detección temprana del cibercrimen en las empresas colombianas. ** Estudiante de Pregrado de Contaduría Pública de la Pontificia Universidad Javeriana. Correo: vasquez-k@javeriana.edu.co. ***Estudiante de Pregrado de Contaduría Pública de la Pontificia Universidad Javeriana. Correo: mcardenasr@javeriana.edu.co.
3
new possibilities of cybernetic crime. Therefore, it is necessary to establish good practices for
prevention and early detection of this type of fraud, joining efforts of public and private sector to
reduce vulnerability breach associated with cybercrime in Colombian companies.
Palabras clave autor: cibercrimen, ciberseguridad, delitos informáticos, buenas prácticas,
fraude, auditoria forense, empresas colombianas.
Códigos JEL: M42, M48, O38
1. Introducción
El Estado colombiano ha considerado en sus últimos planes de desarrollo el fortalecimiento y
ampliación de la red e infraestructura tecnológica del país. Con su implementación se ha
incrementado el comercio electrónico entre los ciudadanos en un 59% y entre las empresas en un
79%2, respectivamente. Del mismo modo, se ha presentado un aumento considerable en las
transacciones financieras a nivel nacional.
En esta coyuntura, en el proceso de desarrollo del mercado a nivel mundial y en su evolución
hacia el comercio electrónico, las medidas de control adoptadas por el estado colombiano se han
fortalecido de acuerdo con los programas digitales establecidos. No obstante, estos esfuerzos no
han sido suficientes para combatir y reducir los ataques cibernéticos, que para el año 2014 cobro
6 millones de víctimas representando perdidas económicas por 464 millones de dólares por año
(Certicámara, 2014), debido a los vacíos existentes en la normatividad y en el tratamiento
2 Cifras presentadas por la viceministra de Tecnologías y Sistemas de Información María Isabel Mejía.
4
procesal para los ciberdelincuentes clasificados como “hackers” y “crackers” según sea su
intención al momento de cometer el delito.
Por esto, el país está ante el inevitable acecho de la cibercriminalidad. Tal como lo describe
Oxman (2013), la cibercriminalidad:
se presenta en la cotidianidad de las personas bajo las más variadas formas, expresivas de una
amplia heterogeneidad de nuevos fenómenos delictivos y renovadas modalidades de comisión de
los delitos tradicionales, especialmente, a través de sistemas o redes informáticas de transmisión y
de intercambio de datos por internet, cuya complejidad operativa dificulta su persecución y en
consecuencia incrementa los niveles de impunidad. Y, aunque en realidad no exista un concepto
de "cirbercriminalidad" unánimemente aceptado, podríamos decir que se trata de un término que
hace referencia a un conjunto de actividades ilícitas cometidas al amparo del uso y el abuso de las
tecnologías de la información y la comunicación (TIC 3), poniendo en peligro o lesionando
intereses o bienes jurídicos de naturaleza individual o bien, amenazando la seguridad de los
sistemas sociales (pág. 212).
Es importante comprender este fenómeno pues empresas del sector público y privado han
migrado paulatinamente sus negocios hacia el “ciberespacio”4 (Ministerio de Defensa Nacional,
2009). Gradualmente se han creado canales basados en tecnología e implementado en el control
de sus operaciones, sistemas informáticos complejos y robustos. Éstos controlan el acceso de los
usuarios a su información y a sus canales transaccionales; no obstante otros usuarios también han
podido acceder a esta clase de sistemas de manera fraudulenta (cuando se identifican las posibles
3 Se consideran Tecnologías de la Información y Comunicación tanto al conjunto de herramientas relacionadas con la transmisión, procesamiento y almacenamiento digitalizado de información, como al conjunto de procesos y productos derivados de las nuevas herramientas (hardware y software) Disponible en: http://www.recursoseees.uji.es/fichas/fc10.pdf 4 El ciberespacio es la red interdependiente de infraestructuras de tecnología de la información, que incluye internet y otras redes de telecomunicaciones, sistemas computacionales, procesadores integrados y controladores de industrias críticas. (Ministerio de Defensa Nacional, 2009, pág. 1)
5
brechas en los controles establecidos) y han cometido delitos como: hackeo, crackeo, denegación
de servicios, falsificación de documentos electrónicos, robos en cajeros automáticos y tarjetas de
crédito, robos de identidad, phreaking, fraudes electrónicos e incluso sabotaje informático.
Como lo detalla KPMG (2013) en su encuesta sobre el fraude del año 2013, “el
cibercrimen5 ha tomado fuerza en el ámbito tecnológico convirtiéndose en uno de los cuatro tipos
principales de crímenes económicos que más afectan a las compañías colombianas. Por su parte,
según Symantec (2014) en el foro Symantec Visión de 2014, los ataques dirigidos crecieron en el
país un 91% durante el año 2012 (representando mayores pérdidas financieras para las empresas
del país), y se hace cada vez más difícil contrarrestarlos dado que se ha sofisticado cada vez más
la infraestructura delictiva.
Considerando este incremento del cibercrimen en Colombia se genera una duda sobre la
suficiencia y efectividad de los adelantos normativos sobre ciberseguridad y la adaptación de
estos en las prácticas y controles que se implementan en las empresas. (Centro Cibernético
Policial, 2015).
Si se tiene en cuenta la importancia de los sistemas de información, y de acuerdo con
Cano (2011):
los ejercicios de riesgos y controles propios de las empresas, para establecer y analizar los activos
de información críticos, han dejado de ser algo que hacen los de seguridad para transformarse día
a día en una disciplina que adopta la organización, para hacer de su gestión de la información una
ventaja clave y competitiva frente a su entorno de negocio. (pág. 4)
5 Cibercrimen: Se refiere a aquellas actividades ilícitas de carácter informático que se llevan a cabo para robar, alterar, manipular, enajenar, o
destruir información o activos.
6
De acuerdo con las encuestas reveladas por firmas de auditoría KPMG y PWC, los
cibercriminales podrán vulnerar la seguridad informática utilizando software indetectable y
mucho más sofisticado, ya que requieren de poca infraestructura material para sus ataques y
logran una alta ganancia económica. Esto representa grandes afectaciones al patrimonio de las
empresas y vulneración a los sistemas de ciberseguridad impulsados desde el gobierno.
Por lo anterior, resulta necesario realizar una propuesta de adopción de buenas prácticas6 que
reduzca la brecha en los controles establecidos por las empresas disminuyendo los riesgos a
ciberataques por cada conducta penal o delito descritos en la Ley 1273 de 2009, beneficiando el
manejo de las tecnologías de la información y particularmente los aspectos ligados a la seguridad
informática. Esta ley fue construida a partir de la revisión del estado del arte, es decir, de la
normatividad nacional vigente relacionada y estudios realizados por organizaciones competentes
y expertas, versus los avances y pronunciamientos internacionales en ciberseguridad, para
finalmente proponer las buenas prácticas que pueden ayudar a contrarrestar los delitos
informáticos.
6 En general el concepto de “buenas prácticas” se refiere a toda experiencia que se guía por principios, objetivos y procedimientos apropiados o
pautas aconsejables que se adecuan a una determinada perspectiva normativa o a un parámetro consensuado, así como también toda experiencia que ha arrojado resultados positivos, demostrando su eficacia y utilidad en un contexto concreto. Instituto PROINAPSA Universidad Industrial de Santander. (2005). Concepto de buenas prácticas en promoción de la salud en el ámbito escolar y la estrategia escuelas promotoras de la salud.
7
2. Metodología
Este trabajo es una revisión bibliográfica comparativa y su intención es investigar y revisar
diferentes fuentes de información sobre la situación actual normativa del estado colombiano
frente a las tendencias y avances internacionales para combatir el cibercrimen. Pretendemos
proponer que el Estado Colombiano valide si la estructura legal se encuentra soportada en las
últimas estructuras conceptuales de buenas prácticas para el manejo de las tecnologías de la
información, las cuales buscan el fortalecimiento de los controles y la disminución de brechas de
seguridad en las empresas colombianas para la producción de eventos de cibercrimen.
Esta investigación es de tipo cualitativo, por cuanto se toma en primer lugar, el fenómeno del
cibercrimen tal y como es, y posteriormente se va de lo general a lo particular para determinar las
posibles causas del problema. Así, posteriormente obtenemos un resultado concreto que permitirá
hacer frente a la problemática del cibercrimen, desde la perspectiva del control interno
corporativo.
La revisión bibliográfica abarcará fuentes publicadas en los últimos cinco años (2010-2015)
nacionales e internacionales que involucren las primeras ocho (8) posiciones del ranking global
del Índice Mundial de Ciberseguridad 2014 (IMC) publicado por La Unión Internacional de
Telecomunicaciones (UIT), que en adelante denominaremos RANGO UIT.
Con esta propuesta buscamos de una parte, un beneficio directo para las empresas puesto que
se busca que éstas implementen buenas prácticas de seguridad de la información, y de otra,
aportar al Ministerio de Tecnologías de la información y las Comunicaciones los elementos
normativos que permitan proteger las operaciones electrónicas de las empresas colombianas de
8
los delitos cibernéticos que tipifica la Ley 1273 de 2009. En la figura 1 se proponen algunas
buenas prácticas para las empresas.
Figura 1: Diagrama de modelación de las variables objeto de estudio
9
3. Situación de las empresas colombianas frente al cibercrimen financiero
Con el creciente uso del internet y la variedad de herramientas informáticas disponibles que
facilitan el acceso fraudulento a las empresas, se presenta un aumento en la brecha de los
controles que permiten un incremento de las amenazas a los sistemas de información. El aumento
de usuarios en las diferentes plataformas tecnológicas ha hecho más atractivo para los
ciberdelincuentes planear ataques focalizados o masivos por el alto grado de vulnerabilidad de la
información y de los bajos costos que representa la infraestructura de sus ataques. Por ello, “el
cibercrimen es un delito más rentable que el narcotráfico” (Dinero, 2015).
Este panorama resulta desalentador considerando que Colombia es el tercer país
latinoamericano más atractivo para los ciberdelincuentes, con un 21,73% seguido por Perú y
Ecuador. Según Iván Iván Galindo, representante de Digiware:
(…) Colombia se ha convertido en uno de los principales destinos para el cibercrimen debido a
que esas organizaciones se fijan en la actualidad económica de las naciones a las que van a atacar
(ese país es el que mayores proyecciones de crecimiento tiene en la región pues ese porcentaje es
del 3,3% para este año) explica (Dinero, 2015, pág. 1) .
Conforme lo explica Carlos Carrizosa, director de Seguridad de la Información de
Teleperformance, hay diferentes actividades en las que las empresas ya han venido trabajando
para superar las violaciones más conocidas en contra de la información, como son: el uso de
cuentas y tarjetas de crédito, la suplantación de identidades y la fuga de información al interior de
las organizaciones, entre otras. Pero estas actividades no han sido suficientes para enfrentar el
cibercrimen en Colombia. Consultado el coronel Bautista por las principales causas de fraudes
corporativos, señaló que ‘‘desafortunadamente no existe una política clara al interior de las
10
organizaciones de carácter privado, y algunas públicas, acerca del manejo de la gestión de la
seguridad de la información”. (Diario La República, 2013, pág. 1)
3.1 Realidad cuantificable de las pérdidas financieras en las empresas colombianas a causa
del cibercrimen.
El documento Los Avances y retos de la defensa digital en Colombia tiene como
propósito realizar un diagnóstico sobre el grado de exposición de nuestro país frente a delitos
cibernéticos, así como el nivel de sofisticación de la defensa nacional digital para contrarrestar y
prevenir estos tipos de amenazas.
En documento, FEDESARROLLO-Fundación para la Educación Superior y el
Desarrollo- encontró que:
Colombia fue uno de los países que mayor progreso demostró en este campo en la última década,
toda vez que aumentó el porcentaje de individuos que usaba internet de un 2% en 2000 a más del
50% en 2013, ubicándose así en la cuarta posición frente a sus pares de la región. Aunque
Colombia es un país con un nivel potencial de riesgo medio para ser atacado por piratas
informáticos, el crecimiento económico que ha alcanzado en los últimos años lo hace atractivo
para quienes cometen delitos en el ciberespacio. En lo que respecta al costo, esta misma compañía
estimó que el ciberdelito causó un daño económico al consumidor cercano a los 500 millones de
dólares durante lo corrido de 2013, acercándose así cada vez más a los países que reciben mayores
ataques cibernéticos en el mundo. (CCIT y Fedesarrollo, 2014, pág. 4)
El reporte Norton 2013 es uno de los estudios más grandes del mundo sobre delitos
informáticos que tiene como objetivo entender como estos afectan a los consumidores y como la
11
adopción y evolución de las nuevas tecnologías impacta sobre la seguridad de los usuarios. La
investigación se realizó a más de 13.000 adultos en 24 países, incluido Colombia.
Según este informe, las personas con más probabilidades de convertirse en victimas del
cibercrimen son hombres con un 64%, comparado con las mujeres que tienen un 58%. Los países
con mayor número de víctimas por delitos informáticos es Rusia en primer lugar, con 85%, en
segundo lugar, China con un 77%, seguido de México con un 71%, y con un cuarto lugar está
Colombia con un 64%. El 41% de las personas conectadas a la red ha sufrido ataques tales como
malware, virus, piratería, estafas, fraudes y robo; entendiéndose a los usuarios como personas
naturales y usuarios jurídicos.
En resumen, US$113 mil millones son los costos directos globales totales en 12 meses. El 50% de
los adultos conectados a la red ha sido víctima de un ciberdelito y/o ha sufrido incidentes en el
último año todos los días., Más de 1 millón de adultos es víctima de delitos informáticos, es decir,
12 víctimas por segundo. (Symantec, 2013, pág. 1)
La Encuesta de Fraude en Colombia 2013 realizada por KPMG, fue aplicada a 197
directivos de empresas que operan en Colombia cuya muestra en total representa 65% de
compañías privadas y 35% de compañías públicas. Su objetivo fue conocer la incidencia y el
impacto que tienen los crímenes económicos, en sus modalidades de malversación de activos,
fraude financiero, corrupción y cibercrimen. Se realizó a 197 directivos de empresas que operan
en Colombia y que han registrado ingresos anuales desde 50 millones de dólares.
Las empresas que participaron en este estudio representan diversos sectores e industrias,
como son energía, manufactura, banca y servicios financieros, salud, construcción e
infraestructura, farmacéutica, comercio y retail, educación, servicios profesionales,
12
telecomunicaciones y otros. Las empresas representadas en el estudio fueron tanto compañías
privadas 65%, como publicas 35%. Los daños causados a las compañías que operan en el país
han representado un alto costo para la sociedad colombiana, no solo en términos de daño
económico, sino también en la desaparición de empresas y en consecuencia, en la afectación en el
bienestar de miles de familias que han sido perjudicadas por la desaparición de sus empleos.
Para KPMG, 7 de cada 10 empresas que operan en Colombia han padecido al menos un
fraude en los 12 meses anteriores a la emisión del informe. En el 2013, el costo estimado por
crímenes económicos fue de 3600 millones de dólares, es decir el 1% del PIB nacional.
La incidencia de los crímenes económicos está directamente asociada con la capacidad
que tengan las compañías para prevenir, detectar y responder ante actividades ilícitas, sean estos
deliberados o auténticos casos fortuitos. Por esto, la importancia que tiene para las compañías
contar con mecanismos institucionalizados de la administración de riesgos de fraude. Según el
informe, el 70% de los crímenes económicos (incluyendo sus diferentes tipologías) han sido
realizados por empleados de las propias compañías, causando daños económicos cercanos a los
3.600 millones de USD en el 2013. El 39% de los ataques del cibercrimen se detectaron
accidentalmente.
Dentro de la tipología de crímenes económicos en Colombia, el resultado del análisis en
términos de incidencia, fraude o número de ilícitos experimentados en el último año, se inicia con
la malversación de activos, siendo el crimen más común con un 46%. En segundo lugar, está la
corrupción con un 31%, en tercer lugar, el cibercrimen con un 13% y como último, el fraude
financiero con el 10%.
13
Para el caso del cibercrimen, este ha sido el tipo de crimen económico que ha tomado más
fuerza en los últimos años previos al 2013, convirtiéndose en una actividad criminal definida en
contra de las empresas colombianas generando un daño económico cercano a los 550 millones de
dólares.
Para el caso del cibercrimen, el informe ha definido seis causas comunes a saber:
Figura 2: Causas comunes en el cibercrimen
Al respecto llama la atención una novedosa modalidad de atacantes cibernéticos: se trata
de organizaciones con la preparación, recursos y tiempo para estudiar y conocer bien las
debilidades de sus potenciales blancos. Muchas veces este tipo de atacante puede infiltrar la
organización a través de la identificación de los puntos vulnerables de la seguridad informática e
incluso sembrar algún dispositivo que permita el acceso y ataque remoto.
Con un 23% la “deslealtad de los empleados” por lo que el peligro en muchos casos se encuentra dentro
de las mismas organizaciones.
Fallas en la seguridad tecnológica
Inadecuada disposición del activo
Fallas de seguridad física.
Robo de dispositivos móviles
Fallas en la seguridad de terceros.
14
Los mecanismos de detección del cibercrimen se establecen en cuatro categorías:
o Accidentalmente.
o Por control interno.
o Denuncia.
o Autoridades regulatorias y auditoria externa, lo que evidencia la inefectiva actividad de
seguridad que impera en las compañías que operan en Colombia, concluye (KPMG,
2013).
De acuerdo con la encuesta, la implementación de mecanismos de prevención de crímenes
económicos permite reducir los riesgos hasta en un 70%, a través de un adecuado sistema de
administración de riesgos y una estructura sólida de gobierno corporativo, en la cual, todos (la
junta directiva, el comité de auditoría, la gerencia y la auditoría interna) deben desempeñar un
papel importante en el proceso de supervisión y monitoreo. Como se detalla en el informe de la
encuesta, una vez que exista una estructura deseable, los ejemplos de un programa integral de
administración de riesgo de fraude se dividen comúnmente en tres, como se puede apreciar en la
siguiente figura:
15
Figura 3: Programa integral de administración de riesgo de fraude. Fuente: tomado de (KPMG, 2013)
Lastimosamente en Colombia la cultura de las empresas en general sigue siendo más
reactiva que preventiva, por lo que la identificación y mitigación de los riesgos de fraudes y
conductas impropias son principalmente áreas de oportunidad que tienen las empresas
colombianas para mejorar su competitividad en el futuro inmediato.
Las organizaciones suelen poner demasiado énfasis en la tecnología especializada para
brindar seguridad, pero, si esta tecnología no es aplicada convenientemente o si las personas que
están a cargo de dicha tecnología no la ejecutan correctamente, su vulnerabilidad podría incluso
llegar a incrementarse. Ninguna tecnología por sí misma puede disminuir el impacto del factor
humano y la debida diligencia de implantar y operar correctamente los mecanismos de seguridad
de tecnología de las empresas.
16
Para KPMG, estos son los aspectos a considerar dentro de las conductas del cibercrimen:
a) Las Amenazas Persistentes Avanzadas
Son grupos organizados con la capacidad tecnológica y económica que incursionan de forma
sigilosa y mantienen su presencia indefinidamente en los sistemas de información internos de las
entidades, con objeticos claramente definidos.
Una amenaza persistente avanzada puede definirse también a partir de sus componentes
esenciales, como son:
AMENAZA: Aquí, el atacante tiene la intención y la capacidad de obtener acceso a
información confidencial almacenada electrónicamente.
PERSISTENTE: La naturaleza persistente y continua de la amenaza hace que sea difícil
prevenir su acceso a la red de computadores. Una vez el atacante ha obtenido acceso
exitosamente es difícil removerlo.
AVANZADA: El atacante tiene la habilidad de evadir la detección, así como la capacidad
de obtener y mantener el acceso a redes bien protegidas y a la información confidencial
contenida en ellas. Generalmente se adapta fácilmente y cuenta con buenos recursos
tecnológicos y económicos.
b) Fases de una Amenaza Persistente Avanzada
1. Reconocimiento, lanzamiento e infección: El atacante efectúa un reconocimiento de su
objetivo, identifica sus vulnerabilidades, lanza el ataque e infecta los sistemas de
información seleccionados.
17
2. Control, actualización, enumeración y persistencia. El atacante controla los sistemas de
información infectados, actualiza o adiciona sus programas de control, se extiende a otras
máquinas, enumera y recolecta los datos seleccionados.
3. Extracción y compromiso: El atacante extrae la información de los sistemas de
información a la red objetivo y la entrega a quien financia el ataque, la vende y
posteriormente, demanda un rescate para evitar su publicidad e incluso comparte y
comercia la información necesaria para que otros tengan acceso a la red.
Las compañías que operan en Colombia enfrentan el reto de consolidar sus negocios y
potenciar su prestigio. La confianza que proyecten a sus clientes, inversionistas y socios
estratégicos serán fundamentales para lograr estos objetivos. Su principal enemigo es el riesgo de
ser víctimas de crímenes económicos que minen su patrimonio e imagen corporativa.
El nivel de incidencia de fraudes reportados en este estudio, especialmente los atribuibles a la alta
dirección, es una clara señal de que es necesario reforzar su capacidad de control y gobierno
corporativo. Por esto se deben asumir estrategias administrativas de riesgos de fraude que sean
efectivas y orientadas a la empresa. Las actividades, mecanismos y controles tienen tres objetivos:
(KPMG, 2013, pág. 1).
Figura 4: Objetivos de una estrategia de administración de riesgos de fraude. Fuente: elaboración propia basado en (KPMG, 2013)
18
4. Normatividad colombiana sobre Ciberseguridad y Ciberdefensa.
4.1 Historia normativa de la seguridad informática en Colombia.
Aquí mencionaremos la normatividad colombiana frente a temas de seguridad
informática, protección de la información y de los datos, donde se preservan integralmente los
sistemas que utilizan las tecnologías de la información y las comunicaciones.
Como primer antecedente encontramos en la Constitución Nacional, el Art. 15
(Constitución Política de Colombia, 1991) que expresa que todas las personas tienen derecho a su
intimidad personal, familiar y a su buen nombre y que el estado debe respetarlos y hacerlos
respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se
hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En
la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías
consagradas en la Constitución.
La ley 527 de 1999 () define y reglamenta el acceso y uso de los mensajes de datos, del
comercio electrónico y de las firmas digitales, establece las entidades de certificación. Será
aplicable a todo tipo de información en forma de mensaje de datos, salvo en los siguientes casos:
En las obligaciones contraídas por el estado colombiano en virtud de convenios o tratados
internacionales. En las advertencias escritas que por disposición legal deban ir necesariamente
impresas en cierto tipo de productos en razón al riesgo que implica su comercialización, uso o
consumo. (Alcaldía de Bogotá, 1999)
La ley 962 de 2005 (Alcaldía de Bogotá, 2005) tiene por objeto facilitar las relaciones de
los particulares con la administración pública, de tal forma que las actuaciones que deban surtirse
ante ella para el ejercicio de actividades, derechos o cumplimiento de obligaciones se desarrollen
19
de conformidad con los principios establecidos en los artículos 83, 84, 209 y 333 de la Carta
Política.
Por tal razón, son de obligatoria observancia los siguientes principios rectores de la
política de racionalización, estandarización y automatización de trámites que detalla la ley 962 de
2005: Sobre la cual se dictan disposiciones sobre racionalización de trámites y procedimientos
administrativos de los organismos y entidades del Estado y de los particulares que ejercen
funciones públicas o prestan servicios públicos. Esta Ley prevé el incentivo del uso de medios
tecnológicos integrados para disminuir los tiempos y costos de realización de los trámites por
parte de los administrados. (Senado de la República, 2005)
Ley 1150 de 2007, denominada Ley de Seguridad de la información electrónica en
contratación en línea. En esta Ley se introducen medidas para la eficiencia y la transparencia en
la Ley 80 de 1993 (Alcaldía de Bogotá, 1993) y se dictan otras disposiciones generales sobre la
contratación con recursos públicos. Específicamente, se establece la posibilidad de que la
administración pública expida actos administrativos y documentos y haga notificaciones por
medios electrónicos, para lo cual prevé el desarrollo del Sistema Electrónico para la Contratación
Pública, SECOP. (Senado de la República, 2007)
La Ley 1266 del 2008 tiene por objeto desarrollar el derecho constitucional que tienen
todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bancos de datos y los demás derechos, libertades y garantías constitucionales
relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el
artículo 15 de la Constitución Política, así como el derecho a la información establecido en el
artículo 20 de la Constitución Política, particularmente en relación con la información financiera
20
y crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras
disposiciones. (Superintendenccia de Industria y Comercio, 2008)
La Ley 1273 del 2009, denominada Ley de la protección de la información y de los datos.
Cuida los sistemas informáticos de los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos. Regula el acceso abusivo a un sistema informático, obstaculización
ilegitima de un sistema informático, intercepción de datos informáticos, daños informáticos, uso
de software malicioso, violación de datos personales, y suplantación de sitios web para capturar
datos personales. A continuación, veremos más en detalle esta ley. (Alcaldía de Bogotá, 2009)
Tabla 1. Ley 1273 del 2009. Fuente: elaboración propia basado en (CONGRESO DE
COLOMBIA, 2009)
LEY 1273 DEL 2009
De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de
los sistemas informáticos
Acceso abusivo a un
sistema informático
El que, sin autorización o por fuera de lo acordado, acceda en todo o
en parte a un sistema informático protegido o no con una medida de
seguridad, o se mantenga dentro del mismo en contra de la voluntad
de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de
prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.
El que, sin estar facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un sistema informático, a los
21
Obstaculización ilegítima
de sistema informático o
red de telecomunicación
datos informáticos allí contenidos, o a una red de
telecomunicaciones incurrirá en pena de prisión de cuarenta y ocho
(48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
mínimos legales mensuales vigentes, siempre que la conducta no
constituya delito sancionado con una pena mayor.
Interceptación de datos
informáticos
El que, sin orden judicial previa intercepte datos informáticos en su
origen, destino o en el interior de un sistema informático, o las
emisiones electromagnéticas provenientes de un sistema informático
que los transporte incurrirá en pena de prisión de treinta y seis (36) a
setenta y dos (72) meses.
Daño Informático
El que, sin estar facultado para ello, destruya, dañe, borre, deteriore,
altere o suprima datos informáticos, o un sistema de tratamiento de
información o sus partes o componentes lógicos, incurrirá en pena
de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Uso de software malicioso
El que, sin estar facultado para ello, produzca, trafique, adquiera,
distribuya, venda, envíe, introduzca o extraiga del territorio nacional
software malicioso u otros programas de computación de efectos
dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1.000 salarios
mínimos legales mensuales vigentes.
El que, sin estar facultado para ello, con provecho propio o de un
tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie,
22
Violación de datos
personales
envíe, compre, intercepte, divulgue, modifique o emplee códigos
personales, datos personales contenidos en ficheros, archivos, bases
de datos o medios semejantes, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100
a 1000 salarios mínimos legales mensuales vigentes.
Suplantación de sitios web
para capturar datos
personales
El que, con objeto ilícito y sin estar facultado para ello, diseñe,
desarrolle, trafique, venda, ejecute, programe o envíe páginas
electrónicas, enlaces o ventanas emergentes, incurrirá en pena de
prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1.000 salarios mínimos legales mensuales vigentes,
siempre que la conducta no constituya delito sancionado con pena
más grave.
Circunstancias de
agravación punitiva
Las penas imponibles de acuerdo con los artículos descritos en este
título, se aumentarán de la mitad a las tres cuartas partes si la
conducta se cometiere:
Sobre redes o sistemas informáticos o de comunicaciones
estatales u oficiales o del sector financiero, nacionales o
extranjeros.
Por servidor público en ejercicio de sus funciones.
Aprovechando la confianza depositada por el poseedor de la
información o por quien tuviere un vínculo contractual con éste.
Revelando o dando a conocer el contenido de la información en
perjuicio de otro.
23
Obteniendo provecho para sí o para un tercero.
Con fines terroristas o generando riesgo para la seguridad o
defensa nacional.
Utilizando como instrumento a un tercero de buena fe.
Si quien incurre en estas conductas es el responsable de la
administración, manejo o control de dicha información, además se
le impondrá hasta por tres años la pena de inhabilitación para el
ejercicio de profesión relacionada con sistemas de información
procesada con equipos computacionales.
De los atentados informáticos y otras infracciones
Hurto por medios
informáticos y semejantes
El que, superando medidas de seguridad informáticas, manipule
un sistema informático, una red de sistema electrónico, telemático
u otro medio semejante, o suplantando a un usuario ante los
sistemas de autenticación y de autorización establecidos.
Transferencia no consentida
de activos
El que, con ánimo de lucro y valiéndose de alguna manipulación
informática o artificio semejante, consiga la transferencia no
consentida de cualquier activo en perjuicio de un tercero, siempre
que la conducta no constituya delito sancionado con pena más
grave, incurrirá en pena de prisión de cuarenta y ocho (48) a
ciento veinte (120) meses y en multa de 200 a 1.500 SMLMV.
24
La ley 1341 de 2009 define los principios y conceptos sobre la sociedad de la información
y la organización de las Tecnologías de la Información y las Comunicaciones –TIC–, crea la
Agencia Nacional de Espectro y se dictan otras disposiciones. Esta ley determina el marco
general para la formulación de las políticas públicas que regirán el sector de las tecnologías de la
información y las comunicaciones, su ordenamiento general, el régimen de competencia, la
protección al usuario. Igualmente lo concerniente a la cobertura, calidad del servicio, promoción
de la inversión en el sector y el desarrollo de estas tecnologías, el uso eficiente de las redes y del
espectro radioeléctrico, así como las potestades del Estado en relación con la planeación, la
gestión, la administración adecuada y eficiente de los recursos, regulación, control y vigilancia
del mismo y facilitando el libre acceso y sin discriminación de los habitantes del territorio
nacional a la Sociedad de la Información. (Alcaldía de Bogotá, 2009)
La ley 1480 de 2011 en el artículo 5, incluye en la definición de las ventas a distancia,
aquellas que se realizan a través del comercio electrónico. El artículo 26 de esta Ley, consagra
que la SIC determinará las condiciones mínimas bajo las cuales operar la información pública de
precios de los productos que se ofrezcan a través de cualquier medio electrónico.
Adicionalmente, el artículo 27 establece que el consumidor tiene derecho a exigir a costa del
productor o proveedor constancia de toda operación de consumo que realice. La factura o su
equivalente, expedida por cualquier medio físico, electrónico o similar podrán hacer las veces de
constancia. (Alcaldía de Bogotá, 2011)
La Ley 1581 de 2012, reglamentada parcialmente por el Decreto 1377 del 2013 y
denominada Ley de protección de datos personales, determina que todas las personas tienen el
derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en
bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se
25
refiere el artículo 15 de la Constitución Política, así como el derecho a la información consagrado
en el artículo 20 de la misma. (Alcaldía de Bogotá, 2012)
De acuerdo con la mencionada Ley, los principios sobre protección de datos son
aplicables a todas las bases de datos, con los límites que se disponen allí mismo, así:
Tabla 2. Principios para el tratamiento de datos personales. Fuente: elaboración propia basado
en (CONGRESO DE COLOMBIA, 2012)
Principio de legalidad en
materia de Tratamiento de
datos
El tratamiento a que se refiere la presente ley es una
actividad reglada que debe sujetarse a lo establecido en ella
y en las demás disposiciones que la desarrollen
Principio de finalidad
El tratamiento debe obedecer a una finalidad legítima de
acuerdo con la Constitución y la Ley, la cual debe ser
informada al Titular.
Principio de libertad
El tratamiento sólo puede ejercerse con el consentimiento,
previo, expreso e informado del Titular. Los datos
personales no podrán ser obtenidos o divulgados sin previa
autorización, o en ausencia de mandato legal o judicial que
releve el consentimiento.
Principio de veracidad o
calidad
La información sujeta a tratamiento debe ser veraz,
completa, exacta, actualizada, comprobable y comprensible.
Se prohíbe el tratamiento de datos parciales, incompletos,
fraccionados o que induzcan a error.
26
Principio de transparencia
En el tratamiento debe garantizarse el derecho del titular a
obtener del responsable del tratamiento o del encargado del
tratamiento, en cualquier momento y sin restricciones,
información acerca de la existencia de datos que le
conciernan.
Principio de acceso y
circulación restringida
El tratamiento se sujeta a los límites que se derivan de la
naturaleza de los datos personales, de las disposiciones de la
presente ley y la Constitución. En este sentido, el
tratamiento sólo podrá hacerse por personas autorizadas por
el titular y/o por las personas previstas en la presente ley.
Principio de seguridad
La información sujeta a tratamiento por el responsable del
tratamiento o encargado del tratamiento a que se refiere la
presente ley, se deberá manejar con las medidas técnicas,
humanas y administrativas que sean necesarias para otorgar
seguridad a los registros evitando su adulteración, pérdida,
consulta, uso o acceso no autorizado o fraudulento
Todas las personas que intervengan en el tratamiento de
datos personales que no tengan la naturaleza de públicos
están obligadas a garantizar la reserva de la información,
inclusive después de finalizada su relación con alguna de las
labores que comprende el tratamiento, pudiendo sólo
27
Principio de confidencialidad
realizar suministro o comunicación de datos personales
cuando ello corresponda al desarrollo de las actividades
autorizadas en la presente ley y en los términos de la misma
La Ley 581 de 2012:
“obliga a todas las entidades públicas y empresas privadas del país a revisar el uso de los datos
personales contenidos en sus sistemas de información y replantear sus políticas de manejo de
información y fortalecimiento de sus herramientas, como entidad responsable del tratamiento.
Igualmente se estableció en el artículo 28 un plazo de seis meses para la implementación y
adaptación de políticas por parte de las empresas que hagan las veces de encargados y/o
responsables del tratamiento de datos” (Certicámara, 2013).
La ley 1621 de 2013 tiene por objeto fortalecer el marco jurídico que permite a los
organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir
adecuadamente con su misión constitucional y legal. Así mismo, esta Ley establece los límites y
fines de las actividades de inteligencia y contrainteligencia, los mecanismos de control y
supervisión y la regulación de la protección a las bases de datos. En el marco de la Ley hay
diversas autoridades que manejan inteligencia tales como UIAF, POLFA, DIPOL, organismos
con función de policía judicial. (Comunicaciones C. d., 2015).
4.1.1 Estructura normativa actual de políticas de Ciberseguridad y Ciberdefensa en
Colombia.
Colombia logró un muy buen resultado en temas de regulación para la prevención y
promoción de la seguridad en los sistemas de protección de datos personales y judicialización de
28
delitos informáticos. De acuerdo con el ranking global de la UIT, Colombia está entre los mejores
países del mundo en manejo de ciberseguridad, que ubica al país en el quinto lugar en el ranking
de las Américas por encima de Chile y México y ocupa el noveno lugar en el ranking mundial
con países como Francia, España, Egipto y Dinamarca (MINTIC, 2015).
Conforme al ranking presentado, el país debe adoptar nuevas medidas que le ayuden a
subir a los primeros lugares de estos estudios. Uno de los retos más grandes es crear conciencia
entre los usuarios de la información y las empresas colombianas acerca de la importancia de
conocer y comprender el contexto de los delitos informáticos y la normatividad existente en
Colombia sobre la protección de la información.
4.2 Iniciativas y planes de acción contra el cibercrimen impulsados por el estado
colombiano
Políticas de Ciberseguridad y Ciberdefensa en Colombia
Los gobiernos de Colombia han apostado de manera decidida por la defensa nacional
digital desde el comienzo del siglo, mediante la formulación de diferentes iniciativas en los
sectores de la sociedad colombiana y la concientización del impacto de esta problemática.
En el año 2011 por medio del CONPES 3701, Colombia adoptó una estrategia integral de
ciberseguridad y ciberdefensa, convirtiéndose así en el primer estado de América Latina en
implementar un esquema de esta envergadura. El CONPES 3701 concentró su programa en seis
ejes estratégicos, de acuerdo como fue presentado en el II foro de ciberseguridad y Ciberdefensa
(Universidad de los Andes , 2015):
29
1. Gobernanza: Alternativas que le permitan al Estado Colombiano, articular y armonizar
su orientación, integrar actores y consolidar esfuerzos en aspectos relacionados con la
Ciberseguridad y Ciberdefensa.
2. Desarrollo de capacidades: fortalecimiento de las instituciones existentes, del recurso
humano, los procesos, la tecnología y las habilidades en Ciberseguridad y Ciberdefensa,
con un enfoque de coordinación y cooperación para permitir que el país pueda
beneficiarse de las ventajas políticas, económicas y sociales que ofrece un ciberespacio
seguro y garantizar la Defensa y Seguridad Nacional.
3. Generación de una cultura de ciberseguridad y ciberdefensa: implementación de
planes y programas que permitan a los actores y responsables de la Ciberseguridad y
Ciberdefensa, prevenir y desarrollar habilidades de respuesta ante amenazas y ataques de
naturaleza cibernética mediante el uso de nuevas tecnologías de la información y
comunicaciones, procesos y procedimientos establecidos en la materia.
4. Infraestructuras críticas cibernéticas nacionales: protección y defensa de la
infraestructura crítica cibernética nacional, se considera fundamental y demanda no solo
la participación de los propietarios y/o operadores de dicha infraestructura, sino también
requiere el concurso del gobierno, la academia, las Fuerzas Militares, Policía Nacional y
de los sectores público y privado.
5. Marco legal y regulatorio: Las leyes y normativas actuales y futuras así como los
convenios internacionales a los cuales la República de Colombia pertenezca o se adhiera,
apalancarán y facultarán la ejecución, la legitimidad y el marco procesal requerido,
relacionado con Ciberseguridad y Ciberdefensa.
6. Cooperación y diplomacia en el ciberespacio: Permite establecer canales de
intercambio de información, recursos y educación en Ciberseguridad y Ciberdefensa con
30
otros países, con organismos nacionales e internacionales, así como fortalecer y estrechar
los lazos diplomáticos en relación con el adecuado uso y aprovechamiento del
ciberespacio.
Una vez definidos los ejes estructurales de los lineamientos sobre ciberseguridad y
ciberdefensa para el país, los objetivos que busca el CONPES 3701 se definen de la siguiente
forma, según documento publicado por el (Ministerio de Tecnologías de la Información y las
Comunicaciones, 2011):
Generales: Fortalecer las capacidades del Estado para enfrentar las amenazas que atentan contra
su seguridad y defensa en el ámbito cibernético (ciberseguridad y Ciberdefensa), creando el
ambiente y las condiciones necesarias para brindar protección en el ciberespacio.
Específicos:
a. Implementar instancias apropiadas prevenir, coordinar, atender, controlar, generar
recomendaciones y regular los incidentes o emergencias cibernéticas para afrontar las
amenazas y los riesgos que atentan contra la ciberseguridad y Ciberdefensa nacional.
Este objetivo permitirá conformar organismos con la capacidad técnica y operativa
necesaria para la defensa y seguridad nacional en materia cibernética. Para alcanzarlo se
hace necesario que el Gobierno Nacional implemente las siguientes instancias:
o Una Comisión Intersectorial encargada de fijar la visión estratégica de la gestión de la
información, así como de establecer los lineamientos de política respecto de la gestión
de la infraestructura tecnológica (hardware, software y comunicaciones), información
pública y ciberseguridad y Ciberdefensa.
31
o El Grupo de Respuesta a Emergencias Cibernéticas de Colombia – colCERT será el
organismo coordinador a nivel nacional en aspectos de ciberseguridad y ciberdefensa.
Será un grupo del Ministerio de Defensa Nacional, integrado por funcionarios civiles,
personal militar y en comisión de otras entidades.
o El Comando Conjunto Cibernético de las Fuerzas Militares – CCOC estará en cabeza
del Comando General de las Fuerzas Militares, quien podrá delegar sus funciones
dentro de las Fuerzas Militares dependiendo de las especialidades existentes en el
sector.
o El Centro Cibernético Policial – CCP: Estará encargado de la ciberseguridad del
territorio colombiano, ofreciendo información, apoyo y protección ante los delitos
cibernéticos.
b. Brindar capacitación especializada en seguridad de la información y ampliar las líneas de
investigación en ciberdefensa y ciberseguridad.
c. Fortalecer la legislación en materia de ciberseguridad y ciberdefensa, la cooperación
internacional y adelantar la adhesión de Colombia a los diferentes instrumentos
internacionales en esta temática.
Este documento busca generar lineamientos de política en ciberseguridad y ciberdefensa
orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas
informáticas que afectan significativamente al país. Adicionalmente, recoge los antecedentes
nacionales e internacionales, así como la normatividad del país en torno al tema. La problemática
central se fundamenta en que la capacidad actual del Estado para enfrentar las amenazas
cibernéticas presenta debilidades y no existe una estrategia nacional al respecto.
32
A partir de ello se establecen las causas y efectos que permitirán desarrollar políticas de
prevención y control ante el incremento de amenazas informáticas. Para la aplicabilidad de la
estrategia se definen recomendaciones específicas a desarrollar por entidades involucradas directa
e indirectamente en esta materia. A continuación, veremos algunos de los objetivos planteados
allí.
La Cámara Colombiana de Informática y Telecomunicaciones (CCIT) se estableció como
centro de coordinación de atención de incidentes de seguridad informática colombiano, en aras de
fomentar el contacto con el sector privado, particularmente con los principales proveedores de
internet en nuestro país.
El Ministerio de la Información y las Telecomunicaciones (TIC) ha llevado a cabo campañas
de sensibilización y conciencia en toda la población, a través de la campaña En TIC confió.
Adicionalmente, el Ministerio de Defensa ha trasmitido la inclusión de cátedras relacionadas con
la Defensa Nacional Digital en todas las escuelas de formación de las Fuerzas Militares y de la
Policía. Más aún, las universidades y otras instituciones educativas colombianas se han adherido
a este plan, al implementar un amplio abanico de programas académicos y de capacitación sobre
la seguridad cibernética y los delitos cibernéticos.
Legislación y Cooperación Internacional
En cuanto al progreso institucional e integración internacional, el Gobierno Nacional de
Colombia también ha evolucionado a buen ritmo. En lo referente a legislación, el Ministerio de
Justicia continúa revisando el Código Penal, específicamente para el tema de tipificación actual
de los delitos informáticos. En esta misma línea, el Ministerio TIC, por medio del Manual de
33
Gobierno en Línea, generó una serie de directrices en temas de seguridad de la información
basadas en estándares internacionales, que deberán ser implementadas por las entidades del sector
público. Por lo cual dentro de las expectativas del CONPES 3701, se establecieron en el eje de
cooperación y diplomacia los siguientes lineamientos, explicados así (Universidad de los Andes ,
2015):
1. Desarrollar un marco para el establecimiento de alianzas con partes interesadas.
2. Desarrollar e implementar una agenda estratégica de cooperación nacional.
3. Desarrollar e implementar una agenda estratégica de cooperación internacional.
4. Implementar estrategias para el desarrollo de la Diplomacia en el Ciberespacio.
5. Adhesión a redes de intercambio de información, reporte de incidentes e investigación de
ciberseguridad y ciberdefensa.
Retos de la Defensa Nacional Digital en Colombia
Pese a los importantes avances mencionados anteriormente, persisten falencias y muchas
tareas pendientes que impiden responder de manera eficiente al elevado nivel de vulnerabilidad
del país ante estas nuevas amenazas cibernéticas. Por tanto, surge la necesidad de implementar
medidas más efectivas que pongan una barrera al incremento de la delincuencia informática por
medio de cuatro ejes fundamentales en los cuales nuestro país debería concentrarse, a saber:
1. Este eje consiste en mejorar la institucionalidad nacional ya que, si bien el CONPES 3701
representó un gran progreso, actualmente los esfuerzos de Colombia para abordar este
tema encuentran un techo por la falta de una visión integral a largo plazo, así como la
descoordinación en las iniciativas realizadas por las diferentes entidades.
34
2. Resulta definitivo implementar una nueva regulación, eficiente y ágil sobre la
investigación de los delitos informáticos. En este frente, la Misión de la OEA aconseja la
creación de unidades especializadas de fiscales con preparación específica para la
investigación y el ejercicio de la acción penal, respecto de los ciberdelitos.
3. En tercera instancia y pese a que existen numerosos avances en materia de cooperación
internacional, Colombia todavía está bastante rezagado en la adhesión a los diferentes
instrumentos internacionales. De esta forma, urge la necesidad de reformar la legislación
colombiana, de tal forma que se armonice con la Convención de Budapest, especialmente
en lo relacionado a las cuestiones de Derecho Procesal. Adicionalmente y con el fin de
facilitar el intercambio rápido de datos, Colombia deberá adherirse al sistema I-24/7, el
cual brinda acceso a todas las bases de datos criminales de la INTERPOL.
4. Nuestro país afronta el reto de crear una concientización en su población sobre la
dimensión de esta problemática en la actualidad. Como se mencionó en la parte
introductoria, la ciberdelincuencia es una amenaza cada vez más latente en nuestra
sociedad y afecta por igual a grandes industrias, entidades gubernamentales y personas
pertenecientes al ciberespacio. Así, se debe incorporar una generalizada cultura de
seguridad de la información basada en la capacidad de todas las personas para gobernar y
administrar los incidentes que se presenten día a día.
Otra iniciativa del gobierno colombiano fue la de organizar una Comisión de Expertos
Internacionales para evaluar el estado de la seguridad cibernética del país, con el apoyo de la
Organización de los Estados Americanos (OEA) en el 2014, para hacer de las tecnologías de
información y comunicaciones una parte integral del plan de desarrollo del país. Se visitaron
instituciones colombianas con responsabilidad en la seguridad cibernética nacional y se
35
escucharon presentaciones de actores relevantes en seguridad cibernética en Colombia. Los
expertos internacionales prepararon una serie de recomendaciones para ser tenidas en cuenta por
el gobierno de Colombia.
La Comisión Internacional de Expertos Internacionales brindó su experiencia en políticas de
seguridad cibernética, marcos institucionales, respuesta a incidentes de seguridad cibernética,
investigación y legislación de delitos cibernéticos, ciberdefensa y cooperación internacional. Las
recomendaciones de los expertos fueron redactadas en sesiones privadas, garantizando un análisis
equilibrado e imparcial de las necesidades y pasos a seguir que deberían ser considerados por el
gobierno colombiano. Aunque la OEA organizó esta comisión internacional de expertos, este
documento no refleja posición u opinión alguna de esta organización internacional.
Se creó un Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea
que hace referencia al conjunto de políticas estratégicas que soportan objetivos de Gobierno en
Línea como la protección de información del individuo, la credibilidad y confianza en el
Gobierno en Línea.
Este establece como elementos fundamentales de la seguridad de la información para los
organismos gubernamentales:
1) La disponibilidad de la información y los servicios.
2) La integridad de la información y los datos.
3) Confidencialidad de la información” (Comunicaciones F. d., 2011)
Según el Diario Oficial No. 48.813 de 6 de junio de 2013 del Ministerio de Defensa
Nacional, por la cual se adiciona la Resolución número 127 del 18 de enero de 2012 se crean y
organizan Grupos Internos de Trabajo del Ministerio de Defensa Nacional , en especial el grupo
36
de Respuesta a Emergencias Cibernéticas de Colombia - ColCERT, el cual tiene como
responsabilidad central la coordinación de la ciberseguridad y ciberdefensa nacional, la cual
estará enmarcada dentro del Proceso Misional de Gestión de la Seguridad y Defensa del
Ministerio de Defensa Nacional.
Su propósito principal es la coordinación de las acciones necesarias para la protección de la
infraestructura crítica del Estado colombiano frente a emergencias de ciberseguridad que atenten
o comprometan la seguridad y defensa nacional. Sus objetivos son:
Coordinar y asesorar a CSIRT's, Centros de Coordinación Seguridad Informática
Colombia y entidades públicas, privadas y la sociedad civil para responder ante incidentes
informáticos.
Ofrecer servicios de prevención ante amenazas informáticas, respuesta frente a incidentes
informáticos, de información, sensibilización y formación en materia de seguridad
informática.
Actuar como punto de contacto internacional con sus homólogos en otros países, así como
con organismos internacionales involucrados en esta técnica.
Promover el desarrollo de capacidades locales/sectoriales, así como la creación de
CSIRT's sectoriales para la gestión operativa de los incidentes de ciberseguridad en las
infraestructuras críticas nacionales, el sector privado y la sociedad civil.
Desarrollar y promover procedimientos, protocolos y guías de buenas prácticas y
recomendaciones de ciberdefensa y ciberseguridad para las infraestructuras críticas de la
nación en conjunto con los agentes correspondientes y velar por su implementación y
cumplimiento.
37
Coordinar la ejecución de políticas e iniciativas público-privadas de sensibilización y
formación de talento humano especializado, relacionadas a la ciberdefensa y
ciberseguridad.
Apoyar a los organismos de seguridad e investigación del Estado para la prevención e
investigación de delitos donde medien las tecnologías de la información y las
comunicaciones.
Fomentar un sistema de gestión de conocimiento relativo a la ciberdefensa y
ciberseguridad, orientado a la mejora de los servicios prestados por el colCERT.
También se creó el Centro Cibernético Policial. Es la dependencia de la Dijín encargada del
desarrollo de estrategias, programas, proyectos y demás actividades requeridas en materia de
investigación criminal contra los delitos que afectan la información y los datos. En Bogotá se
encuentra el núcleo del CCP7 desde el cual opera el laboratorio de informática forense más
grande de Colombia. El CPP también cuenta con ocho laboratorios de informática forense
distribuidos a nivel nacional y 25 unidades de delitos informáticos capacitadas y especializadas
en atacar el cibercrimen. Las funciones que desarrollará serán las siguientes:
Proteger a la ciudadanía de las amenazas y/o delitos cibernéticos.
Responder operativamente ante los delitos cibernéticos, desarrollando labores coordinadas
de prevención, atención, investigación y de apoyo a la judicialización de los delitos
informáticos en el país.
Dar asesoría sobre vulnerabilidades y amenazas en sistemas informáticos.
7 CCP: Centro Cibernético Policial
38
Divulgar información a la ciudadanía, que permita prevenir lo concerniente a pérdida de
disponibilidad, integridad y/o confidencialidad de la información.
Apoyar e investigar en coordinación con el colCERT las vulnerabilidades, amenazas e
incidentes informáticos que afecten la seguridad de la infraestructura informática crítica
de la nación.
Fomentar la concienciación de políticas de seguridad cibernética en coordinación con los
actores involucrados.
Causas del delito informático en Colombia
En el panorama actual de la ciberseguridad nacional, se evidencias algunas causas por las que
las empresas de nuestro país no se encuentran debidamente preparadas para afrontar las amenazas
del cibercrimen, por lo que serán descritas a continuación:
- Vacíos importantes en la legislación
- Poca efectividad en el tratamiento procesal de los ciberdelincuentes.
- Desconocimiento del gobierno corporativo de muchas empresas, frente a los riesgos
derivados del cibercrimen, y por tanto adopción de esquemas débiles de ciberseguridad.
- Desconocimiento por parte del gobierno corporativo de las empresas, de los estándares
internacionales y de las buenas prácticas para gestionar en forma segura las tecnologías de
la información, los sistemas y la información corporativa.
- Alto apetito de riesgos del gobierno corporativo de muchas empresas frente a diferentes
los escenarios de riesgos de cibercrimen (confianza excesiva en que la empresa no se verá
39
afectada por este tipo de amenazas), circunstancia que aumenta su exposición a la
materialización de delitos informáticos.
- Presupuesto limitado de las empresas para implementar medidas de control eficaces para
afrontar los riesgos de cibercrimen y ciberseguridad.
- Aplicación de prácticas de seguridad insuficientes o ineficaces.
- Aumento y perfeccionamiento de las modalidades de estafa, según el capitán Miranda, las
más utilizadas son el Phishing, skimming, ransomware (encriptación de bases de datos e
información sensible), la carta nigeriana y la falsedad personal. (Infolaft , 2014)
Según la edición 67 de la revista publicada por INFOLAFT, el coronel Freddy Bautista señala
que
desafortunadamente no existe una política clara al interior de las organizaciones de carácter privado, y
algunas públicas, acerca del manejo de la gestión de la seguridad de la información. Se ha encontrado
en muchas ocasiones que los funcionarios o personas responsables de gestionar los datos en las áreas
de sistemas, de garantizar la seguridad perimetral informática de las corporaciones y de las empresas
en Colombia no conocen o no agotan las condiciones necesarias para blindar informáticamente a la
empresa. (Infolaf, 2014, pág.1)
Adicionalmente resalta las siguientes causales de aumento en los casos detectados de
cibercrimen en las empresas colombianas:
- Presencia frecuente de delincuentes extranjeros en Colombia que traen técnicas utilizadas
en países de Europa del Este. Según datos que reposan en el CCP, dichos delincuentes
traen malware sofisticado y programas maliciosos que en algunos casos llegan incluso a
controlar remotamente los computadores de directivos o ejecutivos de áreas financieras,
tesorerías y contables de las organizaciones afectadas.
40
- No hay políticas claras en las organizaciones privadas del país para el manejo de
dispositivos móviles, entre ellos las tabletas, los smartphones y los híbridos, por medio de
los cuales se viene manejando una gran cantidad de recursos e información y los cuales
generarían un gran riesgo en caso de extravío.
- Las empresas del sector privado prefieren no denunciar las estafas o extorsiones de las
que son víctimas, por el desconocimiento del proceso de la denuncia o para no evidenciar
falencias en su infraestructura tanto física como lógica y no generar una mala reputación o
una mala imagen ante sus clientes.
En el documento publicado por COLOMBIA DIGITAL que reúne las memorias del ''Foro
Amenazas y retos frente a la seguridad de sitios web'', se reconocen también como causas en la
fuga de datos:
o El hacking 35%
o Divulgación accidental 29%
o Robo o pérdida de un ordenador o unidad 27%
o Apropiación por parte del personal interno 6%
o Fraudes 2%
o El 9.09% de los sitios web atacados en el último año pertenecían al sector de
tecnologías, seguidos de los corporativos con el 6.7%.
41
5. Tendencias y prácticas internacionales sobre seguridad informática.
5.1 Normatividad y convenios internacionales vigentes contra el Cibercrimen (Rango UIT)
La iniciativa de unión en contra del cibercrimen parte normativamente con la publicación
del Convenio de Budapest en el año 2001. Es el resultado de la reunión de los estados miembros
del Consejo de Europa, quienes encaminaron las iniciativas de entendimiento y cooperación
internacional en la lucha contra la ciberdelincuencia, incluyendo las medidas adoptadas por las
Naciones Unidas, la OCDE, la Unión Europea y el G8.
Dichos estados están convencidos de la necesidad de aplicar con carácter prioritario una política
penal encaminada a proteger a la sociedad frente a la ciberdelincuencia, mediante la adopción de
la legislación adecuada y el fomento de la cooperación internacional. Están conscientes de los
profundos cambios provocados por la digitalización, la convergencia y la globalización continua
de las redes informáticas y preocupados por el riesgo de que las redes informáticas y la
información electrónica sean utilizadas para cometer delitos y de que las pruebas relativas a
dichos delitos sean almacenadas y transmitidas por medio de dichas redes. (Ministerio de
Relaciones Exteriores y Concejo de Europa, 2001, pág. 1)
Como se consigna en el convenio se reconoce la necesidad de una cooperación entre los
estados y el sector privado en la lucha contra la ciberdelincuencia. Se busca prevenir los actos
dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas
informáticos, redes y datos informáticos, así como el abuso contra dichos sistemas, redes y datos,
mediante la tipificación de esos actos.
42
De la emisión del convenio contra la ciberdelincuencia firmado en Budapest quedaron en
firme una serie de artículos cuya intención principal era reunir conceptual y normativamente la
tipificación penal de los actos tecnológicos delictivos. A continuación, el detalle de estos:
Tabla 3. Convenio contra la ciberdelincuencia Budapest 2001. Fuente: elaboración propia
basado en Convenio sobre la ciberdelincuencia Budapest, 23.XI.2001
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Delitos contra la
confidencialidad,
integridad
disponibilidad de los
datos y sistemas
informáticos
Cada Parte adoptará las medidas legislativas y de otro tipo que resulten
necesarias para tipificar como delito en su derecho interno la comisión
deliberada e ilegítima de los siguientes actos.
Acceso ilícito: Acceso deliberado e ilegítimo a la totalidad o a una parte
de un sistema informático.
Interceptación ilícita: Interceptación deliberada e ilegítima, por
medios técnicos, de datos informáticos comunicados en transmisiones
no públicas efectuadas al interior o exterior de un sistema informático.
Interferencia en los datos: Es la comisión deliberada e ilegítima de
actos que dañen, borren, deterioren, alteren o supriman datos
informáticos.
Interferencia en el sistema: Obstaculización grave, deliberada e
ilegítima del funcionamiento de un sistema informático mediante la
introducción, transmisión, provocación de datos, borrado, deterioro,
alteración o supresión de datos informáticos
43
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Abuso de los dispositivos: Producción, venta, obtención para su
utilización, importación, difusión u otra forma de puesta a disposición
de un dispositivo, incluido un programa informático, diseñado o
adaptado principalmente para cometer cualquiera de los delitos
previstos anteriormente.
Contraseña: Un código de acceso o datos informáticos similares que
permitan tener acceso a la totalidad o a una parte de un sistema
informático con el fin de que sean utilizados para cometer cualquiera de
los delitos contemplados anteriormente.
La posesión de alguno de los elementos contemplados en los puntos
anteriores con el fin de que sean utilizados para cometer cualquiera de
los delitos previstos anteriormente.
Delitos informáticos
Falsificación informática: Introducción, alteración, borrado o
supresión de datos informáticos que dé lugar a datos no auténticos, con
la intención de que sean tenidos en cuenta o utilizados con efectos
legales como si se tratara de datos auténticos, con independencia de que
los datos sean o no directamente legibles e inteligibles.
44
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Fraude informático: Actos deliberados e ilegítimos que causen un
perjuicio patrimonial a otra persona mediante:
Cualquier introducción, alteración, borrado o supresión de datos
informáticos.
Cualquier interferencia en el funcionamiento de un sistema
informático, con la intención fraudulenta o delictiva de obtener
ilegítimamente un beneficio económico para uno mismo o para
otra persona.
Delitos relacionados
con el contenido
Delitos relacionados con la pornógrafa infantil (toda persona menor de
18 años, la parte podrá establecer un límite de edad inferior, que ser
como mínimo de 16 años)
Producción de pornografía infantil para ser difundida por medio
de un sistema informático.
Oferta o la puesta a disposición de pornografía infantil por
medio de un sistema informático.
Transmisión de pornografía infantil por medio de un sistema
informático,
Adquisición de pornografía infantil por medio de un sistema
informático para uno mismo o para otra persona.
45
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Posesión de pornografía infantil en un sistema informático o en
un medio de almacenamiento de datos informáticos.
Delitos relacionados
con infracciones a la
propiedad intelectual y
derechos afines
Tipificación como delito en su derecho interno a las infracciones de la
propiedad intelectual y según se definan en la legislación, de
conformidad con las obligaciones asumidas en:
Acta de París del 24 de julio de 1971.
Convenio de Berna para la protección de las obras literarias y
artísticas.
Acuerdo sobre los aspectos de los derechos de propiedad
intelectual relacionados con el comercio.
Tratado de la OMPI (Organización Mundial de la Propiedad
Intelectual) sobre la propiedad intelectual.
Convención de Roma.
Otras formas de
responsabilidad y de
sanciones
Tentativa y complicidad
Complicidad intencionada para cometer alguno de los delitos previstos
anteriormente, con la intención de que se cometa ese delito y cuando
dicha tentativa sea intencionada.
Responsabilidad de las personas jurídicas
46
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Exigencia de la responsabilidad (penal, civil o administrativa) a las
personas jurídicas por delitos cometidos por cuenta de las mismas, en
calidad individual, como en su condición de miembro de un rango de
dicha persona jurídica, que ejerza funciones directivas en la misma, en
virtud de:
Un poder de representación de la persona jurídica.
Una autorización para tomar decisiones en nombre de la persona
jurídica.
Una autorización para ejercer funciones de control en la persona
jurídica.
Sanciones y medidas
Aplicación de sanciones efectivas, proporcionadas y disuasorias,
incluidas penas privativas de libertad.
Imposición de sanciones o de medidas penales o no penales efectivas
proporcionadas y disuasorias, incluidas sanciones pecuniarias a las
personas jurídicas consideradas responsables.
DERECHO PROCESAL
Título 1 - Disposiciones
comunes
Ámbito de aplicación de las disposiciones sobre procedimiento
Cada Parte adoptará medidas legislativas y de otro tipo que resulten
necesarias para establecer los poderes y procedimientos previstos en la
47
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
presente sección para los fines de investigaciones o procedimientos
penales específicos.
Condiciones y salvaguardas
“Cada parte debe asegurar que el establecimiento, la ejecución y la
aplicación de los poderes y procedimientos previstos en la presente
sección estén sujetas a las condiciones y salvaguardas previstas en su
derecho interno. Se debe garantizar una protección adecuada de los
derechos humanos y de las libertades, incluidos los derechos derivados
de las obligaciones asumidas en virtud del Convenio del Consejo de
Europa (1950), del Pacto Internacional de derechos civiles y políticos
de las Naciones Unidas (1966), y de otros instrumentos internacionales
aplicables en materia de derechos humanos, que deberán integrar el
principio de proporcionalidad.”
Título 2 - Conservación
rápida de datos
informáticos
almacenados
Conservación rápida de datos informáticos almacenados
Permitir a las autoridades competentes ordenar o imponer la
conservación rápida de determinados datos electrónicos. Deben ser
incluidos los datos sobre el tráfico almacenados por medio de un
sistema informático, en particular cuando existan razones para creer que
los datos informáticos son susceptibles de pérdida o modificación.
48
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Conservación y revelación parcial rápidas de datos sobre el tráfico
Para garantizar la conservación de los datos sobre el tráfico en
aplicación, se deben adoptar las medidas legislativas y de otro tipo que
resulten necesarias, así:
Para asegurar la posibilidad de conservar rápidamente dichos datos
sobre el tráfico con independencia de que en la transmisión de esa
comunicación participaran uno o varios proveedores de servicios.
Para garantizar la revelación rápida a la autoridad competente de la
parte o de una persona designada por dicha autoridad, de un volumen
suficiente de datos sobre el tráfico, con el fin de que dicha parte pueda
identificar a los proveedores de servicio y la vía por la que se transmite
la comunicación.
Título 3 - Orden de
presentación
Orden de presentación
Cada parte adoptará las medidas legislativas y de otro tipo necesarias
para facultar a sus autoridades competentes a ordenar:
49
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Una persona que se encuentre en su territorio que comunique
determinados datos informáticos que posea o que se encuentren
bajo su control, almacenados en un sistema informático o en un
medio de almacenamiento de datos informáticos.
Un proveedor de servicios que ofrezca prestaciones en el
territorio de esa parte que comunique los datos que posea o que
se encuentren bajo su control relativos a los abonados en
conexión con dichos servicios.
Título 4 - Registro y
confiscación de datos
informáticos
almacenados
Registro y confiscación de datos informáticos almacenados
Medidas legislativas y de otro tipo necesarias para facultar a sus
autoridades competentes a registrar o a tener acceso de una forma
similar a:
Un sistema informático o a una parte del mismo, así como a los
datos informáticos almacenados en el mismo.
Un medio de almacenamiento de datos informáticos en el que
puedan almacenarse datos informáticos, en su territorio.
Medidas legislativas y de otro tipo necesarias para facultar a sus
autoridades competentes para confiscar u obtener de una forma similar
datos informáticos en los siguientes casos:
50
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Confiscar u obtener de una forma similar un sistema informático
o una parte del mismo, o un medio de almacenamiento de datos
informáticos.
Realizar y conservar una copia de dichos datos informáticos.
Preservar la integridad de los datos informáticos almacenados de
que se trate.
Hacer inaccesibles o suprimir dichos datos informáticos del
sistema informático al que se ha tenido acceso.
Título 5 - Obtención en
tiempo real de datos
informáticos
Obtención en tiempo real de datos sobre el tráfico
Adoptar medidas legislativas y de otro tipo necesarias para facultar a
sus autoridades competentes a:
Obtener o grabar mediante la aplicación de medios técnicos
existentes en su territorio.
Obligar a un proveedor de servicios, dentro de los límites de su
capacidad técnica.
Obtener o grabar mediante la aplicación de medios técnicos
existentes en su territorio.
51
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Prestar a las autoridades competentes su colaboración y su
asistencia para obtener o grabar en tiempo real los datos sobre el
tráfico asociados a comunicaciones específicas transmitidas en
su territorio por medio de un sistema
Interceptación de datos sobre el contenido
Adoptar medidas legislativas y de otro tipo necesarias para facultar a las
autoridades competentes, por lo que respecta a una serie de delitos
graves que deberán definirse en su derecho interno a:
Obtener o a grabar mediante la aplicación de medios técnicos
existentes en su territorio.
Obligar a un proveedor de servicios dentro de los límites de su
capacidad técnica.
Obtener o a grabar mediante la aplicación de los medios
técnicos existentes en su territorio.
Prestar a las autoridades competentes su colaboración y su
asistencia para obtener o grabar en tiempo real los datos sobre el
contenido de determinadas comunicaciones en su territorio,
transmitidas por medio de un sistema informático.
JURISDICCIÓN
52
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Jurisdicción
Adopción de medidas legislativas y de otro tipo necesarias para afirmar
su jurisdicción respecto de cualquier delito previsto anteriormente
siempre que se haya cometido así:
En su territorio
A bordo de un buque que enarbole pabellón de dicha parte.
A bordo de una aeronave matriculada según las leyes de dicha
parte.
Por uno de sus nacionales, si el delito es susceptible de sanción
penal en el lugar en el que se cometió o si ningún estado tiene
competencia territorial respecto del mismo.
B. COOPERACION INTERNACIONAL
PRINCIPIOS GENERALES
Título 1 - Principios
generales relativos a la
cooperación
internacional
Principios generales relativos a la cooperación internacional
Las Partes cooperarán entre sí en la mayor medida posible, en la
aplicación de los instrumentos internacionales sobre cooperación
internacional en materia penal. Especialmente sobre los acuerdos
basados en legislación uniforme o recíproca y de su derecho interno,
para los fines de las investigaciones o los procedimientos relativos a los
delitos relacionados con sistemas y datos informáticos o para la
obtención de pruebas electrónicas de los delitos.
53
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Título 2 - Principios
relativos a la
extradición
Extradición
Se aplicará la extradición entre las Partes por los delitos establecidos
anteriormente, siempre que estén castigados en la legislación de las dos
partes implicadas con una pena privativa de libertad de una duración
máxima mínimo un año, o con una pena más grave. (Convenio Europeo
de Extradición (STE No. 24).
Cada Parte comunicará al Secretario General del Consejo de Europa, en
el momento de la firma o del depósito de su instrumento de ratificación,
la aceptación, aprobación o adhesión, el nombre y la dirección de cada
autoridad responsable del envío o de la recepción de solicitudes de
extradición o de detención provisional en ausencia de un tratado.
Titulo 3 - Principios
generales relativos a la
asistencia mutua
Las Partes se asistirán mutuamente en la mayor medida posible para los
fines de las investigaciones o procedimientos relativos a delitos
relacionados con sistemas y datos.
Información espontánea
Dentro de los límites de su derecho interno, y sin petición previa, una
Parte podrá comunicar a otra Parte información obtenida en el marco de
sus propias investigaciones cuando considere que la revelación de dicha
54
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
información podrá ayudar a la Parte receptora a iniciar o llevar a cabo
investigaciones o procedimientos en relación con delitos previstos en el
presente Convenio. También podrá dar lugar a una petición de
cooperación de dicha Parte en virtud de la cooperación internacional.
Titulo 4 -
Procedimientos
relativos a las
solicitudes de
asistencia mutua en
ausencia de acuerdos
internacionales
aplicables
Procedimientos relativos a las solicitudes de asistencia
mutua en ausencia de acuerdos internacionales aplicables:
cuando entre las Partes requirente y requerida no se encuentre
vigente un tratado de asistencia mutua o un acuerdo basado en
legislación uniforme o recíproca.
Confidencialidad y restricción de la utilización: En ausencia
de un tratado de asistencia mutua o de un acuerdo basado en
legislación uniforme o recíproca que esté vigente entre las
Partes requirente y requerida.
DISPOSICIONES ESPECIALES
Título 1 - Asistencia
mutua en materia de
medidas provisionales
Conservación rápida de datos informáticos almacenados :
una Parte podrá solicitar a otra Parte que ordene o asegure de
otra forma la conservación rápida de datos almacenados por
medio de un sistema informático que se encuentre en el
territorio de esa otra Parte, respecto de los cuales, la Parte
55
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
requirente tenga la intención de presentar una solicitud de
asistencia mutua con vistas al registro o al acceso de forma
similar, la confiscación o la obtención de forma similar, o la
revelación de los datos.
Revelación rápida de datos conservados sobre el tráfico:
cuando, con motivo de la ejecución de una solicitud presentada
de conformidad con el artículo 29 para la conservación de datos
sobre el tráfico en relación con una comunicación específica, la
Parte requerida descubra que un proveedor de servicios de otro
estado participó en la transmisión de la comunicación, la Parte
requerida revelará rápidamente a la Parte requirente un volumen
suficiente de datos sobre el tráfico para identificar al proveedor
de servicios y la vía por la que se transmitió la comunicación.
Título 2 - Asistencia
mutua en relación con
los poderes de
investigación
Asistencia mutua en relación con el acceso a datos
informáticos almacenados: una Parte podrá solicitar a otra
Parte que registre o acceda de forma similar, confisque u
obtenga de forma similar y revele datos almacenados por medio
de un sistema informático situado en el territorio de la Parte
56
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
requerida, incluidos los datos conservados en aplicación del
artículo 29.
Acceso transfronterizo a datos almacenados, con
consentimiento o cuando estén a disposición del público.
Asistencia mutua para la obtención en tiempo real de datos
sobre el tráfico.
Título 3 - Red 24/7
24 horas-siete días
Cada Parte designará un punto de contacto disponible las veinticuatro
horas del día, siete días a la semana, con objeto de garantizar la
prestación de ayuda inmediata para los fines de las investigaciones o
procedimientos relacionados con delitos vinculados a sistemas y datos
informáticos, o para la obtención de pruebas electrónicas de un delito.
Dicha asistencia incluirá los actos tendentes a facilitar las siguientes
medidas o su adopción directa, cuando lo permitan la legislación y la
práctica internas:
a. El asesoramiento técnico.
b. La conservación de datos en aplicación de los artículos 29 y 30.
57
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
c. La obtención de pruebas, el suministro de información jurídica y
la localización de sospechosos.
El punto de contacto de una Parte estará capacitado para mantener
comunicaciones con el punto de contacto de otra Parte con carácter
urgente.
Si el punto de contacto designado por una Parte no depende de la
autoridad o de las autoridades de dicha Parte responsables de la
asistencia mutua internacional o de la extradición, el punto de contacto
velará por garantizar la coordinación con dicha autoridad o autoridades
con carácter urgente.
Cada Parte garantizará la disponibilidad de personal debidamente
formado y equipado con objeto de facilitar el funcionamiento de la red.
Considerando la emisión de la normatividad establecida dentro del convenio de Budapest,
los países participantes aplicaron inmediatamente dichos artículos a sus legislaciones propias, lo
cual desencadenó que gobiernos fuera del Consejo de Europa encaminaran sus iniciativas de
ciberseguridad hacia los estándares de cooperación internacional que ya se estaban consolidando.
58
Comienzan a surgir dentro de los países adoptantes, leyes sobre la ciberseguridad de sus redes
informáticas. Las más representativas y sonadas a nivel internacional son detalladas en el
documento Delitos Informáticos en Latinoamérica (Temperini, 2015): Un estudio de derecho
comparado 1ra. Parte:
a) Argentina - Código Penal, Ley 26.388 (2008), Ley 25.326 (2000)
A partir de junio de 2008, la Ley 26.388 también conocida como la ley de delitos
informáticos ha incorporado y realizado una serie de modificaciones al Código Penal argentino.
Es decir, la misma no regula este tipo de delitos en un cuerpo normativo separado del Código
Penal (CP) con figuras propias o independientes, sino que dicha ley modifica, sustituye e
incorpora figuras típicas a diversos artículos del CP, actualmente en vigencia. Se modificó el
Epígrafe del Capítulo III cuyo nuevo título es "Violación de Secretos y de la Privacidad". Los
artículos que modifica o agrega son: 128, 153, 153 bis, 155, 157, 157 bis, 173, 183, 184, 197,
255. El art. 157 bis ya había sido incorporado por la Ley 25.326 de Protección de Datos
Personales (2000) pero fue modificado por la Ley 26.388.
b) Bolivia - Código Penal, Ley 1.768 (1997), Ley 3325 (2006) y la Ley 1.768
Realiza una reforma general al Código Penal. Allí incorpora como Capítulo XI, del Título
XII, del Libro Segundo del Código Penal, el de "DELITOS INFORMÁTICOS". Dentro de este
capítulo, se incorporan 2 artículos: 363 bis y ter, en cuyos textos se tipifica algunos delitos
informáticos.
c) Brasil - Ley 12.737 (2012), Ley 11.829 (2008).
59
En la Ley 12.737, de reciente creación (2012), se dispone la tipificación criminal de los
delitos informáticos y otras providencias. En su regulación incorpora modificaciones para los
artículos 154-A, 154-B, 266 y 298. Por su parte, la Ley 11.829 regula el Estatuto de la Niñez y la
Adolescencia, para mejorar la lucha contra la producción, venta y distribución de pornografía
infantil, así como tipifica como delito la adquisición y posesión de dicho material y otros
comportamientos relacionados con la pedofilia en internet.
d) Chile - Ley 19.223 (1993), Ley 20.009 (2005), Ley 18.168 (2002). La Ley 19.223 es una
ley “Relativa a Delitos Informáticos”
De acuerdo a su propio título, donde regula cuatro artículos, desde los cuáles se tipifican
varios delitos informáticos. La Ley 20.009 regula la responsabilidad para el caso de robo, hurto o
extravío de tarjetas de crédito, en cuyo texto se sancionan algunas conductas relacionadas con
estos aspectos. La Ley 18.168 (modificada por diferentes normativas) regula de manera general
las telecomunicaciones, incorporando algunos tipos penales sobre la interferencia o captación
ilegítima de señales de comunicación.
e) Costa Rica - Ley 9.048 (2012). La Ley 9048 es una modificación importante del Código
Penal de este país.
Inicialmente reforma los artículos 167, 196, 196 bis, 214, 217 bis, 229 bis y 288 de la Ley Nº
4573. Por otro lado, adiciona el inciso 6) al artículo 229 y un artículo 229 ter. Modifica la sección
VIII del título VII del Código Penal, titulándolo "Delitos informáticos y conexos", donde regula
desde el art. 230 hasta el art. 236. En esta modificación bastante integral, agrega una importante
cantidad de delitos informáticos al Código Penal, desde los más tradicionales hasta algunos más
modernos como la Suplantación de Identidad (art. 230) o el espionaje cibernético (art. 231).
60
f) Cuba - Resolución 204/96, Resolución 6/96, Decreto Ley 199/99, Ley de Soberanía
Nacional.
En este país se ha podido acceder a la Resolución 204/96, la cual dispone el Reglamento
sobre la Protección y Seguridad Técnica de los Sistemas Informáticos, junto a la Resolución 6/96
que pone en vigor el Reglamento sobre la Seguridad informática, con medidas establecidas para
la protección y seguridad del Secreto Estatal. Por otro lado, el Decreto Ley 199/99 define como
objetivo fundamental establecer y regular el Sistema para la Seguridad y Protección de la
Información Oficial. Si bien no existe legislación específica para delitos informáticos, se han
encontrado distintas posturas en la doctrina. Por un lado, se opina sobre la necesidad de
regulación especial en la materia, y por otro, se considera que por la forma en que están
abordados algunos delitos y por la filosofía del Código cubano de sancionar por los valores
atacados y por los medios empleados, los tipos penales ya existentes son aplicables.
g) Ecuador - Ley Nº 67/2002 (2002) La Ley No. 67/2002 regula el Comercio Electrónico,
Firmas y Mensajes de datos.
En dicha norma, dentro del Capítulo I del Título V, titulado "DE LAS INFRACCIONES
INFORMÁTICAS", el art. 57 afirma que "Se considerarán infracciones informáticas, las de
carácter administrativo y las que se tipifican, mediante reformas al Código Penal, en la presente
ley." En artículo siguiente, agrega y modifica varios artículos al Código Penal, incorporando
diferentes figuras de delitos informáticos.
h) El Salvador - Decreto 1030 / 1997 (1997)
No se ha encontrado legislación específica sobre la materia. No obstante, posee la adaptación
de ciertos delitos clásicos a las nuevas modalidades informáticas. Entre ellos, se pueden
61
mencionar los siguientes artículos: 172, 185, 186, 190, 208 No.2, 216, 222 No. 2, 228, 230, 231 y
302 del Código Penal de El Salvador.
i) Guatemala
En el Código Penal y dentro de él, posee el Capítulo VII, titulado "De los delitos contra el
derecho de autor, la propiedad industrial y delitos informáticos". Allí incorpora distintos artículos
penales para las figuras de los delitos informáticos, en especial desde el artículo 274 inc. A hasta
el inciso G.
j) México - Reforma 75 del Código Penal Federal (1999)
Mediante reformas se crearon en el Código Penal Federal, los artículos 211 bis 1 al 211 bis 7,
que buscaron tipificar los delitos informáticos clásicos teniendo en consideración la fecha de su
incorporación. Se destaca la diferencia que existe cuando se atenta contra los sistemas de
cómputo que pueden o no, ser parte del sector financiero mexicano. Es importante destacar, que
algunos Estados Mexicanos tienen además sus propias normas penales, incorporando otros
delitos informáticos no analizados en este trabajo.
k) Panamá - Código Penal y sus reformas: Ley 51 (2008)
No se ha encontrado legislación especial en la materia. No obstante, posee la adaptación de
ciertos delitos clásicos a las nuevas modalidades informáticas. Entre ellos pueden citarse los
artículos del 162 a 165, 180, 184, 185, 220, 237, 260, 283 a 286 y 421. Adicionalmente posee la
Ley 51/2008 de Firma Electrónica, en la cual se regula penalmente sobre la falsificación de
documentos.
l) Paraguay - Código Penal – Ley 1.160 (1997), Ley 2.861
62
No se ha encontrado legislación especial sobre la materia. Sin embargo, a partir de distintas
reformas al Código Penal Paraguayo, se han adaptado algunos delitos para la posibilidad de
comisión a través de las nuevas tecnologías y en otros casos se han incorporado tipos penales
específicos (como es el caso del art. 175 de Sabotaje de Computadoras). Los artículos son 144,
146, 173 a 175, 188, 189, 220, 239, 248 y 249.
m) Perú Ley 27.309 (2000), Ley 28.251 (2004)
La Ley 27309 incorpora al Código Penal del Perú los Delitos Informáticos, a través de un
artículo único que modifica el Título V del Libro Segundo del Código Penal, promulgado por
Decreto Legislativo No 635, introduciendo allí los artículos 207 – A – B y C y 208. En otro
orden, la Ley 28.251 actualizó e incorporó distintos delitos contra la integridad sexual, entre
ellos, tipificando la pornografía infantil, a través de la modificación del art 183-A. Perú posee la
Ley 28.493 (2005) que regula el uso del correo electrónico no solicitado (spam), pero en la
misma no incluye ningún tipo de sanción penal.
n) Puerto Rico - Ley 146/2012 (Código Penal) y Ley de Espionaje Cibernético 1165
(2008)
No se ha encontrado legislación especial al respecto. Sin embargo, Puerto Rico ha optado por
la modificación de los tipos penales clásicos con el fin de adaptarlos para su comisión a través de
las nuevas tecnologías. Por otro lado, a través de la Ley de Espionaje Cibernético Nº 1165/2008
sí se han incorporado algunos delitos penales especiales para estas figuras relacionados con el
espionaje.
o) República Dominicana - Ley Nº 53-07 (2007)
63
Posee una Ley Especial contra Crímenes y Delitos de Alta Tecnología. Dicha norma regula
una parte general, conteniendo algunos principios y conceptos para posteriormente tipificar los
delitos informáticos según el bien jurídico afectado. Incluye un capítulo dedicado al aspecto
procesal penal, así como en la propia normativa genera un órgano encargado de la recepción de
denuncias, investigación y persecución de los delitos informáticos.
p) Uruguay - Ley 18.600 (2009), Ley 17.520 (2002), Ley 17.815 (2004), Ley 18.383
(2008), Ley 18.515 (2009)
Si bien no se ha encontrado legislación especial en la materia, se han encontrado diferentes
normativas parcialmente aplicables a la materia. El art. 7 de la Ley 17.815, afirma que
“constituye delito de comunicación la comisión, a través de un medio de comunicación, de un
hecho calificado como delito por el Código Penal o por leyes especiales.”, permitiendo así la
aplicación de los tipos clásicos del CP. La Ley N° 17.520, penaliza el uso indebido de señales
destinadas exclusivamente a ser recibidas en régimen de abonados. La Ley Nº 17.815 regula la
violencia sexual, comercial o no comercial cometida contra niños, adolescentes y discapacitados
que contenga la imagen o cualquier otra forma de representación.
q) Venezuela - Gaceta Oficial Nº 37.313 (2001)
Posee una ley especial sobre Delitos Informáticos. Contiene 33 artículos y están clasificados
en 5 Capítulos a saber: Contra sistemas que utilizan TI. Contra la propiedad. Contra la privacidad
de las personas y las comunicaciones. Contra niños y adolescentes y contra el orden económico.
r) Legislación Europea
64
Directiva 2009/136/CE. Relativa al servicio universal y los derechos de los usuarios con
relación a las redes y los servicios de comunicaciones electrónicas. Directiva 2002/58/CE.
Relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las
comunicaciones electrónicas. Reglamento (CE) nº 2006/2004 sobre la cooperación en materia
de protección de los consumidores. Directiva 2009/140/CE. Modifica la Directiva 2002/21/CE.
Relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas.
Directiva 2002/19/CE. Relativa al acceso a las redes de comunicaciones electrónicas y recursos
asociados y a su interconexión. Directiva 2002/20/CE. Relativa a la autorización de redes y
servicios de comunicaciones electrónicas. (GITS Informatica, 2015)
s) Legislación Norteamericana
Estados Unidos de América aprobó en octubre de 2015 la Ley de ciberseguridad CISA (Ley
de Compartición de Información de Ciberseguridad) “destinada a luchar contra ataques en el
ciberespacio mediante la compartición de datos entre empresas privadas y el Gobierno
Federal”, ante los reiterados ciberataques que se dieron en el país.
Esta Ley aumenta la protección gubernamental para aquellas empresas que voluntariamente
decidan compartir con el Gobierno federal aquellos datos que consideren que podrían constituir
ciberamenazas.
65
Tabla 4. Comparativa Europa Vs EE. UU. En la protección de datos. Elaboración propia basado
en (GITS Informatica, 2015 )
ESTADOS UNIDOS
UNIÓN EUROPEA
a) No dispone de ningún tipo de ley
semejante a la LOPD española.
b) Las sanciones por las diferentes
infracciones contra la protección
de datos se deciden caso por
caso.
c) Las leyes de protección de datos
protegen solo a los ciudadanos
americanos.
a) España cuenta con la Ley Orgánica 15/1999 de 13 de
diciembre de Protección de Datos de Carácter Personal,
(LOPD), cuyo objeto es garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las
libertades públicas y los derechos fundamentales de las
personas físicas, y especialmente de su honor, intimidad y
privacidad personal y familiar.8
b) Las sanciones ya están estipuladas de antemano y cuando
se cometen, se aplica la multa pertinente, dependiendo del
grado de la infracción.
c) Las leyes de protección de datos protegen a todo aquel que
esté dentro de la Unión Europea.
8 https://es.wikipedia.org/wiki/Ley_Org%C3%A1nica_de_Protecci%C3%B3n_de_Datos_de_Car%C3%A1cter_Personal_(Espa%C3%B1a)
66
5.2 Panorama internacional del Ciberdelito
Debido al alcance del Ciberdelito y su trascendencia multilateral por sus canales rápidos y
masivos de dispersión, se le considera como un delito de dimensión internacional, por lo que es
necesario establecer una relación estrecha y de cooperación entre los países
articulando procedimientos para dar una rápida respuesta a los incidentes...Un cierto número de
países basan su régimen de asistencia jurídica mutua en el principio de "criminalidad doble". Las
investigaciones a nivel global se limitan generalmente a los delitos penalizados en todos los países
participantes. Aunque existe un cierto número de delitos que pueden procesarse en cualquier parte
del mundo, las diferencias regionales desempeñan un papel importante. (ITU, 2009, pág. 1)
Para las diferentes organizaciones multilaterales cuyo principio de operación es la
cooperación internacional es prioridad dentro de sus iniciativas fortalecer la ciberseguridad de los
mercados electrónicos mundiales, tal como se describe en el informe para la región de América
Latina y el Caribe de la OEA
Una de las prioridades de la Organización de los Estados Americanos (OEA) es respaldar los
esfuerzos e iniciativas de nuestros Estados Miembros destinados a fortalecer las capacidades
necesarias para que el dominio informático sea más seguro, estable y productivo…combatir los
delitos cibernéticos y fortalecer la resiliencia cibernética eran cuestiones imperativas para el
desarrollo económico y social, la gobernanza democrática, la seguridad nacional y la de los
ciudadanos. (OEA, 2014)
Para adelantar dichos esfuerzos e iniciativas el compromiso debe ser un esfuerzo entre el
sector público, privado y el sector académico, para que desde las diferentes perspectivas de
solución al problema del ciberdelito o cibercrimen, se combatan los desafíos a los que se
enfrentan los sistemas informáticos de las empresas en el diario vivir de sus operaciones.
67
Partiendo de convenciones internacionales como la firmada en Budapest, los estados
miembros han fortalecido la seguridad de sus sistemas informáticos, iniciativa que se ha
extendido a países de diferentes regiones que mantienen relaciones comerciales a nivel global.
Dichos países se han unido en contra del cibercrimen para fortalecer sus regulaciones en materia
procesal y penal. Se han tipificado aquellas conductas que violentan y afectan la seguridad de los
sistemas informáticos y de sus usuarios, considerando el aumento en la última década de
dispositivos, sistemas redes y servicios a lo largo de las redes tecnológicas mundiales.
La UIT9 en su preocupación contra el ciberdelito, también ha encaminado sus esfuerzos
para elaborar una guía con la cual le ayudan a los países a comprender los aspectos jurídicos de la
ciberseguridad y armonizar el marco legal…tiene por objeto ayudar a los países en desarrollo a
entender mejor las implicaciones nacionales e internacionales de las ciberamenazas en constante
crecimiento, evaluar los requisitos de los actuales instrumentos nacionales, regionales e
internacionales y colaborar con los países para establecer unas bases jurídicas sólidas. (ITU,
2009).
En la siguiente guía se planteó una tipología inicial para el ciberdelito, que contempla la
siguiente clasificación, la cual será de ayuda para reglamentar la legislación ante las nuevas
amenazas de seguridad:
9 Unión Internacional de Telecomunicaciones (UIT) organismo especializado en telecomunicaciones de la Organización de las Naciones Unidas (ONU), sigla original en inglés ITU.
68
Tabla 5. Tipología del Ciberdelito. Fuente: elaboración propia basado en (ITU, 2009)
Delitos contra la
confidencialidad, la
integridad y la
disponibilidad de los
datos y sistemas
informáticos
Delitos
relacionados con
el contenido
Delitos en materia
de derechos de autor
y de marcas
Combinación de
delitos
Acceso ilícito
(piratería de
sistemas y
programas).
Espionaje de datos.
Intervención ilícita.
Manipulación de
datos
Ataques contra la
integridad del
sistema.
Material erótico
o pornográfico
(excluida la
pornografía
infantil).
Pornografía
infantil
Delitos contra
la religión.
Juegos ilegales
y juegos en
línea
Delitos en materia
de derechos de
autor.
Delitos en materia
de marcas.
Delitos
informáticos
Fraude y fraude
informático.
Falsificación
informática.
Robo de identidad.
Ciberterrorismo.
Guerra
informática.
Ciberblanqueo
de dinero.
Phishing.10
10 El termino Phishing es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener
información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima. https://www.infospyware.com/articulos/que-es-el-phishing/
69
Difamación e
información
falsa
Correo basura y
amenazas
conexas
Otras formas de
contenido
ilícito.
Utilización
indebida de
dispositivos.
Tal como lo resalta la OEA, los gobiernos de la región se esforzaron por mantenerse al día
con un contexto en evolución y lograron algunos avances notables, tanto a nivel regional como
nacional. A nivel regional, a pesar de la existencia de obstáculos y complicaciones persistentes,
las autoridades nacionales competentes, entre ellas, los equipos de respuesta ante incidentes
cibernéticos (CSIRT, también denominados CERT o CIRT) y los organismos policiales,
compartieron más información y cooperaron a nivel técnico con mayor intensidad que en el
pasado, a menudo con resultados positivos. Para muchos países, la cooperación en tiempo real
como respuesta a incidentes o actividades delictivas que estaban teniendo lugar, se volvió más
frecuente, además de más eficiente y eficaz. Los socios regionales e internacionales siguieron
desempeñando un papel clave en lo que respecta a reunir a los funcionarios gubernamentales con
el fin de desarrollar capacidades, fortalecer relaciones y compartir conocimientos y experiencias,
además de brindar asistencia a cada gobierno según sus necesidades específicas. Y si bien las
iniciativas orientadas a elaborar estándares regionales oficiales no han dado frutos, no caben
70
dudas de que se han elevado las expectativas acerca de lo que se espera de las autoridades
nacionales para aumentar la seguridad del dominio cibernético. (OEA, 2014)
La preocupación de los estados miembros de las organizaciones internacionales que se
han pronunciado sobre la ciberseguridad, radica en el aumento de las amenazas y
vulnerabilidades de los sistemas informáticos. Estas representan pérdidas financieras
considerables y acceso a información privada, que no distingue como víctimas a usuarios
jurídicos y naturales y en los peores casos se violentan los sistemas informáticos
gubernamentales. Tanto hackers como crackers han mejorado la infraestructura de sus ataques
volviéndolos más certeros y dañinos. Así, al 2013 las tendencias de ataques trascienden del
inicial malware al ciberespionaje financiero y gubernamental.
El avance de las perdidas por el cibercrimen aumenta a grandes pasos devengando
grandes beneficios, mientras que la perspectiva de capturar a los hackers y estafadores en línea
demostró ser limitada en todas las jurisdicciones… representado altos costos por delitos
cibernéticos en 2013…. se estima que ascendieron a por lo menos USD 113,000 millones, suma
suficiente para comprar un iPad a toda la población de México, Colombia, Chile y Perú….
Solamente en Brasil, los costos de los delitos cibernéticos alcanzaron los USD 8,000 millones,
seguidos por México con USD 3,000 millones y Colombia, con USD 464 millones. A nivel
mundial, 1de cada 8 violaciones de datos dieron como resultado la exposición de 10 millones de
identidades. además, la cantidad de ataques dirigidos se incrementó. (OEA, 2014).
Con el aumento de usuarios de redes informáticas respecto al 2012 en un 12%, los
usuarios aumentaron el uso de información personal y financiera desde sus dispositivos móviles o
de hogar, aumentándose las violaciones a la ciberseguridad y los ataques masivos a los sistemas
71
informáticos de personas físicas y empresas. Inicialmente se conocían violaciones de datos en
puntos PoS11, cuya anatomía de delito es la siguiente:
Figura 5. Violación de datos en puntos de venta POS Etapas. Fuente: Elaboración propia basado en (OEA, 2014)
Se considera que la mayoría de establecimientos comerciales a nivel mundial utilizan
sistemas POS para su facturación. En total, más de 552 millones de identidades se expusieron
durante 2013 en todo el mundo, lo que permitió a distintos delincuentes acceder a información
sobre tarjetas de crédito, fechas de nacimiento, números de documentos de identidad, domicilios
particulares, historias clínicas, números de teléfono, información financiera, direcciones de
correo electrónico, claves de acceso, contraseñas y otra clase de información personal. Para
comprender la magnitud del delito, podemos señalar que las tarjetas de crédito robadas pueden
venderse por un valor de hasta USD 100 en el mercado negro, lo que hace de las violaciones de
datos una actividad sencilla y de bajo riesgo para los ciberdelincuentes, pero sin duda rentable.
(OEA, 2014).
11 Sistema de Punto de Venta, (también conocido como EPOS en Europa) es un sistema electrónico ampliamente usado en el comercio minorista y la hostelería. Su función principal es la venta de productos de cotejo, el inventario y el comportamiento de compra del cliente, se considera imprescindible en el sector del comercio minorista moderno. (ACULA, 2015)
72
Los ciberataques cometidos comúnmente son los conocidos como “spear-phishing”12.
Ataques dirigidos por correo electrónico y “watering-hole”13 infección a través de sitios web,
buscando una afectación económica para la victima mediante la captación fraudulenta de datos
financieros.
Para el 2013 estas fueron las industrias que más se vieron afectadas en la región de
América Latina y el Caribe:
Figura 6: Industrias afectadas en América Latina y el Caribe. Fuente OEA, 2014
El aumento de vulnerabilidades de día cero que son aquellas que han sido descubiertas y
explotadas por los posibles atacantes antes de que se conozca su existencia y se publique un
parche que las solucione. Aumentaron en el 2013 un 61% con relación al 2012. Esto es
12 El spearphishing es un correo electrónico diseñado con ingeniería social con el objeto de engañar a una persona o un pequeño grupo de personas y realizar un ataque dirigido. (OEA, 2014) 13 Un ataque “watering-hole”, por su parte, requiere que los atacantes infiltren un sitio web legítimo visitado por sus víctimas, instalen un código malicioso y luego esperen que estas víctimas caigan en la trampa. (OEA, 2014)
Comercio minorista 0,5%
Minería 1%
Servicios no tradicionales 3%
Otros 3%
Comercio mayorista 9%
Finanzas y seguros 10%
Servicios profesionales (contables, jurídicos, ingeniería, salud) 20%
Construcción 23%
manufactura 30%
73
preocupante ya que demuestra que los Hacker tienen medios más sofisticados para infectar a sus
víctimas sin necesidad de utilizar adjuntos de correo electrónico, enlaces u otros métodos que
puedan suscitar sospechas no deseadas. Para el 2013 se revelaron 6,787 vulnerabilidades, en
comparación con las 5,291 de 2012. (OEA, 2014).
En el 2013 este era el panorama de ciberdelito cometidos (OEA, 2014):
La industria manufacturera fue la más afectada en 2013, y representó 30% de
todos los ataques perpetrados en América Latina.
En 2013 se revelaron 6,787 vulnerabilidades, en comparación con las 5,291 de
2012.
Las ofertas falsas representaron la mayor cantidad de ataques basados en medios
sociales en 2013, 81%, en comparación con 56% de 2012.
Las estafas basadas en “micro-blogging” representaron 1% del total de ataques
detectados en la categoría de medios sociales, tanto para 2012 como 2013.
La afectación al patrimonio económico de las entidades es el premio más grande para los
ciberdelincuentes por lo que en toda América Latina y el Caribe han aumentado los incidentes
relacionados con los asaltos y troyanos bancarios. Las amenazas actuales están concentradas en
modificar sesiones bancarias e inyectar campos adicionales con la esperanza de robar
información bancaria sensible o secuestrar la sesión.
Algunos de los troyanos bancarios más comunes de este año incluyen Trojan. Tylon36 y
una variante del botnet Zbot llamada Gameover Zeus.37 Infostealer. Bancos, aparece con mucha
frecuencia en América Latina y el Caribe. En el informe “El Estado de los troyanos financieros:
74
2013” de Symantec se concluye que en los primeros tres trimestres de 2013 se triplicó el número
de troyanos bancarios.
Aunque más de la mitad de estos ataques apuntaban a las principales 15 instituciones
financieras, más de 1,400 instituciones fueron víctimas en 88 países de todo el mundo. Los
ataques basados en navegadores siguen siendo moneda corriente, pero también son utilizadas
amenazas móviles para eludir la autenticación a través de mensajes de texto (SMS), que permiten
a los atacantes interceptar mensajes de texto del banco de la víctima.
Estamos ante un panorama preocupante que se viene planteando desde la Conferencia
Mundial de Telecomunicaciones Internacionales de la UIT 2012, el número y el grado de
sofisticación de los ciberataques está aumentando conforme crece nuestra dependencia de internet
y de otros medios para obtener servicios e información críticos. De acuerdo con la compañía de
seguridad McAfee, en 2011 se produjo el mayor número de amenazas descubiertas. Se supone
que existen aproximadamente unos 70 millones de programas malware circulando en todo el
mundo y los teléfonos inteligentes (“smartphones”) se han convertido en el principal medio de su
difusión. Los analistas consideran que al menos el 70% de los correos electrónicos son spam.
El primer Índice Mundial de Ciberseguridad y Perfiles de Ciberbienestar 201514 publicado
por ABIresearc e UIT reveló los perfiles de ciberseguridad de los estados miembros de la UIT,
elaborados a partir de un cuestionario. Como resultado se obtuvo una clasificación global y otra
regional de los países con mejores prácticas en ciberseguridad liderado por Estados Unidos de
América. Los aspectos que se evaluaron fueron los siguientes:
14 El Índice Mundial de Ciberseguridad (IMC) es una medida del nivel de desarrollo de la ciberseguridad de cada Estado nación. El IMC pretende
servir de acicate para que los países intensifiquen sus esfuerzos en materia de ciberseguridad. La meta final consiste en contribuir al fomento de una cultura mundial de ciberseguridad, así como a su integración como elemento fundamental de las tecnologías de la información y la comunicación. https://www.itu.int/pub/D-STR-SECU-2015/es
75
i. Medidas legales
Legislación penal
Reglamentación y conformidad
ii. Medidas técnicas
CERT-CIRT-CSIRT
Normas
Certificación
iii. Medidas orgánicas
Política
Hoja de ruta para la gobernanza
Organismo responsable
Análisis comparativos nacionales
iv. Capacitación
Desarrollo de la normalización
Desarrollo de la mano de obra
Certificación profesional
Certificación de los organismos
v. Cooperación
Cooperación intraestatal
Cooperación intraorganismos
Colaboraciones público-privadas
Cooperación internacional
76
5.2.1. Mejores prácticas Internacionales sobre Ciberseguridad
Reconociendo las tendencias de ciberdelito que se están presentando dentro de los
sistemas informáticos actualmente, la OEA en su informe de tendencias reconoce una serie de
mejores prácticas que disminuyen la vulnerabilidad de los sistemas, a saber:
Tabla 6. Mejores prácticas de Ciberseguridad. Fuente: Elaboración propia basado en el informe
sobre Tendencias de seguridad cibernética en América Latina y el Caribe (OEA, 2014)
Utilizar estrategias de
defensa profunda
Sistemas defensivos múltiples, superpuestos y de soporte mutuo para
protegerse contra fallas de punto único en cualquier tecnología o
método de protección específico. Esto debe incluir la implementación
de firewalls actualizados con regularidad, así como antivirus de
puertas de enlace, sistemas de detección o protección contra
intrusiones (IPS), escaneos de vulnerabilidad de sitios web con
protección contra malware y soluciones de seguridad de puertas de
enlace web en toda la red.
Monitorear para
detectar intentos de
incursión en la red,
vulnerabilidades y
abuso de marca Reciba
Alertas sobre nuevas vulnerabilidades y amenazas en las plataformas
de los diversos proveedores para tomar medidas de reparación
proactivas, mediante alertas de dominio e informes sobre sitios web
ficticios.
Un antivirus en los end
points no alcanza
77
Las versiones actualizadas de software antivirus no brindan una
protección completa, se debe implementar y usar un producto integral
para seguridad extrema, que tenga capas adicionales de protección.
Proteger sus sitios web
contra “Man In The
Middle” (ataques de
intermediarios) e
infecciones de malware
Para proteger la relación de confianza con los clientes se debe:
Configurar “SSL Always On” (protección SSL en su sitio web
desde el inicio hasta el cierre de sesión).
Escanear su sitio web en forma diaria para detectar malware.
Establecer el marcador seguro para todas las cookies de la
sesión.
Evaluar periódicamente su sitio web para detectar
vulnerabilidades.
Mostrar marcas de confianza reconocidas en ubicaciones de
gran visibilidad en su sitio web para demostrar a sus clientes
su compromiso con la seguridad.
Proteger sus claves
privadas
Obtener certificados digitales de una autoridad reconocida y
confiable que demuestre excelentes prácticas de seguridad. Se
recomienda a las organizaciones:
Usar infraestructuras independientes de Firma de Prueba y Firma
de Versión.
Proteger las claves en dispositivos de hardwares seguros,
criptográficos y a prueba de alteraciones.
78
Implementar seguridad física para proteger sus activos contra
robos.
Usar encriptación para
proteger datos sensibles
Implementar y hacer cumplir una política de seguridad que exija que
todo dato sensible sea encriptado.
El acceso a la información sensible debe ser restringido.
Esto debe incluir una solución de Protección Contra Pérdida de Datos
(DLP).
La solución de DLP debe configurarse para identificar y bloquear
acciones sospechosas de copiado o descarga de datos sensible.
Los datos de los clientes también deben estar encriptados.
Asegurarse de que
todos los dispositivos
autorizados con acceso
a las redes de la
empresa tengan
Si se aplica una política de ‘Traiga su propio dispositivo’ (BYOD),
asegurarse de que haya un perfil de seguridad mínimo para todo
dispositivo autorizado a acceder a la red.
79
protecciones de
seguridad adecuadas
Implementar una
política de medios
extraíbles
Restringir los dispositivos no autorizados, tales como discos duros
externos portátiles y otros medios extraíbles, ya que pueden
introducir malware y facilitar las infracciones de propiedad
intelectual, ya sea de manera intencional o no.
Si los dispositivos de medios externos están permitidos,
automáticamente escanearlos en caso de virus ya que se conectan a la
red. También usar una solución para prevenir la pérdida de datos,
monitorear y restringir la copia de información confidencial a
dispositivos de almacenamiento externo sin encriptar.
Tomar medidas
enérgicas de
actualización y
aplicación de parches
Hacer actualizaciones, parcheos y migraciones desde exploradores,
aplicaciones y complementos de exploradores obsoletos e inseguros.
Siempre tenga las últimas versiones disponibles de las definiciones de
prevención de virus e intrusiones utilizando los mecanismos de
actualización automática de los proveedores.
Siempre que sea posible, conviene automatizar las implementaciones
de parches para mantener la protección contra vulnerabilidades en
toda la organización.
80
Aplicar una política de
contraseñas eficaz
Asegurarse de que las contraseñas sean sólidas, con un mínimo de 8-
10 caracteres de largo y con una combinación de letras y números.
Recomiende a los usuarios evitar reutilizar las mismas contraseñas en
distintos sitios web y compartir sus contraseñas con otras personas,
práctica que debería estar prohibida. Las contraseñas se deben
cambiar con regularidad, al menos cada 90 días.
Hacer copias de
seguridad regularmente
Es recomendable crear y mantener copias de seguridad (backups) de
los sistemas críticos y de los extremos con regularidad. Si ocurriera
una emergencia de seguridad o de datos, se debe poder acceder
fácilmente a las copias de seguridad para minimizar el tiempo de
inactividad de los servicios y garantizar la productividad de los
empleados.
Restringir los archivos
adjuntos de correo
electrónico
Configurar los servidores de correo para bloquear o eliminar
mensajes que contengan archivos adjuntos que suelen usarse para
difundir virus, por ejemplo: archivos .VBS, .BAT, .EXE, .PIF y
.SCR. Las empresas deben examinar las políticas relativas a los
archivos .PDF autorizadas a incluirse como datos adjuntos.
81
Asegurarse de que los servidores de correo estén bien protegidos por
software de seguridad y de que los mensajes se escaneen de forma
exhaustiva.
Asegurarse de contar
con procedimientos de
respuesta a infecciones
e incidentes
Tener siempre a mano los datos de contacto de su proveedor de
soluciones de seguridad. Debe saber a quién va a llamar y qué pasos
va a seguir si tiene uno o más sistemas infectados.
Asegurarse de contar con una solución de copias de seguridad y
restauración para recuperar datos perdidos o comprometidos si
ocurriera un ataque exitoso o una pérdida de datos grave.
Aprovechar las funciones de detección post infección de los
cortafuegos y soluciones de seguridad de puertas de enlace web y
extremos para identificar sistemas infectados.
Aislar las computadoras infectadas para prevenir el riesgo de
infectar otros equipos de la organización, y recuperar los datos
usando medios confiables de copias de seguridad.
Si los servicios de red son víctimas de un código malicioso o
alguna otra amenaza hay que deshabilitar o bloquear el acceso a
esos servicios hasta aplicar un parche.
82
Educar a los usuarios
acerca de los protocolos
básicos de seguridad
No abra datos adjuntos si no esperaba recibirlos o si no provienen de
una fuente conocida y confiable, y no ejecute software descargado de
internet (si se permiten dichas acciones), salvo que la descarga haya
sido escaneada para detectar virus y malware.
Se debe tener cuidado al hacer clic en URL en mensajes de correo
electrónico o programas de redes sociales, incluso cuando
provienen de fuentes confiables y amigos.
Implemente soluciones con complementos de reputación de URL
en exploradores web que muestren la reputación de los sitios web
desde las búsquedas.
83
Ante los numerosos ciberataques de la última década y como lo resalta Cano:
Es evidente que los gobiernos no pueden hacer realidad su nueva visión de la defensa, sin una
estrategia concreta de prácticas de seguridad de la información, como base fundamental de su
visión de seguridad nacional, donde cada uno de los individuos reconozcan en la información un
activo fundamental que articula todas las infraestructuras críticas de la nación, y que hace realidad
el sueño de una sociedad informada. Ante esta preocupación por blindar a la sociedad, los
gobiernos han contraatacado violaciones dañinas y certeras a sus sistemas informáticos. (Cano J. ,
2011)
Entre los más sonados se encuentran las acciones adelantadas por los siguientes países como
detalla el informe (Dirección de Estudios Sectoriales, 2009):
Descargue únicamente software (si está permitido) compartido
por la empresa, o directamente del sitio web del proveedor.
Si los usuarios de Windows ven una advertencia que indica que
están “infectados” luego de hacer clic en una URL o de usar un
motor de búsqueda (infecciones de antivirus falsos), se debe
enseñar a los usuarios a cerrar o salir del explorador pulsando Alt-
F4 o CTRL+W o utilizando el administrador de tareas.
84
Alemania: en el año 2009 estableció su primera unidad exclusivamente dedicada a la guerra
cibernética, conformada por 60 oficiales y suboficiales de todas las fuerzas. Está comandada
por un General del Ejército Alemán.
Australia: Creó el Centro de Operaciones Cibernéticas que coordina las acciones estatales
ante los incidentes ocurridos en el ciberespacio. En el Libro Blanco de Defensa de 2009, se
definió a la ciberseguridad como una de las competencias esenciales y vitales para fortalecer
en los próximos 20 años.
China: Tiene una capacidad bien conformada y hombres entrenados dentro del Comando
Cibernético Conjunto (militar y civil). Ha desarrollado una red operativa muy segura para
sus sistemas gubernamentales y militares, haciendo sus redes impenetrables y con un poderío
ofensivo que está en posición de demorar o interrumpir el despliegue de tropas de otros
países.
Corea del norte: Tiene operando desde hace aproximadamente 8 años una unidad de guerra
cibernética, especializada en hackear las redes militares surcoreanas y norteamericanas para
extraer información y examinar sus vulnerabilidades.
Corea del sur: Las entidades civiles han desarrollado un fuerte mecanismo privado de
defensa a los ataques, dada la poca eficiencia de las acciones adelantadas en este sentido por
parte del Estado.
85
Estados Unidos: Creó un Centro de Ciber - Comando Unificado que depende de la Agencia
de Seguridad Nacional (NSA, por sus siglas en inglés). Este Centro optimiza los esfuerzos
hechos por parte de las Fuerzas Militares y otras agencias, y provee al país con la capacidad
de defender la infraestructura tecnológica y de conducir operaciones ofensivas.
Estonia: En 2008 creó conjuntamente con varios países de Europa, la OTAN y Estados
Unidos el Centro Internacional de Análisis de Ciberamenazas. En este centro trabajan 30
personas, entre personal técnico y administrativo. Su presupuesto proviene de los países
participantes de manera compartida.
Francia: Creó la Agencia de Seguridad para las Redes e Información (FINSA), que vigila las
redes informáticas gubernamentales y privadas con el fin de defenderlas de ataques
cibernéticos. Esta agencia depende directamente del Ministro de Seguridad Nacional. Lidera
la Unidad de Ciberseguridad y Ciberdefensa en la OTAN.
De los estudios más recientes y de los aportes más beneficiosos de la guerra contra el
cibercrimen, se encuentra el índice mundial de ciberseguridad y perfiles de ciberbienestar 2015
ITU mencionado anteriormente. En este estudio, que comprende 193 países de las cinco regiones
del mundo basados en los aspectos encuestados, cuales son las mejores prácticas en
ciberseguridad a nivel global. Prácticas que se anteponen a la suspicacia novedosa de los
ciberdelincuentes.
A continuación, un detalle de las buenas prácticas de los países líderes:
86
Tabla 7. Buenas prácticas- Índice mundial de ciberseguridad y perfiles de ciberbienestar 2015
Fuente: Elaboración propia basado en (ABIresearch, ITU, 2015)
REGIÓN AMÉRICAS
Medidas Técnicas
Estados
Unidos
Equipo de Respuesta a Emergencias Informáticas de los Sistemas de Control Industrial
(ICS-CERT) Instituto Nacional de Normas y Tecnología.
– Marco de mejora de la ciberseguridad de las infraestructuras críticas, versión 1.0.
– Serie 800 de publicaciones especiales.
– Norma federal de procesamiento de la información.
– Ciberseguridad para los sistemas inteligentes de fabricación- Iniciativa nacional para la
educación en
ciberseguridad (NICCS).
– Certificados profesionales.
– Marco laboral de la ciberseguridad nacional.
Medidas Jurídicas
Uruguay
Marco de reglamentación sobre la ciberseguridad.
87
– Política sobre seguridad de la información en el sector público.
– Dirección de seguridad de la información.
– Decreto de creación del Centro de Respuesta a Incidentes de Seguridad Informática en el
Uruguay (CERTuy)
– Ley de Protección de Datos Personales y Acción de Habeas Data
– Uruguay es el primer Estado no europeo que se ha adherido al Convenio sobre la
protección de datos personales del Consejo de Europa (2013).
Creación de Capacidades
Brasil
La Asociación Brasileña de Normas Técnicas (ABNT) define las versiones de las normas
ISO CEI para Brasil (por ejemplo, ABNT NBR ISO/CEI serie 27000).
– CEPESC (Centro de Estudios e Investigación en Salud Colectiva) – Centro de
investigación y desarrollo para la seguridad de la comunicación – desarrolla investigación
científica y tecnológica aplicada a proyectos relacionados con la seguridad de las
comunicaciones y, en particular, con la transferencia de tecnología.
– CAIS RNP (Centro de Atención a Incidentes de Seguridad – Red Nacional de Enseñanza e
88
Investigación). Equipo de respuesta ante incidentes de seguridad. Se encarga de la detección,
solución y prevención de los incidentes de seguridad en la red académica de Brasil.
Adicionalmente, de la creación, fomento y divulgación de prácticas de seguridad en las
redes.
– CEGSIC/UnB – Curso de especialización en Gestión de la Seguridad de la Información y
las Comunicaciones
– CGI.br – El Comité de Dirección de Brasil para Internet es el responsable de recomendar
normas técnicas y buenas prácticas relacionadas con Internet y promover las prácticas
óptimas en materia de seguridad.
REGIÓN ESTADOS ÁRABES
Medidas Organizativas
Omán
Estrategia y plan maestro de ciberseguridad de alto nivel, y hoja de ruta de amplio alcance
en cinco dominios.
1 Estructura organizativa.
2 Medidas jurídicas.
3 Creación de capacidades.
89
4 Medidas técnicas y procedimentales.
5 Cooperación regional e internacional.
REGIÓN ASIA – PACÍFICO
Medidas Jurídicas
Australia
Australia se ha adherido al Convenio del Consejo de Europa sobre Ciberdelincuencia. Este
Convenio entró en vigor el 1 de marzo de 2013.
– Ley de reforma de la legislación sobre ciberdelincuencia de 2012, número 120, 2012.
– Red australiana de información en línea sobre la ciberdelincuencia y marco estratégico
contra la ciberdelincuencia.
– La Australian Competition and Consumer Commission (ACCC) (Comisión australiana de
la competencia y el consumidor por sus siglas en inglés) le proporciona asesoramiento sobre
estafas y la manera de denunciarlas.
– La Australian Federal Police (AFP) High Tech Crime Operations (HTCO) (Unidad de
operaciones de la policía federal australiana contra la delincuencia de alto nivel tecnológico)
es la responsable de investigar la delincuencia de alto nivel tecnológico en Australia.
90
- La Australian Securities and Investment Commission (ASIC) (la Comisión de inversiones
y valores de Australia por sus siglas en inglés) investiga las estafas relacionados con
servicios financieros tales como las de suplantación de identidad.
Medidas Técnicas
Malasia
El Malaysia Computer Emergency Response Team (MyCERT) (Equipo de respuesta a las
emergencias informáticas de Malasia) se constituyó el 13 de enero de 1997 y tiene su sede
en las oficinas de CyberSecurity Malaysia.
– El GCERT MAMPU se instituyó en enero de 2001 en el Marco Gubernamental de Política
sobre Seguridad de las TIC (PA 3/2000) para garantizar la continuidad de los sistemas TIC
del Gobierno.
– El GCERT mantiene relaciones con otras 55 agencias CERT.
– Marcos de ciberseguridad nacional.
– National Cyber Security Policy (NCSP) (Política sobre ciberseguridad nacional).
– Arahan 24 (Directiva NSC, número 24).
– Decisión del Consejo de Ministros de 2010.
– Arahan Keselamatan (Dirección de Seguridad) dependiendo de la Chief Government
Security Office (CGSO)
(Oficina de Seguridad Principal del Gobierno).
– NCSP – Política de interés 3: Marco Tecnológico de la Ciberseguridad.
Medidas Organizativas
91
Corea
Medidas nacionales de ciberseguridad para la respuesta sistemática a nivel gubernamental, a
diversas ciberamenazas para la seguridad nacional. Entre ellas tenemos cuatro estrategias
establecidas con el objetivo de construir una ciberseguridad potente:
– Mejorar la agilidad del sistema de respuesta frente a las ciberamenazas.
– Crear un sistema de colaboración inteligente para las agencias pertinentes.
– Hacer más robustas las medidas de seguridad en el ciberespacio.
– Construir una base creativa de la ciberseguridad.
– Plan de normalización de protección de la información personal para promover un
planteamiento genérico de
la gestión de la información y la protección de los sistemas, la tecnología y los derechos.
– Supervisado por el Ministerio de Ciencia, TIC y Planificación Futura.
– Índice nacional de seguridad de la información: Medición objetiva y cuantitativa para
evaluar el nivel de
seguridad de la información del sector privado (empresas y usuarios individuales de
internet) en Corea.
– Actividades políticas de amplio alcance llevadas a cabo con relación a las experiencias de
diversos países y
casos dignos de ejemplo.
Cooperación
92
Japón
En la Región de Asia-Pacífico, el JPCERT/CC colaboró en la creación de APCERT (Asia
Pacific Computer Emergency Response Team- equipo de respuesta ante emergencias
informáticas de Asia-Pacífico). Realiza la función de secretaría de APCERT.
– En todo el mundo, como miembro del Foro sobre los Equipos de Seguridad y Respuesta
ante Incidentes
(FIRST), JPCERT/CC colabora con los CSIRT de confianza en todo el mundo.
– Estrategia internacional sobre ciberseguridad – iniciativa de Japón para la ciberseguridad.
– Cooperación internacional con Estados Unidos, la Unión Europea, Israel y Sudamérica.
– Colaboración con UNGGE, G8, OCDE, APEC, NATO y ASEAN.
– Meridian y la Red de alerta y vigilancia internacional (IWWN).
– Signatario del Convenio de Budapest.
– Programas de intercambio de información del Ministerio de Defensa.
– Alianza para el intercambio de información sobre ciberseguridad en Japón (J-CSIP) del
Ministerio de Economía, Comercio e Industria
REGIÓN EUROPA
Medidas Organizativas
Turquía
Estrategia y Plan de Acción sobre Ciberseguridad Nacional 2013-2014.
93
– El plan de acción consta de 29 acciones principales y 95 subacciones. Asigna
responsabilidades en materia de
legislación, creación de capacidades, desarrollo de infraestructuras técnicas, entre otras.
– Se ha creado el Consejo de Ciberseguridad para determinar las medidas relativas a la
ciberseguridad, aprobar
los planes, programas, informes, procedimientos, principios y normas elaborados, y
garantizar su aplicación y
coordinación.
– Durante los tres últimos años, se han organizado ejercicios de ciberseguridad a nivel
nacional en los que han
participado personas procedentes de los sectores público y privado. Estos ejercicios han
desempeñado un
importante papel en la sensibilización sobre la ciberseguridad y han sido una excelente
herramienta para medir
el desarrollo de ésta.
Creación de capacidades
Reino
Unido De
La Gran
94
Bretaña E
Irlanda
Del Norte
El CESG (Grupo de Seguridad de las Comunicaciones Electrónicas) es el órgano para la
seguridad de la información de GCHQ (Cuartel General de Comunicaciones del Gobierno) y
la Autoridad Técnica Nacional para la Seguridad de la Información en el Reino Unido.
– El CESG es un miembro autorizante del Sistema de Reconocimiento de Criterios
Comunes.
– Además del CESG, los Consejos de Investigación del Reino Unido tienen un programa
denominado “Global
Uncertainties” (incertidumbres a nivel mundial) en el que la ciberseguridad es un aspecto
clave.
– El Reino Unido ha creado una serie de Centros Académicos de Excelencia en
Investigación sobre
ciberseguridad, así como institutos de investigación complementarios, siendo uno de ellos
el Oxford Internet
Institute (Instituto de Internet de Oxford), que posee un centro de creación de capacidades.
– Existe un sistema de certificación de seguridad de la información, gestionado por el
Gobierno, para los
profesionales de la seguridad de la información, denominado CCP.
– El Gobierno del Reino Unido respalda plenamente la certificación IISP y fomenta la
incorporación de nuevos
miembros al IISP y el CCP.
Medidas técnicas
95
Estonia
ISKE es la norma de seguridad de la información desarrollada para el sector público de
Estonia, que tiene carácter obligatorio para las organizaciones gubernamentales estatales y
locales que manejan bases de datos y registros.
– La existencia de un sistema básico de tres niveles corresponde al desarrollo de tres
conjuntos diferentes de
medidas de seguridad para tres requisitos de seguridad diferentes.
– El sistema de cibergobierno e infraestructura TI de Estonia utiliza un sistema de
encriptación de 2048 bits
para gestionar los identificadores electrónicos de Estonia, las firmas digitales y los
sistemas preparados para
X-road.
– Estonia ha implementado una PKI nacional. El Estado organiza las actividades más
importantes relacionadas
con el ámbito de la PKI:
– La recopilación de aplicaciones necesaria para utilizar la PKI (el software de base de la
tarjeta de
identificación), que maneja la Autoridad de los Sistemas de Información (RIA).
– La legislación que determina los requisitos de calidad y confianza de los servicios PKI.
Este ámbito es
96
competencia de los Sistemas de Información del Departamento de Estado del Ministerio
de Asuntos
Económicos y Comunicaciones.
– Expedir los medios para lograr la autorización y firma electrónica (tarjeta de
identificación, etc.). Este
aspecto es competencia de la policía y el Consejo de la Guardia de Fronteras.
97
6. Propuesta de buenas prácticas para cada una de las conductas penales “delitos”
consignados en la Ley 1273 del 2009.
6.1 Limitantes en la normatividad del Estado Colombiano en la prevención del cibercrimen
frente a los adelantos internacionales.
Ante la preocupación del estado colombiano sobre la ciberseguridad de los sistemas
informáticos que interactúan en la infraestructura nacional y teniendo en cuenta el creciente
aumento de usuarios y plataformas transaccionales que se alimentan diariamente de millones de
datos personales y financieros, se han reunido fuerzas desde la emisión del CONPES 3701 del
año 2011.
En él se involucraron los ministerios, departamentos administrativos nacionales y Fiscalía
General de la Nación para emitir lineamientos de ciberseguridad y ciberdefensa que permitieran
establecer un punto de partida para el ataque al cibercrimen.
Dicha iniciativa promovió la creación, bajo la resolución 3933 de 2013, del Grupo de
Respuesta a Emergencias Cibernéticas de Colombia – colCERT como parte de la Dirección de
Seguridad Pública e Infraestructura que ha venido trabajando con apoyo de la policía en una
plataforma de denuncia que permite la interacción con los usuarios víctimas del ciberespacio.
El último plan de gobierno abarca una expansión considerable en la red de
telecomunicaciones colombianas, y paralelo a éste, según encuestas mencionadas anteriormente,
el aumento del cibercrimen es considerable. El estado se ha visto en la necesidad de adelantar una
revisión a dichos lineamientos iniciales sobre ciberseguridad y la aplicación de estos a la realidad
del país, considerando que Colombia cuenta con desafíos adicionales por el conflicto armado que
presenta.
98
Este estudio, se denominó Misión de asistencia técnica en seguridad cibernética, adelantado
en el 2014 por la OEA. Se realizó una revisión detallada, lineamiento por lineamiento bajo las
condiciones actuales de la infraestructura informática colombiana, los sistemas de información y
las condiciones sociales. Como resultado la OEA emitió cinco desafíos y cinco recomendaciones
detalladas a continuación:
Tabla 8. Recomendaciones al documento Conpes 3701. Fuente: Elaboración propia basado en
(OEA, 2014).
DESAFIO
RECOMENDACIÓN
Desafío 1
Los esfuerzos de Colombia para abordar la
ciberseguridad están limitados
por la falta de una visión general clara
La seguridad no es un fin en sí mismo. Es una
herramienta de soporte de objetivos de más alto
nivel.
Aunque el CONPES 3701 representa un
importante paso no aborda los problemas a un
nivel de forma que proporcione una visión
estratégica clara.
En la etapa actual, la comprensión del
Gobierno sobre ese tema (por ejemplo, definición
Recomendación 1
Desarrollar una visión global “la visión” para la
ciberseguridad
La visión debe formular claramente los objetivos
amplios y de alto nivel que se buscan y articularlos
para que sean aplicables a toda la nación.
• Diferenciar claramente los objetivos entre sí:
1. La prosperidad económica y social.
2. La defensa del país (por ejemplo, militar, de
inteligencia, otros).
3. La lucha contra el cibercrimen.
La naturaleza de estos tres objetivos es diferente y
99
de ciberseguridad y ciberdefensa) y los objetivos
generales parecen más bien estar motivados por
consideraciones e intereses institucionales más
que por una visión clara para el país que
trascienda estas consideraciones.
se deben abordar por separado. Sin embargo,
también se superponen en algunas áreas.
Esta superposición debe abordarse específicamente
(por ejemplo, a través de mecanismos de
coordinación adecuados) en vez de volverse la guía
de toda la visión.
Debe ser liderada por el más alto nivel del
gobierno, el cual se asegurará de que:
La visión sea entendida y seguida por todos
al interior del gobierno.
Los tres objetivos anteriores, a veces
contradictorios y que compiten entre sí, se
equilibren para el mejor beneficio de la
nación.
Incluir la cooperación internacional. El
entorno digital es por naturaleza global.
La mayoría de los aspectos de la gestión del riesgo
de la ciberseguridad tienen un carácter
internacional.
Desafío 2
Recomendación 2
100
El enfoque global de la ciberseguridad no se
basa en la gestión de riesgos
Se están adoptando medidas de seguridad sin que
sean el resultado de una evaluación o gestión
sistemática del riesgo. El enfoque actual tiene
como objetivo lograr la seguridad en lugar de
gestionar los riesgos. Un enfoque de gestión de
riesgos tiene como objetivo obtener los beneficios
de un entorno digital para lograr la prosperidad
económica y social.
Colombia es cada vez más digital. Un enfoque de
seguridad (es decir, no basado en la gestión de
riesgos) será cada vez más insostenible y costoso
sin que efectivamente se proteja la economía y la
sociedad.
Esto será especialmente claro con relación a la
protección de infraestructuras críticas.
Desde una perspectiva organizacional, existen dos
cuestiones principales:
1) El nivel más alto de gobierno no cuenta con
una evaluación exhaustiva de la situación de
riesgo global de ciberseguridad en todo el país y
por tanto no puede tomar decisiones basadas en el
riesgo.
Adoptar un enfoque global de la gestión de
riesgos de ciberseguridad
Basar la visión global en un enfoque de
gestión de riesgos.
Establecer un programa nacional de gestión
de riesgos que incluya:
o La evaluación.
o El tratamiento.
o La selección de medidas de seguridad.
o La preparación.
o La recuperación.
o La metodología.
o La sensibilización.
o La formación.
Establecer una capacidad para desarrollar
una evaluación integral de riesgos de
ciberseguridad nacional
101
2) Las actividades en los niveles inferiores no se
basan en la gestión del riesgo.
Desafío 3
La responsabilidad no está distribuida
claramente en todo el gobierno y
algunas instituciones tienen la responsabilidad,
pero no la autoridad o recursos para actuar
El marco institucional es complejo y no es claro
quién es responsable de qué. No hay trazabilidad
en los procesos y así la responsabilidad es vaga, la
coordinación es compleja y los mecanismos no
están claros.
La asignación y planificación de los recursos no
están definidos y no son el resultado de una
evaluación de la situación de riesgo general de
ciberseguridad en todo el país.
La ausencia de una autoridad responsable de la
coordinación general conduce a una posible
duplicación de esfuerzos y menor eficiencia.
Recomendación 3
Establecer un marco institucional claro
Este marco debería establecer un órgano de
coordinación permanente (organismo coordinador)
con un rol que se
extienda por todo el gobierno. Este organismo
debería responder directamente al Presidente.
− Se le debe asignar a la coordinación:
• La autoridad y responsabilidad legal para actuar,
que incluya recursos presupuestales para poder
responder a la visión.
• La responsabilidad de dirigir la formulación de la
política pública para asegurar un enfoque de
conjunto gubernamental coherente.
102
La dinámica institucional existente parece estar
motivada por la asignación de recursos en lugar de
los objetivos de gestión de riesgos de
ciberseguridad.
• El establecimiento de un programa nacional de
gestión de riesgos mencionado.
− Proporcionarle al organismo de coordinación la
capacidad de desarrollar una evaluación integral de
los riesgos de ciberseguridad nacional.
Debería considerarse la posibilidad de localizar el
CERT nacional (actualmente el colCERT), al
interior del órgano coordinador. Este órgano de
coordinación debe garantizar la independencia de
las entidades constitucionalmente establecidas para
ejercer funciones judiciales.
Desafío 4
El mecanismo para integrar a todas las partes
interesadas
(sector privado, academia, sociedad civil y
entidades internacionales) no está lo
suficientemente desarrollado.
Se ha iniciado un diálogo público-privado. Sin
embargo, para llegar al siguiente nivel de madurez
para gestionar el riesgo de la ciberseguridad, este
debe ser mejorado significativamente y deben
participar todos los actores de la economía y la
sociedad.
Recomendación 4
Establecer un proceso sistemático para
involucrar a todos los interesados en el
desarrollo de la estrategia y su implementación.
• Consultar con todas las partes interesadas sobre la
forma de organizar el diálogo sistemático.
• Establecer reglas para consultar sistemáticamente
a todas las partes interesadas en la fase inicial y a lo
largo de la elaboración de políticas.
103
Todas las partes interesadas tienen la
responsabilidad de la gestión de los riesgos de
ciberseguridad, de acuerdo con su función. Por
tanto, la implementación de la visión se basa en su
compromiso completo.
• Sobre la base de los recursos y esfuerzos
existentes se deben crear foros para que todos los
interesados participen en la ejecución de la visión.
• Desarrollar un plan a corto, mediano y largo plazo
para llegar progresivamente a todos los
actores gubernamentales y no gubernamentales.
Desafío 5
Es limitado el enfoque del gobierno en relación
con la protección de la infraestructura crítica
La política de infraestructura crítica está en la
agenda del gobierno y ya se inició un proceso para
su identificación y sobre asuntos relacionados con
la cadena de oferta.
Sin embargo, aún no se ha desarrollado una
definición de lo que es la infraestructura crítica y
por lo tanto se desconoce lo que hay que proteger.
Colombia está en la etapa temprana de la
formulación de la política de infraestructura
crítica.
Recomendación 5
El gobierno debe adoptar una política para la
protección de lainfraestructura crítica, teniendo
en cuenta los aspectos de personal, físicos y
lógicos
• Los aspectos digitales de la política de protección
de la infraestructura crítica debe ser parte de la
visión. El aspecto digital (o ciber) de protección de
la infraestructura crítica debe ser un subgrupo
del enfoque global de la protección de la
infraestructura crítica.
• La política de la infraestructura crítica contribuye
tanto a la prosperidad económica y social del país,
como a su defensa. Por lo tanto, la entidad de
coordinación debe liderar este proceso de
formulación de políticas para asegurar que los
objetivos que a veces compiten entre sí se
104
La mayoría de la infraestructura crítica es
propiedad y está operada por el sector privado y,
por tanto, debe estar en el centro del desarrollo de
la política de protección de infraestructura crítica.
Sin embargo, ese no parece ser el caso en la
política de protección de la infraestructura crítica
que se planea.
equilibren adecuadamente, para el máximo
beneficio del país.
• La descripción de la función del colCERT en el
CONPES 3701 (“Esquema relacional del
colCERT”,
en el gráfico 6) refleja un enfoque apropiado para la
protección de la infraestructura crítica con
respecto a la aplicación de la visión en el ámbito de
la protección de la infraestructura crítica.
Sin embargo, dado que la política de la
infraestructura crítica se sobrepone a la prosperidad
económica y social y a la defensa del país, esta
función debe ubicarse como parte del órgano de
coordinación (y no debería llamarse un “CERT”).
Según el estudio adelantado por la OEA, es evidente que los esfuerzos del estado
colombiano se quedan cortos en varios aspectos ante los nuevos desafíos que crecen conforme
aumentan los usuarios en el ciberespacio. Teniendo en cuenta la opinión de expertos es
necesario que se replanteen puntos del CONPES 3701 que pueden quedarse cortos en el alcance
o cuya aplicación no corresponde con la realidad del país.
Teniendo en cuenta estas recomendaciones, el Estado Colombiano puede replantear
aquellos lineamientos de ciberseguridad nacional que no estén acorde al panorama
internacional. Se debe tener en cuenta las tendencias y prácticas de los países que están a la
vanguardia de la seguridad en el ciberespacio y las respuestas implementadas ante los últimos
ciberataques que desangraron virtualmente las finanzas de las compañías
105
Este es un trabajo mancomunado entre el estado a través de la generación de lineamientos
actualizados y mejores campañas de sensibilización y las empresas tanto públicas como
privadas con el fortalecimiento de la seguridad de sus sistemas de información y la aplicación
de buenas prácticas avaladas por estándares internacionales.
106
6.2 Propuesta de buenas prácticas15 para cada una de las conductas penales o delitos consignados en la Ley 1273 del 2009, que
permitirá a las empresas disminuir la brecha que aumenta el riesgo al cibercrimen.
De acuerdo con la bibliografía consultada, se abordó la posición histórica y actual de la normativa nacional y los lineamientos
sobre ciberseguridad y ciberdefensa propuestos por los organismos de defensa nacional, para contrarrestar el cibercrimen en las
empresas colombianas; de forma paralela se adelantó una investigación de tendencias, prácticas y estándares internacionales vigentes
en este campo de estudio.
Con lo cual nos permitimos presentar un cuadro en el que se unieron los dos ejes de investigación desde la propuesta de buenas
prácticas para cada uno de los nueve delitos de la Ley 1273 del 2009, partiendo de la asignación de procesos catalizadores expuestos
en el marco de referencia COBIT 5 emitido por ISACA, el cual nos permitió mapear adecuadamente las buenas prácticas que reúnen
los estándares internacionales más reconocidos y aplicados, que podrían desde su aplicación en las empresas colombianas, disminuir
las brechas en los controles reduciendo razonablemente el riesgo al cibercrimen.
Adicionalmente, una vez establecidas las buenas prácticas, proponemos iniciativas que surgieron de la revisión del
cumplimiento proyectado del CONPES 3701, la evaluación de este por parte de la OEA, y las mejores prácticas internacionales, que
podría aplicar el estado colombiano para la ejecución total de los lineamientos vigentes y los planes de desarrollo futuros.
15 Las mejores prácticas son directrices que permiten a las empresas modelar sus procesos para que se ajusten a sus propias necesidades, proporcionan a las empresas y/o
organizaciones métodos utilizados para estandarizar procesos y administrar de una mejor manera los entornos de TI. http://olea.org/~yuri/propuesta-implantacion-auditoria-
informatica-organo-legislativo/ch03s02.html
107
Tabla 9: Iniciativas propuestas y basadas en las mejores prácticas internacionales. Fuente: Elaboración propia basado en (Alcaldía de
Bogotá), (ISACA, 2012)
DELITO
PROCESO
COBIT
BUENAS PRACTICAS
ESTANDARES
INTERNACION
ALES
Buenas prácticas
desde la vigilancia
normativa del
Estado Colombiano
Artículo 269A
Acceso abusivo a
un sistema
informático
EDM03.01
Evaluar la gestión
de riesgos
1. Determinar el nivel de riesgos relacionados con las TI que la
empresa está dispuesta a asumir para cumplir con sus objetivos
(apetito de riesgo).
COSO/ERM
ISO/IEC 3100
ISO/IEC 38500
King III (5.5 - 5.7)
Programa de alcance
nacional para la
educación y
sensibilización sobre la
seguridad de la
información, creando
centros forenses y
módulos de formación
dotados de entornos de
educación virtual.
2. Evaluar y aprobar propuestas de umbrales de tolerancia al riesgo TI
frente a los niveles de riesgo y oportunidad aceptables por la empresa.
3. Determinar el grado de alineación de la estrategia de riesgos de TI
con la estrategia de riesgos empresariales.
4. Evaluar proactivamente los factores de riesgo TI con anterioridad a
las decisiones estratégicas de la empresa pendientes y asegurar que
las decisiones de la empresa se toman conscientes de los riesgos.
108
5. Determinar si el uso de TI está sujeto a una valoración y evaluación
de riesgos adecuada, según lo descrito en estándares nacionales e
internacionales relevantes.
6. Evaluar las actividades de gestión de riesgos para garantizar su
alineamiento con las capacidades de la empresa para las pérdidas
relacionadas con TI y la tolerancia de los líderes a los mismos.
DSS05.02
Gestionar la
seguridad de la red
y las conexiones
1. Basándose en el análisis de riesgos y en los requerimientos del
negocio, establecer y mantener una política de seguridad para las
conexiones.
ISO/IEC
27002:2011
NIST SP800-53
Rev 1
ITIL V3 2011
2. Permitir sólo a los dispositivos autorizados tener acceso a la
información y a la red de la empresa. Configurar estos dispositivos
para forzar la solicitud de contraseña.
3. Implementar mecanismos de filtrado de red, como cortafuegos y
software de detección de intrusiones, con políticas apropiadas para
controlar el tráfico entrante y saliente.
4. Cifrar la información en tránsito de acuerdo con su clasificación.
5. Aplicar los protocolos de seguridad aprobados a las conexiones de
red.
109
6. Configurar los equipamientos de red de forma segura.
7. Establecer mecanismos de confianza para dar soporte a la
transmisión y recepción segura de información.
8. Realizar pruebas de intrusión periódicas para determinar la
adecuación de la protección de la red.
9. Realizar pruebas periódicas de la seguridad del sistema para
determinar la adecuación de la protección del sistema.
APO12.03
Mantener un perfil
de riesgo
1. Inventariar los procesos de negocio, incluyendo el personal de
soporte, aplicaciones, infraestructura, instalaciones, registros manuales
críticos, vendedores, proveedores y externalizados y documentar la
dependencia de los procesos de gestión de servicio TI y de los
recursos de infraestructuras TI.
ISO/IEC
27001:2005
(Sección 4)
ISO/IEC
27002:2011
ISO/IEC
31000 (6)
2. Determinar y acordar qué servicios TI y recursos de infraestructuras
de TI son esenciales para sostener la operación de procesos de
negocio.
Analizar dependencias e identificar eslabones débiles.
3. Agregar escenarios de riesgo actuales, por categoría, línea de
negocio y área funcional.
110
4. De forma regular, capturar toda la información sobre el perfil de
riesgo y consolidarla dentro de un perfil de riesgo agregado.
5. Sobre la base de todos los datos del perfil de riesgo, definir un
conjunto de indicadores de riesgo que permitan la identificación
rápida y la supervisión del riesgo actual y las tendencias de riesgo.
6. Capturar información sobre eventos de riesgos de TI que se han
materializado, para su inclusión en el perfil de riesgo de TI de la
empresa.
7. Capturar información sobre el estado del plan de acción del riesgo,
para la inclusión en el perfil de riesgo de TI de la empresa
APO12.04
Expresar el riesgo
1. Informar de los resultados del análisis de riesgos a todas las partes
interesadas afectadas en términos y formatos útiles para soportar las
decisiones de empresa. Cuando sea posible, incluir probabilidades y
rangos de pérdida o ganancia junto con niveles de confianza que
permitan a la dirección equilibrar el retorno del riesgo.
2. Proporcionar a los responsables de la toma de decisiones un
entendimiento de los peores escenarios y los más probables a las
exposiciones y las consideraciones sobre la reputación, legales y
111
regulatorias significativas.
3. Informar el perfil de riesgo actual a todas las partes interesadas,
incluyendo la efectividad del proceso de gestión de riesgos, la
efectividad de los controles, diferencias, inconsistencias,
redundancias, estado de la remediación y sus impactos en el perfil de
riesgo.
4. Revisar los resultados de evaluaciones objetivas de terceras partes,
auditorías internas y revisiones del aseguramiento de la calidad y
mapearlos con el perfil de riesgo. Revisar las diferencias y
exposiciones identificadas para determinar la necesidad de análisis de
riesgos adicionales.
5. De forma periódica, para áreas con un riesgo relativo y una paridad
de capacidad del riesgo, identificar oportunidades relacionadas con TI
que podrían permitir la aceptación de un mayor riesgo y un
crecimiento y retornos mayores.
APO12.06
Responder al riesgo
1. Preparar, mantener y probar planes que documenten los pasos
específicos a tomar cuando un evento de riesgo pueda causar un
112
incidente significativo operativo o evolucionar en un incidente con un
impacto de negocio grave.
Asegurar que los planes incluyan vías de escalado a través de la
empresa.
2. Categorizar los incidentes y comparar las exposiciones reales con
los umbrales de tolerancia al riesgo. Comunicar los impactos en el
negocio a los responsables de toma de decisiones como parte de la
notificación y actualizar el perfil de riesgo.
3. Aplicar el plan de respuesta apropiado para minimizar el impacto
cuando ocurren incidentes de riesgo.
4. Examinar eventos adversos/pérdidas del pasado y oportunidades
perdidas y determinar sus causas raíz. Comunicar la causa raíz,
requerimientos de respuestas adicionales para el riesgo y mejoras de
proceso a los responsables de toma de decisiones apropiados y
asegurarse de que la causa, los requerimientos de respuesta y la
mejora del proceso se incluyan en los procesos de gobierno del riesgo.
APO13.01
1. Definir el alcance y los límites del SGSI en términos de las
características de la empresa, la organización, su localización, activos
ISO/IEC
27001:2005
113
Establecer y
mantener un SGSI
y tecnología. Incluir detalles de y justificación para, cualquier
exclusión del alcance.
(Sección 4)
ISO/IEC
27002:2011
NIST (National
Institute of
Standards and
Technology)
SP800-53 Rev 1
ITIL V3 2011 (4.7)
2. Definir un SGSI de acuerdo con la política de empresa y alineada
con la Organización, localización, activos y tecnología.
3. Alinear el SGSI con el enfoque global de la gestión de la seguridad
en la empresa.
4. Obtener autorización de la dirección para implementar y operar o
cambiar el SGSI.
5. Preparar y mantener una declaración de aplicabilidad que describa
el alcance del SGSI.
6. Definir y comunicar los roles y las responsabilidades de la gestión
de la seguridad de la información.
7. Comunicar el enfoque de SGSI.
APO13.03
Supervisar y
revisar el SGSI
1. Realizar revisiones periódicas del SGSI, incluyendo aspectos de
políticas, objetivos y prácticas de seguridad del SGSI. Considerar los
resultados de auditorías de seguridad, incidentes, resultados de
mediciones de efectividad, sugerencias y retroalimentación de todas
las partes interesadas.
114
2. Realizar auditorías internas al SGSI a intervalos planificados.
3. Realizar revisiones periódicas del SGSI por la Dirección para
asegurar que el alcance sigue siendo adecuado y que se han
identificado mejoras en el proceso del SGSI.
4. Proporcionar información para el mantenimiento de los planes de
seguridad para que consideren las incidencias de las actividades de
supervisión y revisión periódica.
5. Registrar las acciones y los eventos que podrían tener un impacto en
la efectividad o el desempeño del SGSI.
Articulo 269B
Obstaculización
ilegítima de
sistema
informático o red
de
telecomunicación
EDM03.02
Orientar la gestión
de riesgos
1. Promover una cultura consciente de los riesgos TI e impulsar a la
empresa a una identificación proactiva de riesgos TI, oportunidades e
impactos potenciales en el negocio. COSO/ERM
ISO/IEC 3100
ISO/IEC 38500
King III (5.5 - 5.7)
Establecer un Índice
nacional de seguridad
de la información:
Medición objetiva y
cuantitativa para
evaluar el nivel de
seguridad de la
información del sector
2. Orientar la integración de las operaciones y la estrategia de riesgos
de TI con las decisiones y operaciones empresariales estratégicas.
3. Orientar la elaboración de planes de comunicación de riesgos
(cubriendo todos los niveles de la empresa), así como los planes de
acción de riesgo.
115
4. Orientar la implantación de mecanismos apropiados para responder
rápidamente a los riesgos cambiantes y notificar inmediatamente a los
niveles adecuados de gestión, soportados principios de escalado
acordados (qué informar, cuándo, dónde y cómo).
privado (empresas y
usuarios individuales de
Internet).
5. Orientar para que el riesgo, las oportunidades, los problemas y
preocupaciones puedan ser identificadas y notificadas por cualquier
persona en cualquier momento. El riesgo debe ser gestionado de
acuerdo con las políticas y procedimientos publicados y escalados a
los decisores relevantes.
6. Identificar los objetivos e indicadores clave de los procesos de
gobierno y gestión de riesgos a ser monitorizados y aprobar los
enfoques, métodos, técnicas y procesos para capturar y notificar la
información de medición.
APO13.02
Definir y gestionar
un plan de
tratamiento del
riesgo de la
1. Formular y mantener un plan de tratamiento de riesgos de seguridad
de la información alineado con los objetivos estratégicos y la
arquitectura de la empresa. Asegurar que el plan identifica las
prácticas de gestión y las soluciones de seguridad apropiadas y
óptimas, con los recursos, las responsabilidades y las prioridades
ISO/IEC
27001:2005
(Sección 4)
ISO/IEC
116
seguridad de la
información
asociadas para gestionar los riegos identificados de seguridad de
información.
27002:2011
ISO/IEC 31000 (6)
2. Mantener un inventario de componentes de la solución
implementados para gestionar los riesgos relacionados con la
seguridad como parte de la arquitectura de la empresa.
3. Desarrollar propuestas para implementar el plan de tratamiento de
riesgos de seguridad de la información, sustentados en casos de
negocio adecuados que incluyan consideren la financiación la
asignación de roles y responsabilidades.
4. Proporcionar información para el diseño y desarrollo de prácticas de
gestión y soluciones seleccionadas en base al plan de tratamiento de
riesgos de seguridad de información.
5. Definir la forma de medición de la efectividad de las prácticas de
gestión seleccionadas y especificar la forma de utilizar estas
mediciones para evaluar la efectividad y producir resultados
reproducibles y comparables.
6. Recomendar programas de formación y concienciación en
seguridad de la información.
117
7. Integrar la planificación, el diseño, la implementación y la
supervisión de los procedimientos de seguridad de información y otros
controles que permitan la prevención y detección temprana de eventos
de seguridad, así como la respuesta a incidentes de seguridad.
Artículo 269C
Interceptación
de datos
informáticos
APO01.06
Definir la
propiedad de la
información (datos)
y del sistema
1. Proveer políticas y directrices para asegurar la adecuación y
consistencia de la clasificación de la información (datos) en toda la
empresa.
ISO/IEC 20000 (3.1
- 4.4)
ISO/IEC 27002 (6)
ITIL V3 2011
(25.7)
Desarrollar un
documento de acceso
público que contenga
los requisitos mínimos
para la seguridad de la
información digital de
las instituciones
gubernamentales,
públicas y privadas.
2. Definir, mantener y proporcionar herramientas adecuadas, técnicas
y directrices para garantizar la seguridad y control efectivo sobre la
información y los sistemas en colaboración con el propietario.
3. Crear y mantener un inventario de la información (sistemas y datos)
que incluya un listado de los propietarios, custodios y clasificaciones.
Incluir los sistemas subcontratados y aquellos cuya propiedad debe
permanecer dentro de la empresa.
4. Definir e implementar procedimientos para asegurar la integridad y
consistencia de toda la información almacenada en formato
electrónico, tales como bases de datos, almacenes de datos (data
warehouses) y archivos de datos.
118
APO12.01
Recopilar datos
1. Establecer y mantener un método para la recogida, clasificación y
análisis de datos relacionados con riesgo de TI, dando cabida a
múltiples tipos de eventos, múltiples categorías de riesgo de TI y
múltiples factores de riesgo.
ISO/IEC
27001:2005
(Sección 4)
ISO/IEC
27002:2011
ISO/IEC 31000 (6)
2. Registrar datos relevantes sobre el entorno de operación interno y
externo de la empresa que pudieran jugar un papel significativo en la
gestión del riesgo de TI.
3. Medir y analizar los datos históricos de riesgo de TI y de pérdidas
experimentadas tomados de datos y tendencias externas disponibles,
empresas similares de la industria – basados en eventos registrados,
bases de datos y acuerdos de la industria sobre divulgación de eventos
comunes.
4. Registrar datos sobre eventos de riesgo que han causado o pueden
causar impactos al beneficio/valor facilitado por TI, a la entrega de
programas y proyectos de TI y/o a las operaciones y entrega de
servicio de TI. Capturar datos relevantes sobre asuntos relacionados,
incidentes, problemas e investigaciones.
119
5. Para clases o eventos similares, organizar los datos recogidos y
destacar factores contribuyentes. Determinar los factores
contribuyentes comunes para eventos múltiples.
6. Determinar las condiciones específicas que existían o faltaban
cuando ocurrieron los eventos de riesgo y la forma en la cual las
condiciones afectaban la frecuencia del evento y la magnitud de la
pérdida.
7. Ejecutar análisis periódicos de eventos y de factores de riesgo para
identificar asuntos nuevos o emergentes relacionados con el riesgo y
para obtener un entendimiento de los asociados factores de riesgo
internos y externos
DSS05.07
Supervisar la
infraestructura
para detectar
eventos
relacionados con la
seguridad
1. Registrar los eventos relacionados con la seguridad reportados por
las herramientas de monitorización de la seguridad de la
infraestructura, identificando el nivel de información que debe
guardarse en base a la consideración de riesgo. Retenerla por un
periodo apropiado para asistir en futuras investigaciones.
ISO/IEC
27002:2011
NIST SP800-53
Rev 1
ITIL V3 2011 2. Definir y comunicar la naturaleza y características de los incidentes
potenciales relacionados con la seguridad de forma que sean
120
fácilmente reconocibles y sus impactos comprendidos para permitir
una respuesta conmensurada.
3. Revisar regularmente los registros de eventos para detectar
incidentes potenciales.
4. Mantener un procedimiento para la recopilación de evidencias en
línea con los procedimientos de evidencias forenses locales y asegurar
que todos los empleados están concienciados de los requerimientos.
5. Asegurar que los tiques de incidentes de seguridad se crean en el
momento oportuno cuando la monitorización identifique incidentes de
seguridad potenciales.
Artículo 269D
Daño
Informático
DSS05.07
Supervisar la
infraestructura
para detectar
eventos
relacionados con la
seguridad
1. Registrar los eventos relacionados con la seguridad reportados por
las herramientas de monitorización de la seguridad de la
infraestructura, identificando el nivel de información que debe
guardarse en base a la consideración de riesgo. Retenerla por un
periodo apropiado para asistir en futuras investigaciones.
ISO/IEC
27002:2011
NIST SP800-53
Rev 1
ITIL V3 2011
Fortalecer los sistemas
de encriptación para
gestionar los
identificadores
electrónicos, las firmas
digitales y los sistemas
preparados.
2. Definir y comunicar la naturaleza y características de los incidentes
potenciales relacionados con la seguridad de forma que sean
121
fácilmente reconocibles y sus impactos comprendidos para permitir
una respuesta conmensurada.
3. Revisar regularmente los registros de eventos para detectar
incidentes potenciales.
4. Mantener un procedimiento para la recopilación de evidencias en
línea con los procedimientos de evidencias forenses locales y asegurar
que todos los empleados están concienciados de los requerimientos.
5. Asegurar que los tiques de incidentes de seguridad se crean en el
momento oportuno cuando la monitorización identifique incidentes de
seguridad potenciales.
APO12.02
Analizar el riesgo
1. Definir la amplitud y profundidad apropiadas para los esfuerzos en
análisis de riesgos, considerando todos los factores de riesgo y la
criticidad en el negocio de los activos. Establecer el alcance del
análisis de riesgos después de llevar a cabo un análisis coste-beneficio.
ISO/IEC
27001:2005
(Sección 4)
ISO/IEC
27002:2011
ISO/IEC 31000 (6)
2. Construir y actualizar regularmente escenarios de riesgo de TI, que
incluyan escenarios compuestos en cascada y/o tipos de amenaza
coincidentes y desarrollar expectativas para actividades de control
específicas, capacidades para detectar y otras medidas de respuesta.
122
3. Estimar la frecuencia y magnitud de pérdida o ganancia asociada
con escenarios de riesgo de TI. Tener en cuenta todos los factores de
riesgo que apliquen, evaluar controles operacionales conocidos y
estimar niveles de riesgo residual.
4. Comparar el riesgo residual con la tolerancia al riesgo e identificar
exposiciones que puedan requerir una respuesta al riesgo.
5. Analizar el coste-beneficio de las opciones de respuesta al riesgo
potencial, tales como evitar, reducir/mitigar, transferir/compartir y
aceptar y explotar/ capturar. Proponer la respuesta al riesgo óptima.
6. Especificar requerimientos de alto nivel para los proyectos o
programas que implementarán las respuestas de riesgo seleccionadas.
Identificar requerimientos y expectativas para los controles clave que
son apropiados para las respuestas de mitigación de riesgos.
7. Validar los resultados de análisis de riesgos antes de usarlos para la
toma de decisiones, confirmando que los análisis se alinean con
requerimientos de empresa y verificando que las estimaciones fueron
apropiadamente calibradas y examinadas ante una posible parcialidad.
123
Artículo 269E
Uso de software
malicioso.
EDM03.03
Supervisar la
gestión de riesgos
1. Divulgar concienciación sobre el software malicioso y forzar
procedimientos y responsabilidades de prevención.
COSO/ERM
ISO/IEC 3100
ISO/IEC 38500
King III (5.5 - 5.7)
Fomentar la
investigación científica
y tecnológica aplicada a
proyectos relacionados
con la seguridad de las
comunicaciones y, en
particular, con la
transferencia de
tecnología.
2. Instalar y activar herramientas de protección frente a software
malicioso en todas las instalaciones de proceso, con ficheros de
definición de software malicioso que se actualicen según se requiera
(automática o semi-automáticamente).
3. Distribuir todo el software de protección de forma centralizada
(versión y nivel de parcheado) usando una configuración centralizada
y la gestión de cambios.
4. Revisar y evaluar regularmente la información sobre nuevas
posibles amenazas (por ejemplo, revisando productos de vendedores y
servicios de alertas de seguridad).
5. Filtrar el tráfico entrante, como correos electrónicos y descargas,
para protegerse frente a información no solicitada (por ejemplo,
software espía y correos de phishing).
6. Realizar formación periódica sobre software malicioso en el uso del
correo electrónico e Internet. Formar a los usuarios para no instalarse
software compartido o no autorizado.
124
DSS05.01
Proteger contra
software malicioso
(malware)
1. Divulgar concienciación sobre el software malicioso y forzar
procedimientos y responsabilidades de prevención.
ISO/IEC
27002:2011
NIST SP800-53
Rev 1
ITIL V3 2011
2. Instalar y activar herramientas de protección frente a software
malicioso en todas las instalaciones de proceso, con ficheros de
definición de software malicioso que se actualicen según se requiera
(automática o semi-automáticamente).
3. Distribuir todo el software de protección de forma centralizada
(versión y nivel de parcheado) usando una configuración centralizada
y la gestión de cambios.
4. Revisar y evaluar regularmente la información sobre nuevas
posibles amenazas (por ejemplo, revisando productos de vendedores y
servicios de alertas de seguridad).
5. Filtrar el tráfico entrante, como correos electrónicos y descargas,
para protegerse frente a información no solicitada (por ejemplo,
software espía y correos de phishing).
6. Realizar formación periódica sobre software malicioso en el uso del
correo electrónico e Internet. Formar a los usuarios para no instalarse
software compartido o no autorizado.
125
Artículo 269
Violación de
datos personales.
DSS05.02
Gestionar la
seguridad de la red
y las conexiones
1. Basándose en el análisis de riesgos y en los requerimientos del
negocio, establecer y mantener una política de seguridad para las
conexiones.
ISO/IEC
27002:2011
NIST SP800-53
Rev 1
ITIL V3 2011
Llevar a cabo auditorías
periódicas obligatorias
de seguridad de la
información en la
administración pública
y otras organizaciones
seleccionadas, y el
establecimiento de las
condiciones y
procedimientos para la
certificación de los
auditores en seguridad
de la información.
2. Permitir sólo a los dispositivos autorizados tener acceso a la
información y a la red de la empresa. Configurar estos dispositivos
para forzar la solicitud de contraseña.
3. Implementar mecanismos de filtrado de red, como cortafuegos y
software de detección de intrusiones, con políticas apropiadas para
controlar el tráfico entrante y saliente.
4. Cifrar la información en tránsito de acuerdo con su clasificación.
5. Aplicar los protocolos de seguridad aprobados a las conexiones de
red.
6. Configurar los equipamientos de red de forma segura.
7. Establecer mecanismos de confianza para dar soporte a la
transmisión y recepción segura de información.
126
8. Realizar pruebas de intrusión periódicas para determinar la
adecuación de la protección de la red.
9. Realizar pruebas periódicas de la seguridad del sistema para
determinar la adecuación de la protección del sistema.
APO12.02
Analizar el riesgo
1. Definir la amplitud y profundidad apropiada para los esfuerzos en
análisis de riesgos, considerando todos los factores de riesgo y la
criticidad en el negocio de los activos. Establecer el alcance del
análisis de riesgos después de llevar a cabo un análisis coste-beneficio.
ISO/IEC
27001:2005
(Sección 4)
ISO/IEC
27002:2011
ISO/IEC 31000 (6)
2. Construir y actualizar regularmente escenarios de riesgo de TI, que
incluyan escenarios compuestos en cascada y/o tipos de amenaza
coincidentes y desarrollar expectativas para actividades de control
específicas, capacidades para detectar y otras medidas de respuesta.
3. Estimar la frecuencia y magnitud de pérdida o ganancia asociada
con escenarios de riesgo de TI. Tener en cuenta todos los factores de
riesgo que apliquen, evaluar controles operacionales conocidos y
estimar niveles de riesgo residual.
4. Comparar el riesgo residual con la tolerancia al riesgo e identificar
exposiciones que puedan requerir una respuesta al riesgo.
127
5. Analizar el coste-beneficio de las opciones de respuesta al riesgo
potencial, tales como evitar, reducir/mitigar, transferir/compartir y
aceptar y explotar/ capturar. Proponer la respuesta al riesgo óptima.
6. Especificar requerimientos de alto nivel para los proyectos o
programas que implementarán las respuestas de riesgo seleccionadas.
Identificar requerimientos y expectativas para los controles clave que
son apropiados para las respuestas de mitigación de riesgos.
7. Validar los resultados de análisis de riesgos antes de usarlos para la
toma de decisiones, confirmando que los análisis se alinean con
requerimientos de empresa y verificando que las estimaciones fueron
apropiadamente calibradas y examinadas ante una posible parcialidad.
APO12.06
Responder al riesgo
1. Preparar, mantener y probar planes que documenten los pasos
específicos a tomar cuando un evento de riesgo pueda causar un
incidente significativo operativo o evolucionar en un incidente con un
impacto de negocio grave. Asegurar que los planes incluyan vías de
escalado a través de la empresa.
2. Categorizar los incidentes y comparar las exposiciones reales con
los umbrales de tolerancia al riesgo. Comunicar los impactos en el
128
negocio a los responsables de toma de decisiones como parte de la
notificación y actualizar el perfil de riesgo.
3. Aplicar el plan de respuesta apropiado para minimizar el impacto
cuando ocurren incidentes de riesgo.
4. Examinar eventos adversos/pérdidas del pasado y oportunidades
perdidas y determinar sus causas raíz. Comunicar la causa raíz,
requerimientos de respuesta adicionales para el riesgo y mejoras de
proceso a los responsables de toma de decisiones apropiados y
asegurarse de que la causa, los requerimientos de respuesta y la
mejora del proceso se incluyan en los procesos de gobierno del riesgo.
Artículo 269G
Suplantación de
sitios web para
capturar datos
personales.
APO12.03
Mantener un perfil
de riesgo
1. Inventariar los procesos de negocio, incluyendo el personal de
soporte, aplicaciones, infraestructura, instalaciones, registros manuales
críticos, vendedores, proveedores y externalizados y documentar la
dependencia de los procesos de gestión de servicio TI y de los
recursos de infraestructuras TI.
ISO/IEC
27001:2005
(Sección 4)
ISO/IEC
27002:2011
ISO/IEC 31000 (6)
Fortalecer la
cooperación
internacional
aprovechando los
avances sobre
ciberseguridad.
2. Determinar y acordar qué servicios TI y recursos de infraestructuras
de TI son esenciales para sostener la operación de procesos de
negocio. Analizar dependencias e identificar eslabones débiles.
129
3. Agregar escenarios de riesgo actuales, por categoría, línea de
negocio y área funcional.
4. De forma regular, capturar toda la información sobre el perfil de
riesgo y consolidarla dentro de un perfil de riesgo agregado.
5. Sobre la base de todos los datos del perfil de riesgo, definir un
conjunto de indicadores de riesgo que permitan la identificación
rápida y la supervisión del riesgo actual y las tendencias de riesgo.
6. Capturar información sobre eventos de riesgos de TI que se han
materializado, para su inclusión en el perfil de riesgo de TI de la
empresa.
7. Capturar información sobre el estado del plan de acción del riesgo,
para la inclusión en el perfil de riesgo de TI de la empresa
DSS05.04
Gestionar la
identidad del
usuario y el acceso
lógico
1. Mantener los derechos de acceso de los usuarios de acuerdo con los
requerimientos de las funciones y procesos de negocio. Alinear la
gestión de identidades y derechos de acceso a los roles y
responsabilidades definidos, basándose en los principios de menor
privilegio, necesidad de tener y necesidad de conocer.
ISO/IEC
27002:2011
NIST SP800-53
Rev 1
ITIL V3 2011
130
2. Identificar unívocamente todas las actividades de proceso de la
información por roles funcionales, coordinando con las unidades de
negocio y asegurando que todos los roles están definidos
consistentemente, incluyendo roles definidos por el propio negocio en
las aplicaciones de procesos de negocio.
3. Autenticar todo acceso a los activos de información basándose en
su clasificación de seguridad, coordinando con las unidades de
negocio que gestionan la autenticación con aplicaciones usadas en
procesos de negocio para asegurar que los controles de autenticación
han sido administrados adecuadamente.
4. Administrar todos los cambios de derechos de acceso (creación,
modificación y eliminación) para que tengan efecto en el momento
oportuno basándose sólo en transacciones aprobadas y documentadas
y autorizadas por los gestores individuales designados.
5. Segregar y gestionar cuentas de usuario privilegiadas.
6. Realizar regularmente revisiones de gestión de todas las cuentas y
privilegios relacionados.
131
7. Asegurar que todos los usuarios (internos, externos y temporales) y
su actividad en sistemas de TI (aplicaciones de negocio,
infraestructura de TI, operaciones de sistema, desarrollo y
mantenimiento) son identificables unívocamente. Identificar
unívocamente todas las actividades de proceso de información por
usuario.
8. Mantener una pista de auditoría de los accesos a la información
clasificada como altamente sensible.
Artículo 269H
Circunstancias
de agravación
punitiva
APO 12.05
Definir un
portafolio de
acciones para la
gestión de riesgos
1. Mantener un inventario de actividades de control que estén en
marcha para gestionar al riesgo y que permitan que el riesgo que se
tome esté alineado con el apetito y tolerancia al riesgo. Clasificar las
actividades de control y mapearlas con las declaraciones de riesgo
específicas de TI y agrupaciones de riesgo de TI.
ISO/IEC
27001:2005
(Sección 4)
ISO/IEC
27002:2011
ISO/IEC 31000 (6)
Adelantar reformas a la
legislación de seguridad
informática y
protección de datos que
se encuentren
desactualizadas.
2. Determinar si cada entidad organizativa supervisa el riesgo y acepta
la responsabilidad para operar dentro de sus niveles de tolerancia
individuales y de portafolio.
3. Definir un conjunto de propuestas de proyecto equilibradas
diseñadas para reducir el riesgo y/o proyectos que permitan
132
oportunidades estratégicas empresariales, considerando
costes/beneficios, el efecto en el perfil de riesgo actual y las
regulaciones.
Artículo 269I
Hurto por
medios
informáticos y
semejantes.
APO04.03
Supervisar y
explorar el entorno
tecnológico
1. Comprender el interés de la empresa y su potencial para adoptar
nuevas innovaciones tecnológicas canalizando los esfuerzos de
concienciación en las innovaciones tecnológicas más oportunas.
Sin referencia
exacta
Fortalecer la reacción
ante las alertas de
riesgo de los organos de
vigilancia y respuesta
del estado, trabajo entre
el COLCERT y la
Policia Nacional de
Colombia.
2. Realizar estudios y analizar el entorno exterior, incluyendo sitios
web apropiados, diarios y conferencias para identificar tecnologías
emergentes.
3. Consultar con terceras personas expertas cuando se necesite
confirmar los resultados de la investigación o como fuente de
información en tecnologías emergentes.
4. Recopilar las ideas innovadoras del personal de TI y analizarlas
para su posible implementación.
APO12.03
Mantener un perfil
de riesgo.
1. Inventariar los procesos de negocio, incluyendo el personal de
soporte, aplicaciones, infraestructura, instalaciones, registros manuales
críticos, vendedores, proveedores y externalizados y documentar la
ISO/IEC
27001:2005
(Sección 4)
133
dependencia de los procesos de gestión de servicio TI y de los
recursos de infraestructuras TI.
ISO/IEC
27002:2011
ISO/IEC 31000 (6) 2. Determinar y acordar qué servicios TI y recursos de infraestructuras
de TI son esenciales para sostener la operación de procesos de
negocio. Analizar dependencias e identificar eslabones débiles.
3. Agregar escenarios de riesgo actuales, por categoría, línea de
negocio y área funcional.
4. De forma regular, capturar toda la información sobre el perfil de
riesgo y consolidarla dentro de un perfil de riesgo agregado.
5. Sobre la base de todos los datos del perfil de riesgo, definir un
conjunto de indicadores de riesgo que permitan la identificación
rápida y la supervisión del riesgo actual y las tendencias de riesgo.
6. Capturar información sobre eventos de riesgos de TI que se han
materializado, para su inclusión en el perfil de riesgo de TI de la
empresa.
7. Capturar información sobre el estado del plan de acción del riesgo,
para la inclusión en el perfil de riesgo de TI de la empresa
134
APO12.04
Expresar el riesgo
1. Informar de los resultados del análisis de riesgos a todas las partes
interesadas afectadas en términos y formatos útiles para soportar las
decisiones de empresa. Cuando sea posible, incluir probabilidades y
rangos de pérdida o ganancia junto con niveles de confianza que
permitan a la dirección equilibrar el retorno del riesgo.
2. Proporcionar a los responsables de toma de decisiones un
entendimiento de los escenarios peor y más probable, exposiciones de
diligencia debida y consideraciones sobre la reputación, legales y
regulatorias significativas.
3. Informar el perfil de riesgo actual a todas las partes interesadas,
incluyendo la efectividad del proceso de gestión de riesgos, la
efectividad de los controles, diferencias, inconsistencias,
redundancias, estado de la remediación y sus impactos en el perfil de
riesgo.
4. Revisar los resultados de evaluaciones objetivas de terceras partes,
auditorías internas y revisiones del aseguramiento de la calidad y
mapearlos con el perfil de riesgo. Revisar las diferencias y
135
exposiciones identificadas para determinar la necesidad de análisis de
riesgos adicionales.
5. De forma periódica, para áreas con un riesgo relativo y una paridad
de capacidad del riesgo, identificar oportunidades relacionadas con TI
que podrían permitir la aceptación de un mayor riesgo y un
crecimiento y retorno mayores.
EDM03.02
Orientar la gestión
de riesgos
1. Promover una cultura consciente de los riesgos TI e impulsar a la
empresa a una identificación proactiva de riesgos TI, oportunidades e
impactos potenciales en el negocio.
COSO/ERM
ISO/IEC 3100
ISO/IEC 38500
King III (5.5 - 5.7)
2. Orientar la integración de las operaciones y la estrategia de riesgos
de TI con las decisiones y operaciones empresariales estratégicas.
3. Orientar la elaboración de planes de comunicación de riesgos
(cubriendo todos los niveles de la empresa), así como los planes de
acción de riesgo.
4. Orientar la implantación de mecanismos apropiados para responder
rápidamente a los riesgos cambiantes y notificar inmediatamente a los
niveles adecuados de gestión, soportados principios de escalado
acordados (qué informar, cuándo, dónde y cómo).
136
5. Orientar para que el riesgo, las oportunidades, los problemas y
preocupaciones puedan ser identificadas y notificadas por cualquier
persona en cualquier momento. El riesgo debe ser gestionado de
acuerdo con las políticas y procedimientos publicados y escalados a
los decisores relevantes.
6. Identificar los objetivos e indicadores clave de los procesos de
gobierno y gestión de riesgos a ser monitorizados y aprobar los
enfoques, métodos, técnicas y procesos para capturar y notificar la
información de medición.
Artículo 269J
Transferencia no
consentida de
activos.
APO12.01
Recopilar datos
1. Establecer y mantener un método para la recogida, clasificación y
análisis de datos relacionados con riesgo de TI, dando cabida a
múltiples tipos de eventos, múltiples categorías de riesgo de TI y
múltiples factores de riesgo.
ISO/IEC
27001:2005
(Sección 4)
ISO/IEC
27002:2011
ISO/IEC 31000 (6)
2. Registrar datos relevantes sobre el entorno de operación interno y
externo de la empresa que pudieran jugar un papel significativo en la
gestión del riesgo de TI.
3. Medir y analizar los datos históricos de riesgo de TI y de pérdidas
experimentadas tomados de datos y tendencias externas disponibles,
137
empresas similares de la industria – basados en eventos registrados,
bases de datos y acuerdos de la industria sobre divulgación de eventos
comunes.
Aumento de la
vigilancia en las
plataformas
transaccionales no
certificadas.
Campañas de
sensibilización por
parte del sector
financiero, en
cooperación con el
estado, al sector real
para la aplicación de las
buenas prácticas en el
usos de los sistemas de
información financiera.
4. Registrar datos sobre eventos de riesgo que han causado o pueden
causar impactos al beneficio/valor facilitado por TI, a la entrega de
programas y proyectos de TI y/o a las operaciones y entrega de
servicio de TI. Capturar datos relevantes sobre asuntos relacionados,
incidentes, problemas e investigaciones.
5. Para clases o eventos similares, organizar los datos recogidos y
destacar factores contribuyentes. Determinar los factores
contribuyentes comunes para eventos múltiples.
6. Determinar las condiciones específicas que existían o faltaban
cuando ocurrieron los eventos de riesgo y la forma en la cual las
condiciones afectaban la frecuencia del evento y la magnitud de la
pérdida.
7. Ejecutar análisis periódicos de eventos y de factores de riesgo para
identificar asuntos nuevos o emergentes relacionados con el riesgo y
138
para obtener un entendimiento de los asociados factores de riesgo
internos y externos
APO12.02
Analizar el riesgo
1. Definir la amplitud y profundidad apropiadas para los esfuerzos en
análisis de riesgos, considerando todos los factores de riesgo y la
criticidad en el negocio de los activos. Establecer el alcance del
análisis de riesgos después de llevar a cabo un análisis coste-beneficio.
2. Construir y actualizar regularmente escenarios de riesgo de TI, que
incluyan escenarios compuestos en cascada y/o tipos de amenaza
coincidentes y desarrollar expectativas para actividades de control
específicas, capacidades para detectar y otras medidas de respuesta.
3. Estimar la frecuencia y magnitud de pérdida o ganancia asociada
con escenarios de riesgo de TI. Tener en cuenta todos los factores de
riesgo que apliquen, evaluar controles operacionales conocidos y
estimar niveles de riesgo residual.
4. Comparar el riesgo residual con la tolerancia al riesgo e identificar
exposiciones que puedan requerir una respuesta al riesgo.
139
5. Analizar el coste-beneficio de las opciones de respuesta al riesgo
potencial, tales como evitar, reducir/mitigar, transferir/compartir y
aceptar y explotar/ capturar. Proponer la respuesta al riesgo óptima.
6. Especificar requerimientos de alto nivel para los proyectos o
programas que implementarán las respuestas de riesgo seleccionadas.
Identificar requerimientos y expectativas para los controles clave que
son apropiados para las respuestas de mitigación de riesgos.
7. Validar los resultados de análisis de riesgos antes de usarlos para la
toma de decisiones, confirmando que los análisis se alinean con
requerimientos de empresa y verificando que las estimaciones fueron
apropiadamente calibradas y examinadas ante una posible parcialidad.
APO12.06
Responder al riesgo
1. Preparar, mantener y probar planes que documenten los pasos
específicos a tomar cuando un evento de riesgo pueda causar un
incidente significativo operativo o evolucionar en un incidente con un
impacto de negocio grave. Asegurar que los planes incluyan vías de
escalado a través de la empresa.
2. Categorizar los incidentes y comparar las exposiciones reales con
los umbrales de tolerancia al riesgo. Comunicar los impactos en el
140
negocio a los responsables de toma de decisiones como parte de la
notificación y actualizar el perfil de riesgo.
3. Aplicar el plan de respuesta apropiado para minimizar el impacto
cuando ocurren incidentes de riesgo.
4. Examinar eventos adversos/pérdidas del pasado y oportunidades
perdidas y determinar sus causas raíz. Comunicar la causa raíz,
requerimientos de respuesta adicionales para el riesgo y mejoras de
proceso a los responsables de toma de decisiones apropiados y
asegurarse de que la causa, los requerimientos de respuesta y la
mejora del proceso se incluyan en los procesos de gobierno del riesgo.
DSS05.06
Gestionar
documentos
sensibles y
dispositivos de
salida
1. Establecer procedimientos para gobernar la recepción, uso,
eliminación y destrucción de formularios especiales y dispositivos de
salida, dentro, en y fuera de la empresa. ISO/IEC
27002:2011
NIST SP800-53
Rev 1
ITIL V3 2011
2. Asignar privilegios de acceso a documentos sensibles y dispositivos
de salida basados en el principio del menor privilegio, equilibrando
riesgo y requerimientos de negocio.
3. Establecer un inventario de documentos sensibles y dispositivos de
salida, y realizar regularmente conciliaciones.
141
4. Establecer salvaguardas físicas apropiadas sobre formularios
especiales y dispositivos sensibles. 5. Destruir la información sensible
y proteger dispositivos de salida (por ejemplo, desmagnetizando
soportes magnéticos, destruir físicamente dispositivos de memoria,
poniendo trituradoras o papeleras cerradas disponibles para destruir
formularios especiales y otros documentos confidenciales).
142
7. Conclusiones Preliminares
Con el desarrollo de este trabajo logramos construir un estado del arte normativo
colombiano sobre ciberseguridad. Con éste pudimos establecer que aun existiendo
lineamientos de política para ciberseguridad y Ciberdefensa (Conpes 3701) el
cumplimento de este se encuentra a un 90%, en el 10% restante que no se ha logrado
cumplir se encuentran las falencias de las que se aprovechan los ciberdelincuentes, para
seguir afectando el patrimonio económico de las empresas colombianas. La
desactualización de los lineamientos representa una desventaja para la ciberseguridad
nacional si se tiene en cuenta los avances y las tendencias consignados en convenios
internacionales a los que podría aplicar Colombia.
Aunque Colombia se encuentra en una posición alentadora en el ranking global de
ciberseguridad emitido por ITU, Unión Internacional de Telecomunicaciones, los casos de
cibercrimen crecen conforme evolucionan las plataformas tecnológicas y aumentan los
usuarios en la red. La inventiva criminal se hace más creativa, por lo que los
ciberdelincuentes encuentran formas de ataques más complejos con costos bajos, que les
permite lucrarse del patrimonio económico a causa de las brechas que se presentan en los
controles implementados por las empresas.
Por lo que es necesario profundizar en las medidas que se deben tomar para mejorar la
vigilancia y el control de los usuarios que interactúan en los sistemas informáticos,
promoviendo iniciativas que integren esfuerzos públicos, privados y de la academia, en
pro del conocimiento causal y preventivo del cibercrimen, los riesgos asociados a este y
143
sus medidas de control (buenas practicas), evitando que estos esfuerzos se concentren
solamente en el accionario reactivo de los organismos de seguridad y defensa, una vez
cometido el fraude.
Una vez identificadas las causas que aumentan el riesgo a cibercrimen en las empresas y
el panorama delictivo actual de este, se hace vital para el auditor como profesional, la
constante actualización y profundización de los estándares internacionales que dictan
lineamientos de riesgo y control, aplicables a la ciberseguridad y ciberdefensa nacional.
El conocimiento de estas, aporta herramientas al auditor para el desarrollo de planes de
trabajo en la evaluación de controles y detección de las brechas que aumentan los riesgos
al cibercrimen; presentamos a COBIT 5 marco de referencia publicado por ISACA, como
un referente internacional que las empresas deberían adoptar para el fortalecimiento de las
buenas practicas al interior de sus organizaciones, ya que este es la integración de
estándares aplicados y avalados internacionalmente.
Esta propuesta de mejores prácticas para combatir el cibercrimen en las empresas
colombianas va más allá de la función social de los contadores. También pretende
solucionar un problema que está impactando a las empresas colombianas y por tanto, a
miles de colombianos que ven afectados sus recursos por los ataques de la
ciberdelincuencia. La socialización de la información contenida en esta tesis en
escenarios empresariales y académicos permitirá aliviar en buena medida este problema
común para todos los colombianos.
144
En conclusión, esta propuesta de buenas prácticas para fortalecer los controles de
prevención y detección temprana del cibercrimen en las empresas colombianas, aporta
conceptualmente un beneficio que integra al sector público, privado y a la academia, en
cuanto su intención es la de establecer un punto en el estado del arte nacional e
internacional, sobre los lineamientos de ciberseguridad y ciberdefensa, buscando en un
plano comparativo resaltar los avances nacionales , y los puntos de mejora teniendo en
cuenta las mejores prácticas de países que han logrado disminuir las pérdidas económicas
a causa del cibercrimen y los adelantos en la infraestructura cibercriminal.
Esperamos que sea de beneficio para la sociedad, las empresas y sobre todo para los
profesionales en auditoría en cuanto a la necesidad de constante actualización en un
mundo empresarial que se enfoca al ciberespacio, y del cual ya no se desconoce su peligro
y fragilidad ante las brechas que aumentan los riesgos al cibercrimen.
145
8. Referencias bibliográficas
ABIresearch, ITU. (2015). Índice Mundial de Ciberseguridad y Perfiles de Ciberbienestar.
Abril, A. (2006). Mitos y realidad del gobierno de Internet. Revista Derecho y Política. Obtenido
de http://www.redalyc.org/articulo.oa?id=78800306> ISSN
ACULA Technology Corp. (2015). ¿Qué es un sistema POS? Obtenido de ACULA:
http://acula.com/
Aguirre, Y. (s.f.). olea.org/. Obtenido de http://olea.org/~yuri/propuesta-implantacion-auditoria-
informatica-organo-legislativo/ch03s02.html
Alamillo, Ignacio en Redalyc. (2009). redalyc.org. Obtenido de
http://www.redalyc.org/articulo.oa?id=78813254008> ISSN
Alcaldía de Bogotá. (s.f.).
Alcaldía de Bogotá. (28 de 10 de 1993). alcaldiabogota.gov.co. Obtenido de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=304
Alcaldía de Bogotá. (28 de 10 de 1993). alcaldiabogota.gov.co. Obtenido de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=304
Alcaldía de Bogotá. (21 de 08 de 1999). alcaldiabogota.gov.co. Obtenido de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=4276
Alcaldía de Bogotá. (08 de 07 de 2005). alcaldiabogota.gov.co. Obtenido de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=17004
Alcaldía de Bogotá. (05 de 01 de 2009). alcaldiabogota.gov.co. Obtenido de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492
Alcaldía de Bogotá. (12 de 10 de 2011). Ley 1480 de 2011.
Alcaldía de Bogotá. (17 de 10 de 2012). Ley 1581 de 2012.
Anticorrupción y Fraude. (2014). Revista 67.
Banco de México. (1999). Mejores prácticas en la auditoría interna. Lima .
Cano, D., & Lugo, D. (2008). Auditoria Financiera Forence. ECOE Ediciones.
Cano, J. (2011). Ciberseguridad y ciberdefensa : dos tendencias emergentes en un contexto
global. SISTEMAS (ASOCIACION COLOMBIANA DE INGENIEROS DE
SISTEMAS)(0119), 4-7.
Cano, M., & René, C. (s.f.). Instituto de Auditores Internos de la Republica Dominicana, INC.
Recuperado el 2015
146
CCDCOE. (2015). CCDCOE NATO Cooperative Cyber Defence Centre of Excellence.
Recuperado el 2015, de ccdcoe.org: www.ccdcoe.org
CCIT y Fedesarrollo. (2014). Avances y retos de la defensa digital en Colombia. Bogota: CCIT y
Fedesarrollo.
CCN-CERT Centro Criptológico Nacional. (Junio de 2008). www.ccn.cni.es. Recuperado el
2015, de www.ccn-cert.cni.es
Centro Cibernético Policial. (16 de Junio de 2015). ccp.gov.co. Obtenido de
http://www.ccp.gov.co/sites/default/files/bacib_001_6_0.pdf
Certicámara. (29 de Agosto de 2013). ABC para proteger los datos personales, Ley 1581de 2012
Decreto1377 de 2013.
Certicámara. (2014). Certicámara. Obtenido de web.certicamara.com
CIBERSUR. (04 de 08 de 2014). cibersur.com. El cibercrimen cuesta a las empresas hasta 9.000
millones de euros al año. España.
Comunicaciones, C. d. (Julio de 2015). Identificación de las posibles acciones regulatorias a
implementar en materia de Ciberseguridad.
Comunicaciones, F. d. (Diciembre de 2011). Modelo de seguridad de la información para la
estrategia de gobierno en linea .
CONGRESO DE COLOMBIA. (2009). Alcaldia de Bogotá. Recuperado el 2015, de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492
CONGRESO DE COLOMBIA. (17 de Octubre de 2012). Alcaldía de Bogotá D.C. Obtenido de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981
Constitución Política de Colombia. (6 de 06 de 1991). procuraduría.gov.co. Obtenido de
http://www.procuraduria.gov.co/guiamp/media/file/Macroproceso%20Disciplinario/Const
itucion_Politica_de_Colombia.htm
Corporación Colombia Digital. (2015 de Junio de 2015). colombiadigital.net. Obtenido de
http://colombiadigital.net/actualidad/noticias/item/8365-cuales-son-los-amenazas-de-
seguridad-financiera-mas-populares-en-colombia.html
Diario La República. (25 de 06 de 2013). larepublica.co. Obtenido de
http://www.incp.org.co/incp/document/colombia-debe-fortalecer-la-seguridad-
informatica/
Dinero. (28 de Septiembre de 2015). Dinero.com. Obtenido de
http://www.dinero.com/internacional/articulo/principales-cifras-del-cibercrimen-mundo-
colombia/213988
Dirección de Estudios Sectoriales. (2009). Ciberseguridad y Ciberdefensa: Una primera
aproximación. MINISTERIO DE DEFENSA NACIONAL. Bogotá: Ministerio de
Defensa Nacional.
147
Ernst & Young. (s.f.). ey.com. Recuperado el 2015, de
http://www.ey.com/Publication/vwLUAssets/EY-Vencer-el-cibercrimen/$FILE/EY-
vencer-al-cibercrimen.pdf
Estupiñan, R. (s.f.). Control Interno y Fraudes.
Fernández, M., Hurtado , M., & Peral, D. (2005). Comercio Electrónico en la era Digital: España.
Razón y Palabra(45).
FOROSISIS. (2015). ¿Qué hace el Gobierno para proteger a los ciudadanos? (U. d. Andes, Ed.)
ForosISIS Universidad de los Andes, 33.
FOROSISIS. (2015). El peligro existe y va al alza. FOROSISIS, 22 - 24.
GITS Informatica. (2015). gitsinformatica.com. Obtenido de gitsinformatica.com:
http://www.gitsinformatica.com/legislacion.html#extranjera
Hernandez, E. H. (s.f.). Auditoria en Informatica. CECSA.
Infolaft . (10 de Noviembre de 2014). Infolaft Anticorrupción, fraude y LA/FT. Obtenido de
www.infolaft.com
ISACA. (2012). isaca.org. Recuperado el 2015, de www.isaca.org
ISO. (2005). iso.org. Recuperado el 2015, de
http://www.iso.org/iso/catalogue_detail?csnumber=39612
ITU. (2009). itu.int. Obtenido de http://www.itu.int/
KPMG. (2013). Encuesta de Fraude en Colombia 2013. Colombia: KPMG en Colombia. KPMG
Advisory Services Ltda. Obtenido de KPMG:
https://www.kpmg.com/CO/es/IssuesAndInsights/ArticlesPublications/Documents/Encue
sta%20de%20Fraude%20en%20Colombia%202013.pdf
Larrota, L. M. (2014). ucatolica.edu.co. (U. C. Colombia, Ed.)
Medero, G. S. (2012). Revista Cenipec.
Medero, G. S. (2012). Ciberespacio, y el crimen organizado, los nuevos desafíos del siglo XXI.
Enfoques.
Ministerio de Defensa Nacional. (Octubre de 2009). Cibercrimen y Ciberdefensa: una primera
aproximación. Cibercrimen y Ciberdefensa. Bogotá, Cundinamarca, Colombia:
Ministerio de Defensa.
Ministerio de Relaciones Exteriores y Concejo de Europa. (23 de Noviembre de 2001).
exteriores.gob.es. Recuperado el 2015, de Biblioteca virtual de tratados:
http://apw.cancilleria.gov.co/tratados/SitePages/Menu.aspx
148
Ministerio de Tecnologías de la Información y las Comunicaciones. (14 de Julio de 2011).
mintic.gov.co. Obtenido de http://www.mintic.gov.co/portal/604/articles-
3510_documento.pdf
MINTIC. (8 de Enero de 2015). mintic.gov.co. Obtenido de mintic.gov.co:
http://www.mintic.gov.co/portal/604/w3-article-8148.html
Ocampo S., C. A. (2010). Las Técnicas Forenses Y La Auditoria. Scientia Et Technica [en linea].
OEA. (2014). Misión de Asistencia Técnica en Seguridad Cibernética. Organización de los
Estados Americanos , Bogotá. Recuperado el 2015
OEA. (2014). Tendencias de segurdidad cibernética en America latina y el Caribe.
OPS. (s.f.). ops.org.bo. Recuperado el 2015, de
http://www.ops.org.bo/textocompleto/prensa/concurso-buenas-practicas/conceptos.pdf
Organización Mundial del Comercio. (2014). www.wto.org. Obtenido de www.wto.org
Oxman, N. (2013). Estafas informáticas a través de Internet: acerca de la imputación penal del
“phishing” y el “pharming. Revista de Derecho , 211- 262.
Perez, P. (2014). Futuro Incierto de la Gran Colombia. Palibrio.
Piatinni, M. d. (2001). Auditoria Informatica, Un enfoque práctico. Madrid, España: Alfaomega
RA-MA.
Policial, C. C. (s.f.). Boletin de Analisis de Criminal en Ciberseguridad.
Ramírez, M., & Reina, J. (2013). Metodología y desarrollo de la auditoría forense en la detección
del fraude contable en Colombia. Cuadernos de Administración , 29(50).
Saccani, R. (2010). kpmg.com. (KPMG, Ed.)
Sadder, Y. (2013). unimilitar.edu.co. Obtenido de
http://repository.unimilitar.edu.co/bitstream/10654/11142/1/SadderCarvajalYeimyPaola2
013.pdf
Senado de la República. (08 de 07 de 2005). secretariasenado.gov.co. Obtenido de
http://www.secretariasenado.gov.co/senado/basedoc/ley_0962_2005.html
Senado de la República. (16 de 07 de 2007). Ley 1150 de 2007.
Superintendencia de Industria y Comercio. (31 de 12 de 2008). sic.gov.co. Obtenido de
http://www.sic.gov.co/drupal/sites/default/files/files/ley1266_31_12_2008(1).pdf
Symantec. (octubre de 2013). symantec.com. Obtenido de
http://www.symantec.com/content/es/mx/about/presskits/b-norton-report-2013-final-
report-lam-es-mx.pdf
Symantec. (25 de Noviembre de 2014). Foro Symantec Vision 2014. Bogotá, Colombia.
149
Temperini, M. G. (2015). Delitos Informáticos en Latinoamérica: Un estudio de derecho
comparado. 1ra. Parte. Biblioteca digital del Departamento de Cooperación
Jurídica,dependiente de la Secretaría de Asuntos Jurídicos, de la Organización de los
Estados Americanos. Recuperado el 2015, de http://conaiisi.unsl.edu.ar/2013/82-553-1-
DR.pdf
Universidad de la Rioja. (2010). unirioja.es. Obtenido de http://www.unirioja.es/
Universidad de los Andes . (2015). CONPES. II foro de Ciberseguridad y Ciberdefensa 2015.
Nuevos retos y perspectivas en Latinoamérica. Bogotá.
Universidad de los Andes. (2015). Colombia se prepara para afrontar nuevos peligros. (U. d.
Andes, Ed.) FOROSISIS, 25 - 26.