Historia de la Ciberseguridad

Este elemento es una expansión del contenido de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre la historia de la ciberseguridad. [aioseo_breadcrumbs]

Historia de la Ciberseguridad

La Unión Europea anunció el 7 de febrero de 2013 un proyecto de normativa de ciberseguridad que podría afectar a las empresas estadounidenses que hacen negocios allí. Según estas normas, los bancos, las bolsas de valores, los hospitales y las empresas de transporte tendrían que adoptar estrictas normas de seguridad de la red.

Otros Elementos

Además, las empresas de infraestructuras críticas tendrían que informar a los reguladores sobre los ciberataques significativos e incluso se les podría exigir que revelasen dichas infracciones al público. Hasta entonces, las empresas de Estados Unidos sólo tienen que hacer este tipo de declaraciones si se vulneran los datos personales de los consumidores, pero las normas difieren según el estado. Si las empresas están obligadas a notificar las infracciones en Europa, no podrán evitar notificarlas también en Estados Unidos.

Historia de la Ciberseguridad en América

Los primeros ciberataques

La palabra «hacker» es anterior a los ordenadores. Antes significaba alguien incompetente en el trabajo.Entre las Líneas En la actualidad, la palabra se ha fijado en el lenguaje informático para describir a alguien que irrumpe en un sistema de forma ilegal.

Se atribuye a Newsweek el uso por primera vez de la palabra «hackers» en ese contexto en un artículo de septiembre de 1983 titulado «Beware: Hackers at Play» (Cuidado: Hackers en juego), que describía la detención por parte del FBI de los Milwaukee 414, un grupo de jóvenes hackers acusados de entrar en más de 60 ordenadores, incluidos los del Laboratorio Nacional de Los Álamos y el Centro Oncológico Memorial Sloan-Kettering. Aunque los miembros del grupo fueron liberados sin cargos, el incidente centró la atención pública en los delitos informáticos.

La película de 1983 «WarGames», un éxito de taquilla en el que un estudiante de secundaria hackea el sistema informático del Mando de Defensa Aeroespacial de América del Norte en Colorado Springs, Colorado, provocó inevitablemente un aumento de la actividad de los hackers, y suscitó el temor de un lanzamiento accidental de los misiles balísticos intercontinentales (ICBM) de Estados Unidos.

En 1984, la preocupación por la dimensión delictiva de la recién desarrollada Internet era lo suficientemente fuerte como para que el Congreso aprobara la Ley de Fraude y Abuso Informático (CFAA), la primera legislación que tipificaba como delito la irrupción en los sistemas informáticos.Si, Pero: Pero la ley carecía de fuerza. Por un lado, no cubría a los menores.

Otros Elementos

Además, exigía pruebas de que se había accedido a un ordenador sin autorización, lo que bloqueaba de hecho los casos en los que había empleados. La legislación tampoco penalizaba los casos en los que el sospechoso no manipulaba los datos, lo que significaba que los datos almacenados en un ordenador podían ser vistos por un pirata informático sin ser sancionado.

La ley se utilizó en 1988 para procesar a Robert Morris Jr., un estudiante de informática de la Universidad de Cornell que creó el «gusano» Morris, uno de los primeros programas maliciosos que infectó más de 600.000 ordenadores en instalaciones militares, académicas y de investigación médica de todo el país. Morris fue declarado culpable y condenado a tres años de libertad condicional y 400 horas de servicio comunitario y a una multa de 10.000 dólares más el coste de su supervisión.

En 1987, el presidente Ronald Reagan firmó la Ley de Seguridad Informática, una ley más estricta que exigía directrices de seguridad para los sistemas informáticos federales, pero que limitaba el papel del Pentágono en la ciberseguridad a cuestiones de defensa nacional.

Sin embargo, al aprobar la Ley de Seguridad Informática, el Congreso rechazó la visión de la administración Reagan sobre la ley, que consistía en poner al Pentágono a cargo de la ciberseguridad tanto en el sector público como en el privado. Esto dejó a la CFAA como el modelo para la mayoría de la futura legislación sobre cibercrimen durante las siguientes tres décadas.

En 1994, por ejemplo, se modificó la CFAA para endurecer las penas de quienes transmitieran código malicioso, o malcode, como virus o gusanos informáticos. Dos años más tarde, la Ley de Protección de la Infraestructura Nacional de la Información amplió la CFAA, permitiendo el enjuiciamiento de cualquier persona que viera información informática sin autorización, independientemente de que lo hiciera con fines económicos. También en 1994, la Ley de Asistencia a las Comunicaciones para el Cumplimiento de la Ley exigía a los proveedores de servicios de Internet que permitieran a los agentes de la ley mantener a las personas bajo vigilancia electrónica.

La Ley de Mejora de la Ciberseguridad de 2002, aprobada poco después de los atentados terroristas del 11 de septiembre, dio a los funcionarios encargados de hacer cumplir la ley un mayor acceso -sin orden judicial- a los datos personales almacenados por los proveedores de servicios de Internet. La Ley Federal de Gestión de la Seguridad de la Información, también aprobada en 2002, estableció requisitos para la protección de los sistemas y datos informáticos del gobierno.

Esas fueron las últimas medidas importantes de ciberseguridad promulgadas por el Congreso, a pesar de la presentación de numerosas propuestas durante la última década, incluidas más de 40 medidas sólo en el último Congreso.Entre las Líneas En mayo de 2011, la administración Obama envió un paquete de propuestas legislativas al Congreso. Ese paquete otorgaba al gobierno federal una nueva autoridad para garantizar que las corporaciones que poseen los activos más críticos para la seguridad y la prosperidad económica de la nación estén abordando adecuadamente los riesgos que plantean las amenazas a la ciberseguridad.

Obama y los miembros de su administración ejercieron una fuerte presión a favor del proyecto de ley.Entre las Líneas En su artículo de opinión en el Wall Street Journal, en el que instaba al Senado a aprobarlo, Obama escribió: «Gobiernos extranjeros, sindicatos criminales e individuos solitarios están sondeando nuestros sistemas financieros, energéticos y de seguridad pública todos los días».

Puntualización

Sin embargo, las diferentes opiniones sobre el papel del gobierno llevaron a la derrota de la medida. Por ello, el presidente emitió su orden ejecutiva pidiendo a las empresas de infraestructuras que adoptaran voluntariamente un conjunto mínimo de normas de seguridad creadas por el gobierno.

En 1998, las autoridades descubrieron que durante un periodo de tres años se habían robado datos de los ordenadores de la NASA, los departamentos de Defensa y Energía y varios laboratorios de armamento. Nunca se demostró el origen de los ataques, apodados el «Laberinto de la Luz de la Luna», pero se sospechó del gobierno ruso, lo que convirtió el ataque en el primer caso probable de piratería informática patrocinada por el Estado -espionaje cibernético- contra otro país.

En enero de 2000, la administración Clinton hizo pública su estrategia de ciberseguridad, que adoptaba una postura firme en cuanto a la investigación y respuesta a los ciberataques extranjeros (referido a las personas, los migrantes, personas que se desplazan fuera de su lugar de residencia habitual, ya sea dentro de un país o a través de una frontera internacional, de forma temporal o permanente, y por diversas razones) y nacionales.

Puntualización

Sin embargo, el documento se desvaneció después de que los libertarios civiles y los grupos de defensa de la intimidad lo criticaran por considerarlo intrusivo y un intento de ampliar drásticamente la vigilancia gubernamental (o, en ocasiones, de la Administración Pública, si tiene competencia) de la red de comunicaciones de la nación.

En 2004, los piratas informáticos robaron información de laboratorios militares, la NASA, el Banco Mundial, Lockheed Martin -un importante contratista de defensa- y los Laboratorios Nacionales Sandia, operados por Lockheed Martin, un contratista en Nuevo México para la Administración Nacional de Seguridad Nuclear del Departamento de Energía de Estados Unidos. Shawn Carpenter, especialista en informática de Sandia, rastreó a los atacantes hasta un centro de investigación gubernamental (o, en ocasiones, de la Administración Pública, si tiene competencia) en la provincia china de Guangdong. Con el nombre de «Titan Rain», los ataques se consideran de los más destructivos detectados hasta ahora. Como suele ocurrir, se revelaron pocos detalles del ataque, pero los informes de prensa dijeron que se robó y dañó una gran cantidad de información informática.

En 2005, los hackers penetraron en la base de datos de la Federal Deposit Insurance Corp. -una agencia bancaria federal- llevándose los números de la Seguridad Social, los datos salariales y otra información personal de unos 6.000 empleados actuales y antiguos de la agencia.

Luego, en 2007, la cuenta de correo electrónico no clasificada del entonces Secretario de Defensa Robert Gates fue hackeada, y en 2008 miles de ordenadores del Mando Central de Estados Unidos en Tampa, Florida, fueron infectados con un virus.Entre las Líneas En 2009, los ciberespías piratearon el sistema informático del Pentágono y robaron información relativa al proyecto Joint Strike Fighter, de 300.000 millones de dólares, el programa de armamento más costoso del Departamento de Defensa.

Según Microsoft, los ataques a las agencias de defensa se cuadruplicaron entre 2006 y 2009, mientras que los intentos de penetrar en las agencias civiles federales pasaron de 20.000 en 2008 a 30.000 en 2009. Al menos 100 agencias de inteligencia extranjeras «han intentado entrar en las redes informáticas de Estados Unidos», según Microsoft.

El número de intentos de hackeo en las 15.000 redes del Departamento de Defensa ha crecido exponencialmente desde 2005, cuando el Pentágono habría registrado más de 79.000 intentos de intrusión.47 En julio de 2011, se producían «miles de veces al día», según el entonces subsecretario de Defensa.

En la carrera presidencial de 2008, ni siquiera los candidatos fueron inmunes al hackeo. Tanto la campaña de Obama como la de McCain dijeron que habían sido hackeadas, supuestamente por China. Un portavoz de la embajada china negó la acusación, calificándola de «injustificada, irresponsable y engañosa, y fabricada intencionadamente para avivar la sensación de amenaza china».Entre las Líneas En noviembre de 2002, el presidente Bush firmó la legislación por la que se creaba el Departamento de Seguridad Nacional, consolidando 22 agencias gubernamentales distintas encargadas, entre otras cosas, de asegurar las fronteras del país y prevenir futuros ataques como los del 11-S.

La medida exigía la creación de un Centro Nacional de Ciberseguridad dentro del DHS, encargado de reforzar la seguridad en los organismos federales. Entre otras medidas, el departamento debía disminuir el número de conexiones gubernamentales a Internet para reducir los puntos de entrada de los ciberintrusos. El departamento recibió la responsabilidad general de supervisar la ciberseguridad en el sector privado cuando fuera necesario.

El Departamento de Seguridad Nacional, en colaboración con el Instituto Nacional de Normas y Tecnología (NIST) y la Oficina de Gestión y Presupuesto (OMB), es responsable de defender todos los sitios web «punto gov». El DHS dice que el Centro de Ciberseguridad coordina las operaciones de los seis centros cibernéticos federales, incluidos los del FBI y la Oficina de Inteligencia y Análisis del Departamento de Seguridad Nacional. El Mando Cibernético de Estados Unidos, creado en 2010, es responsable de proteger los sistemas informáticos del ejército.Entre las Líneas En enero, sin embargo, funcionarios del Pentágono dijeron que planeaban quintuplicar la fuerza para ampliar su postura defensiva a una capacidad de represalia contra los ciberadversarios extranjeros.Entre las Líneas En las entrevistas, los funcionarios dijeron que los equipos de la misión nacional operarían contra objetivos en el extranjero.

Dolores de cabeza de los «hactivistas»

Los hackers con causa -o «hacktivistas»- atacan tanto las redes informáticas gubernamentales como las privadas. Desde 2010, el famoso grupo de hacktivistas Anonymous ha atacado objetivos que van desde el régimen sirio hasta Sony, la gran empresa de entretenimiento y electrónica. Una de las campañas más destacadas del grupo fue contra los opositores a la publicación en 2010 por parte del editor de Wikileaks, Julian Assange, de miles de cables del Departamento de Estado de Estados Unidos. Por ejemplo, después de que el gobierno sueco intentara extraditar a Assange en relación con una supuesta violación, Anonymous hizo caer el sistema informático del fiscal general sueco. Los partidarios de Wikileaks consideraron que la acusación de violación era un intento inventado de desacreditar a Assange y, desde entonces, se ha retirado.

A mediados de enero del 2012, partes del sitio web del Departamento de Justicia fueron pirateadas, junto con los sitios de varias empresas de entretenimiento, poco después de que los funcionarios federales cerraran Megaupload.com, acusando al sitio de intercambio de archivos de violar las leyes antipiratería al permitir a los usuarios acceder ilegalmente a películas y música. Anonymous se atribuyó la responsabilidad.

Otros Elementos

Por otro lado, la red electrónica del Departamento de Energía también fue hackeada a mediados de enero de 2013. La identidad de los hackers no estaba clara. La agencia dijo que no se comprometieron datos clasificados.

En 2010, Google y más de 30 empresas estadounidenses con negocios en China sufrieron un robo colectivo de datos tecnológicos secretos.

Detalles

Los ataques se habían originado en China, incluso mientras el régimen imponía nuevas regulaciones a Google que, según el buscador de Internet, equivalían a una censura.

La entonces Secretaria de Estado Hillary Rodham Clinton criticó duramente estas tácticas. «Los países que restringen el libre acceso a la información o violan los derechos básicos de los usuarios de Internet corren el riesgo de amurallarse del progreso del próximo siglo». El Departamento de Estado ha intensificado, desde entonces, su programa para idear programas informáticos que permitan eludir la cibercensura en regímenes fuertemente controlados como China e Irán.

Espionaje chino

China sigue llevando a cabo ciberataques generalizados para recopilar información de sitios militares, gubernamentales y corporativos de Estados Unidos -principalmente empresas petroleras, de gas y de otros sectores energéticos-, según una serie de informes del gobierno estadounidense.

Los chinos «son los autores más activos y persistentes del mundo en materia de espionaje económico», según un informe de la Oficina del Ejecutivo Nacional de Contrainteligencia de Estados Unidos. «Los intentos chinos de recopilar información tecnológica y económica de Estados Unidos continuarán a un alto nivel y representarán una amenaza creciente y persistente para la seguridad económica de Estados Unidos».

Cuando el sistema informático de la Oficina Militar de la Casa Blanca fue penetrado el 30 de septiembre de 2012, los informes de los medios de comunicación vincularon a los piratas informáticos con el gobierno chino, aunque la Casa Blanca no mencionó la participación china. Aun así, los funcionarios de defensa dicen que los sitios del Pentágono siguen siendo el objetivo de los hackers chinos. «Su nivel de esfuerzo contra el Departamento de Defensa es constante», dijo el contralmirante Samuel Cox, jefe de la Inteligencia Naval.

Desde 2005, los sucesivos informes anuales al Congreso de la Comisión de Revisión Económica y de Seguridad de Estados Unidos y China han detallado las intrusiones chinas demostrando la «paciencia y la naturaleza calculada» de la amenaza.Entre las Líneas En 2009, la comisión dijo que China estaba «llevando a cabo una campaña de explotación de redes informáticas sofisticada y a largo plazo» utilizando «el acceso a recursos de desarrollo de software de alta gama… y la capacidad de mantener actividades dentro de las redes objetivo, a veces durante un período de meses».

Los expertos han identificado tres grupos de hackers chinos: los que están directamente bajo el control del gobierno, los de las universidades y agencias cuasi-gubernamentales y los hackers «patrióticos» independientes, a los que se les permite actuar siempre que sus objetivos sean estadounidenses o europeos. Los intrusos utilizan herramientas personalizadas proporcionadas por programadores chinos de «sombrero negro», personas que apoyan la piratería ilegal. «La profundidad de los recursos necesarios» para tales ataques, según el informe, «es difícil en el mejor de los casos sin algún tipo de patrocinio estatal».

The New York Times, Bloomberg News, The Wall Street Journal y The Washington Post declararon en 2012 que los correos electrónicos y archivos de sus periodistas habían sido atacados por piratas informáticos cuya procedencia es China. El otoño del 2012, el Times había informado ampliamente sobre su investigación de meses de duración sobre los familiares del primer ministro Wen Jiabao, que acumuló casi 3.000 millones de dólares en riqueza durante su liderazgo. El Times dijo que sus expertos en seguridad habían encontrado «pruebas digitales de que piratas informáticos chinos, utilizando métodos que algunos consultores han asociado (véase qué es, su concepto jurídico; y también su definición como «associate» en derecho anglo-sajón, en inglés) con el ejército chino en el pasado, violaron la red del Times». Bloomberg había informado anteriormente de que la familia ampliada del vicepresidente Xi Jinping, que se convirtió en presidente en marzo de 2013, había acumulado activos por valor de cientos de millones de dólares.

The Post y The Journal, que no han investigado las finanzas de los líderes chinos, dijeron que los ciberataques a sus ordenadores parecían tener como objetivo los correos electrónicos y los archivos de los reporteros que cubrían temas políticos chinos sensibles.

El gobierno chino niega sistemáticamente cualquier implicación en el pirateo informático, y una sucesión de altos funcionarios estadounidenses ha intentado sin éxito que sus homólogos chinos aborden la cuestión.

Según un análisis realizado el año pasado por el Instituto de Cooperación y Conflictos Globales de la Universidad de California, en colaboración con la Escuela de Guerra Naval de Estados Unidos, «China no tiene un enfoque político monolítico y coordinado en materia de ciberseguridad». Crear una política nacional coherente sería imposible, según el informe, porque una maraña de instituciones reguladoras y directivas políticas a menudo contradictorias asola los sectores industrial y comercial de China.

Otros Elementos

Además, los sectores público y privado persiguen a menudo intereses incompatibles, y la coordinación de políticas se ve obstaculizada por «una red díscola de entidades militares, de inteligencia y otras entidades estatales implicadas en la política y la actividad cibernética», continuaba el informe.

Los funcionarios chinos afirman que los piratas informáticos extranjeros (referido a las personas, los migrantes, personas que se desplazan fuera de su lugar de residencia habitual, ya sea dentro de un país o a través de una frontera internacional, de forma temporal o permanente, y por diversas razones) penetran cada vez más en los sitios web chinos, y que la ciberdelincuencia nacional -en la que participan tanto delincuentes chinos como víctimas- se ha disparado. Un funcionario chino citado en el informe de 2012 dijo que unos 8,5 millones de ordenadores chinos «fueron atacados por programas deshonestos cada día» en 2011, un 48% más que en 2010.

Aunque la cifra es presumiblemente una media, reflejaba el insuficiente énfasis de China en la seguridad de la información. Las tecnologías de Internet de China en aquella época necesitaban un mayor desarrollo. La educación del público en general es apenas satisfactoria. Es realmente necesaria una mayor cooperación internacional.

Durante su última visita oficial a Pekín, en septiembre de 2012, el secretario de Defensa Panetta intentó hablar de ciberseguridad con los dirigentes chinos, pero salió con poco más que un acuerdo para volver a hablar. «Está claro que quieren entablar un diálogo sobre este tema», dijo Panetta, «y creo que eso es lo más importante».

Consideró el acuerdo como «el comienzo de un intento de desarrollar un enfoque para tratar los temas cibernéticos que tenga alguna apariencia de orden, en lugar de tener a todos los países volando en la oscuridad».

Datos verificados por: Dewey

[rtbs name=»ciberseguridad»] [rtbs name=»seguridad-nacional»]

Recursos

[rtbs name=»informes-jurídicos-y-sectoriales»][rtbs name=»quieres-escribir-tu-libro»]

Véase También

Ciberseguridad, estafas en línea, Guía de Seguridad Nacional y Principios de la Gestión de Riesgos, información personal, malware, Prevención de Riesgos, seguridad del sistema de pago, Seguridad Informática, Seguridad Nacional,