Un delito de “cifras negras”

...

El 24 de agosto de 2014 el Gobiernos de los Estados Unidos advierte a empresas y usuarios, sobre comandos de hackers que generan ataques mediante software mal intencionado llamado “Backoff”, que pudo haber afectado a más de 1.000 tiendas. Dicho software ingreso a los sistemas de las organizaciones mediante puntos de acceso con un nivel de seguridad mínimo, logrando ejecutarse hasta en las cajas registradoras con el objetivo de sustraer la información financiera de los clientes.

A principios de agosto, un grupo de hackers rusos robaron 1.200 millones de contraseñas y correos electrónicos, un volumen nunca visto. Infectaron computadoras de usuarios comunes y corrientes, creando una red denominada botnet, y probaron cada sitio web que esos usuarios visitaban para detectar fallas de seguridad: esta técnica se conoce como inyección SQL y al identificar un sitio vulnerable, simplemente, penetraban el sistema. Lo hicieron así en 420.000 páginas electrónicas, según Panda Security.

(Cordero, 2014)

El problema principal está en que los hackers siempre estarán buscando puntos débiles para llevar a cabo sus delitos, por otra parte, la mayoría de las organizaciones no se preocupan por cumplir a cabalidad con las políticas, estándares y normas de seguridad; asimismo, existen instituciones que por desconocimiento o falta de recursos invierten en materia de seguridad, únicamente en aquellos puntos en los que ya han sido vulnerados.

País

Según el señor Gabriel Macaya Trejos, director de la Academia Nacional de Ciencias (ANC), los ataques informáticos en nuestro país son cada vez más frecuentes, por lo que el país ya está tomando medidas al respecto. Un ejemplo de esto es la creación del (CSIRT-CR) Equipo de Respuesta a Incidencias de Seguridad Informática en Costa Rica, constituido con el objetivo de analizar, asesorar y ofrecer medidas de protección a las TIC del estado, entre las instituciones a priorizar se encuentran el Registro Civil, Registro de la Propiedad, Ministerio de Hacienda y la Caja Costarricense del Seguro Social.

El CSIRT-CR inicia en 2012, utilizando como sede al (MICITT) Ministerio de Ciencia, Tecnología y Telecomunicaciones, mediante decreto ejecutivo Nº 37052-MICIT-2012, en donde este ministerio se compromete a poner en funcionamiento el centro. En los inicios de dicho centro, este estuvo conformado por personal del Ministerio de Ciencia y Tecnología, de Seguridad Pública, la Fiscalía General y del ANC; en la actualidad está representado únicamente por integrantes del MICITT.

Gracias a la implementación del CSIRT nacional, ya se han impartido dos asesorías como Técnicos para la Gestión de Centros de Respuesta a Incidentes Informáticos. De igual forma el PND (Plan Nacional de Desarrollo) establece como meta, que entre el año 2014 y 2018, deben existir centros de incidentes en al menos dieciocho ministerios.

Según el último informe sobre las Amenazas a la Seguridad en Internet de la compañía Symantec Antivirus, Costa Rica escalo del puesto dieciocho al número seis como origen de ataques cibernéticos en América Latina; entre las amenazas más destacadas están el phishing y redes de computadoras botnet que son básicamente máquinas controladas por delincuentes para obtener algún beneficio.

“El Informe sobre Amenazas a la Seguridad en Internet de Symantec (ISTR, por sus siglas en inglés) encontró que una tendencia, tanto en nuestro país como en toda la región y en el mundo, es que las pymes también están siendo blanco de los ciberdelincuentes mediante ataques dirigidos, esto con la intención de robar información o usarlas como escalón para llegar a empresas más grandes”, dijo Rodrigo Calvo, Ingeniero de Symantec.

(Ruiz Vega, 2014)

Otra compañía de seguridad informática que hace referencia a incidentes en nuestro país es “ESET”, la cual indica que en 2013 el 76% de las empresas en Costa Rica presentaron algún incidente de seguridad, en donde la existencia de malware es el problema número uno, seguido de ataques phishing.

Eventos informáticos ocurridos en instituciones públicas

[pic 2]

Ref. Ultimo estado de seguridad informática en el sector publico costarricense Rectoría de Telecomunicaciones 2011.

El gráfico anterior, demuestra que los incidentes más frecuentas están dados por virus, troyanos, malware y spyware con un (80%). En segundo plano está el robo de equipo informático, dando a conocer que el problema de la seguridad en nuestras instituciones, no es exclusivamente de software también se debe incluir la seguridad física.

Gráfico de instituciones públicas con medidas de seguridad y manejo de contingencias.

[pic 3]

Ref. Ultimo estado de seguridad informática en el sector publico costarricense Rectoría de Telecomunicaciones 2011.

Es evidente que el sistema bancario costarricense es el que más medidas de seguridad ha implementado, por otra parte se puede observar que la mayoría de instituciones dan muy poco seguimiento a los planes de seguridad.

Costa Rica no dispone de una gestión sólida que permita realizar una dirección, control y gestión eficaz en Ciberseguridad. El Gobierno deberá asumir la responsabilidad por la Ciberseguridad, además es fundamental dejar claro a qué ente le corresponde este tema (sea creando una entidad superior a las ya existentes o lo asigne a alguna de las actuales) y que este ente brinde el “norte país” en Ciberseguridad como proyecto nacional.

Es fundamental para las instituciones y empresas invertir en capacitación para sus trabajadores tanto en el ámbito técnico como jurídico, el desconocimiento de las normativas existentes relacionadas al ámbito tecnológico junto a una inadecuada actualización profesional y técnica de conocimientos en temas de seguridad informática pone en riesgo los datos de las empresas, los expone a procedimientos administrativos y judiciales, y además podría dañar su imagen; es por esto que el tema de cultura digital es necesario incluirlo en los planes de las empresas e instituciones acompañado de un desarrollo y puesta en práctica de políticas internas de buen uso de las tecnologías de la información.

(Lemaítre Picado, 2013)

La regulación de los delitos informáticos en nuestro país, inicia en 1995 mediante los artículos del