CIBER: Ciberentorno, ciberespacio, cibersociedad, ciberseguridad, ciberdelito, ciberdelincuente, cibercrímenes, ciberamenazas y más… hasta la UPAD.

Posted on July 4, 2022
MUSA TECNOLOGICA S A

**** CIBER ****

“Un día de julio de 1984 se utilizó por primera vez el término ciberespacio. Un concepto muy relacionado con internet y que muchos utilizan como si fuesen sinónimos. Es cierto que uno no puede entenderse sin el otro; pero por muy relacionados que estén, no pueden utilizarse de forma análoga.

El origen del prefijo ciber

La gran mayoría de las palabras que usamos para referirnos a cosas de internet, o que suceden en la red, empiezan con el prefijo ciber. Prueba de ello son algunas de las palabras que empleamos prácticamente todos los días; como ciberseguridad o ciberataque. Y, como la mayoría de los términos del lenguaje español, tienen su origen en el griego, y posteriormente en el latín.

Del griego original cuyo significado estaba relacionado con la habilidad para pilotar barcos; en los años 40 empezó a relacionarse con la comunicación. Concretamente Norbert Wiener acuñó el término cibernética para referirse a la ciencia que estudia las similitudes entre los sistemas de control y las formas de comunicarse de los seres vivos y las máquinas. Pero, para relacionarlo con internet, habrían de pasar otros cuarenta años.

El ciberespacio del ciberpunk

En 1984 aparece por vez primera la palabra ciberespacio en una novela de William Gibson: Neuromante. Una obra ciberpunk protagonizada por un héroe que quiere volver al mundo online del que fue expulsado. Aquí, el ciberespacio supone un espacio virtual creado por las redes informáticas. Algo que no es físico, sino un concepto utilizado para ubicar las cosas que se llevan a cabo en entidades intangibles. Y es aquí donde se produce la primera relación entre ciberespacio e internet.

Si internet es un conjunto descentralizado de redes de comunicación a través de protocolos; el ciberespacio es el lugar en el que se producen las comunicaciones de internet. Por ejemplo, cuando hablamos de hackeo, este ataque no se produce en un espacio físico determinado, se produce en el ciberespacio. Es decir, de la idea original de Gibson, hemos llegado a un híbrido entre lo real y lo virtual. Tomamos decisiones en un lugar indeterminado de internet y las consecuencias de nuestras acciones tienen influencia directa en la vida real.

Esto se debe a que el ciberespacio se construye mediante intercambios de información. Es un espacio en el que se produce la comunicación y también es el medio que posibilita el intercambio de comunicación. De ahí que haya quienes confundan ambos conceptos y consideren que internet y el ciberespacio son lo mismo.

Dentro de la red

De no haber existido internet, tampoco hubiera existido el ciberespacio; entendido como el lugar en el que situamos las cosas que suceden en la red. De no haber existido ninguno de los dos, tampoco hubiera sido posible crear un sistema social a partir de una base tecnológica; donde la evolución a nivel social está condicionada por las posibilidades técnicas. Por lo que, a medida que progrese la tecnología, será posible mejorar las relaciones sociales del ciberespacio.

Quién iba a pensar que algunas de las acciones cotidianas que antes únicamente podíamos realizar de forma física, ahora tienen lugar en el ciberespacio. Ya no es necesario desplazarse hasta un supermercado para hacer la compra, ni siquiera es necesario salir de casa. Comprar por internet utilizando un ordenador o un dispositivo móvil se ha convertido en toda una realidad gracias a internet y al ciberespacio.” / Esta introducción fue tomada de https://linube.com/blog/ciberespacio-no-es-internet/

****

CIBER: Ciberentorno, ciberespacio, cibersociedad, ciberseguridad, ciberdelito, ciberdelincuente, cibercrímenes, ciberamenazas y más… hasta la UPAD.

Definición ciberseguridad

El conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno. Las propiedades de seguridad incluyen una o más de las siguientes:

➢ Disponibilidad.

➢ Integridad, que puede incluir la autenticidad y el no repudio.

➢ Confidencialidad.

El término se aplica en diferentes contextos, desde los negocios hasta la informática móvil, y puede dividirse en algunas categorías comunes. La seguridad de red es la práctica de proteger una red informática de los intrusos, ya sean atacantes dirigidos o malware oportunista. La seguridad de las aplicaciones se enfoca en mantener el software y los dispositivos libres de amenazas. Una aplicación afectada podría brindar acceso a los datos que está destinada a proteger.

La seguridad de la información protege la integridad y la privacidad de los datos, tanto en el almacenamiento como en el tránsito. La seguridad operativa incluye los procesos y decisiones para manejar y proteger los recursos de datos. Los permisos que tienen los usuarios para acceder a una red y los procedimientos que determinan cómo y dónde pueden almacenarse o compartirse los datos se incluyen en esta categoría.

La recuperación ante desastres y la continuidad del negocio definen la forma en que una organización responde a un incidente de ciberseguridad o a cualquier otro evento que cause que se detengan sus operaciones o se pierdan datos.

La capacitación del usuario final aborda el factor de ciberseguridad más impredecible: las personas. Si se incumplen las buenas prácticas de seguridad, cualquier persona puede introducir accidentalmente un virus en un sistema que de otro modo sería seguro.

Ciberentorno: Esto incluye a usuarios, redes, dispositivos, todo el software, procesos, información almacenada o que circula, aplicaciones, servicios y sistemas que están conectados directa o indirectamente a las redes. Fuente: Recomendación ITU-T X.1205, 04/2008, Seguridad en el Ciberespacio – Ciberseguridad -Aspectos generales de la ciberseguridad.

Ciberespacio: Entorno complejo que resulta de la interacción de personas, software y servicios en internet por medio de dispositivos y redes de tecnología conectados a éste, los que no existen en forma física. Fuente: ISO/IEC 27032:2012(E), Information technology — Security techniques — Guidelines for cybersecurity.

Como parte de la ciberseguridad es necesario que definamos tres conceptos: Activos, Amenazas y Vulnerabilidades.

Un activo es algo que tiene valor para un individuo o una organización. Hay muchos tipos de activos, incluyendo, pero no limitado a:

➢ Información.

➢ Software, tal como un programa de una computadora.

➢ Físico, tal como una computadora desktop o laptop.

➢ Servicios.

➢ Las personas, y sus calificaciones, competencias, experiencia.

➢ Activos intangibles, tales como la reputación y la imagen.

Una parte muy importante de la Ciberseguridad son los activos y la gestión de estos. La Ciberseguridad considera la protección de los activos de las amenazas, los agentes de amenazas y el posible riesgo resultante. Las amenazas a que nos enfrentamos son de diversa índole, por ejemplo, los ataques de denegación de servicios son cada vez más potentes, el robo de datos financieros y personales es cada vez más frecuente, los fallos de red y la interrupción de comunicaciones de voz y datos también se han incrementado. El malware, tal como los virus, gusanos, caballos de Troya, ransomware, etc. son cada vez más sofisticados.

En ciberseguridad, las amenazas se pueden clasificar de acuerdo al tipo de activo:

– Amenazas a activos personales: Estas amenazas tienen el objetivo, por ejemplo, de sustraer información personal para cometer fraudes bancarios o chantaje personal, secuestrar los dispositivos de conexión para utilizar su poder de procesamiento para fines delictivos, etc.

– Amenazas a activos organizacionales: Estas amenazas tienen variados objetivos, tal como el robo de información, la divulgación de información, crear indisponibilidad de servicios, etc.

– Amenazas a activos críticos nacionales: Estas amenazas tienen como objetivo a las infraestructuras críticas nacionales, generalmente con fines de terrorismo.

Se requiere que las organizaciones de todo tipo de negocio y tamaño, públicas o privadas, con o sin fines de lucro, etc., tomen en cuenta e implementen controles apropiados de ciberseguridad. También es necesario educar a la población en general en temas de ciberseguridad, a través de un programa de concientización e incorporando el tema en la formación dentro de los programas escolares de primaria y secundaria; y sin dejar de lado a la población adulta mayor. Estas acciones ayudarán a identificar vulnerabilidades, y mejorar la protección para hacer frente a las amenazas, y como consecuencia mejorará el nivel de la ciberseguridad, propiciando un estado de confianza en el entorno digital base de la economía digital.

Agente de amenaza es un individuo o grupo de individuos que tienen algún rol en la ejecución o en el respaldo sobre un ataque. En el proceso de evaluación de vulnerabilidades deben identificarse las posibles razones que están detrás de las actividades de los agentes de estas amenazas. Estas razones pueden ser:

– Motivos (religiosos, políticos, económicos, etc.).

– Capacidades (conocimientos, financiación, tamaño, etc.).

– Intenciones (diversión, delito, espionaje, etc.).

Para evitar que las ciberamenazas tengan éxito, las vulnerabilidades deben ser tratadas y reducidas constantemente. En sí mismo, la presencia de una vulnerabilidad no produce daño, debe existir una amenaza para explotarla. Una vulnerabilidad que no corresponde a una amenaza puede no requerir la puesta en marcha de un control, pero debe ser identificada y controlada en caso de que se produzcan cambios.

Los incidentes de seguridad ocurren cuando una organización experimenta una violación de la confidencialidad, integridad y / o disponibilidad de la información o los sistemas de información. Estos incidentes pueden ocurrir como resultado de una actividad maliciosa, como un atacante que ataca a la organización y roba información confidencial, como resultado de una actividad accidental, como un empleado que deja una computadora portátil sin cifrar en la parte trasera de un viaje compartido, o como resultado de actividad natural, como un terremoto que destruye un centro de datos.

Los profesionales de seguridad son responsables de comprender estos riesgos e implementar controles diseñados para gestionar esos riesgos a un nivel aceptable. Para hacerlo, primero deben comprender los efectos que una infracción podría tener en la organización y el impacto que podría tener de forma continua.

La divulgación es la exposición de información confidencial a personas no autorizadas, también conocida como pérdida de datos. La divulgación es una violación del principio de confidencialidad. Se dice que los atacantes que obtienen acceso a información confidencial y la eliminan de la organización están realizando una exfiltración de datos. La divulgación también puede ocurrir accidentalmente, como cuando un administrador configura incorrectamente los controles de acceso o un empleado pierde un dispositivo.

La alteración es la modificación no autorizada de información y es una violación del principio de integridad. Los atacantes pueden intentar modificar los registros contenidos en un sistema para obtener ganancias financieras, como agregar transacciones fraudulentas a una cuenta financiera. La alteración accidental también es una posibilidad, si los usuarios modifican involuntariamente la información almacenada en un sistema crítico como resultado de un error tipográfico u otra actividad no intencional.

La negación es la interrupción involuntaria del acceso legítimo a la información de un usuario autorizado. Los eventos de negación violan el principio de disponibilidad. Esta pérdida de disponibilidad puede ser intencional, como cuando un atacante lanza un ataque de denegación de servicio distribuido (DDoS) contra un sitio web. La negación también puede ocurrir como resultado de una actividad accidental, como la falla de un servidor crítico, o como resultado de una actividad natural, como un desastre natural que impacta un circuito de comunicaciones.

Las tríadas CIA y DAD son herramientas muy útiles para la planificación de la ciberseguridad y el análisis de riesgos. Siempre que tenga la tarea de evaluar los controles de seguridad utilizados para proteger un activo o las amenazas a una organización, puede recurrir a las tríadas de la CIA y el DAD en busca de orientación. Por ejemplo, si se le pide que evalúe las amenazas al sitio web de su organización, puede aplicar la tríada DAD en su análisis:

¿El sitio web contiene información confidencial que dañaría a la organización si se divulgara a personas no autorizadas? Si un atacante pudiera modificar la información contenida en el sitio web, ¿esta alteración no autorizada causaría daños financieros, de reputación u operativos a la organización? ¿El sitio web realiza actividades de misión crítica que podrían dañar significativamente el negocio si un atacante pudiera interrumpir el sitio?

Ese es solo un ejemplo del uso de la tríada DAD para informar una evaluación de riesgos. Puede utilizar los modelos CIA y DAD en casi cualquier situación para que sirvan como un punto de partida útil para un análisis de riesgos más detallado.

Los impactos de un incidente de seguridad pueden ser de amplio alcance, según la naturaleza del incidente y el tipo de organización afectada. Podemos categorizar el impacto potencial de un incidente de seguridad usando las mismas categorías que las empresas generalmente usan para describir cualquier tipo de riesgo: financiero, reputacional, estratégico, operativo y de cumplimiento.

Riesgo: efecto de la incertidumbre sobre los objetivos. [ISO/IEC 27000:2018]

Nota 1: un efecto es una desviación de lo esperado: positivo o negativo.

Nota 2: la incertidumbre es el estado, incluso parcial, de la deficiencia de información relacionada con, la comprensión o el conocimiento de, un acontecimiento, su consecuencia, o la probabilidad.

Nota 3: el riesgo se caracteriza a menudo por referencia a posibles “eventos” y “consecuencias”, o una combinación de estos.

Nota 4: el riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la “probabilidad” asociada de ocurrencia.

Nota 5: en el contexto de los sistemas de gestión de la seguridad de la información, los riesgos de seguridad de la información pueden expresarse como efecto de incertidumbre sobre los objetivos de seguridad de la información.

Nota 6: el riesgo de seguridad de la información está asociado con el potencial de que las amenazas exploten vulnerabilidades de un activo de información o un grupo de activos de información de tal manera que cause daño a una organización.

El riesgo financiero es, como su nombre lo indica, el riesgo de daño monetario a la organización como resultado de una violación de datos. Esto puede ser un daño financiero muy directo, como los costos de reconstruir un centro de datos después de que se destruye físicamente o los costos de contratar expertos para la respuesta a incidentes y los servicios de análisis forense.

El riesgo financiero también puede ser indirecto y ser una consecuencia de segundo orden del incumplimiento. Por ejemplo, si un empleado pierde una computadora portátil que contiene planes para un nuevo producto, la organización sufre daños financieros directos de algunos miles de dólares por la pérdida de la computadora portátil física. Sin embargo, el daño financiero indirecto puede ser más severo, ya que los competidores pueden hacerse con esos planes de productos y ganarle a la organización en el mercado, lo que resulta en una pérdida de ingresos potencialmente significativa.

El riesgo de reputación se produce cuando la publicidad negativa que rodea a una infracción de seguridad provoca la pérdida de la buena voluntad entre los clientes, empleados, proveedores y otras partes interesadas. A menudo es difícil cuantificar el daño a la reputación, ya que es posible que estas partes interesadas no salgan y digan directamente que reducirán o eliminarán su volumen de negocios con la organización como resultado de la brecha de seguridad. Sin embargo, la infracción aún puede tener un impacto en sus decisiones futuras sobre cómo hacer negocios con la organización.

El riesgo estratégico es el riesgo de que una organización se vuelva menos eficaz en el cumplimiento de sus principales metas y objetivos como resultado de la infracción. Considere nuevamente el ejemplo de un empleado que pierde una computadora portátil que contiene nuevos planes de desarrollo de productos. Este incidente puede representar un riesgo estratégico para la organización de dos formas diferentes. Primero, si la organización no tiene otra copia de esos planes, es posible que no pueda llevar el nuevo producto al mercado o que sufra retrasos significativos en el desarrollo del producto.

En segundo lugar, si los competidores se apoderan de esos planes, es posible que puedan llevar productos de la competencia al mercado más rápidamente o incluso ganarle a la organización en el mercado, obteniendo la ventaja de ser el primero en moverse. Ambos efectos demuestran un riesgo estratégico para la capacidad de la organización para llevar a cabo sus planes comerciales.

El riesgo operacional es un riesgo para la capacidad de la organización para llevar a cabo sus funciones diarias. Los riesgos operativos pueden ralentizar los procesos comerciales, retrasar la entrega de los pedidos de los clientes o requerir la implementación de soluciones manuales que requieren mucho tiempo para las prácticas normalmente automatizadas.

El riesgo operativo y el riesgo estratégico están estrechamente relacionados, por lo que puede resultar difícil distinguirlos. Piense en la diferencia en términos de la naturaleza y el grado del impacto en la organización. Si un riesgo amenaza la existencia misma de una organización o la capacidad de la organización para ejecutar sus planes de negocios, se trata de un riesgo estratégico que compromete seriamente la viabilidad continua de la organización. Por otro lado, si el riesgo solo causa ineficiencia y retraso dentro de la organización, encaja mejor en la categoría de riesgo operacional.

El riesgo de cumplimiento se produce cuando una infracción de seguridad hace que una organización incumpla los requisitos legales o reglamentarios. Por ejemplo, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) requiere que los proveedores de atención médica y otras entidades cubiertas protejan la confidencialidad, integridad y disponibilidad de la información médica protegida (PHI). Si una organización pierde los registros médicos de un paciente, viola los requisitos de HIPAA y está sujeta a sanciones y multas del Departamento de Salud y Servicios Humanos de EE. UU. Ese es un ejemplo de riesgo de cumplimiento.

Las organizaciones enfrentan muchos tipos diferentes de riesgos de cumplimiento en el panorama regulatorio actual. La naturaleza de esos riesgos depende de las jurisdicciones donde opera la organización, la industria en la que funciona la organización y los tipos de datos que maneja la organización.

Estas son otras definiciones del proceso de gestión de riesgos.

El proceso de gestión de riesgos de ciberseguridad debe realizarse de manera continua y los controles y planes deberían actualizarse regularmente, debido al dinamismo del ciberespacio, las ciberamenzas y el descubrimiento de vulnerabilidades. Como ejemplo, citaremos como una amenaza a los ataques de ransomware, los cuales hace algunos años no aparecían en la lista de amenazas. Sin embargo, hoy en día es una amenaza latente y ha puesto en jaque a empresas transnacionales muy conocidas y ha comprometido información crítica.

Los controles de ciberseguridad se pueden clasificar en tres categorías: Preventivo, de detección y correctivo. Varios marcos de referencia de la seguridad de la información definen una clasificación con más categorías.

Control preventivo.

Objetivo: Evitar la ocurrencia de problemas.

➢ Detectar problemas antes de que ocurran.

➢ Controlar las operaciones.

➢ Evitar un error, una omisión o actos dolosos.

Control de detección

Objetivo: Buscar e identificar anomalías

➢ Usar los controles que detectan e informan la ocurrencia de un error, omisión o acto doloso

Control correctivo

Objetivo: evitar la repetición de anomalías.

➢ Minimizar el impacto de una amenaza.

➢ Solucionar problemas descubiertos por los controles de detección.

➢ Identificar las causas del problema.

➢ Corregir los errores derivados de un problema.

➢ Modificar el sistema de proceso para reducir a un mínimo la presencia de problemas en el futuro.

El ciberdelito o cibercrimen es una actividad criminal que implica que los servicios o aplicaciones en el ciberespacio se utilicen o sean blanco de un crimen (ISO/IEC 27032), lo que significa que el ciberespacio es la fuente, herramienta, blanco o lugar de un crimen.

Como ejemplos de cibercrimenes o ciberdelitos podemos mencionar las siguientes infracciones: robo, sabotaje de información, ataques a los derechos de copia, al derecho de autor, a la violación del secreto profesional, de la intimidad digital, de la propiedad intelectual, difusión de contenidos ilegales, ataques contra la competencia, espionaje industrial, violación de los derechos de las marcas, difusión de informaciones falsas, denegación de servicio, fraudes diversos, etc.

Un agente de amenaza es un individuo o grupo de individuos que tiene cualquier rol en la ejecución o soporte de un ataque. El entendimiento de sus motivos (religiosos, políticos, económicos, etc.), capacidades (conocimiento, financiamiento, tamaño, etc.) e intenciones (diversión, crimen, espionaje, etc.) es crucial en la evaluación de vulnerabilidades y riesgos, así como en el desarrollo y despliegue de controles. En efecto, para protegernos del accionar de los cibercriminales o ciberdelincuentes es necesario adelantarnos tomando las acciones preventivas necesarias. Esto no solamente incluye la evaluación de vulnerabilidades y aplicación de los controles respectivos, sino también la evaluación de las amenazas; y en este caso, se debe evaluar el perfil de los atacantes para saber de quién se le debe proteger los activos de información.

El Convenio sobre la Ciberdelincuencia (Convention on Cybercrime), conocido como Convenio de Budapest (COE, Serie Tratados Europeos N° 185), fue suscrito en dicha ciudad el 23 de noviembre de 2001 en el marco de los Estados miembros del Consejo de Europa, y se encuentra en vigor a partir del 1 de julio de 2004.

El convenio de Budapest, tras la ratificación de cinco Estados, entró en vigencia desde el 2004. Fue el primer tratado de carácter internacional que tiene el objetivo de proteger a la sociedad frente a los delitos informáticos y los delitos en Internet, mediante la elaboración de leyes adecuadas, la mejora de las técnicas de investigación y el aumento de la cooperación internacional. El Convenio de Budapest, según establece su Preámbulo, tiene por fin “incrementar la eficacia de las investigaciones y procedimientos penales relativos a los delitos relacionados con sistemas y datos informáticos, así como permitir la obtención de pruebas electrónicas de los delitos” (Consejo de Europa, Preámbulo), mediante “una cooperación internacional reforzada, rápida y eficaz en materia penal”.

El Convenio de Budapest promueve la armonización de la legislación que regula el cibercrimen, a nivel del derecho penal sustantivo de cada Estado Parte; mejorar las capacidades nacionales para la investigación de este tipo de delitos, conforme al derecho procesal de cada país; y establecer un régimen ágil y efectivo de cooperación internacional principalmente para facilitar la investigación transnacional de estos delitos.

– Derecho penal sustantivo: Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos; delitos informáticos; delitos relacionados con el contenido; delitos relacionados con infracciones a la propiedad intelectual y derechos afines;

– Derecho procesal: almacenamiento rápido de los datos informáticos y de los relativos al tráfico y a su entrega rápida a las autoridades competentes; a la conservación y protección de la integridad de los datos durante el tiempo necesario; al mandato u orden de presentación; a la captura y registro de los datos almacenados; al registro de datos en tiempo real; a la protección adecuada de los derechos humanos y libertades;

– Jurisdicción: Los Estados deben adoptar las medidas legislativas y de otra índole, necesarias para establecer como infracción penal, sin perjuicio de las leyes nacionales, los delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos, así como los delitos informáticos. Los Estados deben establecer sus competencias respecto a toda infracción penal siempre que ésta se haya cometido en su territorio; a bordo de un barco o aeronave;

– Cooperación internacional: extradición; colaboración y asistencia mutua, procedimientos aplicables, medidas provisionales, investigación, creación de una red de colaboración 24/7 (disponible las veinticuatro horas de los siete días de la semana).

A nivel internacional existe predisposición para establecer marcos jurídicos y cooperación, sin embargo, es muy difícil coordinar la realización de acciones operativas para la lucha contra la ciberdelincuencia y el crimen organizado.

En busca de mejorar aún más el marco normativo costarricense y lograr un mejor accionar ante la delincuencia informática, Costa Rica concretó el proceso de adhesión a la “Convención sobre el Cibercrimen” conocida como el “Convenio de Budapest” mediante la firma del Decreto Ejecutivo N° 40546-RREE el 3 de julio del 2017 el cual coadyuva en la lucha frente a los delitos informáticos. Se trata del primer instrumento formal internacional al que se suma Costa Rica en esta materia. Con este convenio se complementa la ley actual 9048 de Delitos Informáticos y conexos del título VI del Código Penal para mejorar la lucha contra la ciberdelincuencia y se protegerán actos dirigidos contra la confidencialidad, integridad y disponibilidad de los sistemas informáticos, redes y datos informáticos, así como datos personales, la identidad y los derechos de los niños y niñas.

Este convenio permitirá a las autoridades policiales tener acceso a procedimientos, pruebas y colaboración permanente con las policías de todo el mundo, para detectar a los cibercriminales. Dentro del marco regulatorio, Costa Rica ha actualizado su normativa nacional creando un desarrollo jurídico de protección para la cibersociedad costarricense, permitiendo que exista la posibilidad que las personas denuncien violaciones que sufrían en el mundo virtual que antes no tenían respuesta jurídica. Entre ellos, se destaca la Ley de Protección de la Persona frente al tratamiento de sus Datos Personales y su Reglamento, creando de esta forma la Agencia de Protección de Datos de los Habitantes (PRODHAB), la cual es el ente rector en esta materia.

Artículo 196 bis.- Violación de datos personales.

Será sancionado con pena de prisión de tres a seis años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos.

La pena será de cuatro a ocho años de prisión cuando las conductas descritas en esta norma:

a) Sean realizadas por personas encargadas de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tengan acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.

b) Cuando los datos sean de carácter público o estén contenidos en bases de datos públicas.

c) Si la información vulnerada corresponde a un menor de edad o incapaz.

d) Cuando las conductas afecten datos que revelen la ideología, la religión, las creencias, la salud, el origen racial, la preferencia o la vida sexual de una persona.“

Artículo 214.- Extorsión.

Será reprimido con pena de prisión de cuatro a ocho años al que para procurar un lucro obligue a otro, con intimidación o con amenazas graves, a tomar una disposición patrimonial perjudicial para sí mismo o para un tercero. La pena será de cinco a diez años de prisión cuando la conducta se realice valiéndose de cualquier manipulación informática, telemática, electrónica o tecnológica.“

Artículo 217 bis.- Estafa informática.

Se impondrá prisión de tres a seis años a quien, en perjuicio de una persona física o jurídica, manipule o influya en el ingreso, en el procesamiento o en el resultado de los datos de un sistema automatizado de información, ya sea mediante el uso de datos falsos o incompletos, el uso indebido de datos, programación, valiéndose de alguna operación informática o artificio tecnológico, o bien, por cualquier otra acción que incida en el procesamiento de los datos del sistema o que dé como resultado información falsa, incompleta o fraudulenta, con la cual procure u obtenga un beneficio patrimonial o indebido para sí o para otro. La pena será de cinco a diez años de prisión, si las conductas son cometidas contra sistemas de información públicos, sistemas de información bancarios y de entidades financieras, o cuando el autor es un empleado encargado de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tenga acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.“

Artículo 230.- Suplantación de identidad.

Será sancionado con pena de prisión de tres a seis años quien suplante la identidad de una persona en cualquier red social, sitio de Internet, medio electrónico o tecnológico de información. La misma pena se le impondrá a quien, utilizando una identidad falsa o inexistente, cause perjuicio a un tercero.

La pena será de cuatro a ocho años de prisión si con las conductas anteriores se causa un perjuicio a una persona menor de edad o incapaz.

Artículo 231.- Espionaje informático.

Se impondrá prisión de tres a seis años al que, sin autorización del titular o responsable, valiéndose de cualquier manipulación informática o tecnológica, se apodere, transmita, copie, modifique, destruya, utilice, bloquee o recicle información de valor para el tráfico económico de la industria y el comercio.

Artículo 233.- Suplantación de páginas electrónicas.

Se impondrá pena de prisión de uno a tres años a quien, en perjuicio de un tercero, suplante sitios legítimos de la red de Internet. La pena será de tres a seis años de prisión cuando, como consecuencia de la suplantación del sitio legítimo de Internet y mediante engaño o haciendo incurrir en error, capture información confidencial de una persona física o jurídica para beneficio propio o de un tercero.

Mejorar la ciberseguridad y proteger las infraestructuras de información críticas es esencial para la seguridad y el bienestar económico de todas las naciones, particularmente en el movimiento global hacia la economía digital y la sociedad de la información. A nivel nacional, la ciberseguridad es una responsabilidad compartida que requiere una acción coordinada de prevención, preparación, respuesta y recuperación de incidentes por parte de las autoridades gubernamentales, el sector privado y la sociedad civil. Para que esto funcione sin problemas y para garantizar un ámbito digital seguro, protegido y resistente, es necesario un marco o estrategia integral que debe desarrollarse, implementarse y ejecutarse en un enfoque de múltiples partes interesadas. Este marco a menudo se conoce como Estrategia Nacional de Ciberseguridad y es un elemento crítico para la seguridad socioeconómica de cualquier país.
La estrategia nacional de ciberseguridad puede adoptar muchas formas y pueden entrar en distintos niveles de detalle, dependiendo de los objetivos y niveles de preparación cibernética de cada país. Por consiguiente, no existe una definición consolidada y comúnmente acordada de lo que constituye una estrategia nacional de ciberseguridad.

Coordinar con todas las partes interesadas para establecer su papel y línea de acción tanto en el proceso de mitigación como gestión, recuperación y continuidad en caso de un incidente de seguridad cibernética.

Línea Estratégica 1.1. Coordinador Nacional
• Designar un coordinador nacional que tendrá la responsabilidad de articular las acciones en materia de seguridad cibernética y darle seguimiento al cumplimiento de esta estrategia. La figura de coordinación nacional, que recaerá en el MICITT, será el punto focal a nivel nacional e internacional para cualquier tema relacionado con seguridad cibernética.

Línea Estratégica 1.2. Colaboración del Sector Público y Sector Privado
• Mantener el diálogo cordial y fluido con el sector privado para el desarrollo de iniciativas a fin de atraer la atención nacional hacia la seguridad cibernética e involucrar una amplia representación de las partes implicadas.

Desarrollar y/o implementar campañas de concienciación y educación sobre seguridad cibernética que fomenten la responsabilidad de la protección digital como un deber de todos los usuarios de las tecnologías digitales.

Línea Estratégica 2.1. Concienciación – Público en general
• Desarrollar campañas de concienciación en ciberseguridad para los habitantes de Costa Rica de modo que se habitúen y acojan buenas prácticas como parte de su cultura, considerando el fortalecimiento de acciones para la protección de grupos poblacionales en condición de vulnerabilidad como niñez y adolescencia, adultos mayores, población indígena, población con discapacidad. Todo ello en alianza con el sector privado, sociedad civil y organizaciones no gubernamentales dedicadas a la protección de la infancia y adolescencia.

Línea Estratégica 2.2. Sector público
• Desarrollar campañas de concienciación y educación dirigidas a los funcionarios públicos y focalizadas al tipo de institución en el que se desempeñan, que enfaticen las mejoras prácticas de protección y aseguramiento de datos de acceso a sistemas de información y datos sensibles o personales contenidos en estos sistemas.

Línea Estratégica 2.3. Micro, Pequeña y Mediana Empresa
• Desarrollar conversatorios y foros de intercambio de información sobre temas de seguridad cibernética, específicamente para las Micro, Pequeña y Mediana Empresa.

Realizar campañas de capacitación exclusivas para el sector público que tengan como objetivo educar a los usuarios finales en conceptos y buenas prácticas sobre seguridad cibernética y preparar a usuarios expertos (desarrolladores, administradores, directivos) en técnicas de seguridad cibernética.

Línea Estratégica 3.1. Formación de recurso humano especializado
• Fomentar la divulgación y promoción de oportunidades de especialización o capacitación en seguridad cibernética disponibles local o internacionalmente para funcionarios del sector público.
• Proponer e impulsar adecuaciones en la oferta académica que permitan desarrollar planes de estudio de seguridad cibernética o añadir módulos de ciberseguridad a los programas pertinentes de pregrado, posgrado y doctorado.
• Promover la inclusión del tema de ciberseguridad en al menos un curso de carreras no tecnológicas.

Línea estratégica 3.2. Investigación y Desarrollo
• Gestionar alianzas con universidades públicas y privadas para desarrollar proyectos de investigación sobre las amenazas emergentes y el desarrollo de soluciones innovadoras a los incidentes cibernéticos.

Realizar una revisión del marco jurídico existente y proponer los ajustes necesarios para llevar a cabo procedimientos legales y medidas institucionales que garanticen una adecuada investigación y el enjuiciamiento efectivo.

Línea estratégica 4.1. Fortalecer el marco normativo y procesal en ciberdelincuencia.
• Crear una comisión especializada para la revisión de la normativa vigente para garantizar que existan herramientas procesales adecuadas en materia de delincuencia cibernética.

Línea estratégica 4.2. Crear capacidades en Ciberseguridad para la aplicación de la ley en el sistema penal de justicia.
• Identificar las áreas claves del sistema penal de justicia que requieren fortalecer sus capacidades y conocimientos en materia de Ciberseguridad.
• Colaborar en la generación de capacidades para las áreas claves identificadas.

Línea estratégica 4.3. Fomentar redes de confianza para el Intercambio de información entre los socios interesados en el sistema penal de justicia.
• Generar redes de confianza apoyadas mediante un instrumento jurídico de confidencialidad para el intercambio seguro de información relevante vinculada con delitos cibernéticos.
• Diseñar procedimientos expeditos para el intercambio de información confidencial.

Promover mecanismos para la identificación y protección de las infraestructuras críticas, así como la creación de políticas públicas específicas, como paso crucial para prevenir y/o mitigar incidentes de seguridad cibernética dirigidos a dañar o descontinuar operaciones sensibles.

Línea estratégica 5.1 Identificación y clasificación de las Infraestructuras Críticas.
• Identificar las infraestructuras críticas del país como paso crucial para la aplicación de medidas de seguridad.
• Crear una comisión para la generación de política pública conformada por un representante y un suplente de cada una de las instituciones públicas y entidades privadas identificadas, con el fin de garantizar la operatividad y estabilidad continua de estos servicios.

Línea estratégica 5.2. Implementación de medidas de seguridad de los Sistemas de Información y Telecomunicaciones de la Administración Pública
• Diseñar protocolos de ciberseguridad para los Ministerios del Poder Ejecutivo, acorde al estado de madurez de cada una de las instituciones y según las necesidades existentes en el sector público.

Promover la implementación de un modelo de gestión de riesgo que se adapte a las necesidades propias de cada institución u organización.

Línea estratégica 6.1 Mejorar la seguridad de los productos y servicios vinculados con la seguridad de la información.
• Promover de forma prioritaria la implementación de normas de seguridad para la operación de las organizaciones públicas y privadas, tomando en cuenta las normas internacionales tales como NIST, INTE/ISO/IEC, COBIT, recomendaciones de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) y la Unión Internacional de Telecomunicaciones (UIT).
• Generar negociaciones con entidades certificadoras de manera que se facilite la certificación de instituciones y organizaciones interesadas.

Línea estratégica 6.2. Implementación de mejores prácticas y definición de requisitos mínimos de seguridad de la información en el Sector Financiero
• Coordinar con el ente regulador del sector financiero para generar un marco de seguridad específico para las entidades de esta naturaleza, tomando en cuenta los diferentes niveles de madurez y tamaño de cada organización del sector.
• Crear un mecanismo de comunicación constante con las diferentes instituciones que conforman el sistema financiero, para analizar las oportunidades de mejora y retos en el fortalecimiento de la ciberseguridad.

Línea estratégica 6.3. Adopción de medidas de seguridad de referencia
• Promover la incorporación de medidas apropiadas de seguridad, privacidad y propiedad de los datos, para aquellos servicios que se prestan a la ciudadanía, favoreciendo el uso de certificados digitales de autenticación y enfatizando la implementación de normas estrictas para la protección de datos en servicios de almacenamiento como los de computación en la nube.

Línea estratégica 6.4. Establecimiento de una red de intercambio de información para las entidades gubernamentales
• Facilitar y promover el intercambio de información entre los responsables de seguridad de la información del gobierno a través de una red de confianza, donde se apliquen altos niveles de confidencialidad y profesionalismo. Los ataques y eventos a menudo afectan múltiples organizaciones. Una comunicación y coordinación adecuadas podrían reducir los riesgos y minimizar el posible impacto.
• Desarrollar un instrumento jurídico que permita establecer el alcance y las condiciones de los participantes de la red.

Línea estratégica 6.5. Fortalecimiento del Centro de Respuesta a Incidentes de Seguridad Informática CSIRT-CR
• Fortalecer y mejorar la resiliencia contra disturbios e incidentes informáticos.
• Asignar recursos exclusivos, que permitan atender todos los componentes del CSIRT-CR.
• Promover y apoyar la creación de CSIRT sectoriales que coordinen con el CSIRT Nacional, de manera que puedan proporcionar soluciones específicas para cada sector y contribuir de esta forma a una recuperación más rápida y eficaz ante sus incidentes.

Participar de la cooperación internacional a través de la asistencia y colaboración mutua en materia penal, técnica, educativa y el desarrollo de medidas de seguridad para abordar asuntos relacionados en materia de ciberseguridad.

Línea estratégica 7.1. Involucrar a la comunidad internacional en el apoyo de los objetivos de la Estrategia Nacional.
• Fomentar la participación en foros especializados tanto a nivel nacional como internacional con el fin de fortalecer la cooperación en ciberseguridad con otros aliados.
• Gestionar cooperación nacional e internacional que permita fortalecer los recursos y la infraestructura esencial de ciberseguridad del país a través de pasantías, capacitaciones, talleres, entre otros.

Diseñar y aplicar una metodología de implementación y seguimiento que permita evaluar el cumplimiento de las líneas de acción y proponer los ajustes según se requiera.

Línea estratégica 8.1. Realizar el seguimiento de la aplicación de la Estrategia Nacional de Ciberseguridad, y evaluar el grado de éxito de cumplimiento de sus objetivos
• Diseñar la metodología para el monitoreo sistemático de las acciones que operan la Estrategia Nacional de Ciberseguridad.
• Especificar en el plan de acción los mecanismos de control para darle seguimiento a los avances y la eficacia de los objetivos planteados en la presente estrategia

Línea estratégica 8.2. Realizar una revisión y actualización de la Estrategia Nacional de Ciberseguridad cada dos años o según sea necesario.
• El Comité Consultivo tendrá la responsabilidad de analizar la estrategia y emitir informes que contengan recomendaciones debidamente justificadas para efectuar las modificaciones que sean necesarias.

*********************

A continuación, se comparte un artículo relacionado con el tema que se abordó sobre “la Ley de Protección de la Persona frente al tratamiento de sus Datos Personales”, en Costa Rica, hasta al presidente se le llamó a cuentas por crear la UPAD (unidad de análisis de datos). /

Todo lo que debe saber de la UPAD y la comparecencia de Carlos Alvarado

Esteban Arrieta earrieta@larepublica.net | Miércoles 10 febrero, 2021

Carlos Alvarado, presidente de la República. Archivo/La República.
La Asamblea Legislativa llevará a cabo hoy una comparecencia a las 10:00 a.m., para que el presidente Carlos Alvarado se refiere a la Unidad Presidencial de Análisis de Datos (UPAD).

El supuesto acceso de datos confidenciales de los costarricenses por parte del gobierno y abuso de poder por parte del mandatario es lo que temen los legisladores.

¿Qué es la UPAD?

La UPAD fue una unidad de análisis de datos que creó el Presidente, con el objetivo de ayudar a tomar decisiones.

¿Por qué fue desmantelado ese grupo de apoyo?

Cuando se dio a conocer que la organización manejaba datos confidenciales de los costarricenses, el presidente ordenó desmantelar la UPAD.

¿Es investigado el presidente judicialmente por este tema?

La fiscalía allanó la Casa Presidencial en busca de pruebas en febrero del año pasado.

Al mandatario y a otros involucrados se les investiga por los delitos de abuso de autoridad y prevaricato, entre otros delitos.

¿Qué pasará hoy en la comparecencia en la Asamblea Legislativa?

Se trata de una investigación política que realizan los diputados sobre el accionar del mandatario.

La audiencia podría durar más de ocho horas, ya que todos los diputados podrán participar en el interrogatorio.

Para ello, se habilitó el plenario para la comisión investigadora.

¿Por qué el Presidente se opone a la comparecencia en el plenario?

Para Carlos Alvarado se trata de “una trampa” con tintes políticos electorales.

Esto, porque la Constitución no permite la comparecencia de un presidente en el plenario.

Ante esta situación, Alvarado prefirió dar explicaciones, antes de que la oposición lo acusara de no ser transparente.

¿Pueden los legisladores establecer alguna pena contra el mandatario?

El Congreso no puede de ninguna manera establecer sentencias.

Sin embargo, sí puede hacer pronunciamientos de carácter moral.

¿En otras ocasiones los mandatarios han tenido que rendir cuentas?

Sí, el más reciente fue Luis Guillermo Solís por el caso del cemento chino.

*********

FIN