Taller sobre Seguridad Internacional y Diplomacia en … Reporte.pdf · Taller sobre Seguridad...

Taller sobre SeguridadInternacional y Diplomacia

en el CiberespacioREPORTE FINAL

El uso malicioso de las tecnologías de la información y de las comunicaciones (TIC) se ha convertido en uno de los

peligros transnacionales más grandes de la actualidad. Las amenazas cibernéticas no se restringen a los límites geográficos de un país: es posible lanzar un ataque en un país, pero direccionarlo por medio de otro. La diplomacia es una herramienta clave para responder a estos peligros, debido a que puede fomentar la cooperación y ayudar a evitar malentendidos entre los estados.

Por más de una década, la Organización de Estados Americanos (OEA) ha traba-jado para promover políticas efectivas de seguridad cibernética entre sus miembros. En 2004, los Estados Miembros de la OEA adoptaron en forma unánime la Estrategia Interamericana Integral para Combatir las Amenazas a la Seguridad Cibernética, que constituyó un mandato oficial, por medio del cual la Secretaría General de la OEA (SG/OEA) pudo apoyar el desarrollo de la capacidad para la seguridad cibernética de los Estados Miembros. Aunque existen cla-ras diferencias en términos de capacidad entre los Estados Miembros de la OEA, la región pudo llegar a un consenso acerca

de la necesidad de un enfoque integral en forma mucho más temprana que otras re-giones, lo que demostró la voluntad de los países de construir una plataforma política cohesiva en relación con la seguridad ci-bernética. No obstante, aún queda mucho por hacer, y el fomento del diálogo abierto entre los Estados Miembros y la más am-plia comunidad internacional sería un pri-mer paso.

Con esto en mente, la SG/OEA y la Fun-dación ICT4Peace, con base en Zúrich, unieron esfuerzos para organizar un taller llamado “Diplomacia y Seguridad Interna-cional en el Espacio Cibernético”. Dicho ta-ller tuvo lugar en Bogotá, Colombia, del 18 al 20 de noviembre de 2014 con la asistencia de participantes de 26 Estados Miembros y de varias organizaciones internacionales pertenecientes a las comunidades técnicas, diplomáticas, de defensa y de aplicación de las leyes.

Con un diseño que contó con el apoyo del Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC) de Colom-bia y los gobiernos de Estados Unidos, el Reino Unido y Canadá, el taller tuvo como

INTRODUCCIÓN

Cyber Security Program

Cyber Security Program Cyber Security Program

objetivo proporcionarles tanto a los diplo-máticos como a los legisladores de política cibernética en las Américas, una explica-ción y comprensión clara del panorama de procesos internacionales y regionales de seguridad cibernética en curso, incluidos aquellos pertenecientes a las normas y me-didas de fomento de la confianza (CBM), que tienen lugar en el marco del Grupo de Expertos Gubernamentales de las Nacio-nes Unidas (GEG), la Primera Comisión de la Asamblea General de las Naciones Uni-das sobre el Desarme, la Organización para la Seguridad y la Cooperación en Europa (OSCE) y el Foro Regional de la ASEAN (ARF). Las conversaciones también com-prendieron las iniciativas en seguridad li-deradas por la Unión Europea, el Consejo de Europa, la Unión Internacional de Tele-comunicaciones (UIT), la Oficina de las Na-ciones Unidas contra la Droga y el Delito (UNODC) y los Equipos de Respuesta ante Emergencias Informáticas nacionales y re-gionales (los CERT también frecuentemen-te conocidos como CSIRT).

El primer día del evento se les presentó a los participantes los antecedentes genera-les de la seguridad cibernética a nivel in-

ternacional, teniendo en cuenta asuntos de derecho internacional y la importancia del rol que organizaciones regionales e inter-nacionales pueden desempeñar en la ge-neración del entendimiento mutuo entre estados. El segundo día, los asistentes se dividieron en cinco grupos para la realiza-ción de un ejercicio de simulación de nego-ciación con el propósito de practicar y apli-car temas clave en seguridad cibernética estudiados durante el primer día. El obje-tivo de tal ejercicio consistió en lograr que los representantes de los Países Miembros propusieran una medida generadora de confianza en seguridad cibernética (CBM) y trataran de llegar a un consenso en favor de una o más medidas.

El último día del evento, los Estados Miem-bros tuvieron la oportunidad de discutir las diferentes perspectivas en el espacio ciber-nético y de conocer la experiencia colom-biana referente al manejo de las amenazas en seguridad cibernética.

Este informe recoge el resumen del evento que tuvo una duración de tres días. La pri-mera sección se concentra en la importan-cia de la diplomacia para responder al uso

Internet está en todas partes, conectando las relaciones y transacciones diarias de las personas, sin importar su localización geográfica.

malicioso de las TIC, incluidos los procesos vigentes encaminados a lograr el consenso referente a normas, cuya finalidad es la de propiciar la conducta responsable del es-tado y las CBM en el espacio cibernético. La segunda sección proporciona entendi-miento de las diferentes perspectivas que podrían ser consideradas al abordar las po-líticas de seguridad cibernética, tales como perspectivas internacionales, industriales, de políticas y técnicas. La tercera y última

sección describe las conclusiones principa-les y las opciones de políticas potenciales que existen para la región. Al final de este informe se presenta una visión general de la situación en que se encuentra la política de seguridad cibernética en Colombia.


Diego Molano, Ministro de Tecnologías de la Información y las Comunicaciones (MINTIC) de Colombia.


LA IMPORTANCIA DE LA DIPLOMACIA: HACIA UNA CONDUCTA RESPONSABLE DEL ESTADO

El Internet está en todas partes, conec-tando las relaciones y transacciones diarias de las personas, sin importar su

localización geográfica. A pesar de la falta de límites físicos en el espacio cibernético, la realidad es que la infraestructura de la red se ubica físicamente en la jurisdicción de un estado dado y por ello está sujeta a la legis-lación del mismo. En otras palabras, aunque la percepción sea que la naturaleza del es-pacio cibernético es ilimitada, este depende fuertemente de una infraestructura física de propiedad de compañías y operada por las mismas, que se han establecido en un esta-do soberano. Por consiguiente, la diplomacia juega un papel importante en la definición de una estrategia capaz de afrontar amena-zas cibernéticas, en particular los principios y valores generales que guían la conducta de los países en los conflictos relacionados con el espacio cibernético. La definición de principios generales que gobiernan la con-ducta de los países a nivel internacional no solo ratifica los valores fundamentales de li-bertad y privacidad, sino también facilita la interoperabilidad global y la estabilidad de la red.

Durante más de una década, los Países Miem-

bros de la OEA se han esforzado por llegar a un consenso en asuntos de seguridad ciber-nética. En el año 2004, la Asamblea General de la OEA adoptó por unanimidad la Estra-tegia Interamericana Integral de Seguridad Cibernética, la cual identificó la necesidad de crear compromiso por parte de múlti-ples actores. En el 2012, los gobiernos de las Américas firmaron una declaración acerca del Fortalecimiento de la Seguridad Ciber-nética de las Américas, en la cual expresaron preocupación por el aumento progresivo de las amenazas para la seguridad cibernética, reiterando a la a vez, su apoyo continuo a las premisas de la estrategia de seguridad cibernética adoptada con anterioridad. La Unión Europea, en cambio, solo hasta 2013 aprobó una estrategia integral de seguridad cibernética. No obstante, a pesar del trabajo inicial sobre políticas realizado por la OEA en esta área, todavía queda mucho por ha-cer a lo largo del continente americano.

Durante el primer día del taller, los panelis-tas y representantes de los Países Miembros compartieron opiniones acerca de cómo tratar estos retos. Los participantes estuvie-ron de acuerdo en que para responder a las amenazas cibernéticas y afrontar los retos


Es importante que los gobiernos ofrezcan una guía de cómo los expertos técnicos y los diplomáticos pueden manejar los asuntos de seguridad cibernética a nivel internacional.

Neil Klopfenstein, Secretario Ejecutivo, Comité Interamericano contra el Terrorismo (CICTE), Organización de los Estados Americanos (OEA).

de atribución, se hace necesario un mayor intercambio entre expertos técnicos y equi-pos técnicos de respuesta a lo largo y ancho de los países. Es evidente que ello implica algún nivel de cooperación internacional, lo que hace de la diplomacia una parte esen-cial de las políticas de seguridad cibernética. Los expertos técnicos, sin embargo, no ne-cesariamente saben cómo transferir sus re-querimientos al debate diplomático en pri-mer lugar, y en el segundo, los diplomáticos poseen poco entendimiento técnico acerca de las consideraciones fundamentales que supone la seguridad cibernética. En conse-cuencia, con el ánimo de asegurar la efecti-va cooperación internacional para compartir información, las conversaciones a nivel inter-nacional deben contemplar las perspectivas de ambos grupos, tanto de técnicos como de diplomáticos, para mitigar así los efectos que puedan producir los descuidos de am-bas partes.

En primer lugar, es importante que los go-biernos ofrezcan una guía de cómo los ex-pertos técnicos y los diplomáticos pueden manejar los asuntos de seguridad ciberné-tica a nivel internacional. En cuanto al de-lito cibernético, se sugirió que los estados

consideren unirse a la Convención sobre Delitos Cibernéticos del Consejo de Europa (también conocida como la Convención de Budapest), la cual ofrece una base para dar respuesta a crímenes específicos y para el intercambio de información. La Red de Pun-tos de Contacto G8 24/7 también constitu-ye un mecanismo útil que asegura la rápida asistencia en la preservación de los datos. No obstante, pocos países en las Américas han solicitado acceso a estos mecanismos e instrumentos. Un desafío adicional para la efectiva cooperación internacional consiste en la inexistencia de consenso nacional en seguridad cibernética. La falta de un fuerte liderazgo político y de coordinación entre diferentes partes del gobierno inhibe las ac-ciones de respuesta a incidentes de segu-ridad cibernética y el nivel de compromiso internacional.

Teniendo en cuenta que los acuerdos inter-nacionales no requieren del mismo nivel de especificidad de las regulaciones naciona-les, los panelistas destacaron la importancia de promover la reflexión crítica respecto de los instrumentos internacionales aplicados hasta el momento, con el objeto de definir los que pueden ser usados para garantizar


la seguridad y estabilidad cibernética a ni-vel internacional, tales como derechos hu-manos, privacidad, libertad de expresión y principios fundamentales del derecho inter-nacional como la soberanía.

La ausencia del vocablo “cibernético” en una norma no previene su aplicación auto-máticamente. Por ejemplo, aunque la pro-hibición de la Carta de las Naciones Unidas del uso de la fuerza no menciona “ciberné-tico” y fue acordada antes del surgimiento de la era digital, el asunto fundamental de la no utilización de la fuerza y la premisa de la autodefensa son principios generales con amplia aplicación. En otras palabras, los principios legales de responsabilidad estatal y soberanía deben ser cumplidos, aunque no circunscriban explícitamente su aplicabi-lidad a asuntos del espacio cibernético. En consecuencia, en lugar de desarrollar nue-vos planteamientos legales para tratar asun-tos de seguridad cibernética a nivel interna-cional, los estados podrían esforzarse por llegar a consensos acerca de la necesidad de lograr certeza legal referente al espacio cibernético basados en los marcos legales internacionales existentes.No todos los estados afrontan los mismos

desafíos de seguridad cibernética; por lo tanto, las respuestas deberían ser consis-tentes con sus realidades internas. Al mismo tiempo, las naciones-estado que represen-tan ciertos valores deberían unirse para de-cidir acerca de cómo manejar la seguridad cibernética. La alteración cibernética y otros usos indebidos de las TIC son conceptos no-vedosos y confusos, que van desde eventos que causan mera inconveniencia hasta ata-ques cibernéticos que pueden en definitiva causar daño considerable o lastimar a la po-blación. Por esta razón, el diálogo entre na-ciones para llegar al entendimiento común de tanto los desafíos como de las respues-tas posibles, es de suma importancia.

En consideración a lo anterior, los panelistas propusieron una estructura de pensamiento consistente en cinco pasos para ayudar en la aplicación del derecho internacional en el diálogo internacional cibernético. Primero, los estados deben definir los resultados co-munes deseados e indeseados. En general, los países están de acuerdo en el desarrollo de un espacio cibernético abierto, resilien-te, estable, seguro y pacífico, desde donde se incentiven las transacciones económicas y las interacciones sociales, en lugar de en-



sombrecerse a causa de las amenazas en materia de seguridad cibernética. El debate acerca de estos principios generales debe ser el punto de partida para alcanzar con-senso en la aplicación del derecho interna-cional. Una vez se definan los resultados, los estados deben unirse en el análisis de las normas internacionales vigentes y en la identificación de posibles vacíos en el marco legal internacional existente. El tercer paso se refiere a cómo los países podrían manejar las brechas existentes. En algunos casos, el marco legal existente podría ser interpreta-do de manera diferente, con el fin de abar-car los asuntos de orden cibernético. Si esto no es posible, los estados pueden recurrir al siguiente paso, el cual consistiría en tomar

Daniel Stauffacher, Presidente, Fundación TICs Para la Paz.

acción sustantiva, tal como la regulación blanda, en lugar de tratados. La primera me-dida es preferible, dado el estado incipien-te en que se encuentra el diálogo interna-cional en materia de seguridad cibernética, es decir, una regulación blanda les permite a los países abordar este asunto de mane-ra flexible, sin llegar a conclusiones de lar-go alcance y sin fijar normas reglamentarias que podrían limitar el trabajo de futuras ge-neraciones. Por último, los estados podrían identificar normas y prácticas en uso actual, especialmente normas que hayan emergido de la cooperación entre los CERT al tratar con amenazas reales.

Las medidas tendientes a generar confianza


(CBM) también constituyen un instrumento interesante de la política internacional y son empleadas para fortalecer la paz y la segu-ridad internacional en el espacio cibernéti-co. Como se resumió en el informe de 2013, del Grupo de Expertos Gubernamentales de las Naciones Unidas sobre los “Desarrollos en el Campo de la Información y las Teleco-municación en el Contexto de la Seguridad Internacional” (A68/98*), las organizaciones internacionales y regionales desempeñan un papel importante en la implementación de las CBM entre sus Estados Miembros. Para reducir, por ejemplo, los riesgos de conflic-tos derivados del uso de la tecnología de la información y las comunicaciones, los esta-dos participantes de la OSCE acordaron en diciembre de 2013 un primer grupo de CBM, diseñadas para incentivar la cooperación, transparencia y previsibilidad interestatales en el espacio cibernético. (a) El punto esen-cial de estas medidas fue disminuir y elimi-nar las causas potenciales de malentendidos entre estados que pudieran acarrear conflic-tos en ausencia de la certeza absoluta.

Un aspecto interesante de las CBM de la

OSCE es que se enfocan principalmente en los legisladores, incluyendo a los responsa-bles de políticas internacionales que tengan altas probabilidades de representar un pa-pel importante en cómo responder a una acción cibernética maliciosa que se crea que proviene de otro país. En líneas gene-rales, las CBM de la OSCE se pueden clasi-ficar en tres grupos: 1. CBM que involucran la entrega de información específica a otros estados (por ejemplo, estrategias naciona-les de seguridad cibernética); 2. CBM que incentivan a los estados a comunicarse o re-unirse, incluido para el apaciguamiento de tensiones que puedan surgir; y 3. CBM que promueven la puesta en marcha de pasos y marcos tendientes a facilitar la coordinación a nivel nacional e internacional para manejar los peligros cibernéticos.

Muy a menudo, la elaboración e implemen-tación de las CBM representa una oportuni-dad para que los países les muestren a sus socios la importancia que un estado le adju-dica al tema de la estabilidad entre países, a través de niveles mayores de transparencia y previsibilidad.


(a) OSCE (diciembre de 2013). “Decision No. 1106 – Initial Set of OSCE Confidence-Building Measures to Reduce the Risks of Conflict Stemming from the Use of Information and Communication Technologies.” Disponible en: http://www.osce.org/pc/109168?download=true.

La comprensión de las perspectivas de la industria en seguridad ciberné-tica y el trabajo con el sector pueden

ayudar a las naciones-estado no solo a ser más conscientes de su posición cibernéti-ca, sino también a mejorar su capacidad de respuesta ante incidentes relacionados con amenazas cibernéticas. Debido a las gran-des bases de datos que poseen las com-pañías acerca de sus clientes, éstas tienen acceso a información en tiempo real refe-rente a amenazas cibernéticas y pueden ofrecer conocimiento valioso respecto a las técnicas más recientes que se emplean en contra de Países Miembros de la OEA. La SG/OEA, por ejemplo, se asoció reciente-mente con Symantec para producir un in-forme completo sobre las tendencias de la seguridad cibernética en Latinoamérica y el Caribe. (b)

Al unir esfuerzos con Symantec, la SG/OEA logró una mayor comprensión de los tipos de retos y riesgos cibernéticos que afron-tan a diario los estados y sus ciudadanos en toda la región. También destacó la capaci-dad de respuesta de los estados. El informe reveló la importancia de elevar la concien-

cia ciudadana, con el fin de equipar mejor a los usuarios finales de Internet con habili-dades esenciales para protegerse de ame-nazas cibernéticas. Los datos correspon-dientes a 2013 demostraron cuán riesgosa es la conducta de los usuarios frente a apa-ratos móviles en Latinoamérica y el Caribe: el 50% de los usuarios de móviles no toma precauciones básicas de seguridad, tales como contraseñas, software de seguridad o archivos de respaldo para sus aparatos móviles. Las redes sociales representan un objetivo potencial para los delincuentes ci-bernéticos, teniendo en cuenta que casi el 95% de los usuarios de Internet en la región usan activamente estas páginas, y que paí-ses de la región ocupan cinco de los diez puestos globales más altos de mayor tiem-po invertido en las redes sociales. El infor-me también reveló el gran uso de correos electrónicos de suplantación de identidad dirigido a un objetivo (spear-phishing), para propósitos de ataques dirigidos.

Los delincuentes cibernéticos a menudo buscan acceso a información sensible de los gobiernos, de la empresa privada y de los datos bancarios de usuarios. Varios ata-


(b) OEA; Symantec (junio de 2014). “Latin America + Caribbean: Cyber Security Trends.” Disponible en: http://www.symantec.com/content/en/us/enterprise/other_resources/b-cyber-security-trends-report-lamc.pdf.


DIFERENTES PUNTOS DE VISTA EN SEGURIDAD CIBERNÉTICA: INDUSTRIA, INTERNACIONAL, POLÍTICA Y TÉCNICA

Al abordar la seguridad cibernética de manera colectiva, los países podrían crear un marco de principios orientados hacia el futuro.


Michele G. Markoff, Coordinadora Adjunta de Asuntos Cibernéticos, Departamento de Estado de EE.UU.

Carmen Sylvain, Embajadora de Canadá en Colombia.


ques se han dirigido contra la infraestruc-tura crítica de ciertos países (por ejemplo, de petróleo, electricidad y agua), para inte-rrumpir el suministro básico de los servicios y afectar la credibilidad de los gobiernos frente a sus ciudadanos.

En la actualidad, empresas privadas están desarrollando varios bienes y servicios re-lacionados con el Internet (por ejemplo, el llamado Internet de las Cosas), en las que objetos de la vida diaria de la gente ten-drán sensores digitales, lo cual conectará el mundo físico con el digital, de una ma-nera sin precedentes. Adicionalmente, en la mayoría de la infraestructura del Internet es propiedad y está operada por el sector privado. A pesar de la dependencia progre-siva de la industria en las TIC para manejar negocios y proporcionar servicios esencia-les, la seguridad cibernética no ha sido una prioridad alta para la empresa privada. Por lo tanto, es importante que los gobiernos trabajen en conjunto con el sector privado, consideren sus perspectivas en cuanto a asuntos cibernéticos y reconozcan que la seguridad cibernética es una responsabili-dad compartida.

El gobierno de Colombia, por ejemplo, ha realizado una labor conjunta con Microsoft, para alinear las metas y lograr un mayor entendimiento de los retos y riesgos en se-guridad cibernética en el país. Juntos han identificado información cuantitativa im-portante referente a tendencias cibernéti-cas, incluyendo el hecho de que el 52% de los colombianos utilizó software pirata en 2013. (c)

Esta clase de datos les permite a los go-biernos y al sector privado asignar mejor los recursos y diseñar políticas más efec-tivas.

Además de comprender mejor los puntos de vista del sector privado acerca de se-guridad cibernética a nivel nacional, es im-portante que los países estén preparados para considerar las perspectivas de otras naciones también. Al abordar la seguridad cibernética de manera colectiva, los paí-ses podrían crear un marco de principios orientados hacia el futuro, con el objeto de preparar el camino para el uso pacífico y transparente del espacio cibernético y las TIC. Los panelistas ilustraron algunos ejem-


(c) BSA – The Software Alliance (junio de 2014). “The Compliance Gap – BSA Global Software Survey.” Disponible en: http://www.bsa.org/~/media/Files/Research%20Papers/GlobalStudy/2014/2013GlobalSurvey_Study_en.pdf.


Iain Gill, Representante de la Embajada Británica.

La Seguridad Cibernética va a continuar creciendo como un asunto de importancia para la seguridad internacional y la diplomacia.


plos de convenios alcanzados a nivel inter-nacional que promueven la cooperación y comunicación entre países frente a inciden-tes cibernéticos.

Por ejemplo, en 2013 el Grupo de Expertos Gubernamentales de las Naciones Unidas (GGE) estuvieron de acuerdo en un informe sustantivo llamado “Avances en la Esfera de la Información y las Telecomunicaciones en el Contexto de la Seguridad Internacio-nal” (d), que presentó una serie de medi-das específicas diseñadas con el propósito de aumentar la transparencia y establecer mecanismos de comunicación para mitigar malentendidos potenciales entre naciones. Adicionalmente, el informe reconoció la

aplicabilidad de normas derivadas de le-yes internacionales existentes al comporta-miento de los estados en el espacio ciber-nético, destacando a la vez, la necesidad de enfocarse en la creación de capacidad y de establecer medidas que fomenten la confianza. Lo segundo puede significar un paso importante para aumentar la transpa-rencia, previsibilidad y cooperación entre naciones-estado. El informe también enfa-tizó la importancia de comprometer al sec-tor privado, la sociedad civil y la círculos academia con estos asuntos.

El acuerdo bilateral entre Estados Unidos y Rusia es otro ejemplo importante de es-fuerzos dirigidos al fortalecimiento del in-


(d) Asamblea General de las Naciones Unidas – Grupo de Expertos Gubernamentales (junio de 2013). “Develop-ments in the Field of Information and Telecommunications in the Context of International Security.” Disponible en: http://www.un.org/ga/search/view_doc.asp?symbol=A/68/98.

es importante la adopción de estándares de seguridad y mejores prácticas para la protección de la infraestructura de un país contra ataques cibernéticos.

tercambio de información y la prevención de conflictos internacionales. En junio de 2013 durante la Cumbre de los G8 en Ir-landa del Norte, el Presidente de Estados Unidos Barack Obama y su homólogo ruso Vladimir Putin anunciaron conjuntamente un acuerdo bilateral para tomar medidas que fomenten la confianza en el dominio ci-bernético. Dicho acuerdo incluía compartir información entre sus CERT nacionales, la expansión de la línea telefónica para asun-tos nucleares con el fin de proveer comuni-cación directa durante crisis cibernéticas, y el establecimiento de un grupo de trabajo en seguridad cibernética en el marco de la Comisión Presidencial Bilateral de Estados Unidos y Rusia. Este acuerdo bilateral enfa-tiza la realidad que la seguridad cibernética

debe convertirse en un asunto de prioridad alta para todos los países, y solo a través del trabajo conjunto será posible que las naciones-estado enfrenten actos indebidos en el espacio cibernético y eviten la escala-da de tensiones.

Las conversaciones pusieron de manifies-to la necesidad de que las naciones-estado tengan en cuenta las perspectivas técnicas y políticas. En general, la implementación de políticas de seguridad cibernética requiere de una gran cantidad de trabajo legislativo ya sea para adaptar la legislación vigente a las tendencias digitales o para ajustar la legislación de un país a las convenciones internacionales. Con estos propósitos en mente, resulta crucial un abordaje de múlti-


María Marcenario (Argentina), Jose Ureta (Argentina), Mario Alcoser (Belize), Idelso Leslie (Belize).


ples partes interesadas, por medio del cual todos los actores relevantes estén compro-metidos de alguna forma con el proceso de toma de decisiones. La seguridad ciberné-tica es un concepto relativamente nuevo, sobre el que no existe consenso en cuanto a principios básicos y definiciones, lo cual exige cautela por parte de los legisladores al formular nuevas políticas para resolver las amenazas cibernéticas. De lo contrario, el remedio podría ser peor que la enferme-dad.

Por el lado técnico y operacional, es impor-tante la adopción de estándares de seguri-dad y mejores prácticas para la protección de la infraestructura de un país contra ata-ques cibernéticos. Por medio de la asocia-ción con el sector privado, los gobiernos pueden tener acceso a las herramientas y estándares de inteligencia sobre amenazas cibernéticas, al igual que al entrenamiento y la certificación en seguridad cibernética. Por ejemplo, los gobiernos podrían consi-derar una mayor vinculación con organi-zaciones industriales, tales como el Grupo de Trabajo “Anti-Phishing” (APWG) contra el ataque a organizaciones y grupos espe-cíficos, el Grupo de Trabajo Anti-abuso de

Mensajes (MAAWG) y el Plan de Acción de Londres (LAP), los cuales se concentran en la necesidad de mitigar los ataques ciber-néticos.

Por último, el mejoramiento en la capacidad técnica de respuesta a incidentes de los paí-ses depende en gran parte de la informa-ción que se intercambie sobre incidentes y técnicas de respuesta entre los CERT na-cionales. Los mecanismos de información compartida que permiten el acceso a datos exactos y oportunos acerca de los actores y amenazas en prácticamente cualquier país, así como a expertos, dependiendo de la clase de amenaza cibernética, son cru-ciales para la creación de una red segura y confiable. Por consiguiente, las herramien-tas diplomáticas para establecer puntos de contacto son de suma importancia para el mejoramiento de las capacidades técnicas de respuesta de los países.

EJERCICIO DE SIMULACIÓN Y CONCLUSIONES PRINCIPALES

Los asistentes se dividieron luego en cinco grupos para la realización de un ejercicio de simulación de negociación

con el objeto de practicar e implementar temas de seguridad cibernética clave que fueron tratados durante el primer día. La idea del ejercicio era que los representan-tes de los Países Miembros propusieran una medida que propiciara la creación de con-fianza en seguridad cibernética y que trata-ran de llegar a un consenso en favor de una o más de tales medidas.

El grupo 1 discutió la importancia de defi-nir objetivos claros con el apoyo de la OEA en esa tarea. Además de considerar la ad-hesión a la Convención sobre el Delito Ci-bernético del Consejo de Europa, el grupo sugirió que los Estados Miembros trabaja-ran juntos en el desarrollo regional de ins-trumentos de seguridad cibernética condu-centes al establecimiento de objetivos de corto y largo plazo para el mejoramiento de las capacidades de la región en cuanto a seguridad cibernética. En forma similar, el segundo grupo deliberó acerca de la crea-ción de un grupo de trabajo especializado en asuntos de seguridad cibernética en Latinoamérica y el Caribe. Más específica-

mente, este grupo de trabajo en seguridad cibernética realizaría primero un análisis si-tuacional del estado de los países en segu-ridad cibernética, y luego definiría políticas basadas en dos ejes de trabajo: nacional e internacional. El primero sería responsa-ble de identificar las partes interesadas, al evaluar el marco legislativo de los países y plantear una lista de incidentes ciberné-ticos, mientras que el segundo llevaría a cabo un análisis respecto a la Convención sobre el Delito Cibernético del Consejo de Europa para contemplar la posibilidad de adhesión por parte de los Países Miembros de la OEA, así como la promoción de una conferencia anual sobre seguridad ciberné-tica.

Otros grupos se enfocaron en medidas es-pecíficas que podrían ser consideradas en cualquier acuerdo respecto a la seguridad cibernética en las Américas. El grupo 3, por ejemplo, sugirió la creación de un protoco-lo de colaboración para el intercambio de información y mejores prácticas. Igualmen-te, el Grupo 4 declaró que la plataforma de colaboración podría establecer guías técni-cas y líneas de acción para dar respuesta a incidentes cibernéticos por parte de los



Países Miembros. La estandarización en los procedimientos de respuesta a incidentes, emprendida por los Países Miembros, fa-cilitaría el análisis cuantitativo de las ame-nazas cibernéticas, lo que contribuiría a re-presentar mejor el estado de la región en seguridad cibernética.

El Grupo 5 recalcó la necesidad de compro-meter a otros actores, especialmente a la

sociedad civil, en la lucha contra el delito ci-bernético. Los usuarios de Internet son los interesados más vulnerables, de ahí la im-portancia de promover programas de edu-cación en protocolos básicos de seguridad por parte de los Países Miembros. El grupo también sugirió que los Estados Miembros declaren el mes de octubre como el “Mes de la Conciencia Cibernética” y coordinen iniciativas para suscitar la conciencia públi-

El grupo también sugirió que los Estados Miembros declaren el mes de octubre como el “Mes de la Conciencia Cibernética“.


Jason Plummer (Guyana), Jorge Caballero (Perú), Gabriel Benitez (México).


ca en toda la región.Los participantes también discutieron otras medidas que pueden emprenderse para luchar contra el delito cibernético en La-tinoamérica y el Caribe. En este sentido, pusieron sobre la mesa tres conclusiones principales encaminadas al mejoramiento de las políticas de seguridad cibernética en la región: la responsabilidad que tienen los Países Miembros en el aumento de con-ciencia frente a la seguridad cibernética; el compromiso de los Países Miembros hacia el debate internacional sobre seguridad ci-bernética; el rol crucial que tienen las or-ganizaciones internacionales y aquellas sin ánimo de lucro en la prestación de asisten-cia a los países.

La responsabilidad de lograr un espacio ci-bernético seguro debe ser compartida por diferentes partes interesadas, exigiendo de parte de los Estados Miembros un fuerte compromiso para elevar los niveles de con-ciencia en materia de seguridad cibernéti-ca. Para ayudarles en esta tarea a los Países Miembros, la OEA se ha asociado con STOP.THINK.CONNECT, una iniciativa global para aumentar el conocimiento sobre seguridad cibernética enfocada en el mejoramiento

de los esfuerzos de colaboración en segu-ridad cibernética entre países en las Amé-ricas. Esta asociación tiene como objetivo asistir a los Países Miembros en el diseño de programas que generen el aumento de conocimiento en cibernética, con base en las necesidades de grupos de partes inte-resadas específicos. Los Estados Miembros también podrían formar parte del grupo de trabajo APWG, el cual une esfuerzos para la lucha contra el delito cibernético, ofre-ciéndoles a sus miembros la oportunidad de discutir acerca de la suplantación de la identidad (phishing) y el acceso a recursos para la aplicación de la seguridad ciberné-tica.

Para que el compromiso internacional sea fructífero, es vital tener una posición nacio-nal coherente referente a seguridad ciber-nética. Tener una clara idea acerca de cómo desean conducir las políticas de seguridad cibernética a corto y largo plazo les ayu-dará a los países a asegurarse de que sus intereses sean tenidos en cuenta a nivel internacional; de lo contrario, pueden ter-minar aceptando lo que otros países hayan decidido, sin poder contar con una voz más fuerte en los asuntos cibernéticos. Las na-


ciones-estado deben mantener un rol efec-tivo en política internacional de seguridad cibernética. No obstante, también deben tener en cuenta la necesidad de enfocarse en intereses internacionales, y no en asun-tos domésticos de seguridad, al negociar compromisos internacionales. Es decir, las naciones-estado deben concentrar sus es-fuerzos en producir resultados compara-bles a nivel global.

Tanto las organizaciones sin ánimo de lu-cro como las internacionales y regionales pueden desempeñar un papel importante en la asistencia a países en esta tarea para lograr un espacio cibernético abierto, segu-ro y resiliente a nivel global. Organizacio-nes sin ánimo de lucro, tales como la Fun-dación ICT4Peace, se dedican a fomentar el intercambio de mejores prácticas y con-tribuyen al establecimiento de principios amplios por medio de grupos de trabajo y talleres. Igualmente, las organizaciones re-gionales e internacionales pueden ayudar a los países a desarrollar sus capacidades en

seguridad cibernética a través de numero-sas acciones. A manera de ejemplo, junto al Banco Interamericano de Desarrollo (BID), la SG/OEA ha iniciado un estudio que tie-ne como objetivo profundizar en el nivel de comprensión de los retos y riesgos en se-guridad cibernética que enfrentan Latinoa-mérica y el Caribe, con el objeto de ofrecer mayor apoyo a los países en su esfuerzo por responder.

La SG/OEA también se halla en vías de desarrollar una red de CSIRT para el he-misferio, que sirva de punto de contacto y desarrolle mecanismos de intercambio de información entre los CSIRT de los Esta-dos Miembros. Esta plataforma permitirá que los Países Miembros se ayuden mu-tuamente en los procesos de respuesta a incidentes. Por consiguiente, las organiza-ciones regionales e internacionales tienen un papel muy importante en la creación de plataformas que les permitan a los países formular e implementar políticas cohesivas de seguridad cibernética.

María Isabel Mejía Jaramillo, Viceministra de Tecnologías de la Información y las Comunicaciones (MINTIC) de Colombia.

El último día del evento, los participan-tes tuvieron la oportunidad de conocer la experiencia colombiana relacionada

con las políticas de seguridad cibernética. Vale la pena conocer el caso colombiano, dado que en 2011, Colombia fue el primer país en el hemisferio, además de Estados Unidos y Canadá, que adoptó oficialmen-te una Estrategia integral para combatir las amenazas a la seguridad cibernética. La se-sión contó con la presencia de autoridades de alto rango de la Policía Nacional, el Mi-nisterio de Defensa, al igual que del Minis-terio de Tecnologías de la Información y de las Comunicaciones (MinTIC), con el fin de proporcionarles a los participantes un en-tendimiento amplio de las políticas de se-guridad cibernética vigentes en el país.

La Policía Nacional de Colombia resaltó la importancia de las habilidades forenses ci-bernéticas frente al análisis y la preserva-ción de evidencia digital para la eventual fiscalización de un incidente cibernético. Al adoptar técnicas forenses digitales, las autoridades tienen la posibilidad de deter-minar la fuente y naturaleza del incidente, e identificar la responsabilidad del individuo. Por ejemplo, la Policía Nacional ha imple-

mentado un laboratorio de análisis de sof-tware malicioso (malware), al igual que una plataforma para analizar y correlacionar grandes datos. También describió algunos proyectos ejecutados en Colombia, resal-tando la importancia de enfocarse en la protección de los ciudadanos, por ejemplo, en la prevención de la pornografía infantil y otros delitos en el Internet. El anterior fue la primera iniciativa policiaca de este tipo emprendida en Latinoamérica. El Ministerio de Defensa expuso la impor-tancia de los mecanismos para compartir información, encaminados a proteger de manera adecuada los activos estratégicos y económicos del país, en particular la in-fraestructura crítica. El Ministerio de De-fensa ha estado implementando políticas enfocadas hacia la seguridad cibernética, sobre la base de tres niveles principales de acción. El primero es el nivel estratégico, que consiste en una fuerte colaboración y coordinación intersectorial con compañías propietarias y operadoras de infraestructu-ras críticas en el país. El segundo es el nivel operacional, el cual define acciones especí-ficas y medidas tendientes a proteger la in-fraestructura crítica de Colombia. El tercero

ANEXO:SEGURIDAD CIBERNÉTICALA SITUACIÓN DE COLOMBIA



"Los expertos nacionales e internacionales escogidos presentaron recomendaciones en cuatro temas principales: capacidades institucionales, capacidades de seguridad cibernética, cooperación múltiple de las partes interesadas, así como de los actores internacionales, y marcos legales para la seguridad cibernética."



es el nivel táctico que explica cómo el país efectivamente protege su infraestructura. En suma, la implementación de políticas de seguridad cibernética incluye la defini-ción clara de los objetivos, el análisis de los riesgos, al igual que un análisis de impacto para medir la efectividad de las medidas de seguridad cibernética que hayan sido to-madas y así establecer la necesidad even-tual de realizar modificaciones.

Para finalizar, el MinTIC se centró en las me-didas recientes tomadas con el apoyo de la SG/OEA. El gobierno de Colombia abordó a la SG/OEA, en busca de apoyo para or-ganizar una Comisión Internacional de Ex-pertos con el ánimo de evaluar la situación del país en cuanto a seguridad cibernética. Después de un intercambio de ideas entre

actores relevantes, los expertos nacionales e internacionales escogidos presentaron re-comendaciones en cuatro temas principa-les: capacidades institucionales, capacida-des de seguridad cibernética, cooperación múltiple de las partes interesadas, así como de los actores internacionales, y marcos legales para la seguridad cibernética. Para fortalecer aún más la capacidad institucio-nal colombiana en materia de seguridad cibernética, los expertos recomendaron la creación de una agencia de seguridad ci-bernética, donde los interesados de dife-rentes sectores puedan reunirse y abordar este tema, con base en un enfoque de múl-tiples partes interesadas y responsabilidad compartida. El gobierno, por ejemplo, ha creado nueve grupos de trabajo para dis-cutir protocolos y estándares destinados a


La experiencia colombiana refuerza un poderoso mensaje a los Miembros Estados de la OEA: la importancia de la cooperación continua tanto internacional como regional para el desarrollo de capacidades de seguridad cibernética.


la protección de infraestructura crítica con la participación de representantes del sec-tor privado.

Con miras a la creación de capacidades de seguridad cibernética en Colombia, los ex-pertos recomendaron el ofrecimiento de capacitación técnica y gerencial especiali-zada en asuntos de seguridad cibernética. Por ejemplo, el gobierno colombiano podría ofrecer becas y establecer una academia profesional de cibernética para capacitar a profesionales. Adicionalmente, los expertos sugirieron la creación de agrupaciones tec-nológicas, en particular para las empresas emergentes y la pequeña empresa. Tam-bién se destacó la necesidad de coopera-ción nacional e internacional. A nivel nacio-nal, el gobierno podría emitir regulaciones para establecer la presentación obligatoria de informes de incidentes en el caso de las compañías que operan infraestructura crí-tica. A nivel internacional, los expertos re-comendaron adherirse al sistema Interpol 1-24/7, lo cual facilita el intercambio expedi-to de información relacionada con el delito cibernético. Por último, el marco legal para


la seguridad cibernética en el país podría mejorarse mediante la reforma a la legisla-ción colombiana en línea con la Convención de Budapest del Consejo Europeo, con la implementación de medidas que permi-tan la preservación de evidencia digital y la adopción de mecanismos de cooperación con los proveedores del servicio de Internet para contar con su asistencia en asuntos re-lacionados con el delito cibernético.

La experiencia colombiana refuerza un po-deroso mensaje a los Miembros Estados de la OEA: la importancia de la cooperación continua tanto internacional como regional para el desarrollo de capacidades de segu-ridad cibernética. Al solicitar la asistencia de la SG/OEA y de expertos internacio-nales, Colombia ha podido avanzar en la implementación de su estrategia nacional en seguridad cibernética. En lugar de ser vistas como un esfuerzo de una sola vez, las estrategias de seguridad cibernética re-quieren de un enfoque dinámico y flexible, en el cual las políticas puedan adaptarse a las nuevas tendencias digitales y a la emer-gencia de nuevas amenazas cibernéticas.


SECRETARIO GENERAL

Albert R. RamdinSECRETARIO GENERAL ADJUNTO

Adam BlackwellSECRETARIO DE SEGURIDAD MULTIDIMENSIONAL

PROGRAMA DE SEGURIDAD CIBERNÉTICA DE LA OEA/CICTE

SECRETARIO EJECUTIVO DEL COMITÉ INTERAMERICANO CONTRA EL TERRORISMO (CICTE)Neil Klopfenstein

Pablo MartínezBelisario ContrerasDiego SuberoJavier VillaKerry-Ann BarrettGonzalo Garcia-BelenguerBarbara MarchioriEmmanuelle Pelletier

José Miguel Insulza

Geraldine Vivanco

INTERNATIONAL SECURITY AND DIPLOMACY IN

CYBERSPACEREPORTE FINAL

18-20 DE NOVIEMBRE DEL 2014

TALLER SOBRE SEGURIDAD INTERNACIONALY DIPLOMACIA EN EL CIBERESPACIO

NOVIEMBRE 18-20, 2014

INTERNATIONAL SECURITY AND DIPLOMACY IN

CYBERSPACEREPORTE FINAL

18-20 DE NOVIEMBRE DEL 2014

ORGANIZATION OF AMERICAN STATES

OAS CYBER SECURITY PROGRAMInter-American Committee against TerrorismSecretariat for Multidimensional Security

1889 F Street N.W.Washington, D.C. 20006P. 202 370 4674F. 202 458 [email protected]

Taller sobre Seguridad Internacional y Diplomacia en … Reporte.pdf · Taller sobre Seguridad...

Documents

Transcript of Taller sobre Seguridad Internacional y Diplomacia en … Reporte.pdf · Taller sobre Seguridad...