redseguridad 073

CURSO SUPERIOR UNIVERSITARIO PICE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS Y ESTRATÉGICAS El modelo de Protección de Infraestructuras Críticas en España GUÍA PIC l P m lo de e CERTIFICA:

Equipo de Trabajo Fundación Borredá Francisco Muñoz Usano Ana Borredá e i j i is s

Enrique González r z z i e le

Laura Borredá r rr e

Juan Carlos Ropero r r J l s pe

ABIERTA CONVOCATORIA OCTUBRE 2016

Coordinador César Álvarez Fernández a é Fer o r inador s Álvare F nánde (Amigos de la Fundación Borredá 15% dto.) Con la colaboración de: n a ab a n o l col or ció de: DURACIÓN: 100 HORAS. 8 VIERNES CONSECUTIVOS . DE 16 A 20 HORAS MATERIAL: GUÍA PIC PROFESORADODE RECONOCIDO PRESTIGIO

PRECIO (IVA no incluido)

850 € (modalidad n line ) 1.150 € (modalidad presencial Madrid)

Inscripciones Fundación Borredá: +34 91 309 04 54. laura.borreda@fundacionborreda.org

GESTOR ACADÉMICO

COORDINADOR ACADÉMICO

TUTOR ACADÉMICO

GLOBAL TECHNOLOGY ConsultoríadeSeguridadGlobal e Inteligencia

editorial

Ciberimpulso europeo

S i todo marcha según lo esperado , en agosto entrará en vigor la directiva europea de ciberse- guridad, conocida como Directiva NIS. Se trata de la primera normativa de la UE que obligará a las empresas a mejorar su capacidad de resisten- cia contra los ataques cibernéticos, en espe- cial a los operadores de infraestructuras críticas y a los proveedores de servicios digitales, como motores de búsqueda, servicios de computación en la nube, puntos de venta online o plataformas de comercio electrónico. Las compañías, a partir de entonces, tendrán la obligación de comunicar a las autoridades los incidentes de seguridad graves que se produzcan en sus sistemas en un plazo de 72 horas.

las organizaciones, en especial entre los operado- res de infraestructuras críticas. Además, refuerza el mensaje sobre la necesidad de contar con enfoques integrales dentro de las compañías, una realidad ya necesaria, pero que no se ter- mina de materializar. Esto implica la existencia de un departamento común que se encargue indistintamente de promover medidas de protec- ción físicas y lógicas. Es crucial, por tanto, que las empresas olviden el tipo y la procedencia de las amenazas y contemplen todas ellas bajo un mismo prisma. Esto es algo imprescindible para las grandes organizaciones, especialmente las que trabajan suministrando servicios esenciales para la sociedad, y necesario también para las pequeñas y medianas empresas. No hay que olvidar que son el grueso del tejido productivo español y que también deben tomar medidas de protección integral. Esta Directiva supone un avance en la legisla- ción europea, al igual que sucede con el reciente- mente aprobado Reglamento general de protec- ción de datos de la UE. En él se especifican las obligaciones de las compañías en este sentido, entre las que se cuentan la de aplicar las medi- das de seguridad adecuadas según el riesgo derivado de las operaciones de tratamiento de datos que realicen. Además, deberán nombrar un delegado de protección de datos (DPO) y en ciertos casos notificar a las autoridades las viola- ciones de datos personales. Ahora bien, lo que más puede preocupar a las organizaciones es el sistema sancionador que establece, el cual reco- ge multas de hasta 20 millones de euros o el 4 por ciento del volumen de negocios total anual, lo que puede poner en serio riesgo la continuidad del negocio de muchas organizaciones. De todo ello, precisamente, damos cuenta en este número con un amplio análisis por parte de varios exper- tos en la materia sobre las consecuencias que este Reglamento de protección de datos tendrá para las empresas españolas, así como una entrevista con Thomas Zerdick, subdirector del área de protección de datos de la Dirección General de Justicia de la Comisión Europea, que ha participado en el proyecto.

La Directiva NIS reforzará la idea de seguridad integral en los operadores críticos

Además, establece una serie de obligaciones para los Estados miembros relacionadas con lo anterior. Cada uno de ellos deberá identificar a los operadores que ofrecen servicios críticos, y poner en marcha una estrategia para hacer frente a las amenazas de ciberataques. Esto pasa por la creación de una red de equipos nacionales de respuesta a incidentes de seguridad informáti- cos para promover la cooperación operativa. A su vez, la normativa prevé la constitución de un grupo de coordinación europeo para promover el intercambio de mejores prácticas entre países. Sin duda, éstas son medidas acertadas que vienen a impulsar la puesta en marcha de una ade- cuada estrategia de ciberseguridad por parte de

segundo trimestre 2016 red seguridad 3

sumario

entrevista

22

editorial Ciberimpulso europeo

3

Thomas Zerdick Subdirector del área de protección de datos de la Dirección General de Justicia de la Comisión Europea

entrevista Ricardo Mor Solá Embajador en Misión Especial para la Ciberseguridad

6

E special S eguridad integral

38

reportaje El fraude ‘online’ continúa golpeando con fuerza

guardianes de la red Grupo de Delitos Telemáticos de la Guardia Civil

10

protagonista segurtic

44

sobre la Mesa Reglamento Europeo de Protección de Datos, necesario pero descafeinado Desayuno patrocinado por la Fundación Borredá

Andrés Tarascó CEO de Tarlogic Security

16

CONSEJO TÉCNICO ASESOR

Joaquín González Casal A sociación de I ngenieros e I ngenieros T écnicos en I nformática (ALI) Vicente Aceituno Canal A sociación E spañola para la S eguridad de los S istemas de I nformación (ISSA E spaña )

Fermín Montero Gómez D irección G eneral de E conomía , E stadística e

Miguel Rego Fernández I nstituto N acional de T ecnologías de la C iberseguridad (IN CIBE) Ricardo Barrasa ISACA C apítulo de M adrid Gianluca D'Antonio ISMS F orum S pain Vicente Aguilera Díaz O pen W eb A pplication S ecurity P roject (OWASP) Jorge Ramió Aguirre U niversidad P olitécnica de M adrid (UPM)

PRESIDENTE Guillermo Llorente Ballesteros M apfre VOCALES José Luis Rodríguez Álvarez A gencia E spañola de P rotección de D atos (AEPD) José Manuel de Riva A metic Guillermo Martínez Díaz A sociación de E mpresarios de TIC de A ndalucía (ETICOM)

CONSEJEROS INDEPENDIENTES Emilio Aced Félez Tomás Arroyo Javier Moreno Montón Javier Pagès Olof Sandstrom

I nnovación T ecnológica de la C omunidad de M adrid Miguel Manzanas U nidad de I nvestigación T ecnológica (UIT) del C uerpo N acional de P olicía Óscar de la Cruz Yagüe G rupo de D elitos T elemáticos (GDT) de la G uardia C ivil

PRESIDENTE DE HONOR Alfonso Mur Bohigas

Juan Muñoz ASIS E spaña Ricardo López Lázaro

C onfederación E spañola de C ajas de A horros (CECA)

STAFF Borrmart: Presidente: Francisco Javier Borredá Martín. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna, Pedro Jose Pleguezuelos, Paloma Melendo, Yolanda Duro, Fco. Javier Borredá García. Directora de Relaciones Institucionales: Mª Victoria Gómez. Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Colaboradores: Bernardo Valadés, David Marchal, Laura Borredá, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico. Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74 www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecánica e impresión: Reyper.

Suscripción anual: 50 euros (España), 110 euros (Europa, zona euro), 150 euros (resto países) suscripciones@borrmart.es Depósito Legal: M-46198-2002 ISSN: 1695-3991

RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita. Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13 de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.

Preserving corporate integrity

G E S T I ÓN D E R I E S GO S , I NV E S T I GAC I ÓN COR POR AT I VA Y S E GU R I DAD

Wi nterman es una

rma españo l a de consu l tor í a espec i a l i zada en ges t i ón de r i esgos,

i nves t i gac i ón corporat i va y segur i dad.

Ayudamos a empresas y corporac i ones, organ i zac i ones públ i cas y pr i vadas, a ges t i onar l as amenazas i nternas y ex ternas, para que puedan ade l antar se a cua l qu i er cont i ngenc i a con super i or i dad i nformat i va , robus tec i endo con e l l o l os procesos de toma de dec i s i ones. Contamos con un equ ipo de detec t i ves espec i a l i zado en i nves t i gac i ón de f raude y de l i tos corporat i vos y económi cos. Nues t ros i nformes per i c i a l es se enfocan en l a de fensa de l os i ntereses de nues t ros c l i entes en procesos j ud i c i a l es. Af rontamos l os retos de nues t ros c l i entes con e cac i a y compromi so. Trans formamos sus s i tuac i ones de con i c to en opor tun i dades de negoc i o. La eva l uac i ón y ges t i ón de l r i esgo reputac i ona l, de f raude o de segur i dad es, hoy en d í a , tan es t ratégi ca y necesar i a como una adecuada pl an i cac i ón nanc i era o de recur sos humanos. En Wi nterman l l evamos más de 40 años co l aborando con nues t ros c l i entes para preven i r, detec tar y mi t i gar e l f raude y ot ros r i esgos que puedan comprometer l a i ntegr i dad corporat i va .

B A R C E LONA - B I L B AO - MADR I D - S E V I L L A - VA L E NC I A - Z A R AGOZ A www. w i n t e r ma n . c om

administración

entrevista

Ricardo Mor Solá

Embajador en Misión Especial para la Ciberseguridad

"A falta de unidad jurídica frente al ciberdelito, debe prevalecer la voluntad de los gobiernos"

El diplomático Ricardo Mor sustituyó hace algo más de un año a Alicia del Moral en el cargo de Embajador de Ciberseguridad. Como representante del Ministerio de Exteriores, defiende la posición de España en las reuniones de las más altas instituciones internacionales cuando de la seguridad en el ciberespacio se trata. Antes estuvo destinado en países como Congo, Canadá o Chile y en instituciones como la OSCE, donde ha sido representante permanente adjunto.

Tx. y ft.: Enrique González Herrero.

de Ciberseguridad, donde se elabo- ran y se da seguimiento a las políticas y estrategias nacionales en todos los aspectos relativos a la ciberseguridad. La figura del embajador en Misión Especial para la Ciberseguridad se creó tras la aprobación de la Estrategia de Ciberseguridad Nacional. ¿Por qué era necesaria esta figura en España? Porque el plan derivado del Plan Nacional de Ciberseguridad dedica- do a la cooperación internacional y a la Unión Europea, aprobado por el Consejo Nacional de Ciberseguridad en julio del año pasado, está coor- dinado por el ministerio al que estoy adscrito, y su desarrollo requiere una interlocución en el exterior con emba- jadores homólogos. Por otro lado, la Ley de la Acción Exterior y del Servicio Exterior del Estado prevé el establecimiento de Misiones Especiales para cometidos de carácter especial, como es el caso de la ciberseguridad.

Ya se ha cumplido un año de su nombramiento como embaja- dor en Misión Especial para la Ciberseguridad. ¿En qué consiste exactamente su labor? En esencia, mi labor consiste en dar una cobertura inmediata a los com- promisos internacionales asumidos por España y hacer valer la posición de nuestro país en materia de ciber- seguridad con los socios y aliados a la hora de negociar instrumentos multilaterales o acuerdos bilaterales sobre seguridad en el ciberespacio. De manera especial en el ámbito de Naciones Unidas, coincidiendo con las responsabilidades de España como Miembro No Permanente del Consejo de Seguridad durante el período 2015-2016. Asimismo, en el orden interno me corresponde actuar como vocal por el Ministerio de Asuntos Exteriores y de Cooperación en el Consejo Nacional

6 red seguridad segundo trimestre 2016

administración

entrevista

"Es necesario que los gobiernos den prioridad a la cooperación entre Estados para desarrollar conf ianza y seguridad, con el objetivo de neutralizar las amenazas tecnológicas"

la población en general a acceder a Internet. En todos esos foros y orga- nismos participo en representación del Ministerio. Uno de sus destinos a lo largo de su carrera diplomática ha sido la OSCE. ¿De qué manera afron- ta esta institución los retos de la ciberseguridad y qué iniciativas está llevando a cabo al respecto? Los 57 Estados participantes de la OSCE acordaron en 2013, y más recientemente en marzo de este año, sendos paquetes de Medidas de Fomento de la Confianza destina- das a reducir los riesgos de conflicto dimanantes del uso de las tecnologías de la información y las comunicacio- nes. Si bien el cumplimiento de esas medidas es voluntario, la OSCE des- taca por haber sido la primera organi- zación regional en adoptar una deci- sión de este tipo en 2013, reforzada recientemente con un nuevo conjunto de medidas más cooperativas. ¿Cómo cree que contribui- rá la Directiva Europea de Ciberseguridad a la mejora de la seguridad en la Red? De las negociaciones se desprende que la Directiva establece medidas con el objeto de lograr un eleva- do nivel común de seguridad de las redes y los sistemas de información dentro de la Unión Europea, con el fin de mejorar el funcionamiento del mercado interior. Los Estados miem- bros deberán transponer la Directiva, a más tardar, a los 21 meses de la fecha de su entrada en vigor, y dis- pondrán de seis meses adicionales para determinar sus operadores de servicios esenciales. En realidad, se trata del primer marco legal dentro de la Unión Europea en esta materia y algunos observadores ya lo califican como la “Constitución” europea de la ciberseguridad.

¿Cuáles son las principales líneas estratégicas de España en su acción exterior en materia de ciber- seguridad? El plan que coordinamos desde el ministerio tiene un carácter transver- sal, ya que la cooperación interna- cional afecta también a otras líneas de acción, como la lucha contra el ciberdelito y el ciberterrorismo, la pro- tección de las infraestructuras críticas o la ciberdefensa. Los ejes de acción están perfectamente elaborados y son siete: la potenciación de la presencia de España en organizaciones y foros internacionales y regionales sobre ciberseguridad; la promoción de la armonización legislativa y la coopera- ción judicial y policial internacionales en la lucha contra la ciberdelincuencia y el ciberterrorismo; operar a partir de los acuerdos adoptados en el seno de la Unión Europea; la cooperación con la OTAN en materia de ciberdefensa; la cooperación bilateral; la realización y participación en ejercicios interna- cionales; y colaborar en el desarrollo de capacidades en aquellos países que lo necesiten, tanto en el ámbito operativo como institucional. ¿Cuáles son los principales foros y organismos en los que participa España a través de la representa- ción del Ministerio de Exteriores? La Unión Europea, la OTAN, la OSCE [Organización para la Seguridad y la Cooperación en Europa], la OCDE [Organización para la Cooperación y el Desarrollo Económicos], el Consejo de Europa y, por supuesto, Naciones Unidas. Me gustaría destacar que en 2015 España entró a formar parte del Foro Global para la Ciber Experiencia, con una vertiente específica dedicada al desarrollo de capacidades, y de la Coalición Gubernamental para las Libertades en Línea, cuyos principios se fundamentan en la defensa de las libertades de uso y derechos de

Ciberespionaje, hacktivismo, cibe- rataques a las infraestructuras crí- ticas, ciberguerra… son algunas de las principales amenazas sobre los Estados a través de la Red. ¿Cuáles son las que más preocu- pan en la actualidad a los Estados? Yo me atrevería a destacar dos focos de especial preocupación para los Estados en su lucha contra las ciberamenazas en la actualidad: el ciberdelito y las infraestructuras crí- ticas. De hecho, en el informe de julio de 2015 del Grupo de Expertos Gubernamentales de Naciones Unidas sobre los Avances en la Información y las Telecomunicaciones en el Contexto de la Seguridad Internacional, en el que yo participé como experto español, destacamos como recomendación importante que un Estado no debería realizar o apo- yar de manera deliberada actividades en la esfera de las TIC que dañen intencionadamente infraestructuras fundamentales o dificulten de otro modo su utilización y funcionamiento. Al mismo tiempo, en ese informe se subraya que los Estados también deberían tomar las medidas apropia- das para proteger sus infraestructuras fundamentales frente a las amenazas relacionadas con las TIC. Desde su punto de vista, ¿cuá- les son las principales claves para luchar frente a todas estas ame- nazas? Diría que tres: el intercambio de infor- mación, la cooperación y coordina- ción bilaterales y multilaterales, y la aplicación al ciberespacio de las nor- mas de derecho internacional vigen- tes, incluida la Carta de las Naciones Unidas. Por supuesto, es necesario igualmente equilibrar los niveles de desarrollo tanto tecnológico como normativo de los Estados en todo lo concerniente a las TIC y a la seguri- dad del ciberespacio. Pero, en todo

segundo trimestre 2016 red seguridad 7

administración

entrevista

caso, yo haría hincapié en la necesi- dad de que los gobiernos cataloguen como prioritaria la cooperación entre los Estados para poder desarrollar la confianza y seguridad con el objetivo de lograr neutralizar las amenazas a las redes y los sistemas de informa- ción al nivel global. Internet es una de las principa- les fuentes de reclutamiento y proselitismo del terrorismo yiha- dista. Aparte de estos preocupan- tes aspectos, ¿hasta qué punto es posible que se cometan atentados terroristas a través de la Red? Se considera que los incidentes ciber- néticos que mayor daño pueden cau- sar a la población en general son aquellos derivados de acciones terro- ristas contra las infraestructuras ener- géticas críticas, sobre todo cuando están interconectadas entre diversos países. Los expertos recuerdan que una acción virtual puede tener un efecto real, es decir, que la traslación del mundo digital al físico es perfec- tamente posible, tanto en el ataque a infraestructuras físicas informatizadas como a los objetos inteligentes de particulares. Ahora bien, dicho esto, la defensa de los Estados frente a la irrupción de Daesh en Internet deberá centrar- se en contrarrestar su capacidad de difundir por las redes sus mensajes para el reclutamiento, así como impe- dir la circulación de órdenes entre sus comandos de información o suicidas, incluyendo las comunicaciones que hacen referencia a pagos o transfe- rencias dinerarias a sus combatientes. Como señalaba, la cooperación internacional es un factor fun- damental para la lucha contra el cibercrimen, pero hablamos de un entorno que no está legisla- do. ¿Qué se puede hacer cuando existen países que no cooperan

tos legales. Por ello, en ausencia de común denominador jurídico, deben prevalecer la oportunidad y la volun- tad políticas de los gobiernos para cooperar entre ellos. ¿Qué acciones o iniciativas des- tacaría como ejemplo de la lucha internacional contra los ciber- delitos, más allá de la Directiva Europea de Ciberseguridad que mencionábamos antes? La Directiva NIS tiene por objeto poner en marcha medidas para garantizar un elevado nivel común de seguridad de las redes y de los siste- mas de información en la Unión Europea. Más allá de este instrumen- to, en el ámbito europeo, sin duda alguna debe destacarse la reciente reforma de la normativa comunitaria sobre protección de datos, que pre- tende devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos están- dares de protección elevados y adap- tados al entorno digital en un mundo de teléfonos inteligentes, redes socia- les, banca por Internet y transferen- cias globales. También incluye nuevas normas mínimas sobre el uso de datos para fines judiciales y policiales. Las nuevas reglas sustituyen a una directiva de 1995, cuando el uso de Internet no estaba tan extendido.

ante los ciberdelitos o cuya con- sideración de los delitos en la Red es totalmente diferente al común denominador? Bueno, no debe olvidarse que existe el Convenio de Budapest de 2001, firmado al amparo del Consejo de Europa, cuyo preámbulo reconoce la necesidad de cooperación entre los Estados y el sector privado en la lucha contra la ciberdelincuencia, así como la necesidad de proteger los intereses legítimos en la utilización y desarro- llo de las TIC. Hasta ahora lo han firmado y ratificado 48 países, entre ellos algunos Estados no miembros del Consejo de Europa como son Estados Unidos, Canadá, Australia o Japón, y otros seis lo han firmado. Por otro lado, habría que referirse al acuerdo sobre ciberdelincuencia de la Organización para la Cooperación de Shanghai, que aglutina a la Federación de Rusia y China, junto a algunas repúblicas ex-soviéticas, a la Convención sobre ciberdelincuen- cia de la Liga Árabe y, por último, a la Convención de la Unión Africana sobre ciberseguridad y protección de datos personales de 2014. Ciertamente se constata que, en la lucha contra el cibercrimen, el mundo se divide en distintas regiones en fun- ción de la adscripción de sus respec- tivos países a unos u otros instrumen-

Ricardo Mor recibió a Red Seguridad en su despacho. En la imagen, conversa con Ana Borredá, directora de la revista.

8 red seguridad segundo trimestre 2016

guardianes de la red

reportaje

Dos décadas de lucha contra el ciberdelito

Entramos en el 'cuartel' del GDT

EL GRUPO DE DELITOS TELEMÁTICOS DE LA GUARDIA CIVIL CUMPLE 20 AÑOS. DOS DÉCADAS DEDICADAS A PERSEGUIR LOS DELITOS EN LA RED, EN LAS QUE HA EVOLUCIONADO PARA ADAPTARSE A LOS NUEVOS TIEMPOS. EL

EQUIPO NOS ABRE SUS PUERTAS PARA

CONOCER SU HISTORIA Y LA LABOR QUE REALIZA.

Tx.: Enrique González y Ana Borredá Ft.: E.G.H.

Ya desde sus inicios, el GDT ha protagonizado algunas de las ope- raciones relacionadas con Internet de mayor repercusión en España. La primera que ocupó las portadas de los diarios ocurrió en 1998. La cono- cida como Operación Hispahack culminó con la detención de tres hackers acusados de acceder ilegal- mente a los sistemas informáticos de varias universidades e institucio- nes. Aunque finalmente los acusados resultaron absueltos, supuso un hito en cuanto que fue la primera vez que se celebraba en España un juicio de estas características. Otra de las grandes operaciones fue la denominada Milenium, en el año 2000, en la que fueron detenidas 89 personas en diferentes provin- cias, acusados de cometer fraude al conectarse a Internet a través de

números 900 de atención al cliente de varias empresas. Actuaciones como éstas fueron los primeros pasos del grupo, cuando Internet acababa de aparecer en los hogares españoles. Desde entonces, los progresos en este terreno han sido enormes, al igual que el número de actividades ilegales que se producen cada año con las Tecnologías de la Información y las Comunicaciones (TIC) como herramienta. Los avances en ambos sentidos han obligado al GDT a adaptarse y reorganizarse en varias ocasiones para poder abarcar tanto el volumen de investigaciones como las necesidades técnicas de las amenazas que han ido apareciendo. En la actualidad, el GDT se encuen- tra en uno de esos momentos de cambio. La unidad está inmersa en un proceso de reestructuración que

G racias a su trabajo , cada año caen cientos de ciberdelincuen- tes. Desde que el Grupo de Delitos Telemáticos (GDT) de la Guardia Civil comenzó sus investigaciones hace dos décadas, han sido muchos los detenidos por cometer algún delito sirviéndose de la informática o de medios telemáticos. Estafas, fraude, explotación sexual infantil, extorsión, piratería o robo de información son sólo algunos de los asuntos diarios con los que tienen que bregar los agentes que forman este equipo. A ellos se debe que muchos delitos que se comenten en la Red no que- dan impunes. Por eso son ‘guardia- nes de la Red’.

10 red seguridad segundo trimestre 2016

guardianes de la red

reportaje

El GDT se encuentra en un proceso de reestructuración para reforzar sus capacidades en la lucha contra el cibercrimen y especializar a sus agentes

le llevará a convertirse en un nuevo Departamento de Delitos Telemáticos. De esta forma, la Guardia Civil pre- tende “reforzar las capacidades en la lucha contra el cibercrimen y espe- cializar a los agentes”, según asegura el teniente coronel Juan Rodríguez Álvarez de Sotomayor, responsable del nuevo Departamento, durante la visita de RED SEGURIDAD a sus instalaciones. La manera en que que- dará definitivamente conformada esta área es todavía materia reservada, pero como señala el miembro de la Guardia Civil, “la estructura siempre ha ido aparejada de la demanda de necesidades de investigación por las denuncias que trasladan tanto par- ticulares como empresas”. El creci- miento exponencial de la actividad ile- gal en la Red obliga a subir un escalón más cada cierto tiempo. Basta conocer cifras como las de 2015, cuando los cibercriminales batieron récords. El año pasado, la Guardia Civil desarrolló un total de 272 operaciones, en las que fueron detenidas 226 personas por accio- nes ilícitas como estafa, daños infor- máticos, ataques de denegación de servicio, explotación sexual infantil, acoso a menores, injurias y un largo etcétera. Todo parece indicar que los próximos años, lejos de remitir o siquiera mantenerse, las ciberame- nazas seguirán creciendo, y cada vez más rápidamente. El GDT actual La estructura de trabajo que sigue actualmente el GDT, que está enmar- cada en la Unidad Central Operativa de la Guardia Civil, comenzó a perfi- larse en el año 2000, precisamente en uno de esos puntos de inflexión en los que la dimensión de las ame- nazas y su complejidad exigían un mayor nivel de especialización. Desde entonces, la unidad ha toma- do como base de su organización

los delitos que aparecen recogidos en el Convenio de Ciberseguridad de Budapest, en cuya elaboración par- ticipó esta unidad, en 2001. Dicho documento establece cuatro tipolo- gías de ilícitos: * Delitos contra la confidencialidad, integridad y disponibilidad de datos y sistemas informáticos: como pueden ser los accesos ilícitos, revelación de secretos o daños en los sistemas. * Delitos informáticos: como false- dad documental, fraude tecnológico o estafas. * Delitos relacionados con el con- tenido: entre los que destaca la dis- tribución de pornografía infantil o la apología del racismo. * Delitos relacionados con infrac- ciones de la propiedad intelectual y derechos afines: es decir, la piratería. Por otro lado, además de la estruc- tura central del GDT, la Guardia Civil cuenta desde 2003 con los llamados equipos provinciales de investigación tecnológica, conocidos como EDITE, que están compuestos por agen- tes especializados en seguridad TIC, orientados a trabajar directamente en las denuncias de los ciudadanos.

Estos equipos, que se encuadran en las Unidades Orgánicas de la Policía Judicial, se crearon durante el pro- ceso de descentralización iniciado por la Guardia Civil aquel año para derivar parte de la ingente cantidad de operaciones. Desde entonces, cuando se produce una denuncia en alguno de los cuarteles distri- buidos por la geografía española, estos efectivos son los encargados de atenderla e iniciar la investigación de manera local. Si la complejidad técnica es muy elevada o el caso conlleva ramificaciones nacionales o internacionales, entonces es el GDT el que asume las pesquisas. El grupo también interactúa y cola- bora con otras áreas especializadas en la investigación tecnológica dentro del Servicio de Policía Judicial, como el laboratorio de criminalística o la unidad técnica. Así, por ejemplo, el Grupo de Investigación Tecnológica, perteneciente a esta última, realiza análisis de la actividad cibercriminal que el GDT aprovecha para “conocer las tendencias y estar al día en cuan- to al ciberdelito”, aclara el teniente coronel Sotomayor. Por su parte, el

segundo trimestre 2016 red seguridad 11

guardianes de la red

reportaje

laboratorio de criminalística dispone de capacidad forense técnica y sus efectivos elaboran informes periciales. Los agentes del grupo Pero no cabe duda de que el princi- pal valor de esta unidad son los pro- fesionales que la conforman, com- prometidos con su trabajo y con la concienciación social en torno a la importancia de hacer un uso seguro de Internet. Así lo demuestran en las múltiples charlas y jornadas en las que frecuentemente participan, así como las largas horas de trabajo que exigen las investigaciones. En sus inicios, el GDT contaba con cuatro agentes que asumieron el reto de perseguir los incipientes casos relacionados con el uso de métodos informáticos. Fueron los pioneros dentro de la Guardia Civil que marca- ron en camino al resto de efectivos que han llagado detrás. Entonces no contaban con la experiencia y las capacidades técnicas que atesoran los componentes del grupo hoy en día, pero su mayor aptitud fue la eficiencia. El perfil de los miembros del grupo es el de un especialista en técnicas de ciberseguridad, pero no necesaria- mente que sea un técnico o ingeniero de sistemas. De hecho, según apunta el teniente coronel Sotomayor, “la experiencia demuestra que el mejor agente para pertenecer a esta unidad es aquel que ha hecho sus pinitos en temas de seguridad, hacking , etcéte- ra”. “Ellos son los que dan un resulta- do fenomenal, y además disfrutan de su actividad”, añade. Estos efectivos han sido capaces de sacar adelante operaciones tan complejas desde el punto de vista técnico como Onymus (llevada a cabo en 2014), una de las mayores intervenciones internacionales contra el tráfico de drogas y la falsificación a través de la Deep Web . Se trata de “la operación más sofisticada” a la que se han tenido que enfrentar, según recuerda el comandante Óscar de la Cruz, jefe de operaciones del GDT. El papel del grupo consistió en rastrear la actividad criminal que se producía desde España, bajo la coordinación de Europol y Estados Unidos.

No obstante, gran parte de sus esfuerzos los destinan a perseguir delitos relacionados con la explota- ción infantil, que quizás no sean tan sofisticados como el anterior, pero que requieren una enorme fortaleza mental. Es frecuente que los miem- bros del equipo pasen de una inves- tigación a otra totalmente diferente, por lo que alguna vez han de enfren- tarse a estos deleznables delitos. “Es un trabajo muy duro y tratamos de que el impacto sea el mínimo posible. Jugamos con hashes de las imágenes y con bases de datos para que los agentes no tengan que estar visualizando constantemente fotografías. También se está traba- jando en sistemas de visión artificial, catalogación de imágenes para ver las que tienen mayor posibilidad de

abuso y no tener que ver todas…”, apunta el comandante De la Cruz. A pesar de la dureza, éstas son a la postre las investigaciones que más reconfortan a los agentes. “Como unidad de investigación tecnológica, estamos orgullosos cuando sacamos adelante un operación técnicamente compleja, pero cuando se trata de casos que afectan a menores, aun- que técnicamente sean más simples, el hecho de quitar de la circulación a alguien que está acosando o abusan- do de un menor es moralmente más satisfactorio”, apunta este profesional. En la lucha contra la pedofilia, supu- so un hito por parte del GDT la presentación, en el año 2005, del buscador Híspalis, “la primera herra- mienta policial de vigilancia e inves- tigación en España, y posiblemente

"COLABORA" CON EL CIUDADANO E l GDT otorga una gran importancia a la aportación de los ciudadanos a la hora de alertar sobre posibles acciones ilegales en la Red. Muestra de ello es su actividad en las principales redes sociales, que se han converti- do en un canal de colaboración y de denuncia. Las cuentas del grupo en las plataformas y su monitorización permiten a la unidad hacer llegar a la población mensajes y detectar comportamientos ilícitos. Pero si de colaboración ciudadana se trata, no cabe duda de que el portal “Colabora” es su mayor apuesta. En 2014, implementó dentro de esta web, a través de la empresa eGarante, una plataforma para que los ciudadanos informen sobre contenidos alojados en páginas o redes socia- les que puedan ser delictivos. El usuario simplemente tiene que acceder a un formulario y pegar la URL del site en cuestión. La información llegará a la Guardia Civil exactamente igual que cómo la está viendo en ese momento el denunciante, sin posibilidad de manipulaciones.

12 red seguridad segundo trimestre 2016

guardianes de la red

reportaje

en el mundo”, para rastrear imágenes con contenido sexual de menores en las redes P2P. “Pusimos encima de la mesa la impunidad que había entonces en el intercambio de porno- grafía infantil, llevando a cabo opera- ciones con cientos de detenidos que impunemente compartían este tipo de material a través de Internet”, reivindi- ca teniente coronel Sotomayor. Relación con las empresas El contacto e intercambio de infor- mación con actores privados de la seguridad TIC como proveedores o usuarios es frecuente para los miembros del GDT. En ocasiones su ayuda es fundamental para poder resolver operaciones y la respuesta en ese sentido es, por lo general, muy positiva, asegura el coman- dante De la Cruz. Sin embargo, esa relación es “más compleja” cuando son las empresas las víctimas del delito. No porque no exista colabo- ración sino porque “cuesta mucho que denuncien para que aflore el delito ante el daño que pueda sufrir su reputación”. El responsable de la Guardia Civil aclara que cuando el GDT lleva a cabo una investigación no desvela ningún tipo de información relacio- nada con la empresa que ha sufrido el ciberdelito, e incluso renuncia a darle publicidad una vez resuelta si así se les pide, precisamente para no dañar la imagen de la compañía en cuestión. Al igual que los ciudadanos, las empresas que desea denunciar un ciberataque o cualquier otra modali- dad de delito relacionada con el uso de las tecnologías pueden hacerlo a través de los cuarteles distribuidos por toda España. Si bien, en oca- siones algunas acuden directamente al GDT. Papel internacional Cabe destacar también la actividad del grupo en la esfera internacio- nal en dos vertientes. Por un lado, la operativa, cuando participa en casos donde intervienen varios paí- ses; y por otro, su pertenencia a diferentes grupos de trabajo regio- nales o por materias de Europol o

Interpol. Como indica el coman- dante De la Cruz, estas institucio- nes son “fundamentales para la coordinación de las investigacio- nes” y además “ejercen como un nodo muy importante de inteligen- cia donde las policías de diferentes países aportamos información”. Destaca la iniciativa del GDT de crear, en el año 2002, el Foro Iberoamericano de Encuentro entre Ciberpolicías, que a la postre se convirtió en un referente de la cola- boración entre cuerpos policiales en la persecución del delito informáti- co. Tras varias convocatorias, este foro acabó transformándose en el Grupo de Trabajo Latinoamericano sobre Delitos Tecnológicos de Interpol. No obstante, a pesar de que la participación de varios países en una misma investigación es frecuente teniendo en cuenta que el entorno es Internet, la colaboración opera- tiva “no siempre es fácil”, señala el comandante De la Cruz. Por ejem- plo, como explica este profesional, algunos casos iniciados en España requieren información de terceros países y ahí comienza un proceso “complejo” para solicitar la colabora- ción de agentes públicos o privados extranjeros, marcada por manda- mientos judiciales, comisiones roga- torias y órdenes internacionales de detención llegado el caso. En cualquier caso, no son pocas las operaciones internacionales que han dado buenos frutos, como la mencionada anteriormente Onymus. Porque si por algo se caracterizan los miembros del GDT es precisamente por el esfuerso y persitencia para conseguir que el ciberespacio se un entorno más seguro.

LA EVOLUCIÓN DEL GDT

E l G rupo de D elitos T elemáticos nació en 1996 tras una prime- ra investigación de la Unidad Central Operativa relacionada con el uso de medios informá- ticos. De esta manera se creó el Grupo de Delitos Informáticos al año siguiente, para hacer frente mediante un equipo especializa- do a las incipientes acciones de este tipo. Con el tiempo, sus investi- gaciones se ampliaron al sec- tor de las telecomunicaciones y por ello, en 1999, se cam- bió su denominación por la de Departamento de Delitos de Alta Tecnología. Esto conllevó al año siguiente una reestructura- ción en cuatro áreas de trabajo que coincidían con el Convenio sobre la Ciberdelincuencia del Consejo de Europa de 2001, que se ha mantenido similar hasta la actualidad. Esta reorganiza- ción trajo consigo de nuevo el cambio de nombre, ésta vez el de Departamento de Delitos Telemáticos. Poco después, en 2003, una vez más cambió el nombre que permanecería hasta la actualidad debido a una reestructuración de la Unidad Central Operativa, en la que siempre ha estado encua- drado. La Guardia Civil inició en aquel año la descentralización de las investigaciones y creó los Equipos de Investigación Tecnológica (EDITE) en cada provincia española para atender de manera local las denuncias de los ciudadanos relacionadas con las tecnologías de la infor- mación y las comunicaciones. Con fecha exacta aún por determinar, el GDT culminará una nueva reestructuración, en la que ya está inmerso, para formar de nuevo un Departamento con más recursos, más capacidades técnicas y más especializado.

RED SEGURIDAD agradece al Grupo de Delitos Telemáticos su generosidad al abrir- nos la puertas de sus instalaciones, espe- cialmente al teniente coronel Sotomayor y el comandante De la Cruz. También que- remos agradecer su colaboración al resto de miembros del grupo y a Félix por hacer posible este reportaje.

segundo trimestre 2016 red seguridad 13

actualidad tecnológica

noticias Entra en vigor el nuevo Reglamento Europeo de Protección de Datos Las nuevas reglas aprobadas por la UE pretenden devolver a los ciudadanos el control de sus datos personales y garantizar en toda la región unos estándares de protección elevados y adaptados al entorno digital. En la misma sesión, la Unión aprueba también una Directiva sobre el uso de datos para fines judiciales y policiales.

Tx.: RED SEGURIDAD Ft.: Parlamento Europeo

D espués de cuatro años de tra- mitación, el pasado 25 de mayo entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, “relativo a la protec- ción de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos”, como reza su enuncia- do. Con esta norma queda derogada la Directiva 95/46/CE, que marcaba hasta ahora los preceptos sobre pro- tección de datos en la Unión. La aprobación de la norma en forma de reglamento supone su directa aplicación en toda Europa, sin necesidad de que se incorpore a la legislación de los Estados Miembros. No obstante, debido a su trascen- dencia y nuevos planteamientos, se abre un proceso de adaptación al texto que finaliza el 25 de mayo de 2018, cuando se hará efectiva su aplicación. Es decir, durante los dos próximos años, todos los Estado Miembros, sus Administraciones Públicas y las empresas de estos países tendrán que realizar las modi- ficaciones y ajustes necesarios para garantizar su cumplimiento. Jan Philipp Albrecht, uno de los responsables de la tramitación par- lamentaria del texto, señaló tras la aprobación: “con este reglamento de protección de datos conseguimos un grado uniforme de protección en toda la UE. Es un gran éxito para el Parlamento y un sí claro a los dere- chos de los consumidores y a la com- petencia en la era digital. Los ciuda- danos podrán decidir por sí mismos qué información quieren compartir”. “También se ofrece más claridad a las empresas, con una norma única para

Jan Philipp Albrecht, uno de los responsables de la tramitación parlamentaria de la nueva normativa de protección de datos de la UE.

toda la UE que refuerza la confianza y la seguridad jurídica e impulsa la competencia justa”, añade. Novedades Entre otras disposiciones, las nuevas reglas incluyen el derecho al “olvido” mediante la rectificación o supresión de datos personales; la necesidad de “consentimiento claro y afirma- tivo” de la persona concernida al tratamiento de sus datos personales; la “portabilidad” o el derecho a tras- ladar los datos a otro proveedor de servicios; el derecho a ser informado si los datos personales han sido pira- teados; y un incremento considera- ble de las cuantías de las sanciones para las organizaciones, que pueden alcanzar hasta 20 millones de euros o el 4 por ciento de su volumen de negocio anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. A todo ello se suma la obligación para las empresas y Administraciones de designar en ciertos casos a un “delegado de protección de datos”

(DPO, Data Protection Officer ) para garantizar el cumplimiento de la nor- mativa. Este profesional deberá ser designado en atención a sus cuali- dades profesionales y conocimientos normativos y prácticos especializa- dos debidamente acreditados. Cooperación policial El nuevo Reglamento viene acom- pañado de la aprobación de una nueva Directiva sobre transmisión de datos para cuestiones judiciales y policiales. Se aplicará al intercambio de datos transfronterizos dentro de la UE y establecerá estándares míni- mos para el tratamiento de datos en cada país. Con todo ello, la intención es “pro- teger a las personas implicadas en investigaciones policiales o procesos judiciales, sea como víctimas, acusa- dos o testigos, mediante la clarifica- ción de sus derechos y el estableci- miento de límites en la transmisión de datos para prevención, investigación, detección y enjuiciamiento de delitos o la imposición de penas”.

14

red seguridad segundo trimestre 2016

protección de datos

sobre la mesa

El 25 de mayo entró en vigor el Reglamento europeo 2016/679 sobre protección de datos personales. RED SEGURIDAD organizó un "Sobre la Mesa", con el patrocinio de la Fundación Borredá, donde reunió a cinco especialistas sobre la materia para desgranar el documento. Si bien todos consideraron positiva la aprobación de la nueva norma, no escondieron sus reticencias en torno a algunos de sus contenidos. El Reglamento sobre protección de datos, necesario pero descafeinado

Enrique González, redactor jefe de RED SEGURIDAD; Francisco Herráiz, director de TI del Instituto Psiquiátrico José Germain; Rafael Velázquez, consultor legal de TI; Esmeralda Saracíbar, miembro del Comité del Data Privacy Institute de ISMS Forum; Rafael García del Poyo, presidente del Comité Asesor de Eurocloud; Laura Borredá, representante de la Fundación Borredá; Miguel Geijo, secretario de la Asociación Profesional Española de Privacidad; y David Marchal, colaborador de RED SEGURIDAD.

Tx.: David Marchal. Ft.: RED SEGURIDAD.

necesarios para garantizar su cum- plimiento. Para intentar comprender las impli- caciones que la nueva norma tendrá para los ciudadanos y las organiza- ciones europeas, RED SEGURIDAD organizó, con el patrocinio de la Fundación Borredá, organizó un "Sobre la mesa" con cinco expertos en la materia. Todos ellos, en sus intervenciones iniciales, constataron la importancia que tiene esta regu- lación, habida cuenta de que, en palabras de Esmeralda Saracíbar , miembro del Comité del Data Privacy Institute del ISMS Forum, "la anterior Directiva databa del año 1995, cuan- do Internet estaba empezando con un uno por ciento de internautas y no existían tecnologías y servicios hoy en día tan habituales como el cloud ,

los móviles inteligentes o las redes sociales". A lo que añadió: "que se regule todo esto está bien y es un paso más para asegurar la privaci- dad de los usuarios". Para Miguel Geijo , secretario de la Asociación Profesional Española de Privacidad (APEP), "la directiva ante- rior estaba obsoleta y generaba pro- blemas para las grandes compañías. Por tanto, era necesaria una nueva norma". Ahora bien, apuntó: "pero tengo mis dudas sobre si regular este tema mediante un reglamento era la manera adecuada". Precisamente, esa idea también generó ciertas dudas en el resto de asistentes. Por ejemplo, Rafael García del Poyo , presidente del Comité Asesor de Eurocloud, opinó al respecto: "mi valoración del Reglamento es que

C uatro años de intenso trabajo por parte de las autoridades legisladoras de la Unión Europea han sido nece- sarios para que haya visto la luz el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a su libre circula- ción. Un texto que deroga la Directiva 95/46/CE, hasta ese momento en vigor, y establece un periodo de dos años para que su aplicación sea efec- tiva. Es decir, de aquí al 25 de mayo de 2018, los Estados, las empresas y las Administraciones Públicas deben realizar las modificaciones y ajustes

especial

16 red seguridad segundo trimestre 2016

protección de datos

sobre la mesa

no es ni bueno ni malo, sino lo que toca en estos tiempos. Eso sí, la dificultad radica en saber si ese tipo de normativa era el mejor mecanismo para regularlo". En esa línea se pro- nunció también Francisco Herráiz, director de TI del Instituto Psiquiátrico José Germain: "me parece un buen Reglamento, pero deja muchas cosas en el aire. Cuando entras en el deta- lle, hay iniciativas importantes que no están bien definidas", comentó. Y a juicio de Rafael Velázquez , consultor legal de TI y Certified Data Privacy Professional (CDPP), "el Reglamento es claro en muchos aspectos, pero en otros es indeterminado". El papel de la LOPD Una de las cuestiones que inmedia- tamente se puso sobre la mesa fue en qué situación deja esta nueva nor- mativa europea de obligado cumpli- miento para los Estados miembros a la Ley Orgánica de Protección de Datos (LOPD) y, consecuentemente, a la Agencia Española de Protección de Datos (AEPD). "No está claro dónde queda la LOPD en relación con el Reglamento", según García del Poyo, de Eurocloud. "No se sabe si será el mecanismo adecuado para regular esto, si se derogará o no", añadió. Geijo, por su parte, no cree que el Reglamento vaya a desplazar a la LOPD, sino que "continuarán ambos", y agregó: "Creo que la LOPD se man- tendrá en todo lo que no sea incompa- tible con el Reglamento".

En cualquier caso, todos los asis- tentes estuvieron de acuerdo en que España parte con una ventaja respec- to a otros países de la UE, puesto que nuestro país tiene una de las legisla- ciones más avanzadas en protección de datos, con un organismo regulador, como es la AEPD, que ya aplica a las empresas una política estricta de ges- tión en este ámbito. Según Velázquez, asesor legal de TI, "estamos en el inicio de una nueva aventura en la que países como España tienen todo un histórico consolidado, una forma de entender las cosas y una casuística ya establecida, pero eso no quiere decir que pase lo mismo en el resto de Estados de la UE". Ahora bien, eso no quita que las empresas españolas no vayan a tener dificultades para implementar esta normativa. Sin ir más lejos, Saracíbar, de ISMS Forum, puso como ejem- plo el consentimiento de los usuarios a que las organizaciones almacenen sus datos personales; una cuestión sobre la que el Reglamento "genera una mayor rigurosidad", en tanto en cuanto "acaba con el consentimiento tácito", afirmó. Sin embargo, también suscita dudas. "Si en estos dos años de carencia una empresa ha recabado consentimientos tácitos ¿le sirve o necesitará regularizar consentimientos inequívocos?", se preguntó Saracíbar. Herráiz, del Instituto Psiquiátrico José Germain, también opinó que "se debería haber ahondado un poco más en el tema del consentimiento, porque

Esmeralda Saracíbar Miembro del comité del Data Privacy Institute de ISMS Forum "El mayor impacto del Reglamento es que ahora el enfoque se basa en riesgos; las empresas deberán aplicar las medidas oportunas en función del riesgo"

las empresas ponen unos textos enor- mes y los usuarios acaban marcando la casilla por no leérselo todo. Tendrían que haber profundizado más para que,

Algunos derechos básicos de los ciudadanos

El Reglamento introduce y desarrolla algunos derechos para los ciudadanos que conviene tener en cuenta a la hora de hablar del nuevo marco europeo de protección de datos. Son éstos: - D erecho a la rectificación . Alude al derecho de los usuarios a rectificar los datos personales inexactos que les conciernan, así como la posibilidad de completar otros que se consideren incompletos. - D erecho a la supresión (" derecho al olvido "). Permite al interesado obtener sin dilación indebida la supresión de los datos personales que le conciernan, cuando, entre otros, ya no sean necesarios para los fines para los que fueron recogidos, retire su consencimiento, se oponga al tratamiento de los datos, se haya tratado esa infor- mación ilícitamente, o deban suprimirse para el cumplimiento de una obligación legal establecida. - D erecho a la limitación del tratamiento . Se hará efectivo cuando, entre otros, se cumpla que el interesado impugne la exactitud de los datos personales; el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso; o el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso. - D erecho a la portabilidad de los datos . Habilita el derecho del interesado a recibir sus datos personales, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica. - D erecho de oposición . Da al interesado el derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que los datos personales que le conciernan sean objeto de tratamiento.

especial

segundo trimestre 2016 red seguridad 17