La ciberseguridad es una barrera de contención, cuyo objetivo es proteger sistemas y dispositivos informáticos, detectar amenazas y gestionar posibles incidentes.
Cuando nos referimos al témino “ciber” lo asociamos a un concepto técnico, pero es conveniente estar conscientes de los riesgos a los que estamos expuestos cuando navegamos a través de internet.
En la actualidad convivimos con la digitalización que nos ofrece muchas oportunidades, pero también representa un reto. En los últimos tiempos hemos experimentado cambios que en la forma de trabajar, estudiar, comunicarnos, relacionarnos, etc; pudiendo acceder a la información desde diversas ubicaciones.
Lea también: La ciberseguridad y la protección del derecho a los datos personales de salud
La ciberseguridad protege la información
La ciberseguridad tiene como finalidad la protección de la información digital, y pretende controlar y mitigar los riesgos a los que está expuesta ante incidentes o amenazas informáticas; pudiendo afectar a cualquier tecnología conectada a internet.
Los incidentes telemáticos afecta no sólo ordenadores y móviles, sino también a personas y empresas. En este último caso el negocio y su reputación pueden resultar seriamente comprometidos al ser objeto del robo de información sensible.
Las organizaciones criminales están adaptando sus capacidades a las nuevas tecnologías. Para ello, subcontratan servicios a otros grupos especializados, denominados “Crime As A Service”, para realizar todo tipo de delitos digitales.
El “trabajo” de los ciberdelincuentes consiste en dejar en comprometer las medidas de seguridad que se van adoptando para obtener un beneficio económico; y las empresas y administraciones intentan evitarlo con la implantación de nuevas medidas de seguridad.
La Directiva PSD2
La Unión Europea elaboró la Directiva conocida como PSD2 para impulsar la transparencia, competencia, eficiencia e innovación, de los servicios de pago. Lo que pone en manifiesto la relevancia del refuerzo de las medidas de seguridad para realizar transacciones, exigiendo la doble autenticación o autenticación reforzada.
Estos sistemas de autenticación deben tener las siguientes características: fiabilidad, probabilidad mínima de error; viabilidad, económicamente asequible; seguridad, resistente a posibles ciberataques; y usabilidad (fácil de usar).
Sistemas de autenticación
Para proteger los servicios online que tenemos a nuestra disposición debemos usar los sistemas de doble autenticación. Estos consisten en añadir una capa más de seguridad a los controles de acceso; es decir, una vez ingresado el nombre de usuario y contraseña, será necesario verificar la identidad mediante los siguientes mecanismos: el envío de un código de seguridad mediante SMS a nuestro teléfono, y la solicitud de un rasgo biométrico (voz, huella, iris, retina, etc.).
Con ello, conseguiremos dificultar el acceso a nuestros servicios online a terceras personas que intenten vulnerar nuestra contraseña. Para ello, necesitarán introducir un código de seguridad o un rasgo biométrico, garantizando la identificación o autenticación de la persona que va a realizar la operación a través de internet.
No obstante, los ciberdelincuentes, una vez más han conseguido vulnerar algunos mecanismos de seguridad.
En el caso del código de seguridad, mediante la técnica conocida como “SIM swapping”, los ciberdelincuentes, una vez que obtienen toda la información personal y financiera, solicitan un duplicado de la tarjeta SIM asociado al número de teléfono de la víctima. Luego realizan cualquier operación, solicitud de créditos, transferencias, pagos con tarjetas, etc. La entidad financiera envía un código de un solo uso, mediante SMS, al número de teléfono de la víctima, y al introducir el código enviado por el banco, se consuma la operación.
Si alguien ha duplicado nuestra tarjeta SIM, la antigua deja de funcionar, por lo que, al utilizar el teléfono móvil la operadora informa que, “actualmente no dispone de este servicio” o ”tiene el servicio temporalmente restringido”, entonces estamos siendo víctimas de fraude.
Biometría
En el caso de la biometría, ya se han detectado casos en los que suplantan la voz de una persona mediante algoritmos de inteligencia artificial. La voz, como factor biométrico, queda en evidencia, robando así la identidad digital de la víctima suplantándole su voz, y consiguiendo que un banco le concediera un préstamo al ciberdelincuente.
Ante esta realidad, urge fomentar la cultura de la ciberseguridad mediante la concienciación a todos los usuarios de internet y de la importancia de la prevención, ya que la mayoría de los ciberataques son consecuencia de errores humanos. Aunque no existe un método infalible, es posible minimizar el riesgo, siguiendo los consejos que veremos a continuación.
¿Cómo podemos proteger nuestros datos?
Uno de los objetivos más preciados de los ciberdelincuentes son nuestros datos, y obtener las contraseñas le dan acceso a los diferentes servicios que tengamos contratados (la banca online, o realizar compras en tiendas online asociado un medio de pago, como una tarjeta de débito o crédito); y nuestra privacidad puede quedar comprometida.
Para que esto no ocurra, es necesario disponer de contraseñas robustas que tengan, al menos, 10 caracteres, que incluyan letras mayúsculas, minúsculas, números y caracteres especiales. Deben ser guardadas en un lugar seguro o usando un gestor de contraseñas.
También podemos usar el test de Turing, un examen que permite determinar si la inteligencia artificial puede imitar las respuestas; o a través de un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart, un test automático para distinguir a los ordenadores de los humanos.
¿Qué leyes regulan la ciberseguridad en la Unión Europea y en España?
Internet y la evolución de las tecnologías de información y comunicación ha hecho que surjan nuevas modalidades de delitos e infracciones digitales que han obligado a adaptar la normativa vigente en relación a la ciberseguridad.
Por ello, ha sido necesario que las diferentes leyes existentes se adapten para regular y proteger a ciudadanos y empresas de los ataques cibernéticos; estableciéndose nuevas normas y protocolos para afrontar situaciones no previstas en el mundo físico.
La legislación en la Unión Europea (UE)
Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 establece las medidas destinadas a garantizar la seguridad en las redes y sistemas de información de la UE.
Este instrumento legal dispone de artículos relacionados con la seguridad de las redes y sistemas de información.
De este modo, el artículo 21 Medidas para la gestión de riesgos de ciberseguridad establece:
“Los Estados miembros velarán por que las entidades esenciales e importantes tomen las medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información que utilizan dichas entidades en sus operaciones o en la prestación de sus servicios y prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios.”
Es decir, los Estados miembros velarán para que se cumpla y se adopten medidas a efectos de minimizar, reducir o prevenir incidentes que afecten a la seguridad.
Así mismo, el Artículo 23 Obligaciones de notificación establece que se deberá notificar a la autoridad competente o al CSIRT (Computer Security Incident Response Teams) los incidentes que afecten los servicios esenciales para que se puedan tomar medidas con carácter institucional o nacional.
Legislación en España
En España existe un Código de Derecho de la Ciberseguridad, que cita las principales normas relativas a la protección del ciberespacio y velar por la ciberseguridad.
En este código se hace referencia a las siguientes leyes:
- Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que regula los principios y organismos clave; así como, las funciones que éstos deben desempeñar para la defensa de la Seguridad Nacional.
- Orden TIN/3016/2011, de 28 de Octubre, en la que se establece la creción del Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración.
- Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
- Ley 5/2014, de 4 de abril, de Seguridad Privada.
- Con relación a incidentes de seguridad, se dispone de una inclusión parcial en la Ley 34/2002, de 11 de julio, de servicios a la sociedad de la información y comercio electrónico.
- Ley 34/2002, de 11 de julio, de servicios a la sociedad de la información y comercio electrónico.
- Real Decreto 381/2015, de 14 de mayo, que establece medidas contra el tráfico no permitido o irregular con fines fraudulentos en comunicaciones electrónicas.
- La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
- Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
- En relación con la ciberdelincuencia, encontramos inclusiones parciales en el Código Penal, la Ley Orgánica 5/2000, de 12 de enero, que regula la responsabilidad penal de los menores; o en el Real Decreto de aprobación de la Ley de Enjuiciamiento Criminal.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Otras leyes que regulan la ciberseguridad a nivel técnico y organizativo
Con relación a la ciberseguridad a nivel técnico y organizativo, existe el nuevo Reglamento Europeo de Protección de Datos 2016/679, y otros protocolos o reglas internacionales, relacionadas con las transferencias internacionales de datos, como el Privacy Shield.
Estas son algunas de las normas que tienen por objeto proteger el ciberespacio, pero también existen las normas que regula la comisión de actos delictivos relacionado con la suplantación de identidad de una marca o empresa, aprovechamiento ilícito de la misma o de infracción a creaciones de autores protegidas por la propiedad intelectual. En estos casos, se deberá tomar en cuenta el derecho marcario o la normativa de propiedad intelectual e industrial.