Professional Documents
Culture Documents
Composici n
JV23 003 012.qxp:libro cátedra Isdefe.qxd 5/10/09 13:19 Página 3
Seguridad Nacional
y Ciberdefensa
Edita:
Imprime:
Índice
1-. Antecedentes 13
2-. Introducción 19
3-. Objeto y alcance 25
4-. Resumen ejecutivo 27
4.1-. Francia
4.2-. Estados Unidos
4.3-. Reino Unido
4.4-. Alemania
4.5-. España
4.6-. Noruega
4.7-. Unión Europea
4.8-. OTAN
4.9-. Iniciativas en materia de ciberejércitos
4.9.1-. China
4.9.2-. India
4.9.3-. Irán
4.9.4-. Pakistán
4.9.5-. Rusia
5-. Conclusiones 39
4-. Alemania
4.1-. Contexto 89
4.2-. Legislación, planes y estrategias
4.3-. Organización y responsabilidades
4.4-. Ciberdefensa
4.4.1-. Protección de Infraestructuras Críticas
4.4.2-. Plan Nacional para la Protección de
Infraestructuras de Información
5-. España
5.1-. Contexto 93
5.2-. Legislación, planes y estrategias
5.3-. Organización y responsabilidades
5.4-. Ciberdefensa
5.4.1-. Estrategia de Seguridad Nacional
5.4.2-. Protección de Infraestructuras Críticas
5.4.3-. Esfuerzos en Ciberdefensa
5.4.4-. CCN
5.4.5-. Inteco
5.4.6-. CCD COE
6-. Noruega
6.1-. Contexto 100
6.2-. Legislación, planes y estrategias
6.3-. Organización y responsabilidades
6.3.1-. Agencias Públicas
JV23 003 012.qxp:libro cátedra Isdefe.qxd 7/10/09 08:55 Página 7
8-. OTAN
8.1-. Contexto 119
8.2-. Legislación, planes y estrategias
8.3-. Organización y responsabilidades
8.4-. Ciberdefensa
8.4.1-. Protección contra el Terrorismo y Otras Amenazas
8.4.2-. Protección de Infraestructuras Críticas
8.4.3-. Política de Ciberdefensa
8.5-. Financiación
Anexo B
Anexo C
Anexo D
ÍNDICE DE FIGURAS
Figura 1
Relación entre el coste y el efecto en la disponibilidad [96] 17
Figura 2
Nuevos riesgos y vulnerabilidades [96] 20
Figura 3
Actores y Componentes de la Seguridad Nacional 21
Figura 4
Estrategia para la Seguridad/Defensa Nacional 22
Figura 5
Esquema Genérico del Sector Energético [97] 23
Figura 6
Ciberdefensa como parte de la Seguridad Nacional 23
Figura 7
Factores a considerar en la Estrategia de Ciberdefensa 41
Figura 8
Ciberdefensa como parte de la Seguridad Nacional [97] 42
Anexo A:
Figura 9
Estructura del Consejo de Defensa y Seguridad Nacional [76] 47
Figura 10
Organigrama del DHS [ 1] 55
Figura 11
Sistema de Respuesta de la Seguridad del Ciberespacio [89] 64
Figura 12
Evolución del Presupuesto del DHS en los años 2004-2009 71
Figura 13
Medidas contra el cibercrimen [102] 85
Figura 14
Estructura y organización en Alemania [107] 90
Figura 15
Estructura del CCD COE de la OTAN [56] 100
Figura 16
Estructura de ENISA [40] 108
Figura 17
Estructura de Ciberdefensa de la OTAN 121
JV23 003 012.qxp:libro cátedra Isdefe.qxd 4/11/09 13:24 Página 10
JV23 003 012.qxp:libro cátedra Isdefe.qxd 10/11/09 12:53 Página 11
Prólogo
1-. Antecedentes
JV23 013 018.qxp:libro cátedra Isdefe.qxd 18/9/09 13:15 Página 14
14
JV23 013 018.qxp:libro cátedra Isdefe.qxd 7/10/09 09:05 Página 15
Antecedentes
3-. Otro uso son las comunicaciones seguras entre los terroristas,
empleando incluso programas gratuitos. Son un verdadero quebradero
de cabeza para las fuerzas de seguridad, pues permiten conspirar a los
terroristas sin necesidad de reunirse para ello. Pueden organizar una reu-
nión virtual mientras están esparcidos por el mundo. Poco después del
11-S, el FBI reconoció que el terrorista más buscado del mundo utiliza-
ba la esteganografía (ocultación de mensajes en archivos de audio o
vídeo) para ponerse en contacto con miembros de su Red.
15
JV23 013 018.qxp:libro cátedra Isdefe.qxd 18/9/09 13:15 Página 16
16
JV23 013 018.qxp:libro cátedra Isdefe.qxd 18/9/09 13:15 Página 17
Antecedentes
17
JV23 013 018.qxp:libro cátedra Isdefe.qxd 18/9/09 13:15 Página 18
JV23 019 023.qxp:libro cátedra Isdefe.qxd 18/9/09 13:25 Página 19
2-. Introducción
JV23 019 023.qxp:libro cátedra Isdefe.qxd 18/9/09 13:25 Página 20
20
JV23 019 023.qxp:libro cátedra Isdefe.qxd 18/9/09 13:25 Página 21
Introducción
21
JV23 019 023.qxp:libro cátedra Isdefe.qxd 18/9/09 13:25 Página 22
Una vez mostrado este escenario cabe preguntarse ¿cómo encajan las
naciones dentro de este planteamiento la denominada Ciberdefensa o
Ciberseguridad3?
Como hemos comentado con anterioridad, las TIC se han convertido
en un conjunto de herramientas de progreso utilizadas en todos los
ámbitos y sectores (ej. TIC del Sector Energético para el control de la
Producción y Gestión Interna de las compañías, TIC de los Ministerios de
Defensa para la gestión de la Información, etc.) y ha aumentado la
dependencia que actualmente tiene de ellas el mundo desarrollado.
Incluso se han convertido en un arma que puede ser utilizada contra las
citadas organizaciones (ej. Uso de las TIC para cometer fraude, para
anular o destruir los sistemas informáticos de otras organizaciones, etc.,
como puede observarse en las noticias de prensa incluidas en el Anexo
C). La siguiente figura ilustra el esquema genérico del sector energético,
en el que se puede ver su dependencia de las TIC.
22
JV23 019 023.qxp:libro cátedra Isdefe.qxd 18/9/09 13:25 Página 23
Introducción
23
JV23 019 023.qxp:libro cátedra Isdefe.qxd 18/9/09 13:25 Página 24
JV23 025 026.qxp:libro cátedra Isdefe.qxd 18/9/09 13:26 Página 25
• Francia
• Estados Unidos de América
• Reino Unido
• Alemania
• España
• Noruega
• Unión Europea
• OTAN
• China
• India
• Irán
• Pakistán
• Rusia
26
JV23 027 028.qxp:libro cátedra Isdefe.qxd 18/9/09 13:29 Página 27
4.1. Francia
• La prevención
En esta función, la estrategia determina que se debe adquirir una
capacidad de defensa informática activa, en profundidad, combinando
la protección intrínseca de los sistemas, la vigilancia permanente de
redes sensibles y la respuesta rápida en caso de ataque.
• La respuesta
La estrategia plantea un nuevo concepto, que encaja plenamente
dentro de lo que son actividades propias de Ciberdefensa,
denominado “Lucha Informática Ofensiva” (LIO) y que parte del
principio que para saber defenderse, es necesario también saber
atacar. Para poder lograr esta capacidad, el gobierno debe invertir en
los siguientes ejes principales:
o Definición, por el Estado Mayor, de un marco de uso que cubra
específicamente el conjunto de acciones relevantes de la lucha
informática;
o El desarrollo de herramientas especializadas
(laboratorios técnico-operativos, redes de ataque, etc.);
o La formulación de una doctrina de empleo de las capacidades de
LIO (planificación, realización y evaluación de las operaciones);
o Puesta en marcha de una formación adaptada, y regularmente
actualizada, para personal identificado y recogido, bajo una
lógica de negocio, dentro de células de especialistas.
28
JV23 027 028.qxp:libro cátedra Isdefe.qxd 18/9/09 13:29 Página 29
Resumen Ejecutivo
29
JV23 027 028.qxp:libro cátedra Isdefe.qxd 18/9/09 13:29 Página 30
30
JV23 027 028.qxp:libro cátedra Isdefe.qxd 18/9/09 13:29 Página 31
Resumen Ejecutivo
31
JV23 027 028.qxp:libro cátedra Isdefe.qxd 18/9/09 13:29 Página 32
32
JV23 027 028.qxp:libro cátedra Isdefe.qxd 18/9/09 13:29 Página 33
Resumen Ejecutivo
4.4. Alemania
4.5. España
33
JV23 027 028.qxp:libro cátedra Isdefe.qxd 18/9/09 13:29 Página 34
4.6. Noruega
34
JV23 027 028.qxp:libro cátedra Isdefe.qxd 18/9/09 13:29 Página 35
Resumen Ejecutivo
4.8. OTAN
Los principales esfuerzos realizados por la OTAN en Ciberdefensa
son los siguientes:
35
JV23 027 038.qxp:libro cátedra Isdefe.qxd 7/10/09 09:09 Página 36
4.9.1. China
Dentro del marco de un plan nacional integrado, el PLA
(People’s Liberation Army), ha formulado una doctrina oficial en ciber-
guerra, implementado un entrenamiento adecuado a sus oficiales, y lle-
vado a cabo simulaciones de ciberguerras y ejercicios militares. Los ser-
vicios de inteligencia de Beijing continúan recogiendo información cientí-
fica y tecnológica para dar soporte a las metas del gobierno, mientras
que la industria china le da prioridad a la creación de productos naciona-
les para conocer sus necesidades tecnológicas. El PLA mantiene lazos
estrechos con sus homólogos rusos, pero hay una evidencia significativa
de que Beijing busca desarrollar su propio y único modelo de cibergue-
rra.
4.9.2. India
Los ciberataques suponen más que un desafío teórico pa-
ra el desafío del día a día en la agenda de la seguridad nacional del
gobierno Indio debido a las intrusiones y a los defacements sufridos en
sus Webs desde las pruebas de Nueva Delhi con armas nucleares y los
enfrentamientos con Pakistán sobre Cachemira. Las autoridades de la
India anunciaron un cambio en la doctrina militar en 1998 para abarcar la
guerra electrónica y las operaciones de información. Se publicó entonces
un mapa de ruta sobre TIC, definiendo un plan exhaustivo de diez años.
En el marco de este plan de ruta, el gobierno ha promovido la coopera-
ción gobierno–industria para facilitar la salida de software indio. Ade-
más, se establecieron una nueva Universidad para la Defensa Nacional y
la Agencia de Inteligencia para la Defensa (DIA, Defense Intelligence
Agency). De acuerdo con noticias de prensa, las fuerzas armadas plane-
an establecer una agencia de información de guerra dentro de la DIA
estando la ciberguerra, las operaciones psicológicas y las tecnologías
electromagnéticas dentro de sus responsabilidades.
36
JV23 027 038.qxp:libro cátedra Isdefe.qxd 5/10/09 14:29 Página 37
Resumen Ejecutivo
4.9.3. Irán
Los expertos de seguridad nacional de EE.UU. han incluido
a Irán en una lista de naciones que cuentan con elementos de entrena-
miento de la población en ciberguerra. En los últimos tiempos, el gobier-
no iraní ha dado prioridad económica y política a mejorar el aspecto tec-
nológico en su sector de defensa. Esto se ha visto reflejado en dos for-
mas principalmente: primero, las fuerzas armadas y las universidades
técnicas han unido esfuerzos para la creación de cibercentros de I+D y
entrenamiento personal en TI; en segundo lugar, Teherán está buscando
activamente comprar asistencia técnica y entrenamiento en TI tanto en
Rusia como en India. Se cree que Irán está aumentando sus recursos en
armas poco convencionales y el sector de las TIC para ganar influencia
en Asia Central.
4.9.4. Pakistán
Actividades de hacking bien documentadas en Pakistán y
posibles lazos entre la comunidad hacker y los servicios de inteligencia
paquistaníes hacen pensar que Pakistán cuenta con capacidad para rea-
lizar ciberataques. Sin embargo, las evidencias publicadas no certifican
la magnitud de estas capacidades; es posible que el gobierno de Pakistán
haya realizado sólo una pequeña inversión en su programa de cibergue-
rra. Las evidencias disponibles sugieren que el principal objetivo de la
ofensiva paquistaní es India, su rival en la disputa de Cachemira. Pakis-
tán ha desarrollado una industria TIC, buenos programadores y un go-
bierno que quiere equipararse a la India por Cachemira, lo que hace pen-
sar que tengan un programa de ciberguerra.
4.9.5. Rusia
Las fuerzas armadas rusas, colaborando con expertos en
el sector TIC y la comunidad académica han desarrollado una doctrina
robusta de ciberguerra. Sus autores han revelado discusiones y debates
en relación con la política oficial en Moscú. “Ciber Armamento”, por ejem-
plo, armas basadas en código de programación, reciben una atención
principal en la doctrina oficial de ciberguerra. Incidentes como los ata-
ques sufridos en Estonia y en Georgia, no hacen más que confirmar estas
teorías.
37
JV23 027 028.qxp:libro cátedra Isdefe.qxd 18/9/09 13:29 Página 38
JV23 039 044.qxp:libro cátedra Isdefe.qxd 5/10/09 14:30 Página 39
5-. Conclusiones
JV23 039 044.qxp:libro cátedra Isdefe.qxd 18/9/09 13:31 Página 40
40
JV23 039 044.qxp:libro cátedra Isdefe.qxd 18/9/09 13:31 Página 41
Conclusiones
41
JV23 039 044.qxp:libro cátedra Isdefe.qxd 18/9/09 13:31 Página 42
42
JV23 039 044.qxp:libro cátedra Isdefe.qxd 18/9/09 13:31 Página 43
Conclusiones
43
JV23 039 044.qxp:libro cátedra Isdefe.qxd 18/9/09 13:31 Página 44
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:32 Página 45
Anexo A
1. Francia
1.1. Contexto
Después de la aparición, hace ya más de treinta años, del primer
“Libro Blanco” para la seguridad en Francia, el primer ministro Edouard
Balladur nos comenta, en la propia carta introductoria del segundo Libro
Blanco, el porqué de su actualización: “Los acontecimientos sobrevenidos
desde la caída del muro de Berlín, la desaparición del Pacto de Varsovia, los
cambios acelerados en nuestro entorno europeo e internacional, los progre-
sos tecnológicos o la vida económica, me incitaron, con acuerdo del
Presidente de la República, a hacer la publicación de un nuevo Libro Blanco
una prioridad del gobierno”.
En cuanto a la seguridad de la información se refiere, el capítulo intro-
ductorio del “Plan Nacional para la Seguridad de la Información” argumen-
taba la necesidad de este tipo de medidas: “Desde hace varios años, los
informes anuales de los departamentos ministeriales sobre el estado de la
seguridad de los sistemas de información (SSI) dan parte sobre las dificul-
tades persistentes encontradas para mejorar la situación: competencias y
capacidades operacionales demasiado reducidas y aisladas, falta de sensi-
bilidad de los responsables a las propuestas, la insuficiencia de productos
de seguridad debidamente cualificadas combinada a posiciones monopolís-
ticas en segmentos importantes del mercado, la proliferación de intercone-
xiones de redes mal aseguradas, la reglamentación nacional difícilmente
aplicable, la dimensión europea mal coordinada. Si ciertas mejoras puntua-
les han sido comprobadas, los esfuerzos consumados, por muy meritorios
que sean, no se han llevado a cabo en la misma medida de la rápida evo-
lución de las tecnologías y las amenazas”.
Finalmente, en el capítulo introductorio del último Libro Blanco, del año
2008, se referencia a los sistemas de información en varios puntos:
• Menciona como fuente de inestabilidad los ataques que se producen
sobre los sistemas de información.
• Identifica como objetivos potenciales las infraestructuras vitales
para el funcionamiento de la economía, sociedad o instituciones, entre las
que incluye los sistemas de información,
• Identifica como nuevas vulnerabilidades para el territorio, y los ciu-
dadanos europeos, los ataques contra los sistemas de información.
46
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 47
Anexo A
1.4. Ciberdefensa
48
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:33 Página 49
Anexo A
1. El conocimiento y la previsión
2. La prevención
3. La disuasión
4. La protección
5. La respuesta
A) El conocimiento y la previsión.
El fortalecimiento sistemático de los recursos de inteligencia estará
sujeto a una planificación general, la cual será ejecutada de acuerdo con
cuatro líneas:
• Necesidad de un esfuerzo a nivel de recursos humanos.
• Desarrollo de capacidades técnicas.
El Libro Blanco determina que se hace necesario un salto cuanti-
tativo y cualitativo en las capacidades técnicas, ya que los socios
de Francia han experimentado un fuerte crecimiento en este
aspecto, mientras que Francia lo ha hecho a una escala menor.
Por todo esto, las actuaciones de los servicios y unidades milita-
res serán mejoradas a nivel de Ciberdefensa reforzando los
medios estatales para la investigación de Internet.
• Articulación del Consejo Nacional de Inteligencia.
• Desarrollando un Marco Jurídico adaptado.
B) Protección.
La protección de la población y del territorio francés es otro de los
núcleos de la estrategia. El objetivo es proteger a la nación frente a cri-
sis de gran amplitud, aumentando la capacidad de resistencia.
Las principales medidas relativas a la protección de la población y el
territorio, relacionadas con la Ciberdefensa, son las de adquirir una capa-
cidad de defensa informática activa, en profundidad, combinando la pro-
tección intrínseca de los sistemas, la vigilancia permanente de redes sen-
sibles y la respuesta rápida en caso de ataque.
C) Respuesta.
Dentro de la función estratégica de respuesta, un punto muy impor-
tante es la lucha contra ataques a los sistemas TIC. Para responder a
esos ataques, Francia plantea el concepto de “Lucha Informática
Ofensiva” (LIO), partiendo del principio de que, para saber defenderse,
es necesario saber atacar. La estrategia determina que para poner en
práctica este concepto se hace necesario por tanto conocer las técnicas,
múltiples y variadas, de los ataques potenciales y así poder comprome-
ter al oponente en la misma fuente de la agresión, a través de modos de
actuación ofensivos. Es decir, Francia quiere responder a los ciberataques
49
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 50
A) Cuatro objetivos
• Asegurar los medios de transmisión de las altas autoridades.
• Asegurar los sistemas de información de las administraciones.
• Establecer las capacidades operativas de respuesta a los ataques
informáticos previstos en los planes.
• Incluir la política francesa de seguridad de los sistemas de infor-
mación en el marco de la política francesa de seguridad dentro de
la Unión Europea.
50
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 51
Anexo A
51
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 52
2. Estados Unidos
2.1. Contexto
Los ataques terroristas del 11 de Septiembre de 2001 marcaron un
antes y un después dentro del país en los aspectos relacionados con la
seguridad de la nación y de sus ciudadanos. Posteriormente a estos ata-
ques, el presidente George W. Bush puso en marcha una serie de planes y
estrategias que incluyeron desde aspectos legislativos, hasta la creación de
órganos y asignación de importantes fondos con el fin de incrementar la
seguridad del país.
Entre los hechos más destacables se pueden citar:
• 20 de Septiembre del 2001; se crea la “Oficina de Seguridad del
Territorio Nacional” (“Office of Homeland Security”, OHS)
• 29 de Octubre de 2001; se constituye el “Consejo de Seguridad del
Territorio Nacional” (“Homeland Security Council”, HSC) que es el sucesor
de la OHS.
• 25 de Noviembre del 2002; se establece el Departamento de
Seguridad del Territorio Nacional (“Department of Homeland Security”,
DHS).
• 12 de Marzo de 2002; se constituye el Sistema Consultivo de
Seguridad del Territorio Nacional (“Homeland Security Advisory System”)
basado en una escala de colores de riesgo de ataque terrorista.
Por otro lado, desde el punto de vista de la Ciberdefensa, los esfuer-
zos realizados por EE.UU. durante los últimos años se podría decir que
52
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 53
Anexo A
no son nuevos, ya que este país contaba previamente con dos siste-
mas, “Echelon” y “Carnivore”, que aprovechan las TIC dentro del ámbi-
to de la inteligencia y el espionaje:
• “Echelon” es un sistema bajo la administración de la Agencia de
Seguridad Nacional (“National Security Agency”, NSA), que conforma
una red de análisis e interceptación de comunicaciones electrónicas.
Está controlado por la alianza “UKUSA” que incluye a Estados Unidos,
Canadá, Gran Bretaña, Australia y Nueva Zelanda. El sistema puede
capturar comunicaciones por radio y satélite, llamadas de teléfono,
faxes y e-mails en casi todo el mundo e incluye análisis automático y
clasificación de las interceptaciones.
El propósito que había tras la construcción de este sistema, era el de
controlar las comunicaciones militares y diplomáticas de la Unión
Soviética y sus aliados, aunque se sospecha que en la actualidad es uti-
lizado también para encontrar pistas sobre tramas terroristas, planes
del narcotráfico e inteligencia política y diplomática. Sus críticos afir-
man que el sistema es utilizado también para el espionaje económico y
la invasión de privacidad en gran escala.
La existencia de “Echelon” fue publicada ya en 1976.
• “Carnivore” es el nombre de un software usado por el FBI que tiene
un fin similar al de “Echelon”, pero un funcionamiento diferente. Este soft-
ware se instala en los proveedores de acceso a Internet y, tras una petición
proveniente de una instancia judicial, rastrea todo lo que un usuario hace
durante su conexión a Internet. En teoría, tiene capacidad para discernir
comunicaciones legales de ilegales pero el cómo realiza este análisis, y cuál
es su infraestructura y alcance real, es algo que permanece clasificado.
53
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:39 Página 54
54
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:43 Página 55
Anexo A
55
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:44 Página 56
56
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 57
Anexo A
57
JV23 045 146.qxp:libro cátedra Isdefe.qxd 7/10/09 09:24 Página 58
2.4. Ciberdefensa
EE.UU. ha desarrollado diversos planes y capacidades relacionadas
con la ciberdefensa tanto en el ámbito civil, como en el ámbito militar.
Los siguientes epígrafes detallan los esfuerzos llevados a cabo en cada
uno de los citados ámbitos.
58
JV23 045 146.qxp:libro cátedra Isdefe.qxd 7/10/09 09:25 Página 59
Anexo A
59
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 60
60
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 61
Anexo A
61
JV23 045 146.qxp:libro cátedra Isdefe.qxd 7/10/09 09:26 Página 62
62
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 63
Anexo A
63
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 64
64
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 65
Anexo A
65
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 66
66
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:47 Página 67
Anexo A
Del total de objetivos, dos de ellos destacan por su vinculación con los
esfuerzos realizados en el área de Ciberdefensa:
• Riesgos Operacionales.
• Riesgos de los Desafíos Futuros.
• Riesgos en la Gestión de la Fuerza.
• Riesgos Institucionales.
67
JV23 045 146.qxp:libro cátedra Isdefe.qxd 7/10/09 09:27 Página 68
68
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 69
Anexo A
69
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 70
70
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 71
Anexo A
2.5. Financiación
En el aspecto económico, el DHS cuenta en 2008 con un presu-
puesto de 47.000 millones de dólares, lo que supone un incremento del
6,8% con respecto al ejercicio fiscal anterior. Esto se produce a pesar de
que el incremento del PIB está previsto en un 1,9%.
En la Figura 2-3 se muestra la evolución del presupuesto del DHS
entre los años 2004 y 2009 (en este último caso, es el presupuesto soli-
citado al Congreso). En dicho periodo, el presupuesto siempre ha aumen-
tado, en algunos casos muy por encima del incremento del PIB. Tal fue
el caso en los años 2004-2005, cuando el incremento fue del 11%, y en
los dos últimos años, en los que el presupuesto ha crecido una cantidad
en torno al 8-9%.
Figura 12. Evolución del presupuesto del DHS en los años 2004-2009.
Por otro lado, cabe destacar que dentro del presupuesto del DHS para
el 2009, la Junta Directiva para la Seguridad Nacional y Programas (área
71
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:49 Página 72
72
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 73
Anexo A
73
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:51 Página 74
74
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 75
Anexo A
ciales como las privadas que los hackers asaltan. El mandatario indicó
que la persona designada para el puesto responderá ante el Consejo de
Seguridad Nacional y ante el Consejo Económico Nacional, en reconoci-
miento del papel que la informática desempeña tanto en defensa del país
como en la economía.
Obama afirmó que el nuevo coordinador tendrá acceso a él con regula-
ridad, igual que el coordinador para amenazas nucleares y convencionales.
Ante el anuncio de mayor control y la intención de nombrar un sheriff
que vigile el ciberespacio, Obama quiso tranquilizar a aquellos que pue-
dan ver el fantasma de la injerencia gubernamental sobrevolar sobre su
privacidad y declaró que el nuevo sistema federal de vigilancia no recor-
tará la libertad en la Red ni "dictará cómo las redes de las empresas pri-
vadas deben diseñar sus sistemas de defensa". Se trata de luchar contra
el robo de información bancaria, controlar los servicios básicos que ahora
se gestionan a través de Internet y evitar la suplantación de la identidad
personal en la Red. Otro de los graves asuntos a los que el nuevo zar
deberá dar una respuesta es el de la piratería, que hasta ahora ha asu-
mido con un discreto éxito el FBI. Las pérdidas estimadas a causa del
robo de datos y propiedad intelectual en 2008 suponen hasta un billón
de dólares (720.000 millones de euros).
También afirmó que Estados Unidos necesita impartir la educación
requerida -desde los colegios- para mantenerse a la par de la tecnología
y atraer y retener una fuerza laboral que maneje los conocimientos ciber-
néticos. Obama reclamó una nueva campaña educativa a fin de alertar al
público de los desafíos y amenazas relacionadas con la ciberseguridad.
Entre las medidas que adoptará la Casa Blanca para mejorar la segu-
ridad cibernética, el presidente anunció un aumento de la cooperación
con los aliados. Para ello será necesario conseguir que los países aliados
sean afines en una serie de asuntos, como los baremos técnicos y nor-
mas legales aceptables sobre jurisdicción territorial, responsabilidad y
soberanía, y uso de la fuerza para luchar contra el cibercrimen. Con ini-
ciativas internacionales de este tipo, el Gobierno de EE.UU. espera que la
comunidad internacional comience un debate sobre cómo perseguir a los
cibercriminales y establezca un marco legal para juzgarles y castigarles.
Desde la Casa Blanca también se quiso hacer un llamamiento para que
la nación no se quede atrás en la carrera de la seguridad informática, un
campo en el que países como India o China han hecho avances en los últi-
mos años. Los cinco pilares sobre los que se basarán las principales
acciones a llevar a cabo son:
• Securización de las redes gubernamentales.
• Coordinación de las respuestas ante los ciberataques.
• Securización de las infraestructuras formadas por las redes
privadas.
• Aumentar los fondos para investigación.
• Reforzar la educación pública.
75
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:52 Página 76
76
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:53 Página 77
Anexo A
2.6.5. El Pentágono
La amenaza de un nuevo tipo de terrorismo ha obli-
gado al Pentágono a dotarse de un comando digital. En línea con la nueva
estrategia del presidente Barack Obama de reforzar la protección de las
redes informáticas de EE.UU., el Ejército estadounidense ha decidido
diseñar una unidad operativa que asuma las tareas de ataque y defensa
en la Red, creando el primer cibercomando de la historia militar del país.
El Departamento de Defensa de EE.UU. recibió, sólo en 2008, 360
millones de intentos anónimos de intrusión en sus redes. Un grupo de
ciberterroristas chinos tuvo un acceso casi total al programa Joint Strike
Fighter, el más caro de la historia militar de Estados Unidos. Lograron
copiar miles de gigas de información sobre la construcción de una nueva
generación de aviones militares. En otros episodios separados, un grupo
77
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 78
3. Reino Unido
3.1. Contexto
Los ataques terroristas de Londres del 7 de julio de 2005, a diferen-
cia de los que ocurrieron en Estados Unidos, no puede decirse que supu-
sieran un cambio radical en la política interna de defensa, ya que ante-
riormente el terrorismo y la seguridad nacional ya habían sido tratados
(probablemente debido a la existencia del IRA). Sin embargo, no cabe
78
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 79
Anexo A
79
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 80
80
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:55 Página 81
Anexo A
3.4. Ciberdefensa
81
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 82
82
JV23 045 146.qxp:libro cátedra Isdefe.qxd 7/10/09 09:30 Página 83
Anexo A
83
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:56 Página 84
84
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 14:57 Página 85
Anexo A
86
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 87
Anexo A
Asistencia Técnica:
• Asistencia técnica inicial en el diseño de opciones para
arquitecturas TIC seguras.
• Consultoría técnica en profundidad en los aspectos de la
seguridad de la información.
• Ayuda en la interpretación de estándares de seguridad como
el BS 7799.
• Guía en el uso e implementación de productos criptográficos
y otros productos de seguridad de la información certificados.
• Consejo sobre el uso e idoneidad de los algoritmos criptográficos.
Documentación:
• Desarrollo de documentación de seguridad de los sistemas.
• Consejo sobre las fuentes y estatus de la documentación técnica.
• Feedback verbal y escrito sobre la documentación técnica.
Otros Servicios:
• Asignación de un consejero durante todo el ciclo de los proyectos.
• Información sobre proveedores con productos certificados.
• Acceso a fuentes alternativas de asesoramiento técnico.
• Formación en aspectos específicos de seguridad de la información.
87
JV23 045 146.qxp:libro cátedra Isdefe.qxd 7/10/09 09:36 Página 88
88
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 89
Anexo A
4. Alemania
4.1. Contexto
Aunque Alemania no haya sufrido durante los últimos años nin-
gún ataque terrorista significativo, su condición de importante potencia
a nivel mundial hace que al igual que en otros países, durante los últi-
mos años, el gobierno haya trabajado en la mejora de la seguridad de su
país. Por ello, los hechos más relevantes relacionados con la Seguridad
Nacional y la Ciberdefensa que destacamos dentro de Alemania, o que
han afectado al país, son los siguientes:
• Creación del Ministerio Federal del Interior (BMI) en el año 1949.
• Creación del Oficina Federal de Seguridad de la Información (BSI)
en el año 1990.
• Ciberataques sufridos por Estonia en el año 2007.
89
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 90
90
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 91
Anexo A
4.4. Ciberdefensa
• Transporte y tráfico
• Energía
• Materiales peligrosos
• Telecomunicaciones y tecnologías de la información
• Finanzas
• Servicios
• Administración pública y sistema de justicia
• Otros: medios de comunicación, edificios simbólicos,
centros de investigación.
91
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 92
92
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 93
Anexo A
5. España
5.1. Contexto
Los hechos de mayor relevancia que han influido en España,
junto a los ataques terroristas del 11 de septiembre del 2001 en EE.UU.
y el 7 de julio de 2005 en Reino Unido, en aspectos relativos a la
Seguridad Nacional y la Ciberdefensa, son los atentados islamistas del 11
de marzo de 2004 en Madrid y los Ciberataques sufridos por Estonia en
el año 2007.
93
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 94
94
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 95
Anexo A
95
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 96
5.4. Ciberdefensa
96
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 97
Anexo A
seguridad que precisan, etc.), será calificada como secreto, dada la alta
sensibilidad para la seguridad nacional de la información contenida en
dicho Catálogo.
• Se creará dentro de la Secretaría de Estado de Seguridad, el Centro
Nacional de Protección de Infraestructuras Críticas (CNPIC) para instrumen-
tar las tareas encomendadas a ese Órgano Superior en la materia. Este
Centro custodiará y actualizará el Plan de Seguridad de Infraestructuras
Críticas y el Catálogo Nacional de Infraestructuras Críticas.
97
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 98
5.4.4. CCN
El CCN lleva a cabo las siguientes tareas relacionadas con
la seguridad de la información:
• Elaborar y difundir normas, instrucciones, guías y recomendacio-
nes para garantizar la seguridad de los sistemas de las tecnologías de la
información y las comunicaciones de la Administración. Las acciones de-
rivadas del desarrollo de esta función serán proporcionales a los riesgos
a los que esté sometida la información procesada, almacenada o trans-
mitida por los Sistemas.
• Formar al personal de la Administración especialista en el campo
de la seguridad de los sistemas de las tecnologías de la información y las
comunicaciones.
• Constituir el organismo de certificación del esquema nacional de
evaluación y certificación de la seguridad de las tecnologías de informa-
ción, de aplicación a productos y sistemas en su ámbito.
• Valorar y acreditar la capacidad de los productos de cifra y de los
sistemas de las tecnologías de la información, que incluyan medios de
cifra, para procesar, almacenar o transmitir información de forma segura.
• Coordinar la promoción, el desarrollo, la obtención, la adquisición
y puesta en explotación y la utilización de la tecnología de seguridad de
los sistemas mencionados.
• Velar por el cumplimiento de la normativa relativa a la protección
de la información clasificada en su ámbito de competencia.
• Establecer las necesarias relaciones y firmar los acuerdos perti-
nentes con organizaciones similares de otros países.
• Gestión de incidentes de seguridad a través del CCN-CERT, servi-
cio puesto en funcionamiento a principios de 2007 como CERT guberna-
mental español y que está presente en los principales foros internacio-
nales en los que se comparte objetivos, ideas e información sobre la
seguridad de forma global.
5.4.5. INTECO
El INTECO desarrolla los siguientes proyectos en el ámbi-
to de la seguridad tecnológica orientados a prestar servicio a ciudadanos
y PyMEs:
• Centro de Alerta Temprana Antivirus (CATA)
El Centro de Alerta Temprana pretende ser una plataforma para cana-
lizar el flujo de información necesario entre los usuarios, y los expertos
del equipo de seguridad, sobre los diferentes virus existentes (con docu-
mentación sobre sus características, como gravedad, fecha de aparición,
calendario de activación, etc.). Por otro lado, como complemento, ha
creado el Centro de Información de Seguridad, con una biblioteca, donde
se encuentran las definiciones más importantes y un glosario de térmi-
nos, y un servicio de documentación (legislación y otros temas relativos
a Seguridad).
98
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 99
Anexo A
99
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 100
6. Noruega
6.1. Contexto
En septiembre de 1999, mediante real decreto, se estableció en
Noruega la Comisión Gubernamental de “Una Sociedad Vulnerable” que
tenía encomendada la tarea de estudiar las vulnerabilidades de la socie-
dad, desde una perspectiva amplia, lo que se traducía en evaluar las for-
talezas y debilidades de los planes de emergencia que existían, identifi-
car las prioridades, facilitar el incremento del nivel de concienciación y
debatir sobre las vulnerabilidades existentes.
La Comisión identificó varias áreas en las que enfocarse, entre las que
se encontraba la de las Infraestructuras Críticas. Aparte de este área,
100
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 101
Anexo A
cabe destacar también que la Comisión puso gran énfasis en las TIC
como foco de vulnerabilidad para la sociedad en general.
Por otro lado, y previamente al establecimiento de la Comisión, en
1998 el Comité del Secretario de Estado para las TIC, formó un subco-
mité con el objetivo de informar sobre el estado de las vulnerabilidades
de las TIC de Noruega. Posteriormente, y en relación con el mismo tema,
se puso en marcha en 1999 el proyecto denominado “Proyecto de
Vulnerabilidades TIC” formado por un grupo interdepartamental encarga-
do por el Ministerio de Comercio e Industria y que colaboró con la
Comisión de “Una Sociedad Vulnerable”.
En el “Proyecto de Vulnerabilidades TIC”, las autoridades responsables
de cada sector evaluaron los riesgos, uniendo estos a las funciones espe-
cíficas del sector. Como resultado, el proyecto desembocó en la publica-
ción de la “Estrategia Nacional de Seguridad de la Información “ en el año
2003.
Por otro lado, los principales planes y estrategias del gobierno norue-
go relacionados con la ciberdefensa y la seguridad de la información son:
• La Estrategia Nacional para la Seguridad de la Información (“Na-
tional Strategy for Information Security”) del año 2003.
• Las “Guías Nacionales para Fortalecer la Seguridad de la Infor-
mación 2007-2010” (“National Guidelines to Strengthen Information Se-
curity 2007-2010”).
101
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 102
102
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 103
Anexo A
• UNINETT CERT
Es otro equipo de respuesta ante incidentes de las TIC en Noruega, y
una red académica para la investigación y el desarrollo. El equipo, for-
mado en 1995, entre otras cosas contribuye a mejorar la seguridad en
Internet para las instituciones miembro. Su tarea básica es la de propor-
cionar asistencia en el manejo e investigación de incidentes en los que
los miembros estén involucrados.
6.4. Ciberdefensa
103
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 104
104
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 105
Anexo A
Una vez identificados los retos a los que debe hacer frente, el gobier-
no noruego plantea las siguientes áreas de acción para cumplir los obje-
tivos generales del Gobierno:
105
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 106
7. Unión Europea
7.1. Contexto
El conjunto de conflictos y actividades terroristas acaecidos duran-
te los últimos años, tanto en el marco de la Unión Europea, como a nivel
internacional, así como la rápida proliferación de las redes de comunicación
de datos y su utilización por parte de delincuentes y terroristas, ha conlleva-
do el desarrollo de reglamentación, así como de la puesta en marcha de pro-
gramas y la creación de estructuras para proteger a la Unión Europea de los
riesgos existentes. En cuanto a los hechos más relevantes relacionados con
la Seguridad Nacional (en este caso la Defensa de Europa) y la Ciberdefensa
caben destacar:
• Diciembre de 1991: El Tratado de Maastricht en el que se definió la
Política Exterior y de Seguridad Común (PESC) y se hizo referencia a una
Política de Defensa Común.
• Junio de 1999: En el Consejo Europeo de Colonia se produce el lan-
zamiento del proyecto de desarrollo de una Política Europea de Seguridad y
Defensa (PESD).
• Junio de 2003: en el Consejo Europeo de Tesalónica, Javier Solana
presenta la primera versión de la Estrategia Europea de Seguridad. En el
consejo se confía la tarea del establecimiento de la Agencia de Defensa
Europea (European Defence Agency, EDA).
• Diciembre del 2003: en el Consejo Europeo se adopta la Estrategia
de Seguridad Europea.
• Julio de 2004: creación de la EDA.
106
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 107
Anexo A
107
JV23 045 146.qxp:libro cátedra Isdefe.qxd 8/10/09 07:44 Página 108
108
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 109
Anexo A
7.4. Ciberdefensa
La UE ha desarrollado tres pilares en lo referente a la Seguridad
que son las siguientes políticas y estrategias:
• Política Exterior y de Seguridad Común (PESC)
• Política Europea de Seguridad y Defensa (PESD)
• Estrategia Europea de Seguridad
Del conjunto de los tres pilares, cabe destacar el que constituye el marco
constitucional de la defensa europea y que no es otra que la PESC, estable-
cida en el Tratado de la Unión Europea firmado en Maastricht. En esta
Política, posteriormente se incorporaron un conjunto importante de cambios
en el Tratado de Amsterdam de 1999 determinando cinco objetivos:
• Salvaguardar los valores comunes, intereses fundamentales y la
independencia e integridad de la Unión Europea (UE), en confor-
midad con el principio de la Carta de Naciones Unidas.
• Reforzar la seguridad de la UE en todas sus formas.
• Preservar la paz y fortalecer la seguridad internacional, en con-
cordancia con los principios de la Carta de Naciones Unidas.
• Promover la cooperación internacional.
• Desarrollar y consolidad la democracia, el estado de derecho y el
respeto por los derechos humanos y las libertades fundamentales.
Del conjunto de objetivos, el segundo de ellos es el que ha dado pie
al conjunto de esfuerzos realizados con posterioridad en el ámbito de la
Protección de Infraestructuras y Ciberdefensa.
109
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 110
1-. Definiciones
o Infraestructura Crítica
“Infraestructura crítica incluye aquellos recursos físicos, servicios,
infraestructuras de tecnologías de la información, redes y activos cuya
destrucción o interrupción podría tener un serio impacto en la salud,
seguridad o bienestar económico de los ciudadanos, o en el funciona-
miento eficaz de los gobiernos. Hay tres grupos de activos de infraestruc-
turas, de los cuales uno de ellos está compuesto por los activos públicos
y privados y sus redes físicas y lógicas (ciberredes y/o ciberespacio)
interdependientes”.
o Servicio Esencial
“Aquellos servicios básicos como el agua, gas, electricidad etc.
junto con otros como los sistemas eléctricos, los sistemas de control
medioambiental o las redes de comunicaciones que si son interrumpidos
ponen en riesgo la seguridad y confianza pública, amenazan la seguridad
económica o impiden la continuidad del gobierno de los Estados miem-
bro o sus servicios”.
o Infraestructura de Información Crítica
“Sistemas TIC que son infraestructuras críticas en si, o que son
esenciales para la operación de infraestructuras críticas (telecomunica-
ciones, ordenadores/software, Internet, satélites etc.)”.
2-. Sectores
El segundo sector crítico identificado es el Sector de la Información,
Comunicación, Tecnologías, TIC y sus productos o servicios como son:
o Protección de las redes y sistemas de información
o Sistemas SCADA
o Internet
o Provisión de telecomunicaciones fijas
o Provisión de telecomunicaciones móviles
o Comunicación por radio y navegación
o Comunicación por satélite
o Multidifusión
110
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 111
Anexo A
111
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 112
112
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 113
Anexo A
113
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 114
Anexo I:
Compuesto por la lista de sectores y subsectores.
Anexo II:
Puntos que debe incluir el procedimiento Plan de
Seguridad del Operador (PSO).
Anexo III:
Paso para la aplicación del “Procedimiento para la
identificación por los Estados miembro de infraestructuras
críticas”.
Finalmente cabe puntualizar, que al no estar aún publicada la
Directiva, esta es susceptible de recibir cambios.
114
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 115
Anexo A
DIÁLOGO
La Comisión propone una serie de medidas destinadas a establecer un
diálogo abierto, integrador y multipartito, es decir:
• Una evaluación comparativa de las políticas nacionales relacionadas
con la seguridad de las redes y de la información. El objetivo consiste en defi-
nir las prácticas más eficaces, para aplicarlas más ampliamente en la UE.
Este ejercicio debe permitir, en concreto, la definición de las mejores prácti-
cas para sensibilizar de manera más efectiva a los ciudadanos y a las peque-
ñas y medianas empresas (PYME) sobre los riesgos y los retos relacionados
con la seguridad de las redes y de la información.
• Un debate multipartito estructurado sobre la mejor manera de
115
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 116
ASOCIACIÓN
En la Comunicación se determina que la comprensión clara de la natu-
raleza de los retos es una condición indispensable para la elaboración de
una política eficaz, y que para ello conviene disponer de datos estadísti-
cos y económicos fiables actualizados. Así pues, la Comisión concretó
que pediría al ENISA:
• Que desarrolle una asociación de confianza con los Estados miem-
bro y las partes interesadas con el fin de elaborar un marco adecuado
para la recogida de datos.
• Que examine la viabilidad de un sistema europeo de comunica-
ción de información y alerta que permita responder eficazmente a las ame-
nazas. Este sistema incluiría un portal multilingüe de la UE destinado a pro-
porcionar información específica sobre amenazas, riesgos y alertas.
Paralelamente, la Comisión hacía un llamamiento a los Estados miem-
bro, al sector privado y a los investigadores, a establecer una asociación
para garantizar la disponibilidad de datos sobre el sector de la seguridad
de las tecnologías de la información y las comunicaciones.
RESPONSABILIZACIÓN
La Comunicación define que la responsabilización de las partes intere-
sadas es un requisito previo para sensibilizarlas aún más sobre las nece-
sidades y los riesgos en materia de seguridad, a fin de promover la segu-
ridad de las redes y de la información. Ésta es la razón por la que se invi-
ta a los Estados miembro, en particular, a:
• Participar activamente en el ejercicio propuesto de evaluación
comparativa de las políticas nacionales.
• Promover, en colaboración con ENISA, campañas de sensibiliza-
ción sobre los beneficios asociados a la adopción de tecnologías eficaces,
buenas prácticas y un comportamiento responsable en relación con la
seguridad.
• Aprovecharse del despliegue de servicios de administración elec-
trónica para fomentar las buenas prácticas de seguridad.
• Estimular la elaboración de programas de seguridad de las redes y
de la información dentro de los planes de estudio de la educación superior.
116
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 117
Anexo A
117
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 118
118
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 119
Anexo A
8. OTAN
8.1. Contexto
Los hechos más relevantes relativos a la Ciberdefensa en la OTAN
son los que se enumeran a continuación:
• Proposición de inclusión de la Protección de Infraestructuras Críticas
en el Programa de Defensa Contra el Terrorismo, en la reunión informal de
Berlín en septiembre de 2005.
• La declaración “Riga Summit Declaration” de 29 de Noviembre de
2006, sobre los desafíos de seguridad del siglo 21.
• La guía “Comprehensive Political Guidance” también de 29 de
noviembre de 2006, que proporciona un marco y guía política para la trans-
formación continua de la OTAN durante los próximos 10 ó 15 años, estable-
ciendo las prioridades en cuanto a capacidad, planificación e inteligencia.
• Ciberataques sufridos por Estonia en abril de 2007 que afectaron
119
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 120
120
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 121
Anexo A
121
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 122
8.4. Ciberdefensa
122
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 123
Anexo A
el mismo, tanto para la protección de las tropas como de los civiles con-
tra los ataques terroristas.
El trabajo del programa está dividido en once áreas, donde la tecno-
logía puede ser de vital importancia (los proyectos están siendo lidera-
dos por países de la OTAN, a título individual, o grupos de la Conferencia
de Directores de Armamento Nacional, CNAD). Del conjunto de áreas
destaca una de ellas por su relación con el concepto de Ciberdefensa:
123
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 124
124
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 125
Anexo A
125
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 126
8.5. Financiación
El programa para la Capacitación del NCIRC tiene un coste esti-
mado de 8 millones de euros.
9.1. China
9.1.1. Introducción
A principio de los 90, el ejército chino reconocía que esta-
ba desarrollando una revolución en asuntos militares que tenían que ver
con el resultado de las nuevas posibilidades abiertas por las tecnologías
de la información. El ejército chino empezó a considerar los ciberataques
como un medio asimétrico para responder a un adversario tecnológica-
mente superior dentro, y fuera, del campo de batalla. Con el apoyo de
un plan nacional integrado, el PLA (People’s Liberation Army) desarrolló
una doctrina en ciberguerra, ha implementado entrenamiento para ofi-
ciales en el marco de la ciberguerra y ha llevado a cabo ejercicios en esta
materia. Hay datos que hacen pensar que el gobierno chino deriva fon-
dos para financiar la comunidad hacker. Por otra parte, los servicios de
inteligencia chinos continuamente realizan estudios sobre ciencia y tec-
nología para ayudar a conseguir los objetivos nacionales. China fabrica
productos relacionados con las TIC para conocer sus necesidades tecno-
lógicas. Además de cooperar con Rusia, un país donde también existe un
programa de ciberguerra, se sospecha que China tiene su propio mode-
lo de uso de las tecnologías en ciberataques.
126
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 127
Anexo A
127
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 128
Entrenamiento
Para el PLA es de vital importancia el entrenamiento para futuras ope-
raciones en ciberataques. Dentro de los centros de entrenamiento para
ciberguerra, se encuentra la Academia de Mando y Comunicaciones, en
128
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 129
Anexo A
129
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 130
9.1.3. Conclusiones
El gobierno chino está desarrollando e implementando una
estrategia integrada de directivas diplomáticas, informativas, militares y
económicas para alcanzar sus objetivos nacionales. A pesar de que la
literatura pública sugiere que desde Beijing se están llevando a cabo pro-
gramas de ciberguerra, el secretismo alrededor de este tema dificulta
una evaluación detallada. La CIA y el DoD de EE.UU. han informado que
China ve en la ciberguerra como una estrategia asimétrica viable cuan-
do se enfrenten a adversarios superiores.
Las instituciones militares chinas han publicado libros de esta materia.
Estos estudios empezaron evaluando la revolución en asuntos militares que
supuso la victoria de EE.UU. en la guerra del Golfo de 1991. Analizando los
estudios chinos se deduce que desde China se ven los ciberataques como
una forma de combatir y neutralizar un enemigo superior.
130
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 131
Anexo A
9.2. India
9.2.1. Introducción
India ha experimentado, y sigue haciéndolo, ciberataques
de gran variedad de formas. El 7 de junio de 1998, por ejemplo, un grupo
antinuclear, “Milw0rm”, hackeó la red del Bhaba Atomic Research Center
(BARC) para protestar contra las pruebas nucleares. En el mismo perío-
do, grupos hacker paquistaníes, como “Death to India”, “Kill India”, “Dr.
Nuker” o “G-Force Pakistan”, hicieron circular instrucciones para lanzar
ciberataques a ordenadores de la India. Desde 2001, se fueron intensifi-
cando los ataques entre los dos países, destacando los defacements en
webs de ambos países.
Como consecuencia, los ciberataques suponen más que un reto teóri-
co para el desafío del día a día en la agenda de la seguridad nacional del
gobierno. En respuesta a estos ataques, los líderes de las fuerzas arma-
das del país detectaron la necesidad de un cambio y comenzaron a cola-
borar con compañías privadas con el fin de crear una fuerza militar enfo-
cada en las nuevas tecnologías.
A finales de la década de 1990, desde Nueva Delhi se realizó una revi-
sión de la postura a adoptar dentro del marco de lo que se llamó la
Revolución en Aspectos Militares (RMA, Revolution in Military Affairs), lleva-
da a cabo por la aplicación de tecnologías digitales en armas de precisión y
comunicaciones instantáneas. En el informe de 2001, Retos para la Gestión
de la Seguridad Nacional, los líderes políticos daban especial importancia a
los asuntos relacionados con la ciberdefensa y el ciberataque.
La transformación pretendida por la India en la doctrina militar estra-
tégica y operacional complementó los cambios en la economía en tecno-
logías de la información que había empezado a comienzos de los 90. A
finales de dicha década, los fabricantes indios trabajaban junto con
empresas estadounidenses, ya que ofrecían mano de obra bien entrena-
da y barata.
131
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 132
Entrenamiento
En el libro de ruta establecido en 1998 por el ejército, se establecía
que todos los oficiales deberían tener un grado de conocimiento razona-
ble en tecnologías TIC ya en 2002. En 1999, el Instituto de Tecnologías
de la Información del ejército presentó su primer curso para enseñar a
los soldados las bases de la ciberguerra. De forma simultánea, tres ins-
titutos de tecnología del ejército comenzaron a presentar las tecnologías
de la información como parte de su plan de estudios.
132
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 133
Anexo A
Operaciones
A principios de 2002, se estableció la Defence Intelligence Agency (DIA)
para coordinar la administración en Inteligencia de los ejércitos de tierra,
aire y armada. Es responsable de ejecutar operaciones internacionales y
conseguir datos de inteligencia táctica en países cercanos a través de recur-
sos humanos. También se encuentra entre sus responsabilidades la admi-
nistración del Centro de Procesamiento y Análisis de Imágenes de Defensa.
Dependiente de la DIA, se creó la DIWA (Defence Information Warfare
Agency), para tratar temas como operaciones psicológicas, ciberguerra y
ondas electromagnéticas.
Así pues, el gobierno indio ha elaborado una estrategia exhaustiva
133
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 134
9.2.3. Conclusiones
Las fuerzas armadas de la India han establecido una doc-
trina para abarcar de una forma más directa temas de ataque y defensa
en ciberguerra, lo que ha impulsado los esfuerzos del país en investiga-
ción TIC y desarrollo de software. Dentro de esta doctrina, se han lleva-
do a cabo algunos pasos, como la creación de la Universidad Nacional de
Defensa, siendo uno de sus enfoques el software informático y el esta-
blecer una nueva agencia de inteligencia y vigilancia electrónica.
Desde Nueva Delhi se busca de forma activa cooperación militar con
otros países como Rusia o Israel en materias técnicas y científicas, paí-
ses con conocidas “cibercapacidades”.
9.3. Irán
9.3.1. Introducción
Las tecnologías de la información y comunicaciones (TIC)
en la cultura civil iraní son complejas. El gobierno, consciente de la
importancia de este sector y las consecuencias asociadas con Internet,
está determinado a que Irán no se verá excluido de la economía global
de las TIC. La población, por lo general culta, consciente de los desarro-
llos y tendencias a través de contactos externos, clama por tener acce-
so a estas tecnologías. Irán cuenta con una infraestructura telefónica
antigua y obsoleta. Por otra parte, elementos conservadores del régimen
religioso piensan que el acceso a la información sin control, llevará con-
sigo levantamientos y tensiones sociales.
Los servicios de telecomunicaciones y de Internet en Irán normalmen-
te son considerados rudimentarios comparados con los de otros países
de la región del Golfo Pérsico. Algunos analistas atribuyen el no consi-
derar su potencial a contradicciones internas políticas y religiosas.
Informes de la CIA señalaban que en 2004 Irán contaba con unos
5000 servidores frente a los 15.900 de Arabia Saudí o los 56.280 de
Emiratos Árabes. En cuanto al número de PCs, en 2003, según la Unión
Internacional de Telecomunicaciones (ITU), el índice de penetración en
134
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 135
Anexo A
Irán era del 7.5% frente al 13.67% de Arabia Saudí o el 12% en Emiratos
Árabes.
A pesar de estos datos, en los últimos años el gobierno ha realizado
esfuerzos para ponerse al día en el sector de las TIC. En particular, el
sector de defensa ha dado una importancia primordial a tener recursos
humanos y financieros dedicados a la investigación y desarrollo en gue-
rra electrónica y sus campos relacionados.
Irán está decidido a superar la propia percepción de inferioridad mili-
tar y tecnológica. Para conseguir esto, en los últimos años, desde el
gobierno se están dando pasos para una transformación tanto en su polí-
tica exterior como en su doctrina de seguridad y en la adquisición de
armamento sofisticado. Teherán está invirtiendo en la compra de siste-
mas avanzados para guerra convencional y también en investigación y
desarrollo de tecnología digital y tecnologías de la información relaciona-
das con el sector militar. Con esto, Irán busca el evitar el aislamiento eco-
nómico y tecnológico, lo que tiraría al traste las expectativas de alcanzar
la fuerza necesaria para convertirse en una referencia política en Asia
Central. Con este fin, desde el gobierno se han establecido lazos con
vecinos como Rusia e India.
135
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 136
Esfuerzos en investigación
A raíz de la Guerra del Golfo, en 1991, Irán se dio cuenta del valor de
las tecnologías de la información para fines militares y se tomaron deci-
siones para asegurar la “digitalización” de sus fuerzas armadas. Desde
hace ya más de 10 años, en el Army’s Officer Training College se inclu-
yen asignaturas como software de ordenadores.
El Ministro de Defensa iraní, Ali Shamkhani, ya señalaba en el año 2000
que “Irán confía en el potencial de su hardware y software nacional para
la seguridad nacional”. Posteriormente, el Ministro señalaba la importancia
de la inversión en TIC para mejorar las capacidades en defensa militar. En
febrero de 2003, anunció la creación de un “complejo Universitario” para
atraer personal para asegurar la mejora continua en el sector de defensa
y su modernización. La Universidad Malek Ashtar, en Shahinshar, es cono-
cida como la Universidad de las Ciencias y la Tecnología, está relacionada
con diversas actividades en I+D en sectores como el aeroespacial, biotec-
nología genética y tecnologías de la información y comunicaciones.
Además, Teherán busca activamente contactos económicos y militares
con productores de tecnología más allá de las fronteras del estado. Se
dice, por ejemplo, que la elección de Vladimir Putin en mayo de 2000,
significó el comienzo de una nueva era en las relaciones entre Rusia e
Irán. Desde entonces, en Irán se han realizado movimientos significati-
vos en torno a la adquisición de tecnologías de defensa rusas. También
se han llegado a acuerdos con India, un país volcado con las tecnologías
de la información para uso civil y militar. Estos acuerdos buscan el coo-
perar con Irán en tecnologías de la información, entrenamiento y asun-
tos terroristas.
Ante las dificultades para enviar gente a adquirir conocimientos a
EE.UU., la estrategia giró en torno a: establecer centros de educación
e investigación nacionales, identificar aliados para compartir conoci-
mientos en tecnología, intercambio de estudiantes e I+D colaborativa.
De acuerdo con una evaluación académica publicada en Teherán des-
pués de la visita del Ministro de Defensa Sergeyev, los objetivos de
Rusia eran:
136
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 137
Anexo A
9.3.3. Conclusiones
Irán ha sufrido en la última década un proceso de apertu-
ra a las tecnologías de la información en respuesta tanto a necesidades
militares como civiles. La política actual del gobierno tiene por objetivo
transformar el sector TIC. La unión de la inversión en TIC, los conoci-
mientos informáticos y el desempleo entre la juventud ha hecho florecer
una cultura hacker en Teherán con un nivel de madurez suficiente para
ser explotado por los servicios de inteligencia del país.
La percepción por parte de Irán de unas capacidades militares y eco-
nómicas inadecuadas, han hecho que crezca el interés en el país en
armas y tecnologías no convencionales incluyendo las tecnologías de
información y comunicaciones. En este marco, hay considerables eviden-
cias de que Irán ha comenzado a fortalecer los vínculos entre la moder-
nización en defensa y la investigación académica en el campo de la inge-
niería informática. Estas evidencias han llevado a pensar que el gobier-
no está potenciando el desarrollo de una capacidad de ciberguerra como
una potencial fuerza multiplicativa.
Algunos de los hechos que llevan a esta conclusión son:
137
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 138
9.4. Pakistán
9.4.1. Introducción
Actividades de hacking bien documentadas en Pakistán y
lazos entre la comunidad hacker y los servicios de inteligencia paquista-
níes hacen pensar que Pakistán cuenta con capacidad para llevar a cabo
ciberataques. Sin embargo, no se han encontrado documentación “públi-
ca” que determine la naturaleza exacta de esta capacidad, es posible que
el gobierno de Pakistán sólo haya realizado una inversión mínima en su
programa de ciberguerra. Las evidencias encontradas hacen suponer que
el principal objetivo de esta capacidad ofensiva es India. Pakistán ha
desarrollado la industra TIC, cuenta con programadores informáticos
expertos y el hecho de que una de las principales preocupaciones del
gobierno sea la seguridad en Cachemira y equipararse a la India puede
suponer un entorno susceptible de sufrir una ciberguerra.
Desde 1947, año de la independencia de Pakistán frente a India, las
tensiones entre ambos países no han disminuido. El principal foco de
conflictos se ha llevado a cabo sobre Cachemira, un área disputada al
este de Pakistán y al norte de India. Ambos países reclaman el territorio.
El resultado del conflicto armado llevó consigo pocos progresos en torno
a una resolución de la disputa de dicho territorio.
En el conflicto de Cachemira, el ciberespacio se ha convertido en un
nuevo frente. Tanto Pakistán como India controlan servidores en Internet
que esparcen propaganda on-line con su situación en el conflicto. Mensajes
del estilo: “India, tu gente son perdedores... esto es un aviso a la pobla-
ción India para dejar libre Cachemira y deje de soñar con ella” fueron col-
gados después de un ataque sobre www.zeetv.com (página propiedad del
magnate Indio Subhas Chandra), son típicos de las intenciones políticas de
una ciberguerra entre ambos países. A pesar de que desde Pakistán se nie-
gue que se estén financiando estos esfuerzos, Islamabad proporciona
apoyo diplomático a los luchadores por la libertad de Cachemira y exis-
ten rumores de contactos entre los servicios de inteligencia y la comuni-
dad hacker pakistaníes.
El problema de un programa potente de ciberguerra pakistaní es
doble. En primer lugar, podría desencadenar efectos desestabilizadores
en la región del sur de Asia, con ataques a la infraestructura TIC y nego-
cios civiles, así como ciberintrusiones a operaciones secretas nucleares y
otras relacionadas con la seguridad. El daño causado a sitios web de
India, por ejemplo, ha sido considerable. En 2002, alrededor del 90% de
las empresas de India con presencia on line detectaron una brecha de
seguridad, de ellas, el 80% informaron de pérdidas económicas debido a
este tipo de incidentes.
Un segundo problema potencial es que aquel de una carrera de “ciber-
armamento” a mayor escala en el subcontinente. El Servicio de
Inteligencia y Seguridad de Canadá ha identificado la ciberguerra entre
138
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 139
Anexo A
139
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 140
9.4.3. Conclusiones
Pakistán está dedicando esfuerzos enfocados a contrarres-
tar las capacidades de la India en materia de ciberguerra. Dado el cre-
ciente número de hackers con talento, los cuales han demostrado tener
inclinación por involucrarse en conflictos políticos, como el caso de
Cachemira, y por los hechos que parecen indicar que Pakistán pueda
estar estudiando la posibilidad de construir un programa de ciberguerra
potente capaz de interferir en el comportamiento de las redes de India,
EE.UU. ha incluido a Pakistán como una amenaza potencial en el ciberes-
pacio.
140
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 141
Anexo A
9.5. Rusia
9.5.1. Introducción
Los servicios militares rusos, junto con expertos del sector
TIC y de la comunidad académica, han desarrollado un programa robus-
to de ciberguerra. El “armamento de información” (information wea-
ponry), armas basadas en código de programación, recibe una atención
especial en esta doctrina de ciberguerra.
El colapso de la Unión Soviética en 1991 llevó a una crisis económica y
una significativa fuga de cerebros, viéndose afectadas varias industrias de
Rusia y los círculos académicos. A pesar de esto, el Servicio de Seguridad
Federal (FSB, Federal Security Service), la Agencia Federal para las Co-
municaciones y la Información del Gobierno (FAPSI, Federal Agency for
Government Communications and Information) y el sector de la alta tecno-
logía de Rusia no se deben subestimar ya que han contado con el potencial
suficiente para el desarrollo de un programa de ciberguerra. Se cree que
ambos, FAPSI y FSB, sucesores de los órganos de la KGB, cuentan con
potentes programas de adquisición de información, lo que ha conducido a
crecientes suspicacias sobre posibles intentos de espionaje.
El Departamento de Defensa (DoD, Department of Defense) de EE.UU.
permanece desconfiado ante la amenaza que supone la comunidad hac-
ker rusa. Existe documentación de que esta comunidad hacker en 1999
consiguió comprometer dos millones de ordenadores del DoD, en lo que
el Pentágono calificó como una campaña de espionaje electrónico ruso.
Fue denominada la Operation Moonlight Maze.
Los esfuerzos del gobierno por reconstruir la obsoleta infraestructura
ha traído consigo un incremento en la confianza y el resurgimiento de la
economía rusa. Evaluando la situación del país en materia de cibergue-
rra, el conflicto checheno es de especial importancia, ya que ha forzado
a los servicios de inteligencia rusos a hacer frente a los técnicos exper-
tos chechenos. Sergei Pokrovsky, el editor de la revista rusa Khaker, con-
firmó que el FSB da empleo a hackers tanto para espionaje internacional
como nacional. Hace ya años que existen evidencias de la activa capaci-
dad rusa en materia de ciberguerra. Algunos ejemplos fueron las accio-
nes llevadas a cabo por hackers patrocinados por el gobierno contra
Chechenia, o el desarrollo de conceptos doctrinales relevantes, que vie-
nen a confirmar los esfuerzos en investigación en ciberguerra.
141
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 142
142
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 143
Anexo A
objetivos; con todo lo cual cuentan los servicios secretos rusos como
FAPSI o FSB. La lista de armas incluye virus (que causen la pérdida de
datos), troyanos, programas capaces de modificar códigos a través de
acceso remoto, y destrucción de infraestructuras críticas de forma
remota.
Durante la fase de investigación de la Operation Moonlight Maze,
Michael Vatis, entonces cabeza del Centro de Protección de Infraestruc-
turas Nacionales (NIPC) atribuyó los ataques a Rusia. Vatis reconoció
que se había robado información clasificada aunque importante sobre
asuntos de investigación en defensa y tecnología. También dijo que las
intrusiones se habían producido en el DoD, otras agencias federales y
redes del sector privado.
En la misma época, el senador de EE.UU. Robert Bennett también
afirmaba que la Operation Moonlight Maze certificaba el hecho de que
las amenazas en el ciberespacio eran reales y aseguraba que los ata-
ques provenían de la Academia Rusa de las Ciencias. El FBI, por su
parte, intentó determinar si dicha Academia era la responsable; el aná-
lisis de las trazas y un análisis forense inicial revelaron que las intru-
siones tenían como origen líneas telefónicas rusas. Entre las empresas
afectadas se encontraba Meganet Corp. una empresa privada dedicada
a desarrollar software de cifrado.
En un incidente posiblemente relacionado y ocurrido en febrero de
1999, una impresora Hewlett Packard del Navy’s Space and Naval
Warfare Systems Command Center (Spawar), en San Diego, fue pro-
gramada para enviar copias de los documentos impresos a una locali-
zación remota en Rusia. Spawar proporciona seguridad electrónica a
algunas agencias federales de EE.UU.
Las defensas para la seguridad de la información para contrarrestar
ciberataques también han sido un foco del complejo militar-industrial
existente en Rusia. El gobierno de la Federación Rusa creó una directi-
va en marzo de 2000 ordenando a las empresas rusas a proporcionar
nuevas medidas de seguridad de la información así como medidas ope-
rativas de seguridad para usar en sistemas operativos americanos
(UNIX y Windows) por el ejército ruso.
El conflicto Checheno
Un análisis de la guerra de la información entre los ejércitos rusos y
chechenos desde la segunda mitad de 1999 hasta el 2000 indica que el
ejército ruso y sus servicios de inteligencia cuentan con capacidades de
ciberguerra. En el primer conflicto (1994–1996), Chechenia tuvo más
puntos a favor en las relaciones públicas, ya que el gobierno ruso negó
el acceso a los medios de comunicación en muchas de sus acciones
militares. Por otra parte, en Chechenia la presencia de la prensa fue
bienvenida, viendo en ella la oportunidad para dar a conocer su men-
saje y haciendo que se viese su punto de vista. Al comienzo del segun-
143
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 144
144
JV23 045 146.qxp:libro cátedra Isdefe.qxd 5/10/09 21:24 Página 145
Anexo A
9.5.3. Conclusiones
Gran parte de la investigación inicial y del desarrollo de
capacidades en ciberguerra en Rusia fue debido a lo que el gobierno
ruso consideró un desarrollo agresivo por parte de EE.UU. de un pro-
grama de guerra de la información. A pesar de que las relaciones entre
Washington y Moscú han mejorado desde el fin de la Guerra Fría, algu-
nas tensiones permanecen sobre el aparente estado de calma.
Es evidente que Rusia cuenta con capacidad ofensiva en materia de
ciberguerra desde el conflicto con Chechenia. Acontecimientos ocurri-
dos durante los últimos años, como los ciberataques sobre Estonia en
2007, Georgia en 2008 o Kyrgyzstan en 2009, no hacen más que con-
firmar este hecho.
145
JV23 045 146.qxp:libro cátedra Isdefe.qxd 21/9/09 08:29 Página 146
JV23 147 150.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 147
Anexo B
Glosario de términos
JV23 147 150.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 148
JV23 147 150.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 149
Anexo B
GLOSARIO DE TÉRMINOS
• Ciberdefensa
Concepto que engloba todas las actividades ofensivas y defensivas en
las que se utilizan como medio aquellos relacionados con las infraestruc-
turas TIC (Ej. Redes de ordenadores, ordenadores, programas informá-
ticos, etc.), y cuyo “campo de batalla” es el Ciberespacio. Las activida-
des de desarrollo de la ciberdefensa van encaminadas hacia la capacita-
ción de los gobiernos y naciones en la denominada “Ciberguerra”.
• Ciberseguridad
Sinónimo del termino Ciberdefensa. Normalmente el término Ciber-
defensa se suele utilizar en el ámbito militar, y el termino Ciberseguridad
en el ámbito civil, aunque en el presente estudio se han utilizado indis-
tintamente ambos términos.
• Ciberespacio
Conjunto de redes de comunicaciones y ordenadores existentes a nivel
mundial que se encuentran interconectados directa o indirectamente entre
sí. En ocasiones, este término se suele acotar y centrar en Internet, pero
durante el estudio el término se ha utilizado en el sentido más amplio.
• Ciberguerra
Lucha armada (en este caso las armas son las TIC) entre dos o más
naciones o entre bandos de una misma nación, en la que se utiliza el
Ciberespacio como campo de batalla.
• Guerra de Información
Parcela de la guerra relacionada con la información. Normalmente las
actividades en este ámbito se refieren a aquellas en las que la informa-
ción se trata como un arma ofensiva o defensiva ya sea por su conoci-
miento, por su manipulación, etc.
• Operaciones de Información
Concepto utilizado por los EE.UU. para definir las actividades relacio-
nadas con la “Guerra de Información”.
• Ciberincidente
Incidente relacionado con la seguridad de las TIC que se produce en
el Ciberespacio. Este término engloba aspectos como los ataques a sis-
temas TIC, el fraude electrónico, el robo de identidad, el abuso del
Ciberespacio, etc.
• Cibersistema
Sistema o conjunto de sistemas dentro del Ciberespacio.
149
JV23 147 150.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 150
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 151
Anexo C
Noticias de prensa
sobre ciberdefensa
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 152
152
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 153
Anexo C
Informe estratégico
La decisión de Obama es resultado de las conclusiones recogidas en un
informe que revisó las medidas de seguridad del Gobierno y que fue orde-
nado por el presidente el pasado mes de febrero para proteger datos como
las declaraciones de impuestos, las solicitudes de pasaporte o informes de
alto secreto.
El documento, de 40 folios, detalla la "visión estratégica" y los asuntos
de los que se ocupará el 'ciberzar'. En él se establece un plan de acción a
corto plazo en el que se incluyen las siguientes medidas: nombrar a un res-
ponsable que coordine la normativa en materia de ciberseguridad nacional;
establecer una dirección fuerte dentro del Consejo de Seguridad Nacional
(NSC, por sus siglas en inglés) que a su vez dependa del responsable de
ciberseguridad; establecer una estrategia que garantice la seguridad de la
infraestructura TIC de la nación; hacer de la ciberseguridad una prioridad
para el gobierno; designar a un funcionario especializado en temas de pri-
vacidad y libertades civiles dentro de la dirección del Consejo Nacional de
Seguridad; establecer una normativa unificada que esclarezca el papel de
las autoridades en la materia; iniciar una campaña pública de conciencia-
ción sobre la ciberseguridad; fomentar alianzas a nivel internacional y plan-
tear iniciativas; preparar un plan de respuesta ante incidentes e iniciar un
diálogo social para reforzar la colaboración entre el sector público y el pri-
vado; establecer un marco de investigación (llegando incluso a facilitar el
acceso de los investigadores a los documentos oficiales) y construir una
visión integral de la gestión de la ciberseguridad.
153
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 154
154
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 155
Anexo C
"Lo que pasa es que a veces se toman atajos para interconectar estas
redes y esto genera problemas", declaró Marcus Sachs, ex asesor de
seguridad de la Casa Blanca y actual director ejecutivo de la política de
asuntos gubernamentales y seguridad nacional de Verizon. "La gente
evita las redes privadas para utilizar las redes de estas empresas de ser-
vicios públicos
Este problema de interconectividad también afecta a dispositivos no
informáticos conectados a estas redes, como puedan ser los dispositivos
médicos.
"Hemos descubierto que algunos dispositivos de los hospitales como
máquinas de resonancia magnética y monitores cardiacos han sido infec-
tados por el Conficker", declaró Sachs.
155
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 156
156
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 157
Anexo C
157
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 158
158
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 159
Anexo C
159
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 160
160
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 161
Anexo C
161
JV23 151 162.qxp:libro cátedra Isdefe.qxd 18/9/09 13:35 Página 162
162
JV23 163 178.qxp:libro cátedra Isdefe.qxd 5/10/09 21:44 Página 163
Anexo D
Documentación consultada
JV23 163 178.qxp:libro cátedra Isdefe.qxd 5/10/09 21:44 Página 164
1. Portales web
[1]
Department of Homeland Security (EE.UU.), http://www.dhs.gov/
[Consultado 09 de septiembre de 2009]
[2]
Federal Ministry of the Interior (Alemania), http://www.bmi.bund.de
[Consultado 09 de septiembre de 2009]
[3]
Federal Office for Information Security (Alemania)
http://www.bsi.bund.de [Consultado 09 de septiembre de 2009]
[4]
European Commission, http://ec.europa.eu/
[Consultado 09 de septiembre de 2009]
[5]
El Derecho de la Unión Europea, http://eur-lex.europa.eu
[Consultado 09 de septiembre de 2009]
[6]
Monitoring the state and civil liberties in Europe.
http://www.statewatch.org/
[Consultado 09 de septiembre de 2009]
[7]
The Act Transformation Networking Portal (NATO)
http://transnet.act.nato.int
[Consultado 11 de noviembre de 2008]
[8]
North Atlantic Treaty Organization (NATO). http://www.nato.int/
[Consultado 09 de septiembre de 2009]
[9]
NATO Information Assurance. http://www.infosec.nato.int/
[Consultado 09 de septiembre de 2009]
[10]
Internet Contract-Soft, http://www.onnet.es/decision.htm
[Consultado 11 de noviembre de 2008]
[11]
NATO Counter-Terrorism Technology Development Programme
http://nc3a.info/nctdp/
[Consultado 09 de septiembre de 2009]
[12] Consejo de la Unión Europea, http://www.consilium.europa.eu
[Consultado 09 de septiembre de 2009]
[13]
The European´s Comisión Delegation to New Zealand http://
esvc000950. wic024u.server-web.com/newzealand/eu_guide/cfsp.htm
[Consultado 09 de septiembre de 2009]
164
JV23 163 178.qxp:libro cátedra Isdefe.qxd 5/10/09 21:44 Página 165
Anexo D
[14]
Ministere Des Affaires Étrangères Et Europpéennes (Francia)
http://www.diplomatie.gouv.fr
[Consultado 09 de septiembre de 2009]
[15]
National Cyber Security Alliance, http://www.staysafeonline.org/
[Consultado 09 de septiembre de 2009]
[16]
El Portal de la Unión Europea, http://europa.eu
[Consultado 09 de septiembre de 2009]
[17]
Cabinet Office (Reino Unido), http://www.cabinetoffice.gov.uk
[Consultado 09 de septiembre de 2009]
[18]
International Telecommunication Union Cybersecurity Gateway
http://www.itu.int/cybersecurity/gateway/index.html [Consultado 09 de
septiembre de 2009]
[19]
Norwegian National Security Authority (Noruega)
http://www.nsm.stat.no
[Consultado 09 de septiembre de 2009]
[20]
The White House (EE.UU.), http://www.whitehouse.gov
[Consultado 09 de septiembre de 2009]
[21]
Cybercrime Law, http://www.cybercrimelaw.net/laws/survey.html
[Consultado 09 de septiembre de 2009]
[22]
United States Strategic Command, http://www.stratcom.mil
[Consultado 09 de septiembre de 2009]
[23]
Center for Defence Information,
http://www.cdi.org/terrorism/cyberdefense-pr.cfm
[Consultado 09 de septiembre de 2009]
[24]
Cyberspace and Information Operations Study Center (EE.UU.)
http://www.au.af.mil/info-ops/cyberspace.htm
[Consultado 09 de septiembre de 2009]
[25]
Air Force Cyber Command (EE.UU.), http://www.afcyber.af.mil/
[Consultado 11 de noviembre de 2008]
[26]
The Information Warfare Site, http://www.iwar.org.uk/
[Consultado 09 de septiembre de 2009]
165
JV23 163 178.qxp:libro cátedra Isdefe.qxd 7/10/09 09:47 Página 166
[27]
Security Park, The leading news portal for securiryt professionals
http://www.securitypark.co.uk/article.asp
[Consultado 09 de septiembre de 2009]
[28]
Warning, Advice and Reporting Point (Reino Unido)
http://www.warp.gov.uk/
[Consultado 09 de septiembre de 2009]
[29]
Institute for the advance Study of Information Warfare
http://www.psycom.net/iwar.1.html
[Consultado 09 de septiembre de 2009]
[30]
CERT del Centro Criptológico Nacional (España)
https://www.ccn-cert.cni.es
[Consultado 09 de septiembre de 2009]
[31]
Periódico Público, http://www.publico.es
[Consultado 09 de septiembre de 2009]
[32]
Grupo de Delitos Telemáticos, Unidad Central Operativa de la Guardia
Civil (España), https://www.gdt.guardiacivil.es
[Consultado 11 de noviembre de 2008]
[33]
Cuerpo Nacional de Policía (España),
http://www.policia.es/bit/index.htm
[Consultado 09 de septiembre de 2009]
[34]
División de “Computer Forensic” de Recovery Labs,
http://delitosinformaticos.info/delitos_informaticos/legislacion.html
[Consultado 09 de septiembre de 2009]
[35]
Instituto Nacional de Tecnologías de la Información, INTECO, (España)
http://www.inteco.es
[Consultado 09 de septiembre de 2009]
[36]
Centro de Alerta Temprana sobre Virus y Seguridad Informática (España)
http://alerta-antivirus.inteco.es/portada/index.php
[Consultado 09 de septiembre de 2009]
[37]
Ministry of Defence (Reino Unido)
http://www.mod.uk/DefenceInternet/home
[Consultado 09 de septiembre de 2009]
166
JV23 163 178.qxp:libro cátedra Isdefe.qxd 5/10/09 21:44 Página 167
Anexo D
[38]
Department of Defence (EE.UU.), http://www.defenselink.mil/
[Consultado 09 de septiembre de 2009]
[39]
Ministerio de Economía y Hacienda (España), http://www.meh.es/
[Consultado 09 de septiembre de 2009]
[40]
European Network and Information Security Agency
http://www.enisa.europa.eu/
[Consultado 09 de septiembre de 2009]
[41]
Information for the Government and Ministries (Noruega)
http://www.regjeringen.no/en.html?id=4
[Consultado 09 de septiembre de 2009]
[42]
Premier Ministre Portail du Gouvernement (Francia)
http://www.premier-ministre.gouv.fr
[Consultado 09 de septiembre de 2009]
[43]
Présidence de la République (Francia)
http://www.elysee.fr
[Consultado 09 de septiembre de 2009]
[44]
La Documentation français, http://lesrapports.ladocumentationfrancaise.fr
[Consultado 09 de septiembre de 2009]
[45]
Serveur Thématique sur la sécurité des systémes d’information (Francia)
http://www.ssi.gouv.fr
[Consultado 09 de septiembre de 2009]
[46]
Federal Emergency Management Agency (EE.UU.)
http://www.fema.gov
[Consultado 09 de septiembre de 2009]
[47]
United States Computer Emergency ReadinessTeam (EE.UU.)
http://www.uscert.gov
[Consultado 09 de septiembre de 2009]
[48]
Federation of American Scientist, http://www.fas.org
[Consultado 09 de septiembre de 2009]
[49]
Development Concepts Doctrine Center Strategic Trends (Reino Unido)
http://www.dcdc-strategictrends.org.uk
[Consultado 09 de septiembre de 2009]
167
JV23 163 178.qxp:libro cátedra Isdefe.qxd 18/9/09 13:36 Página 168
[50]
Defence Research Suppliers Information Portal (Reino Unido)
http://www.science.mod.uk
[Consultado 09 de septiembre de 2009]
[51]
Home Office (Reino Unido), http://www.homeoffice.gov.uk/
[Consultado 09 de septiembre de 2009]
[52]
Office for Security and Counter Terrorism (Reino Unido)
http://security.homeoffice.gov.uk/
[Consultado 09 de septiembre de 2009]
[53]
Organisation for Economic Co-operation and Development
http://www.oecd.org
[Consultado 09 de septiembre de 2009]
[54]
Représentation permanente de la France auprès de l’Union Européenne
(Francia) http://www.rpfrance.eu/spip.php?rubrique2
[Consultado 09 de septiembre de 2009]
[55]
Consejo Superior de Administración Electrónica (España)
http://www.csi.map.es/
[Consultado 09 de septiembre de 2009]
[56]
Cooperative Cyber Defence Centre of Excellence (NATO)
http://sivak.mil.ee/k5/index.html
[Consultado 11 de noviembre de 2008]
[57]
Asociación Arbil, http://www.arbil.org/103jclh.htm
[Consultado 09 de septiembre de 2009]
[58]
Blog de Ciberterrorismo, http://cyberterrorism.blogspot.com/
[Consultado 09 de septiembre de 2009]
[59]
Blog de Wordpress, http://vorzheva.wordpress.com/2007/10/30/ cyber-
warfare-la-guerra-electronica/
[Consultado 09 de septiembre de 2009]
[60]
Página de la Ciudad de Chajari, http://www.paginasdechajari.com.ar/
delitos-informaticos.html
[Consultado 09 de septiembre de 2009]
[61]
Government Communications Headquarters (Reino Unido)
http://www.gchq.gov.uk/
[Consultado 11 de noviembre de 2008]
168
JV23 163 178.qxp:libro cátedra Isdefe.qxd 5/10/09 21:44 Página 169
Anexo D
[62]
Grupo de Estudios Estratégicos, http://www.gees.org/articulo/4637/8 y
http://www.libertaddigital.com:6681/opiniones/opinion_43432.html
[Consultados 09 de septiembre 2009]
[63]
Serious Organised Crime Agency (Reino Unido)
http://www.soca.gov.uk/
[Consultado 09 de septiembre de 2009]
[64]
Joint Task Force - Global Network Operations
http://www.stratcom.mil/fact_sheets/fact_jtf_gno.html
[Consultado 11 de noviembre de 2008]
[65]
Noticia era Obama: http://www.observer.com/2008/politics/obama-
adds-cyber-security-national-defense-plan
[Consultado 09 de septiembre de 2009]
[66]
Noticia era Obama: http://www.defensedaily.com/sectors/homeland_
defense/Obama-Orders-Cyber-Security-Review_5653.html
[Consultado 09 de septiembre de 2009]
[67]
Noticia era Obama: http://www.guardian.co.uk/technology/2009/feb/
10/obama-review-cyber-security
[Consultado 09 de septiembre de 2009]
[68]
Noticia era Obama: http://www.whitehouse.gov/blog/09/03/02/Cyber-
review-underway/
[Consultado 09 de septiembre de 2009]
[69]
Noticia era Obama: http://www.fcw.com/Articles/2009/02/23/Obama-
cyber-review.aspx
[Consultado 09 de septiembre de 2009]
[70]
Actuaciones en EE.UU. en ciberdefensa:
http://www.bloomberg.com/apps/news?pid=20601103&sid=an2_Z6u1JPGw
[Consultado 09 de septiembre de 2009]
[71]
Acciones en EE.UU. a llevar a cabo:
http://www.whitehouse.gov/agenda/homeland_security/
[Consultado 09 de septiembre de 2009]
[72]
Resultados del informe solicitado por Obama:
h t t p : / / w w w. e l m u n d o. e s / e l m u n d o / 2 0 0 9 / 0 5 / 2 9 / n ave g a n t e /
1243589528.html
[Consultado 09 de septiembre de 2009]
169
JV23 163 178.qxp:libro cátedra Isdefe.qxd 18/9/09 13:36 Página 170
[73]
Resultados del informe solicitado por Obama:
http://www.nytimes.com/2009/05/29/us/politics/29cyber.html?_r=1&hp
[Consultado 09 de septiembre de 2009]
[74]
Resultados del informe solicitado por Obama:
http://www.elpais.com/articulo/internacional/Obama/declara/guerra/cib
ercrimen/elpepiint/ 20090530elpepiint_1/Tes
[Consultado 09 de septiembre de 2009]
[75]
Reacciones a las iniciativas propuestas:
http://lastwatchdog.com/obama-inserts-white-house-leadership-role-
secure-internet/ [Consultado 09 de septiembre de 2009]
• Francia
[76]
“Dossier de Presse Livre Blanc Sur la Defense et la Securite Nationale”
(Dossier de prensa del “Libro Blanco de la Defensa y la Seguridad
Nacional” publicado el 17/06/ junio de 2008. Fuente: www.elysee.fr).
[Consultado 09 de septiembre de 2009]
[77]
“The French White Paper on defence and national security” (Dossier de
prensa, en lengua inglesa, del “Libro Blanco de la Defensa y la Seguridad
Nacional. Fuente: www.elysee.fr).
[Consultado 09 de septiembre de 2009]
[78]
“Livre Blanc sur la Défense 1994” (Documento “Libro Blanco sobre la
Defensa 1994”. Fuente: http://lesrapports.ladocumentationfrancaise.fr).
[Consultado 09 de septiembre de 2009]
[79]
“La France Face au Terrorisme. Livre blanc du Gouvernement sur la sécu-
rité intérieure face au terrorisme” (Documento “Francia contra el
Terrorismo. Libro Blanco del Gobierno sobre la seguridad contra el terro-
rismo”. Editorial La Documentation française,. Junio de 2006. ISBN: 2-
11-006101-4. Fuente: http://www.ladocumentationfrancaise.fr).
[Consultado 09 de septiembre de 2009]
[80]
“Défense et Sécurité Nationale Le Livre Blanc” (Documento “Defensa y
Seguridad Nacional, el Libro Blanco”. Editorial Odile Jacob/La
Documentation Française, Junio de 2008. ISBN: 978-2-7381-2185-1.
170
JV23 163 178.qxp:libro cátedra Isdefe.qxd 18/9/09 13:36 Página 171
Anexo D
Fuente: http://www.ladocumentationfrancaise.fr).
[Consultado 09 de septiembre de 2009]
[81]
“Plan de Renforcement de la Securite des Systemes d’Information de
L’état” (Documento “Plan de Mejora de la Seguridad de los Sistemas de
Información del Estado”, Marzo de 2004. Fuente: www.ssi.gouv.fr).
[Consultado 09 de septiembre de 2009]
[82]
“State Information System Security Reinforcement Plan” (Versión en
ingles del “Plan de Mejora de la Seguridad de los Sistemas de
Información del Estado,. Marzo de 2004. Fuente: www.ssi.gouv.fr).
[Consultado 09 de septiembre de 2009]
[83]
“National Response Framework brochure” (Folleto “Marco de Respuesta
Nacional”. Enero de 2008. Fuente: http://www.fema.gov).
[Consultado 09 de septiembre de 2009]
[84]
“National Response Framework FactSheet” (Hoja Informativa “Marco de
Respuesta Nacional”. Fuente: http://www.fema.gov).
[Consultado 09 de septiembre de 2009]
[85]
“The National Security Strategy of the United States of America“
(Documento “Estrategia de Seguridad Nacional de Estados Unidos de
America “. Año 2002 y actualización en el año 2006. Fuente: http://
www.whitehouse.gov).
[Consultado 09 de septiembre de 2009]
[86]
“The National Strategy for Combating Terrorism” (Documento “Estrategia
Nacional para Combatir el Terrorismo”. Septiembre de 2006. Fuente:
http://www.whitehouse.gov).
[Consultado 09 de septiembre de 2009]
[87]
“The National Strategy for Homeland Security” (Documento “Estrategia
para la Seguridad del Territorio Nacional”. Año 2002 y actualización en el
año 2007. Fuente: http://www.dhs.gov).
[Consultado 09 de septiembre de 2009]
[88]
“The National Strategy for The Physical Protection of Critical
Infrastructures and Key Assets” (Documento “Estrategia Nacional para la
Protección Física de las Infraestructuras Críticas y los Activos Claves”.
171
JV23 163 178.qxp:libro cátedra Isdefe.qxd 18/9/09 13:36 Página 172
172
JV23 163 178.qxp:libro cátedra Isdefe.qxd 18/9/09 13:36 Página 173
Anexo D
[97]
“Energy Critical Infrastructure and Key Resources Sector-Specific Plan”
(Documento: “Plan Específico del Sector de la Energía de Infraestruc-
turas y Recursos Críticos”. Mayo de 2007.
Fuente: http://www.dhs.gov/xprevprot/programs/gc_1179866197607.shtm).
[Consultado 09 de septiembre de 2009]
• Reino Unido
[98]
“DCDC Global Strategic Trends Programme 2007-2036” (Documento “El
Programa 2007-2036 de Tendencias Estratégicas Globales del Centro de
Doctrina, Conceptos y Desarrollo”. Enero de 2007.
Fuente: http://www.dcdc-strategictrends.org.uk).
[Consultado 09 de septiembre de 2009]
[99]
“Defence Technology Strategy” (Documento “Estrategia Tecnológica de
Defensa”. Diseñado y Producido por el Ministerio de Defensa de Reino
Unido. Octubre de 2006. Fuente: http://www.science.mod.uk).
[Consultado 09 de septiembre de 2009]
[100]
“The Home Office Strategy 2008–11”
(Documento “Estrategia del Ministerio del Interior 2008-2011”.
Fuente: http://www.homeoffice.gov.uk/).
[Consultado 09 de septiembre de 2009]
[101]
“The National Security Strategy of the United Kingdom” (Documento
“Estrategia Nacional de Seguridad de Reino Unido“. Marzo de 2008.
Fuente: http://www.cabinetoffice.gov.uk).
[Consultado 09 de septiembre de 2009]
[102]
“The Future of Netcrime Now” (Informe Online 62/04 del Ministerio del
Interior, “El Futuro del Cibercrimen ahora”. Diciembre de 2004. Autor:
Sheridan Morris. Fuente: http://www.homeoffice.gov.uk).
[Consultado 09 de septiembre de 2009]
[103]
“The United Kingdom Security & Counter-Terrorism Science & Innovation
Strategy” (Documento “Estrategia de Innovación y Ciencia de la
Seguridad y Contraterrorismo del Reino Unido”. Año 2007. Fuente:
http://security.homeoffice.gov.uk).
[Consultado 09 de septiembre de 2009]
[104]
“A National Information Assurance Strategy” (Documento “Estrategia
Nacional de Seguridad de la Información”. Año 2003 y actualización en el
173
JV23 163 178.qxp:libro cátedra Isdefe.qxd 18/9/09 13:36 Página 174
• Alemania
[106]
“Critical Infrastructure Protection Activities in Germany “ (Hoja informa-
tiva “Actividades de Protección de Infraestructuras Criticas en Alemania.”
Fuente: http://www.bsi.bund.de).
[Consultado 09 de septiembre de 2009]
[107]
“Critical Infrastructure protection in Germany” (Presentación “Protección
de Infraestructuras Criticas en Alemania”. Año 2005. Fuente: http://
www.bsi.bund.de).
[Consultado 09 de septiembre de 2009]
[108]
“National Plan for Information Infrastructure Protection” (Documento
“Plan Nacional para la Protección de Infraestructuras de Información”.
Octubre de 2005. Fuente: http://www.bmi.bund.de).
[Consultado 09 de septiembre de 2009]
[109]
“Protection of Critical Infrastructures-Baseline Protection Concept”
(Documento “Guía del Concepto de Protección de Infraestructuras
Críticas. Marzo de 2006. Fuente: http://www.bmi.bund.de).
[Consultado 09 de septiembre de 2009]
• España
[110]
“Directiva de Defensa Nacional 2004”. (Ministerio de Defensa. Diciembre
de 2004. Fuente: http://www.mde.es).
[Consultado 09 de septiembre de 2009]
[111]
“La Respuesta Jurídica Frente a los Ataques Contra la Seguridad de la
Información” (Guía Legal publicada por el Inteco.
Fuente: http://www.inteco.es).
[Consultado 09 de septiembre de 2009]
174
JV23 163 178.qxp:libro cátedra Isdefe.qxd 18/9/09 13:36 Página 175
Anexo D
[112]
“Hoja de ruta para una Estrategia de Seguridad Nacional Española “
(Informe del 22/09/ de septiembre de 2008 del Área de Defensa y
Seguridad del Real Instituto Elcano. Autor: Félix Arteaga. Código: ARI Nº
112/2008).
• Noruega
[113]
“National Guidelines on Information Security 2007-2010” (“Guías
Nacionales para Fortalecer la Seguridad de la Información 2007-2010”.
Diciembre 2007. Fuente: http://nsm.stat.no/Om-NSM/ Samarbeids part-
nere/KIS/Global-meny/Et-annet-valg/).
[Consultado 09 de septiembre de 2009]
[114]
“OECD Studies in Risk Management, Norway Information Security”
(Documento “Estudios de Gestión de Riesgos de la Organización para la
Cooperación Económica y Desarrollo, Seguridad de la Información en
Noruega. Año 2006. Fuente: http://www.oecd.org).
[Consultado 09 de septiembre de 2009]
[115]
“An Information Society for All” (Informe “Una Sociedad de la
Información para todos”. Report No. 17 (2006–2007) para el Parlamento
de Noruega, “Storting”. Fuente: http://www.regjeringen.no).
[Consultado 09 de septiembre de 2009]
• Unión Europea
[116]
“Libro Verde sobre un Programa Europeo para la Protección de
Infraestructuras Críticas” (Documento presentado por la Comisión de las
Comunidades Europeas en Bruselas el 17/11/ de septiembre de 2005.
Código: COM (2005) 576 final. Fuente: http://eur-lex.europa.eu/
LexUriServ/site/es/com/2005/com2005_0576es01.pdf).
[Consultado 09 de septiembre de 2009]
[117]
“Directiva del Consejo sobre la identificación y designación de las infraes-
tructuras críticas europeas y la evaluación de la necesidad de mejorar su
protección” (Documento presentado por la Comisión de las Comunidades
Europeas en Bruselas el 12/12/ de Diciembre de 2006.
Código: COM(2006) 787 final. Fuente: http://eur-lex.europa.eu/
LexUriServ/site/en/com/2006/com2006_0787en01.pdf).
[Consultado 09 de septiembre de 2009]
175
JV23 163 178.qxp:libro cátedra Isdefe.qxd 9/10/09 12:10 Página 176
[118]
“Estrategia Europea de Seguridad” (Documento presentado en Bruselas
el 12 /12/de diciembre de 2003. Fuente: http://europa.eu/ legislation
_summaries/justice_freedom_security/fight_against_terrorism/r00004_
es.htm).
[Consultado 09 de septiembre de 2009]
[119]
“The European Union Counter-Terrorism Strategy” (Documento presentado
en Bruselas el 30/11/ de noviembre de 2005. Código: 14469/4/05 Rev 4.
Fuente: http://ec.europa.eu/justice_home/fsj/terrorism/strategies/
fsj_terrorism_strategies_counter_en.htm).
[Consultado 09 de septiembre de 2009]
[120]
“EU Plan of Action on Combating Terrorism” (Documento presentado en
Bruselas el 29/11/ de noviembre de 2004. Código: 14330/1/04. Fuente:
http://www.statewatch.org/news/2004/nov/terr-action-plan-14330-
rev1.pdf).
[Consultado 09 de septiembre de 2009]
[121]
“La Unión Europea y la Lucha Contra el Terrorismo” (Folleto informativo
publicado en Bruselas el 14 /05/de mayo de 2007. Fuente: http://www.
consilium.europa.eu/uedocs/cmsUpload/FactsheetfightagainstterrorismE
Srev1.pdf). )
[Consultado 09 de septiembre de 2009]
[122]
“Guide to the European Security and Defence Policy (ESDP)” (Guía escri-
ta en el año 2005 por la Delegación Francesa para el Comité de
Seguridad y Política de la UE. Última actualización en Noviembre de
2006. Fuente: http://www.rpfrance.eu/IMG/Guide_PESD_EN.pdf).
[Consultado 09 de septiembre de 2009]
[123]
“Seguridad de las redes y de la información: Propuesta para un enfoque
político europeo” (Documento presentado por la Comisión de las
Comunidades Europeas en Bruselas el 6/6/200106 de junio de 2001.
Código: COM(2001)298 final. Fuente: http://www.csi.map.es/ csi/pdf/
com2001_0298es01.pdf).
[Consultado 09 de septiembre de 2009]
• Ciberejércitos
[124]
“CYBER WARFARE an análisis of the means and motivations of selected
Nation States” Institute for Securitty Technology Studies at Darmouth
College. Charles Billo, Welton Chang. 2004.
176
JV23 163 178.qxp:libro cátedra Isdefe.qxd 5/10/09 21:44 Página 177
Anexo D
[125]
“How China will use cyber warfare to leapfrog in military competitive-
ness” Jason Fritz. Culture Mandala, Vol. 8, No.1 Octubre de 2008.
[126]
“Russia / Georgia Cyber War – Findings and Analysis” Project Grey
Goose: Phase I Report October Octubre de 2008.
• Otros
[127]
“International CIIP Handbook 2006” (“Libro Internacional sobre la
Protección de Infraestructuras de Información Criticas 2006”. ISBN: 3-
905696-07-X . Editor: Center for Security Studies, ETH Zurich. Autores:
Isabelle Abele-Wigert y Myriam Dunn. Fuente: http://www.crn.
ethz.ch/publications/crn_team/detail.cfm?id=16651).
[Consultado 09 de septiembre de 2009]
177
JV23 163 178.qxp:libro cátedra Isdefe.qxd 18/9/09 13:36 Página 178
JV23 163 178.qxp:libro cátedra Isdefe.qxd 18/9/09 13:36 Página 179
JV23 PORTADA 5/10/09 13:17 P gina 1
Composici n