Cuaderno #6

JV23 PORTADA 5/10/09 13:17 P gina 1
Composici n
JV23 003 012.qxp:libro cátedra Isdefe.qxd 5/10/09 13:19 Página 3
Seguridad Nacional
y Ciberdefensa
Oscar Pastor Acosta

José Antonio Pérez Rodríguez
Daniel Arnáiz de la Torre
Pedro Taboso Ballesteros
Primera edición: Octubre 2009
No está permitida la reproducción total o parcial de este libro, ni su tratamiento

informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea
electrónico, mecánico o por fotocopias.
Edita:
Fundación Rogelio Segovia para el

Desarrollo de las Telecomunicaciones
Ciudad Universitaria, s/n
28040-Madrid
Imprime:
Icono Imagen Gráfica, S.A.
Diseño: Rocio Ortega

Maquetación: Gemma Gracia.
ISBN (13): 978-84-7402-364-0

ISBN (10): 84-7402-364-5
Depósito Legal: M-42215-2009

Índice
1-. Antecedentes 13
2-. Introducción 19
3-. Objeto y alcance 25
4-. Resumen ejecutivo 27
4.1-. Francia
4.2-. Estados Unidos
4.3-. Reino Unido
4.4-. Alemania
4.5-. España
4.6-. Noruega
4.7-. Unión Europea
4.8-. OTAN
4.9-. Iniciativas en materia de ciberejércitos
4.9.1-. China
4.9.2-. India
4.9.3-. Irán
4.9.4-. Pakistán
4.9.5-. Rusia
5-. Conclusiones 39
Anexo A Detalle de las Actividades de Ciberdefensa 45

1-. Francia 46
1.1-. Contexto
1.2-. Legislación, planes y estrategias
1.3-. Organización y responsabilidades
1.4-. Ciberdefensa
1.4.1-. “Defensa y Seguridad Nacional,
el Libro Blanco 2008.
1.4.2-. Plan de Mejora de la Seguridad de los Sistemas
de Información del Estado (2004-2007)
2-. Estados Unidos 52

2.1-. Contexto
2.3.1-. Área Civil
2.3.2-. Área Militar
2.4-. Ciberdefensa
2.4.1-. Estrategia para la Seguridad del Territorio Nacional
2.4.2-. Plan de Protección de Infraestructuras Nacionales
2.4.3-. Estrategia Nacional para la Seguridad del Ciberespacio
2.4.4-. Estrategia de Defensa Nacional
2.4.5-. Capacidades en Ciberdefensa del Departamento de
Defensa
2.5-. Financiación
2.6-. Ciberseguridad en la Era Obama

2.6.1-. Durante la campaña electoral
2.6.2-. Acciones como Presidente
2.6.3-. Más datos
2.6.4-. Acciones planificadas
2.6.5-. El Pentágono
3-. Reino Unido

3.1-. Contexto 78
3.4-. Ciberdefensa
3.4.1-. Estrategia Nacional de Seguridad (2008)
3.4.2-. Protección de Infraestructuras Nacionales
3.4.3-. Estrategia Nacional de Seguridad de la Información
3.4.4-. Programa Técnico de Seguridad de la Información (ATP)
3.4.5-. Manual contra el Cibercrimen
(“The future of netcrime now”)
3.4.6-. Otras Iniciativas Civiles en Ciberdefensa
3.4.7-. Esfuerzos del Ministerio de Defensa
4-. Alemania
4.1-. Contexto 89
4.4-. Ciberdefensa
4.4.1-. Protección de Infraestructuras Críticas
4.4.2-. Plan Nacional para la Protección de
Infraestructuras de Información
5-. España
5.1-. Contexto 93
5.4-. Ciberdefensa
5.4.1-. Estrategia de Seguridad Nacional
5.4.3-. Esfuerzos en Ciberdefensa
5.4.4-. CCN
5.4.5-. Inteco
5.4.6-. CCD COE
6-. Noruega
6.1-. Contexto 100
6.3.1-. Agencias Públicas
6.3.2-. Agencias Público-Privadas

6.4-. Ciberdefensa
6.4.1-. Estrategia Nacional para la Seguridad de la Información
6.4.2-. Guía Nacional para Fortalecer la Seguridad
de la Información 2007-2010
7-. Unión Europea

7.1-. Contexto 106
7.4-. Ciberdefensa
7.4.2-. Esfuerzos específicos en Ciberdefensa
8-. OTAN
8.1-. Contexto 119
8.4-. Ciberdefensa
8.4.1-. Protección contra el Terrorismo y Otras Amenazas
8.4.3-. Política de Ciberdefensa
8.5-. Financiación
9-. Iniciativas en materia de ciberejércitos

9.1-. China 126
9.1.1-. Introducción
9.1.2-. Visión del país en Ciberguerra
9.1.3-. Conclusiones
9.2-. India 131
9.2.2-. Iniciativas en Capacidad de Ciberguerra
9.3-. Irán 134
9.3.2-. Evolución en capacidad para la Ciberguerra
9.4-. Pakistán 138
9.4.2-. Iniciativas de Pakistán en relación con Ciberguerra
9.5. Rusia 141
9.5.2-. Acciones llevadas a cabo por Rusia
Anexo B
Glosario de términos 147
Anexo C
Noticias de prensa sobre ciberdefensa 151
Anexo D
Documentación consultada 163
1-. Portales Web

2-. Documentos, informes y presentaciones
ÍNDICE DE FIGURAS
Figura 1
Relación entre el coste y el efecto en la disponibilidad [96] 17
Figura 2
Nuevos riesgos y vulnerabilidades [96] 20
Figura 3
Actores y Componentes de la Seguridad Nacional 21
Figura 4
Estrategia para la Seguridad/Defensa Nacional 22
Figura 5
Esquema Genérico del Sector Energético [97] 23
Figura 6
Ciberdefensa como parte de la Seguridad Nacional 23
Figura 7
Factores a considerar en la Estrategia de Ciberdefensa 41
Figura 8
Ciberdefensa como parte de la Seguridad Nacional [97] 42
Anexo A:
Figura 9
Estructura del Consejo de Defensa y Seguridad Nacional [76] 47
Figura 10
Organigrama del DHS [ 1] 55
Figura 11
Sistema de Respuesta de la Seguridad del Ciberespacio [89] 64
Figura 12
Evolución del Presupuesto del DHS en los años 2004-2009 71
Figura 13
Medidas contra el cibercrimen [102] 85
Figura 14
Estructura y organización en Alemania [107] 90
Figura 15
Estructura del CCD COE de la OTAN [56] 100
Figura 16
Estructura de ENISA [40] 108
Figura 17
Estructura de Ciberdefensa de la OTAN 121
Prólogo
Cuanto mayor es el índice de desarrollo de una sociedad, mayor depen-

dencia tiene de los sistemas de información y comunicaciones. Cualquier
intrusión, manipulación, sabotaje o interrupción de dichos sistemas o de las
redes de infraestructura que usan de soporte, puede afectar al funciona-
miento de los mismos, y sus efectos pueden llegar a ser sufridos por millo-
nes de personas.
En los conflictos tradicionales normales existen fronteras y límites, mien-

tras que en el ciberespacio no. Para realizar un ciberataque no es necesario
desplazarse, moverse o tener que pasar una frontera. Esta es una de las
principales características de este tipo de fenómeno. El ciberespacio es un
ambiente único, sin fronteras geográficas, anónimo, asimétrico y puede ser
fácilmente clandestino.
El grado de conocimiento que necesita un atacante para realizar una

agresión a los sistemas de información ha decrecido a lo largo del tiempo
debido al espectacular aumento de la calidad, cantidad y disponibilidad de
herramientas ofensivas. Actualmente, es relativamente fácil encontrar en
Internet multitud de herramientas de hacking que se intercambian en los
diferentes foros dedicados a esta materia.
Todo ello conforma un escenario de nuevos riesgos para el que es nece-

sario que los distintos gobiernos desarrollen planes o estrategias, y se con-
temple la ciberdefensa como un riesgo al que es preciso hacer frente para
la mejora de la seguridad nacional.
La OTAN ha definido la ciberdefensa como "la aplicación de medidas de

seguridad para proteger las infraestructuras de los sistemas de información
y comunicaciones frente a los ciberataques" (MC0571 - NATO Cyber Defence
Concept).
La forma de defenderse de estos ataques es compleja, dado que influyen

factores muy diversos. Uno de ellos es el hecho de que muchos de los obje-
tivos susceptibles de ser atacados se encuentran en manos de empresas pri-
vadas, por lo que su seguridad depende en gran medida de las acciones que
toman éstas para salvaguardar sus sistemas, debiendo asumir unos costes
que en ocasiones no son asumidos y así se concreta el riesgo. Otro factor
importante es la falta de conciencia en seguridad en algunas partes de la
sociedad, lo que dificulta tomar medidas eficaces, medidas que, en todo
caso, debería coordinar la Administración.
La Ciberdefensa es, por tanto un ámbito de la Seguridad Nacional en el que

los estados deberán tomar determinadas medidas, que deberán ejecutarse en
coordinación con los sectores público y privado, ser compatibles con los dere-
chos y libertades individuales, ser coordinadas con otras acciones tomadas

para responder a otras modalidades de agresión, establecer sistemas de res-
puesta a los ciberataques y fomentar la cooperación internacional.
En la presente monografía de la Cátedra ISDEFE de la Universidad

Politécnica de Madrid, se han recogido las iniciativas de diversos países y
organizaciones internacionales sobre políticas y estrategias para abordar la
amenaza cibernética. Constituye un loable intento de recopilación de infor-
mación y de referencias que sirve de punto de partida para comprender el
concepto de ciberdefensa, y para valorar su alcance y su influencia en las
sociedades occidentales.
ISDEFE ha elaborado un excelente documento de trabajo en el que, en

algo más de cien páginas, se revisa cómo seis de las naciones más podero-
sas del mundo y dos organizaciones internacionales han encajado el concep-
to de ciberdefensa en sus estrategias de seguridad nacional o en sus políti-
cas. El estudio también abarca la situación de algunos países que pueden ser
considerados como potenciales amenazas en materia de ciberataques.
Con independencia de las conclusiones apuntadas en la monografía, el

estudio apunta un conjunto de medidas que constituyen un excelente punto
de partida para el necesario debate que, en el ámbito nacional, se debe
afrontar.
Estamos seguros de que el presente trabajo dejará satisfechas las expec-

tativas, tanto de los lectores menos versados en la materia, que buscan un
conocimiento genérico en su primera aproximación al concepto de ciberde-
fensa, como de los más experimentados, que dispondrán de una detallada
recopilación de fuentes, lo que les permitirá profundizar en los nuevos retos
de la seguridad nacional, consecuencia de la aparición de este nuevo riesgo.
Un ciberespacio seguro es esencial para la seguridad nacional y, por

tanto, el trabajo que presentamos es un tema de máximo interés en el que
el Centro Nacional de Inteligencia ha puesto su atención y lo considera un
ámbito de trabajo fundamental para la seguridad del siglo XXI.
Finalmente, sólo nos queda agradecer y felicitar a ISDEFE y a la

Universidad Politécnica de Madrid por su contribución, mediante esta
publicación, a la divulgación de la cultura de inteligencia y seguridad, acti-
vidad que también forma parte de los cometidos del Centro Nacional de
Inteligencia, todo ello en beneficio de la Seguridad de España y de los
españoles.
D. Félix Sanz Roldán

Secretario de Estado-Director
Centro Nacional de Inteligencia
Centro Criptológico Nacional
1-. Antecedentes
Seguridad Nacional y Ciberdefensa
La “ciberguerra”, incluyendo ataques, explotación y defensa de las

redes, no es un nuevo desafío para la seguridad nacional en EE.UU. La
guerra cibernética ya hacía furor a finales de los años 90, pero se desva-
neció desde el 11-S y con el terrorismo islámico. Ese interés de EE.UU.
se debía a que concebía la guerra moderna cada vez más dependiente de
ordenadores avanzados y a que ningún ejército de otro país dependía
tanto de la era de la información como el de Estados Unidos.
Actualmente, podemos destacar que en el Departamento de Defensa
(Department of Defense), DoD, se utilizan más de 5 millones de PCs conec-
tados a 100.000 redes, ubicadas en 1.500 sitios de 65 países de todo el
mundo. Esto representa una gran fortaleza, pero a la vez es un punto débil
innegable: la media anual de ataques sufridos por el Pentágono llega a los
80.000 intentos, siendo la mayoría de éstos procedentes de China.
Pero Estados Unidos no es el único objetivo de China. De hecho, en
los últimos meses, Francia, Alemania, y Reino Unido también han acusa-
do a Pekín por (intentar) infiltrarse en las redes de ordenadores diplomá-
ticos o del estamento de Defensa.
Por todo ello, Peter Brookes (Ex Vicesecretario Adjunto de la Secre-
taría de Defensa de Estados Unidos y asesor de Bush) plasmó en su artí-
culo “Countering the art of information warfare” publicado el 2 de octu-
bre de 2007 en Jane’s Defence Weekly, la necesidad de considerar la
“ciberguerra” 1 como una amenaza actual, y Graham Wright, Director de
Operaciones de Información y Objetivos (Director of Targeting & Infor-
mation Operations) del Ministerio de Defensa del Reino Unido, llega
incluso más allá, sugiriendo una perspectiva estratégica de la cibergue-
rra, en la que se presenta la necesidad de implementar una Ciberfuerza
como cuarto Ejército.
El momento de prestar atención a la amenaza cibernética es ahora.
Además, ésta atrae a los Gobiernos y a diferentes actores, incluyendo a
los terroristas, porque es de bajo coste, puede ser muy eficaz y permite
realizar acciones de forma anónima. Según el informe de Gabriel Weiman
del United States Institute of Peace en marzo de 2004, “virtualmente
todo grupo terrorista ha establecido su presencia en Internet”, porque las
posibilidades que ofrece son diversas:
1-. Por un lado permite un medio de divulgación amplio y econó-

mico. Los públicos a los que pretenden llegar usando Internet son muy
distintos:
• En primer lugar, está la opinión pública internacional, a la que
ofrecen su mensaje simultáneamente en los principales idiomas del pla-
neta (inglés, castellano, alemán, francés, etc.).
• También buscan dirigirse a los que les ayudan, y sobre todo a los
1 A lo largo del presente documento se emplearán diferentes términos para refe-

renciar los ataques informáticos a los sistemas de información empleando el
“ciberespacio”: ciberterrorismo, ciberguerra, ciberataques, etc.
14
Antecedentes
que pueden ayudarlos en un despliegue de ventas (camisetas, bolsas,

banderas, vídeo, etc.), para aumentar su base de simpatizantes.
• En último lugar, Weiman identifica a un tercer público que intere-
sa a los terroristas: sus enemigos. Ya que uno de sus objetivos es cau-
sar miedo, los terroristas incluyen no sólo a los gobiernos sino también
a los ciudadanos, con el objetivo de desmoralizarlos, amedrentarlos y
presionarlos para cambiar su conducta. No se puede separar el ciberte-
rrorismo de la guerra psicológica. Uno de los mejores ejemplos fue la
publicación en Internet de los asesinatos de civiles occidentales en la
guerra de Irak.
Como ejemplo a nivel nacional, podemos citar que en octubre de 2007
la Guardia Civil desarticuló, en la provincia de Burgos, una red de pre-
suntos islamistas que, desde Internet, se dedicaban a adoctrinar para la
Yihad en escenarios internacionales.
2-. Otra posibilidad que ofrece Internet es lo que se conoce como

minería de datos, es decir, la capacidad de obtener información sobre
objetivos sin necesidad de romper ningún sistema. Por ejemplo, Google
Earth permite a cualquier persona con una conexión normal obtener
fotos de satélite de las principales ciudades del mundo y, en unos pocos
segundos, obtener las coordenadas exactas de instalaciones químicas o
de reactores nucleares. Donald Rumsfeld, Secretario de Defensa de los
Estados Unidos, llegó a cifrar en el 80% la información que los terroris-
tas podían obtener de Internet sobre sus objetivos.
3-. Otro uso son las comunicaciones seguras entre los terroristas,
empleando incluso programas gratuitos. Son un verdadero quebradero
de cabeza para las fuerzas de seguridad, pues permiten conspirar a los
terroristas sin necesidad de reunirse para ello. Pueden organizar una reu-
nión virtual mientras están esparcidos por el mundo. Poco después del
11-S, el FBI reconoció que el terrorista más buscado del mundo utiliza-
ba la esteganografía (ocultación de mensajes en archivos de audio o
vídeo) para ponerse en contacto con miembros de su Red.
4-. Por último, pero no menos importante, es que Internet se ha con-

vertido en una nueva forma de financiación para los terroristas, a través
del fraude electrónico: estafa nigeriana o el phishing puro y duro son
ejemplos de ello. Timoty Thomas, analista de la Armada de los Estados
Unidos, ya documentó hace años cómo fuerzas antiterroristas francesas
concluyeron que muchos intentos de organización de atentados islamis-
tas estaban financiados con fraude de tarjetas de crédito.
Un ejemplo claro de lo comentado es el portal http://www.aqsatube.
com/, creado por Hamás para sus vídeos. La temática de los clips que se
publican son en su mayoría "producciones audiovisuales islámicas y de la
Yihad", vídeos en los que se glorifica la guerra santa islámica o se mues-
15
tran telenovelas: aparecen entrevistas a amigos del egipcio Mohamed

Atta, autor de los atentados del 11-S, o de Ayman al Zawahiri, "número
dos" de Al Qaeda; también se pueden encontrar vídeos de otras faccio-
nes palestinas como Al-Fatah, de los niños de Al-Aqsa (guiados por la
ideología de Hamás), del Frente Popular para la Liberación de Palestina
(FPLP), y del Frente Democrático para la Liberación de Palestina (FDLP),
entre otras. Según publicaba el diario “20minutos.es” el 17 de octubre
de 2008, hasta el martes día 14, AqsaTube también vendía espacios
publicitarios a compañías comerciales de todo el mundo a través de un
servidor comercial de Google, que de forma automática colocaba anun-
cios según el contenido de la página.
Otro potencial uso del ciberespacio es el espionaje industrial. Para los
ciberespías chinos es una prioridad, porque le permite a Pekín recortar
gastos y tiempo en el desarrollo de una industria de defensa y de calidad
mundial. En diciembre de 2007 el periódico The Times informaba que
atacantes supuestamente chinos habían espiado con troyanos a Rolls-
Royce y la multinacional Shell.
La relación entre gobiernos y empresas en el espionaje industrial a
través de Internet tampoco es nueva. En 2001, el eurodiputado alemán
Gerhard Schmid denunciaba que Estados Unidos usaba el sistema ECHE-
LON (y el CARNIVORE) para interceptar las comunicaciones de empresas
europeas en favor de las americanas. Otro ejemplo es el caso que inspiró
el libro “El huevo del cuco”, sucedió en los años ochenta y se considera el
primero conocido de ciberespionaje: el KGB contrató a personas alemanas
para robar programas de la Digital Equipment Corporation. A nivel nacio-
nal, la empresa Recovery Labs afirma que en 2007 el 20% de sus clientes
sufrieron casos de ciberespionaje, un 18% más que el año anterior.
La Unión Europea tampoco es ajena a todo esto. El objetivo de una
decisión marco, adoptada en 2005, es reforzar la cooperación judicial
entre los Estados miembros, especialmente a la hora de denunciar un
acceso no autorizado a sus sistemas informáticos o casos de interferen-
cias ilegales o de interferencia o apropiación ilegal de datos.
Uno de los más importantes incidentes de cierta envergadura sucedió
en mayo de 2007 cuando Estonia fue objeto de ataques informáticos
masivos. Fueron tan graves que tuvo que intervenir la OTAN enviando
expertos a este país. Se puede considerar como el primer ataque a una
nación. Posteriormente, se han registrado incidentes similares en otros
países; así, el conflicto armado entre Georgia y Rusia, en agosto de
2008, fue acompañado de ciberataques sobre Georgia orientados a afec-
tar al funcionamiento de algunas infraestructuras críticas del país. Este
hecho supuso un hito nuevo en la ejecución de acciones militares ya que
fue la primera vez que una invasión terrestre fue coordinada con una
acción ciberofensiva on-line.
A pesar de que en los medios se transmitió la imagen de que los cibe-
rataques habían surgido de forma espontánea como un levantamiento
16
Antecedentes
popular, la realidad es que la magnitud de la ofensiva, el nivel de coor-

dinación y la sofisticación fueron demasiado grandes, lo que hace dudar
de que fueran llevados a cabo por hackers independientes.
-El último ciberataque de cierta magnitud registrado
Considerando que un ataque informático puede infectar con virus,

provocar caídas de los sistemas, corromper datos, recoger inteligencia y
diseminar información falsa, interfiriendo de manera efectiva en el
mando y control, las comunicaciones, la inteligencia, la navegación, la
logística y las operaciones, no es de extrañar, que ese poder ascendente
que es China se tome en serio la “ciberguerra” y esté desarrollando
armas, incluyendo el llamado Shashou jian (incapacitar de un golpe) que
le permitirá equilibrar la superioridad militar de Estados Unidos atacan-
do sus “puntos débiles”. Para cualquier país, un “Pearl Harbor digital” no
es en absoluto una certeza pero, por otro lado, nadie creía que unos
terroristas estrellarían aviones contra edificios.
Figura 1. Relación entre el coste y el efecto en la disponibilidad.

Fuente: Documento consultado nº [96].
17
2-. Introducción
Durante los últimos años, las naciones se han visto obligadas a

actualizar los conceptos de Seguridad y Defensa debido a las diversas
razones que han producido un incremento del Riesgo2:
• La diversificación de actores (o activos que son potenciales obje-

tivos) dentro de la Seguridad y la Defensa:
o Organizaciones públicas, tanto civiles como militares.
o Organizaciones privadas.
o Ciudadanos.
• La diversificación y el aumento de las amenazas: los terroristas y

las organizaciones criminales, las naciones hostiles, el personal descon-
tento, las catástrofes naturales, o el simple ciudadano que persigue salir
en los medios de comunicación.
Figura 2. Nuevos riesgos y vulnerabilidades.

• El desarrollo y la implantación de las Tecnologías de la

Información y las Comunicaciones (TIC) en todos los sectores, tanto
públicos como privados, lo que aumenta su dependencia de las TIC y por
tanto el grado de vulnerabilidad con respecto a las TIC. Otro aspecto
2 Riesgo: estimación del grado de exposición a que una amenaza se materialice,

a través de las vulnerabilidades, sobre uno o más activos causando daños o per-
juicios sobre los mismos.
20
Introducción
relevante de estas últimas es su aspecto facilitador, lo que permite a las

potenciales amenazas traspasar las fronteras nacionales y continentales
y actuar a veces de forma anónima.
Figura 3. Actores y componentes de la Seguridad Nacional.
Esta nueva definición de Seguridad y Defensa, a la que deben contri-

buir los diversos actores que se pueden ver afectados, es decir, las orga-
nizaciones públicas, las organizaciones privadas y los ciudadanos, se
basa en tres pilares:
• La protección del Territorio.
• La protección de las Infraestructuras Críticas.
• La protección de los Ciudadanos.
Para implantar esta nueva definición, muchas de las naciones han
optado por el desarrollo de una Estrategia o Plan Nacional de Seguridad
que abarca los tres pilares citados previamente. Posteriormente, esta
Estrategia Nacional la descomponen en planes o estrategias de más bajo
nivel:
• Planes y/o estrategias de Protección Civil
• Planes y/o estrategias de Protección del Territorio (a nivel interno
y externo)
• Planes y o estrategias de Protección de Infraestructuras y Bienes
Críticos.
21
Figura 4. Estrategia para la Seguridad Nacional.
Una vez mostrado este escenario cabe preguntarse ¿cómo encajan las
naciones dentro de este planteamiento la denominada Ciberdefensa o
Ciberseguridad3?
Como hemos comentado con anterioridad, las TIC se han convertido
en un conjunto de herramientas de progreso utilizadas en todos los
ámbitos y sectores (ej. TIC del Sector Energético para el control de la
Producción y Gestión Interna de las compañías, TIC de los Ministerios de
Defensa para la gestión de la Información, etc.) y ha aumentado la
dependencia que actualmente tiene de ellas el mundo desarrollado.
Incluso se han convertido en un arma que puede ser utilizada contra las
citadas organizaciones (ej. Uso de las TIC para cometer fraude, para
anular o destruir los sistemas informáticos de otras organizaciones, etc.,
como puede observarse en las noticias de prensa incluidas en el Anexo
C). La siguiente figura ilustra el esquema genérico del sector energético,
en el que se puede ver su dependencia de las TIC.
3 A lo largo del estudio se utilizarán ambos términos de forma indistinta.
22
Introducción
Figura 5. Esquema genérico del Sector Energético.

Por lo tanto, partiendo de esta premisa no es de extrañar que los dis-

tintos gobiernos hayan desarrollado o estén desarrollando también, den-
tro de las estrategias/planes citados con anterioridad o como planes espe-
cíficos, aquellos relacionados con la CIBERDEFENSA como parte esencial
de los esfuerzos realizados para la mejora de la Seguridad Nacional a tra-
vés de la protección de las propias TIC (ver siguiente figura).
Figura 6. Ciberdefensa como parte de la Seguridad Nacional.
23
3-. Objeto y alcance

A lo largo del presente informe, se pretende esbozar la situación

actual de la Seguridad Nacional desde su vertiente de las TIC como
medio de protección y ataque, la denominada comúnmente como Ciber-
defensa.
El informe trata de reflejar para cada uno de los países y organizacio-
nes incluidos en el mismo el marco o contexto regulador, las responsabi-
lidades, los planes y estrategias definidos y la financiación asignada para
Ciberdefensa. En el estudio se analizarán tanto las iniciativas específicas
en el sector de Defensa, como a nivel Civil.
El presente documento incluye información sobre los países y organi-
zaciones que se enumeran a continuación:
• Francia
• Estados Unidos de América
• Reino Unido
• Alemania
• España
• Noruega
• Unión Europea
• OTAN
Los principales criterios elegidos a la hora de seleccionar los países del

estudio han sido:
• Su relevancia para España.

• Su importancia a nivel mundial.
• Las posibilidades de acceso a la información relacionada con
los aspectos abordados en el documento.
Por último, se ha incluido una evaluación de la situación de algunos de

los principales países que pueden ser considerados como potenciales
amenazas en materia de ciberguerra. Para dicho análisis se ha utilizado
sólo información pública, sin ningún nivel de clasificación. El análisis pre-
tende reflejar la movilización de diferentes países ante la aparición de un
nuevo campo de batalla. El estudio se ha realizado sobre los siguientes
países:
• China
• India
• Irán
• Pakistán
• Rusia
26
4-. Resumen Ejecutivo

4.1. Francia
Durante las últimas décadas, Francia ha desarrollado una serie de

Libros Blancos sobre la Seguridad y Defensa Nacional en los que se resu-
mía la estrategia que ha seguido en este campo. La última actualización
ha sido durante el año 2008, y en ella se referencia la necesidad de pro-
tección que tienen las Infraestructuras Críticas del país y se hace eco de
la amenaza que supone la posibilidad de Ciberataques para este tipo de
infraestructuras.
El Libro Blanco del 2008 presenta cinco funciones estratégicas, que las
Fuerzas de Defensa y Seguridad de Francia deben dominar y que son: el
conocimiento y la previsión, la prevención, la disuasión, la protección, y
la respuesta. En tres de ellas, parte de las acciones a llevar a cabo están
relacionadas con la Ciberdefensa y son:
• El conocimiento y la previsión
En esta función, la estrategia aboga por la mejora de las
capacidades técnicas de las agencias de inteligencia, al mismo
ritmo de desarrollo que las TIC.
• La prevención
En esta función, la estrategia determina que se debe adquirir una
capacidad de defensa informática activa, en profundidad, combinando
la protección intrínseca de los sistemas, la vigilancia permanente de
redes sensibles y la respuesta rápida en caso de ataque.
• La respuesta
La estrategia plantea un nuevo concepto, que encaja plenamente
dentro de lo que son actividades propias de Ciberdefensa,
denominado “Lucha Informática Ofensiva” (LIO) y que parte del
principio que para saber defenderse, es necesario también saber
atacar. Para poder lograr esta capacidad, el gobierno debe invertir en
los siguientes ejes principales:
o Definición, por el Estado Mayor, de un marco de uso que cubra
específicamente el conjunto de acciones relevantes de la lucha
informática;
o El desarrollo de herramientas especializadas
(laboratorios técnico-operativos, redes de ataque, etc.);
o La formulación de una doctrina de empleo de las capacidades de
LIO (planificación, realización y evaluación de las operaciones);
o Puesta en marcha de una formación adaptada, y regularmente
actualizada, para personal identificado y recogido, bajo una
lógica de negocio, dentro de células de especialistas.
El Libro Blanco del 2008 ha continuado los esfuerzos realizados pre-

viamente, relacionados con la Ciberdefensa, que ya se especificaban en
28
Resumen Ejecutivo
el “Plan de Mejora de la Seguridad de los Sistemas de información del

Estado”, que cubría el plazo existente entre el año 2004 y el 2007. Este
plan proponía 4 objetivos (con una serie de medidas para lograrlos):
A. Asegurar los medios de transmisión de las altas autoridades;

B. Asegurar los sistemas de información de las administraciones;
D. Establecer las capacidades operativas de respuesta a los ataques
informáticos previstos en los planes;
E. Incluir la política francesa de seguridad de los sistemas de
información, en el marco de la política francesa de seguridad
dentro de la Unión Europea.
4.2. Estados Unidos
A raíz de los ataques del 11 de septiembre de 2001, Estados Unidos

cambió su estrategia de Seguridad Nacional focalizándola en los siguien-
tes pilares:
• El establecimiento y reordenación de las Responsabilidades rela-

tivas a la Seguridad Nacional, con la creación del Ministerio de Seguridad
del Territorio Nacional (“Department of Homeland Security, DHS”), entre
las cuales se encuentran también las relacionadas con la Ciberdefensa.
• El desarrollo de legislación relativa a la Seguridad Nacional y a la

Ciberdefensa, entre la que destaca:
o Aquella relacionada con la Protección de Infraestructuras

Críticas:
La Ley sobre Información de Infraestructuras Críticas

(“Critical Infrastructure Information (CII) Act of 2002”),
en la que se especifica qué tipo de información es
clasificada como Información de Infraestructuras Críticas.
̩ La Directiva de Identificación, Priorización y Protección de
Infraestructuras Críticas (“Critical Infrastructure
Identification, Priorization, and Protection”, HSPD-7),
de diciembre de 2003.
̩ La Regla Final del Programa de Protección de Información
de Infraestructuras Críticas (“PCII Program Final Rule”),
de septiembre de 2006, para el desarrollo de procedimientos
de protección de la información de infraestructuras críticas.
o La Directiva sobre la Iniciativa de Ciberseguridad Nacional.

(“National Cyber Security Initiative”, HSPD-23), de enero de 2008.
29
• El desarrollo de Planes y Estrategias relativas a la Seguridad

Nacional como son:
o La Estrategia para la Seguridad del Territorio Nacional
(“National Strategy for Homeland Security”)
o La Estrategia Nacional para la Seguridad del Ciberespacio
(“National Strategy to Secure Cyberspace”), que forma parte
de la estrategia anterior.
o La ejecución de Ejercicios periódicos de Ciberseguridad
(Cyber Storm I y Cyber Storm II)
o La ejecución de Seminarios periódicos sobre Concienciación
en la Ciberseguridad
o El Plan Nacional de Protección de Infraestructuras
(“National Infrastructure Protection Plan”, NIPP)
Del conjunto de estrategias, la “National Strategy to Secure Cyber-

space” es la que directamente ha sido desarrollada en el ámbito de la
Ciberdefensa, y fija cinco prioridades nacionales en esta materia (así co-
mo la forma de alcanzarlas):
• Prioridad I: Sistema de Respuesta de la Seguridad

del Ciberespacio Nacional;
• Prioridad II: Programa de Reducción de las Amenazas
y Vulnerabilidades para la Seguridad del Ciberespacio Nacional;
• Prioridad III: Programa de Formación y Concienciación
de la Seguridad del Ciberespacio Nacional;
• Prioridad IV: Asegurar el Ciberespacio Gubernamental;
• Prioridad V: Cooperación entre la Seguridad Nacional
y la Seguridad del Ciberespacio Internacional.
Por otro lado, el conjunto de esfuerzos realizados a nivel civil por el

DHS y otros organismos, se ve complementado con el desarrollo de las
capacidades de Ciberdefensa llevado a cabo por el Departamento de
Defensa (DoD), que incluye la Ciberdefensa o Ciberguerra dentro del
concepto más amplio de “Guerra de la Información”, que en la actualidad
denomina “Operaciones de Información” (“Information Operations, IO”).
Dentro de las IO, la capacidad que podríamos denominar tradicional-
mente como “Ciberdefensa” la denominan “Operaciones de Redes de
Ordenadores” e incluye la posibilidad y habilidad de:
A. Atacar e interrumpir o alterar las redes de ordenadores

del enemigo.
B. Defender los sistemas de información militar propios.
C. Explotar las redes de ordenadores del enemigo mediante la
recolección de información de inteligencia, normalmente a través
de código o aplicaciones informáticas (ej. Troyanos).
30
Resumen Ejecutivo
Estas capacidades de las Operaciones de Redes de Ordenadores, las

desarrolla el DoD mediante la implementación de tres mecanismos:
• Defensa de Redes de Ordenadores (DRO)

La DRO se define como las medidas defensivas para proteger la infor-
mación, los ordenadores y las redes, de las alteraciones, interrupciones
o destrucciones.
• Explotación de Redes de Ordenadores (ERO)
La ERO es el área de las IO que todavía no ha sido claramente defini-
da dentro del DoD. Anteriormente al desarrollo de una crisis, el DoD
parece preparar la batalla a través de la inteligencia, vigilancia, recono-
cimiento y actividades de planificación.
• Ataques de Redes de Ordenadores (ARO)
Los ARO se definen como los mecanismos que pretenden interrumpir,
alterar o destruir la información que reside en los ordenadores y en las
redes de ordenadores de los enemigos.
La llegada de Barack Obama a la presidencia del país ha supuesto un

aumento en la concienciación de la amenaza que supone el mundo ciber-
nético para la seguridad nacional. Ya durante la campaña electoral el
entonces candidato prometía tomar medidas que reforzasen la ciberse-
guridad del país. Situando la importancia de este campo a la misma altu-
ra que, por ejemplo, la seguridad nuclear.
Durante la misma campaña, Obama fue víctima de diversos ataques
llevados a cabo por hackers en los que se tuvo acceso a información de
la campaña como los planes de viaje.
Una de las primeras medidas tomadas a cabo ya en la presidencia, fue
encargar una revisión de 60 días de las políticas, directivas y actuacio-
nes que se estaban llevando a cabo y definir una estrategia para refor-
zar la seguridad y ampliar las capacidades ofensivas y defensivas en el
ámbito del ciberespacio.
Como consecuencia de este informe, se ha propuesto, entre otras ini-
ciativas, la creación de un representante en la Casa Blanca responsable
de este tipo de estrategias y la creación de un cibercomando militar que
esté preparado para actuar en la nueva era de las ciberguerras.
4.3. Reino Unido
A diferencia de Estados Unidos, los ataques terroristas del 7 de julio

de 2005 no supusieron un cambio radical en la política de Seguridad
Nacional de Reino Unido, aunque sí tuvieron un efecto catalizador. En la
actualidad, se puede decir que la base para todos los esfuerzos realiza-
dos es la Estrategia Nacional de Seguridad de Reino Unido (“The National
Security Strategy of the United Kingdom”) del año 2008. En ella, se
31
incluye como aspecto prioritario la Protección de las infraestructuras

Críticas del país, y se determina que Internet es parte de estas infraes-
tructuras, y que puede ser tanto un objetivo, como un medio para terro-
ristas, criminales y naciones hostiles.
Para lograr los objetivos marcados en la estrategia, relativos a
Ciberdefensa, el gobierno ha desarrollado las siguientes acciones:
• Creación del Centro para la Protección de las Infraestructuras

Nacionales (Centre for the Protection of National Infrastructure, CPNI)
como resultado de la fusión de otros dos Centros:
o Uno de ellos encargado de aconsejar e informar sobre seguridad
en redes y otros asuntos de seguridad de la información;
o Otro en materia de seguridad de las instalaciones y del personal.
Con el asesoramiento del CPNI, se protege la seguridad de la nación
reduciendo las vulnerabilidades de las infraestructuras.
• Desarrollando una Estrategia Nacional de Seguridad de la

Información e implementándola, en parte, mediante el Programa Técnico
de Seguridad de la Información y la Lucha contra el Cibercrimen.
Por otro lado, al igual que en el caso norteamericano, los esfuerzos a

nivel civil se están viendo complementados por aquellos que el Ministerio
de Defensa (MoD) está realizando a nivel de Ciberdefensa. Entre estos,
destaca la prioridad de adquisición de ciertos medios tecnológicos para
el nuevo campo de batalla, “el ciberespacio” como son:
• Dentro de la recolección de información (datos de fuentes reales y
entrega de estos datos para labores de inteligencia) destaca la Ciber-reco-
lección, determinando como tecnologías prioritarias aquellas para realizar:
o Representación de diagramas de redes (“network mapping”).
o Monitorización de tráfico y sistemas.
o Análisis de vulnerabilidades.
o Análisis e integración de eventos de seguridad.
o Fusión de información.
• Dentro de la seguridad de la información de las TIC, el MoD utili-

za, al igual que el DoD en EE.UU., el concepto de la “Defensa de Redes
de Ordenadores” en donde incluye:
o Sistemas de Detección de Intrusos.
o Sensores.
o Protección de Intrusiones.
o Análisis e Integración de Eventos de Seguridad.
o Reacción y Respuesta.
o Protección contra Virus, Gusanos y Malware.
o Gestión de Parches de Seguridad.
o Prevención de Denegaciones de Servicio.
32
Resumen Ejecutivo
4.4. Alemania
Aunque Alemania no haya sufrido durante los últimos años ningún

ataque terrorista de la gravedad de los cometidos en otros países como
Estados Unidos, España o Reino Unido, su condición de importante po-
tencia a nivel mundial hace que, durante los últimos años, el Gobierno
haya trabajado en la mejora de la seguridad de su país.
Del conjunto de esfuerzos, a nivel de Ciberdefensa, los más destaca-
dos son los relacionados con la Protección de Infraestructuras Críticas y
más concretamente las de Información, mediante el Plan Nacional para
la Protección de Infraestructuras de Información (NPIIP). El gobierno ale-
mán es consciente de la importancia de estas infraestructuras, basta con
extraer tres párrafos del epígrafe introductorio del citado Plan, para de-
terminar su nivel de relevancia:
“Hoy en día, como las carreteras, el agua, o el suministro eléctrico, las
infraestructuras de la información son parte de la infraestructura nacio-
nal, sin la cual la vida pública y privada se detendría”
“Debido a que la sociedad actual depende ampliamente de las tecno-
logías de la información (TI), esto conlleva la irrupción de nuevas ame-
nazas desconocidas en el pasado. Debido al carácter global de las redes,
los incidentes de seguridad de las TI que les afecten pueden ocasionar
interrupciones o fallos permanentes en la infraestructura de información
del país”.
“Hoy en día la seguridad interna del país es inseparable de la seguri-
dad de las infraestructuras de información críticas; su protección es una
prioridad clave en la política de seguridad nacional. Por esta razón se ha
desarrollado el Plan Nacional para la Protección de Infraestructuras de
Información. Su desarrollo ayudará a fortalecer la defensa de las infraes-
tructuras de información de Alemania frente a las amenazas globales”.
En el NPIIP se han establecido 3 objetivos estratégicos:
A. Prevención: proteger las infraestructuras de información de forma

adecuada.
B. Preparación: responder de forma efectiva a los incidentes
de seguridad de las TI.
C. Sostenibilidad: mejorar las competencias de Alemania en las TI
y desarrollar estándares internacionales.
4.5. España
A raíz de los atentados de Madrid, en marzo de 2004, la Comisión

Europea adoptó la Comunicación sobre protección de las infraestruc-
turas críticas sobre la que España, en mayo de 2007, aprobó el Plan
33
Nacional de Protección de las Infraestructuras Críticas y creó poste-

riormente el Centro Nacional de Protección de Infraestructuras Críticas
(CNPIC).
En cuanto a los esfuerzos realizados por el país, específicamente en
Ciberdefensa, los más destacados son la labor realizada por el CCN para
incrementar la Seguridad de la Información en la Administración pública,
y la participación del Ministerio de Defensa como miembro del Centro de
Excelencia de Ciberdefensa Cooperativa (CCD COE) de la OTAN, ubicado
en Estonia.
Finalmente, hay que notar que España es uno de los pocos países de
la UE que a finales de 2008 todavía no habían informado a la misma
sobre el grado de aplicación de la normativa comunitaria, aprobada en el
año 2005, sobre ataques contra los sistemas de información.
4.6. Noruega
Desde principios del año 2000, en Noruega llevaron a cabo el ejer-

cicio de identificar las vulnerabilidades existentes dentro del país para su
sociedad. A partir de este trabajo, llegaron a la conclusión que tanto las
Infraestructuras Críticas, como las TIC en general, eran dos focos espe-
cíficos que suponían una amenaza para su población.
Fruto de estas conclusiones, en el país se desarrollaron las siguientes
estrategias relativas a la Ciberdefensa:
• La Estrategia Nacional para la Seguridad de la Información

(“National Strategy for Information Security”) del año 2003.
• Las “Guías Nacionales para Fortalecer la Seguridad de la

Información 2007-2010” (“National Guidelines to Strengthen Information
Security 2007-2010”).
Después del primer trabajo realizado a raíz de la Estrategia Nacional,

durante el periodo entre el 2003 y el 2006, el país ha acentuado sus
esfuerzos y ha fijado, en las Guías Nacionales, los siguientes objetivos
para mejorar la seguridad:
A. Robustecer y asegurar las infraestructuras críticas

y dar soporte a los sistemas que prestan funciones
sociales críticas.
B. Una sólida cultura de seguridad en el desarrollo y el uso
de sistemas de información y en el contexto del intercambio
de datos electrónicos.
C. Altos niveles de competencia y enfoque en la investigación
en seguridad.
34
Resumen Ejecutivo
4.7. Unión Europea
Dentro de la UE se han realizado diversos esfuerzos relacionados con

la Ciberdefensa:
• El primero de ellos focalizado en la Protección de Infraestructuras

Críticas, encuadrando dentro de ellas a las TIC (como infraestructuras en
si por un lado, y como soporte para el funcionamiento de otras infraes-
tructuras críticas por otro).
Dentro de este ámbito, los esfuerzos realizados han sido encaminados
a la puesta en marcha del Programa Europeo para la Protección de las
Infraestructuras Críticas (PEPIC) y una Red de Alerta en relación con las
Infraestructuras Críticas (CIWIN).
• El segundo foco más centrado en la Ciberdefensa, en el que los
esfuerzos se pueden dividir en dos vertientes:
o Un primer área relacionada con la mejora de la protección de los

sistemas de información.
La Comunicación de la Comisión de 31 de Mayo de 2006
“Una estrategia para una sociedad de la información
segura - Diálogo, asociación y potenciación”.
̩ La Comunicación de la Comisión al Consejo, al Parlamento
Europeo, al Comité Económico y Social y al Comité de las
Regiones, de 6 de junio de 2001, “Seguridad de las redes
y de la información: Propuesta para un enfoque político
europeo”.
o El segundo área relacionada con la “Lucha contra los delitos”
que abarca la vertiente legislativa y de persecución, en donde los aspec-
tos más destacados son todos aquellos relacionados con la “lucha contra
el Cibercrimen”, como por ejemplo la Decisión Marco 2005/222 sobre
“ataques contra los sistemas de información”.
4.8. OTAN
Los principales esfuerzos realizados por la OTAN en Ciberdefensa
son los siguientes:
• Creación de un Centro de respuesta ante incidentes de seguridad

informática, el NCIRC (NATO Computer Incident Response Capability) en
el año 2004.
• Aprobación de la Política de Seguridad en Ciberdefensa de la
OTAN (“Nato Policy on Cyber Defense”) el 7 de Enero del 2008.
• Acuerdo sobre el “Concepto de Ciberdefensa de la OTAN” (“NATO
Cyber Defence Concept”) a comienzos del año 2008.
35
• Asignación de las Responsabilidades en Ciberdefensa, y creación

de las nuevas estructuras organizativas necesarias para la implementa-
ción de la Política de Ciberdefensa, entre las que destacan:
o La Autoridad de Gestión de la Ciberdefensa de la OTAN (NATO
Cyber Defence Management Authority, NCDMA) creada en el 2008.
o El Centro de Excelencia Cooperativa de Ciberdefensa
(Cooperative Cyber Defence Centre of Excellence, CCD COE)
creado también en el 2008.
Cabe destacar, que los esfuerzos realizados por la OTAN sufrieron un
importante impulso debido a los Ciberataques que sufrió Estonia en Abril
del 2007.
4.9. Iniciativas en materia de ciberejércitos
4.9.1. China
Dentro del marco de un plan nacional integrado, el PLA
(People’s Liberation Army), ha formulado una doctrina oficial en ciber-
guerra, implementado un entrenamiento adecuado a sus oficiales, y lle-
vado a cabo simulaciones de ciberguerras y ejercicios militares. Los ser-
vicios de inteligencia de Beijing continúan recogiendo información cientí-
fica y tecnológica para dar soporte a las metas del gobierno, mientras
que la industria china le da prioridad a la creación de productos naciona-
les para conocer sus necesidades tecnológicas. El PLA mantiene lazos
estrechos con sus homólogos rusos, pero hay una evidencia significativa
de que Beijing busca desarrollar su propio y único modelo de cibergue-
rra.
4.9.2. India
Los ciberataques suponen más que un desafío teórico pa-
ra el desafío del día a día en la agenda de la seguridad nacional del
gobierno Indio debido a las intrusiones y a los defacements sufridos en
sus Webs desde las pruebas de Nueva Delhi con armas nucleares y los
enfrentamientos con Pakistán sobre Cachemira. Las autoridades de la
India anunciaron un cambio en la doctrina militar en 1998 para abarcar la
guerra electrónica y las operaciones de información. Se publicó entonces
un mapa de ruta sobre TIC, definiendo un plan exhaustivo de diez años.
En el marco de este plan de ruta, el gobierno ha promovido la coopera-
ción gobierno–industria para facilitar la salida de software indio. Ade-
más, se establecieron una nueva Universidad para la Defensa Nacional y
la Agencia de Inteligencia para la Defensa (DIA, Defense Intelligence
Agency). De acuerdo con noticias de prensa, las fuerzas armadas plane-
an establecer una agencia de información de guerra dentro de la DIA
estando la ciberguerra, las operaciones psicológicas y las tecnologías
electromagnéticas dentro de sus responsabilidades.
36
Resumen Ejecutivo
4.9.3. Irán
Los expertos de seguridad nacional de EE.UU. han incluido
a Irán en una lista de naciones que cuentan con elementos de entrena-
miento de la población en ciberguerra. En los últimos tiempos, el gobier-
no iraní ha dado prioridad económica y política a mejorar el aspecto tec-
nológico en su sector de defensa. Esto se ha visto reflejado en dos for-
mas principalmente: primero, las fuerzas armadas y las universidades
técnicas han unido esfuerzos para la creación de cibercentros de I+D y
entrenamiento personal en TI; en segundo lugar, Teherán está buscando
activamente comprar asistencia técnica y entrenamiento en TI tanto en
Rusia como en India. Se cree que Irán está aumentando sus recursos en
armas poco convencionales y el sector de las TIC para ganar influencia
en Asia Central.
4.9.4. Pakistán
Actividades de hacking bien documentadas en Pakistán y
posibles lazos entre la comunidad hacker y los servicios de inteligencia
paquistaníes hacen pensar que Pakistán cuenta con capacidad para rea-
lizar ciberataques. Sin embargo, las evidencias publicadas no certifican
la magnitud de estas capacidades; es posible que el gobierno de Pakistán
haya realizado sólo una pequeña inversión en su programa de cibergue-
rra. Las evidencias disponibles sugieren que el principal objetivo de la
ofensiva paquistaní es India, su rival en la disputa de Cachemira. Pakis-
tán ha desarrollado una industria TIC, buenos programadores y un go-
bierno que quiere equipararse a la India por Cachemira, lo que hace pen-
sar que tengan un programa de ciberguerra.
4.9.5. Rusia
Las fuerzas armadas rusas, colaborando con expertos en
el sector TIC y la comunidad académica han desarrollado una doctrina
robusta de ciberguerra. Sus autores han revelado discusiones y debates
en relación con la política oficial en Moscú. “Ciber Armamento”, por ejem-
plo, armas basadas en código de programación, reciben una atención
principal en la doctrina oficial de ciberguerra. Incidentes como los ata-
ques sufridos en Estonia y en Georgia, no hacen más que confirmar estas
teorías.
37
5-. Conclusiones
Dentro del estudio que se ha realizado, se ha podido observar que

los países de nuestro entorno hablan de política y estrategia de seguri-
dad nacional, y en la mayoría de los casos, utilizan como referencia la
National Security Strategy y/o la National Strategy for Homeland Secu-
rity de Estados Unidos. La mayoría de las naciones coinciden, en que los
aspectos generales a contemplar o considerar (incluyendo los de Ciber-
defensa) en una Estrategia de Seguridad Nacional deberían ser los
siguientes:
• La estrategia debería definir claramente los riesgos existentes, los

objetivos a alcanzar y las medidas que han de tomarse (incluyendo los
esfuerzos concretos en I+D y en formación en una serie de campos).
• La coordinación en materia de seguridad ha de ser muy estrecha:
o a nivel interno, entre las diversas agencias de seguridad,
el sector privado y los ciudadanos;
o a nivel internacional, con países u organizaciones aliadas.
Estas necesidades podrían desembocar en la reestructuración de las

agencias, organismos y Ministerios encargados de la Seguridad Nacional.
En la mayoría de los casos actuales, se ha traducido en la creación de un
Consejo de Seguridad Nacional que supervisa las agencias y los Minis-
terios involucrados, da coherencia y proporciona una visión de conjunto
de la seguridad. Bajo este Consejo, deberían crearse los Organismos
necesarios que apliquen la Estrategia.
• Debería incluir diversos pilares de protección contra las diversas

amenazas identificadas (el terrorismo, organizaciones criminales, nacio-
nes hostiles, etc.):
o La protección de las Infraestructuras Críticas
(incluyendo a las Infraestructuras TIC).
o La protección de los ciudadanos.
o La protección del Territorio y de las organizaciones
gubernamentales.
• Debería contemplar la necesidad de unas capacidades que permi-

tan la previsión, la prevención, la disuasión, la protección y la reacción
cuando sea necesaria; es decir, no debe limitarse a aspectos defensivos
sino que debe incluir también capacidades ofensivas.
• La Estrategia ha de ser multidimensional apoyándose en aspectos
Legislativos (desarrollo de leyes, reglamentos, etc.), Ejecutivos (creando
organismos y mecanismos de implantación y vigilancia de cumplimiento
y de persecución de las infracciones) y Judiciales (castigando las infrac-
ciones).
• Para poder lograr la implantación de la Estrategia, deberá de
dotarse a los actores involucrados (Ministerio de Defensa, Ministerio del
40
Conclusiones
Interior, Ministerio de Justicia, Sector Privado, Ciudadanos etc.) de los

medios Técnicos y Económicos necesarios para desempeñar sus cometi-
dos.
Figura 7. Factores a considerar en la Estrategia de Ciberdefensa.
Respecto a la Ciberdefensa, resaltar que el Ciberespacio se ha conver-

tido en un nuevo “campo de batalla” (a nivel civil y militar). Por ello, está
ganando peso en la actualidad a pasos agigantados, y tendrá una mayor
relevancia en el futuro cercano para todas las Naciones (en los últimos
tiempos multitud de noticias sobre ataques en el ciberespacio han sido
publicadas por la prensa; algunos ejemplos han sido recogidos en el
Anexo C).
Los Ciberataques se están convirtiendo en un arma “barata”, “silencio-
sa” y “fácil de enmascarar” para cualquier organización con intereses
hostiles, y puede tener efectos desastrosos en aquellos países u organi-
zaciones que los sufren.
Es importante tener en cuenta que la Ciberdefensa no debe ser una
actividad aislada en sí misma, sino que debería estar incluida, o contem-
plarse desde las siguientes perspectivas:
• Dentro de las Estrategias de Seguridad Nacional.

• Dentro de la Protección de Infraestructuras Críticas.
• Dentro de la Lucha contra Organizaciones Terroristas
y Criminales.
41
Figura 8. Ciberdefensa como parte de la Seguridad Nacional.

Fuente: Documento consultado nº [97]
Dentro del estudio que se ha realizado, se ha podido observar que los

países con mayor desarrollo específico en Ciberdefensa son los siguien-
tes (de mayor a menor potencial):
• EE.UU, tanto a nivel Civil como Militar, ya ha desarrollado estra-

tegias y planes, ha definido organizaciones y responsabilidades, y posee
gran avance a nivel tecnológico (todos estos esfuerzos han supuesto y
supondrán importantes inversiones económicas).
• La OTAN, como organización militar, también está a la cabeza del
grupo, habiendo definido ya las estrategias y responsabilidades, y se
encuentra plasmando los esfuerzos en actividades tangibles (ej. CCD
COE).
• El Reino Unido, influenciado en este ámbito como en otros
muchos por los EE.UU, ha establecido ya a nivel militar, como prioridad,
la inversión en actividades de Ciberdefensa muy similares a las de sus
homólogos, como la denominada “Defensa de Redes de Ordenadores”.
• La inclusión de Francia en este grupo se debe a que ha sentado
las bases para el desarrollo del área de Ciberdefensa, antes que sus
socios europeos, incluyendo este apartado dentro de la última actualiza-
ción llevada a cabo (en el 2008) de su Estrategia de Seguridad Nacional
(“Defensa y Seguridad Nacional, el Libro Blanco”).
Aparte de los esfuerzos específicos en el área de Ciberdefensa, como se

puede apreciar en el estudio, se considera importante el nivel de desarro-
llo de la Seguridad de las TIC en los países. Debido a este motivo, y a
42
Conclusiones
que es un marco ideal para políticas y esfuerzos futuros más efectivos y

focalizados en Ciberdefensa, se resalta al conjunto de países y organiza-
ciones que poseen un mayor desarrollo en la citada Seguridad:
• El Reino Unido, aunque a nivel Civil no haya desarrollado una polí-

tica específica de Ciberdefensa, sí ha definido su Estrategia Nacional de
Seguridad de Información y un Programa para su implementación.
• Alemania ha definido un Plan específico para la Protección de las
Infraestructuras de Información.
• Noruega, al estilo de Reino Unido, definió primero una Estrategia
Nacional de Seguridad de la Información, para posteriormente imple-
mentar unas Guías de Fortalecimiento de la Seguridad de la Información.
• La Unión Europea ha establecido las pautas para mejorar la
Protección de las Infraestructuras Críticas, y el Nivel de Seguridad de las
TIC.
Para finalizar, cabe puntualizar que la Ciberdefensa no esta únicamen-

te desarrollada en Europa y Estados Unidos. Países como la India, China,
Australia, y otros muchos, están incluyendo entre sus prioridades este
“área de la seguridad y la defensa”, por lo que es de vital importancia
que los países de la Unión Europea en general, y España en particular,
incrementen sus esfuerzos en este ámbito con el fin de mejorar la segu-
ridad de sus ciudadanos frente a ataques terroristas, organizaciones cri-
minales y otras naciones hostiles.
43
Anexo A
Detalle de las actividades

de ciberdefensa
1. Francia
1.1. Contexto
Después de la aparición, hace ya más de treinta años, del primer
“Libro Blanco” para la seguridad en Francia, el primer ministro Edouard
Balladur nos comenta, en la propia carta introductoria del segundo Libro
Blanco, el porqué de su actualización: “Los acontecimientos sobrevenidos
desde la caída del muro de Berlín, la desaparición del Pacto de Varsovia, los
cambios acelerados en nuestro entorno europeo e internacional, los progre-
sos tecnológicos o la vida económica, me incitaron, con acuerdo del
Presidente de la República, a hacer la publicación de un nuevo Libro Blanco
una prioridad del gobierno”.
En cuanto a la seguridad de la información se refiere, el capítulo intro-
ductorio del “Plan Nacional para la Seguridad de la Información” argumen-
taba la necesidad de este tipo de medidas: “Desde hace varios años, los
informes anuales de los departamentos ministeriales sobre el estado de la
seguridad de los sistemas de información (SSI) dan parte sobre las dificul-
tades persistentes encontradas para mejorar la situación: competencias y
capacidades operacionales demasiado reducidas y aisladas, falta de sensi-
bilidad de los responsables a las propuestas, la insuficiencia de productos
de seguridad debidamente cualificadas combinada a posiciones monopolís-
ticas en segmentos importantes del mercado, la proliferación de intercone-
xiones de redes mal aseguradas, la reglamentación nacional difícilmente
aplicable, la dimensión europea mal coordinada. Si ciertas mejoras puntua-
les han sido comprobadas, los esfuerzos consumados, por muy meritorios
que sean, no se han llevado a cabo en la misma medida de la rápida evo-
lución de las tecnologías y las amenazas”.
Finalmente, en el capítulo introductorio del último Libro Blanco, del año
2008, se referencia a los sistemas de información en varios puntos:
• Menciona como fuente de inestabilidad los ataques que se producen
sobre los sistemas de información.
• Identifica como objetivos potenciales las infraestructuras vitales
para el funcionamiento de la economía, sociedad o instituciones, entre las
que incluye los sistemas de información,
• Identifica como nuevas vulnerabilidades para el territorio, y los ciu-
dadanos europeos, los ataques contra los sistemas de información.
1.2. Legislación, planes y estrategias

Francia ha desarrollado cierta legislación relativa a la ciberdefensa,
entre la que podemos destacar como ejemplo la siguiente:
• Directiva 4201/SG del 13 de abril de 1995 de Seguridad de los
Sistemas de Información.
• Decretos del 31 de julio de 2001 sobre la creación de la Dirección
Central de la Seguridad de los Sistemas de Información (DCSSI) y la
46
Anexo A
Comisión Interministerial para la Seguridad de los Sistemas de Información.

Por otro lado, en cuanto a planes y estrategias se refiere relativos a la
Seguridad Nacional, la República francesa ha publicado a lo largo de las últi-
mas tres décadas una serie de “libros blancos” y planes relacionados:
• Libro Blanco sobre la Defensa Nacional (“Livre Blanc sur la défense
nationale”) que abarca los años del 1972 al 1994. Primer “Libro Blanco” para
la defensa nacional publicado, cuya cobertura se extendió durante 22 años.
• Libro Blanco sobre la Defensa (“Livre Blanc sur la Défense”) del año
1994. Segundo “Libro Blanco” para la defensa, publicado como actualiza-
ción del anterior.
• Durante los últimos años, junto a los “libros blancos” Francia ha desarro-
llado un Plan de Mejora de la Seguridad de los Sistemas de Información del
Estado (Plan de Renforcement de la Sécurité des Systèmes d’ Information
de l’État, PRSSI), concebido para llevarse a cabo durante el periodo entre
el 2004 y el 2007.
• Defensa y Seguridad Nacional, El Libro Blanco (“Défense et Sécurité
Nationale, Le Livre Blanc”) del año 2008. Última actualización de la “saga”
de libros blancos sobre seguridad.
1.3. Organización y responsabilidades

La aplicación de la nueva estrategia de seguridad nacional y ciberde-
fensa definida en el último Libro Blanco del 2008, ha supuesto la reorgani-
zación de las responsabilidades, tanto a nivel de Seguridad Nacional, como
a nivel de Ciberdefensa. El organigrama que aplica tras la aprobación del
citado Libro Blanco es el siguiente:
Figura 9. Estructura del Consejo de Defensa y Seguridad Nacional.

• Consejo de la Defensa y de la Seguridad Nacional (CDSN):

Presidido por el Presidente de la República, sus competencias abarcarán
el conjunto de cuestiones relacionadas con la defensa y la seguridad
nacional. Será el encargado de extraer las consecuencias de la adopción
de una estrategia que hace de la seguridad nacional, el objetivo unifica-
dor y motor de la acción de los poderes públicos. Reúne, además del
Presidente de la República y del Primer Ministro, a los ministros de
Asuntos Exteriores, del Interior, de Defensa, de Economía y al ministro
de Presupuesto.
• Secretaría General de la Defensa y la Seguridad Nacional
(SGDSN): Dependiente del Primer Ministro, asumirá las atribuciones de
la actual Secretaría General de la Defensa Nacional (SGDN), antiguo
órgano responsable de la Ciberdefensa dentro del país, aumentadas en
el campo de la seguridad nacional.
• Agencia de la Seguridad de los Sistemas de Información: Creada
a partir de la actual Dirección Central de la Seguridad de los Sistemas de
Información (DCSSI), y cuya dependencia será de la SGDSN, constituirá
el instrumento de aplicación de una verdadera política de prevención y
reacción de defensa contra ataques informáticos. Se basará, en el ámbi-
to regional, en una red de expertos dentro de observatorios de la segu-
ridad de los sistemas de información.
1.4. Ciberdefensa
1.4.1. Defensa y Seguridad Nacional.

El Libro Blanco (2008)
Debido a su reciente divulgación, se prestará especial
atención dentro del estudio a este Libro Blanco centrando el análisis en
área de Ciberdefensa.
A diferencia de los Libros Blancos precedentes (1972 y 1994), que se
centraban únicamente en la defensa, el Libro Blanco de 2008 cubre a la
vez los campos de la defensa y la seguridad. Por otro lado, se instaura
un proceso de seguimiento de las orientaciones del Libro Blanco, a nivel
gubernamental. Dicho proceso incluye, con una periodicidad anual:
• Una actualización del mismo al Consejo de Defensa y Seguridad

nacional;
• Un intercambio de opiniones con los comités pertinentes del
Parlamento;
• Un seminario de reflexión y debate sobre la estrategia de seguri-
dad nacional.
La estrategia de seguridad nacional gira en torno a cinco funciones

claves que las Fuerzas de Defensa y Seguridad de Francia deben domi-
nar:
48
Anexo A
1. El conocimiento y la previsión
2. La prevención
3. La disuasión
4. La protección
5. La respuesta
Del conjunto de estas estrategias, las que se encuentran más íntima-

mente relacionadas con la Ciberdefensa se resumen a continuación:
A) El conocimiento y la previsión.
El fortalecimiento sistemático de los recursos de inteligencia estará
sujeto a una planificación general, la cual será ejecutada de acuerdo con
cuatro líneas:
• Necesidad de un esfuerzo a nivel de recursos humanos.
• Desarrollo de capacidades técnicas.
El Libro Blanco determina que se hace necesario un salto cuanti-
tativo y cualitativo en las capacidades técnicas, ya que los socios
de Francia han experimentado un fuerte crecimiento en este
aspecto, mientras que Francia lo ha hecho a una escala menor.
Por todo esto, las actuaciones de los servicios y unidades milita-
res serán mejoradas a nivel de Ciberdefensa reforzando los
medios estatales para la investigación de Internet.
• Articulación del Consejo Nacional de Inteligencia.
• Desarrollando un Marco Jurídico adaptado.
B) Protección.
La protección de la población y del territorio francés es otro de los
núcleos de la estrategia. El objetivo es proteger a la nación frente a cri-
sis de gran amplitud, aumentando la capacidad de resistencia.
Las principales medidas relativas a la protección de la población y el
territorio, relacionadas con la Ciberdefensa, son las de adquirir una capa-
cidad de defensa informática activa, en profundidad, combinando la pro-
tección intrínseca de los sistemas, la vigilancia permanente de redes sen-
sibles y la respuesta rápida en caso de ataque.
C) Respuesta.
Dentro de la función estratégica de respuesta, un punto muy impor-
tante es la lucha contra ataques a los sistemas TIC. Para responder a
esos ataques, Francia plantea el concepto de “Lucha Informática
Ofensiva” (LIO), partiendo del principio de que, para saber defenderse,
es necesario saber atacar. La estrategia determina que para poner en
práctica este concepto se hace necesario por tanto conocer las técnicas,
múltiples y variadas, de los ataques potenciales y así poder comprome-
ter al oponente en la misma fuente de la agresión, a través de modos de
actuación ofensivos. Es decir, Francia quiere responder a los ciberataques
49
atacando a su vez. Para poder lograr estos objetivos, se necesita disponer

de la capacidad de neutralización dentro de los mismos centros de opera-
ciones adversas: ése es el objetivo de la LIO. Las fuerzas de actuación de
Francia deben estar dispuestas a conducir y llevar a cabo este tipo de accio-
nes y por ese motivo, el Gobierno debe invertir en los siguientes ejes prin-
cipales:
• Definición, por el Estado Mayor, de un marco de uso que cubra espe-
cíficamente el conjunto de acciones relevantes de la lucha informática;
• El desarrollo de herramientas especializadas (laboratorios técni-
co-operativos, redes de ataque, etc.);
• La formulación de una doctrina de empleo de las capacidades de
LIO (planificación, realización y evaluación de las operaciones);
• Puesta en marcha de una formación adaptada y regularmente
actualizada, para personal identificado y recogido, bajo una lógica de
negocio, dentro de células de especialistas.
Este marco de respuesta a ciberataques deberá respetar principio de
proporcionalidad de la respuesta, dirigido principalmente a las capacida-
des operativas del adversario.
1.4.2. Plan de Mejora de la Seguridad de los

Sistemas de Información del Estado.
(2004-2007)
Anteriormente a la publicación del Libro Blanco del
2008 y sus reseñas generales de Ciberdefensa, en el año 2004 el gobierno
francés publicó el “Plan de Mejora de la Seguridad de los Sistemas de infor-
mación del Estado” que cubría el plazo existente entre el año 2004 y el
2007. El plan de mejora de la seguridad de la información proponía 4 obje-
tivos y 12 medidas, repartidas en 5 dominios, para cumplir los objetivos:
A) Cuatro objetivos
• Asegurar los medios de transmisión de las altas autoridades.
• Asegurar los sistemas de información de las administraciones.
• Establecer las capacidades operativas de respuesta a los ataques
informáticos previstos en los planes.
• Incluir la política francesa de seguridad de los sistemas de infor-
mación en el marco de la política francesa de seguridad dentro de
la Unión Europea.
B) Para alcanzar los objetivos anteriores, las medidas a tomar

se repartían en cinco dominios:
• Formación y competencias (4 medidas):
o F1: Desarrollar las competencias en seguridad de los sistemas
de información en las administraciones.
o F2: Realizar regularmente ejercicios conforme a los planes
sobre la seguridad de los sistemas de información.
50
Anexo A
o F3: Sensibilizar a los altos responsables.

o F4: Calificación de los prestadores privados en seguridad de
los sistemas de información.
• Organización (3 medidas):
o O1: Fortalecer la organización de la seguridad de los sistemas
de información en el seno de los ministerios y las institu-
ciones europeas.
o O2: Garantizar la operabilidad permanente en caso de aplicar
los planes Piranet y/o Vigipirate.
o O3: Mutualizar una serie de servicios de seguridad de los sis-
temas de información.
• Equipamiento (2 medidas):
o E1: Adquirir una serie de equipos prioritarios: asegurar las
nuevas herramientas de la administración electrónica;
actualizar los equipos existentes para mantener su opera-
bilidad en caso de crisis; adquirir o desarrollar herramien-
tas de diseño, seguridad y vigilancia de las redes.
o E2: Aumentar rápidamente el número de equipos acreditados
para la seguridad.
• “Tejido” industrial (2 medidas):
o I1: Garantizar la diversidad de aprovisionamiento en produc-
tos de seguridad.
o I2: Adaptar las capacidades de evaluación y certificación a las
necesidades.
• Marco jurídico (1 medida):
o J1: Adaptar la normativa al nuevo contexto.
La falta de capacidad en muchos ministerios y la dificultad de respon-

der con precisión a todas las preguntas llevó a proponer una solución en
dos etapas.
La primera de ellas, la de construir en tres años una base sólida para
responder a un primer nivel de objetivos. Sobre esta base, era posible
evaluar con mayor exactitud los recursos necesarios en la segunda fase,
a medio plazo, logrando una mejor seguridad y el desarrollo sostenible
de los sistemas de información del Estado.
Para conseguir el fortalecimiento en la seguridad de la información,
fundamentalmente de cara al terrorismo, Francia necesitaba orientar y
organizar correctamente los esfuerzos en I+D. Esta tarea se planteaba
hacerla en 3 partes:
• Observando y analizando las amenazas, basándose en la expe-
riencia de los oficiales antiterroristas.
• Promoviendo programas de investigación en las áreas tecnológi-
cas donde se prevé mayor desarrollo.
• Desarrollando la industria y la producción de equipamiento donde
las tecnologías de base estén maduras.
51
Aparte de la organización de esfuerzos, se identificaron los sectores

que requerían una atención especial:
• Amenazas CBRN (químicas, biológicas, radiológicas y nucleares):
capacidad para desmantelar armas nucleares, aumentar el número de
agentes químicos y biológicos que pueden detectar. Todo ello mediante
el desarrollo de sensores automáticos miniaturizados que puedan detec-
tar las amenazas rápidamente.
• Detección de explosivos: el objetivo era ser capaces de detectar
explosivos en áreas con muchas personas y/o vehículos sin interferir en
su libertad de desplazamiento.
• Monitorización de las telecomunicaciones: interceptar conversa-
ciones de voz y reconocer al hablante, el idioma que emplea y transcri-
bir la conversación automáticamente.
• Video-vigilancia: definir y adoptar estándares, reconocimiento de
cara, detección de movimientos y objetos abandonados, seguimiento de
individuos (tracking).
• Protección de sistemas de información y biométricos: financiar la
I+D para tener mejores sistemas de protección, emplear equipos testa-
dos y validados.
2. Estados Unidos
2.1. Contexto
Los ataques terroristas del 11 de Septiembre de 2001 marcaron un
antes y un después dentro del país en los aspectos relacionados con la
seguridad de la nación y de sus ciudadanos. Posteriormente a estos ata-
ques, el presidente George W. Bush puso en marcha una serie de planes y
estrategias que incluyeron desde aspectos legislativos, hasta la creación de
órganos y asignación de importantes fondos con el fin de incrementar la
seguridad del país.
Entre los hechos más destacables se pueden citar:
• 20 de Septiembre del 2001; se crea la “Oficina de Seguridad del
Territorio Nacional” (“Office of Homeland Security”, OHS)
• 29 de Octubre de 2001; se constituye el “Consejo de Seguridad del
Territorio Nacional” (“Homeland Security Council”, HSC) que es el sucesor
de la OHS.
• 25 de Noviembre del 2002; se establece el Departamento de
Seguridad del Territorio Nacional (“Department of Homeland Security”,
DHS).
• 12 de Marzo de 2002; se constituye el Sistema Consultivo de
Seguridad del Territorio Nacional (“Homeland Security Advisory System”)
basado en una escala de colores de riesgo de ataque terrorista.
Por otro lado, desde el punto de vista de la Ciberdefensa, los esfuer-
zos realizados por EE.UU. durante los últimos años se podría decir que
52
Anexo A
no son nuevos, ya que este país contaba previamente con dos siste-
mas, “Echelon” y “Carnivore”, que aprovechan las TIC dentro del ámbi-
to de la inteligencia y el espionaje:
• “Echelon” es un sistema bajo la administración de la Agencia de
Seguridad Nacional (“National Security Agency”, NSA), que conforma
una red de análisis e interceptación de comunicaciones electrónicas.
Está controlado por la alianza “UKUSA” que incluye a Estados Unidos,
Canadá, Gran Bretaña, Australia y Nueva Zelanda. El sistema puede
capturar comunicaciones por radio y satélite, llamadas de teléfono,
faxes y e-mails en casi todo el mundo e incluye análisis automático y
clasificación de las interceptaciones.
El propósito que había tras la construcción de este sistema, era el de
controlar las comunicaciones militares y diplomáticas de la Unión
Soviética y sus aliados, aunque se sospecha que en la actualidad es uti-
lizado también para encontrar pistas sobre tramas terroristas, planes
del narcotráfico e inteligencia política y diplomática. Sus críticos afir-
man que el sistema es utilizado también para el espionaje económico y
la invasión de privacidad en gran escala.
La existencia de “Echelon” fue publicada ya en 1976.
• “Carnivore” es el nombre de un software usado por el FBI que tiene
un fin similar al de “Echelon”, pero un funcionamiento diferente. Este soft-
ware se instala en los proveedores de acceso a Internet y, tras una petición
proveniente de una instancia judicial, rastrea todo lo que un usuario hace
durante su conexión a Internet. En teoría, tiene capacidad para discernir
comunicaciones legales de ilegales pero el cómo realiza este análisis, y cuál
es su infraestructura y alcance real, es algo que permanece clasificado.

En cuanto a la normativa y legislación se refiere, relativa a la Seguridad
Nacional y la Ciberdefensa, destaca sobre el resto la siguiente (varias de
ellas relacionadas con la creación de los diferentes organismos):
• La Directiva Presidencial de Seguridad del Territorio Nacional (“Ho-
meland Security Presidencial Directive 1”, HSPD-1), del 29 de octubre de
2001 y que supuso la creación del HSC.
• La Ley de Seguridad del Territorio Nacional (“Homeland Security
Act of 2002”) que supuso la creación del DHS.
• Como base para todo lo relacionado con la Protección de Infra-
estructuras Críticas, la legislación más destacable es:
o La “Critical Infrastructure Information (CII) Act of 2002”, en la
que se especifica qué tipo de información es clasificada como CII:
“aquella información sensible sobre infraestructuras críticas (criti-

cal infrastructures, CI) o bienes fundamentales (key resources,
KR) cuyo conocimiento por partes no autorizadas podría poner en
peligro la seguridad y el buen funcionamiento de la Nación”.
53
o La directiva “Critical Infrastructure Identification, Priorization,

and Protection”, HSPD-7, de diciembre de 2003 sobre la identificación y
protección de infraestructuras críticas.
o La “PCII Program Final Rule” de septiembre de 2006, para el
desarrollo de procedimientos de protección de la información de infraes-
tructuras críticas.
• La Directiva “National Cyber Security Initiative”, HSPD-23, de
enero de 2008 relacionada con la Ciberseguridad.
Por otro lado, las políticas y estrategias relacionadas con la Ciber-

defensa más destacables son las que se enumeran a continuación:
• Desarrollo de la “Estrategia para la Seguridad del Territorio

Nacional” (“National Strategy for Homeland Security”) del año 2002.
• Desarrollo de la “Estrategia Nacional para la Seguridad del
Ciberespacio” (“Nacional Strategy to Secure Cyberspace”) publicada en
febrero de 2003, como complemento de la estrategia del párrafo anterior.
• Relacionada con la protección física de las infraestructuras críticas y
los bienes fundamentales, se desarrolló la “Estrategia Nacional para la
Protección Física de las Infraestructuras Críticas y los Activos Claves”
(“National Strategy for the Physical Protection of Critical Infrastructure and
Key Assets”), también durante el 2003, así como un programa encargado
de clasificar y proteger la información relativa a infraestructuras críticas
denominado “Protección de la Información de Infraestructuras Críticas“
(“Protected Critical Infrastructure Information, PCII”).
• Desarrollo del Plan de Protección de Infraestructuras Nacionales
(“National Infrastructure Protection Plan, NIPP”) en el año 2006.
• Actualización de la “Estrategia para la Seguridad del Territorio
Nacional” (“National Strategy for Homeland Security”) en el año 2007.
• La ejecución de Ejercicios periódicos de Ciberseguridad (“Cyber
Storm I” en febrero de 2006 y “Cyber Storm II” en marzo de 2008).
• La ejecución de Seminarios periódicos sobre Concienciación en la
Ciberseguridad (todos los meses de Octubre con una periodicidad anual).

2.3.1. Área Civil
Los esfuerzos realizados en Ciberdefensa dentro de EE.UU.
son llevados a cabo principalmente por el DHS, entre cuyas responsabi-
lidades están las siguientes:
• Desarrollar un plan integral para asegurar los recursos clave y las
infraestructuras críticas de los Estados Unidos, incluyendo las TIC y los
bienes tecnológicos y físicos en los que se apoyan;
• Proporcionar gestión de las crisis, en respuesta a los ataques que
puedan sufrir los sistemas críticos de información;
54
Anexo A
• Proporcionar asistencia técnica al sector privado y otras entidades

gubernamentales, con respecto a los planes de recuperación de emer-
gencia para fallos en los sistemas de información críticos.
• Coordinarse con otras agencias del gobierno federal para:
o Proveer información específica de alarma y consejo sobre las
medidas de protección adecuadas y las contramedidas a adoptar por las
organizaciones estatales, locales y no gubernamentales incluyendo al
sector privado, académico, etc.
o Llevar a cabo y financiar la investigación y desarrollo, junto con
otras agencias, lo que llevará a nuevos conocimientos científicos y tec-
nologías en apoyo a la seguridad nacional.
Dentro del DHS las responsabilidades en Ciberdefensa han sido asigna-
das más concretamente a la “División de Ciberseguridad Nacional” de la
“Junta Directiva para la Seguridad Nacional y Programas”. El siguiente dia-
grama muestra la dependencia funcional de la Junta dentro del
Departamento:
Figura 10. Organigrama del DHS. Fuente: Documento consultado nº [1]
• La Junta Directiva para la Seguridad Nacional y Programas tiene

el objetivo principal de potenciar el trabajo del DHS de reducción de rie-
gos.
o La División de Ciberseguridad Nacional (“National Cyber Security
Division, NCSD”), trabaja en colaboración con entidades públicas, privadas
e internacionales para asegurar el ciberespacio y los ciberrecursos de los
Estados Unidos.
55
Para proteger las infraestructuras de información, la NCSD ha identifi-

cado dos objetivos:
construir y mantener un sistema nacional efectivo de res-
puesta para el ciberespacio y,
en segundo lugar, implementar un programa de gestión de
ciberriesgos para proteger las infraestructuras críticas.
• El Centro de Ciberseguridad Nacional (NCSC) es una oficina de
nueva formación (el primer director ha sido nombrado a finales de marzo
de 2008) dentro del DHS, basándose en los requerimientos de la
Directiva Presidencial HSPD-23 “National Cyber Security Initiative”
(enero de 2008). Actualmente el DHS aun no ha publicado su misión,
áreas a su cargo, etc.
• Junto a las áreas descritas con anterioridad, es importante pun-
tualizar que el Servicio Secreto, a parte de proteger al Presidente y a
otros altos cargos, investigar las falsificaciones y otros crímenes finan-
cieros, se encarga también de investigar los ciberataques ejecutados a
las infraestructuras financieras, bancarias y de telecomunicaciones.
2.3.2. Área Militar

En el ámbito del DoD, existen diversos grupos y organiza-
ciones relacionados con la Ciberdefensa que son, principalmente, los
siguientes:
• Cibermando de la Fuerza Aérea (“Air Force Cyber Command”).
• Estructura de Mando Conjunta para la Ciberguerra (“Joint Com-
mand Structure for Cyberwarfare”).
• Mando de Operaciones de Ciberdefensa Naval (“Navy Cyber De-
fence Operations Command”).
• Centro de Cibercrimen del Departamento de Defensa (“DoD Cyber
Crime Center”).
2.3.2.1. Cibermando de la Fuerza Aérea. Duran-

te 2007, a la Fuerza Aérea Norteamericana se le asigno la misión de “volar
y luchar en el aire, el espacio y el ciberespacio”. Esto significa que las accio-
nes militares en el ciberespacio incluyen la defensa contra la actividad mali-
ciosa en Internet y en cualquier parte de la totalidad del espectro electro-
magnético (radio, microondas, infrarrojos, rayos-x, etc.), donde la seguri-
dad nacional esté amenazada.
El Secretario de la Fuerza Aérea, Michael W. Wynne, declaró que la
ciberguerra fluye de manera natural por las misiones tradicionales de las
Fuerzas Aéreas, como descargar datos desde plataformas espaciales, y
que las capacidades de EE.UU. debían ser expandidas para capacitar la
anulación de las redes electrónicas del enemigo. La sección “8th Air
Force” dentro de la Fuerza Aérea, fue designada como el cibermando
operacional responsable de organizar, entrenar y equipar a la citada
Fuerza para las operaciones en el ciberespacio.
56
Anexo A
Del conjunto de actividades asignadas, gran parte de ellas recaen en

la responsabilidad sobre la Seguridad del Territorio Nacional, incluyendo
la protección de los sistemas de telecomunicaciones, servicios básicos y
transporte.
Cabe destacar que esta organización se encuentra aún en fase de
construcción y que en el tercer trimestre del 2008 se ha suspendido, al
menos de manera temporal, la creación de este cibermando; según la
Fuerza Aérea para evaluar requerimientos y sincronizar el programa con
otras iniciativas de las citadas Fuerzas.
2.3.2.2. Estructura de mando conjunta para la

ciberguerra. Actualmente, el Mando Estratégico de los EE.UU. (“U.S.
Strategic Command, USSTRATCOM”) tiene la responsabilidad de las
“Operaciones de Redes de Ordenadores”, es decir coordina las operaciones
defensivas y ofensivas de las TIC del Departamento de Defensa. Por deba-
jo del USSTRATCOM, hay varios Mandos Funcionales Conjuntos (“Joint
Functional Component Commands, JFCCs”):
• Integración del Ataque Global y del Espacio (“Space and global

strike integration”).
• Inteligencia, Vigilancia y Reconocimiento (“Intelligence, survei-
llance and reconnaissance”).
• Guerra de Redes (“Network warfare”).
• Defensa Integrada de Misiles (“Integrated missile defense”).
• Combate de las Armas de Destrucción Masiva (“Combating wea-
pons of mass destruction”).
Del conjunto de estos Mandos, el “JFCC-Network Warfare (JFCC-NW)”,

y el “JFCC-Space & Global Strike (JFCC-SGS)” tienen la responsabilidad
de la Ciberseguridad dentro del DoD. Por otro lado, bajo el JFCC-NW
están el “Joint Task Force-Global Network Operations (JTF-GNO)” y el
“Joint information Operations Warfare Center (JIOWC)”, ambos con res-
ponsabilidad directa en la defensa contra Ciberataques.
El JTF-GNO defiende la Red de Información Global del DoD (“DOD
Global Information Grid”), mientras que el JIOWC asiste a los Comandos
de Combate con un acercamiento integrado a las “Operaciones de
Información” .
2.3.2.3. Mando de operaciones de ciberdefen-

sa naval. El objetivo de este Mando es coordinar, monitorizar y supervi-
sar la seguridad de las TIC de la Armada, además de ser responsable de
las misiones de Operaciones de Redes de Ordenadores (“Computer
Network Operations”) asignadas por el Comandante, el “Naval Network
Warfare Command and Commander” o la “Joint Task Force - Global Net-
work Operations (JTF-GNO)”.
57
2.3.2.4. Centro de cibercrimen del Departa-

mento de Defensa. El Centro de Cibercrimen del DoD (DoD Cyber
Crime Centre, DC3) establece los estándares para:
• el procesamiento de evidencias digitales.
• el análisis y diagnóstico de cualquier investigación del DoD
requiera soporte de análisis forense (informático) para detectar,
mejorar o recuperar evidencias digitales, incluidas el audio y el video.
Por otro lado, el Centro da asistencia en investigaciones criminales, de
contrainteligencia, de contraterrorismo y de fraude, dentro de las
Organizaciones de Investigación Criminal de Defensa y las actividades de
contrainteligencia del DoD.
Finalmente, también proporciona formación en investigación informá-
tica a examinadores, investigadores, administradores de sistemas y
otros miembros del DoD, que deben velar por la seguridad de las TIC de
Defensa desde el punto de vista de acceso, actividades criminales-frau-
dulentas y de explotación de los servicios de inteligencia extranjeros.
2.4. Ciberdefensa
EE.UU. ha desarrollado diversos planes y capacidades relacionadas
con la ciberdefensa tanto en el ámbito civil, como en el ámbito militar.
Los siguientes epígrafes detallan los esfuerzos llevados a cabo en cada
uno de los citados ámbitos.
2.4.1. Estrategia para la seguridad

del territorio nacional
EE.UU. dispone de tres estrategias relacionadas con
la seguridad nacional que son las siguientes:
• Estrategia de Seguridad Nacional (“National Security Strategy”)
del año 2002, actualizada en el 2006.
• Estrategia Nacional para Combatir el Terrorismo (“National Stra-
tegy for Combating Terrorism”) del año 2006.
• Estrategia para la Seguridad del Territorio Nacional (“National
Strategy for Homeland Security”) del año 2002 y actualizada en el 2007.
Del conjunto de estrategias, destaca por sus referencias a la Ciber-
defensa la “Estrategia para la Seguridad del Territorio Nacional”, que es
complementaria a las otras dos, y cuyo propósito es movilizar y organi-
zar a la nación para asegurarla frente a los ataques terroristas.
En la “Estrategia para la Seguridad del Territorio Nacional”, en su últi-
ma actualización (2007), se reconoce la necesidad de gestionar cualquier
evento de tipo catastrófico, desastres naturales o causados por el hom-
bre, por las implicaciones que tiene para la seguridad del territorio nacio-
nal. El documento proporciona orientación a los departamentos federa-
les y agencias que tienen algún rol dentro de la seguridad nacional, y
ofrece sugerencias para los departamentos locales y organizaciones pri-
vadas de cara a mejorar la seguridad.
58
Anexo A
En resumen, la Estrategia establece un sustrato para organizar los es-

fuerzos de la nación y priorizar el trabajo a realizar, y para ello en el
documento se describen los Objetivos Estratégicos, las Amenazas y Vul-
nerabilidades y las Áreas Críticas de Actuación.
2.4.1.1. Objetivos estratégicos. La Estrategia iden-

tifica tres objetivos ordenados de mayor a menor prioridad que son:
• Prevenir los ataques terroristas en la nación.
• Reducir la vulnerabilidad de la nación al terrorismo.
• Minimizar el daño y la recuperación posteriormente a cualquier
ataque.
2.4.1.2. Amenazas y vulnerabilidades. La Es-

trategia determina dos aspectos de vital importancia en la forma de
actuar de los terroristas, y que dan pie a las necesidades de protección
definidas en el documento:
1-. Los terroristas eligen sus objetivos deliberadamente basándose
en la debilidad que observan, así como el nivel de seguridad y prepara-
ción existente.
2-. Los terroristas, aunque continúan empleando medios de ataque
tradicional, poseen cada vez más experiencia y conocimiento en otros
medios de ataque como son los ciberataques.
2.4.1.3. Áreas críticas de actuación. La Estra-

tegia focaliza y alinea las funciones de seguridad nacional en seis áreas
críticas de actuación que son las siguientes:
• Inteligencia y Advertencia.
• Seguridad de las Fronteras y Transportes.
• Contraterrorismo Interior.
• Protección de Infraestructuras Críticas y Activos Clave (entre las
mayores iniciativas identificadas en este área está la de “Asegurar
el Ciberespacio”).
• Defensa contra Amenazas Catastróficas.
• Preparación y Respuesta ante Emergencias.
2.4.2. Plan de protección de infraestructuras

nacionales
Como respuesta a la directiva HSPD-7, el DHS y sus
socios desarrollaron el Plan Nacional de Protección de Infraestructuras
(“National Infrastructure Protection Plan”, NIPP), que junto a los Planes
complementarios Específicos por Sector, proporcionan una estructura
consistente y unificada para integrar los esfuerzos de protección actua-
les y futuros relativos a las infraestructuras nacionales.
Revisando el contenido del NIPP, se identifica que en este plan se
reconoce que la economía y la seguridad nacional de los EE.UU. son alta-
59
mente dependientes de las TIC porque estas posibilitan el funcionamien-

to de servicios esenciales de la nación. Por otro lado, la proliferación de
las TIC aunque mejora la productividad y la eficiencia también incremen-
ta el riesgo de ciberataques contra la nación, si la ciberseguridad no es
abordada e integrada de forma apropiada.
Para poder abordar los ciberriesgos, el NIPP incluye las “responsabili-
dades del sector de las Tecnologías de Información (TI)”, entre la lista de
infraestructuras críticas se encuentra el sector de las TI, así como un
apartado relativo a la “Ciberseguridad Cruzada entre los Sectores”.
2.4.2.1. ¿TI ó TIC?. Inicialmente, cualquier per-

sona se podría preguntar por qué el NIPP focaliza la gestión de los cibe-
rriesgos en el Sector de las TI y no incluye también al Sector de las
Comunicaciones. La respuesta a esta pregunta se puede obtener revisan-
do las funciones críticas que han sido asignadas al sector de las TI:
• Proporcionar Productos TI y Servicios.
• Proporcionar Capacidades de Gestión de Incidentes.
• Proporcionar Servicios de Resolución de Nombres de Dominio
(Domain Name Resolution, DNS).
• Proporcionar Gestión de Identidades y Servicios de Confianza
asociados.
• Proporcionar Servicios de Comunicación, Información y Contenido
Basados en Internet.
• Proporcionar Servicios de Conexión, Acceso y Enrutamiento en
Internet.
Por otro lado, el Sector de las Comunicaciones lo conforman aquellas
organizaciones relacionadas con la provisión, uso, protección o regula-
ción de las redes de comunicaciones y servicios. Este sector estaría divi-
dido en cinco industrias:
• Línea Cableada (Redes PSTN principalmente y de las empresas).
• Líneas Inalámbricas.
• Satélites.
• Cable (red cableada de televisión, Internet y servicios de voz y
que está conectada a la PSTN).
• Multidifusión (radio, televisión, etc.).
Revisando las características de ambos sectores parece que el Sector
de las Comunicaciones, según la categorización realizada dentro de
EE.UU., sería el sector que proporciona la infraestructura (Ej. La red físi-
ca PSTN la ofrecería el Sector de las Comunicaciones, y los servicios de
Internet, el Sector de las TI).
Después de esta puntualización, podría concluirse que ciertas empre-
sas del sector que cotidianamente se denomina de las “telecomunicacio-
nes” podría incluirse dentro de los dos sectores (TI y Comunicaciones)
por lo que este tipo de empresas focalizarían los planes definidos para
ambos sectores.
60
Anexo A
2.4.2.2. Mejora de la seguridad en el sector de

las TI. El Plan Específico del Sector de las TI es un documento de plani-
ficación y políticas que proporciona una guía de cómo los “actores” del
sector público, y privado, trabajarán entre ellos para proteger el citado
sector.
Para tener éxito en los esfuerzos de protección de las infraestructuras
críticas, una sociedad integrada y efectiva de los sectores público y pri-
vado es esencial, por lo que aquellas organizaciones relacionadas con la
seguridad, son estimuladas a participar en la planificación, iniciativas,
organizaciones y mecanismos de información que se describen a conti-
nuación para soportar una protección efectiva de las infraestructuras crí-
ticas:
• Consejo de Coordinación del Sector de TI (IT SCC)
Proporciona un marco para los propietarios de infraestructuras del
Sector privado de las TI, los operadores y las asociaciones de soporte
para “engranarse” con el DHS y el IT GCC.
• Consejo de Coordinación Gubernamental del Sector
de las TI (IT GCC)
Proporciona un Foro para la asociación, coordinación y comunica-
ción con el DHS, la División de Ciberseguridad y otros departamentos
federales y agencias con un rol en la protección del Sector de las TI.
• Centro de Análisis y Compartición de la Información de TI
Proporciona capacidades tácticas y operacionales para compartir
información y soportar las actividades de respuesta de incidentes.
• US-CERT
Coordina la defensa y la respuesta ante los ciberataques a lo largo
de la nación, y opera como aglutinador para la compartición de informa-
ción entre las organizaciones federales, estatales y locales.
2.4.2.3. Ciberseguridad cruzada entre los sec-

tores. La “ciberseguridad cruzada” entre sectores es un esfuerzo colabo-
rativo entre la División de Ciberseguridad Nacional, Agencias Especificas
del Sector y otras organizaciones de seguridad para mejorar la ciberde-
fensa de las infraestructuras críticas, facilitando actividades de reducción
de los riesgos. La citada División proporciona guías a todos los sectores
para la mitigación de riesgos y el desarrollo de unas medidas de protec-
ción apropiadas y efectivas.
Además de los esfuerzos de todas las agencias, en el plan se puntua-
liza que la ciberseguridad concierne a todos los individuos debido a la
dependencia de éstos de las TIC, incluida Internet. Todo el mundo juega
un papel significativo en la gestión de la seguridad de sus ordenadores
personales y en la prevención de ataques contra las infraestructuras crí-
ticas (la mayoría de los ataques masivos por Internet se llevan a cabo a
través de miles, e incluso millones de ordenadores, de usuarios que han
sido infectados y son controlados por el atacante), por lo cual el DHS rea-
61
liza esfuerzos de concienciación publica en ciberseguridad, con el fin de

reducir el riesgo global.
El DHS trabaja de forma colaborativa con otras entidades públicas,
privadas, académicas e incluso internacionales para incrementar el nivel
de concienciación y asegurar que los ciberelementos de las infraestruc-
turas públicas son:
• Lo suficientemente robustos para resistir ataques sin que éstos
causen un daño catastrófico.
• Lo suficientemente activos para recuperarse de los ataques de
forma oportuna.
• Lo suficientemente resistentes para sostener las operaciones
críticas de la nación.
2.4.3. Estrategia Nacional para la seguridad

del ciberespacio
Aparte de los aspectos de ciberdefensa reflejados
dentro de la “Estrategia para la Seguridad del Territorio Nacional” y el
“Plan de Protección de Infraestructuras Nacionales”, EE.UU. ha desarro-
llado un documento específico de Ciberdefensa, denominado “Estrategia
Nacional para la Seguridad del Ciberespacio” (“National Strategy to
Secure Cyberspace”) que fija las cinco prioridades nacionales en esta
materia:
• Prioridad I: Sistema de Respuesta de la Seguridad del

Ciberespacio Nacional;
• Prioridad II: Programa de Reducción de las Amenazas y
Vulnerabilidades para la Seguridad del Ciberespacio Nacional;
• Prioridad III: Programa de Formación y Concienciación de la
Seguridad del Ciberespacio Nacional;
• Prioridad IV: Asegurar el Ciberespacio Gubernamental; y
• Prioridad V: Cooperación entre la Seguridad Nacional y la
Seguridad del Ciberespacio Internacional.
La primera prioridad se centra en mejorar la respuesta a ciberinciden-

tes y en reducir el daño potencial de dichos sucesos. La segunda, ter-
cera y cuarta prioridades tratan de reducir las amenazas de las vulne-
rabilidades a ciberataques. La quinta prioridad intenta prevenir cibera-
taques que puedan dañar los bienes o recursos esenciales para la segu-
ridad nacional y mejorar el tratamiento internacional para dichos ata-
ques.
El punto más importante es la fijada como Prioridad I, y por tanto el
primer campo de actuación es la creación de un Sistema Respuesta de la
Seguridad del Ciberespacio. Para mitigar el daño causado por un cibera-
taque, la información sobre el mismo debe diseminarse amplia y rápida-
mente, de esta forma las numerosas capacidades de análisis y respues-
62
Anexo A
ta que existen en múltiples organizaciones pueden ser coordinadas para

determinar la mejor manera de defenderse frente al ataque.
El Sistema de Respuesta de la Seguridad del Ciberespacio tiene que
operar de una forma menos formal que un sistema plenamente guberna-
mental, dado que la mayor parte del ciberespacio no pertenece ni es ges-
tionada por un único grupo (público o privado), sino que se basa en una
red colaborativa de organizaciones gubernamentales y no gubernamen-
tales.
Como responsable del desarrollo del sistema de respuesta, el DHS
está encargado de:
• Proporcionar apoyo en la gestión de crisis para responder a las

amenazas o ataques a los sistemas de información críticos; y
• Coordinarse con otras agencias del gobierno federal para propor-
cionar información específica de alerta y consejo a las autoridades esta-
tales y locales, al sector privado y al público en general.
La legislación que autoriza al DHS a crear el Sistema de Respuesta de

Seguridad del Ciberespacio Nacional, también establece la figura de un
“delegado de privacidad”, encargado de garantizar que cualquier meca-
nismo del Sistema de Respuesta cumpla con su misión respetando la
libertad civil y la privacidad. Esta figura, consulta periódicamente a abo-
gados, expertos de la industria y al público en general, para tener diferen-
tes opiniones en temas de privacidad, de manera que se adopten solucio-
nes que protejan este derecho a la vez que mejoran la seguridad.
Por parte del Gobierno, el desarrollo del Sistema de Respuesta no
requiere de un costoso programa federal, dado que la aportación al mismo
viene por parte de numerosas agencias gubernamentales. La sinergia que
resulta de la integración de los recursos de todas ellas, ayudará a construir
la base para el citado Sistema.
La Estrategia determina que las redes del sector privado (más extensas
que las del sector público) deben ser las primeras en detectar posibles ata-
ques que repercutan en la Nación. Por esto, los ISACs (Information Sharing
and Analysis Centers) tienen una creciente importancia en el Sistema de
Respuesta, ya que tienen una visión privilegiada de su propia industria, y
proporcionan el análisis necesario para apoyar los esfuerzos nacionales.
Un ISAC es, típicamente, un mecanismo de un sector industrial
encargado de reunir, analizar y transmitir (tanto a los mismos miembros
del sector, como a las autoridades) información de seguridad específica
de ese sector, además de articular y promulgar mejores prácticas. Los
ISAC son designados por los distintos sectores para cumplir sus necesi-
dades, y financiados por sus propios Socios, mientras que el DHS traba-
ja junto a ellos para asegurar que la información de amenazas se reci-
be con la suficiente antelación para planificar los esfuerzos de contin-
gencia.
63
Las etapas que se siguen en el Sistema de Respuesta son las mostra-

das en la siguiente figura:
Figura 11. Sistema de respuesta de la Seguridad del Ciberespacio.

1. Análisis: Proporciona los medios necesarios para desarrollar aná-

lisis estratégicos y tácticos de ciberataques y evaluaciones de vulnerabi-
lidades.
El análisis táctico examina los factores asociados con incidentes bajo
investigación o con vulnerabilidades específicas e identificadas para ge-
nerar indicaciones y alertas.
El análisis estratégico va más allá de los incidentes específicos y con-
sidera conjuntos más amplios de incidentes que podrían suponer amena-
zas, de potencial importancia, a nivel nacional.
Las evaluaciones de vulnerabilidades son revisiones detalladas de
cibersistemas y sus componentes físicos, para identificar y estudiar sus
debilidades. Estas evaluaciones son una parte integral del ciclo de inteli-
gencia de la seguridad del ciberespacio y permiten predecir las conse-
cuencias de posibles ciberataques. El DHS promueve el desarrollo de
fuertes capacidades de análisis en estas áreas.
2. Alerta: Dentro de la etapa de alerta, se consideran dos aspectos

fundamentales.
En primer lugar, el DHS fomenta, dentro del sector privado, el desarro-
llo de la capacidad de compartir una visión resumida de la salud del cibe-
respacio. Motivado por ello, el DHS creará un punto de contacto para la
interacción del gobierno federal y otros socios, para todo lo referente a
64
Anexo A
funciones que se presten constantemente, como el análisis, la alerta, el

compartir la información, la respuesta a incidentes graves y los esfuer-
zos de recuperación a nivel nacional. Además, se anima al sector priva-
do a coordinar sus actividades a fin de que pueda proporcionar la visión
sinóptica deseada de la salud del ciberespacio.
En segundo lugar, dentro de esta etapa de alerta, tiene importancia la
expansión la red de información y ciberalertas (Cyber Warning and Infor-
mation Network, CWIN) para apoyar el papel del DHS como coordinador
de la gestión de crisis del ciberespacio. La CWIN proporciona una red
(para voz y datos) fuera de banda (out-of-band) privada y segura, para
la comunicación entre el Gobierno y la industria, con el propósito de com-
partir información de alerta.
3. Gestión de Incidentes Nacionales: La gestión de incidentes

por parte del Gobierno requiere coordinación con aquellas organizaciones
que mantengan responsabilidades que no se hayan transferido al DHS
(otros ministerios, oficinas de la Casa Blanca, etc.). Además, la gestión
de incidentes integrará oficiales de información estatales y entidades
internacionales, cuando sea apropiado.
4. Respuesta y Recuperación: Crear procesos para coordinar el

desarrollo voluntario de planes de contingencia y continuidad público-pri-
vados y probar los planes de continuidad en los cibersistemas federales.
Para el buen funcionamiento del Sistema de Respuesta, es fundamen-

tal que la información relativa a amenazas, riesgos y vulnerabilidades
sea compartida entre el sector privado y el público. Por este motivo el
DHS trata de:
• Mejorar y aumentar los procesos y los medios por los cuales la
información relativa a ciberataques, amenazas y vulnerabilidades se
comparte con el resto de agentes. La legislación debe animar a las
empresas a compartir con el DHS la información de ciberseguridad, con
la garantía de que dicha información no será revelada de tal forma que
pueda dañar a la compañía. Esa misma legislación, establece que el DHS
debe compartir la información y los análisis que realice con el sector pri-
vado, a fin de proteger la información clasificada y de seguridad nacio-
nal. El DHS establece los procedimientos para la recepción, cuidado y
almacenamiento por parte de las agencias federales, de la información
de infraestructuras claves que se le remita voluntariamente;
• Animar a que la información de ciberseguridad se comparta más.
Se anima a las universidades a que establezcan uno o más ISAC para tra-
tar los ciberataques y las vulnerabilidades. Aparte de la Prioridad I esta-
blecida como principal, el gobierno estadounidense está trabajando en la
consecución de las Prioridades II, III y IV a través de los siguientes pro-
gramas:
65
o Series de Ejercicios Cibertormenta (“Cyber Storm”):
Estos ejercicios bienales de ciberseguridad, dirigidos por el DHS,

proveen un marco de actuación a gran escala que ayuda a evaluar las
amenazas para la ciberseguridad. Estos ejercicios obligan a los partici-
pantes a:
Examinar las capacidades de las organizaciones para pre-
pararse, protegerse y responder a los efectos potenciales de los cibera-
taques;
Ejercitar la toma de decisiones estratégicas y la coordina-
ción entre las agencias de respuestas de incidentes de acuerdo a los pro-
cedimientos y políticas de nivel nacional;
Validar las relaciones de intercambio de información y los
caminos de comunicación para recolectar y diseminar la información
relativa a la concienciación sobre la situación del ciberincidente, la res-
puesta al mismo y la recuperación.
Examinar las formas y procesos a través de los cuales se
comparte información sensible entre diversos sectores y ámbitos, sin
comprometer los intereses de seguridad nacionales o privados.
o Sesiones de Concienciación en la Ciberseguridad, para sensibili-

zar que la seguridad es responsabilidad de todo el mundo que utiliza las
redes de comunicaciones.
2.4.3.1. Programa Einstein. Como parte de los

esfuerzos específicos para la seguridad del Ciberespacio, cabe destacar
el desarrollo del programa denominado “Einstein”, que es un proceso
automatizado de recolección, correlación, análisis y compartición de
información de seguridad informática, a través de diversos organismos
federales.
Recogiendo información de las agencias gubernamentales federales
que participan, el US-CERT construye y mejora el conocimiento sobre la
ciberseguridad de Estados Unidos. Este conocimiento facilita la identifi-
cación y respuesta frente a ciberataques y otras amenazas, mejora la
seguridad de las redes, incrementa la resistencia de los servicios electró-
nicos críticos que ofrece el gobierno americano y mejorando la supervi-
vencia de Internet.
La versión actualizada, Einstein 2, incorporará tecnología de detección
de intrusos capaz de alertar al US-CERT de la presencia de actividad
maliciosa en las redes de ordenadores de las agencias federales. Einstein
2 confía en las capacidades de detección de intrusos que existen comer-
cialmente, para incrementar el conocimiento que posee el US-CERT. Esta
tecnología de detección de intrusos utiliza un conjunto de patrones pre-
definidos de tráfico malicioso y no está basada en información de identi-
ficación personal.
66
Anexo A
2.4.4. Estrategia de Defensa Nacional

La Estrategia de Defensa Nacional (“National De-
fence Strategy”) publicada inicialmente en el año 2005 y actualizada en
el año 2008, sirve como piedra angular del Departamento de Defensa de
EE.UU. (DoD) para definir sus esfuerzos a largo plazo. Esboza cómo so-
porta el DoD los objetivos de la Estrategia de Seguridad Nacional (“Na-
tional Security Strategy”), para lo que define sus propios objetivos, la
forma de conseguirlos y los riesgos existentes para la implementación de
la estrategia.
2.4.4.1. Objetivos. El Departamento de Defensa

fija cinco objetivos para la protección de los ciudadanos de su país:
• Defender el Territorio Nacional.

• Ganar la Guerra al Extremismo Violento.
• Fomentar la Seguridad.
• Impedir o Disuadir Conflictos.
• Vencer en las Guerras que Emprenda la Nación.
Del total de objetivos, dos de ellos destacan por su vinculación con los
esfuerzos realizados en el área de Ciberdefensa:
• En la “Defensa del Territorio Nacional” define los ataques al

Ciberespacio como una amenaza (por parte de otras naciones,
terroristas etc.) para la Nación.
• En el objetivo de “Impedir o Disuadir Conflictos”, la Estrategia
determina que, entre otros medios, los “enemigos” pueden hacer
uso de la Guerra Electrónica y la Ciberguerra.
2.4.4.2. Riesgos. La Estrategia determina que

existen una serie de riesgos de cara a su implementación, que agrupa en
los siguientes conjuntos:
• Riesgos Operacionales.
• Riesgos de los Desafíos Futuros.
• Riesgos en la Gestión de la Fuerza.
• Riesgos Institucionales.
Del conjunto de riesgos, la Estrategia dictamina, dentro de los

“Desafíos Futuros”, que el uso del Ciberespacio dentro del “campo de
batalla”, si bien supone una ventaja competitiva, también introduce ame-
nazas que no existían con anterioridad. Un ejemplo son las tecnologías
para la Ciberguerra que China está desarrollando, para neutralizar las
ventajas tradicionales que ha tenido el Departamento de Defensa de los
EE.UU.
67
2.4.5. Capacidades en ciberdefensa del

Departamento de Defensa
Como se ha podido observar en la Estrategia de
Defensa Nacional, aspectos como la protección y uso del Ciberespacio y
la Ciberguerra forman parte del entorno de la guerra actual y futura por
lo que el DoD ya está llevando a cabo esfuerzos en el área de Ciber-
defensa que se verán incrementados durante los próximos años.
El DoD ha incluido la Ciberdefensa y la Ciberguerra dentro del concep-
to más amplio de “Guerra de la Información” que en la actualidad deno-
minan “Operaciones de Información” (“Information Operations, IO”). El
valor de la información para el DoD es muy alto, y se ve incrementado
por las TIC que capacitan al entorno militar a:
• Crear un alto nivel de conocimiento compartido.
• Mejorar la sincronización de la inteligencia, el mando y el control.
• Trasladar la superioridad informativa en “potencia de combate”.
Las IO, para el DoD, son acciones llevadas a cabo durante tiempo de
crisis o conflicto que afectan a la información del adversario, mientras
defienden los sistemas de información propios para alcanzar objetivos
específicos. El foco de las IO es el de alterar o influenciar el proceso de
toma de decisiones del adversario.
El DoD identifica cinco capacidades para llevar a cabo sus Operaciones
de Información:
1-. Operaciones Psicológicas (“Psychological Operations”)
2-. Engaño Militar (“Military Deception”)
3-. Seguridad Operacional (“Operations Security”)
4-. Operaciones de Redes de Ordenadores (“Computer Network
Operations”)
5-. Guerra Electrónica (“Electronic Warfare”)
Las capacidades en un principio son independientes, pero cada vez
más están incrementando su integración para poder alcanzar los efectos
deseados.
2.4.5.1. Operaciones psicológicas. El DoD defi-

ne las Operaciones Psicológicas, como procedimientos para transmitir
cierta información preseleccionada a audiencias extranjeras fijadas como
objetivo, para influenciar en sus emociones, móviles, razonamiento obje-
tivo y finalmente el comportamiento de gobiernos extranjeros, organiza-
ciones, grupos y personas individuales. Estas operaciones pueden llevar-
se a cabo, por ejemplo, mediante el envío masivo de mensajes por
correo electrónico, fax, Internet, llamadas a teléfonos móviles, etc.
Algunos observadores han comentado que EE.UU. seguirá perdiendo
terreno en la guerra de medios hasta que desarrolle una estrategia de
comunicación coordinada para responder a las noticias de los medios
civiles, como el caso de la cadena “Al Jazeera” por ejemplo.
En parte, por este motivo, el DoD está enfatizando que las
68
Anexo A
Operaciones Psicológicas deben ser mejoradas y focalizarse contra la

toma de decisiones de adversarios potenciales, incluso a veces previa-
mente a las épocas de conflicto.
2.4.5.2. Engaño militar. El “engaño” conduce al

enemigo a cometer errores presentándole información, imágenes o ins-
trucciones falsas. Por ello el “Engaño Militar” se define como las acciones
llevadas a cabo para engañar deliberadamente la toma de decisiones mili-
tares del adversario, relacionadas con sus capacidades militares propias,
causando por lo tanto que el adversario no tome (o falle al tomar) decisio-
nes específicas que contribuirían al éxito de sus operaciones militares.
2.4.5.3. Seguridad operacional. La “Seguridad

Operacional” es el proceso de identificar la información que es crítica
para las operaciones, y que puede capacitar al adversario para atacar
vulnerabilidades de las mismas. La Seguridad Operacional sería utilizada
para poder evitar que el enemigo pueda disponer de esa información. Un
ejemplo de esta actividad sería eliminar cierta información de páginas
Web públicas por el DoD, para que el enemigo no pueda explotar infor-
mación sensible, pero sin clasificar.
2.4.5.4. Operaciones de redes de ordenadores.

Esta capacidad es la que podríamos denominar tradicionalmente como
“Ciberdefensa” e incluye la posibilidad y habilidad de:
1-. Atacar e interrumpir o alterar las redes de ordenadores del enemigo.
2-. Defender los sistemas de información militar propios.
3-. Explotar las redes de ordenadores del enemigo, mediante la reco-
lección de información de inteligencia, normalmente a través de código
o aplicaciones informáticas (ej. troyanos).
Para lograr estas capacidades el DoD ha desarrollado tres mecanismos
que son:
• Defensa de Redes de Ordenadores (DRO)
La DRO se define como las medidas defensivas para proteger la infor-
mación, los ordenadores y las redes de las alteraciones, interrupciones o
destrucciones. La defensa incluye las acciones llevadas a cabo para
monitorizar, detectar y responder a actividades no autorizadas.
La respuesta a los ataques, por parte de las Fuerzas Norteamericanas,
puede incluir el uso de herramientas de seguridad de las TIC pasivas,
como cortafuegos o cifrado de la información, o también otras más intru-
sivas como la monitorización de ordenadores adversarios para determi-
nar sus capacidades, previamente a que puedan intentar un ataque de
“Operaciones de Información” contra las citadas Fuerzas.
• Explotación de Redes de Ordenadores (ERO)
La ERO es el área de las IO que todavía no ha sido claramente defini-
da dentro del DoD. Anteriormente al desarrollo de una crisis, el DoD
69
parece preparar la batalla a través de la inteligencia, vigilancia, recono-

cimiento y actividades de planificación. Todas estas actividades, conlle-
van recolección de datos para la inteligencia, y en el caso de las IO, se
llevan a cabo normalmente a través de herramientas de red que pene-
tran en los sistemas adversarios para obtener información sobre vulne-
rabilidades de los sistemas, o para hacer copias no autorizadas de fiche-
ros importantes. Las herramientas utilizadas para ERO son similares a
aquellas utilizadas para los ataques informáticos, pero configuradas para
recabar información en vez de para interrumpir o alterar un sistema.
• Ataques de Redes de Ordenadores (ARO)
Los ARO se definen como los mecanismos que pretenden interrumpir,
alterar o destruir la información que reside en los ordenadores, y en las
redes de ordenadores, de los enemigos. Como característica distintiva,
los ARO normalmente utilizan “un flujo de datos” como arma para ejecu-
tar el ataque. Por ejemplo, el envío de un flujo de datos a través de la
red para dar instrucciones a un controlador para cortar la alimentación
eléctrica se considera un ARO, mientras que enviar una señal de alto vol-
taje a través del cable eléctrico para crear un cortocircuito en el suminis-
tro eléctrico se considera “Guerra Electrónica”.
Tal como se vio en el epígrafe 2.3.2.2 de este anexo, dentro del DoD,
el Joint Functional Component Command for Network Warfare (JFCC-
NW) y el Joint Information Operations Warfare Command (JIOWC) son
los responsables para el desarrollo de los “Ataques a las redes de
Ordenadores”.
Las capacidades exactas de estas dos organizaciones están clasificadas
y los oficiales del DoD nunca han admitido haber lanzado ciberataques con-
tra los enemigos, sin embargo muchos oficiales de seguridad de la informa-
ción creen que se podrían destruir redes y penetrar en ordenadores enemi-
gos para robar o manipular datos, y tumbar sistemas de mando y control.
Estos oficiales también creen que las citadas organizaciones están confor-
madas por personal de la CIA, de la Agencia Nacional de Seguridad (“Na-
tional Security Agency, NSA”), el FBI, las ramas militares y civiles e incluso
por representantes militares de las Naciones Aliadas.
Finalmente, cabe destacar que en febrero del 2003 la Administración de
Bush anunció una guía a nivel nacional para determinar cuándo y cómo
pueden los EE.UU. lanzar ataques contra las redes de ordenadores de
adversarios extranjeros. La guía, que está clasificada, se conoce como la
“Directiva Presidencial 16 de Seguridad Nacional” y tiene el objetivo de cla-
rificar las circunstancias bajo las cuales los ataques informáticos son justi-
ficados, y de determinar quien tiene la autoridad de lanzar tales ataques.
2.4.5.5. El DOD y las infraestructuras críticas

de EE.UU. El DoD conoce que, debido a que un porcentaje importante
del comercio de EE.UU. se realiza a través de Internet, los sistemas del
DoD deben desarrollar la capacidad de protegerlo adecuadamente.
70
Anexo A
En la actualidad, para asistir a las redes de telecomunicaciones comer-

ciales, los sistemas de comunicación por satélite y otros sistemas de
infraestructuras críticas civiles, el DoD contrató al Instituto de Ingeniería
de Software de Carnegie Mellon (Carnegie Mellon’s Software Engineering
Institute) para dirigir el Equipo de Respuesta de Incidentes Informáticos
(CERT-CC), mientras que el DHS, en sociedad con operadores de la in-
dustria privada, dirige una organización paralela llamada US-CERT.
Ambas organizaciones están encargadas de monitorizar las tendencias
del código malicioso y cibercrimen, enviando alertas sobre amenazas
para los sistemas de información, y proporcionando pautas para la recu-
peración después de un ataque.
2.5. Financiación
En el aspecto económico, el DHS cuenta en 2008 con un presu-
puesto de 47.000 millones de dólares, lo que supone un incremento del
6,8% con respecto al ejercicio fiscal anterior. Esto se produce a pesar de
que el incremento del PIB está previsto en un 1,9%.
En la Figura 2-3 se muestra la evolución del presupuesto del DHS
entre los años 2004 y 2009 (en este último caso, es el presupuesto soli-
citado al Congreso). En dicho periodo, el presupuesto siempre ha aumen-
tado, en algunos casos muy por encima del incremento del PIB. Tal fue
el caso en los años 2004-2005, cuando el incremento fue del 11%, y en
los dos últimos años, en los que el presupuesto ha crecido una cantidad
en torno al 8-9%.
Figura 12. Evolución del presupuesto del DHS en los años 2004-2009.
Por otro lado, cabe destacar que dentro del presupuesto del DHS para
el 2009, la Junta Directiva para la Seguridad Nacional y Programas (área
71
del DHS) ha solicitado un presupuesto de 293,5 millones de dólares para

la División de Ciberseguridad Nacional.
Finalmente, según noticias aparecidas en la prensa (periódico “La
Vanguardia”, 11-08-2008, http://www.lavanguardia.es/lv24h/20080811/
53518428244.html), la “Iniciativa para la Ciberseguridad Nacional”
(Directiva “National Cyber Security Initiative”, HSPD-23) ha sido presu-
puestada con una cantidad de 11.000 millones de euros.
2.6. Ciberseguridad en la Era Obama
2.6.1. Durante la campaña electoral

Ya durante su campaña electoral, el entonces can-
didato a la presidencia de los Estados Unidos, Barack Obama, hizo espe-
cial hincapié en los cambios que planeaba hacer en materias de ciberde-
fensa en el caso de ser elegido presidente.
Así, durante la campaña, señaló como principales amenazas del siglo
21 las nucleares, biológicas y cibernéticas. Decía que las tres habían sido
descuidadas durante la anterior legislatura y aseguraba que había llega-
do el momento de cambiar la forma de hacerlas frente.
Según el entonces candidato es necesario reforzar las ciberdefensas
del país. En su discurso electoral, hacía notar que todos los ciudadanos
dependen de manera directa o indirecta del sistema de redes de infor-
mación. Estas son fundamentales para la buena marcha de la economía,
las infraestructuras críticas y la seguridad nacional. Por lo que asegura-
ba que es un objetivo para ataques terroristas.
Obama hacía entonces promesas de incrementar la prioridad en materia
de ciberseguridad, de declarar las ciber-infraestructuras un activo estraté-
gico y de designar un Asesor Nacional en materia cibernética. Las actuacio-
nes, decía, consistirán en crear una política de ciberseguridad nacional y en
trabajar desarrollando estándares para seguridad de la información.
Pretende hacer trabajar de forma conjunta a gobierno, industria y uni-
versidades para determinar la mejor manera de proteger estas estructu-
ras. Según Obama, es necesario construir la capacidad para identificar, ais-
lar y responder a cualquier ciberataque. También es necesario el desarro-
llo de estándares para la ciberseguridad que protege las más importan-
tes infraestructuras, desde las instalaciones eléctricas a las depuradores,
desde el control de tráfico aéreo a los distintos mercados.
Apostaba también por empezar la ciberdefensa desde cada ciudada-
no, en cada hogar. Por lo que invertir en esta materia es fundamental.
2.6.2. Acciones como presidente

A mediados de febrero de 2009, el presidente Oba-
ma, pidió a sus consejeros en seguridad nacional que procediesen a una
revisión durante 60 días de los planes, programas y actividades a llevar
a cabo por el gobierno federal en materia de ciberseguridad.
72
Anexo A
El objetivo de esta revisión era evaluar las fortalezas y debilidades exis-

tentes, desarrollar planes y coordinar el Congreso y el sector privado.
De cualquier forma, no se espera que se abandonen los planes principa-
les que se están llevando a cabo. Entre aquellos empezados en la etapa
de la administración de Bush se encuentra la iniciativa True Internet
Connection, que busca reducir el número de gateways en Internet y la del
Departamento de Seguridad Nacional de actualizar Einstein, el sistema
federal de monitorización de red.
Con la orden de Barack Obama de revisar la estrategia en Ciberdefensa
Norteamericana, se abre la posibilidad a un cambio radical de la aproxima-
ción a la seguridad cibernética.
Actualmente hay un gran número de agentes involucrados en la protec-
ción del país de ataques sobre la red, entre ellos el Ministerio de Seguridad
Nacional, el Consejo de Seguridad Nacional y varias ramas dentro del
campo militar. Esta estructura se pretende simplificar con la revisión anun-
ciada el día 9 de febrero por la Casa Blanca.
John Brennan, asistente de Obama en temas de antiterrorismo y segu-
ridad del territorio, afirmaba que “La seguridad nacional y la salud de la eco-
nomía de los Estados Unidos depende de la seguridad, estabilidad e integri-
dad del ciberespacio de la nación, tanto en el sector público como en el pri-
vado. El presidente está profundamente convencido de que seremos capa-
ces de proteger las ciberestructuras críticas de la nación sin violar las leyes
y asegurando los derechos de privacidad y las libertades civiles”.
La encargada de supervisar esta revisión fue Melissa Hathaway, quien,
de forma temporal, asumió el cargo de Director Senior del Ciberespacio,
hasta la finalización de los trabajos a finales de abril. Era para entonces
cuando estaba previsto que se le presenten las recomendaciones al
Presidente con el fin de establecer una organización que encargada de los
asuntos relacionados con las infraestructuras y capacidades globales de la
información y las comunicaciones.
Se pretendía realizar una valoración precisa de cuales son las medidas
que se están tomando así como el análisis de planes de futuro en materia
de ciberdefensa. Todo esto se consideraba ya un indicativo claro de la con-
cienciación de la Casa Blanca en relación a la ciberdefensa.
La seguridad on line es una preocupación creciente para muchos gobier-
nos alrededor del mundo, sobre todo a medida que las infraestructuras crí-
ticas, como comunicaciones, finanzas y transporte dependen cada vez más
de Internet para funcionar.
El director de la Inteligencia Nacional, Mike McConnell, ya se ha referido a
esto: “Si alguien entrase en nuestros sistemas tratando de destruir registros
bancarios o de impedir la distribución de energía eléctrica o el mal funciona-
miento de la red de transportes, tendría un efecto debilitador para el país.”
Otro signo del nivel de concienciación de EE.UU. con respecto a la ciber-
seguridad son las declaraciones del vicepresidente Joe Biden en las que se
refirió a las ciberamenazas como la mayor amenaza en la actualidad.
73
Aunque de momento no hay ningún informe en el que se afirme el

incremento de acuerdos con empresas privadas para ayudar al gobierno,
se espera que sí se indique en el informe de Hattaway. Algunos analistas
indican que los contratos para trabajar en la ciberseguridad en EE.UU.
superarán los 10.000 millones de dólares al final de la etapa Obama en
la Casa Blanca.
Todavía quedan por resolver algunas dudas de cuál es el rumbo que
se va a seguir en EE.UU. Durante la campaña electoral, Obama se solía
referir a sus planes para mejorar la ciberseguridad y las relaciones con
la industria de la tecnología en general. A pesar de asegurar que crearía
la figura de un “Chief Security Officer”, a día de hoy todavía no ha nom-
brado a nadie para este puesto.
Finalmente, a finales de mayo de 2009, el presidente de los EE.UU.
Barack Obama hizo públicas algunas de las inicativas que se planteaba
llevar a cabo durante su gobierno una vez el informe fue concluido.
Obama reconoció en la presentación del informe que ganó las pasa-
das elecciones presidenciales en parte gracias a la fuerza de la Red y su
alcance. También es consciente de que la seguridad cibernética es sus-
ceptible de violación, durante su campaña, piratas informáticos entraron
en la página web del candidato demócrata y robaron información perte-
neciente a la base de datos.
"Ésa es la gran ironía de la era de la información, las tecnologías que
nos permiten construir y crear son las mismas que utilizan aquellos que
destruyen y perturban el orden", aseguró. "Es una paradoja que vemos
cada día", añadió Obama. En su opinión, Estados Unidos lleva mucho
tiempo fracasando en proteger de manera adecuada la seguridad de sus
redes cibernéticas. "No estamos lo preparados que deberíamos estar, ni
como Gobierno ni como país", prosiguió Obama, quien dijo que los asal-
tos a las redes informáticas son uno de los peligros económicos y milita-
res más graves a los que se enfrenta EE.UU.
La primera diferencia con la política de Bush, se pudo observar en que
parte de los resultados del informe fueron presentados de forma pública
en un documento de 38 páginas que fue distribuido a las empresas más
vulnerables frente a ciberataques. La estrategia de Bush fue completa-
mente clasificada.
Durante la presentación, el presidente Obama, calificó de “prioridad
nacional” la ciberseguridad de los sistemas de EE.UU. ante el peligro de
lo que llamó “las armas de trastorno masivo” y anunció un ambicioso
plan para dar máxima prioridad nacional a la seguridad de los sistemas
y la protección de las redes digitales, sin las cuales el país se paralizaría.
El presidente anunció que uno de los objetivos durante su mandato
será que EE.UU. se prepare para iniciar una nueva guerra, en esta oca-
sión librada en el ciberespacio. Obama comunicó para esta lucha la cre-
ación de un alto cargo de ciberseguridad con oficina en la Casa Blanca
(al que llamó ciberzar) contra ataques que protegerá tanto las redes ofi-
74
Anexo A
ciales como las privadas que los hackers asaltan. El mandatario indicó
que la persona designada para el puesto responderá ante el Consejo de
Seguridad Nacional y ante el Consejo Económico Nacional, en reconoci-
miento del papel que la informática desempeña tanto en defensa del país
como en la economía.
Obama afirmó que el nuevo coordinador tendrá acceso a él con regula-
ridad, igual que el coordinador para amenazas nucleares y convencionales.
Ante el anuncio de mayor control y la intención de nombrar un sheriff
que vigile el ciberespacio, Obama quiso tranquilizar a aquellos que pue-
dan ver el fantasma de la injerencia gubernamental sobrevolar sobre su
privacidad y declaró que el nuevo sistema federal de vigilancia no recor-
tará la libertad en la Red ni "dictará cómo las redes de las empresas pri-
vadas deben diseñar sus sistemas de defensa". Se trata de luchar contra
el robo de información bancaria, controlar los servicios básicos que ahora
se gestionan a través de Internet y evitar la suplantación de la identidad
personal en la Red. Otro de los graves asuntos a los que el nuevo zar
deberá dar una respuesta es el de la piratería, que hasta ahora ha asu-
mido con un discreto éxito el FBI. Las pérdidas estimadas a causa del
robo de datos y propiedad intelectual en 2008 suponen hasta un billón
de dólares (720.000 millones de euros).
También afirmó que Estados Unidos necesita impartir la educación
requerida -desde los colegios- para mantenerse a la par de la tecnología
y atraer y retener una fuerza laboral que maneje los conocimientos ciber-
néticos. Obama reclamó una nueva campaña educativa a fin de alertar al
público de los desafíos y amenazas relacionadas con la ciberseguridad.
Entre las medidas que adoptará la Casa Blanca para mejorar la segu-
ridad cibernética, el presidente anunció un aumento de la cooperación
con los aliados. Para ello será necesario conseguir que los países aliados
sean afines en una serie de asuntos, como los baremos técnicos y nor-
mas legales aceptables sobre jurisdicción territorial, responsabilidad y
soberanía, y uso de la fuerza para luchar contra el cibercrimen. Con ini-
ciativas internacionales de este tipo, el Gobierno de EE.UU. espera que la
comunidad internacional comience un debate sobre cómo perseguir a los
cibercriminales y establezca un marco legal para juzgarles y castigarles.
Desde la Casa Blanca también se quiso hacer un llamamiento para que
la nación no se quede atrás en la carrera de la seguridad informática, un
campo en el que países como India o China han hecho avances en los últi-
mos años. Los cinco pilares sobre los que se basarán las principales
acciones a llevar a cabo son:
• Securización de las redes gubernamentales.
• Coordinación de las respuestas ante los ciberataques.
• Securización de las infraestructuras formadas por las redes
privadas.
• Aumentar los fondos para investigación.
• Reforzar la educación pública.
75
A pesar de que el presidente no entró en detalles en cuanto a expan-

dir el rol de los mandos militares en ciberoperaciones defensivas y ofen-
sivas, desde el Pentágono se afirmó que se espera también que Obama
firme una orden clasificada por la que se creará un nuevo mando militar
contra la ciberguerra, algo que demuestra la preocupación de EE.UU. por
el número creciente de ordenadores en su arsenal de armas, así como su
interés por desarrollar estrategias para su uso como elemento de disua-
sión o junto a las armas convencionales, en una amplia variedad de posi-
bles conflictos futuros.
La creación de un cibercomando especializado en guerra electrónica es
un paso importante, aunque cualquier caso no queda aún claro quien va
a liderar posibles ofensivas en el ciberespacio, si la NSA o el mismo
Pentágono.
Sin embargo, la revisión de las políticas de Obama no especifica como
se van a llevar acciones de forma práctica para alcanzar los objetivos
propuestos y no apunta nada sobre como resolver los conflictos entre el
Pentágono, la NSA, el departamento de Seguridad Nacional y otras agen-
cias por conseguir el liderazgo en ciberoperaciones defensivas y ofensi-
vas.
A pesar de que la mayoría de las opiniones son positivas con res-
pecto a estas iniciativas, también se han vertido algunas críticas.
Principalmente estas vienen originadas porque no se han aclarado
totalmente las funciones, responsabilidades y poder de la figura del
ciberzar.
2.6.3. Más datos

El número de incidentes en redes tanto del gobier-
no como de redes privadas de los que se informó al Computer Emergency
Readiness Team del Departamento de Seguridad del Territorio prácti-
camente se dobló con respecto al año anterior, pasando de unos
37.000 a 72.000.
Se espera que los presupuestos del gobierno de EE.UU. en securi-
zar redes militares, de inteligencia y de otras agencias se incremente
un 44%, hasta más de 10.700 millones de dólares en 2013, desde los
7.400 millones de dólares de este año. Los presupuestos crecerán
entre un 7 y un 8 por ciento cada año, a un ritmo superior al de las
tecnologías de la información, cuyo ritmo fue del 4 por ciento al año
durante los últimos cinco años.
Michael Chertoff, secretario de seguridad del territorio, declaraba,
el 18 de diciembre: “Se necesita tener un plan desarrollado para una
cibercrisis”. Si las redes de comunicaciones del gobierno de EE.UU. son
atacadas por un grupo terrorista o un gobierno extranjero, Michael
Chertoff se pregunta: “¿Se consideraría un acto de guerra? ¿Cómo se
debe responder? A día de hoy no tenemos aún una estrategia de este
tipo”.
76
Anexo A
2.6.4. Acciones planificadas

Barack Obama y Joe Biden –trabajando con la indus-
tria privada, la comunidad de investigadores y sus ciudadanos- liderarán
un esfuerzo para construir una ciberestructura confiable, que proteja la
ventaja competitiva de Norteamérica. Entre los objetivos se encuentran:
• Apuntalar la fortaleza en ciberseguridad: Declarar la ciber-

infraestructura un activo estratégico y nombrar un asesor nacional en
ciberseguridad, quien informará directamente al presidente y será res-
ponsable de coordinar las esfuerzos de la agencia federal y el desarrollo
de una directiva nacional de seguridad.
• Iniciar acciones de investigación y desarrollo en informática
segura y endurecer la ciberinfraestructura de la nación: Apoyar una
iniciativa para el desarrollo de la nueva generación de ordenadores y ele-
mentos de red seguros para aplicaciones de seguridad nacional. Se tra-
bajará con la industria y las universidades para desarrollar y desplegar
una nueva generación de hardware y software seguro para las infraes-
tructuras críticas.
• Proteger las infraestructuras que mantiene segura la eco-
nomía nacional: Trabajará con el sector privado para establecer nuevos
estándares para ciberseguridad y resistencia física.
• Prevención del ciberespionaje corporativo: Se trabajará con
el sector privado para desarrollar los sistemas necesarios para proteger
los secretos de la nación.
• Desarrollo de una estrategia en cibercrimen para minimizar
las oportunidades criminales: Desarrollo de herramientas para detec-
tar y perseguir el cibercrimen.
• Resolución de estándares para securizar los datos persona-
les y requerimiento a las compañías privadas de revelar las brechas
en datos de información personal: Desarrollando estándares para pro-
teger los derechos de los individuos en la era de la información.
2.6.5. El Pentágono
La amenaza de un nuevo tipo de terrorismo ha obli-
gado al Pentágono a dotarse de un comando digital. En línea con la nueva
estrategia del presidente Barack Obama de reforzar la protección de las
redes informáticas de EE.UU., el Ejército estadounidense ha decidido
diseñar una unidad operativa que asuma las tareas de ataque y defensa
en la Red, creando el primer cibercomando de la historia militar del país.
El Departamento de Defensa de EE.UU. recibió, sólo en 2008, 360
millones de intentos anónimos de intrusión en sus redes. Un grupo de
ciberterroristas chinos tuvo un acceso casi total al programa Joint Strike
Fighter, el más caro de la historia militar de Estados Unidos. Lograron
copiar miles de gigas de información sobre la construcción de una nueva
generación de aviones militares. En otros episodios separados, un grupo
77
de atacantes penetró en el sistema de control de la Fuerza Aérea y otro dejó

un rastro de software maligno con el que podría haber llegado a tomar con-
trol del suministro eléctrico de EE.UU., del que dependen 300 millones de
personas.
Para evitar lo que diversos medios en Internet han bautizado como un
posible “Pearl Harbor electrónico”, la Administración de Barack Obama ha
decidido crear un nuevo comando militar en el ejército dedicado a la lucha
contra los ataques cibernéticos, según reveló recientemente el jefe de la
Agencia de Seguridad Nacional, el teniente general Keith B. Alexander.
“Mantener libertad de acción en el ciberespacio en el siglo XXI es tan impor-
tante para los intereses de EE.UU. como la libertad marítima en el siglo XIX
o aérea y espacial en el siglo XX”, dijo en una comparecencia ante un sub-
comité de Servicios Armados de la Cámara de Representantes el pasado 6
de mayo.
El nombre de Keith B. Alexander suena, de hecho, como candidato para
liderar este equipo que estará bajo la tutela del Comando Estratégico,
encargado de la defensa espacial e informática, del escudo de misiles y de
la detección de armas de destrucción masiva.
En los últimos años, en los pasillos del Pentágono ha crecido la inquietud
por un tipo de terrorismo al que no se ha prestado mucha atención. En una
comparecencia ante el Comité de Fuerzas Armadas del Senado, el teniente
general William Shelton, de la Fuerza Aérea, declaró: “Las amenazas del
ciberespacio aumentan a la velocidad de la luz”.
Según un informe de la Oficina de Control Gubernamental de junio del
año pasado, un 70% de los ordenadores de las 24 agencias de inteligencia
y seguridad de EE.UU. no disponía de codificación adecuada que pudiera
proteger frente a un posible ataque externo. En general, la inmensa mayo-
ría de estas agencias carece de seguridad adecuada en muchos de sus dis-
positivos, especialmente los móviles.
A pesar de sufrir ataques y filtraciones constantes y de haber sido inca-
paz de blindar a todas las agencias de inteligencia, sólo en el último semes-
tre el Pentágono se gastó 74 millones de euros en responder a ataques y
reparar daños provocados por estos ataques cibernéticos, según reveló en
abril el general John Davis.
3. Reino Unido
3.1. Contexto
Los ataques terroristas de Londres del 7 de julio de 2005, a diferen-
cia de los que ocurrieron en Estados Unidos, no puede decirse que supu-
sieran un cambio radical en la política interna de defensa, ya que ante-
riormente el terrorismo y la seguridad nacional ya habían sido tratados
(probablemente debido a la existencia del IRA). Sin embargo, no cabe
78
Anexo A
duda que este tipo de hechos han impulsado mejoras o actualizaciones,

e incluso nuevas políticas y estrategias para la seguridad.
En cuanto a los hechos destacables relacionados con la Seguridad
Nacional y la Ciberdefensa, podemos resaltar los siguientes:
• Año 1782; creación del Ministerio del Interior.
• Año 1969; creación del CESG (“Communications-Electronics
Security Group”).
• Año 2007; creación del CPNI (“Centre for the Protection
of National Infrastructure”).

La legislación más destacable en Reino Unido relativa a la ciber-
defensa data del año 1990, y se denominó Ley de Abuso del Ordenador
(“The Computer Misuse Act 1990”, CMA). Fue introducida para tratar
principalmente los delitos de hacking, y ha sido actualizada recientemen-
te por la Ley de Justicia y Policía (“Police and Justice Act 2006”).
Para definir los objetivos relacionados con la seguridad nacional y la
ciberdefensa, el Ministerio del Interior, y otros organismos con responsa-
bilidades de seguridad, han elaborado la serie de estrategias y planes
que se enumeran a continuación:
• Manual contra el Cibercrimen denominado “El futuro del cibercri-

men ahora” (“The future of netcrime now”), publicado en el año 2004.
• La Estrategia Nacional de Seguridad de la Información (“A National
Information Assurance Strategy”) publicada en los años 2003 y 2007.
• Creación del Centro para la Protección de Infraestructuras Nacionales
(“Centre for the Protection of National Infrastructure”) en el 2007.
• Desarrollo del Programa Técnico de Seguridad de la Información
(“The Information Assurance Technical Programme, IATP”).
• La Estrategia Nacional de Seguridad (“The National Security
Strategy of the United Kingdom”) del año 2008.

Existe un gran número de organizaciones gubernamentales invo-
lucradas en los aspectos de protección de las TIC del Reino Unido. Los
organismos más destacados son los siguientes:
• Oficina del Consejo de Ministros de Reino Unido

(“UK Government's Cabinet Office”)
La Oficina del Consejo de Ministros es la “oficina central” del
gobierno y juega un papel fundamental proporcionado guías y estable-
ciendo estándares para el uso de las tecnologías de la información en el
gobierno.
o Patrocinador Central para la Seguridad de la Información
(“Central Sponsor for Information Assurance”, CSIA).
79
El CSIA, como unidad de la Oficina del Consejo de Ministros, tiene el

rol de coordinar la variedad de proyectos relacionados con la seguridad
de los sistemas de información a lo largo de las organizaciones guberna-
mentales, buscando las necesidades de seguridad o haciendo hincapié en
que éstas deben de ser satisfechas.
El CSIA trabaja con socios gubernamentales, el sector privado y sus
homólogos internacionales para mantener una infraestructura de infor-
mación nacional confiable, segura y resistente.
• Ministerio del Interior (“Home Office”)

Este ministerio desempeña diversas funciones relacionadas con la
seguridad de la información. Es el responsable de asegurar que las
Infraestructuras Nacionales Críticas de Reino Unido están protegidas y
vigilar el cibercrimen. Por otro lado, trata con un amplio rango de inicia-
tivas para la reducción del crimen que tienen un impacto en la seguridad
de la información.
o Agencia contra el Crimen Organizado
(“Serious and Organised Crime Agency”, SOCA)
La SOCA está esponsorizada por el Ministerio del Interior, pero es
una organización operacionalmente independiente. Dentro de la SOCA, la
Unidad de Cibercrimen Nacional (“National Hi-Tech Crime Unit, NHTCU”)
pasó a formar parte de la Agencia en 2004, y es la encargada de la lucha
contra el cibercrimen.
o Centro para la Protección de Infraestructuras Nacionales (“Centre
for the Protection of National Infrastructure”, CPNI). (Ver apartado 3.4.2)
El CPNI es una organización interdepartamental establecida por el
Ministerio del Interior en 1999 para minimizar el riesgo de ataques con-
tra las Infraestructuras Críticas Nacionales de Reino Unido. Trabaja en
sociedad con los propietarios de los sistemas que soportan servicios crí-
ticos, tanto en el sector privado, como público, y ofrece consejo sobre las
mejores prácticas para la protección de los sistemas de información de
las organizaciones.
• Ministerio de Justicia (“Ministry of Justice”)

Este ministerio es el responsable de dirigir los programas de
reforma legal del gobierno, y de la protección e intercambio de informa-
ción de carácter personal, tanto a nivel doméstico, como representando
los intereses nacionales de Reino Unido.
• Cuartel de Comunicaciones del Gobierno

(“Goverment Communications Headquarters”, GCHQ)
El GCHQ es una organización relacionada con la inteligencia y la
seguridad. Esta organización informa al Secretario de Asuntos Exteriores
y trabaja estrechamente con otras agencias de inteligencia de Reino
Unido (MI5 y MI6).
80
Anexo A
o Grupo de Seguridad Electrónica y de Comunicaciones

(“Communications-Electronics Security Group”, CESG)
El CESG, dependiente del GCHQ, es la autoridad técnica nacional para
la seguridad de la información. Proporciona consejos de seguridad a los
departamentos gubernamentales, agencias, gobiernos locales y en gene-
ral el sector público para ayudarles a alcanzar sus objetivos de negocio
de forma segura.
• Oficina del Comisionado de Información

(“Information Commissioner's Office”, ICO)
La ICO es una autoridad independiente establecida para promo-
ver el acceso a la información oficial y proteger la información personal.
La ICO asiste a las organizaciones para que entiendan sus obligaciones,
y las mantengan actualizadas cuando estas cambian.
• Departamento para el Negocio, la Empresa y la Reforma

Regulatoria (“Department for Business, Enterprise
and Regulatory Reform”, BERR)
El BERR apunta al incremento de la productividad y a fomentar la
confianza en el mundo de los negocios en Reino Unido a través del uso
de las nuevas tecnologías de la comunicación e información. El BERR tra-
baja con las compañías para aumentar la concienciación sobre la impor-
tancia de una gestión de la seguridad de la información efectiva, y
fomenta la adopción de estándares de seguridad como la ISO/IEC 27001.
3.4. Ciberdefensa
3.4.1. Estrategia Nacional de Seguridad (2008)

La Estrategia Nacional de Seguridad no determina exacta-
mente ni objetivos, ni medidas de aplicación relacionadas con la Ciber-
defensa, pero en los apartados dedicados a tendencias globales recalca la
importancia de gestionar los riesgos de ciberataques dentro de las TIC, por
la alta dependencia que tienen de ellas tanto la sociedad, como la econo-
mía. Por otro lado, la Estrategia determina que Internet es parte de la
infraestructura crítica nacional y que puede ser tanto un objetivo, como
un medio para naciones hostiles, terroristas y criminales.
3.4.2. Protección de Infraestructuras Nacionales

La protección de las infraestructuras críticas es responsa-
bilidad del Centro para la Protección de las Infraestructuras Nacionales
(Centre for the Protection of National Infrastructure, CPNI). El CPNI se
formó como resultado de la fusión del Centro de Coordinación de Se-
guridad de las Infraestructuras (NISCC) y del Centro Nacional de Ase-
soramiento en Seguridad (NSAC), el cuál era una parte del MI5.
81
El NISCC aconsejaba e informaba sobre seguridad en redes y otros

asuntos de seguridad de la información y el NSAC aconsejaba en mate-
ria de seguridad de las instalaciones y del personal. Tras la fusión de
ambos, el CPNI proporciona asesoramiento conjunto en seguridad (de las
instalaciones, de las personas y de la información) a las organizaciones
y empresas que conforman la infraestructura nacional. Con el asesora-
miento del CPNI, se protege la seguridad de la nación reduciendo las vul-
nerabilidades de las infraestructuras.
El CPNI es un centro interministerial, que da apoyo a un gran núme-
ro de ministerios y agencias gubernamentales. Responde ante el Director
General de los Servicios de Seguridad (MI5). El asesoramiento que pres-
ta es fruto de la experiencia, los conocimientos y la información de las
organizaciones que contribuyen a su trabajo. Entre las actividades del
Centro caben destacar:
• Patrocinio de la investigación y el trabajo en colaboración con

instituciones académicas, otras agencias gubernamentales, institucio-
nes de investigación y el sector privado, para desarrollar instrumentos
que puedan reducir la vulnerabilidad frente a ataques terroristas y
otros que disminuyan el impacto cuando ocurran los ataques. El aseso-
ramiento incluye formación, publicación de información importante a
través de la Web y la elaboración de documentación específica para
cada sector.
• Publicación de información de ayuda en seguridad para organi-
zaciones y empresas que no formen parte de las infraestructuras nacio-
nales. Dicha información incluye consejos antiterroristas y para la pre-
vención del crimen.
El CPNI trabaja a varios niveles para proteger la infraestructura nacio-

nal de los ataques (los expertos del Centro producen un conjunto de
publicaciones actualizadas, focalizadas en la mitigación del riesgo al que
están expuestos los operadores de las infraestructuras nacionales), lleva
a cabo sus propios programas de desarrollo e investigación, y trabaja con
varios socios para mejorar las capacidades futuras. El trabajo del CPNI
está dividido en varias parcelas:
• Asesoramiento del Equipo Combinado de Respuesta ante

Incidentes de Seguridad (“Combined Security Incident Response
Team Advisory”)
El servicio es básicamente un CERT (Computer Emergency Response
Team) que recibe, revisa y responde a los incidentes de seguridad en los
equipos informatizados, proporcionando asesoramiento relacionado con la
actividad de cara a la gestión de este tipo de incidentes.
• Publicaciones Generales de Seguridad Preventiva
El CPNI publica un conjunto de documentos diseñados para pro-
82
Anexo A
porcionar asesoramiento claro y conciso. Entre los aspectos incluidos se

encuentra el de protección contra el terrorismo o la seguridad del personal.
• Sesiones InfoSec
Las Sesiones InfoSec del Centro engloban un conjunto de docu-
mentos de interés general, que destacan los riesgos a los que se expo-
ne la infraestructura nacional.
• Notas Técnicas de Seguridad de la Información
Las notas están diseñadas para ofrecer consejos prácticos en el
tratamiento de los tópicos de seguridad y están dirigidas a los profesio-
nales de seguridad de la información. Las últimas notas incluidas con-
templan aspectos de seguridad en las ADSL, implementación de detec-
tores de intrusos y asesoramiento sobre la seguridad de portales Web.
• Identificación de Vulnerabilidades InfoSec
El Centro lleva a cabo una labor de investigación de vulnerabilida-
des en los equipos informáticos, para determinar las amenazas, identifi-
car problemas, y trabajar con los proveedores para proporcionar parches
para el software.
• Guías de Buenas Prácticas
El Centro promueve las mejores prácticas entre los operadores de
infraestructuras nacionales, reflejando el compromiso del mismo en el
intercambio de información.
• Punto de Vista
Los informes sobre puntos de vista son desarrollados para propor-
cionar un resumen sobre tecnologías emergentes y otros aspectos rela-
cionados con el sector de las TIC. Cabe puntualizar que estos informes
no tienen porque presentar medidas de mitigación de riesgos, como si
ofrecen otros productos del Centro.
• Intercambios de Información
El Centro sirve como punto de recogida e intercambio de informa-
ción entre todos los Socios, con el fin de que la experiencia acumulada
pueda servir de control preventivo para futuras ocasiones.
3.4.3. Estrategia Nacional de Seguridad

de la Información
Publicada en el 2007 por el CSIA, está dividida en una
serie de epígrafes entre los que destacan:
1-. El resultado esperado de la Estrategia:
o Mejor capacidad del Gobierno en la provisión de los servicios
públicos a través de un uso apropiado de las TIC.
o Que la seguridad nacional de Reino Unido sea fortalecida prote-
giendo la información, y los sistemas de información ante el ries-
go de compromiso de los mismos.
o Que el bienestar económico y social de Reino Unido sea realza-
do, a nivel gubernamental y privado, y que los ciudadanos ob-
serven las ventajas completas de las TIC.
83
2-. Las Amenazas y Vulnerabilidades existentes en relación a

la seguridad de la información.
3-. Los Beneficios para el Gobierno y Sector Público por la
inclusión de la Seguridad de la Información en las TIC son:
o Mejora de la confianza en el manejo de la información del
Gobierno.
o Reducir el riesgo de potenciales daños financieros, reputaciona-
les u operacionales a las organizaciones.
o Asegurar que el Gobierno consigue los productos y servicios de
seguridad de la información más valiosos y apropiados.
4-. Los Objetivos en los que se focaliza la Estrategia para con-
seguir el resultado esperado:
o Lograr una gestión de riesgos clara y efectiva por parte de las
organizaciones.
o El acuerdo y cumplimiento sobre los estándares de seguridad de
la información apropiados.
o El desarrollo y disponibilidad de las capacidades de seguridad de
la información apropiadas.
5-. Los Actores en la implementación de la Estrategia:
En la Estrategia se aboga porque todos los organismos con res-
ponsabilidades en la seguridad de la información (CESG, CSIA, CPNI,
etc.) intervengan en la implantación de la Estrategia.
3.4.4. Programa técnico de Seguridad

de la Información (ATP)
El ATP es un programa dirigido por el CSIA que inclu-
ye a diversos organismos gubernamentales, y que está siendo realizado en
colaboración con la industria. Este programa surge como piedra angular de
la Estrategia Nacional de Seguridad de la Información y parte de una situa-
ción o premisas, para obtener unos resultados en 2011:
• La situación de partida, en 2004, para el programa era el siguiente:
o Una industria de seguridad de la información fragmentada y
débil dentro de Reino Unido, debido, entre otras cosas, a la falta de
inversión del Gobierno.
o Pérdida potencial de soberanía en el sector industrial de la segu-
ridad de la información.
o Incapacidad para proporcionar al Gobierno las comunicaciones
seguras que necesitaba.
o Incremento de las amenazas sobre las redes del Gobierno y el
traslado a comunicaciones más complejas y vulnerables para posibilitar
el gobierno electrónico y un trabajo flexible.
• Los resultados que persigue el Programa son, por un lado, capa-
citar al gobierno para poder utilizar las TIC más punteras para soportar
su negocio, y por el otro, mantener la confidencialidad, integridad y dis-
ponibilidad de la información.
84
Anexo A
Debido al dinamismo del sector de las TIC, el Programa capacitará al

Gobierno a utilizar las mejores soluciones que estén disponibles para gestio-
nar sus operaciones, por lo que el Programa generará un entorno en el que:
• El gobierno del Reino Unido pueda trabajar de forma más cercana
y cohesionada con la industria de las TIC del Reino Unido.
• La Industria del Reino Unido sea capaz de proporcionar soluciones
de seguridad de la información más efectivas en cuanto a coste y
tiempo de puesta en el mercado se refiere.
Para alcanzar el escenario propuesto para 2011, el ATP tiene dos obje-
tivos estratégicos:
• La creación y soporte de una soberanía sostenible en el sector
industrial de la seguridad de la información (incluyendo el mecanismo “inte-
lligent customer mechanism” para operar entre la industria y el Gobierno).
El “Intelligent Customer Mechanism” (ICM) es el corazón del trabajo del
Programa. Es un mecanismo colaborativo de trabajo que capacita al gobier-
no del Reino Unido a gestionar su información de una forma segura.
• Desarrollo, junto con la industria y según las necesidades del
Gobierno, de una rápida capacitación en la seguridad de la información.
3.4.5. Manual contra el cibercrimen

(“The future of netcrime now”)
En el desarrollo de la Ciberdefensa del Reino Unido, el pri-
mer esfuerzo específico fue realizado por el Ministerio del Interior publi-
cando en 2004 un manual sobre el denominado “cibercrimen”, en el que
se proponían una serie de medidas a adoptar para reducir la tasa de cri-
minalidad en delitos perpetrados a través de la red. Las medidas pro-
puestas son las mostradas en la Figura 3-1.
Figura 13. Medidas contra el cibercrimen.

85
Básicamente, las medidas se dividen en 4 grandes grupos:

• Las destinadas a aumentar el esfuerzo para lograr más seguri-
dad: diseñar las aplicaciones teniendo en cuenta la seguridad; aumentar
la prioridad de la seguridad en TIC; aumentar la concienciación del usua-
rio en seguridad; eliminar los medios que facilitan o promueven activida-
des ilegales en la red.
• Las destinadas a aumentar el riesgo que corre el criminal de ser
detectado y atrapado: registrar las transacciones; desarrollar una vigi-
lancia organizativa; desarrollar técnicas de investigación, y planes de for-
mación para especialistas; evaluar el papel del crimen organizado; iden-
tificar nuevas fuentes de conocimiento y habilidades; inversión en equi-
pos adecuados; formar a los encargados de reforzar la legalidad; mejo-
rar las instalaciones de la justicia para que puedan presentarse eviden-
cias tecnológicas; revisar la vigilancia policial de la red, fomentar y alen-
tar las denuncias por parte de las víctimas.
• Las destinadas a reducir la “recompensa” que obtiene el crimi-
nal: analizar qué recompensas obtiene el criminal; garantizar la puesta
en marcha de planes de continuidad basados en los riesgos.
• Las destinadas a eliminar los motivos de los ataques: campa-
ñas de información y de promoción de la navegación segura y legal por
Internet, informando a los usuarios de las consecuencias de actos comu-
nes pero ilegales (piratería, acceso no autorizado a sistemas, etc.);
aumentar los consejos al usuario por parte de los operadores; comuni-
car la política de seguridad de las TIC a los miembros de la plantilla en
las organizaciones; promover el estándar de seguridad ISO 17799; faci-
litar los medios (herramientas y software gratuitos, etc.) para aumentar
la seguridad de los usuarios de servicios gubernamentales a través de
Internet.
3.4.6. Otras iniciativas civiles en ciberdefensa

Como se comentó con anterioridad, en el Reino
Unido existe un amplio conjunto de organizaciones gubernamentales que
realizan funciones relacionadas con la Ciberdefensa y que complementan
los planes y estrategias enumerados con anterioridad. Los siguientes epí-
grafes resumen brevemente el cometido de estas organizaciones.
3.4.6.1. Esfuerzos del CESG. El CESG protege y

promueve los intereses de Reino Unido proporcionando consejo y asis-
tencia relativos a la seguridad de las comunicaciones y la información
electrónica. Esta organización proporciona políticas de seguridad de la
información, así como los servicios y asistencia al Gobierno, y otros
clientes, que necesitan para proteger sus servicios de información crí-
ticos.
En concreto, las actividades del CESG se pueden resumir en los
siguientes grupos:
86
Anexo A
Asistencia Técnica:
• Asistencia técnica inicial en el diseño de opciones para
arquitecturas TIC seguras.
• Consultoría técnica en profundidad en los aspectos de la
seguridad de la información.
• Ayuda en la interpretación de estándares de seguridad como
el BS 7799.
• Guía en el uso e implementación de productos criptográficos
y otros productos de seguridad de la información certificados.
• Consejo sobre el uso e idoneidad de los algoritmos criptográficos.
Documentación:
• Desarrollo de documentación de seguridad de los sistemas.
• Consejo sobre las fuentes y estatus de la documentación técnica.
• Feedback verbal y escrito sobre la documentación técnica.
Otros Servicios:
• Asignación de un consejero durante todo el ciclo de los proyectos.
• Información sobre proveedores con productos certificados.
• Acceso a fuentes alternativas de asesoramiento técnico.
• Formación en aspectos específicos de seguridad de la información.
3.4.6.2. Esfuerzos del BERR. El BERR se ha foca-

lizado en integrar las mejores prácticas de seguridad dentro de las com-
pañías del Reino Unido. Las principales actividades que realiza son:
• Desarrollo de unas páginas de consejos de seguridad para las
PyMEs, que proporcionan un entendimiento fácil, sin jerga técnica, sobre
aspectos relacionados con la seguridad de la información.
• Desarrollo bienal de Estudios sobre Incidentes de Seguridad de la
Información para ayudar a entender los riesgos existentes para la infor-
mación.
• Colaboración en el desarrollo de un portal de e-learning sobre
Seguridad de la Información.
• Promoción del desarrollo de los estándares internacionales apro-
piados, y los marcos regulatorios a través del Comité de Dirección del
ENISA, del cual el BERR es miembro.
• Trabajo con las compañías para desarrollar soluciones a proble-
mas emergentes.
3.4.6.3. Esponsorización del CSIA de la

Iniciativa “Consigue seguridad online” (“Get safe online”). La inicia-
tiva aúna esfuerzos del sector público y privado para incrementar el nivel
de concienciación en la seguridad de Internet. La iniciativa consiste en un
portal Web que ofrece asesoramiento y guía para incrementar la seguridad
on line.
87
3.4.7. Esfuerzos del Ministerio de Defensa

El Ministerio de Defensa de Reino Unido (Ministry of
Defence, MoD), al igual que su homólogo estadounidense, contempla la
Ciberdefensa como una capacidad que ha de desarrollar. Considera que el
ciberespacio es, y será cada vez más, un nuevo campo de batalla, como lo
son el mar, el aire o la tierra tal como puede observarse en los documentos
“DCDC Global Strategic Trend 2007-2036” y “The Defence White Paper:
Delivery Security in a Changing World”.
Basándose en la “aparición de un nuevo campo de batalla”, el MoD ha
incluido (dentro de su documento “Estrategia de la Tecnología de Defensa
para las demandas del siglo XXI”, enfocado al personal del MoD relacio-
nado con la adquisición de medios para el ejército) los siguientes aspec-
tos de Ciberdefensa como prioritarios:
• Dentro de la recolección de información (datos de fuentes reales
y entrega de estos datos para labores de inteligencia) destaca la
Ciberrecolección, determinando como tecnologías prioritarias aquellas
que permitan realizar:
o Representación de diagramas de redes (“network mapping”).
o Monitorización de tráfico y sistemas.
o Análisis de vulnerabilidades.
o Análisis e integración de eventos de seguridad.
o Fusión de información.
• Dentro de la seguridad de la información de las TIC determina

como tecnologías prioritarias:
o La Criptografía.
o La Defensa de Redes de Ordenadores (concepto análogo al de
“Operaciones de Redes de Ordenadores” de EE.UU) en donde
incluye:
Sistemas de Detección de Intrusos.
Sensores.
Protección de Intrusiones.
Análisis e Integración de Eventos de Seguridad.
Reacción y Respuesta.
Protección contra Virus, Gusanos y Malware.
Gestión de Parches de Seguridad.
Prevención de Denegaciones de Servicio.
o Las Técnicas de Intercambio Seguro de Información.
o El Control de Acceso y Gestión de Identidades.
La estrategia de Ciberdefensa definida por el MoD, se puede decir que

cobra un especial impulso si hacemos caso a las últimas noticias apare-
cidas en la prensa, en las que personal del DoD admite que aspectos
como la “Defensa de Redes de Ordenadores” o la Inteligencia a través de
Internet, son áreas de gran interés.
88
Anexo A
Aparte de la identificación de necesidades, que a fecha de hoy contarán

con un nivel mayor o menor de cobertura, cabe destacar que el MoD posee
un CERT propio (MoDCERT) y que es miembro del “FIRST” (“Forum of Inci-
dent Response Security Teams”) y del “Trusted Introducer Scheme” (el
“Trusted Introducer” es la red de confianza para los CERTs en Europa).
El MoDCERT es una organización distribuida formada por un Centro de
Coordinación (el “Joint Security Co-ordination Centre” o JSyCC) y un “área
técnica” (“Defence Equipment & Support Industry Security Services Defen-
sive Information Operations” o DE&S ISS DIO).
Por otro lado, este Centro está soportado por diversos Centros de
Información y Monitorización (“Monitoring and Reporting Centres, MRCs") y
Puntos de Información, Asesoría y Alerta (“Warning, Advice and Reporting
Points, WARPs”). El MoDCERT trabaja estrechamente con el GOVCERUK (UK
Government CERT) y el CPNI.
4. Alemania
4.1. Contexto
Aunque Alemania no haya sufrido durante los últimos años nin-
gún ataque terrorista significativo, su condición de importante potencia
a nivel mundial hace que al igual que en otros países, durante los últi-
mos años, el gobierno haya trabajado en la mejora de la seguridad de su
país. Por ello, los hechos más relevantes relacionados con la Seguridad
Nacional y la Ciberdefensa que destacamos dentro de Alemania, o que
han afectado al país, son los siguientes:
• Creación del Ministerio Federal del Interior (BMI) en el año 1949.
• Creación del Oficina Federal de Seguridad de la Información (BSI)
en el año 1990.
• Ciberataques sufridos por Estonia en el año 2007.

Alemania ha desarrollado legislación relativa a ciberdefensa, entre
la que destaca el “paquete” relativo a las Leyes contra el Cibercrimen (ej.
Ley anti-hacking aprobada en 2007).
Por otro lado, en cuanto a los principales planes y estrategias relacio-
nados con la seguridad nacional y la ciberdefensa se refiere, caben ser
destacados los que se enumeran a continuación:
• Plan Nacional para la Protección de Infraestructuras de Infor-
mación (“National Plan for Information Infrastructure Protection, NPIIP”)
del año 2005.
• Guía del Concepto de Protección de Infraestructuras Críticas
(“Protection of Critical Infrastructures-Baseline Protection Concept”) del
año 2006.
89

La agencia encargada de la seguridad interna de Alemania es el
Ministerio Federal del Interior (BMI), quien coordina las acciones a tomar
en la protección de infraestructuras críticas.
En el siguiente diagrama puede observarse la estructura del BMI de
forma gráfica:
Figura 14. Estructura y organización en Alemania.

Dentro del BMI existen los siguientes organismos:

• La Oficina Federal de Seguridad de la Información (BSI): esta ofi-
cina tiene un papel primordial en la protección de las infraestructuras crí-
ticas. Trata todas las áreas relacionadas con la seguridad del ciberespa-
cio (se detallan a continuación) y toma acciones preventivas, analizando
las tecnologías de la información y desarrollando las medidas de protec-
ción adecuadas:
o Internet: análisis, conceptos, asesoramiento a otras agencias.
o Gestiona el grupo de respuesta de emergencia (computer emer-
gency response team, CERT) y el centro de virus informáticos.
o Aspectos de seguridad en red y criptografía, PKI, biometría.
o Protección de Infraestructuras críticas.
Dentro del propio BSI, cabe destacar el CERT-Bund que es el CERT

central de todas las agencias federales. Este Centro coordina a los CERTs
individuales que pudieran tener las propias agencias, y advierte y acon-
90
Anexo A
seja sobre vulnerabilidades de seguridad, tanto al sector privado, como

al público. En caso de emergencia, proporciona un equipo de especialistas
para analizar el problema e informar inmediatamente a los usuarios de los
posibles riesgos y sobre cómo deben actuar. Al CERT-Bund también se han
unido los CERTs de importantes empresas del sector privado.
Finalmente, con el objeto de proporcionar a la pequeña y mediana
empresa sin departamento de TIC, un medio de alerta ante amenazas de
seguridad, se creó el MCert.
• La Oficina Federal para la Protección Civil y Respuesta a los
Desastres (BBK), es la encargada de la protección física.
• La Oficina Federal de Policía Criminalista (BKA) es la responsable
de perseguir los crímenes contra la seguridad (interna o externa) en
Alemania, y los crímenes que impliquen el daño o la destrucción de
infraestructuras críticas. Además, la BKA es la agencia donde se realizan
los análisis de los crímenes de las tecnologías de la información y las
comunicaciones.
Por otro lado, dado que el 90% de las infraestructuras críticas en
Alemania están en manos del sector privado, el Ministerio de Economía
y Trabajo (BMWA) también tiene su papel en la protección de las infraes-
tructuras. Así, por ejemplo, una de sus funciones es desarrollar el marco
para asegurar el suministro de energía y además, es responsable de
garantizar que estén disponibles las infraestructuras y servicios necesa-
rios de telecomunicaciones.
Dependiente del BMWA, la Autoridad Reguladora de Telecomunicacio-
nes y Correos (RegTP) tiene como responsabilidad reforzar las normas
importantes, en particular aquellas que aseguren la fiabilidad y la segu-
ridad de las redes de telecomunicaciones.
4.4. Ciberdefensa
4.4.1. Protección de infraestructuras críticas

El ejercicio que ha realizado Alemania relacionado con la
protección de sus infraestructuras críticas se ha basado principalmente
en tres pilares. El primero de ellos, relacionado con la identificación de
las infraestructuras críticas, como son los siguientes sectores:
• Transporte y tráfico
• Energía
• Materiales peligrosos
• Telecomunicaciones y tecnologías de la información
• Finanzas
• Servicios
• Administración pública y sistema de justicia
• Otros: medios de comunicación, edificios simbólicos,
centros de investigación.
91
Una vez identificadas las infraestructuras a proteger, el gobierno ale-

mán lleva a cabo una estrategia de protección exhaustiva que incluye los
siguientes elementos:
1-. Medidas preventivas a todos los niveles.
2-. Mejorar la capacidad de detección temprana y respuesta rápida,
tanto para controlar el posible daño como para encontrar a quién
lo haya causado.
3-. Limitar los efectos de los ataques exitosos lo máximo posible.
4-. Asegurar que los sistemas afectados continúan funcionando a un ni-
vel mínimo o que su tiempo de recuperación sea lo más breve posible.
Para poder llevar a cabo la estrategia de protección, se ha procedido

al desarrollo de los otros dos pilares de actuación:
• La Guía del “Concepto de Protección de Infraestructuras Críticas”,
focalizada principalmente en las compañías privadas. En esta guía no se
mencionan objetivos y medidas relativos a Ciberdefensa, pero sí se con-
templan las infraestructuras TIC como infraestructuras críticas del país.
• Desarrollo del “Plan Nacional para la Protección de Infraestructuras
de Información” (“National Plan for Information Infraestructure Protec-
tion”), que se analiza en mayor profundidad a continuación.
4.4.2. Plan Nacional para la protección de

infraestructuras de información
Para garantizar la protección de las infraestructuras de
información, Alemania ha establecido 3 objetivos estratégicos en el Plan
Nacional para la Protección de Infraestructuras de Información (NPIIP):
1-. Prevención: proteger las infraestructuras de información de forma
adecuada.
2-. Preparación: responder de forma efectiva a los incidentes de
seguridad de TIC.
3-. Sostenibilidad: mejorar las competencias de Alemania en las TIC y
desarrollar estándares internacionales.
Con el NPIIP, el gobierno alemán deja claro que la protección de las

infraestructuras de la información es la base para el correcto funciona-
miento de las infraestructuras de todo el país. Al igual que en la mayo-
ría de países, para proteger las infraestructuras es vital la cooperación
entre la administración y el sector privado.
En el NPIIP, se marcan una serie de hitos, relacionados con los obje-
tivos estratégicos comentados anteriormente:
1-. Aumentar la concienciación sobre los riesgos relacionados con las
tecnologías de la información.
2-. Empleo de productos y sistemas TIC seguros.
3-. Respetar la confidencialidad.
4-. Poner en práctica las salvaguardas.
92
Anexo A
5-. Crear condiciones y líneas a seguir en el contexto de las TIC.

6-. Coordinar las estrategias de seguridad.
7-. Dar forma a las políticas nacionales e internacionales.
8-. Identificar, registrar y evaluar los incidentes.
9-. Informar, alertar y prevenir.
10-. Responder a los incidentes de seguridad en las TIC.
11-. Promover tecnologías de la información fiables y de confianza.
12-. Mejorar las competencias nacionales en seguridad en las TIC.
13-. Entrenar en competencias de seguridad en la educación escolar
y en el sector profesional.
14-. Promover la investigación y el desarrollo.
15-. Expandir la coordinación internacional y el desarrollo
de estándares.
En resumen, los hitos del 1 al 7 están relacionados con el primer obje-
tivo estratégico (Prevención), los que van del 8 al 10, con el objetivo
estratégico de Preparación y, por último, los cuatro últimos, del 11 al 15,
con el objetivo estratégico de Sostenibilidad.
5. España
5.1. Contexto
Los hechos de mayor relevancia que han influido en España,
junto a los ataques terroristas del 11 de septiembre del 2001 en EE.UU.
y el 7 de julio de 2005 en Reino Unido, en aspectos relativos a la
Seguridad Nacional y la Ciberdefensa, son los atentados islamistas del 11
de marzo de 2004 en Madrid y los Ciberataques sufridos por Estonia en
el año 2007.
5.2. Legislación, planes y estrategia

A diferencia de otros países, la legislación española referente a la
Seguridad Nacional y la Ciberdefensa no se encuentra recogida en leyes
específicas sino que son aspectos que se tratan de manera más o menos
profunda dentro de la legislación. Por lo tanto, destacaríamos dentro de
la normativa los siguientes aspectos:
• Leyes recogidas en la “Guía Legal de Respuesta Jurídica frente a
los Ataques contra la Seguridad de la Información” publicada por Inteco,
en la que se relacionan las amenazas, las medidas de protección y las
medidas legales relativas a los ataques.
• El conjunto de Artículos del Código Penal y Leyes que tratan de
manera directa o indirecta el tema del terrorismo.
Por otro lado, en cuanto a los principales planes y estrategias relacio-
nados con la Seguridad Nacional y la Ciberdefensa, los más destacados
son los siguientes:
93
• Directiva de Defensa Nacional de 2004.

• Plan Nacional de Protección de las Infraestructuras Críticas.
• Desarrollo del Centro de Alerta Temprana Antivirus (CATA).
• Desarrollo de diversos CERT´s (públicos y privados).
• Esfuerzos realizados por el CCN para la mejora de la seguridad
de la información en la Administración Publica.
• MoU del 14 de mayo de 2008 para la participación de España
en el Centro de Excelencia de Ciberdefensa Cooperativa.

Los organismos vinculados a la Seguridad Nacional y Ciberdefen-
sa en España son los siguientes:
• El Ministerio del Interior que tiene asignadas, entre otras, las
siguientes responsabilidades:
o La preparación y ejecución de la política del Gobierno en rela-
ción con la administración general de la seguridad ciudadana.
o La promoción de las condiciones para el ejercicio de los dere-
chos fundamentales, especialmente en relación con la libertad y seguri-
dad personal, en los términos establecidos en la Constitución Española y
en las leyes que los desarrollen.
o El mando superior, la dirección, y la coordinación de las Fuerzas
y Cuerpos de Seguridad del Estado.
o El ejercicio de las competencias legalmente atribuidas sobre
protección civil.
Dentro del Ministerio del Interior, existen diversos grupos o unidades

relacionadas con actividades de Ciberdefensa entre los que destacan:
o La Dirección General de Infraestructuras y Material de

Seguridad que es el órgano encargado de desarrollar el Plan Nacional
de Protección de Infraestructuras Críticas y que está integrado por las
siguientes Subdirecciones Generales:
La Subdirección General de Planificación y Gestión de
Infraestructuras y Medios para la Seguridad.
La Subdirección General de Sistemas de Información y
Comunicaciones para la Seguridad.
oGrupo de Delitos Telemáticos de la Guardia Civil

La misión encomendada a este grupo es la siguiente:
Llevar a cabo todas aquellas investigaciones relacionadas
con la delincuencia informática que le encomienden las Autoridades judi-
ciales, o que conozca por comunicaciones y denuncias de los ciudadanos,
que por su importancia o relevancia social, dificultad técnica o número
de afectados, aconsejen la dedicación de los recursos materiales y huma-
nos más técnicos de la Guardia Civil.
94
Anexo A
Detección de delitos informáticos en la Red (patrullas

cibernéticas).
Apoyar las investigaciones, en aquellos aspectos técnicos
que se precisen, de la Unidad Central Operativa (UCO), en la que se
encuentra encuadrada.
Formación del personal de los Equipos de Investigación
Tecnológica de las unidades territoriales de la Guardia Civil.
Codirección Técnica de los Equipos de Investigación
Tecnológica (EDITE,s).
Representar y promover la participación de la Guardia Civil
en cuantos encuentros, foros o seminarios internacionales se organicen
sobre investigación tecnológica y cibercriminalidad.
Punto de contacto de cooperación internacional en el
ámbito del cibercrimen.
Coordinar la participación de la Guardia Civil en investiga-
ciones de cooperación o colaboración internacional en el ámbito del
cibercrimen.
o Brigada de Investigación Tecnológica del Cuerpo Nacio-

nal de Policía
La Brigada de Investigación Tecnológica es la Unidad policial destina-
da a responder a los retos que plantean las nuevas formas de delincuen-
cia como son la pornografía infantil; estafas y fraudes por Internet; frau-
des en el uso de las comunicaciones; ataques cibernéticos; piratería, etc.
Su misión consiste en obtener las pruebas, perseguir a los delincuen-
tes y poner a unas y otros a disposición judicial. Para poder desarrollar
su labor, las “herramientas” que utilizan son: la formación continua de
los investigadores; la colaboración con las más punteras instituciones
públicas y privadas; la participación activa en los foros internacionales de
cooperación policial y la colaboración ciudadana.
o El Centro Criptológico Nacional (CCN), adscrito al Centro Nacio-

nal de Inteligencia, es el Organismo responsable de coordinar la acción de los
diferentes organismos de la Administración que utilicen medios o procedi-
mientos de cifra, garantizar la seguridad de las tecnologías de la información
en ese ámbito, informar sobre la adquisición coordinada del material criptoló-
gico y formar al personal de la Administración especialista en este campo.
o El Instituto Nacional de Tecnologías de la Comunicación

(INTECO), promovido por el Ministerio de Industria, Turismo y Comercio,
es una plataforma para el desarrollo de la Sociedad del Conocimiento a
través de proyectos del ámbito de la innovación y la tecnología.
Este Instituto desarrolla, entre otras, iniciativas de seguridad tecnoló-
gica, accesibilidad e inclusión en la sociedad digital y soluciones de
comunicación para particulares y empresas.
95
5.4. Ciberdefensa
5.4.1. Estrategia de Seguridad Nacional

En España, en Octubre de 2008, aún no se ha desarrollado
ninguna estrategia genérica de seguridad nacional, aunque su necesidad ha
sido identificada según han anunciado destacados miembros del gobierno:
• El presidente del Gobierno, José Luis Rodríguez Zapatero, en su
discurso de investidura del 8 de abril de 2008, anunció su intención de
proponer una Estrategia de Seguridad Nacional para mejorar la seguri-
dad de la sociedad española.
• Por otro lado, el ministro de Interior, Alfredo Pérez Rubalcaba, en
su comparecencia del 27 de mayo de 2008 ante la Comisión de Interior,
tras enunciar que la seguridad de la nación era la primera tarea del
Estado, describió los nuevos riesgos de seguridad que generaban el cri-
men organizado, el terrorismo de ámbito internacional, los tráficos ilíci-
tos, la proliferación de armas de destrucción masiva y las catástrofes
medioambientales. Para afrontar las nuevas condiciones de seguridad, el
ministro aseveró que el Gobierno se disponía a elaborar una Estrategia
de Seguridad Nacional, según había anticipado el presidente.
• Posteriormente, el 30 de junio de 2008, en su primera compare-
cencia ante la Comisión de Defensa, la ministra de Defensa, Carme Cha-
cón, también manifestó su deseo de elaborar una Estrategia Integral de
Seguridad y Defensa para hacer frente a los nuevos desafíos de la segu-
ridad bajo los efectos de la globalización.

A raíz de los atentados de Madrid en marzo de 2004, la
Comisión Europea adoptó la Comunicación sobre protección de las
infraestructuras críticas, que contiene propuestas para mejorar la pre-
vención, preparación y respuesta de Europa frente a atentados terroris-
tas que la amenacen. En la misma línea planteada a nivel comunitario,
el 7 de mayo de 2007 el Secretario de Estado de Seguridad aprobó el
Plan Nacional de Protección de las Infraestructuras Críticas.
Una vez aprobado dicho Plan, el Acuerdo firmado en noviembre de
2007 en el Consejo de Ministros recoge los siguientes aspectos:
• Se designa a la Secretaría de Estado de Seguridad como órgano
responsable de la dirección, coordinación y supervisión de la protección
de infraestructuras críticas nacionales. Por ello, dirigirá la aplicación del
Plan Nacional de Protección de Infraestructuras Críticas y actuará como
punto nacional de contacto con la Comisión Europea y con otros Estados
que sean propietarios o gestores de infraestructuras críticas.
• La documentación contenida en el Catálogo Nacional de Infraes-
tructuras Estratégicas (se trata de información completa, actualizada y
contrastada sobre la totalidad de las infraestructuras estratégicas en el
territorio nacional, su ubicación, titularidad, servicio que presta, nivel de
96
Anexo A
seguridad que precisan, etc.), será calificada como secreto, dada la alta
sensibilidad para la seguridad nacional de la información contenida en
dicho Catálogo.
• Se creará dentro de la Secretaría de Estado de Seguridad, el Centro
Nacional de Protección de Infraestructuras Críticas (CNPIC) para instrumen-
tar las tareas encomendadas a ese Órgano Superior en la materia. Este
Centro custodiará y actualizará el Plan de Seguridad de Infraestructuras
Críticas y el Catálogo Nacional de Infraestructuras Críticas.
Por otro lado, en cuanto a la relación existente entre la Ciberdefensa

y la Protección de Infraestructuras Críticas, caben destacar varias de las
funciones asignadas a la Dirección General de Infraestructuras y Material
de la Seguridad, en las que tendría cabida el desarrollo de las habilida-
des en Ciberdefensa:
1-. Desarrollar y coordinar la elaboración de estudios y propuestas
conducentes a la definición de políticas, la optimización de infraestructu-
ras organizativas, la mejora de procedimientos de actuación administra-
tiva, la estandarización y homologación de infraestructuras, material, sis-
temas de información y comunicaciones, codificación y estructuras de
datos en el ámbito de la seguridad.
2-. Proponer para su aprobación a la Subsecretaría los planes y pro-
gramas de infraestructuras, material, sistemas de información y comuni-
caciones en el ámbito de la seguridad, así como coordinarlos, supervisar
su ejecución, evaluarlos y analizar sus costes.
3-. Promover proyectos para la implantación, adquisición y manteni-
miento de infraestructuras, medios materiales, sistemas de información
y comunicaciones de utilización conjunta o compartida por las Fuerzas y
Cuerpos de Seguridad del Estado, coordinar y supervisar la determina-
ción de sus requisitos técnicos, pliegos de condiciones, programación
económica y ejecución, así como de aquellos otros proyectos promovidos
por unidades u órganos dependientes de la Secretaría de Estado de
Seguridad, cuando se financien total o parcialmente con créditos del ser-
vicio presupuestario de la Secretaría de Estado.
4-. Coordinar, desarrollar e implantar bases de datos, sistemas de
información y sistemas de comunicaciones de utilización conjunta o com-
partida por los Cuerpos y Fuerzas de Seguridad del Estado, incluyendo
los correspondientes al Sistema Schengen y al Sistema de radiocomuni-
caciones digitales de emergencia del Estado.
5.4.3. Esfuerzos en ciberdefensa

Si bien el marco de la Protección de Infraestructuras
Críticas es propicio para que en España se puedan desarrollar mayores
iniciativas relacionadas con la Ciberdefensa, es importante reseñar aque-
llos esfuerzos que ya se están realizando por parte de ciertas organiza-
ciones.
97
5.4.4. CCN
El CCN lleva a cabo las siguientes tareas relacionadas con
la seguridad de la información:
• Elaborar y difundir normas, instrucciones, guías y recomendacio-
nes para garantizar la seguridad de los sistemas de las tecnologías de la
información y las comunicaciones de la Administración. Las acciones de-
rivadas del desarrollo de esta función serán proporcionales a los riesgos
a los que esté sometida la información procesada, almacenada o trans-
mitida por los Sistemas.
• Formar al personal de la Administración especialista en el campo
de la seguridad de los sistemas de las tecnologías de la información y las
comunicaciones.
• Constituir el organismo de certificación del esquema nacional de
evaluación y certificación de la seguridad de las tecnologías de informa-
ción, de aplicación a productos y sistemas en su ámbito.
• Valorar y acreditar la capacidad de los productos de cifra y de los
sistemas de las tecnologías de la información, que incluyan medios de
cifra, para procesar, almacenar o transmitir información de forma segura.
• Coordinar la promoción, el desarrollo, la obtención, la adquisición
y puesta en explotación y la utilización de la tecnología de seguridad de
los sistemas mencionados.
• Velar por el cumplimiento de la normativa relativa a la protección
de la información clasificada en su ámbito de competencia.
• Establecer las necesarias relaciones y firmar los acuerdos perti-
nentes con organizaciones similares de otros países.
• Gestión de incidentes de seguridad a través del CCN-CERT, servi-
cio puesto en funcionamiento a principios de 2007 como CERT guberna-
mental español y que está presente en los principales foros internacio-
nales en los que se comparte objetivos, ideas e información sobre la
seguridad de forma global.
5.4.5. INTECO
El INTECO desarrolla los siguientes proyectos en el ámbi-
to de la seguridad tecnológica orientados a prestar servicio a ciudadanos
y PyMEs:
• Centro de Alerta Temprana Antivirus (CATA)
El Centro de Alerta Temprana pretende ser una plataforma para cana-
lizar el flujo de información necesario entre los usuarios, y los expertos
del equipo de seguridad, sobre los diferentes virus existentes (con docu-
mentación sobre sus características, como gravedad, fecha de aparición,
calendario de activación, etc.). Por otro lado, como complemento, ha
creado el Centro de Información de Seguridad, con una biblioteca, donde
se encuentran las definiciones más importantes y un glosario de térmi-
nos, y un servicio de documentación (legislación y otros temas relativos
a Seguridad).
98
Anexo A
Aunque actualmente los servicios ofrecidos se orientan al problema de

los virus informáticos, próximamente serán ampliados para cubrir otros
problemas de seguridad en Internet.
• Centro de Respuesta a Incidentes en Tecnologías de la In-

formación para PyMEs y Ciudadanos (Inteco-CERT)
Centro que sirve de apoyo al desarrollo del tejido industrial nacional y
ofrece los servicios clásicos de un Centro de Respuesta a Incidentes,
dando soluciones reactivas a incidentes informáticos, servicios de pre-
vención frente a posibles amenazas y servicios de información, concien-
ciación y formación en materia de seguridad a las PyMEs y ciudadanos
españoles, etc.
• Observatorio de la Seguridad de la Información

Esta organización tiene como misión principal la de analizar, describir,
asesorar y difundir la cultura de la seguridad y la confianza en la
Sociedad de la Información, mediante la generación de conocimiento
especializado en la materia, y la elaboración de recomendaciones y pro-
puestas que permitan definir tendencias válidas para la toma de decisio-
nes en el ámbito de la seguridad.
• Centro Demostrador de Seguridad para las PyMEs

Centro que tiene como misión principal potenciar el uso de las tecno-
logías relacionadas con la seguridad en las PyMEs españolas, para ello,
proporcionará un catálogo de soluciones de seguridad informática que
ayude a cubrir sus necesidades y apoyar su desarrollo.
5.4.6. CCD COE

En la parte dedicada a la ciberdefensa específicamente,
España participa activamente en el Centro de Excelencia de Ciberdefensa
Cooperativa (“Cooperative Cyber Defence Centre of Excellence”, CCD
COE) que la OTAN ha establecido en Tallín, Estonia, tras la firma del MoU
del 14 de mayo de 2008.
El CCD COE es una organización multinacional que proporciona I+D y
servicios de formación a la OTAN, entre otras cosas. Está abierto a la par-
ticipación de todos los miembros de la OTAN y además puede firmar
acuerdos con organizaciones ajenas a la OTAN, como universidades,
empresas, etc.
Centrará su trabajo en las siguientes áreas fundamentales de la
Ciberdefensa:
• Desarrollo de doctrinas y conceptos.
• Formación y concienciación.
• Investigación y desarrollo.
• Análisis y lecciones aprendidas.
• Consulta.
99
5.4.6.1. Estructura y organización. La estruc-

tura del CCD COE se puede ver en la figura siguiente. Como puede apre-
ciarse, España colabora aportando el jefe de la rama de entrenamiento y
personal especializado.
Figura 15. Estructura del CCD COE de la OTAN.

5.4.6.2. Financiación. El centro cuenta con una

financiación inicial de 100.000 euros, aportados de la siguiente manera:
Estonia, como país anfitrión, aporta la mitad (50.000 euros); el resto de
países participantes (Alemania, Italia, Letonia, Lituania, Eslovaquia y
España) aportan los 50.000 euros restantes en función del número de
puestos que ocupen.
6. Noruega
6.1. Contexto
En septiembre de 1999, mediante real decreto, se estableció en
Noruega la Comisión Gubernamental de “Una Sociedad Vulnerable” que
tenía encomendada la tarea de estudiar las vulnerabilidades de la socie-
dad, desde una perspectiva amplia, lo que se traducía en evaluar las for-
talezas y debilidades de los planes de emergencia que existían, identifi-
car las prioridades, facilitar el incremento del nivel de concienciación y
debatir sobre las vulnerabilidades existentes.
La Comisión identificó varias áreas en las que enfocarse, entre las que
se encontraba la de las Infraestructuras Críticas. Aparte de este área,
100
Anexo A
cabe destacar también que la Comisión puso gran énfasis en las TIC
como foco de vulnerabilidad para la sociedad en general.
Por otro lado, y previamente al establecimiento de la Comisión, en
1998 el Comité del Secretario de Estado para las TIC, formó un subco-
mité con el objetivo de informar sobre el estado de las vulnerabilidades
de las TIC de Noruega. Posteriormente, y en relación con el mismo tema,
se puso en marcha en 1999 el proyecto denominado “Proyecto de
Vulnerabilidades TIC” formado por un grupo interdepartamental encarga-
do por el Ministerio de Comercio e Industria y que colaboró con la
Comisión de “Una Sociedad Vulnerable”.
En el “Proyecto de Vulnerabilidades TIC”, las autoridades responsables
de cada sector evaluaron los riesgos, uniendo estos a las funciones espe-
cíficas del sector. Como resultado, el proyecto desembocó en la publica-
ción de la “Estrategia Nacional de Seguridad de la Información “ en el año
2003.

Noruega ha integrado la seguridad de la información en multitud
de leyes, normas y regulaciones entre las que quizás, las más destaca-
bles son las relacionadas con el cibercrimen y que están integradas en el
Código Penal:
• Código Penal, párrafo 145 (relacionado con el acceso a datos o
programas mediante el forzado de mecanismos de protección).
• Código Penal, párrafo 151b (relacionado con las interrupciones
provocadas a la administración pública u otras partes de la sociedad
debido a la alteración o interrupción en la recabación de datos, servicios
de telecomunicaciones etc.).
• Código Penal, párrafo 291 (relacionado con el vandalismo).
• El 4 de noviembre de 2003, el comité de cibercrimen presentó al
Ministerio de Justicia una propuesta de inclusión en el código penal, la
cual fue promulgada el 8 de Abril del 2005.
• Código Penal, párrafo 145b (relacionado con la difusión no auto-
rizada de códigos secretos (ej. Contraseñas) que permite el acceso a la
totalidad o parcialidad de los ordenadores).
• El 4 de marzo de 2005 la Cámara del Parlamento (Stortinget)
recomendó la actualización del código penal y la ratificación de la
Convención del Consejo Europeo sobre el Cibercrimen.
Por otro lado, los principales planes y estrategias del gobierno norue-
go relacionados con la ciberdefensa y la seguridad de la información son:
• La Estrategia Nacional para la Seguridad de la Información (“Na-
tional Strategy for Information Security”) del año 2003.
• Las “Guías Nacionales para Fortalecer la Seguridad de la Infor-
mación 2007-2010” (“National Guidelines to Strengthen Information Se-
curity 2007-2010”).
101

En Noruega las responsabilidades en ciberdefensa están reparti-
das entre varias organizaciones, tanto públicas como privadas.
6.3.1. Agencias públicas

Las agencias públicas más importantes relacionadas con la
ciberdefensa de forma directa son las siguientes:
• Autoridad Nacional de Seguridad Noruega (NSM)
El NSM es el encargado de coordinar las medidas preventivas de segu-
ridad. Esta agencia controla el nivel de seguridad y monitoriza la provi-
sión de bienes y servicios de los proveedores privados, a las organizacio-
nes públicas, cuando los productos o servicios están relacionados con la
seguridad.
Por otro lado, el NSM también desarrolla medidas de seguridad técni-
cas y administrativas y emite evaluaciones de amenazas e informes de
vulnerabilidades.
Aparte de las labores descritas con anterioridad, el NSM aglutina las
organizaciones que se enumeran a continuación:
o SERTIT
Es la Autoridad Pública de Certificación de la seguridad de las TIC
en Noruega.
o Sistema de Alarma para Infraestructuras Digitales (“Warning
System for Digital Infrastructures”, VDI).
Es una red entre los servicios de inteligencia y los operadores de
infraestructuras públicos y privados más importantes. El VDI alerta a sus
clientes de brechas e intentos de intrusión en las redes de ordenadores.
o NorCERT
El NorCERT coordina el trabajo preventivo y responde contra las
brechas de seguridad de las TIC relacionadas con las infraestructuras
vitales de Noruega (este CERT alerta sobre ataques, amenazas y vulne-
rabilidades).
• Consejo de Coordinación Nacional de Seguridad de la Infor-

mación (KIS)
El KIS depende del Ministerio de la Administración y Reforma del
Gobierno, y está compuesto por representantes de los Ministerios con
responsabilidades en el área de la seguridad TIC.
Desde su creación, el KIS se encarga de coordinar a las agencias
gubernamentales en sus esfuerzos preventivos relacionados con la segu-
ridad de la información. También es la entidad responsable de controlar
el avance de la implantación de medidas en las áreas de acción y puede,
a través del Ministerio de la Administración y Reforma del Gobierno,
informar al Gobierno acerca del estado global en seguridad.
Otra de sus funciones es la de tomar decisiones para emprender medi-
das que afecten a varios sectores, sin interferir en la responsabilidad
102
Anexo A
individual del Ministerio encargado de dicho sector. Por esto, Noruega

está estudiando la creación de grupos de trabajo bajo el KIS para prepa-
rar medidas concretas para las áreas de acción.
Aparte de las agencias enumeradas con anterioridad, otras agencias,

de manera indirecta, también están relacionadas con la ciberdefensa:
• Directorado para la Protección Civil y los Planes de Emer-
gencia (DSB)
El DSB es el encargado de coordinar y llevar a cabo la investigación
de las vulnerabilidades y protección de activos críticos en cooperación
con otras organizaciones.
• Comisión para la Protección de Infraestructuras Críticas en

Noruega
La Comisión es la encargada de definir e identificar las infraestructu-
ras críticas en Noruega, y evaluar los diferentes medios que pueden
implementarse para la protección de las citadas infraestructuras.
6.3.2. Agencias Público-Privadas

Aparte de las agencias públicas, existen otras conformadas
por actores del sector público y privado. Del conjunto de estas agencias,
las que se encuentran más relacionadas con la ciberdefensa en el país
son las siguientes:
• Centro para la Seguridad de la Información (SIS)
El SIS es el responsable de coordinar las actividades relacionadas con
la seguridad de las tecnologías de la información y las comunicaciones en
Noruega (intercambio de información, competencias, conocimiento sobre
amenazas y contramedidas etc.).
• UNINETT CERT
Es otro equipo de respuesta ante incidentes de las TIC en Noruega, y
una red académica para la investigación y el desarrollo. El equipo, for-
mado en 1995, entre otras cosas contribuye a mejorar la seguridad en
Internet para las instituciones miembro. Su tarea básica es la de propor-
cionar asistencia en el manejo e investigación de incidentes en los que
los miembros estén involucrados.
6.4. Ciberdefensa
6.4.1. Estrategia Nacional para la

Seguridad de la Información
El Ministerio de Comercio e Industria publicó esta estrate-
gia para la seguridad de las TIC de Noruega en junio de 2003. Proponía
varias iniciativas para la mejora de la seguridad, basadas en las “Guías
OECD para la Seguridad de la Información y las Redes”. La Estrategia
103
englobaba todos los aspectos de la seguridad de las TIC y las activida-

des diarias del gobierno para la seguridad de las infraestructuras críticas
dependientes de las TIC.
La implementación de las medidas de la Estrategia tuvo lugar entre los
años 2003 y 2006, llevándose a cabo la mayoría del trabajo dentro de
cada sector, principalmente por las agencias y las empresas. La prioridad
era la de asegurar las infraestructuras críticas TIC en la sociedad, y se
fortaleció para ello la organización del trabajo cruzado entre los sectores.
Finalmente, como resultado se obtuvo también una clarificación sobre
las responsabilidades ministeriales relacionadas con la coordinación
nacional a nivel de advertencia, asesoramiento y asistencia.
6.4.2. Guía nacional para fortalecer la

seguridad de la información 2007-2010
Después de lanzar su Estrategia Nacional para la Segu-
ridad de la Información en el 2003, en Noruega destacan el desarrollo de
cuatro aspectos tecnológicos relacionados con los usuarios que se han
producido en los últimos años:
• Incremento de la dependencia de la sociedad en las TIC (y en par-
ticular de Internet). La sociedad se ha vuelto vulnerable, incluso a bre-
ves interrupciones en los sistemas y las redes. El crecimiento de esta vul-
nerabilidad es, en parte, un resultado del incremento de la complejidad
de sistemas y redes.
• Incremento en la tendencia de los ataques a profesionalizarse,
personalizarse y fijar objetivos específicos.
• Los beneficios financieros siguen siendo la motivación más impor-
tante para los atacantes aunque el robo de información confidencial se está
viendo incrementado. Se están dando señales claras de la profesionaliza-
ción de las actividades criminales. Actualmente existe un mercado ilegal de
comercialización de herramientas para cometer violaciones de seguridad.
• El gran incremento del número de PCs y usuarios de Internet, con
variadas habilidades, ha conllevado la necesidad de elevar el nivel de
concienciación, compartición de información y formación. Todos los usua-
rios deberían obtener un mejor entendimiento de sus responsabilidades
hacia otros usuarios de Internet, y de las habilidades y conocimientos
que necesitan para gestionar esta responsabilidad
El gobierno de Noruega, teniendo en cuenta el trabajo realizado y la
situación existente en la actualidad, publicó las “Guías Nacionales para
Fortalecer la Seguridad de la Información 2007-2010”, que definen tres
objetivos generales en seguridad:
1-. Robustecer y asegurar las infraestructuras críticas y dar soporte a
los sistemas que prestan funciones sociales críticas.
2-. Una sólida cultura de seguridad en el desarrollo y el uso de siste-
mas de información y en el contexto del intercambio de datos electróni-
cos.
104
Anexo A
3-. Altos niveles de competencia y enfoque en la investigación en

seguridad.
Por otro lado, en el documento se presenta el plan de Noruega en el

marco de la seguridad de la información para el periodo de 2007 a 2010.
En primer lugar, los desafíos y tendencias identificados en lo concernien-
te a la seguridad de la información son:
1-. Creciente interdependencia entre las infraestructuras críticas.

2-. Creciente dependencia con respecto a Internet.
3-. Creciente vulnerabilidad de la sociedad a ataques en las
infraestructuras de las TIC.
4-. Las redes, servicios y terminales se funden, creando complejidad
y opacidad.
5-. Los servicios móviles y las redes inalámbricas crean nuevos
patrones de uso y aumentan las vulnerabilidades.
6-. El software presenta nuevas vulnerabilidades.
7-. La ausencia de una conciencia de seguridad entre los usuarios
supone un alto y creciente riesgo.
8-. La internacionalización debilita gradualmente el control nacional
de los sistemas y redes nacionales.
9-. Los cambios en los usos de las tecnología sirven a las
organizaciones para crear nuevos retos en seguridad;
10-. Internet crea nuevas tendencias sociales e incrementa la vulnerabi-
lidad de los participantes en las relaciones sociales basadas en él.
Una vez identificados los retos a los que debe hacer frente, el gobier-
no noruego plantea las siguientes áreas de acción para cumplir los obje-
tivos generales del Gobierno:
1-. Se debe mejorar la protección de las infraestructuras sociales de

TIC críticas.
2-. Los conjuntos de normas relativos a la seguridad deben ser más
consecuentes e inteligibles.
3-. La información y los sistemas de información deben ser clasifica-
dos para facilitar la asignación de elementos de acción.
4-. Los análisis de riesgos y vulnerabilidades deben ser llevados a
cabo por todo el mundo, especialmente por todos los propietarios
de infraestructuras críticas.
5-. Incrementar los esfuerzos para mejorar la concienciación y
esparcir el conocimiento.
6-. La notificación y el manejo de eventos de seguridad deben ser
rápidos y coordinados.
7-. Todos los Ministerios deben promover el uso de estándares,
certificaciones y regulación interna.
105
8-. Los Ministerios deben promover la I+D, la formación y el desarro-

llo de competencias dentro de la seguridad de la información.
9-. Acuerdo coordinado entre los sectores para la gestión de la iden-
tidad y la firma electrónica.
10-. Debe desarrollarse la colaboración internacional para la seguri-
dad de la información de los Ministerios.
7. Unión Europea
7.1. Contexto
El conjunto de conflictos y actividades terroristas acaecidos duran-
te los últimos años, tanto en el marco de la Unión Europea, como a nivel
internacional, así como la rápida proliferación de las redes de comunicación
de datos y su utilización por parte de delincuentes y terroristas, ha conlleva-
do el desarrollo de reglamentación, así como de la puesta en marcha de pro-
gramas y la creación de estructuras para proteger a la Unión Europea de los
riesgos existentes. En cuanto a los hechos más relevantes relacionados con
la Seguridad Nacional (en este caso la Defensa de Europa) y la Ciberdefensa
caben destacar:
• Diciembre de 1991: El Tratado de Maastricht en el que se definió la
Política Exterior y de Seguridad Común (PESC) y se hizo referencia a una
Política de Defensa Común.
• Junio de 1999: En el Consejo Europeo de Colonia se produce el lan-
zamiento del proyecto de desarrollo de una Política Europea de Seguridad y
Defensa (PESD).
• Junio de 2003: en el Consejo Europeo de Tesalónica, Javier Solana
presenta la primera versión de la Estrategia Europea de Seguridad. En el
consejo se confía la tarea del establecimiento de la Agencia de Defensa
Europea (European Defence Agency, EDA).
• Diciembre del 2003: en el Consejo Europeo se adopta la Estrategia
de Seguridad Europea.
• Julio de 2004: creación de la EDA.

La normativa más destacable dentro de la Unión Europea en lo
referente a Seguridad y Ciberdefensa es la que se enumera en los
siguientes epígrafes:
• Decisión Marco 2005/222 JAI del Consejo de febrero de 2005,
relativa a los ataques de los que son objeto los sistemas de información:
La presente Decisión tiene por objeto reforzar la cooperación judicial
en materia penal relativa a los ataques contra los sistemas de informa-
ción mediante la instauración de instrumentos y procedimientos eficaces.
106
Anexo A
• Reglamento (CE) nº 460/2004 del Parlamento Europeo y del

Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea
de Seguridad de las Redes y de la Información (European Network and
Information Security Agency, ENISA):
Con el fin de garantizar a los usuarios el mayor grado de seguridad,
la Unión Europea crea el ENISA, que tiene una función de asesoramien-
to y coordinación de las medidas adoptadas por la Comisión y los Estados
miembro para asegurar sus redes y sistemas de información.
• Recomendación del Consejo, de 25 de junio de 2001, relativa a

los puntos de contacto en los que se ofrece un servicio ininterrumpido de
veinticuatro horas para luchar contra la delincuencia en el ámbito del
cibercrimen.
El Consejo invita a los Estados miembro a adherirse a la red de infor-
mación del G8 (accesible día y noche) con el objetivo de tratar cuanto
antes y de manera cualificada los distintos tipos de delincuencia vincula-
da al ciberespacio y de preservar las pruebas en un medio en el que la
información puede destruirse rápidamente.
Por otro lado, los planes y estrategias más destacados relacionados

con la Seguridad Nacional y la Ciberdefensa en la Unión Europea son los
que se enumeran a continuación:
• Política Exterior y de Seguridad Común (PESC), establecida en el
Tratado de Maastricht y actualizada en el Tratado de Amsterdam
en 1999.
• Política Europea de Seguridad y Defensa (PESD), cuyo texto bási-
co es la declaración del Consejo Europeo de Colonia en junio de 1999.
• Estrategia Europea de Seguridad del 12 de diciembre de 2003.
• Conjunto de medidas tendentes a reforzar la prevención, la pre-
paración y la respuesta de la Unión ante ataques terroristas con-
tra infraestructuras críticas.
• “Programa europeo para la protección de infraestructuras críti-
cas”, cuyo proyecto se aprobó en diciembre de 2004.
• La “Estrategia para una sociedad de la información segura”;
Comunicación de la Comisión en el año 2006.
• La “Propuesta para un enfoque político europeo en seguridad de
las redes y de la información”; Comunicación de la Comisión en el
año 2001.
• La “Lucha contra el Cibercrimen”.

La organización con mayor responsabilidad en ciberdefensa den-
tro de la UE es el ENISA, cuya estructura departamental podemos obser-
var en el siguiente diagrama.
107
Figura 16. Estructura de ENISA. Fuente: Documento consultado nº [40]
Como puede observarse, la Agencia está dirigida por un “Director

Ejecutivo” que es el responsable de gestionarla, aunque existe también
un Consejo de Dirección, que no aparece en el organigrama, y que se
asegura que la Agencia lleva a cabo sus tareas bajo las condiciones que
regulaban su fundación.
Aparte de los departamentos que aparecen por debajo del Director
Ejecutivo, este ha establecido un “Grupo de Expertos Permanente”, que
representa a los accionistas relevantes de la industria de las TIC, grupos
de consumidores y expertos académicos en seguridad de la información.
El Grupo de Expertos asesora al Director Ejecutivo en las actuaciones
que lleva a cabo, en las propuestas de programas de trabajo para la
Agencia y asegurando la comunicación con los accionistas. Aparte de
este Grupo, el Director Ejecutivo establece Grupos de Trabajo Ad Hoc
compuestos por expertos, para gestionar cuestiones específicas del
ámbito técnico y/o científico.
Construida sobre los esfuerzos nacionales y comunitarios, la Agencia
es un “Centro de Excelencia” en el campo de la seguridad de la informa-
ción. El ENISA utiliza su conocimiento y experiencia para estimular la
cooperación en las acciones realizadas por el sector público y privado.
Las actividades de la Agencia consisten en otorgar asesoramiento y
recomendaciones sobre seguridad de la información, analizar datos, así
108
Anexo A
como soportar la mejora de la concienciación y cooperación entre los

organismos de la UE y los Estados miembro.
Por otro lado, la Agencia proporciona asistencia a la Comisión y los
Estados miembro en su diálogo con la industria para dirigir los problemas
de seguridad relacionados con los productos hardware o software. Final-
mente, la Agencia también sigue el desarrollo de estándares, promueve
actividades de evaluación de riesgos por los Estados miembro, así como
rutinas de gestión de riesgos, y produce estudios relacionados con estos
aspectos dentro de organizaciones, tanto del sector público, como privado.
7.4. Ciberdefensa
La UE ha desarrollado tres pilares en lo referente a la Seguridad
que son las siguientes políticas y estrategias:
• Política Exterior y de Seguridad Común (PESC)
• Política Europea de Seguridad y Defensa (PESD)
• Estrategia Europea de Seguridad
Del conjunto de los tres pilares, cabe destacar el que constituye el marco
constitucional de la defensa europea y que no es otra que la PESC, estable-
cida en el Tratado de la Unión Europea firmado en Maastricht. En esta
Política, posteriormente se incorporaron un conjunto importante de cambios
en el Tratado de Amsterdam de 1999 determinando cinco objetivos:
• Salvaguardar los valores comunes, intereses fundamentales y la
independencia e integridad de la Unión Europea (UE), en confor-
midad con el principio de la Carta de Naciones Unidas.
• Reforzar la seguridad de la UE en todas sus formas.
• Preservar la paz y fortalecer la seguridad internacional, en con-
cordancia con los principios de la Carta de Naciones Unidas.
• Promover la cooperación internacional.
• Desarrollar y consolidad la democracia, el estado de derecho y el
respeto por los derechos humanos y las libertades fundamentales.
Del conjunto de objetivos, el segundo de ellos es el que ha dado pie
al conjunto de esfuerzos realizados con posterioridad en el ámbito de la
Protección de Infraestructuras y Ciberdefensa.
7.4.1. Protección de Infraestructuras Críticas

Revisando los esfuerzos de la UE relativos a la protección
de infraestructuras críticas que se enumeran a continuación, podría no
estar demasiado clara la relación existente entre la Ciberdefensa y la
citada Protección de Infraestructuras Críticas. Para resolver esta cues-
tión, simplemente es necesario revisar una serie de definiciones e iden-
tificación de sectores con infraestructuras críticas que se recogen en el
Libro Verde sobre un Programa Europeo para la Protección de Infra-
estructuras Críticas (anexos I y II) para darse cuenta que la Ciberdefensa
debe ser un componente esencial de la nombrada Protección:
109
1-. Definiciones
o Infraestructura Crítica
“Infraestructura crítica incluye aquellos recursos físicos, servicios,
infraestructuras de tecnologías de la información, redes y activos cuya
destrucción o interrupción podría tener un serio impacto en la salud,
seguridad o bienestar económico de los ciudadanos, o en el funciona-
miento eficaz de los gobiernos. Hay tres grupos de activos de infraestruc-
turas, de los cuales uno de ellos está compuesto por los activos públicos
y privados y sus redes físicas y lógicas (ciberredes y/o ciberespacio)
interdependientes”.
o Servicio Esencial
“Aquellos servicios básicos como el agua, gas, electricidad etc.
junto con otros como los sistemas eléctricos, los sistemas de control
medioambiental o las redes de comunicaciones que si son interrumpidos
ponen en riesgo la seguridad y confianza pública, amenazan la seguridad
económica o impiden la continuidad del gobierno de los Estados miem-
bro o sus servicios”.
o Infraestructura de Información Crítica
“Sistemas TIC que son infraestructuras críticas en si, o que son
esenciales para la operación de infraestructuras críticas (telecomunica-
ciones, ordenadores/software, Internet, satélites etc.)”.
2-. Sectores
El segundo sector crítico identificado es el Sector de la Información,
Comunicación, Tecnologías, TIC y sus productos o servicios como son:
o Protección de las redes y sistemas de información
o Sistemas SCADA
o Internet
o Provisión de telecomunicaciones fijas
o Provisión de telecomunicaciones móviles
o Comunicación por radio y navegación
o Comunicación por satélite
o Multidifusión
Una vez identificada la clara vinculación entre Ciberdefensa y

Protección de Infraestructuras Críticas, el trabajo llevado a cabo en la UE
parte en el Consejo Europeo de junio de 2004, que solicitó a la Comisión
y al Alto Representante que prepararan una estrategia global para pro-
teger las citadas infraestructuras. En respuesta a dicha petición, la
Comisión publicó, el 22 de octubre de 2004, la Comunicación sobre pro-
tección de las infraestructuras críticas en la lucha contra el terrorismo,
que constaba de varias partes:
1-. Descripción de la amenaza.
2-. Definición de que se entiende por Infraestructura Crítica y enume-
ración de las que tienen tal consideración.
110
Anexo A
3-. Descripción de los avances en la protección de las infraestructu-

ras críticas a nivel comunitario.
4-. Establecimiento del marco de mejora de la protección mediante el
Desarrollo de un Programa Europeo para la Protección de Infraestructu-
ras Críticas (PEPIC).
5-. La determinación de los objetivos del PEPIC y aspectos relativos
a la implementación del Programa.
6-. La determinación de los indicadores de éxito del PEPIC
Una vez publicada la Comunicación, los esfuerzos realizados relativos

a la protección de infraestructuras críticas ha sido los siguientes:
1-. Aceptación del proyecto de la Comisión sobre un Programa
Europeo para la Protección de las Infraestructuras Críticas (PEPIC) y una
Red de Alerta en relación con las Infraestructuras Críticas (CIWIN), en el
Consejo Europeo de 16 y 17 de diciembre de 2004.
2-. Elaboración del programa PEPIC a lo largo de 2005. El 17 de
noviembre de 2005, la Comisión adoptó el Libro Verde sobre un
Programa Europeo para la Protección de Infraestructuras Críticas (cuyo
objetivo es el de recabar puntos de vista en torno a las posibles opcio-
nes para el PEPIC).
3-. El 12 de diciembre de 2006 la Comisión presentó una Propuesta
de Directiva del Consejo sobre la identificación y designación de las
infraestructuras críticas europeas y la evaluación de la necesidad de
mejorar su protección (COM (2006) 787 final). El mismo día, la Comisión
adoptó también una Comunicación sobre un Programa Europeo para la
Protección de Infraestructuras Críticas (COM (2006) 786 final).
4-. A lo largo del año 2007 se definió en un conjunto de áreas, bajo
las cuales los proyectos podían ser financiados, que eran las siguientes:
o Mejora de las medidas de protección de infraestructuras críticas.

o Vulnerabilidades y resistencia de las infraestructuras críticas,
incluyendo el desarrollo de metodologías.
o Estrategias de mitigación de riesgos y evaluaciones de
amenazas para las infraestructuras críticas.
o Desarrollo de planes de contingencia.
o Desarrollo de estándares comunes de seguridad e innovación de
tecnologías para la protección de infraestructuras críticas.
o Proyectos multinacionales (con la involucración de al menos
dos países).
5-. Durante el año 2008 se está preparando la Directiva del Consejo

sobre la identificación y designación de las infraestructuras críticas euro-
peas y la evaluación de la necesidad de mejorar su protección (basada
en la Propuesta presentada en el año 2006, y que a la fecha de realiza-
ción de este estudio se encontraba en fase de borrador).
111
La Directiva está estructurada en tres partes:

o Una primera parte de consideraciones entre las que destacan:
Que el PEPIC debería tener en cuenta todo tipo de riesgo
incluyendo las amenazas tecnológicas.
Que corresponde, en última instancia, a los Estados
Miembro gestionar las disposiciones de protección de infraestructuras crí-
ticas y que la responsabilidad principal y última de proteger las Infra-
estructuras Críticas Europeas (ICE) corresponde a estos junto a los pro-
pietarios u operadores de tales infraestructuras (por lo que la participa-
ción plena del sector privado es de vital importancia).
Que la Directiva constituye un primer paso en la identifica-
ción y designación de las ICE.
Que la Directiva se concentra en los Sectores de la Energía
y de los Transportes y que cuando se revise se evaluará la necesidad de
incluir otros sectores como el de las TIC.
Que la información correspondiente a la designación de
una infraestructura como las ICE debe clasificarse al nivel apropiado.
Que en todas las ICE designadas deben existir planes de
seguridad del operador o medidas equivalentes que incluyan la identifi-
cación de elementos importantes, la evaluación de riesgos y la identifi-
cación y selección de contramedidas y procedimientos.
Que los Estados miembro deben asegurarse, e intervenir
en caso necesario, para que los propietarios u operadores de las ICE ten-
gan los citados planes de seguridad.
Que deben nombrarse responsables de seguridad y enlace
para todas las ICE (para facilitar la cooperación y comunicación con las
autoridades nacionales responsables de la protección de las infraestruc-
turas críticas).
Que cada Estado miembro debe recibir información sobre
las ICE y la Comisión sobre las vulnerabilidades, amenazas, riesgos y
posibles mejoras de los sectores donde haya ICE.
Que se podrán desarrollar métodos comunes de identifica-
ción y clasificación de vulnerabilidades, amenazas y riesgos sobre los ele-
mentos de la infraestructura.
Que los propietarios y operadores deben tener acceso a las
mejores prácticas y métodos de protección de infraestructuras críticas.
Que se debe garantizar un intercambio coherente y segu-
ro de la información por lo que es conveniente proteger la información
clasificada con arreglo a la normativa pertinente a escala comunitaria y
de los Estados miembro.
Que los Estados miembro y la Comisión deben respetar la
clasificación de seguridad correspondiente atribuida por la entidad origen
de los documentos.
Que el intercambio de información sobre las ICE se debe
producir en un entorno de confianza y seguridad.
112
Anexo A
o Una segunda parte que está compuesta por el conjunto de

artículos de la Directiva que son los siguientes:
Articulo 1 “Objetivo”
La Directiva establece un procedimiento de identificación y
designación de ICE y un planteamiento común para evaluar la necesidad
de mejorar la protección.
Artículo 2 “Definiciones”
Destaca la Definición de las ICE en la que las identifica como
infraestructuras críticas situadas en los Estados miembro cuya perturbación
o destrucción afectaría gravemente al menos a dos Estados miembro.
Artículo 3 “Identificación de las ICE”
Cada Estado miembro, con asistencia de la Comisión si se
requiere, identificará las ICE potenciales según unos criterios horizontales
(número de víctimas, impacto económico, impacto público ) y sectoriales.
Los sectores que se tendrán en cuenta a efectos de la
Directiva serán la Energía, y el Transporte, y que en las futuras revisiones se
podrán determinar nuevos sectores con prioridad al sector de las TIC.
Artículo 4 “Designación de las ICE”
Cada Estado miembro informará a los demás que puedan
verse afectados por una ICE potencial y entablarán conversaciones bila-
terales o multilaterales. Es necesario el acuerdo y aceptación del Estado
miembro donde se encuentra la ICE, y de los Estados miembro afecta-
dos, para designar a una infraestructura como tal.
Los Estados miembro que tenga ICE informarán a los pro-
pietarios u operadores de estas infraestructuras, y la información relati-
va a la asignación se clasificará con un nivel adecuado.
Artículo 5 “Planes de Seguridad del operador”
Cada ICE dispondrá de un Plan de Seguridad del Operador
(PSO) o medidas equivalentes. El Estado miembro garantizará la aplicación
del PSO o equivalente en un plazo de un año desde la designación de la
infraestructura crítica como ICE y la revisión periódica del citado plan.
Artículo 6 “Responsables de seguridad y enlace”
Cada Estado miembro valorará si cada ICE de su territorio
cuenta con un Responsable de Seguridad y Enlace o un cargo similar y si
no existe, garantizará mediante las medidas que considere oportunas la
designación de este responsable.
Cada Estado Miembro aplicará un mecanismo de comunica-
ción adecuado entre la autoridad competente del citado Estado y el
Responsable de Seguridad y Enlace. Este mecanismo no afectará a los requi-
sitos nacionales en materia de acceso a información sensible y clasificada.
Artículo 7 “Informes”
Cada Estado miembro llevará a cabo una evaluación de
amenazas relativa a los subsectores de las ICE, en el plazo de un año
desde la designación de una infraestructura crítica categorizada como
ICE.
113
Los Estados miembro presentará cada dos años a la

Comisión datos generales resumidos sobre vulnerabilidades, amenazas y
riesgos de cada sector que tenga ICE.
Estos informes se clasificarán con el nivel que considere
necesario el Estado Miembro de origen del mismo.
La Comisión podrá elaborar, en cooperación con los Es-
tados miembro, directrices metodológicas comunes para los análisis de
riesgos (su uso será opcional por parte de los Estados miembro).
Artículo 8 “Apoyo de la Comisión a las ICE”
La Comisión apoyará a las ICE con mejores prácticas y
métodos, fomentando la formación e intercambios de información.
Artículo 9 “Información sensible sobre protección de las ICE”
Toda persona que maneje información clasificada en el
marco de esta Directiva será sometida al oportuno procedimiento de habi-
litación. Esta habilitación se aplica también a la información no escrita.
Artículo 10 “Puntos de Contacto para la protección de las ICE”
Cada Estado miembro designará un punto de contacto
para la protección de infraestructuras críticas europeas (PICE).
Artículo 11 “Revisión”
La revisión de la Directiva se realizará tres años después
de que entre en vigor la misma.
Artículo 12 “Aplicación”
Los Estados miembro adoptarán las medidas necesarias
para dar cumplimiento a lo establecido en la Directiva antes de los dos
años después de su entrada en vigor, e informarán a la Comisión de las
medidas adoptadas.
Artículo 13 “Entrada en vigor”
La Directiva entrará en vigor a los veinte días de su publi-
cación en el Diario Oficial de la Unión Europea.
Artículo 14 “Destinatarios”
Los destinatarios son los Estados miembro.
o Una tercera parte compuesta por tres Anexos (2)
Anexo I:
Compuesto por la lista de sectores y subsectores.
Anexo II:
Puntos que debe incluir el procedimiento Plan de
Seguridad del Operador (PSO).
Anexo III:
Paso para la aplicación del “Procedimiento para la
identificación por los Estados miembro de infraestructuras
críticas”.
Finalmente cabe puntualizar, que al no estar aún publicada la
Directiva, esta es susceptible de recibir cambios.
114
Anexo A
7.4.2. Esfuerzos específicos en ciberdefensa

Dentro de la Unión Europea se puede decir que existen dos
áreas de esfuerzo paralelas y relacionadas entre sí:
1-. Una primera área relacionada con la “Protección”, es decir aque-
llas estrategias, propuestas, políticas etc., encaminadas a mejorar la pro-
tección de las TIC. Dentro de este ámbito podríamos incluir los siguien-
tes esfuerzos:
o La Comunicación de la Comisión de 31 de mayo de 2006 “Una
estrategia para una sociedad de la información segura - Diálogo, asocia-
ción y potenciación”.
o La Comunicación de la Comisión al Consejo, al Parlamento
Europeo, al Comité Económico y Social y al Comité de las Regiones, de
6 de junio de 2001, “Seguridad de las redes y de la información:
Propuesta para un enfoque político europeo”.
2-. La segunda área relacionada con la “Lucha contra los delitos”, que
abarca la vertiente legislativa y de persecución de delitos, en donde los
esfuerzos más destacados son todos aquellos relacionados con la “lucha
contra el cibercrimen”.
7.4.2.1. Estrategia para una sociedad de la infor-

mación segura. La finalidad de la Comunicación “Una estrategia para
una sociedad de la información segura - Diálogo, asociación y potencia-
ción”, fue la de revitalizar la estrategia de la Comisión Europea estable-
cida en 2001 sobre “Seguridad de las redes y de la información:
Propuesta para un enfoque político europeo”.
En la Comunicación, se pasa revista a la situación actual de las ame-
nazas a la sociedad de la información, y se determina los pasos a seguir
para mejorar la seguridad de las TIC.
Con la Comunicación se pretendía, apoyándose en la experiencia
adquirida tanto a nivel de los Estados miembro, como de la Comunidad
Europea, seguir desarrollando una estrategia global y dinámica en
Europa, basada en una cultura de la seguridad y fundamentada en el diá-
logo, la asociación y la responsabilización.
DIÁLOGO
La Comisión propone una serie de medidas destinadas a establecer un
diálogo abierto, integrador y multipartito, es decir:
• Una evaluación comparativa de las políticas nacionales relacionadas
con la seguridad de las redes y de la información. El objetivo consiste en defi-
nir las prácticas más eficaces, para aplicarlas más ampliamente en la UE.
Este ejercicio debe permitir, en concreto, la definición de las mejores prácti-
cas para sensibilizar de manera más efectiva a los ciudadanos y a las peque-
ñas y medianas empresas (PYME) sobre los riesgos y los retos relacionados
con la seguridad de las redes y de la información.
• Un debate multipartito estructurado sobre la mejor manera de
115
explotar los instrumentos reguladores existentes. Estos debates se orga-

nizarán a través de conferencias y seminarios.
ASOCIACIÓN
En la Comunicación se determina que la comprensión clara de la natu-
raleza de los retos es una condición indispensable para la elaboración de
una política eficaz, y que para ello conviene disponer de datos estadísti-
cos y económicos fiables actualizados. Así pues, la Comisión concretó
que pediría al ENISA:
• Que desarrolle una asociación de confianza con los Estados miem-
bro y las partes interesadas con el fin de elaborar un marco adecuado
para la recogida de datos.
• Que examine la viabilidad de un sistema europeo de comunica-
ción de información y alerta que permita responder eficazmente a las ame-
nazas. Este sistema incluiría un portal multilingüe de la UE destinado a pro-
porcionar información específica sobre amenazas, riesgos y alertas.
Paralelamente, la Comisión hacía un llamamiento a los Estados miem-
bro, al sector privado y a los investigadores, a establecer una asociación
para garantizar la disponibilidad de datos sobre el sector de la seguridad
de las tecnologías de la información y las comunicaciones.
RESPONSABILIZACIÓN
La Comunicación define que la responsabilización de las partes intere-
sadas es un requisito previo para sensibilizarlas aún más sobre las nece-
sidades y los riesgos en materia de seguridad, a fin de promover la segu-
ridad de las redes y de la información. Ésta es la razón por la que se invi-
ta a los Estados miembro, en particular, a:
• Participar activamente en el ejercicio propuesto de evaluación
comparativa de las políticas nacionales.
• Promover, en colaboración con ENISA, campañas de sensibiliza-
ción sobre los beneficios asociados a la adopción de tecnologías eficaces,
buenas prácticas y un comportamiento responsable en relación con la
seguridad.
• Aprovecharse del despliegue de servicios de administración elec-
trónica para fomentar las buenas prácticas de seguridad.
• Estimular la elaboración de programas de seguridad de las redes y
de la información dentro de los planes de estudio de la educación superior.
También invita a las partes interesadas del sector privado a adoptar

iniciativas encaminadas a:
• Definir las responsabilidades de los productores de programas
informáticos y los proveedores de servicios de Internet, en relación con
el suministro de unos niveles de seguridad adecuados y verificables.
• Fomentar la diversidad, la apertura, la interoperabilidad, la facili-
dad de uso y la competencia como elementos clave para impulsar la
116
Anexo A
seguridad y estimular el despliegue de productos y servicios que mejo-

ren la seguridad, a fin de combatir la sustracción de la identidad y otros
ataques contra la vida privada.
• Difundir las buenas prácticas en materia de seguridad para ope-
radores de redes, proveedores de servicios y Pymes.
• Fomentar los programas de formación en las empresas para dotar
a los empleados de los conocimientos y las aptitudes necesarios para
aplicar las prácticas de seguridad.
• Elaborar sistemas para la certificación de la seguridad de produc-
tos, procesos y servicios que sean asequibles y respondan a las necesi-
dades específicas de la UE.
• Implicar al sector de los seguros en la elaboración de herramien-
tas y métodos de gestión del riesgo.
7.4.2.2. Seguridad de las redes y de la informa-

ción: propuesta para un enfoque político europeo. El Consejo Europeo
de Estocolmo de los días 23 y 24 de marzo de 2001 concluyó que "el
Consejo, en concierto con la Comisión, pondría en marcha una amplia estra-
tegia en materia de seguridad de las redes electrónicas, que previera medi-
das prácticas de aplicación. Esta estrategia debía estar preparada para el
Consejo Europeo de Gotemburgo de junio de 2001". La Comunicación,
COM(2001)298, fue la respuesta de la Comisión Europea a dicha petición
y se divide en dos partes diferenciadas:
1-. Análisis de los problemas de seguridad de las redes y de la infor-
mación, en el que resume el conjunto de amenazas en materia de segu-
ridad, agrupándolas en:
o Interceptación de las comunicaciones.
o Acceso no autorizado a ordenadores y redes de ordenadores.
o Diversos ataques a las redes.
o Ejecución de programas malintencionados que modifican
o destruyen datos.
o Robo de identidad.
o Accidentes no provocados.
2-. Conjunto de medidas propuestas que conforman el enfoque polí-

tico europeo relacionado con el ámbito de la seguridad de las redes y de
la información. Las medidas propuestas son las siguientes:
o Concienciación: Lanzamiento de una campaña de información
y educación pública y fomento de las mejores prácticas.
o Un sistema europeo de alerta e información: Fortaleci-
miento por parte de los Estados miembro de sus equipos de respuesta a
emergencias informáticas (CERT) y mejora de la coordinación entre los
mismos.
o Apoyo tecnológico: Apoyo a la investigación y al desarrollo
en materia de seguridad (6º y 7º Programa Marco) y relación con una
117
estrategia más amplia de mejora de la seguridad de las redes y de la

información.
o Apoyo a la normalización y certificación orientadas al
mercado: Se invitaba a las organizaciones de normalización europeas a
que aceleraran sus trabajos sobre interoperabilidad. La Comisión aboga-
ba por continuar apoyando la firma electrónica y el desarrollo de los pro-
tocolos IPv6 e IPSec. La Comisión determinó que evaluaría la necesidad
de llevar a cabo una iniciativa legal sobre el reconocimiento mutuo de
certificados.
o Marco legal: Establecimiento de un inventario de las medidas
nacionales de aplicación del Derecho comunitario correspondiente, y pro-
posición de legislación en materia de ciberdelincuencia.
o La seguridad y la administración pública: Necesidad de
incorporación, por parte de los Estados miembro, de soluciones de segu-
ridad efectivas e interoperables en sus actividades electrónicas de admi-
nistración pública y contratación pública. Refuerzo de la Comisión de sus
requisitos en materia de seguridad en su sistema de información y comu-
nicación.
o Cooperación internacional: Refuerzo por parte de la Comisión
del diálogo con las organizaciones internacionales y sus socios en lo rela-
cionado con la seguridad de las redes y de la información.
7.4.2.3. Lucha contra el cibercrimen. La Comisión

ha desarrollado durante años, en estrecha colaboración con los Estados
miembro y otras instituciones de la UE, una política de lucha contra el
cibercrimen. La política complementa otras actividades de la Comisión,
que tenían como objetivo la mejora de la seguridad de las redes y la
información (y por lo tanto contribuyendo a la prevención del cibercri-
men), y tomaba como punto de partida el marco legislativo existente
relativo a las comunicaciones electrónicas y protección de datos.
En general, se puede decir que las actividades contra el cibercrimen
de la Comisión pueden agruparse en cuatro categorías
1-. Participación en el proceso legislativo.
La Comisión sigue de forma estrecha la legislación nacional relativa a
la lucha contra el cibercrimen, con el objetivo de armonizar las leyes, y
por otro lado propone legislación relativa al tema. Como ejemplo sirva,
la Decisión Marco 2005/222 sobre “ataques contra los sistemas de infor-
mación” que asegura un nivel de aproximación mínimo de la legislación
en aspectos como acceso ilegal e interferencias ilegales en sistemas y
datos. El Marco incluye también los denominados ataques de hacking o
“denegación de servicio” así como la propagación de código malicioso,
spyware, malware y virus.
2-. Desarrollo de una cooperación de los cuerpos de protec-
ción dentro de las fronteras de la UE.
La Comisión está promoviendo de forma activa el estrechamiento de
118
Anexo A
contactos entre los expertos en cibercrimen de los Estados miembro, a

través de la organización de conferencias y otros instrumentos como
puntos de contacto 24/7 en los Estados miembro. Otra acción encamina-
da a reforzar la cooperación, es el desarrollo de una plataforma en la UE
para la formación de expertos contra el cibercrimen, financiada y sopor-
tada a nivel político también por la Comisión.
3-. Promoción de la cooperación pública y privada para luchar
contra el cibercrimen, en particular entre los cuerpos de seguridad y
las compañías privadas. La Comisión considera que para formular una
política contra el cibercrimen que sea efectiva, es de particular importan-
cia que la información actualizada sobre las actividades cibercriminales
sea intercambiada entre los cuerpos de seguridad y la empresa privada.
La Comisión organizó, en 2007, un encuentro entre los sectores
público y privado para discutir cómo se puede promover la cooperación
de una forma más efectiva dentro de la UE. En el 2008 tenía previsto for-
mar un grupo ad hoc para asistir a la Comisión en la formulación de pro-
puestas concretas relacionadas con este ámbito.
4-. Papel de coordinación a nivel internacional
La mayoría de los aspectos relacionados con el cibercrimen fueron
incorporados en el Consejo de la Convención Europea del Cibercrimen,
que comenzó su funcionamiento el 18 de marzo de 2004 y que contri-
buye a la lucha contra el cibercrimen a nivel internacional. La Comisión
también ha tomado parte en grupos de trabajo internacional, como los
subgrupos de Crimen Tecnológico del G8.
Finalmente cabe destacar que la Política Contra el Cibercrimen fue pre-
sentada recientemente en la Comunicación de la Comisión “Hacia una estra-
tegia general en la lucha contra el cibercrimen” de 22 de mayo de 2007.
8. OTAN
8.1. Contexto
Los hechos más relevantes relativos a la Ciberdefensa en la OTAN
son los que se enumeran a continuación:
• Proposición de inclusión de la Protección de Infraestructuras Críticas
en el Programa de Defensa Contra el Terrorismo, en la reunión informal de
Berlín en septiembre de 2005.
• La declaración “Riga Summit Declaration” de 29 de Noviembre de
2006, sobre los desafíos de seguridad del siglo 21.
• La guía “Comprehensive Political Guidance” también de 29 de
noviembre de 2006, que proporciona un marco y guía política para la trans-
formación continua de la OTAN durante los próximos 10 ó 15 años, estable-
ciendo las prioridades en cuanto a capacidad, planificación e inteligencia.
• Ciberataques sufridos por Estonia en abril de 2007 que afectaron
119
a las páginas web del parlamento, bancos, ministerios, periódicos etc., y

en los que finalmente intervino la OTAN, aunque no fueran ataques diri-
gidos contra infraestructuras propias de la Organización.
• Acuerdo del NC3B de 7-8 de noviembre de 2007 con respecto a:
o Soportar el EWG (Executive Working Group) en el desarrollo de
la “Política de Ciberdefensa”.
o Desarrollo de recomendaciones para mejorar la ciberdefensa.
o Soporte en el desarrollo del “Concepto de Ciberdefensa de la
OTAN”.
• Publicación del informe del “Papel de la OTAN en la Seguridad del
Sector Energético” en la Cumbre de Bucarest de abril del 2008.

Los principales esfuerzos realizados por la OTAN en Ciberdefensa
son los siguientes:
• Creación del NCIRC (NATO Computer Incident Response
Capability) en el año 2004.
• Aprobación de la Política de Seguridad en Ciberdefensa de la
OTAN (“Nato Policy on Cyber Defense”) el 7 de Enero del 2008.
• Acuerdo sobre el Concepto de “Ciberdefensa de la OTAN” (“NATO
Cyber Defence Concept”) a comienzos del año 2008,
• Asignación de las Responsabilidades en Ciberdefensa y creación
de las nuevas estructuras organizativas necesarias para la implementa-
ción de la Política de Ciberdefensa entre las que destaca:
o NCDMA (NATO Cyber Defence Management Authority), creada
en el 2008.
o CCD COE (Cooperative Cyber Defence Centre of Excellence),
creado en el 2008.

En cuanto a la organización y responsabilidades en ciberdefensa
de la OTAN, caben destacar las siguientes:
• Roles y responsabilidades generales de la OTAN y de los Aliados
(extraídos de la Política de Seguridad en Ciberdefensa de la OTAN):
o Sistemas TIC propietarios y utilizados por la OTAN
La OTAN debe poseer la capacidad de proteger sus propios siste-
mas TIC críticos. Esta necesidad requiere medidas técnicas, y de los
recursos apropiados.
o Extensiones nacionales de los sistemas TIC de la OTAN
Las Naciones son responsables de la protección de las redes pro-
pias que manejan información de la OTAN. La OTAN establece los reque-
rimientos para asegurar que las citadas redes funcionan sin contratiem-
pos. La OTAN y las Naciones coordinarán sus esfuerzos para proteger los
120
Anexo A
citados recursos contra los ciberincidentes, y por lo tanto comparten la

responsabilidad en esta área.
o Sistemas TIC Nacionales
Las Naciones son las encargadas de la gestión y la protección de
sus propios sistemas TIC. La OTAN especifica que, de entre el conjunto
de sistemas, tienen una particular importancia aquellos que realizan fun-
ciones vitales para las Naciones como los gubernamentales, los de segu-
ridad y los de defensa. Aboga también, por otro lado, por la coordinación
entre los gobiernos y las empresas particulares para la protección de las
infraestructuras relacionadas con la economía, energía, e infraestructu-
ras de transporte o sanitarias.
o Coordinación en la asistencia para proteger sistemas TIC
Nacionales
La política de ciberdefensa especifica que si cualquier aliado o alia-
dos son víctima de un ciberataque de relevancia nacional o para los aliados,
la OTAN debe estar preparada y capacitada, bajo solicitud, para coordinar o
proporcionar asistencia en forma de medidas de recuperación y reconstruc-
ción. De la misma forma, especifica que las circunstancias pueden conllevar
que aliados, de forma individual, puedan ofrecer asistencia en el tratamien-
to de ataques a sistemas propios utilizados por la alianza.
• Órganos relacionados con la Ciberdefensa

En la siguiente figura se muestra el conjunto de “actores” involucra-
dos en la ciberdefensa de la OTAN:
Figura 17. Estructura de Ciberdefensa de la OTAN.
121
oNATO Cyber Defence Management Authority (NCDMA)

Autoridad que gestiona la Ciberdefensa de todos los sistemas de
información y comunicaciones de la OTAN y que conduce a los actores
clave dentro en las actividades de Ciberdefensa de la OTAN.
o NATO Cyber Defence Management Board
Autoridad delegada que lleva a cabo las acciones apropiadas en
caso de grandes ciberataques o amenaza de ataques en la OTAN o sus
Naciones miembro. Este organismo no anula las competencias de las
“Autoridades TIC” establecidas a nivel OTAN o Nacional.
o NATO Cyber Defence Coordination and Support Centre
Coordina las actividades de Ciberdefensa dentro de la OTAN, con
las Naciones miembro y con otros órganos externos. En la actualidad
tiene asignadas las responsabilidades del Centro de Coordinación NCIRC,
evaluación de Ciberamenazas, y personal de soporte a la NCDMA.
o CCD COE
Como ya se comentó con anterioridad, el CCD COE realiza las
siguientes funciones relacionadas con la Ciberdefensa en la OTAN:
Desarrollo de doctrinas y conceptos.
Formación y concienciación.
Investigación y desarrollo.
Análisis y lecciones aprendidas.
Consulta.
o Intercambio de Información
La OTAN intercambia información sobre ataques y vulnerabilida-
des con otros CERT´s públicos y privados de las naciones, y asociaciones
internacionales como el FIRST.
8.4. Ciberdefensa
8.4.1. Protección contra el terrorismo

y otras amenazas
Las diversas naturalezas que se esconden tras el terroris-
mo (religioso, independentista, mafioso, etc.) hacen que la OTAN se
encuentre involucrada en numerosas iniciativas de diverso carácter:
• Político
• Operacional
• Conceptual
• Militar
• Tecnológico
En todas las iniciativas, la OTAN trabaja conjuntamente con otros
socios y organizaciones con el objeto de lograr una amplia cooperación
en la lucha contra el terrorismo.
El Programa de Defensa Contra el Terrorismo de la OTAN está focali-
zado en el desarrollo de tecnología que permita la lucha eficiente contra
122
Anexo A
el mismo, tanto para la protección de las tropas como de los civiles con-
tra los ataques terroristas.
El trabajo del programa está dividido en once áreas, donde la tecno-
logía puede ser de vital importancia (los proyectos están siendo lidera-
dos por países de la OTAN, a título individual, o grupos de la Conferencia
de Directores de Armamento Nacional, CNAD). Del conjunto de áreas
destaca una de ellas por su relación con el concepto de Ciberdefensa:
• Protección de Infraestructuras Críticas

Este concepto fue propuesto por el Ministro de Defensa de Bélgica en
la reunión de Berlín en Septiembre de 2005 y ha sido añadido reciente-
mente en la agenda del programa. El alcance del área está siendo defi-
nido y será dirigida por Bélgica.

La OTAN, de forma paralela a las actividades realizadas en
el Programa de Defensa Contra el Terrorismo, ha trabajado sobre un sec-
tor en concreto que estaría incluido dentro de las infraestructuras críti-
cas, el Energético, para determinar cuál es su papel en la protección de
este recurso.
Los líderes de la OTAN han reconocido que la interrupción en el flujo
de recursos vitales puede afectar a los intereses de la seguridad de la
Alianza. Por ello, declararon su intención de apoyar un esfuerzo interna-
cional coordinado para evaluar los riesgos de la infraestructura energéti-
ca y promover la seguridad de la misma.
Como parte de este esfuerzo, y tras el Taller de Investigación de ame-
nazas sobre la Energía (Londres 2004), en la Cumbre de Bucarest de
abril de 2008, la Alianza sacó a la luz un informe sobre el Papel de la
OTAN en la Seguridad del Sector Energético, el cual identificaba una serie
de guías y recomendaciones para realizar actividades posteriores (se
espera que en la próxima cumbre de 2009 se revise el avance en este
campo). El citado informe identifica cinco áreas clave en las que la OTAN
puede proporcionar un valor añadido frente a otras instituciones u orga-
nizaciones:
• Intercambio y fusión de información e “inteligencia”.

• Proyección de estabilidad.
• Avances en la cooperación regional e internacional.
• Soporte a la gestión de las consecuencias.
• Soporte a la protección de infraestructuras críticas.
En la actualidad, se está estudiando cual será el grado real de involu-

cración de la OTAN, a la vez que un conjunto de programas prácticos
dentro de la Alianza y con los Socios de la OTAN se está desarrollando a
través de talleres y proyectos de investigación.
123
8.4.3. Política de ciberdefensa

En el presente epígrafe se profundiza en la Política de
Seguridad en Ciberdefensa de la OTAN como base de las actuaciones lle-
vadas a cabo dentro de este ámbito por la OTAN.
La política establece los principios básicos y proporciona directrices
para los cuerpos militares y civiles de la OTAN, así como recomendacio-
nes para las Naciones de la OTAN para asegurar la acción coordinada y
común en ciberdefensa y la respuesta a los ciberataques.
8.4.3.1. Principios. La política de ciberdefensa se

basa en los siguientes principios:
• Solidaridad
Aunque los esfuerzos de la OTAN están focalizados en sus propios sis-
temas TIC, la OTAN, teniendo en cuenta los recursos disponibles, deter-
mina que puede proporcionar soporte relacionado con la defensa de los
sistemas TIC a los Aliados, debido a que los sistemas propietarios de la
OTAN pueden verse perjudicados por vulnerabilidades existentes en
infraestructuras TIC de las Naciones, en el caso de que las citadas nacio-
nes sufran ciberataques significativos.
• No Duplicidad
Al igual que la OTAN, otras organizaciones internacionales están involu-
cradas en la protección de los sistemas de información de los ciberataques.
La OTAN por lo tanto, en su política especifica que se debe evitar la dupli-
cidad de esfuerzos a nivel nacional, regional o internacional. La Política
especifica que la OTAN debe obtener ventaja de las prácticas, información,
herramientas y lecciones aprendidas por el resto de organizaciones cuando
ha sido probado que estas han sido efectivas en la protección.
• Seguridad
La información relacionada con la protección de infraestructuras TIC
críticas debe ser etiquetada y manejada apropiadamente, y el acceso
debe garantizarse bajo la base de la “necesidad de conocer”.
8.4.3.2. Requerimientos. La Política especifica

que la ciberdefensa requiere mecanismos, procedimientos y la mejora de
las capacidades para preparar la prevención, detección, respuesta y
recuperación, así como el aprendizaje de los incidentes que afecten a la
confidencialidad, integridad y disponibilidad de la información y los siste-
mas y recursos que la soportan.
• Preparación y Entrenamiento
La Política aboga por tomar medidas preventivas entre las que inclu-
ye desde la elaboración de estándares y procedimientos, hasta la ejecu-
ción de ejercicios y entrenamiento.
• Prevención
La Política dictamina que las estrategias preventivas, para que sean
efectivas, deben incluir múltiples mecanismos de defensa entre el “obje-
124
Anexo A
tivo” y el adversario (implementación del concepto de “defensa en pro-

fundidad”) así como verificaciones de su correcto funcionamiento como
auditorías de seguridad, test de intrusión, etc.
• Detección, Respuesta y Mitigación
Dentro de la ciberdefensa, es de vital importancia:
o La identificación en tiempo real, o casi real, de la actividad anó-
mala en las redes;
o La identificación y aplicación de las medidas necesarias para el
aislamiento, con el fin de mitigar las consecuencias;
o Alertar a los usuarios apropiados y
o Obtener un conocimiento sostenido de la situación.
• Recuperación y Realimentación
En el último de los requerimientos, la Política determina la importan-
cia de la capacidad para reestablecer el funcionamiento normal de los
sistemas y analizar los eventos acaecidos con el fin de mejorar los meca-
nismos de ciberdefensa implantados.
8.4.3.3. Mecanismos. En cuanto a los mecanis-

mos aplicables en ciberdefensa, la política cita la necesidad de:
• Un Mecanismo de Consulta
Establecimiento de un mecanismo de consulta para mejorar el cono-
cimiento de la situación, actuar ante un ciberataque por parte de los res-
ponsables apropiados, y capacitar para asistir a los aliados con una res-
puesta inmediata y efectiva.
La responsabilidad de desarrollar esta capacidad recae sobre el NC3
Board en coordinación con el NATO Security Comité (NSC) y otros comi-
tés relevantes. El mecanismo será incluido en el Manual de Respuesta
ante Crisis de la OTAN (NATO Crisis Response System Manual)
• Un Canal de Comunicaciones
Establecer un canal de comunicaciones entre los Aliados para asegu-
rar el intercambio de información, clasificada y sin clasificar, relativa a las
ciberamenazas, y a los ataques e incidentes.
8.4.3.4. Capacidades. Las capacidades de la OTAN

en ciberdefensa están focalizadas principalmente en los siguientes órganos:
• El NCIRC constituye el principal instrumento técnico que propor-
ciona soporte a los Aliados frente a los ciberataques. Por esta razón la
Política dictamina que debe estar entrenado, equipado y organizado ade-
cuadamente para poder llevar a cabo esta tarea (tendrá prioridad en la
recepción de los recursos requeridos).
El NCIRC debe coordinarse con el Comité de Planificación de Comunica-
ciones Civiles (Civil Communications Planning Committee, CCPC) para so-
portar el equipo de acción rápida. Por otro lado, el NCIRC será capaz de
reaccionar y comunicarse con los NCIRC equivalentes que son propios de
las Naciones.
125
• Aparte del NCIRC, el CCD COE proporcionará soporte y experien-

cia a la OTAN y las Naciones según se determina en los acuerdos de su
programa de trabajo.
8.5. Financiación
El programa para la Capacitación del NCIRC tiene un coste esti-
mado de 8 millones de euros.
9. Iniciativas en materia de ciberejércitos
9.1. China
9.1.1. Introducción
A principio de los 90, el ejército chino reconocía que esta-
ba desarrollando una revolución en asuntos militares que tenían que ver
con el resultado de las nuevas posibilidades abiertas por las tecnologías
de la información. El ejército chino empezó a considerar los ciberataques
como un medio asimétrico para responder a un adversario tecnológica-
mente superior dentro, y fuera, del campo de batalla. Con el apoyo de
un plan nacional integrado, el PLA (People’s Liberation Army) desarrolló
una doctrina en ciberguerra, ha implementado entrenamiento para ofi-
ciales en el marco de la ciberguerra y ha llevado a cabo ejercicios en esta
materia. Hay datos que hacen pensar que el gobierno chino deriva fon-
dos para financiar la comunidad hacker. Por otra parte, los servicios de
inteligencia chinos continuamente realizan estudios sobre ciencia y tec-
nología para ayudar a conseguir los objetivos nacionales. China fabrica
productos relacionados con las TIC para conocer sus necesidades tecno-
lógicas. Además de cooperar con Rusia, un país donde también existe un
programa de ciberguerra, se sospecha que China tiene su propio mode-
lo de uso de las tecnologías en ciberataques.
9.1.2. Visión del país en ciberguerra

En EE.UU. se empezaron a realizar informes sobre las
capacidades de China en materia de ciberguerra a finales de los 90.
China entonces ya consideraba los ciberataques como un componente en
una estrategia integrada para derrotar a una fuerza militar enemiga
superior numérica y tecnológicamente. El rápido crecimiento de la eco-
nomía china posibilitó que el PLA pudiese probar y adoptar nuevas tec-
nologías de la información en sus planes de modernización.
Ya en el año 2000, la CIA hacía pública su preocupación sobre la posi-
bilidad de ciberataques. Aseguraba que la ciberguerra se estaba convir-
tiendo en una posible estrategia alternativa para países “que saben que
en confrontaciones militares convencionales con los Estados Unidos, no
126
Anexo A
pueden imponerse. Este tipo de países encuentran en este tipo de ata-

ques, lanzados desde dentro o desde fuera de nuestras fronteras, una
opción asimétrica de ataque y defensa en una crisis armada”. Hacían
creíbles así las palabras de un general chino sin identificar, que asegura-
ba que eran “capaces de hacer que los centros de mando y control del
enemigo queden inutilizables modificando sus sistemas. Podemos hacer
que el enemigo tome decisiones incorrectas enviando información falsa.
Podemos dominar el sistema bancario del enemigo e incluso su comple-
to orden social”.
En julio de 2004, Jiang Zemin, Presidente de la Comisión Militar
Central hizo una llamada a las fuerzas militares para equiparse con tec-
nologías de la información para prepararse para una posible ciberguerra.
El desarrollo de una estrategia militar china en el campo de la ciber gue-
rra puede situarse a comienzo de la década de 1990. Tras concluir la
Guerra del Golfo, en 1991, el gobierno chino y el PLA comenzaron a ana-
lizar la victoria de EE.UU. Las fuerzas americanas y de la coalición utili-
zaron operaciones coordinadas a través de medios electrónicos con el fin
de derrotar al ejército iraquí. Los primeros lanzamientos de misiles por
parte de EE.UU. tenían por objetivo destruir las capacidades de mando y
control, así como los radares. Tanto China como otras potencias mundia-
les, vieron la victoria combinando métodos tradicionales y tecnologías de
la información como una revolución (RMA, Revolution in Military Affairs).
A raíz de los documentos e informes publicados por China en materia
de ciberguerra, se aprecian dos principales líneas de actuación. En pri-
mer lugar, una estrategia en ciberataques, equiparándola a las estrate-
gias convencionales. En segundo lugar, el desarrollo de capacidades en
ciberguerra se convierte en un objetivo nacional más por ser un camino
efectivo y relativamente barato en operaciones contra algún adversario.
Los comienzos del programa de investigación

En una de sus primeras publicaciones, Shen Weiguang, escribió:
“Aquellos que toman parte en un ciberataque no son todos soldados.
Cualquiera que sepa informática puede convertirse en un luchador en la
red. Hay que pensar en la posibilidad de carros de combate no guberna-
mentales que pueden tomar la decisión de entrar en el conflicto; no sólo
hay que buscar la movilización de la gente joven, también industrias
relacionadas con las tecnologías de la información serán las primeras en
ser movilizadas y formar parte de la guerra,…”
Shen, actualmente un reconocido experto en materia de ciberguerra
definió el concepto de la “batalla desde el hogar”, en la que China con-
duciría un tipo de guerra diferente con ordenadores (People’s War). La
evolución desde una estrategia para este tipo de guerra hasta la adop-
ción de tecnologías de la información para derrotar a enemigos superio-
res, se puede ver como un componente integral de un plan de China para
llegar a ser un líder a nivel mundial, sin tener que invertir grandes can-
127
tidades de dinero en un ejército tradicional. Varios investigadores de la

Academia China Militar de Ciencias y de la Universidad China de Defensa
Nacional han publicado libros sobre el uso de la ciberguerra. Se pueden
extraer más datos para analizar a través del examen del desarrollo de las
estrategias únicas de China en materia de ciberguerra. Las estrategias
chinas suelen centrarse más en aspectos psicológicos y de denegación y
suplantación de datos militares.
Cambios en la estructura del ejército

China cuenta con el mayor ejército convencional en el mundo. Aún así,
el PLA reconoce su que su efectividad es limitada, dada su incapacidad
para proyectar su fuerza de forma lo suficientemente efectiva como para
enfrentarse en una guerra convencional con EE.UU. A pesar de que las
estimaciones pueden no ser muy precisas, se cree que el gasto en el
ejército chino asciende a más de 65000 millones de euros. De este pre-
supuesto, se estima que el 9,6% se destina a la mejora en respuesta
rápida y tecnologías de la información en ciberguerras. El general del PLA
Guo Boxiong hace hincapié en sus declaraciones en que el ejército chino
debe mejorar su capacidad de victoria en el marco de la guerra de alta
tecnología. El ejército chino persigue este liderazgo para contrarrestar al
de EE.UU. en las operaciones militares convencionales.
A este proceso se le ha bautizado en China como “Acupuntura militar”.
Se ha definido la “Acupuntura miltar” como el paralizar al enemigo ata-
cando la debilidad del enlace de su mando, control comunicaciones e
información, de la misma forma que en Kung-fu se buscan los puntos de
acupuntura. Un componente de esta estrategia se basa en el uso de hac-
kers civiles. Desde las autoridades militares se hacen llamamientos para
que cualquiera con un ordenador se una en la lucha, multiplicando así su
fuerza militar.
En un artículo publicado en 2002 por el teniente coronel Thomas de los
EE.UU., se afirma que el PLA divide la estrategia en ciberguerra en tres par-
tes: vigilancia, ataque y protección. La vigilancia a través de la red y de
equipos electromagnéticos permite al PLA recoger información de objetivos
potenciales y desarrollar planes de ataque contra infraestructuras críticas.
En cuanto a ataques, se refieren a “operaciones para interrumpir, sabotear
y destruir información en los sistemas de red enemigos utilizando equipa-
miento especializado”. Se entiende por protección, el evitar la vigilancia y
ataque por parte del enemigo. Ciberobjetivos estratégicos incluyen redes de
ordenadores que enlazan “instalaciones políticas, económicas y militares de
un país, así como de la sociedad en general”
Entrenamiento
Para el PLA es de vital importancia el entrenamiento para futuras ope-
raciones en ciberataques. Dentro de los centros de entrenamiento para
ciberguerra, se encuentra la Academia de Mando y Comunicaciones, en
128
Anexo A
Wuhan, la Universidad de Ingeniería en Información, en Zhengzhou, la

Universidad de Ingeniería y Ciencias y la Universidad de Ciencia y Tecno-
logía en Defensa Nacional, en Changsa. Todos estos centros cuentan con
profesores expertos en ciberguerra que entrenan a los nuevos soldados. En
el entrenamiento de los soldados se incluye teoría básica de ordenadores y
aplicaciones; tecnologías de redes de comunicaciones; unidades conec-
tadas por TIC; contramedidas electrónicas; tecnologías RADAR; reglas y
regulaciones en ciberguerra; tácticas y estrategias en ciberguerra; siste-
mas de información, incluyendo el reunir, diseminar y usar la informa-
ción; mando, monitorización, toma de decisiones, y sistemas de control.
Otra parte del entrenamiento de los soldados del PLA incluye el uso de
ciberarmas, simulación de ciberguerras, protección de sistemas de infor-
mación, ataques con virus informáticos y defensa frente a los mismos,
jamming y anti-jamming en redes, de comunicaciones.
En los ejercicios militares llevados a cabo por el PLA, se llevan incluyen-
do maniobras de ciberguerra desde hace más de 10 años. Así el primer ejer-
cicio tuvo lugar en octubre de 1997, donde se utilizó un virus informático
para paralizar los sistemas de comunicaciones. En este ejercicio se utilizaron
medios de tierra, logísticos, médicos y unidades aéreas. Un segundo ejerci-
cio tuvo lugar un año después, en octubre de 1998. Fue un ejercicio de alta
tecnología que unió a unidades militares a lo largo de todo el país. Desde
entonces, son frecuentes los simulacros de ciberguerras en China.
A partir de aquí, China ha trabajado no sólo en estrategias en cibergue-
rra, sino también en el desarrollo de sus propias tecnologías en materia de
ciberguerra. Además, el PLA incrementa continuamente el número de orga-
nizaciones implicadas en esta materia. China está desarrollando una estra-
tegia para integrar a la comunidad civil experta en informática en unidades
de reserva dentro del PLA. El PLA ha llevado a cabo campañas de recluta-
miento para expertos informáticos. Así, el PLA aumenta continuamente su
capacidad en ciberataques. Los presupuestos para ello, siguen aumen-
tando, y se mejoran los programas de entrenamiento en C4I.
Inversión en Tecnologías de la Información

Los esfuerzos de China para adquirir y desarrollar tecnologías de la
información para fines militares y civiles son importantes. El Partido
Comunista de China promueve la adopción de este tipo de tecnologías,
sin embargo, el uso de Internet y otras tecnologías para actividades polí-
ticas no autorizadas está muy controlado.
China utiliza varios métodos para atraer la inversión extranjera, el cono-
cimiento técnico de la tecnología avanzada y la gestión del conocimiento. El
gobierno chino continúa haciendo hincapié en la necesidad de “importar tec-
nología antes que bienes terminados, y renovar fábricas mediante la adqui-
sición selectiva de nuevas tecnologías antes que mediante la adquisición de
plantas enteras”. Desde China se busca inversión extranjera directa, espe-
cialmente para desarrollar productos de alta tecnología.
129
Se cree que China puede estar utilizando individuos técnicamente muy

capaces para llevar a cabo sus actividades hackers. Ya se ha comentado
que algunos autores hablan de la movilización de las masas de población
chinas para las operaciones con ciberataques. Es difícil establecer la rela-
ción de los hackers con el gobierno central. Sin embargo, está claro que
ha habido ataques de hackers en paralelo con incidentes físicos. Analistas
de EE.UU. aseguran que los hackers en China no están patrocinados por el
gobierno, sino controlados por el gobierno. Así, por ejemplo, en mayo de
2000, tras las explosiones en la Embajada china de Belgrado, se registra-
ron ataques en servidores web políticos, militares y civiles de EE.UU.
Incidentes similares se produjeron tras el accidente aéreo entre un caza
chino y un avión de reconocimiento americano en abril de 2001.
Organizaciones hackers han podido también recibir ayuda del gobier-
no chino a través del desarrollo de software, virus y métodos para ata-
car redes de ordenadores. Se sospecha que un gran número de worms
tienen su origen en China. Hay varios incidentes en los que se ha acusa-
do al gobierno chino de ayudar a los hackers a ejecutar ciberataques
sobre objetivos extranjeros. Dos ISPs canadienses sufrieron ataques de
denegación de servicio por alojar páginas web de grupos religiosos pro-
hibidos en China.
Por otra parte, China continua procurando tecnología de Rusia y otros paí-
ses. Rusia cuenta con un bien documentado programa de ofensiva en ciber-
ataques. Además, China participa en intercambios con otros países como
Pakistán y Corea del Norte. A través de informaciones en los medios, se
puede deducir que China adquiere tecnologías de la información de forma ile-
gal. En noviembre de 2003, Gao Zhan, un investigador en una universidad
americana, fue declarado culpable de exportar a China tecnologías en infor-
mática. Un informe declaraba que “entre los objetos enviados a China se
encontraban microprocesadores que pueden ser usados en control digital
aéreo y en sistemas de armas”.
9.1.3. Conclusiones
El gobierno chino está desarrollando e implementando una
estrategia integrada de directivas diplomáticas, informativas, militares y
económicas para alcanzar sus objetivos nacionales. A pesar de que la
literatura pública sugiere que desde Beijing se están llevando a cabo pro-
gramas de ciberguerra, el secretismo alrededor de este tema dificulta
una evaluación detallada. La CIA y el DoD de EE.UU. han informado que
China ve en la ciberguerra como una estrategia asimétrica viable cuan-
do se enfrenten a adversarios superiores.
Las instituciones militares chinas han publicado libros de esta materia.
Estos estudios empezaron evaluando la revolución en asuntos militares que
supuso la victoria de EE.UU. en la guerra del Golfo de 1991. Analizando los
estudios chinos se deduce que desde China se ven los ciberataques como
una forma de combatir y neutralizar un enemigo superior.
130
Anexo A
A pesar de que China cuenta con el mayor ejército convencional, sus

capacidades en C4I no son demasiado eficientes. Las autoridades milita-
res chinas han gastado recursos considerables en actualizar sus redes
C4I. Estos esfuerzos vienen como resultado de lo que parece ser una
apreciación de la potencial vulnerabilidad de los sistemas construidos
con tecnología comercial, esta apreciación ha llevado a invertir en la
defensa de redes, sobre todo frente a virus. En el ejército chino, se
entrena a sus oficiales, entre otros aspectos, en tecnologías de la infor-
mación. El número de ejercicios que integran ciberataques en escenarios
convencionales son corrientes en China. El PLA ha implementado progra-
mas para reclutar expertos técnicos para dar soporte a su capacidad de
ciberataques.
9.2. India
India ha experimentado, y sigue haciéndolo, ciberataques
de gran variedad de formas. El 7 de junio de 1998, por ejemplo, un grupo
antinuclear, “Milw0rm”, hackeó la red del Bhaba Atomic Research Center
(BARC) para protestar contra las pruebas nucleares. En el mismo perío-
do, grupos hacker paquistaníes, como “Death to India”, “Kill India”, “Dr.
Nuker” o “G-Force Pakistan”, hicieron circular instrucciones para lanzar
ciberataques a ordenadores de la India. Desde 2001, se fueron intensifi-
cando los ataques entre los dos países, destacando los defacements en
webs de ambos países.
Como consecuencia, los ciberataques suponen más que un reto teóri-
co para el desafío del día a día en la agenda de la seguridad nacional del
gobierno. En respuesta a estos ataques, los líderes de las fuerzas arma-
das del país detectaron la necesidad de un cambio y comenzaron a cola-
borar con compañías privadas con el fin de crear una fuerza militar enfo-
cada en las nuevas tecnologías.
A finales de la década de 1990, desde Nueva Delhi se realizó una revi-
sión de la postura a adoptar dentro del marco de lo que se llamó la
Revolución en Aspectos Militares (RMA, Revolution in Military Affairs), lleva-
da a cabo por la aplicación de tecnologías digitales en armas de precisión y
comunicaciones instantáneas. En el informe de 2001, Retos para la Gestión
de la Seguridad Nacional, los líderes políticos daban especial importancia a
los asuntos relacionados con la ciberdefensa y el ciberataque.
La transformación pretendida por la India en la doctrina militar estra-
tégica y operacional complementó los cambios en la economía en tecno-
logías de la información que había empezado a comienzos de los 90. A
finales de dicha década, los fabricantes indios trabajaban junto con
empresas estadounidenses, ya que ofrecían mano de obra bien entrena-
da y barata.
131
9.2.2. Iniciativas en capacidad de ciberguerra

El ejército indio anunció formalmente en 1998, un impul-
so en su doctrina para abarcar capacidades en guerra electrónica y de
información. Esta nueva doctrina, enumeraba planes ambiciosos hasta
2008. En estos planes se contemplaba adquisición y desarrollo de soft-
ware, hardware y de recursos humanos, con el fin de mejorar la meta de
tener soldados mejor entrenados en tecnologías TIC. Así V.P. Malik, uno
de los arquitectos de esta nueva doctrina, señalaba que lo que se pre-
tendía era “establecer una infraestructura de tecnologías de la informa-
ción robusta para actuar como un multiplicador de fuerzas mediante la
incorporación de sistemas de información en red y automatizados, com-
plementados por personal entrenado en estas tecnologías”.
De forma simultánea con el plan de adoptar una estrategia en TIC por
parte del ejército, el sector de las industrias de defensa en la India adop-
tó medidas similares.
Antes del año 2000, la producción y abastecimiento militares se limita-
ba a empresas propiedad del gobierno por motivos ideológicos y de segu-
ridad. A partir de entonces, sin embargo, las fuerzas armadas se han vuel-
to más abiertas a la colaboración con empresas tanto públicas como priva-
das en el sector de defensa. El sector militar ha aprendido que las tecno-
logías desarrolladas por la industria privada podían fortalecer la seguridad
del país. Ya por entonces, un oficial del ejército declaró: “Estamos dentro
de la era de la ciberseguridad y debemos crear un nuevo entorno de segu-
ridad, desde que los principales ejércitos en el mundo tienen que hacer
frente a unos 3.000 intentos de hackear sus redes”.
Fue en el año 2000, los Ministerios de Industria y Defensa decidieron
establecer acuerdos para aumentar el papel y el objetivo de la industria en
el sector de defensa. Las tareas que se acordaron llevar a cabo fueron,
entre otras: una asociación a largo plazo, procesos comerciales y crear una
asociación de Industria y Defensa en Investigación y Desarrollo.
En 2002, el gobierno hizo un llamamiento a empresas privadas para
invertir en tres áreas: tecnologías de la información y ciberguerra;
infraestructuras de guerra electrónica y C4I; y movilidad. Este llama-
miento se debió al convencimiento de que los productores privados po-
dían ofrecer tecnologías modernas y eficientes, servicios de post-venta y
costes menores debido a la competencia en el mercado.
Entrenamiento
En el libro de ruta establecido en 1998 por el ejército, se establecía
que todos los oficiales deberían tener un grado de conocimiento razona-
ble en tecnologías TIC ya en 2002. En 1999, el Instituto de Tecnologías
de la Información del ejército presentó su primer curso para enseñar a
los soldados las bases de la ciberguerra. De forma simultánea, tres ins-
titutos de tecnología del ejército comenzaron a presentar las tecnologías
de la información como parte de su plan de estudios.
132
Anexo A
En 2002, el Ministro de Defensa se planteó la creación de la Universidad

de la Defensa Nacional (NDU) en Nueva Delhi, en la que se tratasen, entre
otras materias, aspectos de la revolución digital y la ciberguerra. Entre los
objetivos de la NDU estaban el cambiar la forma de pensar y de aprender
de los nuevos soldados. La NDU debería albergar un Instituto Nacional
de Estudios de Estrategias, que sería un centro de investigación con vis-
tas futuristas. Ya se planteaban entonces el realizar simulaciones con
juegos de guerra. No sólo se permitiría el acceso a este Instituto a per-
sonal militar, sino también al sector civil.
En la Academia Nacional de Defensa (NDA), en junio de 2002 se graduó
el primer grupo de estudiantes con el Título en Ciencias Informáticas. Según
los medios, en estos estudios de tres años de duración se aprenden temas
relativos a guerra electrónica y la creciente informatización en las fuerzas
armadas, desde interceptar y descifrar señales del enemigo a la utilización
de radares y sonares, ya que se es consciente de que las tecnologías TIC
tienen un papel primordial en la guerra moderna. Se imparten asignaturas
como arquitectura de ordenadores, lenguajes de programación, análisis de
sistemas de redes y gestión de sistemas de bases de datos.
El ejército indio está invirtiendo recursos significativos para desarro-
llar tecnologías TIC. Empresas privadas han desarrollado programas para
integrar sus tecnologías directamente en las necesidades del sector de
Defensa.
El CBI (Central Bureau of Investigation) lleva a cabo workshops para
la policía para explicar crímenes relacionados con Internet. Estudia tam-
bién métodos y soluciones para prevenir intrusiones en los servidores del
gobierno. Además ha desarrollado una estrategia para la protección de
las infraestructuras críticas del país.
En relación con la formación, hay que destacar también que la India
colabora con EE.UU., habiendo creado el CyberSecurity Forum para pro-
mover el intercambio de información en ciberamenazas. El foro fomenta
las discusiones bilaterales en protección de infraestructuras civiles y mili-
tares, cooperación legal, estándares de seguridad y en el campo de la
investigación y el desarrollo.
Operaciones
A principios de 2002, se estableció la Defence Intelligence Agency (DIA)
para coordinar la administración en Inteligencia de los ejércitos de tierra,
aire y armada. Es responsable de ejecutar operaciones internacionales y
conseguir datos de inteligencia táctica en países cercanos a través de recur-
sos humanos. También se encuentra entre sus responsabilidades la admi-
nistración del Centro de Procesamiento y Análisis de Imágenes de Defensa.
Dependiente de la DIA, se creó la DIWA (Defence Information Warfare
Agency), para tratar temas como operaciones psicológicas, ciberguerra y
ondas electromagnéticas.
Así pues, el gobierno indio ha elaborado una estrategia exhaustiva
133
para integrar las tecnologías de la información al sector militar. Los ser-

vicios armados han desarrollado planes que conllevan requerimientos a
largo plazo para adquirir nuevas tecnologías y también los recursos
humanos necesarios para este fin.
Por último, cabe destacar la colaboración establecida entre Rusia e India
en investigación informática. Estos dos países tomaron medidas para for-
talecer lazos tradicionales en el campo de la defensa y armamento milita-
res. Ejemplos de este hecho, son las colaboraciones entre el Departamento
de Ciencia y Tecnología de Nueva Delhi y la Academia de las Ciencias de
Rusia, o entre el Centro de Desarrollo de Alta Computación de India y el
Instituto de Diseño Asistido por Ordenador de Rusia.
9.2.3. Conclusiones
Las fuerzas armadas de la India han establecido una doc-
trina para abarcar de una forma más directa temas de ataque y defensa
en ciberguerra, lo que ha impulsado los esfuerzos del país en investiga-
ción TIC y desarrollo de software. Dentro de esta doctrina, se han lleva-
do a cabo algunos pasos, como la creación de la Universidad Nacional de
Defensa, siendo uno de sus enfoques el software informático y el esta-
blecer una nueva agencia de inteligencia y vigilancia electrónica.
Desde Nueva Delhi se busca de forma activa cooperación militar con
otros países como Rusia o Israel en materias técnicas y científicas, paí-
ses con conocidas “cibercapacidades”.
9.3. Irán
Las tecnologías de la información y comunicaciones (TIC)
en la cultura civil iraní son complejas. El gobierno, consciente de la
importancia de este sector y las consecuencias asociadas con Internet,
está determinado a que Irán no se verá excluido de la economía global
de las TIC. La población, por lo general culta, consciente de los desarro-
llos y tendencias a través de contactos externos, clama por tener acce-
so a estas tecnologías. Irán cuenta con una infraestructura telefónica
antigua y obsoleta. Por otra parte, elementos conservadores del régimen
religioso piensan que el acceso a la información sin control, llevará con-
sigo levantamientos y tensiones sociales.
Los servicios de telecomunicaciones y de Internet en Irán normalmen-
te son considerados rudimentarios comparados con los de otros países
de la región del Golfo Pérsico. Algunos analistas atribuyen el no consi-
derar su potencial a contradicciones internas políticas y religiosas.
Informes de la CIA señalaban que en 2004 Irán contaba con unos
5000 servidores frente a los 15.900 de Arabia Saudí o los 56.280 de
Emiratos Árabes. En cuanto al número de PCs, en 2003, según la Unión
Internacional de Telecomunicaciones (ITU), el índice de penetración en
134
Anexo A
Irán era del 7.5% frente al 13.67% de Arabia Saudí o el 12% en Emiratos
Árabes.
A pesar de estos datos, en los últimos años el gobierno ha realizado
esfuerzos para ponerse al día en el sector de las TIC. En particular, el
sector de defensa ha dado una importancia primordial a tener recursos
humanos y financieros dedicados a la investigación y desarrollo en gue-
rra electrónica y sus campos relacionados.
Irán está decidido a superar la propia percepción de inferioridad mili-
tar y tecnológica. Para conseguir esto, en los últimos años, desde el
gobierno se están dando pasos para una transformación tanto en su polí-
tica exterior como en su doctrina de seguridad y en la adquisición de
armamento sofisticado. Teherán está invirtiendo en la compra de siste-
mas avanzados para guerra convencional y también en investigación y
desarrollo de tecnología digital y tecnologías de la información relaciona-
das con el sector militar. Con esto, Irán busca el evitar el aislamiento eco-
nómico y tecnológico, lo que tiraría al traste las expectativas de alcanzar
la fuerza necesaria para convertirse en una referencia política en Asia
Central. Con este fin, desde el gobierno se han establecido lazos con
vecinos como Rusia e India.
9.3.2. Evolución en capacidad para la ciberguerra

En 2004, en EE.UU. se incluyó a Irán dentro de la lista de
países capaces de llevar a cabo ciberataques contra sus intereses. Desde
la CIA se asegura que Irán ya cuenta con recursos humanos entrenados
en ciberguerra, aunque se señalaba que parecía poco probable que se
intentase atacar algún objetivo militar y no tanto que sus objetivos fue-
sen del sector privado.
Ya desde la década de los 90, cuando Irán reconoció su inferioridad
manifiesta con respecto a otros países en lo relativo a ciberguerra, se
procedió a reestructurar las prioridades en defensa y a incrementar los
esfuerzos en I+D nacional. En 1999, desde el Consejo Nacional de
Inteligencia de EE.UU. se señalaba que Irán e Irak eran ejemplos de
estados que “tenderán a explorar la utilidad de las tecnologías de la
información en operaciones asimétricas. Para contrarrestar las capacida-
des militares de EE.UU. estos estados buscarán formas de explotar nues-
tras vulnerabilidades, incluyendo el empleo de ciberguerras y ciberterro-
rismo”.
En 2002, Irán contaba con unos 250 ISPs, la mayoría de los cuales
pertenecían al gobierno o a agencias del estado. Los pocos ISPs que ope-
raban de manera independiente proporcionaban acceso a unos precios
que prácticamente limitaban el uso de Internet a usuarios en unas esfe-
ras muy reducidas.
Los terminales públicos disponibles permitieron la aparición de una
nueva “sub-cultura” en las principales ciudades, como Teherán. La proli-
feración de cibercafés, unido a intentos del gobierno para filtrar determi-
135
nados contenidos y el control del acceso público ha promovido una men-

talidad hacker.
Como ya se ha señalado, desde el gobierno durante los últimos años,
se ha dado una alta prioridad a la modernización militar. Se ha dedicado
para ello una parte significativo de los beneficios logrados con el negocio
del petróleo en I+D en relación con armas de destrucción masiva, armas
avanzadas en el campo tradicional y diversas tecnologías en guerra elec-
trónica.
Esfuerzos en investigación
A raíz de la Guerra del Golfo, en 1991, Irán se dio cuenta del valor de
las tecnologías de la información para fines militares y se tomaron deci-
siones para asegurar la “digitalización” de sus fuerzas armadas. Desde
hace ya más de 10 años, en el Army’s Officer Training College se inclu-
yen asignaturas como software de ordenadores.
El Ministro de Defensa iraní, Ali Shamkhani, ya señalaba en el año 2000
que “Irán confía en el potencial de su hardware y software nacional para
la seguridad nacional”. Posteriormente, el Ministro señalaba la importancia
de la inversión en TIC para mejorar las capacidades en defensa militar. En
febrero de 2003, anunció la creación de un “complejo Universitario” para
atraer personal para asegurar la mejora continua en el sector de defensa
y su modernización. La Universidad Malek Ashtar, en Shahinshar, es cono-
cida como la Universidad de las Ciencias y la Tecnología, está relacionada
con diversas actividades en I+D en sectores como el aeroespacial, biotec-
nología genética y tecnologías de la información y comunicaciones.
Además, Teherán busca activamente contactos económicos y militares
con productores de tecnología más allá de las fronteras del estado. Se
dice, por ejemplo, que la elección de Vladimir Putin en mayo de 2000,
significó el comienzo de una nueva era en las relaciones entre Rusia e
Irán. Desde entonces, en Irán se han realizado movimientos significati-
vos en torno a la adquisición de tecnologías de defensa rusas. También
se han llegado a acuerdos con India, un país volcado con las tecnologías
de la información para uso civil y militar. Estos acuerdos buscan el coo-
perar con Irán en tecnologías de la información, entrenamiento y asun-
tos terroristas.
Ante las dificultades para enviar gente a adquirir conocimientos a
EE.UU., la estrategia giró en torno a: establecer centros de educación
e investigación nacionales, identificar aliados para compartir conoci-
mientos en tecnología, intercambio de estudiantes e I+D colaborativa.
De acuerdo con una evaluación académica publicada en Teherán des-
pués de la visita del Ministro de Defensa Sergeyev, los objetivos de
Rusia eran:
-. Utilizar Irán para frenar la expansión de la OTAN por Asia Central.

-. Frustrar las ambiciones de competidores regionales, como Turquía.
136
Anexo A
-. Desbaratar los objetivos de EE.UU. de controlar la zona del Golfo

Pérsico.
Hay hechos que hacen pensar que las relaciones entre ambos países
tienen como fondo más que una necesidad pragmática. Los intereses de
ambos en el sector de defensa son complementarios: La industria de
Rusia depende de consumidores extranjeros, mientras que Irán está
decidido a actualizar y transformar su capacidad militar y cuenta con
beneficios suficientes del petróleo para llevarlo a cabo.
Se estima que el valor del programa de venta de armas de 2001, del
que Rusia esperaba controlar un tercio del negocio, era de 25.000 millo-
nes de dólares. Para Irán, uno de los mayores intereses a largo plazo es
el entrenamiento y el acceso al “know-how” tecnológico, prescrito en el
marco de acuerdos de cooperación militar. En Teherán se firmaron acuer-
dos con el ejército ruso mediante los cuales, personal militar iraní recibi-
rá entrenamiento en las academias rusas. Finalmente, las universidades
iraníes, como la Universidad de Tecnología Malek Ashtar, tiene lazos con
otras universidades rusas y centros de investigación para la formación
técnica de los expertos iraníes.
9.3.3. Conclusiones
Irán ha sufrido en la última década un proceso de apertu-
ra a las tecnologías de la información en respuesta tanto a necesidades
militares como civiles. La política actual del gobierno tiene por objetivo
transformar el sector TIC. La unión de la inversión en TIC, los conoci-
mientos informáticos y el desempleo entre la juventud ha hecho florecer
una cultura hacker en Teherán con un nivel de madurez suficiente para
ser explotado por los servicios de inteligencia del país.
La percepción por parte de Irán de unas capacidades militares y eco-
nómicas inadecuadas, han hecho que crezca el interés en el país en
armas y tecnologías no convencionales incluyendo las tecnologías de
información y comunicaciones. En este marco, hay considerables eviden-
cias de que Irán ha comenzado a fortalecer los vínculos entre la moder-
nización en defensa y la investigación académica en el campo de la inge-
niería informática. Estas evidencias han llevado a pensar que el gobier-
no está potenciando el desarrollo de una capacidad de ciberguerra como
una potencial fuerza multiplicativa.
Algunos de los hechos que llevan a esta conclusión son:
-. Evidencias de estar destinando fondos al entrenamiento de recur-

sos humanos en el campo de las TIC.
-. Financiación por parte del Ministerio de Defensa de instalaciones
para I+D, enlazando servicios armados y universidades técnicas.
-. Existen evidencias de que mediante el régimen religioso se han
dado pasos para obtener ayuda técnica en campos como el hardware y
el software informático de Rusia y la India.
137
9.4. Pakistán
Actividades de hacking bien documentadas en Pakistán y
lazos entre la comunidad hacker y los servicios de inteligencia paquista-
níes hacen pensar que Pakistán cuenta con capacidad para llevar a cabo
ciberataques. Sin embargo, no se han encontrado documentación “públi-
ca” que determine la naturaleza exacta de esta capacidad, es posible que
el gobierno de Pakistán sólo haya realizado una inversión mínima en su
programa de ciberguerra. Las evidencias encontradas hacen suponer que
el principal objetivo de esta capacidad ofensiva es India. Pakistán ha
desarrollado la industra TIC, cuenta con programadores informáticos
expertos y el hecho de que una de las principales preocupaciones del
gobierno sea la seguridad en Cachemira y equipararse a la India puede
suponer un entorno susceptible de sufrir una ciberguerra.
Desde 1947, año de la independencia de Pakistán frente a India, las
tensiones entre ambos países no han disminuido. El principal foco de
conflictos se ha llevado a cabo sobre Cachemira, un área disputada al
este de Pakistán y al norte de India. Ambos países reclaman el territorio.
El resultado del conflicto armado llevó consigo pocos progresos en torno
a una resolución de la disputa de dicho territorio.
En el conflicto de Cachemira, el ciberespacio se ha convertido en un
nuevo frente. Tanto Pakistán como India controlan servidores en Internet
que esparcen propaganda on-line con su situación en el conflicto. Mensajes
del estilo: “India, tu gente son perdedores... esto es un aviso a la pobla-
ción India para dejar libre Cachemira y deje de soñar con ella” fueron col-
gados después de un ataque sobre www.zeetv.com (página propiedad del
magnate Indio Subhas Chandra), son típicos de las intenciones políticas de
una ciberguerra entre ambos países. A pesar de que desde Pakistán se nie-
gue que se estén financiando estos esfuerzos, Islamabad proporciona
apoyo diplomático a los luchadores por la libertad de Cachemira y exis-
ten rumores de contactos entre los servicios de inteligencia y la comuni-
dad hacker pakistaníes.
El problema de un programa potente de ciberguerra pakistaní es
doble. En primer lugar, podría desencadenar efectos desestabilizadores
en la región del sur de Asia, con ataques a la infraestructura TIC y nego-
cios civiles, así como ciberintrusiones a operaciones secretas nucleares y
otras relacionadas con la seguridad. El daño causado a sitios web de
India, por ejemplo, ha sido considerable. En 2002, alrededor del 90% de
las empresas de India con presencia on line detectaron una brecha de
seguridad, de ellas, el 80% informaron de pérdidas económicas debido a
este tipo de incidentes.
Un segundo problema potencial es que aquel de una carrera de “ciber-
armamento” a mayor escala en el subcontinente. El Servicio de
Inteligencia y Seguridad de Canadá ha identificado la ciberguerra entre
138
Anexo A
India y Pakistán por Cachemira como un ejemplo de ciberguerra que ha

superado ya la barrera de la teoría.
9.4.2. Iniciativas de Pakistán en relación

con ciberguerra
En 1998, un artículo publicado en el pakistaní De-
fence Journal por Syer M. Amir Husain proclamaba la necesidad de una
capacidad de ciberguerra del país. En el artículo se detallaban usos
potenciales de un programa de este tipo: espionaje industrial, prevenir
interrupciones en las telecomunicaciones, lanzamientos de ataques de
denegación de servicio, propaganda y difamación y apoyo a las fuerzas
armadas. El artículo recomendaba la creación de un CERT (Computer
Emergency Response Team) y daba detalles de cómo crear un programa
relativo a ciberguerra.
El gobierno muestra su preocupación por la seguridad nacional en el sec-
tor TIC y cuenta con legislación para arrestar, procesar y perseguir cibercri-
minales. En 2002, una unidad especial de la policía punjabi fue nombrada
como “Unidad de Crímenes Electrónicos” (ECU) con capacidad para hacer
frente al cibercrimen dirigido contra objetivos pakistaníes. Entre sus objeti-
vos se incluyen la prevención, detección, recuperación y la disuasión de
cibercrímenes y cuentan con la autoridad para perseguir a todo aquel que
lleve a cabo actividades hacker “intencionalmente, sin autorización para
acceder a ordenadores e instituciones, departamentos o agencias del gobier-
no para causar efectos dañinos o que afecten al uso de dichos ordenadores”.
Los ciberataques a las páginas web del gobierno han traído como resul-
tado los esfuerzos para mejorar la seguridad de sus redes. En octubre de
2003, el gobierno pakistaní formó un “Ala de Cibercrimen” compuesto por
representantes de los Ministerios del Interior y de Telecomunicaciones. Este
nuevo centro es responsable de securizar las redes de comunicaciones ofi-
ciales del gobierno. También se fundó el Centro Nacional de Respuesta ante
Cibercrímenes (NR3C), cuya misión es la de servir como foco nacional de
reunión de información de amenazas a infraestructuras críticas.
En un artículo del comandante Ozair Ahmed publicado en el Defence
Journal en 1998, titulado “Concepto de conocimiento de los soldados y
soldados del software”, se decía que las operaciones militares relaciona-
das con las TIC:
“Son más que ataques tácticos sobre los radares enemigos o sus redes
telefónicas. Cada bando intentará descubrir las acciones del enemigo
mediante la manipulación del flujo de inteligencia y de información”.
El comandante Ahmed defiende que Pakistán “requería una variedad
diferente de especialistas informáticos que programen, procesen y ope-
ren el hardware y software militar detrás de la escena, estos serían el
activo de la nación de Soldados del Software.” En el mismo artículo,
Ahmed hace referencia al reclutamiento de hackers por parte de los ser-
vicios de inteligencia.
139
“Realmente hay una necesidad de tener un grupo selecto de gente

entrenada para ser utilizados como cibersoldados. Estos son normal-
mente desarrolladores de software, programadores y operadores.
Dichos talentos se encuentran normalmente dentro de la comunidad
estudiante”.
A pesar de que muchos hackers en Pakistán operan de forma indepen-
diente, se cree que existen lazos entre elementos de esta comunidad y
los servicios de inteligencia pakistaníes. De hecho, los ataques detecta-
dos suelen conllevar intereses políticos. Grupos de hackers en Pakistán,
con regularidad lanzan ataques contra sistemas y redes en India y con-
tinuamente realizan defacements en sitios web del gobierno. Grupos
pakistaníes hacen circular información de cómo hackear redes y sitios
web de la India. A pesar de esto, no se encuentran evidencias en infor-
mación no clasificada que confirme la relación de estos grupos con los
servicios de inteligencia de Pakistán.
Desde los servicios de inteligencia de la India, se cree que estos ata-
ques no forman parte del esquema militar en ciberguerra de Pakistán.
Sin embargo, si creen que estos hackers están siendo reclutados por el
servicio de inteligencia pakistaní para llevar a cabo acciones de cibergue-
rra contra objetivos indios.
La industria TIC en Pakistán se ha visto apoyada por el gobierno desde
finales de la década de los 90. Las inversiones pakistaníes en el sector
de las TIC busca desarrollar el actual estado del arte de sus infraestruc-
turas. Las redes de comunicaciones están siendo actualizadas. El entre-
namiento en estas tecnologías se está llevando a cabo ampliamente en
Institutos y Universidades. Además se están realizando cambios en el
régimen regulatorio y legal.
El gobierno pakistaní ha iniciado esfuerzos significativos para mejorar
sus condiciones económicas invirtiendo en tecnologías de comunicación.
Así, lanzó su primer satélite de comunicaciones, el PAKSAT-1, en 2003.
Además se busca el ampliar el ancho de banda en las conexiones a
Internet, y que esté disponible para una mayor parte de la población. El
gobierno ha puesto también un plan de implantación de una PKI para
lanzar el comercio electrónico.
9.4.3. Conclusiones
Pakistán está dedicando esfuerzos enfocados a contrarres-
tar las capacidades de la India en materia de ciberguerra. Dado el cre-
ciente número de hackers con talento, los cuales han demostrado tener
inclinación por involucrarse en conflictos políticos, como el caso de
Cachemira, y por los hechos que parecen indicar que Pakistán pueda
estar estudiando la posibilidad de construir un programa de ciberguerra
potente capaz de interferir en el comportamiento de las redes de India,
EE.UU. ha incluido a Pakistán como una amenaza potencial en el ciberes-
pacio.
140
Anexo A
9.5. Rusia
Los servicios militares rusos, junto con expertos del sector
TIC y de la comunidad académica, han desarrollado un programa robus-
to de ciberguerra. El “armamento de información” (information wea-
ponry), armas basadas en código de programación, recibe una atención
especial en esta doctrina de ciberguerra.
El colapso de la Unión Soviética en 1991 llevó a una crisis económica y
una significativa fuga de cerebros, viéndose afectadas varias industrias de
Rusia y los círculos académicos. A pesar de esto, el Servicio de Seguridad
Federal (FSB, Federal Security Service), la Agencia Federal para las Co-
municaciones y la Información del Gobierno (FAPSI, Federal Agency for
Government Communications and Information) y el sector de la alta tecno-
logía de Rusia no se deben subestimar ya que han contado con el potencial
suficiente para el desarrollo de un programa de ciberguerra. Se cree que
ambos, FAPSI y FSB, sucesores de los órganos de la KGB, cuentan con
potentes programas de adquisición de información, lo que ha conducido a
crecientes suspicacias sobre posibles intentos de espionaje.
El Departamento de Defensa (DoD, Department of Defense) de EE.UU.
permanece desconfiado ante la amenaza que supone la comunidad hac-
ker rusa. Existe documentación de que esta comunidad hacker en 1999
consiguió comprometer dos millones de ordenadores del DoD, en lo que
el Pentágono calificó como una campaña de espionaje electrónico ruso.
Fue denominada la Operation Moonlight Maze.
Los esfuerzos del gobierno por reconstruir la obsoleta infraestructura
ha traído consigo un incremento en la confianza y el resurgimiento de la
economía rusa. Evaluando la situación del país en materia de cibergue-
rra, el conflicto checheno es de especial importancia, ya que ha forzado
a los servicios de inteligencia rusos a hacer frente a los técnicos exper-
tos chechenos. Sergei Pokrovsky, el editor de la revista rusa Khaker, con-
firmó que el FSB da empleo a hackers tanto para espionaje internacional
como nacional. Hace ya años que existen evidencias de la activa capaci-
dad rusa en materia de ciberguerra. Algunos ejemplos fueron las accio-
nes llevadas a cabo por hackers patrocinados por el gobierno contra
Chechenia, o el desarrollo de conceptos doctrinales relevantes, que vie-
nen a confirmar los esfuerzos en investigación en ciberguerra.
9.5.2. Acciones llevadas a cabo por Rusia

A pesar de que los servicios militares y de inteligencia han
sufrido importantes recortes de presupuesto en los últimos años y de las
crisis sufridas por Rusia, que llevaron a su restructuración económica,
sus operaciones de comunicaciones y los esfuerzos en investigación en
ciberguerra han sido siempre significativos y han supuesto una amenaza
considerable para la seguridad informática.
141
La información pública apunta a Rusia como una nación cuya capaci-

dad en ciberguerra es, junto con la de EE.UU., la más desarrollada de
entre las naciones técnicamente desarrolladas. De acuerdo con análisis
realizados por EE.UU., Rusia es un ejemplo de nación altamente involu-
crada en el desarrollo de su propia capacidad en ciberguerra. Los servi-
cios de inteligencia de EE.UU. consideran que desde Moscú se han desti-
nado importantes fondos para investigación en esta materia.
Analistas del gobierno de EE.UU. también creen que el ejército ruso es el
que encabeza el desarrollo del programa en ciberguerra y que los servicios
de inteligencia están involucrados con la investigación y la utilización de
estas tecnologías. Desde la CIA, ya en el año 2000 se señalaba que uno de
los objetivos de estos programas podrían tener fines ofensivos. Fuentes
militares rusas señalaron entonces que no existía ninguna evidencia que
relacionase el programa de ciberguerra con ningún ataque.
En Rusia, ya en 1996, en el Duma Subcommittee for Information
Security, se trataron temas de seguridad de la información y defensa en
materia de ciberguerra. Entonces se sospechaba que equipos de tele-
comunicaciones recientemente comprados a EE.UU. podrían contener
dispositivos en su interior capaces de causar daños irreparables en los
sistemas de telecomunicaciones rusos cuando fuesen activados desde
algún lugar remoto. Como consecuencia, la seguridad de la información
en Rusia se convirtió en una prioridad, y se aumentaron los esfuerzos
para securizar su ciberespacio.
Parece, por tanto, que el programa oficial de ciberguerra de Rusia
surge del miedo a la superioridad de EE.UU en el mundo “ciber”. La
posesión de una capacidad avanzada en el sector TIC por parte del
ejército de EE.UU. y de sus servicios de inteligencia aparentemente ori-
ginó el miedo en Moscú de perder una ciberguerra entre las dos nacio-
nes. En 2001, el general Vladislav Sherstyuk, ayudante del secretario
del Consejo de Seguridad, dijo que la aparición de un área nueva de
confrontación en sistemas de información era capaz de provocar el
comienzo de una carrera armamentística. El desarrollo de virus infor-
máticos, a diferencia de los misiles nucleares, no requieren de exper-
tos que se puedan encontrar más allá de la población civil.
El sector tecnológico ruso y la comunidad académica, junto con el
ejército, comenzaron así con el desarrollo del programa de cibergue-
rra más potente junto con el de EE.UU. Desde Rusia se reconoce que
la guerra de la información requiere medidas ofensivas y defensivas
para que el programa tenga éxito. El hecho de que la ciberguerra pro-
porcione nuevos medios para afectar a la población civil y militar hace
que cambien los principios, tácticas y condiciones de la guerra tradi-
cional.
Las “armas software” reciben una gran atención en el programa de
ciberguerra ruso. El desarrollo y uso de este tipo de armas requiere una
planificación a largo plazo, experiencia técnica e inteligencia sobre
142
Anexo A
objetivos; con todo lo cual cuentan los servicios secretos rusos como
FAPSI o FSB. La lista de armas incluye virus (que causen la pérdida de
datos), troyanos, programas capaces de modificar códigos a través de
acceso remoto, y destrucción de infraestructuras críticas de forma
remota.
Durante la fase de investigación de la Operation Moonlight Maze,
Michael Vatis, entonces cabeza del Centro de Protección de Infraestruc-
turas Nacionales (NIPC) atribuyó los ataques a Rusia. Vatis reconoció
que se había robado información clasificada aunque importante sobre
asuntos de investigación en defensa y tecnología. También dijo que las
intrusiones se habían producido en el DoD, otras agencias federales y
redes del sector privado.
En la misma época, el senador de EE.UU. Robert Bennett también
afirmaba que la Operation Moonlight Maze certificaba el hecho de que
las amenazas en el ciberespacio eran reales y aseguraba que los ata-
ques provenían de la Academia Rusa de las Ciencias. El FBI, por su
parte, intentó determinar si dicha Academia era la responsable; el aná-
lisis de las trazas y un análisis forense inicial revelaron que las intru-
siones tenían como origen líneas telefónicas rusas. Entre las empresas
afectadas se encontraba Meganet Corp. una empresa privada dedicada
a desarrollar software de cifrado.
En un incidente posiblemente relacionado y ocurrido en febrero de
1999, una impresora Hewlett Packard del Navy’s Space and Naval
Warfare Systems Command Center (Spawar), en San Diego, fue pro-
gramada para enviar copias de los documentos impresos a una locali-
zación remota en Rusia. Spawar proporciona seguridad electrónica a
algunas agencias federales de EE.UU.
Las defensas para la seguridad de la información para contrarrestar
ciberataques también han sido un foco del complejo militar-industrial
existente en Rusia. El gobierno de la Federación Rusa creó una directi-
va en marzo de 2000 ordenando a las empresas rusas a proporcionar
nuevas medidas de seguridad de la información así como medidas ope-
rativas de seguridad para usar en sistemas operativos americanos
(UNIX y Windows) por el ejército ruso.
El conflicto Checheno
Un análisis de la guerra de la información entre los ejércitos rusos y
chechenos desde la segunda mitad de 1999 hasta el 2000 indica que el
ejército ruso y sus servicios de inteligencia cuentan con capacidades de
ciberguerra. En el primer conflicto (1994–1996), Chechenia tuvo más
puntos a favor en las relaciones públicas, ya que el gobierno ruso negó
el acceso a los medios de comunicación en muchas de sus acciones
militares. Por otra parte, en Chechenia la presencia de la prensa fue
bienvenida, viendo en ella la oportunidad para dar a conocer su men-
saje y haciendo que se viese su punto de vista. Al comienzo del segun-
143
do conflicto (1997–2001), sin embargo, el gobierno de Rusia vio la

necesidad de controlar la información proveniente de Chechenia. Moscú
decidió controlar tanto la cantidad como el tipo de información que se
publicaba. Ambos bandos en el conflicto utilizaron nuevos sitios web para
describir sus puntos de vista en los eventos. Además de que los ser-
vidores chechenos que fueron controlados por los rusos, como kav-
kaz.org, también hubo otros situados en países aliados, como
qoqaz.net.my alojado en Malasia.
Moscú utilizó emisoras de radio y televisión controladas por el esta-
do para dar a conocer su punto de vista de los hechos. Rusia también
utilizó páginas web para extender su mensaje. En infocentre.ru se
encontraban recomendaciones de cómo los periodistas debían informar
de las noticias del conflicto. Rusia también publicó un libro con su ver-
sión de los hechos y su interpretación del conflicto. En el otro lado,
desde Chechenia se dio otra respuesta a esta ciberguerra. En
www.qoqaz.net, era posible descargar vídeos de los ataques, ver fotos
de las tropas chechenas en acción y de prisioneros de guerra, encon-
trar noticias, leer perfiles de los comandantes chechenos, y leer entre-
vistas con varios líderes y soldados chechenos. En caso de caída de
este servidor, se mostraban sitios alternativos (www.qoqaz.net.my,
www.qoqaz.com, www.qoqz.de...) En estos conflictos se hizo evidente
que cada vez era más complicado controlar el tipo de información
públicamente disponible, lo que hace que se desarrolle aún más la
capacidad en ciberguerra.
En 2002, los rebeldes chechenos afirmaban que dos de sus páginas
web, kavkaz.org y chechenpress.com, fueron atacadas por los servicios
de seguridad rusos FSB. Los ataques sobre chechenpress.com, fueron
del tipo de denegación de servicio (DoS), mientras que en el caso del
otro sitio web, kavkaz.org, los ataques parecían mucho más sofistica-
dos. De acuerdo con fuentes chechenas, los ataques fueron realizados
por hackers del FSB. Ante estos ataques, los rebeldes movieron la
información de estos sitios a otra web, kavkazcenter.com. Sin embar-
go, esta web fue atacada sólo una semana más tarde, también aparen-
temente por parte de hackers del FSB.
Sobre el programa ruso de ciberguerra

El programa ruso de ciberguerra coincide en algunos aspectos con
otros, como el chino. Uno de estos aspectos es la creencia de que una
meta del programa ofensivo debe ser la planificación de la ejecución de
de un primer golpe sobre el enemigo. Este “Pearl Harbor digital” se
conseguiría si se vence al enemigo sin tener que recurrir a la batalla
física. El general Vladimir Belous, afirmaba que “se puede predecir que
el campo de batalla del futuro comenzará a cambiar cada vez más hacia
el área del efecto intelectual. Un país agresor es capaz de desarrollar,
y bajo ciertas condiciones ejecutar, un escenario de ciberguerra contra
144
Anexo A
otro estado en un intento de vencerle en esas condiciones. En este sen-

tido es posible forzar al enemigo a rendirse sin utilizar las armas tradi-
cionales”.
El programa de ciberguerra ruso también describe el momento ópti-
mo para realizar el ataque. Previamente a este primer golpe, todos los
objetivos deben ser identificados (incluyendo los sistemas de informa-
ción enemigos), se debe negar el acceso enemigo a la información, la
circulación monetaria y de crédito debe ser interrumpida y la población
debe ser sometida a masivas operaciones psicológicas, incluyendo des-
información. Esto debe ser llevado a cabo con una planificación previa
y mediante inversiones a largo plazo para reconocer y penetrar en sis-
temas enemigos.
Oficialmente, el gobierno ruso tiene una postura no intervencionista
en relación con la aplicación de la ciberguerra. El antiguo Ministro de
Defensa Ivanov, fue preguntado en 2001 por si se habían tomado
medidas para crear una unidad capaz de lanzar ataques a través de
redes de ordenadores, la respuesta fue de algún modo circular y eva-
siva, donde llegó a decir que “la postura fundamental de Rusia es
observar los principios de la no aplicación de la fuerza, la no interven-
ción en asuntos internos, el respeto de los derechos y libertades huma-
nos, y el no permitir que los logros en la esfera de las ciencias de la
información y las telecomunicaciones se utilicen para fines que vulne-
ren la Carta de las Naciones Unidas”.
Al ser preguntado por el programa Echelon, el sistema de satélites
SIGINT de la Agencia de Seguridad Nacional, Ivanov dijo que “FAPSI,
el Ministerio de Defensa, el FSB, la Comisión Técnica del Estado y otras
autoridades ejecutivas estaban dando pasos orientados a aumentar el
nivel de protección de la información que es transmitida”. De estas afir-
maciones se puede deducir que Rusia tiene al menos concienciación de
una capacidad en ciberdefensa.
9.5.3. Conclusiones
Gran parte de la investigación inicial y del desarrollo de
capacidades en ciberguerra en Rusia fue debido a lo que el gobierno
ruso consideró un desarrollo agresivo por parte de EE.UU. de un pro-
grama de guerra de la información. A pesar de que las relaciones entre
Washington y Moscú han mejorado desde el fin de la Guerra Fría, algu-
nas tensiones permanecen sobre el aparente estado de calma.
Es evidente que Rusia cuenta con capacidad ofensiva en materia de
ciberguerra desde el conflicto con Chechenia. Acontecimientos ocurri-
dos durante los últimos años, como los ciberataques sobre Estonia en
2007, Georgia en 2008 o Kyrgyzstan en 2009, no hacen más que con-
firmar este hecho.
145
Anexo B
Glosario de términos
Anexo B
GLOSARIO DE TÉRMINOS
• Ciberdefensa
Concepto que engloba todas las actividades ofensivas y defensivas en
las que se utilizan como medio aquellos relacionados con las infraestruc-
turas TIC (Ej. Redes de ordenadores, ordenadores, programas informá-
ticos, etc.), y cuyo “campo de batalla” es el Ciberespacio. Las activida-
des de desarrollo de la ciberdefensa van encaminadas hacia la capacita-
ción de los gobiernos y naciones en la denominada “Ciberguerra”.
• Ciberseguridad
Sinónimo del termino Ciberdefensa. Normalmente el término Ciber-
defensa se suele utilizar en el ámbito militar, y el termino Ciberseguridad
en el ámbito civil, aunque en el presente estudio se han utilizado indis-
tintamente ambos términos.
• Ciberespacio
Conjunto de redes de comunicaciones y ordenadores existentes a nivel
mundial que se encuentran interconectados directa o indirectamente entre
sí. En ocasiones, este término se suele acotar y centrar en Internet, pero
durante el estudio el término se ha utilizado en el sentido más amplio.
• Ciberguerra
Lucha armada (en este caso las armas son las TIC) entre dos o más
naciones o entre bandos de una misma nación, en la que se utiliza el
Ciberespacio como campo de batalla.
• Guerra de Información
Parcela de la guerra relacionada con la información. Normalmente las
actividades en este ámbito se refieren a aquellas en las que la informa-
ción se trata como un arma ofensiva o defensiva ya sea por su conoci-
miento, por su manipulación, etc.
• Operaciones de Información
Concepto utilizado por los EE.UU. para definir las actividades relacio-
nadas con la “Guerra de Información”.
• Ciberincidente
Incidente relacionado con la seguridad de las TIC que se produce en
el Ciberespacio. Este término engloba aspectos como los ataques a sis-
temas TIC, el fraude electrónico, el robo de identidad, el abuso del
Ciberespacio, etc.
• Cibersistema
Sistema o conjunto de sistemas dentro del Ciberespacio.
149
Anexo C
Noticias de prensa
sobre ciberdefensa
A continuación se muestra un conjunto de noticias, extraídas de la

sección de noticias del CCN-CERT (https://www.ccn-cert.cni.es), en las
que se observa tanto la dependencia de la Sociedad de las TIC, como la
necesidad de desarrollar capacidades de Ciberdefensa por parte de todas
las Naciones.
Máxima prioridad a la ciberseguridad y a la protección de las

redes de EE.UU.
Fecha de publicación: Martes, 2 de junio de 2009.
Fuente de la noticia: New York Times, Financial Times, La Vanguardia, El País.
El presidente de EE.UU., Barack Obama, ha calificado de "prioridad

nacional" la ciberseguridad de los sistemas de EE.UU. ante el peligro de lo
que llamó "las armas de trastorno masivo" y ha anunciado un ambicioso
plan para dar máxima prioridad nacional a la seguridad de los sistemas y a
la protección de las redes digitales, sin las cuales el país se paralizaría y
quedaría inerme, según sus propias palabras.
Entre otras medidas, destaca la creación de un nuevo cargo en la Casa
Blanca, la de coordinador de seguridad cibernética –bautizado ya como
ciberzar– que formará parte de la Agencia de Seguridad Nacional (NSA, por
sus siglas en inglés) y el Consejo Económico Nacional (NEC).
Obama completará su iniciativa de defensa digital con la firma, en breve,
de una orden ejecutiva secreta que dotará al Pentágono de una nueva
estructura de mando dedicada en exclusiva al ciberespacio, con la tarea de
desarrollar tanto estrategias defensivas como ofensivas.
"Nuestra ventaja tecnológica es clave para el dominio militar de EE.UU.
–dijo–. Pero nuestras redes de defensa y militares se hallan bajo constante
ataque. Al Qaeda y otros grupos terroristas han hablado de su deseo de
desencadenar un ciberataque contra nuestro país, ataques que son más
difíciles de detectar y de los que defenderse. En efecto, en el mundo de hoy
los actos de terrorismo pueden venir no sólo de unos pocos extremistas con
chalecos suicidas (con explosivos) sino de unos pocos clics en el ordenador…
un arma de trastorno masivo".
El presidente recordó la importancia que tienen hoy día las operaciones
realizadas a través de Internet para la economía del país, pues el año pasa-
do el valor de las compras a través de este medio ascendió a unos 120.000
millones de dólares. Ante este tráfico masivo, mantener la red libre de virus
de forma que se garantice la privacidad de los ciudadanos es todo un reto.
Según informó el presidente, se calcula que sólo en 2008, EE.UU. sufrió
72.000 ciberataques diarios, cuyo coste superaron los 8.000 millones de
dólares." También, se recuerda que el Departamento de Defensa de EE.UU.
recibió, sólo en 2008, 360 millones de intentos anónimos de intrusión en
sus redes. Incluso, Obama reconoció que, durante su campaña electoral, los
hackers penetraron en su operativo, ganando acceso a correos electrónicos,
documentos y planes de viaje del candidato. Eso les obligó a pedir auxilio
152
Anexo C
al FBI y el Servicio Secreto, y a contratar a personal especial de seguridad

cibernética. Obama aseguró, entre risas, que el sitio de Internet dedicado a
captar fondos de millones de donantes no fue penetrado por los intrusos
informáticos, por lo que los datos financieros de sus simpatizantes no estu-
vieron en peligro.
Entre las funciones del nuevo 'zar' figura el coordinar las medidas de pre-
vención de los organismos públicos y de aquellos privados considerados
clave para la seguridad y estabilidad del país, como la bolsa de valores y las
compañías aéreas, de forma que a partir de ahora la estrategia de defensa
sea integral. Asimismo, también se encargará de diseñar una estrategia de
respuesta común que abarque todas las instituciones públicas, incluidas las
municipales.
Informe estratégico
La decisión de Obama es resultado de las conclusiones recogidas en un
informe que revisó las medidas de seguridad del Gobierno y que fue orde-
nado por el presidente el pasado mes de febrero para proteger datos como
las declaraciones de impuestos, las solicitudes de pasaporte o informes de
alto secreto.
El documento, de 40 folios, detalla la "visión estratégica" y los asuntos
de los que se ocupará el 'ciberzar'. En él se establece un plan de acción a
corto plazo en el que se incluyen las siguientes medidas: nombrar a un res-
ponsable que coordine la normativa en materia de ciberseguridad nacional;
establecer una dirección fuerte dentro del Consejo de Seguridad Nacional
(NSC, por sus siglas en inglés) que a su vez dependa del responsable de
ciberseguridad; establecer una estrategia que garantice la seguridad de la
infraestructura TIC de la nación; hacer de la ciberseguridad una prioridad
para el gobierno; designar a un funcionario especializado en temas de pri-
vacidad y libertades civiles dentro de la dirección del Consejo Nacional de
Seguridad; establecer una normativa unificada que esclarezca el papel de
las autoridades en la materia; iniciar una campaña pública de conciencia-
ción sobre la ciberseguridad; fomentar alianzas a nivel internacional y plan-
tear iniciativas; preparar un plan de respuesta ante incidentes e iniciar un
diálogo social para reforzar la colaboración entre el sector público y el pri-
vado; establecer un marco de investigación (llegando incluso a facilitar el
acceso de los investigadores a los documentos oficiales) y construir una
visión integral de la gestión de la ciberseguridad.
El cibercrimen en España aumentó un 570% en 2008

Fecha de publicación: Miércoles, 20 de mayo de 2009.
Fuente de la noticia: ABC, 19-05-2009.
El cibercrimen aumentó en España en 2008 un 570% respecto a 2007

y la mayoría de los ataques están destinados al espionaje industrial y al
robo de información empresarial, con el ciberrescate como nueva moda-
153
lidad en la que los hackers exigen dinero a cambio de desencriptar la in-

formación. El director general en España de Panda Security, Jorge Gil, ha
precisado que este aumento de la delincuencia informática se ha produ-
cido durante el "boom" económico de los últimos años y se ha agudiza-
do desde el inicio de la crisis económica. Gil, que ha ofrecido en rueda
de prensa los resultados de una encuesta corporativa sobre el uso de
antivirus en las pymes, ha explicado que una de las novedades detecta-
das en el último año corresponde a los ciberrescates, consistentes en
atacar el sistema informático de una empresa por parte de un hacker
quien después exige, vía e-mail, el pago de una cantidad de dinero a
cambio de desencriptar la información.
La generación de virus informáticos ha pasado de ser de 40 al día en
2003 a 300.000 al día en 2008, llegando hasta los 21 millones de virus,
pese a lo cual el 6% de las pymes de Cataluña no consideran necesario
contar con un sistema de seguridad informático. El director de Panda
Security ha informado que la colaboración con la Policía es estrecha, pero
ha advertido de la enorme dificultad que supone localizar a los ciber-
delincuentes y ha señalado a las mafias rusas y chinas, a las que los hac-
kers venden los virus, como los principales responsables de los ciber-res-
cates.
Como resultado de estos ataques, el 11% de las pymes catalanas
debieron parar su producción en algún momento en 2008, mientras que
un 30% sufrieron pérdidas de datos y el 50% constató un descenso de
la productividad. A pesar de ello, el 50% de las pymes catalanas encues-
tadas aducen el elevado coste económico de los sistemas de seguridad
como la razón para no contar con ellos. Así, el 46% de las pymes cata-
lanas invierten menos de 300 euros al año en mejorar la seguridad de
sus equipos informáticos, cuyos ataques tienen su origen en un 41% a
través de correo comercial no deseado, mientras que sólo el 11% de las
infecciones son debidas a descargas de Internet .
La seguridad en las infraestructuras críticas debe mejorar.

Fecha de publicación: Martes, 12 de mayo de 2009.
Fuente de la noticia: Threat Post, 23-04-2009.
Las interconexiones de las redes de las infraestructuras críticas del

país, como el agua, la electricidad y el gas, forman un sistema frágil en
el que la seguridad se ha convertido en un aspecto prioritario desde hace
poco tiempo, según informaron los ponentes de la conferencia RSA cele-
brada del 20 al 24 de abril pasados.
Según los conferenciantes, la prioridad sobre la seguridad en estos
entornos coincide con el aumento de ataques contra los sistemas de con-
trol de los servicios públicos, redes de telecomunicaciones y demás
infraestructuras críticas. Estos objetivos son muy atractivos para los hac-
kers debido a su alto valor y la escasa seguridad que presentan.
154
Anexo C
"Lo que pasa es que a veces se toman atajos para interconectar estas
redes y esto genera problemas", declaró Marcus Sachs, ex asesor de
seguridad de la Casa Blanca y actual director ejecutivo de la política de
asuntos gubernamentales y seguridad nacional de Verizon. "La gente
evita las redes privadas para utilizar las redes de estas empresas de ser-
vicios públicos
Este problema de interconectividad también afecta a dispositivos no
informáticos conectados a estas redes, como puedan ser los dispositivos
médicos.
"Hemos descubierto que algunos dispositivos de los hospitales como
máquinas de resonancia magnética y monitores cardiacos han sido infec-
tados por el Conficker", declaró Sachs.
Ciberespías entran a la red nacional eléctrica de EE.UU.

Fecha de publicación: Lunes, 13 de abril de 2009.
Fuente de la noticia: Eco Diario, 13-04-2009.
Ciberespías de China, Rusia y otros países han penetrado en la red

eléctrica de Estados Unidos y dejado en ella programas de software que
podrían ser utilizados para interrumpir el sistema, ha publicado reciente-
mente el diario The Wall Street Journal.
Según el rotativo financiero, que cita fuentes de la seguridad nacional
que pidieron el anonimato, ese ataque se ha producido desde países
como China, Rusia y otros, con el objetivo -creen- de "navegar por el sis-
tema eléctrico estadounidense y sus controles".
Aunque también señala que esos intrusos no han buscado "dañar la
red de suministro u otros aspectos claves de la infraestructura", las fuen-
tes alertaron de que podrían hacerlo durante una crisis o una guerra.
"Los chinos han intentado trazar el plano de las infraestructuras de
EE.UU., como la red eléctrica, y también los rusos", indicó una fuente de
los servicios de información al diario, que también indica que ese espio-
naje sobre la red de infraestructuras de este país va en aumento y hubo
un gran número de casos el pasado año.
Asimismo, se indica que quienes detectaron esas presencias no de-
seadas fueron los servicios de inteligencia del país y no las empresas, por
lo que desde esas agencias se teme que los "ciberatacantes" puedan lle-
gar a tomar el control de las instalaciones eléctricas, de una planta nu-
clear o de las redes financieras vía Internet.
El diario indica que las autoridades están investigando esas intrusio-
nes y que ya han encontrado software que podría utilizarse para destruir
componentes estructurales, y según sus fuentes, además de la red eléc-
trica, los sistemas del agua y de depuración de aguas residuales, entre
otros, han sido revisados por esos "ciberespías".
"En los últimos años hemos visto varios ataques contra infraestructu-
ras esenciales en el exterior, y muchas de las nuestras son tan vulnera-
155
bles como las del extranjero", indicó recientemente a los congresistas el

director de Inteligencia Nacional de EE.UU., Dennis Blair. El diario recuer-
da que el Gobierno del presidente Barack Obama prepara un costoso plan
para la protección de la red eléctrica y otras infraestructuras que podría
estar completado la próxima semana y en el que podrían incluirse los
computadores de las redes privadas.
Durante la Administración del ex presidente George W. Bush el
Congresó "aprobó fondos secretos por 17.000 millones para proteger las
redes gubernamentales", indicó al diario una de sus fuentes.
El Pentágono ha gastado en los últimos seis meses cien millones de
dólares en reparar los daños cibernéticos que ha tenido.
El periódico recuerda un caso en Australia en 2000, cuando un emple-
ado descontento se sirvió del sistema de control informático automatiza-
do para soltar más de 750.000 litros de aguas residuales en parques y
ríos en los alrededores de un hotel.
La red eléctrica estadounidense está integrada por otras tres redes
separadas que incluyen el este y el oeste del país, así como el estado de
Texas, y en cada una de ellas hay miles de líneas de transmisión, plan-
tas eléctricas y subestaciones, muchas de ellas conectadas por Internet,
lo que aumenta la vulnerabilidad del sistema ante posibles ataques de
espías y piratas.
El diario indica que rusos y chinos han negado estar involucrados en
ese espionaje, aunque según sus fuentes los servicios de inteligencia han
logrado trazar los caminos utilizados y llegado hasta ellos.
"Eso es pura especulación. Rusia no tiene nada que ver con ataques a
la infraestructura de EE.UU. o de cualquier otro país del mundo", dijo al
diario el portavoz de la embajada rusa en Washington, Yevgeniy
Khorishko.
Un portavoz de la embajada china en Washington, Wang Baodong,
indicó que Pekín "se opone firmemente a cualquier delito que destruya
Internet o la red informática", además de que dispone de leyes que lo
prohíben y mostró la disposición de su país a cooperar para contrarres-
tar esos ataques.
El Pentágono gastó más de 100 millones de dólares en reparar

daños causados por ciberataques
Fecha de publicación: Miércoles, 8 de abril de 2009.
Fuente de la noticia: El Mundo, 07-04-2009.
El Pentágono gastó más de 100 millones de dólares en los últimos seis

meses combatiendo los ciberataques, según han señalado algunos diri-
gentes militares en una conferencia sobre el ciberespacio celebrada en
Omaha (Nebraska).
“Lo importante es que reconozcamos que estamos bajo la amenaza de
ataques muy sofisticados con ciertos elementos criminales”, ha apunta-
156
Anexo C
do Kevin Chilton, general de las Fuerzas Aéreas y jefe del Comando

Estratégico del Departamento de Defensa de EE.UU. Según John Davis,
general de Brigada del Ejército y subcomandante de las operaciones de
red, el Pentágono invirtió el dinero en recursos humanos y tecnología
informática con el fin de reparar los daños causados por los ciberataques.
El año pasado, el Departamento de Defensa tuvo que desconectar
1.500 ordenadores a causa de los ataques y además prohibió el uso de
dispositivos externos por su capacidad de infectar virus.
Ni el General Chilton ni el general Davis fueron capaces de establecer
una cifra exacta del gasto, pero aseguraron que era mejor gastar el dine-
ro en prevenir los ataques que después para arreglar los daños.
Los ciberataques contra el gobierno de EE.UU. aumentaron más

de un 40% durante 2008
Fecha de publicación: Miércoles, 18 de febrero de 2009.
Fuente de la noticia: Market Watch, 17-02-2009.
La cantidad de ciberataques registrados en las redes informáticas del

gobierno de Estados Unidos aumentó más de un 40% el año pasado,
según informó el martes el diario USA Today.
Citando algunos datos facilitados por el Equipo de Respuesta ante
Incidentes de Seguridad de EE.UU. (US-CERT), el rotativo indicó que en
2008 hubo 5.488 incidentes registrados, tanto de accesos desautoriza-
dos a ordenadores gubernamentales como de instalaciones de progra-
mas hostiles. Hubo 3.928 incidentes de esta clase en 2007 y 2.172 en
2006, señaló USA Today.
“Los sistemas del gobierno están sufriendo constantes ataques”, indi-
có al diario Joel Brenner, jefe de contraespionaje de la Oficina del
Director de Inteligencia Nacional.
“Estamos asistiendo a un dramático y consistente aumento del ciber-
crimen y de las actividades de espionaje”, añadió Brenner.
USA Today indicó que también hubo más infiltrados que intentaron
distribuir software dañino en los sistemas informáticos del gobierno, en
un intento por controlar o robar información sensible.
Además, el diario señaló que los datos obtenidos del US-CERT repre-
sentan sólo una “pequeña muestra” del total de incidentes porque “sólo
un 1% de las agencias federales han desarrollado completamente siste-
mas de seguimiento”.
Creada una Unidad de Reconocimiento de Redes en Alemania

Fecha de publicación: Jueves, 12 de febrero de 2009.
Fuente de la noticia: Der Spiegel, 12-02-2009.
El Ejército alemán o Bundeswehr está formando a sus propios hackers

para defender a la nación frente a los ataques DDoS. Se ha creado la
157
Unidad de Reconocimiento Estratégico del Bundeswehr, con 6.000

hombres.
Esta Unidad, ubicada cerca de Bonn, prueba y analiza los métodos
más recientes de infiltración, exploración y manipulación –o destruc-
ción- de redes informáticas. Esta Unidad, conocida oficialmente como
“Departamento de Operaciones de Redes Informáticas”, está prepara-
da para actuar ante cualquier emergencia informática.
La creación de esta Unidad de hackers responde a la necesidad de
defenderse ante los ataques DDoS. Además, a mediados de enero, se
aprobó un anteproyecto de ley para “reforzar la seguridad de la infor-
mación del gobierno federal”.
Este anteproyecto de ley está siendo revisado actualmente por el
Bundersrat, la Cámara Alta del Parlamento alemán. A principios de
marzo, será presentado al Bundestag o Cámara Baja. La urgencia de
establecer esta legislación específica proviene de “la necesidad de
salvaguardar las comunicaciones del gobierno”.
La agencia correspondiente, la Oficina Federal para la Seguridad de
las Tecnologías de la Información (BSI) situada en Bonn, se converti-
rá en una especie de centro de vigilancia de datos para las agencias
gubernamentales.
El FBI considera los ciberataques la tercera amenaza a la segu-

ridad del país
Fecha de publicación: Miércoles, 14 de enero de 2009.
Fuente de la noticia: The Inquirer 07-01-2009.
Tras una guerra nuclear y las armas de destrucción masiva, el FBI

sitúa a un nuevo término denominado “Cybergeddon” como la tercera
mayor amenaza a la seguridad de Estados Unidos.
Shawn Henry, responsable de la división cibernética de la Oficina
Federal de Investigación, indicó que los terroristas “están intentando
crear un nuevo 11 de septiembre virtual, infringiendo el mismo daño
en los países occidentales que el que causaron los aviones al estrellar-
se en las torres gemelas en 2001, aunque sin niveles proporcionales
de destrucción visible”.
Aunque Estados Unidos no ha sufrido un ataque similar, se pone
como ejemplo los ataques de supuestos piratas informáticos rusos a
Estonia y Georgia el año pasado o los recientes a varios sitios web
israelíes. “Es muy difícil para nosotros su captura; cualquier persona
con una tarjeta SIM puede mover dinero y financiar a estos grupos en
cualquier parte del mundo”.
“La amenaza es en gran medida invisible y las personas no se la
toman en serio”, advierten los responsables de la agencia, presionan-
do la llegada del equipo de Obama a la Casa Blanca, a la hora de pre-
parar presupuestos y Leyes al respecto.
158
Anexo C
Guerra entre “hackers” israelíes y árabes

Fecha de publicación: Viernes, 26 de septiembre de 2008.
Fuente de la noticia: El Mundo 25-09-2008.
“Son cinco chavales de apenas 18 años. Compaginan sus estudios, fútbol,

baloncesto y música 'funk' con un hobby: pirateo informático. Dicen que lo
hacen "por ideología y en defensa de Israel". Sus familias les ruegan que lo
dejen, "que no es sano", como si el hacker fuera un fumador empedernido.
Su ataque más espectacular fue hace unas semanas cuando en un solo
día invadieron nueve sitios electrónicos de la zona, como dos de Irán, la pági-
na oficial del Banco de Beirut, así como algunas universidades libanesas y
palestinas. Como respuesta, piratas informáticos árabes atacaron la web de
la Bolsa de Tel Aviv, del Centro Universitario “Technion de Haifa” y de otros
90 sitios israelíes. El bíblico "Ojo por ojo y diente por diente" aplicado a las
últimas tecnologías. Nosotros irrumpimos en las webs árabes para que los
ciudadanos se rebelen contra sus dictaduras. No lo oculto, hay también un
reto informático de demostrar que podemos llegar a ellos", explica Yakir, el
líder de este grupo israelí al diario “Calcalist”.
Un fallo informático afectó a la mayoría de los aeropuertos de

EE.UU.
Fecha de publicación: Viernes, 29 de agosto de 2008.
Fuente de la noticia: El País, 26-08-2008.
“Un fallo en el sistema informático de los planes de vuelo en EE.UU. afec-

tó el pasado martes a sus principales aeropuertos, originando importantes
retrasos. La mayor parte del tráfico aéreo de los principales aeropuertos de
Estados Unidos volvió a la normalidad tras los importantes retrasos sufridos.
El problema tuvo su origen en un fallo en el sistema informático de clasifica-
ción de los planes de vuelo, según ha declarado la Administración Federal
Aérea estadounidense.
La portavoz de la institución, Kathleen Bergen, afirmó que no se habían
producido problemas respecto a la seguridad de los aviones, ya que los pilo-
tos no habían perdido comunicación con los oficiales en tierra. Bergen situó
la causa de los retrasos en un fallo del sistema que gestiona la información
de los vuelos en las instalaciones de Hampton, en el Estado de Georgia,
desde donde se transmiten dichos datos al otro centro de gestión de planes
de vuelo en EE.UU, situado en Salt Lake City, capital del Estado de Utah".
La guerra de Rusia contra Georgia, también cibernética

Fecha de publicación: Miércoles, 13 de agosto de 2008
Fuente de la noticia: www.Vnunet.com 11-08-2008.
“La guerra que enfrenta desde el sábado pasado a la república ex

soviética de Georgia con el ejército ruso tiene un nuevo escenario: el
159
cibernético. Así lo han anunciado portavoces del gobierno georgiano, que

acusan a Rusia de lanzar ataques contra sus páginas web oficiales”.
Lituania sufre un ciberataque desde servidores rumanos

Fecha de publicación: Miércoles, 23 de julio de 2008.
Fuente de la noticia: Sillicon News 23-07-2008.
“Una dependencia del Estado lituano sufrió, durante el fin de semana,

un ataque cibernético que provendría desde servidores localizados en
Rumania. El sitio de la agencia tributaria estatal comenzó a recibir peti-
ciones masivas, por lo que debió ser puesto fuera de línea por varias
horas. Según declaraciones del subjefe del organismo, Gediminas
Vysniauskis, los ataques habrían sido planeados con antelación. De
acuerdo a lo informado por Reuters, la oficina impositiva se vio obligada
a bloquear el acceso desde algunos servidores, para evitar la pérdida de
datos y otros daños. Cabe recordar que, el mes pasado, distintos sitios
oficiales de Lituania fueron hackeados, después de que el Parlamento
local prohibiera la utilización de símbolos soviéticos y la reproducción de
la U.R.S.S. en reuniones públicas. Tras esta decisión, varios sitios del
Gobierno lituano amanecieron con la hoz y el martillo”.
La red informática de San Francisco, bloqueada por un adminis-

trador despedido
Fecha de publicación: Jueves, 17 de julio de 2008.
Fuente de la noticia: San Francisco Chronicle 15-07-2008.
“Un administrador de sistemas de San Francisco ha secuestrado la red

informática de la ciudad californiana, lo que impide el acceso a una ingente
cantidad de información vital para la administración de la ciudad. Según
informa el diario San Francisco Chronicle, Terry Childs, de 43 años, supo
hace unos días que sus días en el Departamento de Tecnología del ayunta-
miento de San Francisco habían llegado a su fin. Muy cabreado con su des-
pido, decidió eliminar todos los perfiles del nivel administrador (que da acce-
so al control total del sistema) y mantener únicamente el suyo. El problema
es que sólo él conoce la contraseña de acceso y se niega a revelarla”.
China niega haber atacado ordenadores estadounidenses

Fecha de publicación: Viernes, 13 de junio de 2008.
Fuente de la noticia: Los Angeles Times.
“China ha desmentido las acusaciones presentadas por dos legisladores

estadounidenses, según las cuales el país asiático habría infectado los orde-
nadores del Congreso Norteamericano. El jueves, China declaró que no
habría sido capaz de realizar un ciberataque tan sofisticado, al ser un país en
vías de desarrollo, y que también era una víctima de la ciberdelincuencia”.
160
Anexo C
ENISA alerta del riesgo de un '11-S electrónico'

Fecha de publicación: Martes, 27 de mayo de 2008.
Fuente de la noticia: Terra 27-05-2008.
“La Agencia Europea de Redes y Sistemas de Información (ENISA), ha

alertado hoy del riesgo de que se produzca 'un 11-S electrónico', provo-
cado por ataques cibernéticos o por la propagación de virus por Internet
'si no se realizan grandes esfuerzos comunitarios' en materia de seguri-
dad digital”.
Bélgica sufre ataques provenientes de China

Fecha de publicación: Miércoles, 14 de mayo de 2008.
Fuente de la noticia: Le Soir 4-05-2008.
“Bélgica quiere reforzar su defensa frente a los intentos de espionaje

informático, tras el descubrimiento, por parte de las autoridades, de una
serie de ataques provenientes de China y dirigidos contra las redes del
Estado. El ministro belga, Jo Vandeurzen (del grupo demócrata-cristiano
de Flandes CDV), ha indicado que los Servicios de Inteligencia civil y mili-
tar belgas están investigando los intentos de ataque contra varias direc-
ciones de correo electrónico pertenecientes al Estado, confirmando así
una noticia publicada por la prensa flamenca.
El descubrimiento de estos ataques debería impulsar el proyecto de
creación de un servicio oficial encargado de impedir este tipo de accio-
nes y que, según ha precisado Vandeurzen, ya existe desde el año 2005”.
El Ejército chino penetra en la red del Pentágono

Fecha de publicación: Miércoles, 05 de septiembre de 2007.
Fuente de la noticia: El País 4-09-2007.
“Un pirata informático del Ejército Chino de Liberación Popular (ELP)

consiguió romper la seguridad del Pentágono y penetró en su red, según
denunciaron funcionarios en Washington en una acusación que China ha
calificado de "infundada". La infiltración se habría producido en junio
pasado, en una red no clasificada utilizada por ayudantes del secretario
de Defensa”.
La OTAN envía expertos a Estonia para protegerla de una oleada

de ataques informáticos
Fecha de publicación: Jueves, 17 de mayo de 2007.
Fuente de la noticia: El País 17-05-2007.
“Los sistemas de ministerios, bancos, medios de comunicación e inclu-

so el parlamento sufren intentos de intrusión atribuidos a Rusia.
El diario británico The Guardian asegura hoy que la Organización del
161
Tratado del Atlántico Norte va a enviar a expertos en seguridad informá-

tica a Estonia para que refuercen las medidas de seguridad de los siste-
mas informáticos de Estonia. Tal y como se recogió en este portal del
CCN-CERT (13-05-2007) y según el diario, varias organizaciones públi-
cas e incluso medios de comunicación sufren desde hace tres semanas
una oleada de ataques desde el extranjero, que las autoridades del país
del Báltico atribuyen a Rusia”.
162
Anexo D
Documentación consultada
1. Portales web
[1]
Department of Homeland Security (EE.UU.), http://www.dhs.gov/
[Consultado 09 de septiembre de 2009]
[2]
Federal Ministry of the Interior (Alemania), http://www.bmi.bund.de
[3]
Federal Office for Information Security (Alemania)
http://www.bsi.bund.de [Consultado 09 de septiembre de 2009]
[4]
European Commission, http://ec.europa.eu/
[5]
El Derecho de la Unión Europea, http://eur-lex.europa.eu
[6]
Monitoring the state and civil liberties in Europe.
http://www.statewatch.org/
[7]
The Act Transformation Networking Portal (NATO)
http://transnet.act.nato.int
[Consultado 11 de noviembre de 2008]
[8]
North Atlantic Treaty Organization (NATO). http://www.nato.int/
[9]
NATO Information Assurance. http://www.infosec.nato.int/
[10]
Internet Contract-Soft, http://www.onnet.es/decision.htm
[11]
NATO Counter-Terrorism Technology Development Programme
http://nc3a.info/nctdp/
[12] Consejo de la Unión Europea, http://www.consilium.europa.eu
[13]
The European´s Comisión Delegation to New Zealand http://
esvc000950. wic024u.server-web.com/newzealand/eu_guide/cfsp.htm
164
Anexo D
[14]
Ministere Des Affaires Étrangères Et Europpéennes (Francia)
http://www.diplomatie.gouv.fr
[15]
National Cyber Security Alliance, http://www.staysafeonline.org/
[16]
El Portal de la Unión Europea, http://europa.eu
[17]
Cabinet Office (Reino Unido), http://www.cabinetoffice.gov.uk
[18]
International Telecommunication Union Cybersecurity Gateway
http://www.itu.int/cybersecurity/gateway/index.html [Consultado 09 de
septiembre de 2009]
[19]
Norwegian National Security Authority (Noruega)
http://www.nsm.stat.no
[20]
The White House (EE.UU.), http://www.whitehouse.gov
[21]
Cybercrime Law, http://www.cybercrimelaw.net/laws/survey.html
[22]
United States Strategic Command, http://www.stratcom.mil
[23]
Center for Defence Information,
http://www.cdi.org/terrorism/cyberdefense-pr.cfm
[24]
Cyberspace and Information Operations Study Center (EE.UU.)
http://www.au.af.mil/info-ops/cyberspace.htm
[25]
Air Force Cyber Command (EE.UU.), http://www.afcyber.af.mil/
[26]
The Information Warfare Site, http://www.iwar.org.uk/
165
[27]
Security Park, The leading news portal for securiryt professionals
http://www.securitypark.co.uk/article.asp
[28]
Warning, Advice and Reporting Point (Reino Unido)
http://www.warp.gov.uk/
[29]
Institute for the advance Study of Information Warfare
http://www.psycom.net/iwar.1.html
[30]
CERT del Centro Criptológico Nacional (España)
https://www.ccn-cert.cni.es
[31]
Periódico Público, http://www.publico.es
[32]
Grupo de Delitos Telemáticos, Unidad Central Operativa de la Guardia
Civil (España), https://www.gdt.guardiacivil.es
[33]
Cuerpo Nacional de Policía (España),
http://www.policia.es/bit/index.htm
[34]
División de “Computer Forensic” de Recovery Labs,
http://delitosinformaticos.info/delitos_informaticos/legislacion.html
[35]
Instituto Nacional de Tecnologías de la Información, INTECO, (España)
http://www.inteco.es
[36]
Centro de Alerta Temprana sobre Virus y Seguridad Informática (España)
http://alerta-antivirus.inteco.es/portada/index.php
[37]
Ministry of Defence (Reino Unido)
http://www.mod.uk/DefenceInternet/home
166
Anexo D
[38]
Department of Defence (EE.UU.), http://www.defenselink.mil/
[39]
Ministerio de Economía y Hacienda (España), http://www.meh.es/
[40]
European Network and Information Security Agency
http://www.enisa.europa.eu/
[41]
Information for the Government and Ministries (Noruega)
http://www.regjeringen.no/en.html?id=4
[42]
Premier Ministre Portail du Gouvernement (Francia)
http://www.premier-ministre.gouv.fr
[43]
Présidence de la République (Francia)
http://www.elysee.fr
[44]
La Documentation français, http://lesrapports.ladocumentationfrancaise.fr
[45]
Serveur Thématique sur la sécurité des systémes d’information (Francia)
http://www.ssi.gouv.fr
[46]
Federal Emergency Management Agency (EE.UU.)
http://www.fema.gov
[47]
United States Computer Emergency ReadinessTeam (EE.UU.)
http://www.uscert.gov
[48]
Federation of American Scientist, http://www.fas.org
[49]
Development Concepts Doctrine Center Strategic Trends (Reino Unido)
http://www.dcdc-strategictrends.org.uk
167
[50]
Defence Research Suppliers Information Portal (Reino Unido)
http://www.science.mod.uk
[51]
Home Office (Reino Unido), http://www.homeoffice.gov.uk/
[52]
Office for Security and Counter Terrorism (Reino Unido)
http://security.homeoffice.gov.uk/
[53]
Organisation for Economic Co-operation and Development
http://www.oecd.org
[54]
Représentation permanente de la France auprès de l’Union Européenne
(Francia) http://www.rpfrance.eu/spip.php?rubrique2
[55]
Consejo Superior de Administración Electrónica (España)
http://www.csi.map.es/
[56]
Cooperative Cyber Defence Centre of Excellence (NATO)
http://sivak.mil.ee/k5/index.html
[57]
Asociación Arbil, http://www.arbil.org/103jclh.htm
[58]
Blog de Ciberterrorismo, http://cyberterrorism.blogspot.com/
[59]
Blog de Wordpress, http://vorzheva.wordpress.com/2007/10/30/ cyber-
warfare-la-guerra-electronica/
[60]
Página de la Ciudad de Chajari, http://www.paginasdechajari.com.ar/
delitos-informaticos.html
[61]
Government Communications Headquarters (Reino Unido)
http://www.gchq.gov.uk/
168
Anexo D
[62]
Grupo de Estudios Estratégicos, http://www.gees.org/articulo/4637/8 y
http://www.libertaddigital.com:6681/opiniones/opinion_43432.html
[Consultados 09 de septiembre 2009]
[63]
Serious Organised Crime Agency (Reino Unido)
http://www.soca.gov.uk/
[64]
Joint Task Force - Global Network Operations
http://www.stratcom.mil/fact_sheets/fact_jtf_gno.html
[65]
Noticia era Obama: http://www.observer.com/2008/politics/obama-
adds-cyber-security-national-defense-plan
[66]
Noticia era Obama: http://www.defensedaily.com/sectors/homeland_
defense/Obama-Orders-Cyber-Security-Review_5653.html
[67]
Noticia era Obama: http://www.guardian.co.uk/technology/2009/feb/
10/obama-review-cyber-security
[68]
Noticia era Obama: http://www.whitehouse.gov/blog/09/03/02/Cyber-
review-underway/
[69]
Noticia era Obama: http://www.fcw.com/Articles/2009/02/23/Obama-
cyber-review.aspx
[70]
Actuaciones en EE.UU. en ciberdefensa:
http://www.bloomberg.com/apps/news?pid=20601103&sid=an2_Z6u1JPGw
[71]
Acciones en EE.UU. a llevar a cabo:
http://www.whitehouse.gov/agenda/homeland_security/
[72]
Resultados del informe solicitado por Obama:
h t t p : / / w w w. e l m u n d o. e s / e l m u n d o / 2 0 0 9 / 0 5 / 2 9 / n ave g a n t e /
1243589528.html
169
[73]
http://www.nytimes.com/2009/05/29/us/politics/29cyber.html?_r=1&hp
[74]
http://www.elpais.com/articulo/internacional/Obama/declara/guerra/cib
ercrimen/elpepiint/ 20090530elpepiint_1/Tes
[75]
Reacciones a las iniciativas propuestas:
http://lastwatchdog.com/obama-inserts-white-house-leadership-role-
secure-internet/ [Consultado 09 de septiembre de 2009]
2. Documentos, informes y presentaciones
• Francia
[76]
“Dossier de Presse Livre Blanc Sur la Defense et la Securite Nationale”
(Dossier de prensa del “Libro Blanco de la Defensa y la Seguridad
Nacional” publicado el 17/06/ junio de 2008. Fuente: www.elysee.fr).
[77]
“The French White Paper on defence and national security” (Dossier de
prensa, en lengua inglesa, del “Libro Blanco de la Defensa y la Seguridad
Nacional. Fuente: www.elysee.fr).
[78]
“Livre Blanc sur la Défense 1994” (Documento “Libro Blanco sobre la
Defensa 1994”. Fuente: http://lesrapports.ladocumentationfrancaise.fr).
[79]
“La France Face au Terrorisme. Livre blanc du Gouvernement sur la sécu-
rité intérieure face au terrorisme” (Documento “Francia contra el
Terrorismo. Libro Blanco del Gobierno sobre la seguridad contra el terro-
rismo”. Editorial La Documentation française,. Junio de 2006. ISBN: 2-
11-006101-4. Fuente: http://www.ladocumentationfrancaise.fr).
[80]
“Défense et Sécurité Nationale Le Livre Blanc” (Documento “Defensa y
Seguridad Nacional, el Libro Blanco”. Editorial Odile Jacob/La
Documentation Française, Junio de 2008. ISBN: 978-2-7381-2185-1.
170
Anexo D
Fuente: http://www.ladocumentationfrancaise.fr).
[81]
“Plan de Renforcement de la Securite des Systemes d’Information de
L’état” (Documento “Plan de Mejora de la Seguridad de los Sistemas de
Información del Estado”, Marzo de 2004. Fuente: www.ssi.gouv.fr).
[82]
“State Information System Security Reinforcement Plan” (Versión en
ingles del “Plan de Mejora de la Seguridad de los Sistemas de
Información del Estado,. Marzo de 2004. Fuente: www.ssi.gouv.fr).
• Estados Unidos de América
[83]
“National Response Framework brochure” (Folleto “Marco de Respuesta
Nacional”. Enero de 2008. Fuente: http://www.fema.gov).
[84]
“National Response Framework FactSheet” (Hoja Informativa “Marco de
Respuesta Nacional”. Fuente: http://www.fema.gov).
[85]
“The National Security Strategy of the United States of America“
(Documento “Estrategia de Seguridad Nacional de Estados Unidos de
America “. Año 2002 y actualización en el año 2006. Fuente: http://
www.whitehouse.gov).
[86]
“The National Strategy for Combating Terrorism” (Documento “Estrategia
Nacional para Combatir el Terrorismo”. Septiembre de 2006. Fuente:
http://www.whitehouse.gov).
[87]
“The National Strategy for Homeland Security” (Documento “Estrategia
para la Seguridad del Territorio Nacional”. Año 2002 y actualización en el
año 2007. Fuente: http://www.dhs.gov).
[88]
“The National Strategy for The Physical Protection of Critical
Infrastructures and Key Assets” (Documento “Estrategia Nacional para la
Protección Física de las Infraestructuras Críticas y los Activos Claves”.
171
Febrero de 2003. Fuente: http://www.dhs.gov).

[89]
“The National Strategy to Secure Cyberspace” (Documento “Estrategia
Nacional para la Seguridad del Ciberespacio”. Febrero de 2003. Fuente:
http://www.dhs.gov).
[90]
“NIPP Cyber Security” (Hoja Informativa “Ciberseguridad del Plan de
Protección de Infraestructuras Nacionales”.
Fuente: http://www.uscert.gov).
[91]
“National Infrastructure Protection Plan” (Documento “Plan de Protección
de Infraestructuras Nacionales”. Año 2006.
Fuente: http://www.dhs.gov).
[92]
“Protected Critical Infrastructure Information (PCII) Program” (Hoja
informativa “Programa de Protección de Información de Infraestructuras
Críticas”. Fuente: http://www.dhs.gov).
[93]
“Air Force Cyber Command Strategic Vision” (Folleto “Visión Estratégica
del Cibermando de la Fuerza Aérea”. Fuente: http://www.afcyber.af.mil).
[94]
“Information Operations, Electronic Warfare, and Cyberwar: Capabilities
and Related Policy Issues” (Informe “Operaciones de Información,
Guerra Electrónica, y Ciberguerra: Política y Capacidades”. Informe para
el congreso proporcionado por el Servicio de Investigación del Congreso.
Autor: Clay Wilson, especialista en tecnología y seguridad nacional. Código:
“Order Code RL31787”. Marzo 2007. Fuente: http://www.fas.org).
[95]
“Fiscal Year 2009 Overview Congressional Justification”
(Documento de presupuestos del DHS para el 2009.
Fuente: http://www.dhs.gov/xabout/budget/).
[96]
“Critical Foundations, Protecting America`s Infrastructures”
(Documento: “Fundamentos Críticos, Protegiendo las Infraestructuras de
America”. Octubre de 1997.
Fuente: http://www.fas.org/sgp/library/pccip.pdf).
172
Anexo D
[97]
“Energy Critical Infrastructure and Key Resources Sector-Specific Plan”
(Documento: “Plan Específico del Sector de la Energía de Infraestruc-
turas y Recursos Críticos”. Mayo de 2007.
Fuente: http://www.dhs.gov/xprevprot/programs/gc_1179866197607.shtm).
• Reino Unido
[98]
“DCDC Global Strategic Trends Programme 2007-2036” (Documento “El
Programa 2007-2036 de Tendencias Estratégicas Globales del Centro de
Doctrina, Conceptos y Desarrollo”. Enero de 2007.
Fuente: http://www.dcdc-strategictrends.org.uk).
[99]
“Defence Technology Strategy” (Documento “Estrategia Tecnológica de
Defensa”. Diseñado y Producido por el Ministerio de Defensa de Reino
Unido. Octubre de 2006. Fuente: http://www.science.mod.uk).
[100]
“The Home Office Strategy 2008–11”
(Documento “Estrategia del Ministerio del Interior 2008-2011”.
Fuente: http://www.homeoffice.gov.uk/).
[101]
“The National Security Strategy of the United Kingdom” (Documento
“Estrategia Nacional de Seguridad de Reino Unido“. Marzo de 2008.
Fuente: http://www.cabinetoffice.gov.uk).
[102]
“The Future of Netcrime Now” (Informe Online 62/04 del Ministerio del
Interior, “El Futuro del Cibercrimen ahora”. Diciembre de 2004. Autor:
Sheridan Morris. Fuente: http://www.homeoffice.gov.uk).
[103]
“The United Kingdom Security & Counter-Terrorism Science & Innovation
Strategy” (Documento “Estrategia de Innovación y Ciencia de la
Seguridad y Contraterrorismo del Reino Unido”. Año 2007. Fuente:
http://security.homeoffice.gov.uk).
[104]
“A National Information Assurance Strategy” (Documento “Estrategia
Nacional de Seguridad de la Información”. Año 2003 y actualización en el
173
año 2007. Fuente: http://www.cabinetoffice.gov.uk/csia/).

[105]
“Countering International Terrorism: The United Kingdom’s Strategy”
(Documento “Respuesta al Terrorismo Internacional: La Estrategia del
Reino Unido “. Julio de 2006. Fuente: http://security.homeoffice.gov.uk).
• Alemania
[106]
“Critical Infrastructure Protection Activities in Germany “ (Hoja informa-
tiva “Actividades de Protección de Infraestructuras Criticas en Alemania.”
Fuente: http://www.bsi.bund.de).
[107]
“Critical Infrastructure protection in Germany” (Presentación “Protección
de Infraestructuras Criticas en Alemania”. Año 2005. Fuente: http://
www.bsi.bund.de).
[108]
“National Plan for Information Infrastructure Protection” (Documento
“Plan Nacional para la Protección de Infraestructuras de Información”.
Octubre de 2005. Fuente: http://www.bmi.bund.de).
[109]
“Protection of Critical Infrastructures-Baseline Protection Concept”
(Documento “Guía del Concepto de Protección de Infraestructuras
Críticas. Marzo de 2006. Fuente: http://www.bmi.bund.de).
• España
[110]
“Directiva de Defensa Nacional 2004”. (Ministerio de Defensa. Diciembre
de 2004. Fuente: http://www.mde.es).
[111]
“La Respuesta Jurídica Frente a los Ataques Contra la Seguridad de la
Información” (Guía Legal publicada por el Inteco.
Fuente: http://www.inteco.es).
174
Anexo D
[112]
“Hoja de ruta para una Estrategia de Seguridad Nacional Española “
(Informe del 22/09/ de septiembre de 2008 del Área de Defensa y
Seguridad del Real Instituto Elcano. Autor: Félix Arteaga. Código: ARI Nº
112/2008).
• Noruega
[113]
“National Guidelines on Information Security 2007-2010” (“Guías
Nacionales para Fortalecer la Seguridad de la Información 2007-2010”.
Diciembre 2007. Fuente: http://nsm.stat.no/Om-NSM/ Samarbeids part-
nere/KIS/Global-meny/Et-annet-valg/).
[114]
“OECD Studies in Risk Management, Norway Information Security”
(Documento “Estudios de Gestión de Riesgos de la Organización para la
Cooperación Económica y Desarrollo, Seguridad de la Información en
Noruega. Año 2006. Fuente: http://www.oecd.org).
[115]
“An Information Society for All” (Informe “Una Sociedad de la
Información para todos”. Report No. 17 (2006–2007) para el Parlamento
de Noruega, “Storting”. Fuente: http://www.regjeringen.no).
• Unión Europea
[116]
“Libro Verde sobre un Programa Europeo para la Protección de
Infraestructuras Críticas” (Documento presentado por la Comisión de las
Comunidades Europeas en Bruselas el 17/11/ de septiembre de 2005.
Código: COM (2005) 576 final. Fuente: http://eur-lex.europa.eu/
LexUriServ/site/es/com/2005/com2005_0576es01.pdf).
[117]
“Directiva del Consejo sobre la identificación y designación de las infraes-
tructuras críticas europeas y la evaluación de la necesidad de mejorar su
protección” (Documento presentado por la Comisión de las Comunidades
Europeas en Bruselas el 12/12/ de Diciembre de 2006.
Código: COM(2006) 787 final. Fuente: http://eur-lex.europa.eu/
LexUriServ/site/en/com/2006/com2006_0787en01.pdf).
175
[118]
“Estrategia Europea de Seguridad” (Documento presentado en Bruselas
el 12 /12/de diciembre de 2003. Fuente: http://europa.eu/ legislation
_summaries/justice_freedom_security/fight_against_terrorism/r00004_
es.htm).
[119]
“The European Union Counter-Terrorism Strategy” (Documento presentado
en Bruselas el 30/11/ de noviembre de 2005. Código: 14469/4/05 Rev 4.
Fuente: http://ec.europa.eu/justice_home/fsj/terrorism/strategies/
fsj_terrorism_strategies_counter_en.htm).
[120]
“EU Plan of Action on Combating Terrorism” (Documento presentado en
Bruselas el 29/11/ de noviembre de 2004. Código: 14330/1/04. Fuente:
http://www.statewatch.org/news/2004/nov/terr-action-plan-14330-
rev1.pdf).
[121]
“La Unión Europea y la Lucha Contra el Terrorismo” (Folleto informativo
publicado en Bruselas el 14 /05/de mayo de 2007. Fuente: http://www.
consilium.europa.eu/uedocs/cmsUpload/FactsheetfightagainstterrorismE
Srev1.pdf). )
[122]
“Guide to the European Security and Defence Policy (ESDP)” (Guía escri-
ta en el año 2005 por la Delegación Francesa para el Comité de
Seguridad y Política de la UE. Última actualización en Noviembre de
2006. Fuente: http://www.rpfrance.eu/IMG/Guide_PESD_EN.pdf).
[123]
“Seguridad de las redes y de la información: Propuesta para un enfoque
político europeo” (Documento presentado por la Comisión de las
Comunidades Europeas en Bruselas el 6/6/200106 de junio de 2001.
Código: COM(2001)298 final. Fuente: http://www.csi.map.es/ csi/pdf/
com2001_0298es01.pdf).
• Ciberejércitos
[124]
“CYBER WARFARE an análisis of the means and motivations of selected
Nation States” Institute for Securitty Technology Studies at Darmouth
College. Charles Billo, Welton Chang. 2004.
176
Anexo D
[125]
“How China will use cyber warfare to leapfrog in military competitive-
ness” Jason Fritz. Culture Mandala, Vol. 8, No.1 Octubre de 2008.
[126]
“Russia / Georgia Cyber War – Findings and Analysis” Project Grey
Goose: Phase I Report October Octubre de 2008.
• Otros
[127]
“International CIIP Handbook 2006” (“Libro Internacional sobre la
Protección de Infraestructuras de Información Criticas 2006”. ISBN: 3-
905696-07-X . Editor: Center for Security Studies, ETH Zurich. Autores:
Isabelle Abele-Wigert y Myriam Dunn. Fuente: http://www.crn.
ethz.ch/publications/crn_team/detail.cfm?id=16651).
177
JV23 PORTADA 5/10/09 13:17 P gina 1
Composici n

Cuaderno #6

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cuaderno #6

Uploaded by

Copyright:

Available Formats

JV23 PORTADA 5/10/09 13:17 P gina 1

Oscar Pastor Acosta

Primera edición: Octubre 2009

No está permitida la reproducción total o parcial de este libro, ni su tratamiento

Fundación Rogelio Segovia para el

Icono Imagen Gráfica, S.A.

Diseño: Rocio Ortega

ISBN (13): 978-84-7402-364-0

Depósito Legal: M-42215-2009

Anexo A Detalle de las Actividades de Ciberdefensa 45

2-. Estados Unidos 52

2.6-. Ciberseguridad en la Era Obama

3-. Reino Unido

6.3.2-. Agencias Público-Privadas

7-. Unión Europea

9-. Iniciativas en materia de ciberejércitos

Glosario de términos 147

Noticias de prensa sobre ciberdefensa 151

Documentación consultada 163

1-. Portales Web

Cuanto mayor es el índice de desarrollo de una sociedad, mayor depen-

En los conflictos tradicionales normales existen fronteras y límites, mien-

El grado de conocimiento que necesita un atacante para realizar una

Todo ello conforma un escenario de nuevos riesgos para el que es nece-

La OTAN ha definido la ciberdefensa como "la aplicación de medidas de

La forma de defenderse de estos ataques es compleja, dado que influyen

La Ciberdefensa es, por tanto un ámbito de la Seguridad Nacional en el que

chos y libertades individuales, ser coordinadas con otras acciones tomadas

En la presente monografía de la Cátedra ISDEFE de la Universidad

ISDEFE ha elaborado un excelente documento de trabajo en el que, en

Con independencia de las conclusiones apuntadas en la monografía, el

Estamos seguros de que el presente trabajo dejará satisfechas las expec-

Un ciberespacio seguro es esencial para la seguridad nacional y, por

Finalmente, sólo nos queda agradecer y felicitar a ISDEFE y a la

D. Félix Sanz Roldán

Seguridad Nacional y Ciberdefensa

La “ciberguerra”, incluyendo ataques, explotación y defensa de las

1-. Por un lado permite un medio de divulgación amplio y econó-

1 A lo largo del presente documento se emplearán diferentes términos para refe-

que pueden ayudarlos en un despliegue de ventas (camisetas, bolsas,

2-. Otra posibilidad que ofrece Internet es lo que se conoce como

4-. Por último, pero no menos importante, es que Internet se ha con-

Seguridad Nacional y Ciberdefensa

tran telenovelas: aparecen entrevistas a amigos del egipcio Mohamed

popular, la realidad es que la magnitud de la ofensiva, el nivel de coor-

-El último ciberataque de cierta magnitud registrado

Considerando que un ataque informático puede infectar con virus,

Figura 1. Relación entre el coste y el efecto en la disponibilidad.

Seguridad Nacional y Ciberdefensa

Durante los últimos años, las naciones se han visto obligadas a

• La diversificación de actores (o activos que son potenciales obje-

• La diversificación y el aumento de las amenazas: los terroristas y

Figura 2. Nuevos riesgos y vulnerabilidades.

• El desarrollo y la implantación de las Tecnologías de la

2 Riesgo: estimación del grado de exposición a que una amenaza se materialice,

relevante de estas últimas es su aspecto facilitador, lo que permite a las

Figura 3. Actores y componentes de la Seguridad Nacional.

Esta nueva definición de Seguridad y Defensa, a la que deben contri-

Seguridad Nacional y Ciberdefensa

Figura 4. Estrategia para la Seguridad Nacional.

3 A lo largo del estudio se utilizarán ambos términos de forma indistinta.

Figura 5. Esquema genérico del Sector Energético.

Por lo tanto, partiendo de esta premisa no es de extrañar que los dis-