contenido - javeriana

Contenido

Propuesta de Buenas Prácticas para Fortalecer los Controles de Prevención y Detección Temprana del

Cibercrimen en las Empresas Colombianas .................................................................................................. 2

1. Introducción....................................................................................................................................... 3

2. Metodología....................................................................................................................................... 7

3. Situación de las empresas colombianas frente al cibercrimen financiero ......................................... 9

3.1 Realidad cuantificable de las pérdidas financieras en las empresas colombianas a causa del

cibercrimen. ......................................................................................................................................... 10

4. Normatividad colombiana sobre Ciberseguridad y Ciberdefensa. .................................................. 18

4.1 Historia normativa de la seguridad informática en Colombia. ...................................................... 18

4.2 Iniciativas y planes de acción contra el cibercrimen impulsados por el estado colombiano ......... 28

5. Tendencias y prácticas internacionales sobre seguridad informática. ............................................. 41

5.1 Normatividad y convenios internacionales vigentes contra el Cibercrimen (Rango UIT) ............ 41

5.2 Panorama internacional del Ciberdelito ........................................................................................ 66

6. Propuesta de buenas prácticas para cada una de las conductas penales “delitos” consignados en la

Ley 1273 del 2009. .................................................................................................................................. 97

6.1 Limitantes en la normatividad del Estado Colombiano en la prevención del cibercrimen frente a

los adelantos internacionales. .............................................................................................................. 97

6.2 Propuesta de buenas prácticas para cada una de las conductas penales o delitos consignados en la

Ley 1273 del 2009, que permitirá a las empresas disminuir la brecha que aumenta el riesgo al

cibercrimen. ....................................................................................................................................... 106

7. Conclusiones Preliminares ............................................................................................................ 142

8. Referencias bibliográficas ............................................................................................................. 145

2

Propuesta de Buenas Prácticas para Fortalecer los Controles de Prevención y Detección

Temprana del Cibercrimen en las Empresas Colombianas1

Katy Alejandra Vásquez Zarate**

María Paula Cárdenas Rodríguez***

Resumen

Durante la evolución económica y financiera de los mercados globales han surgido y

desarrollado fuerzas negativas que afectan el panorama de la seguridad cibernética. La aparición

de nuevas plataformas tecnológicas no solamente ha generado un incremento de las

transacciones financieras, sino que ha dado lugar a nuevas posibilidades de delito informático.

Por lo anterior, es necesario establecer buenas prácticas de prevención y detección temprana de

este tipo de fraude, uniendo esfuerzos del sector gubernamental y privado para disminuir las

brechas de vulnerabilidad asociadas al cibercrimen en las empresas colombianas.

Abstract

During the economic and financial developments in global markets they have emerged and

developed negative forces that affect the landscape of cybersecurity. The emergence of new

technology platforms has not only generated an increase of financial transactions, but has led to

* El presente es un artículo de revisión bibliográfica comparativa, con fundamento en una investigación analítica que busca proponer una estructura conceptual de buenas prácticas para fortalecer los controles de prevención y detección temprana del cibercrimen en las empresas colombianas. ** Estudiante de Pregrado de Contaduría Pública de la Pontificia Universidad Javeriana. Correo: [email protected]. ***Estudiante de Pregrado de Contaduría Pública de la Pontificia Universidad Javeriana. Correo: [email protected].

mailto:[email protected]



3

new possibilities of cybernetic crime. Therefore, it is necessary to establish good practices for

prevention and early detection of this type of fraud, joining efforts of public and private sector to

reduce vulnerability breach associated with cybercrime in Colombian companies.

Palabras clave autor: cibercrimen, ciberseguridad, delitos informáticos, buenas prácticas,

fraude, auditoria forense, empresas colombianas.

Códigos JEL: M42, M48, O38

1. Introducción

El Estado colombiano ha considerado en sus últimos planes de desarrollo el fortalecimiento y

ampliación de la red e infraestructura tecnológica del país. Con su implementación se ha

incrementado el comercio electrónico entre los ciudadanos en un 59% y entre las empresas en un

79%2, respectivamente. Del mismo modo, se ha presentado un aumento considerable en las

transacciones financieras a nivel nacional.

En esta coyuntura, en el proceso de desarrollo del mercado a nivel mundial y en su evolución

hacia el comercio electrónico, las medidas de control adoptadas por el estado colombiano se han

fortalecido de acuerdo con los programas digitales establecidos. No obstante, estos esfuerzos no

han sido suficientes para combatir y reducir los ataques cibernéticos, que para el año 2014 cobro

6 millones de víctimas representando perdidas económicas por 464 millones de dólares por año

(Certicámara, 2014), debido a los vacíos existentes en la normatividad y en el tratamiento

2 Cifras presentadas por la viceministra de Tecnologías y Sistemas de Información María Isabel Mejía.

4

procesal para los ciberdelincuentes clasificados como “hackers” y “crackers” según sea su

intención al momento de cometer el delito.

Por esto, el país está ante el inevitable acecho de la cibercriminalidad. Tal como lo describe

Oxman (2013), la cibercriminalidad:

se presenta en la cotidianidad de las personas bajo las más variadas formas, expresivas de una

amplia heterogeneidad de nuevos fenómenos delictivos y renovadas modalidades de comisión de

los delitos tradicionales, especialmente, a través de sistemas o redes informáticas de transmisión y

de intercambio de datos por internet, cuya complejidad operativa dificulta su persecución y en

consecuencia incrementa los niveles de impunidad. Y, aunque en realidad no exista un concepto

de "cirbercriminalidad" unánimemente aceptado, podríamos decir que se trata de un término que

hace referencia a un conjunto de actividades ilícitas cometidas al amparo del uso y el abuso de las

tecnologías de la información y la comunicación (TIC 3), poniendo en peligro o lesionando

intereses o bienes jurídicos de naturaleza individual o bien, amenazando la seguridad de los

sistemas sociales (pág. 212).

Es importante comprender este fenómeno pues empresas del sector público y privado han

migrado paulatinamente sus negocios hacia el “ciberespacio”4 (Ministerio de Defensa Nacional,

2009). Gradualmente se han creado canales basados en tecnología e implementado en el control

de sus operaciones, sistemas informáticos complejos y robustos. Éstos controlan el acceso de los

usuarios a su información y a sus canales transaccionales; no obstante otros usuarios también han

podido acceder a esta clase de sistemas de manera fraudulenta (cuando se identifican las posibles

3 Se consideran Tecnologías de la Información y Comunicación tanto al conjunto de herramientas relacionadas con la transmisión, procesamiento y almacenamiento digitalizado de información, como al conjunto de procesos y productos derivados de las nuevas herramientas (hardware y software) Disponible en: http://www.recursoseees.uji.es/fichas/fc10.pdf 4 El ciberespacio es la red interdependiente de infraestructuras de tecnología de la información, que incluye internet y otras redes de telecomunicaciones, sistemas computacionales, procesadores integrados y controladores de industrias críticas. (Ministerio de Defensa Nacional, 2009, pág. 1)

5

brechas en los controles establecidos) y han cometido delitos como: hackeo, crackeo, denegación

de servicios, falsificación de documentos electrónicos, robos en cajeros automáticos y tarjetas de

crédito, robos de identidad, phreaking, fraudes electrónicos e incluso sabotaje informático.

Como lo detalla KPMG (2013) en su encuesta sobre el fraude del año 2013, “el

cibercrimen5 ha tomado fuerza en el ámbito tecnológico convirtiéndose en uno de los cuatro tipos

principales de crímenes económicos que más afectan a las compañías colombianas. Por su parte,

según Symantec (2014) en el foro Symantec Visión de 2014, los ataques dirigidos crecieron en el

país un 91% durante el año 2012 (representando mayores pérdidas financieras para las empresas

del país), y se hace cada vez más difícil contrarrestarlos dado que se ha sofisticado cada vez más

la infraestructura delictiva.

Considerando este incremento del cibercrimen en Colombia se genera una duda sobre la

suficiencia y efectividad de los adelantos normativos sobre ciberseguridad y la adaptación de

estos en las prácticas y controles que se implementan en las empresas. (Centro Cibernético

Policial, 2015).

Si se tiene en cuenta la importancia de los sistemas de información, y de acuerdo con

Cano (2011):

los ejercicios de riesgos y controles propios de las empresas, para establecer y analizar los activos

de información críticos, han dejado de ser algo que hacen los de seguridad para transformarse día

a día en una disciplina que adopta la organización, para hacer de su gestión de la información una

ventaja clave y competitiva frente a su entorno de negocio. (pág. 4)

5 Cibercrimen: Se refiere a aquellas actividades ilícitas de carácter informático que se llevan a cabo para robar, alterar, manipular, enajenar, o

destruir información o activos.

6

De acuerdo con las encuestas reveladas por firmas de auditoría KPMG y PWC, los

cibercriminales podrán vulnerar la seguridad informática utilizando software indetectable y

mucho más sofisticado, ya que requieren de poca infraestructura material para sus ataques y

logran una alta ganancia económica. Esto representa grandes afectaciones al patrimonio de las

empresas y vulneración a los sistemas de ciberseguridad impulsados desde el gobierno.

Por lo anterior, resulta necesario realizar una propuesta de adopción de buenas prácticas6 que

reduzca la brecha en los controles establecidos por las empresas disminuyendo los riesgos a

ciberataques por cada conducta penal o delito descritos en la Ley 1273 de 2009, beneficiando el

manejo de las tecnologías de la información y particularmente los aspectos ligados a la seguridad

informática. Esta ley fue construida a partir de la revisión del estado del arte, es decir, de la

normatividad nacional vigente relacionada y estudios realizados por organizaciones competentes

y expertas, versus los avances y pronunciamientos internacionales en ciberseguridad, para

finalmente proponer las buenas prácticas que pueden ayudar a contrarrestar los delitos

informáticos.

6 En general el concepto de “buenas prácticas” se refiere a toda experiencia que se guía por principios, objetivos y procedimientos apropiados o

pautas aconsejables que se adecuan a una determinada perspectiva normativa o a un parámetro consensuado, así como también toda experiencia que ha arrojado resultados positivos, demostrando su eficacia y utilidad en un contexto concreto. Instituto PROINAPSA Universidad Industrial de Santander. (2005). Concepto de buenas prácticas en promoción de la salud en el ámbito escolar y la estrategia escuelas promotoras de la salud.

7

2. Metodología

Este trabajo es una revisión bibliográfica comparativa y su intención es investigar y revisar

diferentes fuentes de información sobre la situación actual normativa del estado colombiano

frente a las tendencias y avances internacionales para combatir el cibercrimen. Pretendemos

proponer que el Estado Colombiano valide si la estructura legal se encuentra soportada en las

últimas estructuras conceptuales de buenas prácticas para el manejo de las tecnologías de la

información, las cuales buscan el fortalecimiento de los controles y la disminución de brechas de

seguridad en las empresas colombianas para la producción de eventos de cibercrimen.

Esta investigación es de tipo cualitativo, por cuanto se toma en primer lugar, el fenómeno del

cibercrimen tal y como es, y posteriormente se va de lo general a lo particular para determinar las

posibles causas del problema. Así, posteriormente obtenemos un resultado concreto que permitirá

hacer frente a la problemática del cibercrimen, desde la perspectiva del control interno

corporativo.

La revisión bibliográfica abarcará fuentes publicadas en los últimos cinco años (2010-2015)

nacionales e internacionales que involucren las primeras ocho (8) posiciones del ranking global

del Índice Mundial de Ciberseguridad 2014 (IMC) publicado por La Unión Internacional de

Telecomunicaciones (UIT), que en adelante denominaremos RANGO UIT.

Con esta propuesta buscamos de una parte, un beneficio directo para las empresas puesto que

se busca que éstas implementen buenas prácticas de seguridad de la información, y de otra,

aportar al Ministerio de Tecnologías de la información y las Comunicaciones los elementos

normativos que permitan proteger las operaciones electrónicas de las empresas colombianas de

8

los delitos cibernéticos que tipifica la Ley 1273 de 2009. En la figura 1 se proponen algunas

buenas prácticas para las empresas.

Figura 1: Diagrama de modelación de las variables objeto de estudio

9

3. Situación de las empresas colombianas frente al cibercrimen financiero

Con el creciente uso del internet y la variedad de herramientas informáticas disponibles que

facilitan el acceso fraudulento a las empresas, se presenta un aumento en la brecha de los

controles que permiten un incremento de las amenazas a los sistemas de información. El aumento

de usuarios en las diferentes plataformas tecnológicas ha hecho más atractivo para los

ciberdelincuentes planear ataques focalizados o masivos por el alto grado de vulnerabilidad de la

información y de los bajos costos que representa la infraestructura de sus ataques. Por ello, “el

cibercrimen es un delito más rentable que el narcotráfico” (Dinero, 2015).

Este panorama resulta desalentador considerando que Colombia es el tercer país

latinoamericano más atractivo para los ciberdelincuentes, con un 21,73% seguido por Perú y

Ecuador. Según Iván Iván Galindo, representante de Digiware:

(…) Colombia se ha convertido en uno de los principales destinos para el cibercrimen debido a

que esas organizaciones se fijan en la actualidad económica de las naciones a las que van a atacar

(ese país es el que mayores proyecciones de crecimiento tiene en la región pues ese porcentaje es

del 3,3% para este año) explica (Dinero, 2015, pág. 1) .

Conforme lo explica Carlos Carrizosa, director de Seguridad de la Información de

Teleperformance, hay diferentes actividades en las que las empresas ya han venido trabajando

para superar las violaciones más conocidas en contra de la información, como son: el uso de

cuentas y tarjetas de crédito, la suplantación de identidades y la fuga de información al interior de

las organizaciones, entre otras. Pero estas actividades no han sido suficientes para enfrentar el

cibercrimen en Colombia. Consultado el coronel Bautista por las principales causas de fraudes

corporativos, señaló que ‘‘desafortunadamente no existe una política clara al interior de las

10

organizaciones de carácter privado, y algunas públicas, acerca del manejo de la gestión de la

seguridad de la información”. (Diario La República, 2013, pág. 1)

3.1 Realidad cuantificable de las pérdidas financieras en las empresas colombianas a causa

del cibercrimen.

El documento Los Avances y retos de la defensa digital en Colombia tiene como

propósito realizar un diagnóstico sobre el grado de exposición de nuestro país frente a delitos

cibernéticos, así como el nivel de sofisticación de la defensa nacional digital para contrarrestar y

prevenir estos tipos de amenazas.

En documento, FEDESARROLLO-Fundación para la Educación Superior y el

Desarrollo- encontró que:

Colombia fue uno de los países que mayor progreso demostró en este campo en la última década,

toda vez que aumentó el porcentaje de individuos que usaba internet de un 2% en 2000 a más del

50% en 2013, ubicándose así en la cuarta posición frente a sus pares de la región. Aunque

Colombia es un país con un nivel potencial de riesgo medio para ser atacado por piratas

informáticos, el crecimiento económico que ha alcanzado en los últimos años lo hace atractivo

para quienes cometen delitos en el ciberespacio. En lo que respecta al costo, esta misma compañía

estimó que el ciberdelito causó un daño económico al consumidor cercano a los 500 millones de

dólares durante lo corrido de 2013, acercándose así cada vez más a los países que reciben mayores

ataques cibernéticos en el mundo. (CCIT y Fedesarrollo, 2014, pág. 4)

El reporte Norton 2013 es uno de los estudios más grandes del mundo sobre delitos

informáticos que tiene como objetivo entender como estos afectan a los consumidores y como la

11

adopción y evolución de las nuevas tecnologías impacta sobre la seguridad de los usuarios. La

investigación se realizó a más de 13.000 adultos en 24 países, incluido Colombia.

Según este informe, las personas con más probabilidades de convertirse en victimas del

cibercrimen son hombres con un 64%, comparado con las mujeres que tienen un 58%. Los países

con mayor número de víctimas por delitos informáticos es Rusia en primer lugar, con 85%, en

segundo lugar, China con un 77%, seguido de México con un 71%, y con un cuarto lugar está

Colombia con un 64%. El 41% de las personas conectadas a la red ha sufrido ataques tales como

malware, virus, piratería, estafas, fraudes y robo; entendiéndose a los usuarios como personas

naturales y usuarios jurídicos.

En resumen, US$113 mil millones son los costos directos globales totales en 12 meses. El 50% de

los adultos conectados a la red ha sido víctima de un ciberdelito y/o ha sufrido incidentes en el

último año todos los días., Más de 1 millón de adultos es víctima de delitos informáticos, es decir,

12 víctimas por segundo. (Symantec, 2013, pág. 1)

La Encuesta de Fraude en Colombia 2013 realizada por KPMG, fue aplicada a 197

directivos de empresas que operan en Colombia cuya muestra en total representa 65% de

compañías privadas y 35% de compañías públicas. Su objetivo fue conocer la incidencia y el

impacto que tienen los crímenes económicos, en sus modalidades de malversación de activos,

fraude financiero, corrupción y cibercrimen. Se realizó a 197 directivos de empresas que operan

en Colombia y que han registrado ingresos anuales desde 50 millones de dólares.

Las empresas que participaron en este estudio representan diversos sectores e industrias,

como son energía, manufactura, banca y servicios financieros, salud, construcción e

infraestructura, farmacéutica, comercio y retail, educación, servicios profesionales,

12

telecomunicaciones y otros. Las empresas representadas en el estudio fueron tanto compañías

privadas 65%, como publicas 35%. Los daños causados a las compañías que operan en el país

han representado un alto costo para la sociedad colombiana, no solo en términos de daño

económico, sino también en la desaparición de empresas y en consecuencia, en la afectación en el

bienestar de miles de familias que han sido perjudicadas por la desaparición de sus empleos.

Para KPMG, 7 de cada 10 empresas que operan en Colombia han padecido al menos un

fraude en los 12 meses anteriores a la emisión del informe. En el 2013, el costo estimado por

crímenes económicos fue de 3600 millones de dólares, es decir el 1% del PIB nacional.

La incidencia de los crímenes económicos está directamente asociada con la capacidad

que tengan las compañías para prevenir, detectar y responder ante actividades ilícitas, sean estos

deliberados o auténticos casos fortuitos. Por esto, la importancia que tiene para las compañías

contar con mecanismos institucionalizados de la administración de riesgos de fraude. Según el

informe, el 70% de los crímenes económicos (incluyendo sus diferentes tipologías) han sido

realizados por empleados de las propias compañías, causando daños económicos cercanos a los

3.600 millones de USD en el 2013. El 39% de los ataques del cibercrimen se detectaron

accidentalmente.

Dentro de la tipología de crímenes económicos en Colombia, el resultado del análisis en

términos de incidencia, fraude o número de ilícitos experimentados en el último año, se inicia con

la malversación de activos, siendo el crimen más común con un 46%. En segundo lugar, está la

corrupción con un 31%, en tercer lugar, el cibercrimen con un 13% y como último, el fraude

financiero con el 10%.

13

Para el caso del cibercrimen, este ha sido el tipo de crimen económico que ha tomado más

fuerza en los últimos años previos al 2013, convirtiéndose en una actividad criminal definida en

contra de las empresas colombianas generando un daño económico cercano a los 550 millones de

dólares.

Para el caso del cibercrimen, el informe ha definido seis causas comunes a saber:

Figura 2: Causas comunes en el cibercrimen

Al respecto llama la atención una novedosa modalidad de atacantes cibernéticos: se trata

de organizaciones con la preparación, recursos y tiempo para estudiar y conocer bien las

debilidades de sus potenciales blancos. Muchas veces este tipo de atacante puede infiltrar la

organización a través de la identificación de los puntos vulnerables de la seguridad informática e

incluso sembrar algún dispositivo que permita el acceso y ataque remoto.

Con un 23% la “deslealtad de los empleados” por lo que el peligro en muchos casos se encuentra dentro

de las mismas organizaciones.

Fallas en la seguridad tecnológica

Inadecuada disposición del activo

Fallas de seguridad física.

Robo de dispositivos móviles

Fallas en la seguridad de terceros.

14

Los mecanismos de detección del cibercrimen se establecen en cuatro categorías:

o Accidentalmente.

o Por control interno.

o Denuncia.

o Autoridades regulatorias y auditoria externa, lo que evidencia la inefectiva actividad de

seguridad que impera en las compañías que operan en Colombia, concluye (KPMG,

2013).

De acuerdo con la encuesta, la implementación de mecanismos de prevención de crímenes

económicos permite reducir los riesgos hasta en un 70%, a través de un adecuado sistema de

administración de riesgos y una estructura sólida de gobierno corporativo, en la cual, todos (la

junta directiva, el comité de auditoría, la gerencia y la auditoría interna) deben desempeñar un

papel importante en el proceso de supervisión y monitoreo. Como se detalla en el informe de la

encuesta, una vez que exista una estructura deseable, los ejemplos de un programa integral de

administración de riesgo de fraude se dividen comúnmente en tres, como se puede apreciar en la

siguiente figura:

15

Figura 3: Programa integral de administración de riesgo de fraude. Fuente: tomado de (KPMG, 2013)

Lastimosamente en Colombia la cultura de las empresas en general sigue siendo más

reactiva que preventiva, por lo que la identificación y mitigación de los riesgos de fraudes y

conductas impropias son principalmente áreas de oportunidad que tienen las empresas

colombianas para mejorar su competitividad en el futuro inmediato.

Las organizaciones suelen poner demasiado énfasis en la tecnología especializada para

brindar seguridad, pero, si esta tecnología no es aplicada convenientemente o si las personas que

están a cargo de dicha tecnología no la ejecutan correctamente, su vulnerabilidad podría incluso

llegar a incrementarse. Ninguna tecnología por sí misma puede disminuir el impacto del factor

humano y la debida diligencia de implantar y operar correctamente los mecanismos de seguridad

de tecnología de las empresas.

16

Para KPMG, estos son los aspectos a considerar dentro de las conductas del cibercrimen:

a) Las Amenazas Persistentes Avanzadas

Son grupos organizados con la capacidad tecnológica y económica que incursionan de forma

sigilosa y mantienen su presencia indefinidamente en los sistemas de información internos de las

entidades, con objeticos claramente definidos.

Una amenaza persistente avanzada puede definirse también a partir de sus componentes

esenciales, como son:

AMENAZA: Aquí, el atacante tiene la intención y la capacidad de obtener acceso a

información confidencial almacenada electrónicamente.

PERSISTENTE: La naturaleza persistente y continua de la amenaza hace que sea difícil

prevenir su acceso a la red de computadores. Una vez el atacante ha obtenido acceso

exitosamente es difícil removerlo.

AVANZADA: El atacante tiene la habilidad de evadir la detección, así como la capacidad

de obtener y mantener el acceso a redes bien protegidas y a la información confidencial

contenida en ellas. Generalmente se adapta fácilmente y cuenta con buenos recursos

tecnológicos y económicos.

b) Fases de una Amenaza Persistente Avanzada

1. Reconocimiento, lanzamiento e infección: El atacante efectúa un reconocimiento de su

objetivo, identifica sus vulnerabilidades, lanza el ataque e infecta los sistemas de

información seleccionados.

17

2. Control, actualización, enumeración y persistencia. El atacante controla los sistemas de

información infectados, actualiza o adiciona sus programas de control, se extiende a otras

máquinas, enumera y recolecta los datos seleccionados.

3. Extracción y compromiso: El atacante extrae la información de los sistemas de

información a la red objetivo y la entrega a quien financia el ataque, la vende y

posteriormente, demanda un rescate para evitar su publicidad e incluso comparte y

comercia la información necesaria para que otros tengan acceso a la red.

Las compañías que operan en Colombia enfrentan el reto de consolidar sus negocios y

potenciar su prestigio. La confianza que proyecten a sus clientes, inversionistas y socios

estratégicos serán fundamentales para lograr estos objetivos. Su principal enemigo es el riesgo de

ser víctimas de crímenes económicos que minen su patrimonio e imagen corporativa.

El nivel de incidencia de fraudes reportados en este estudio, especialmente los atribuibles a la alta

dirección, es una clara señal de que es necesario reforzar su capacidad de control y gobierno

corporativo. Por esto se deben asumir estrategias administrativas de riesgos de fraude que sean

efectivas y orientadas a la empresa. Las actividades, mecanismos y controles tienen tres objetivos:

(KPMG, 2013, pág. 1).

Figura 4: Objetivos de una estrategia de administración de riesgos de fraude. Fuente: elaboración propia basado en (KPMG, 2013)

18

4. Normatividad colombiana sobre Ciberseguridad y Ciberdefensa.

4.1 Historia normativa de la seguridad informática en Colombia.

Aquí mencionaremos la normatividad colombiana frente a temas de seguridad

informática, protección de la información y de los datos, donde se preservan integralmente los

sistemas que utilizan las tecnologías de la información y las comunicaciones.

Como primer antecedente encontramos en la Constitución Nacional, el Art. 15

(Constitución Política de Colombia, 1991) que expresa que todas las personas tienen derecho a su

intimidad personal, familiar y a su buen nombre y que el estado debe respetarlos y hacerlos

respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se

hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En

la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías

consagradas en la Constitución.

La ley 527 de 1999 () define y reglamenta el acceso y uso de los mensajes de datos, del

comercio electrónico y de las firmas digitales, establece las entidades de certificación. Será

aplicable a todo tipo de información en forma de mensaje de datos, salvo en los siguientes casos:

En las obligaciones contraídas por el estado colombiano en virtud de convenios o tratados

internacionales. En las advertencias escritas que por disposición legal deban ir necesariamente

impresas en cierto tipo de productos en razón al riesgo que implica su comercialización, uso o

consumo. (Alcaldía de Bogotá, 1999)

La ley 962 de 2005 (Alcaldía de Bogotá, 2005) tiene por objeto facilitar las relaciones de

los particulares con la administración pública, de tal forma que las actuaciones que deban surtirse

ante ella para el ejercicio de actividades, derechos o cumplimiento de obligaciones se desarrollen

19

de conformidad con los principios establecidos en los artículos 83, 84, 209 y 333 de la Carta

Política.

Por tal razón, son de obligatoria observancia los siguientes principios rectores de la

política de racionalización, estandarización y automatización de trámites que detalla la ley 962 de

2005: Sobre la cual se dictan disposiciones sobre racionalización de trámites y procedimientos

administrativos de los organismos y entidades del Estado y de los particulares que ejercen

funciones públicas o prestan servicios públicos. Esta Ley prevé el incentivo del uso de medios

tecnológicos integrados para disminuir los tiempos y costos de realización de los trámites por

parte de los administrados. (Senado de la República, 2005)

Ley 1150 de 2007, denominada Ley de Seguridad de la información electrónica en

contratación en línea. En esta Ley se introducen medidas para la eficiencia y la transparencia en

la Ley 80 de 1993 (Alcaldía de Bogotá, 1993) y se dictan otras disposiciones generales sobre la

contratación con recursos públicos. Específicamente, se establece la posibilidad de que la

administración pública expida actos administrativos y documentos y haga notificaciones por

medios electrónicos, para lo cual prevé el desarrollo del Sistema Electrónico para la Contratación

Pública, SECOP. (Senado de la República, 2007)

La Ley 1266 del 2008 tiene por objeto desarrollar el derecho constitucional que tienen

todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido

sobre ellas en bancos de datos y los demás derechos, libertades y garantías constitucionales

relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el

artículo 15 de la Constitución Política, así como el derecho a la información establecido en el

artículo 20 de la Constitución Política, particularmente en relación con la información financiera

http://www.secretariasenado.gov.co/senado/basedoc/constitucion_politica_1991_pr002.html#83




20

y crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras

disposiciones. (Superintendenccia de Industria y Comercio, 2008)

La Ley 1273 del 2009, denominada Ley de la protección de la información y de los datos.

Cuida los sistemas informáticos de los atentados contra la confidencialidad, la integridad y la

disponibilidad de los datos. Regula el acceso abusivo a un sistema informático, obstaculización

ilegitima de un sistema informático, intercepción de datos informáticos, daños informáticos, uso

de software malicioso, violación de datos personales, y suplantación de sitios web para capturar

datos personales. A continuación, veremos más en detalle esta ley. (Alcaldía de Bogotá, 2009)

Tabla 1. Ley 1273 del 2009. Fuente: elaboración propia basado en (CONGRESO DE

COLOMBIA, 2009)

LEY 1273 DEL 2009

De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de

los sistemas informáticos

Acceso abusivo a un

sistema informático

El que, sin autorización o por fuera de lo acordado, acceda en todo o

en parte a un sistema informático protegido o no con una medida de

seguridad, o se mantenga dentro del mismo en contra de la voluntad

de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de

prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en

multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

El que, sin estar facultado para ello, impida u obstaculice el

funcionamiento o el acceso normal a un sistema informático, a los

21

Obstaculización ilegítima

de sistema informático o

red de telecomunicación

datos informáticos allí contenidos, o a una red de

telecomunicaciones incurrirá en pena de prisión de cuarenta y ocho

(48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios

mínimos legales mensuales vigentes, siempre que la conducta no

constituya delito sancionado con una pena mayor.

Interceptación de datos

informáticos

El que, sin orden judicial previa intercepte datos informáticos en su

origen, destino o en el interior de un sistema informático, o las

emisiones electromagnéticas provenientes de un sistema informático

que los transporte incurrirá en pena de prisión de treinta y seis (36) a

setenta y dos (72) meses.

Daño Informático

El que, sin estar facultado para ello, destruya, dañe, borre, deteriore,

altere o suprima datos informáticos, o un sistema de tratamiento de

información o sus partes o componentes lógicos, incurrirá en pena

de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en

multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Uso de software malicioso

El que, sin estar facultado para ello, produzca, trafique, adquiera,

distribuya, venda, envíe, introduzca o extraiga del territorio nacional

software malicioso u otros programas de computación de efectos

dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a

noventa y seis (96) meses y en multa de 100 a 1.000 salarios

mínimos legales mensuales vigentes.

El que, sin estar facultado para ello, con provecho propio o de un

tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie,

22

Violación de datos

personales

envíe, compre, intercepte, divulgue, modifique o emplee códigos

personales, datos personales contenidos en ficheros, archivos, bases

de datos o medios semejantes, incurrirá en pena de prisión de

cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100

a 1000 salarios mínimos legales mensuales vigentes.

Suplantación de sitios web

para capturar datos

personales

El que, con objeto ilícito y sin estar facultado para ello, diseñe,

desarrolle, trafique, venda, ejecute, programe o envíe páginas

electrónicas, enlaces o ventanas emergentes, incurrirá en pena de

prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en

multa de 100 a 1.000 salarios mínimos legales mensuales vigentes,

siempre que la conducta no constituya delito sancionado con pena

más grave.

Circunstancias de

agravación punitiva

Las penas imponibles de acuerdo con los artículos descritos en este

título, se aumentarán de la mitad a las tres cuartas partes si la

conducta se cometiere:

Sobre redes o sistemas informáticos o de comunicaciones

estatales u oficiales o del sector financiero, nacionales o

extranjeros.

Por servidor público en ejercicio de sus funciones.

Aprovechando la confianza depositada por el poseedor de la

información o por quien tuviere un vínculo contractual con éste.

Revelando o dando a conocer el contenido de la información en

perjuicio de otro.

23

Obteniendo provecho para sí o para un tercero.

Con fines terroristas o generando riesgo para la seguridad o

defensa nacional.

Utilizando como instrumento a un tercero de buena fe.

Si quien incurre en estas conductas es el responsable de la

administración, manejo o control de dicha información, además se

le impondrá hasta por tres años la pena de inhabilitación para el

ejercicio de profesión relacionada con sistemas de información

procesada con equipos computacionales.

De los atentados informáticos y otras infracciones

Hurto por medios

informáticos y semejantes

El que, superando medidas de seguridad informáticas, manipule

un sistema informático, una red de sistema electrónico, telemático

u otro medio semejante, o suplantando a un usuario ante los

sistemas de autenticación y de autorización establecidos.

Transferencia no consentida

de activos

El que, con ánimo de lucro y valiéndose de alguna manipulación

informática o artificio semejante, consiga la transferencia no

consentida de cualquier activo en perjuicio de un tercero, siempre

que la conducta no constituya delito sancionado con pena más

grave, incurrirá en pena de prisión de cuarenta y ocho (48) a

ciento veinte (120) meses y en multa de 200 a 1.500 SMLMV.

24

La ley 1341 de 2009 define los principios y conceptos sobre la sociedad de la información

y la organización de las Tecnologías de la Información y las Comunicaciones –TIC–, crea la

Agencia Nacional de Espectro y se dictan otras disposiciones. Esta ley determina el marco

general para la formulación de las políticas públicas que regirán el sector de las tecnologías de la

información y las comunicaciones, su ordenamiento general, el régimen de competencia, la

protección al usuario. Igualmente lo concerniente a la cobertura, calidad del servicio, promoción

de la inversión en el sector y el desarrollo de estas tecnologías, el uso eficiente de las redes y del

espectro radioeléctrico, así como las potestades del Estado en relación con la planeación, la

gestión, la administración adecuada y eficiente de los recursos, regulación, control y vigilancia

del mismo y facilitando el libre acceso y sin discriminación de los habitantes del territorio

nacional a la Sociedad de la Información. (Alcaldía de Bogotá, 2009)

La ley 1480 de 2011 en el artículo 5, incluye en la definición de las ventas a distancia,

aquellas que se realizan a través del comercio electrónico. El artículo 26 de esta Ley, consagra

que la SIC determinará las condiciones mínimas bajo las cuales operar la información pública de

precios de los productos que se ofrezcan a través de cualquier medio electrónico.

Adicionalmente, el artículo 27 establece que el consumidor tiene derecho a exigir a costa del

productor o proveedor constancia de toda operación de consumo que realice. La factura o su

equivalente, expedida por cualquier medio físico, electrónico o similar podrán hacer las veces de

constancia. (Alcaldía de Bogotá, 2011)

La Ley 1581 de 2012, reglamentada parcialmente por el Decreto 1377 del 2013 y

denominada Ley de protección de datos personales, determina que todas las personas tienen el

derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en

bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se

25

refiere el artículo 15 de la Constitución Política, así como el derecho a la información consagrado

en el artículo 20 de la misma. (Alcaldía de Bogotá, 2012)

De acuerdo con la mencionada Ley, los principios sobre protección de datos son

aplicables a todas las bases de datos, con los límites que se disponen allí mismo, así:

Tabla 2. Principios para el tratamiento de datos personales. Fuente: elaboración propia basado

en (CONGRESO DE COLOMBIA, 2012)

Principio de legalidad en

materia de Tratamiento de

datos

El tratamiento a que se refiere la presente ley es una

actividad reglada que debe sujetarse a lo establecido en ella

y en las demás disposiciones que la desarrollen

Principio de finalidad

El tratamiento debe obedecer a una finalidad legítima de

acuerdo con la Constitución y la Ley, la cual debe ser

informada al Titular.

Principio de libertad

El tratamiento sólo puede ejercerse con el consentimiento,

previo, expreso e informado del Titular. Los datos

personales no podrán ser obtenidos o divulgados sin previa

autorización, o en ausencia de mandato legal o judicial que

releve el consentimiento.

Principio de veracidad o

calidad

La información sujeta a tratamiento debe ser veraz,

completa, exacta, actualizada, comprobable y comprensible.

Se prohíbe el tratamiento de datos parciales, incompletos,

fraccionados o que induzcan a error.

26

Principio de transparencia

En el tratamiento debe garantizarse el derecho del titular a

obtener del responsable del tratamiento o del encargado del

tratamiento, en cualquier momento y sin restricciones,

información acerca de la existencia de datos que le

conciernan.

Principio de acceso y

circulación restringida

El tratamiento se sujeta a los límites que se derivan de la

naturaleza de los datos personales, de las disposiciones de la

presente ley y la Constitución. En este sentido, el

tratamiento sólo podrá hacerse por personas autorizadas por

el titular y/o por las personas previstas en la presente ley.

Principio de seguridad

La información sujeta a tratamiento por el responsable del

tratamiento o encargado del tratamiento a que se refiere la

presente ley, se deberá manejar con las medidas técnicas,

humanas y administrativas que sean necesarias para otorgar

seguridad a los registros evitando su adulteración, pérdida,

consulta, uso o acceso no autorizado o fraudulento

Todas las personas que intervengan en el tratamiento de

datos personales que no tengan la naturaleza de públicos

están obligadas a garantizar la reserva de la información,

inclusive después de finalizada su relación con alguna de las

labores que comprende el tratamiento, pudiendo sólo

27

Principio de confidencialidad

realizar suministro o comunicación de datos personales

cuando ello corresponda al desarrollo de las actividades

autorizadas en la presente ley y en los términos de la misma

La Ley 581 de 2012:

“obliga a todas las entidades públicas y empresas privadas del país a revisar el uso de los datos

personales contenidos en sus sistemas de información y replantear sus políticas de manejo de

información y fortalecimiento de sus herramientas, como entidad responsable del tratamiento.

Igualmente se estableció en el artículo 28 un plazo de seis meses para la implementación y

adaptación de políticas por parte de las empresas que hagan las veces de encargados y/o

responsables del tratamiento de datos” (Certicámara, 2013).

La ley 1621 de 2013 tiene por objeto fortalecer el marco jurídico que permite a los

organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir

adecuadamente con su misión constitucional y legal. Así mismo, esta Ley establece los límites y

fines de las actividades de inteligencia y contrainteligencia, los mecanismos de control y

supervisión y la regulación de la protección a las bases de datos. En el marco de la Ley hay

diversas autoridades que manejan inteligencia tales como UIAF, POLFA, DIPOL, organismos

con función de policía judicial. (Comunicaciones C. d., 2015).

4.1.1 Estructura normativa actual de políticas de Ciberseguridad y Ciberdefensa en

Colombia.

Colombia logró un muy buen resultado en temas de regulación para la prevención y

promoción de la seguridad en los sistemas de protección de datos personales y judicialización de

28

delitos informáticos. De acuerdo con el ranking global de la UIT, Colombia está entre los mejores

países del mundo en manejo de ciberseguridad, que ubica al país en el quinto lugar en el ranking

de las Américas por encima de Chile y México y ocupa el noveno lugar en el ranking mundial

con países como Francia, España, Egipto y Dinamarca (MINTIC, 2015).

Conforme al ranking presentado, el país debe adoptar nuevas medidas que le ayuden a

subir a los primeros lugares de estos estudios. Uno de los retos más grandes es crear conciencia

entre los usuarios de la información y las empresas colombianas acerca de la importancia de

conocer y comprender el contexto de los delitos informáticos y la normatividad existente en

Colombia sobre la protección de la información.

4.2 Iniciativas y planes de acción contra el cibercrimen impulsados por el estado

colombiano

Políticas de Ciberseguridad y Ciberdefensa en Colombia

Los gobiernos de Colombia han apostado de manera decidida por la defensa nacional

digital desde el comienzo del siglo, mediante la formulación de diferentes iniciativas en los

sectores de la sociedad colombiana y la concientización del impacto de esta problemática.

En el año 2011 por medio del CONPES 3701, Colombia adoptó una estrategia integral de

ciberseguridad y ciberdefensa, convirtiéndose así en el primer estado de América Latina en

implementar un esquema de esta envergadura. El CONPES 3701 concentró su programa en seis

ejes estratégicos, de acuerdo como fue presentado en el II foro de ciberseguridad y Ciberdefensa

(Universidad de los Andes , 2015):

29

1. Gobernanza: Alternativas que le permitan al Estado Colombiano, articular y armonizar

su orientación, integrar actores y consolidar esfuerzos en aspectos relacionados con la

Ciberseguridad y Ciberdefensa.

2. Desarrollo de capacidades: fortalecimiento de las instituciones existentes, del recurso

humano, los procesos, la tecnología y las habilidades en Ciberseguridad y Ciberdefensa,

con un enfoque de coordinación y cooperación para permitir que el país pueda

beneficiarse de las ventajas políticas, económicas y sociales que ofrece un ciberespacio

seguro y garantizar la Defensa y Seguridad Nacional.

3. Generación de una cultura de ciberseguridad y ciberdefensa: implementación de

planes y programas que permitan a los actores y responsables de la Ciberseguridad y

Ciberdefensa, prevenir y desarrollar habilidades de respuesta ante amenazas y ataques de

naturaleza cibernética mediante el uso de nuevas tecnologías de la información y

comunicaciones, procesos y procedimientos establecidos en la materia.

4. Infraestructuras críticas cibernéticas nacionales: protección y defensa de la

infraestructura crítica cibernética nacional, se considera fundamental y demanda no solo

la participación de los propietarios y/o operadores de dicha infraestructura, sino también

requiere el concurso del gobierno, la academia, las Fuerzas Militares, Policía Nacional y

de los sectores público y privado.

5. Marco legal y regulatorio: Las leyes y normativas actuales y futuras así como los

convenios internacionales a los cuales la República de Colombia pertenezca o se adhiera,

apalancarán y facultarán la ejecución, la legitimidad y el marco procesal requerido,

relacionado con Ciberseguridad y Ciberdefensa.

6. Cooperación y diplomacia en el ciberespacio: Permite establecer canales de

intercambio de información, recursos y educación en Ciberseguridad y Ciberdefensa con

30

otros países, con organismos nacionales e internacionales, así como fortalecer y estrechar

los lazos diplomáticos en relación con el adecuado uso y aprovechamiento del

ciberespacio.

Una vez definidos los ejes estructurales de los lineamientos sobre ciberseguridad y

ciberdefensa para el país, los objetivos que busca el CONPES 3701 se definen de la siguiente

forma, según documento publicado por el (Ministerio de Tecnologías de la Información y las

Comunicaciones, 2011):

Generales: Fortalecer las capacidades del Estado para enfrentar las amenazas que atentan contra

su seguridad y defensa en el ámbito cibernético (ciberseguridad y Ciberdefensa), creando el

ambiente y las condiciones necesarias para brindar protección en el ciberespacio.

Específicos:

a. Implementar instancias apropiadas prevenir, coordinar, atender, controlar, generar

recomendaciones y regular los incidentes o emergencias cibernéticas para afrontar las

amenazas y los riesgos que atentan contra la ciberseguridad y Ciberdefensa nacional.

Este objetivo permitirá conformar organismos con la capacidad técnica y operativa

necesaria para la defensa y seguridad nacional en materia cibernética. Para alcanzarlo se

hace necesario que el Gobierno Nacional implemente las siguientes instancias:

o Una Comisión Intersectorial encargada de fijar la visión estratégica de la gestión de la

información, así como de establecer los lineamientos de política respecto de la gestión

de la infraestructura tecnológica (hardware, software y comunicaciones), información

pública y ciberseguridad y Ciberdefensa.

31

o El Grupo de Respuesta a Emergencias Cibernéticas de Colombia – colCERT será el

organismo coordinador a nivel nacional en aspectos de ciberseguridad y ciberdefensa.

Será un grupo del Ministerio de Defensa Nacional, integrado por funcionarios civiles,

personal militar y en comisión de otras entidades.

o El Comando Conjunto Cibernético de las Fuerzas Militares – CCOC estará en cabeza

del Comando General de las Fuerzas Militares, quien podrá delegar sus funciones

dentro de las Fuerzas Militares dependiendo de las especialidades existentes en el

sector.

o El Centro Cibernético Policial – CCP: Estará encargado de la ciberseguridad del

territorio colombiano, ofreciendo información, apoyo y protección ante los delitos

cibernéticos.

b. Brindar capacitación especializada en seguridad de la información y ampliar las líneas de

investigación en ciberdefensa y ciberseguridad.

c. Fortalecer la legislación en materia de ciberseguridad y ciberdefensa, la cooperación

internacional y adelantar la adhesión de Colombia a los diferentes instrumentos

internacionales en esta temática.

Este documento busca generar lineamientos de política en ciberseguridad y ciberdefensa

orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas

informáticas que afectan significativamente al país. Adicionalmente, recoge los antecedentes

nacionales e internacionales, así como la normatividad del país en torno al tema. La problemática

central se fundamenta en que la capacidad actual del Estado para enfrentar las amenazas

cibernéticas presenta debilidades y no existe una estrategia nacional al respecto.

32

A partir de ello se establecen las causas y efectos que permitirán desarrollar políticas de

prevención y control ante el incremento de amenazas informáticas. Para la aplicabilidad de la

estrategia se definen recomendaciones específicas a desarrollar por entidades involucradas directa

e indirectamente en esta materia. A continuación, veremos algunos de los objetivos planteados

allí.

La Cámara Colombiana de Informática y Telecomunicaciones (CCIT) se estableció como

centro de coordinación de atención de incidentes de seguridad informática colombiano, en aras de

fomentar el contacto con el sector privado, particularmente con los principales proveedores de

internet en nuestro país.

El Ministerio de la Información y las Telecomunicaciones (TIC) ha llevado a cabo campañas

de sensibilización y conciencia en toda la población, a través de la campaña En TIC confió.

Adicionalmente, el Ministerio de Defensa ha trasmitido la inclusión de cátedras relacionadas con

la Defensa Nacional Digital en todas las escuelas de formación de las Fuerzas Militares y de la

Policía. Más aún, las universidades y otras instituciones educativas colombianas se han adherido

a este plan, al implementar un amplio abanico de programas académicos y de capacitación sobre

la seguridad cibernética y los delitos cibernéticos.

Legislación y Cooperación Internacional

En cuanto al progreso institucional e integración internacional, el Gobierno Nacional de

Colombia también ha evolucionado a buen ritmo. En lo referente a legislación, el Ministerio de

Justicia continúa revisando el Código Penal, específicamente para el tema de tipificación actual

de los delitos informáticos. En esta misma línea, el Ministerio TIC, por medio del Manual de

33

Gobierno en Línea, generó una serie de directrices en temas de seguridad de la información

basadas en estándares internacionales, que deberán ser implementadas por las entidades del sector

público. Por lo cual dentro de las expectativas del CONPES 3701, se establecieron en el eje de

cooperación y diplomacia los siguientes lineamientos, explicados así (Universidad de los Andes ,

2015):

1. Desarrollar un marco para el establecimiento de alianzas con partes interesadas.

2. Desarrollar e implementar una agenda estratégica de cooperación nacional.

3. Desarrollar e implementar una agenda estratégica de cooperación internacional.

4. Implementar estrategias para el desarrollo de la Diplomacia en el Ciberespacio.

5. Adhesión a redes de intercambio de información, reporte de incidentes e investigación de

ciberseguridad y ciberdefensa.

Retos de la Defensa Nacional Digital en Colombia

Pese a los importantes avances mencionados anteriormente, persisten falencias y muchas

tareas pendientes que impiden responder de manera eficiente al elevado nivel de vulnerabilidad

del país ante estas nuevas amenazas cibernéticas. Por tanto, surge la necesidad de implementar

medidas más efectivas que pongan una barrera al incremento de la delincuencia informática por

medio de cuatro ejes fundamentales en los cuales nuestro país debería concentrarse, a saber:

1. Este eje consiste en mejorar la institucionalidad nacional ya que, si bien el CONPES 3701

representó un gran progreso, actualmente los esfuerzos de Colombia para abordar este

tema encuentran un techo por la falta de una visión integral a largo plazo, así como la

descoordinación en las iniciativas realizadas por las diferentes entidades.

34

2. Resulta definitivo implementar una nueva regulación, eficiente y ágil sobre la

investigación de los delitos informáticos. En este frente, la Misión de la OEA aconseja la

creación de unidades especializadas de fiscales con preparación específica para la

investigación y el ejercicio de la acción penal, respecto de los ciberdelitos.

3. En tercera instancia y pese a que existen numerosos avances en materia de cooperación

internacional, Colombia todavía está bastante rezagado en la adhesión a los diferentes

instrumentos internacionales. De esta forma, urge la necesidad de reformar la legislación

colombiana, de tal forma que se armonice con la Convención de Budapest, especialmente

en lo relacionado a las cuestiones de Derecho Procesal. Adicionalmente y con el fin de

facilitar el intercambio rápido de datos, Colombia deberá adherirse al sistema I-24/7, el

cual brinda acceso a todas las bases de datos criminales de la INTERPOL.

4. Nuestro país afronta el reto de crear una concientización en su población sobre la

dimensión de esta problemática en la actualidad. Como se mencionó en la parte

introductoria, la ciberdelincuencia es una amenaza cada vez más latente en nuestra

sociedad y afecta por igual a grandes industrias, entidades gubernamentales y personas

pertenecientes al ciberespacio. Así, se debe incorporar una generalizada cultura de

seguridad de la información basada en la capacidad de todas las personas para gobernar y

administrar los incidentes que se presenten día a día.

Otra iniciativa del gobierno colombiano fue la de organizar una Comisión de Expertos

Internacionales para evaluar el estado de la seguridad cibernética del país, con el apoyo de la

Organización de los Estados Americanos (OEA) en el 2014, para hacer de las tecnologías de

información y comunicaciones una parte integral del plan de desarrollo del país. Se visitaron

instituciones colombianas con responsabilidad en la seguridad cibernética nacional y se

35

escucharon presentaciones de actores relevantes en seguridad cibernética en Colombia. Los

expertos internacionales prepararon una serie de recomendaciones para ser tenidas en cuenta por

el gobierno de Colombia.

La Comisión Internacional de Expertos Internacionales brindó su experiencia en políticas de

seguridad cibernética, marcos institucionales, respuesta a incidentes de seguridad cibernética,

investigación y legislación de delitos cibernéticos, ciberdefensa y cooperación internacional. Las

recomendaciones de los expertos fueron redactadas en sesiones privadas, garantizando un análisis

equilibrado e imparcial de las necesidades y pasos a seguir que deberían ser considerados por el

gobierno colombiano. Aunque la OEA organizó esta comisión internacional de expertos, este

documento no refleja posición u opinión alguna de esta organización internacional.

Se creó un Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea

que hace referencia al conjunto de políticas estratégicas que soportan objetivos de Gobierno en

Línea como la protección de información del individuo, la credibilidad y confianza en el

Gobierno en Línea.

Este establece como elementos fundamentales de la seguridad de la información para los

organismos gubernamentales:

1) La disponibilidad de la información y los servicios.

2) La integridad de la información y los datos.

3) Confidencialidad de la información” (Comunicaciones F. d., 2011)

Según el Diario Oficial No. 48.813 de 6 de junio de 2013 del Ministerio de Defensa

Nacional, por la cual se adiciona la Resolución número 127 del 18 de enero de 2012 se crean y

organizan Grupos Internos de Trabajo del Ministerio de Defensa Nacional , en especial el grupo

36

de Respuesta a Emergencias Cibernéticas de Colombia - ColCERT, el cual tiene como

responsabilidad central la coordinación de la ciberseguridad y ciberdefensa nacional, la cual

estará enmarcada dentro del Proceso Misional de Gestión de la Seguridad y Defensa del

Ministerio de Defensa Nacional.

Su propósito principal es la coordinación de las acciones necesarias para la protección de la

infraestructura crítica del Estado colombiano frente a emergencias de ciberseguridad que atenten

o comprometan la seguridad y defensa nacional. Sus objetivos son:

Coordinar y asesorar a CSIRT's, Centros de Coordinación Seguridad Informática

Colombia y entidades públicas, privadas y la sociedad civil para responder ante incidentes

informáticos.

Ofrecer servicios de prevención ante amenazas informáticas, respuesta frente a incidentes

informáticos, de información, sensibilización y formación en materia de seguridad

informática.

Actuar como punto de contacto internacional con sus homólogos en otros países, así como

con organismos internacionales involucrados en esta técnica.

Promover el desarrollo de capacidades locales/sectoriales, así como la creación de

CSIRT's sectoriales para la gestión operativa de los incidentes de ciberseguridad en las

infraestructuras críticas nacionales, el sector privado y la sociedad civil.

Desarrollar y promover procedimientos, protocolos y guías de buenas prácticas y

recomendaciones de ciberdefensa y ciberseguridad para las infraestructuras críticas de la

nación en conjunto con los agentes correspondientes y velar por su implementación y

cumplimiento.

37

Coordinar la ejecución de políticas e iniciativas público-privadas de sensibilización y

formación de talento humano especializado, relacionadas a la ciberdefensa y

ciberseguridad.

Apoyar a los organismos de seguridad e investigación del Estado para la prevención e

investigación de delitos donde medien las tecnologías de la información y las

comunicaciones.

Fomentar un sistema de gestión de conocimiento relativo a la ciberdefensa y

ciberseguridad, orientado a la mejora de los servicios prestados por el colCERT.

También se creó el Centro Cibernético Policial. Es la dependencia de la Dijín encargada del

desarrollo de estrategias, programas, proyectos y demás actividades requeridas en materia de

investigación criminal contra los delitos que afectan la información y los datos. En Bogotá se

encuentra el núcleo del CCP7 desde el cual opera el laboratorio de informática forense más

grande de Colombia. El CPP también cuenta con ocho laboratorios de informática forense

distribuidos a nivel nacional y 25 unidades de delitos informáticos capacitadas y especializadas

en atacar el cibercrimen. Las funciones que desarrollará serán las siguientes:

Proteger a la ciudadanía de las amenazas y/o delitos cibernéticos.

Responder operativamente ante los delitos cibernéticos, desarrollando labores coordinadas

de prevención, atención, investigación y de apoyo a la judicialización de los delitos

informáticos en el país.

Dar asesoría sobre vulnerabilidades y amenazas en sistemas informáticos.

7 CCP: Centro Cibernético Policial

38

Divulgar información a la ciudadanía, que permita prevenir lo concerniente a pérdida de

disponibilidad, integridad y/o confidencialidad de la información.

Apoyar e investigar en coordinación con el colCERT las vulnerabilidades, amenazas e

incidentes informáticos que afecten la seguridad de la infraestructura informática crítica

de la nación.

Fomentar la concienciación de políticas de seguridad cibernética en coordinación con los

actores involucrados.

Causas del delito informático en Colombia

En el panorama actual de la ciberseguridad nacional, se evidencias algunas causas por las que

las empresas de nuestro país no se encuentran debidamente preparadas para afrontar las amenazas

del cibercrimen, por lo que serán descritas a continuación:

- Vacíos importantes en la legislación

- Poca efectividad en el tratamiento procesal de los ciberdelincuentes.

- Desconocimiento del gobierno corporativo de muchas empresas, frente a los riesgos

derivados del cibercrimen, y por tanto adopción de esquemas débiles de ciberseguridad.

- Desconocimiento por parte del gobierno corporativo de las empresas, de los estándares

internacionales y de las buenas prácticas para gestionar en forma segura las tecnologías de

la información, los sistemas y la información corporativa.

- Alto apetito de riesgos del gobierno corporativo de muchas empresas frente a diferentes

los escenarios de riesgos de cibercrimen (confianza excesiva en que la empresa no se verá

39

afectada por este tipo de amenazas), circunstancia que aumenta su exposición a la

materialización de delitos informáticos.

- Presupuesto limitado de las empresas para implementar medidas de control eficaces para

afrontar los riesgos de cibercrimen y ciberseguridad.

- Aplicación de prácticas de seguridad insuficientes o ineficaces.

- Aumento y perfeccionamiento de las modalidades de estafa, según el capitán Miranda, las

más utilizadas son el Phishing, skimming, ransomware (encriptación de bases de datos e

información sensible), la carta nigeriana y la falsedad personal. (Infolaft , 2014)

Según la edición 67 de la revista publicada por INFOLAFT, el coronel Freddy Bautista señala

que

desafortunadamente no existe una política clara al interior de las organizaciones de carácter privado, y

algunas públicas, acerca del manejo de la gestión de la seguridad de la información. Se ha encontrado

en muchas ocasiones que los funcionarios o personas responsables de gestionar los datos en las áreas

de sistemas, de garantizar la seguridad perimetral informática de las corporaciones y de las empresas

en Colombia no conocen o no agotan las condiciones necesarias para blindar informáticamente a la

empresa. (Infolaf, 2014, pág.1)

Adicionalmente resalta las siguientes causales de aumento en los casos detectados de

cibercrimen en las empresas colombianas:

- Presencia frecuente de delincuentes extranjeros en Colombia que traen técnicas utilizadas

en países de Europa del Este. Según datos que reposan en el CCP, dichos delincuentes

traen malware sofisticado y programas maliciosos que en algunos casos llegan incluso a

controlar remotamente los computadores de directivos o ejecutivos de áreas financieras,

tesorerías y contables de las organizaciones afectadas.

40

- No hay políticas claras en las organizaciones privadas del país para el manejo de

dispositivos móviles, entre ellos las tabletas, los smartphones y los híbridos, por medio de

los cuales se viene manejando una gran cantidad de recursos e información y los cuales

generarían un gran riesgo en caso de extravío.

- Las empresas del sector privado prefieren no denunciar las estafas o extorsiones de las

que son víctimas, por el desconocimiento del proceso de la denuncia o para no evidenciar

falencias en su infraestructura tanto física como lógica y no generar una mala reputación o

una mala imagen ante sus clientes.

En el documento publicado por COLOMBIA DIGITAL que reúne las memorias del ''Foro

Amenazas y retos frente a la seguridad de sitios web'', se reconocen también como causas en la

fuga de datos:

o El hacking 35%

o Divulgación accidental 29%

o Robo o pérdida de un ordenador o unidad 27%

o Apropiación por parte del personal interno 6%

o Fraudes 2%

o El 9.09% de los sitios web atacados en el último año pertenecían al sector de

tecnologías, seguidos de los corporativos con el 6.7%.

41

5. Tendencias y prácticas internacionales sobre seguridad informática.

5.1 Normatividad y convenios internacionales vigentes contra el Cibercrimen (Rango UIT)

La iniciativa de unión en contra del cibercrimen parte normativamente con la publicación

del Convenio de Budapest en el año 2001. Es el resultado de la reunión de los estados miembros

del Consejo de Europa, quienes encaminaron las iniciativas de entendimiento y cooperación

internacional en la lucha contra la ciberdelincuencia, incluyendo las medidas adoptadas por las

Naciones Unidas, la OCDE, la Unión Europea y el G8.

Dichos estados están convencidos de la necesidad de aplicar con carácter prioritario una política

penal encaminada a proteger a la sociedad frente a la ciberdelincuencia, mediante la adopción de

la legislación adecuada y el fomento de la cooperación internacional. Están conscientes de los

profundos cambios provocados por la digitalización, la convergencia y la globalización continua

de las redes informáticas y preocupados por el riesgo de que las redes informáticas y la

información electrónica sean utilizadas para cometer delitos y de que las pruebas relativas a

dichos delitos sean almacenadas y transmitidas por medio de dichas redes. (Ministerio de

Relaciones Exteriores y Concejo de Europa, 2001, pág. 1)

Como se consigna en el convenio se reconoce la necesidad de una cooperación entre los

estados y el sector privado en la lucha contra la ciberdelincuencia. Se busca prevenir los actos

dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas

informáticos, redes y datos informáticos, así como el abuso contra dichos sistemas, redes y datos,

mediante la tipificación de esos actos.

42

De la emisión del convenio contra la ciberdelincuencia firmado en Budapest quedaron en

firme una serie de artículos cuya intención principal era reunir conceptual y normativamente la

tipificación penal de los actos tecnológicos delictivos. A continuación, el detalle de estos:

Tabla 3. Convenio contra la ciberdelincuencia Budapest 2001. Fuente: elaboración propia

basado en Convenio sobre la ciberdelincuencia Budapest, 23.XI.2001

A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL

DERECHO PENAL SUSTANTIVO

Delitos contra la

confidencialidad,

integridad

disponibilidad de los

datos y sistemas

informáticos

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten

necesarias para tipificar como delito en su derecho interno la comisión

deliberada e ilegítima de los siguientes actos.

Acceso ilícito: Acceso deliberado e ilegítimo a la totalidad o a una parte

de un sistema informático.

Interceptación ilícita: Interceptación deliberada e ilegítima, por

medios técnicos, de datos informáticos comunicados en transmisiones

no públicas efectuadas al interior o exterior de un sistema informático.

Interferencia en los datos: Es la comisión deliberada e ilegítima de

actos que dañen, borren, deterioren, alteren o supriman datos

informáticos.

Interferencia en el sistema: Obstaculización grave, deliberada e

ilegítima del funcionamiento de un sistema informático mediante la

introducción, transmisión, provocación de datos, borrado, deterioro,

alteración o supresión de datos informáticos

43



Abuso de los dispositivos: Producción, venta, obtención para su

utilización, importación, difusión u otra forma de puesta a disposición

de un dispositivo, incluido un programa informático, diseñado o

adaptado principalmente para cometer cualquiera de los delitos

previstos anteriormente.

Contraseña: Un código de acceso o datos informáticos similares que

permitan tener acceso a la totalidad o a una parte de un sistema

informático con el fin de que sean utilizados para cometer cualquiera de

los delitos contemplados anteriormente.

La posesión de alguno de los elementos contemplados en los puntos

anteriores con el fin de que sean utilizados para cometer cualquiera de

los delitos previstos anteriormente.

Delitos informáticos

Falsificación informática: Introducción, alteración, borrado o

supresión de datos informáticos que dé lugar a datos no auténticos, con

la intención de que sean tenidos en cuenta o utilizados con efectos

legales como si se tratara de datos auténticos, con independencia de que

los datos sean o no directamente legibles e inteligibles.

44



Fraude informático: Actos deliberados e ilegítimos que causen un

perjuicio patrimonial a otra persona mediante:

Cualquier introducción, alteración, borrado o supresión de datos

informáticos.

Cualquier interferencia en el funcionamiento de un sistema

informático, con la intención fraudulenta o delictiva de obtener

ilegítimamente un beneficio económico para uno mismo o para

otra persona.

Delitos relacionados

con el contenido

Delitos relacionados con la pornógrafa infantil (toda persona menor de

18 años, la parte podrá establecer un límite de edad inferior, que ser

como mínimo de 16 años)

Producción de pornografía infantil para ser difundida por medio

de un sistema informático.

Oferta o la puesta a disposición de pornografía infantil por

medio de un sistema informático.

Transmisión de pornografía infantil por medio de un sistema

informático,

Adquisición de pornografía infantil por medio de un sistema

informático para uno mismo o para otra persona.

45



Posesión de pornografía infantil en un sistema informático o en

un medio de almacenamiento de datos informáticos.

Delitos relacionados

con infracciones a la

propiedad intelectual y

derechos afines

Tipificación como delito en su derecho interno a las infracciones de la

propiedad intelectual y según se definan en la legislación, de

conformidad con las obligaciones asumidas en:

Acta de París del 24 de julio de 1971.

Convenio de Berna para la protección de las obras literarias y

artísticas.

Acuerdo sobre los aspectos de los derechos de propiedad

intelectual relacionados con el comercio.

Tratado de la OMPI (Organización Mundial de la Propiedad

Intelectual) sobre la propiedad intelectual.

Convención de Roma.

Otras formas de

responsabilidad y de

sanciones

Tentativa y complicidad

Complicidad intencionada para cometer alguno de los delitos previstos

anteriormente, con la intención de que se cometa ese delito y cuando

dicha tentativa sea intencionada.

Responsabilidad de las personas jurídicas

46



Exigencia de la responsabilidad (penal, civil o administrativa) a las

personas jurídicas por delitos cometidos por cuenta de las mismas, en

calidad individual, como en su condición de miembro de un rango de

dicha persona jurídica, que ejerza funciones directivas en la misma, en

virtud de:

Un poder de representación de la persona jurídica.

Una autorización para tomar decisiones en nombre de la persona

jurídica.

Una autorización para ejercer funciones de control en la persona

jurídica.

Sanciones y medidas

Aplicación de sanciones efectivas, proporcionadas y disuasorias,

incluidas penas privativas de libertad.

Imposición de sanciones o de medidas penales o no penales efectivas

proporcionadas y disuasorias, incluidas sanciones pecuniarias a las

personas jurídicas consideradas responsables.

DERECHO PROCESAL

Título 1 - Disposiciones

comunes

Ámbito de aplicación de las disposiciones sobre procedimiento

Cada Parte adoptará medidas legislativas y de otro tipo que resulten

necesarias para establecer los poderes y procedimientos previstos en la

47



presente sección para los fines de investigaciones o procedimientos

penales específicos.

Condiciones y salvaguardas

“Cada parte debe asegurar que el establecimiento, la ejecución y la

aplicación de los poderes y procedimientos previstos en la presente

sección estén sujetas a las condiciones y salvaguardas previstas en su

derecho interno. Se debe garantizar una protección adecuada de los

derechos humanos y de las libertades, incluidos los derechos derivados

de las obligaciones asumidas en virtud del Convenio del Consejo de

Europa (1950), del Pacto Internacional de derechos civiles y políticos

de las Naciones Unidas (1966), y de otros instrumentos internacionales

aplicables en materia de derechos humanos, que deberán integrar el

principio de proporcionalidad.”

Título 2 - Conservación

rápida de datos

informáticos

almacenados

Conservación rápida de datos informáticos almacenados

Permitir a las autoridades competentes ordenar o imponer la

conservación rápida de determinados datos electrónicos. Deben ser

incluidos los datos sobre el tráfico almacenados por medio de un

sistema informático, en particular cuando existan razones para creer que

los datos informáticos son susceptibles de pérdida o modificación.

48



Conservación y revelación parcial rápidas de datos sobre el tráfico

Para garantizar la conservación de los datos sobre el tráfico en

aplicación, se deben adoptar las medidas legislativas y de otro tipo que

resulten necesarias, así:

Para asegurar la posibilidad de conservar rápidamente dichos datos

sobre el tráfico con independencia de que en la transmisión de esa

comunicación participaran uno o varios proveedores de servicios.

Para garantizar la revelación rápida a la autoridad competente de la

parte o de una persona designada por dicha autoridad, de un volumen

suficiente de datos sobre el tráfico, con el fin de que dicha parte pueda

identificar a los proveedores de servicio y la vía por la que se transmite

la comunicación.

Título 3 - Orden de

presentación

Orden de presentación

Cada parte adoptará las medidas legislativas y de otro tipo necesarias

para facultar a sus autoridades competentes a ordenar:

49



Una persona que se encuentre en su territorio que comunique

determinados datos informáticos que posea o que se encuentren

bajo su control, almacenados en un sistema informático o en un

medio de almacenamiento de datos informáticos.

Un proveedor de servicios que ofrezca prestaciones en el

territorio de esa parte que comunique los datos que posea o que

se encuentren bajo su control relativos a los abonados en

conexión con dichos servicios.

Título 4 - Registro y

confiscación de datos

informáticos

almacenados

Registro y confiscación de datos informáticos almacenados

Medidas legislativas y de otro tipo necesarias para facultar a sus

autoridades competentes a registrar o a tener acceso de una forma

similar a:

Un sistema informático o a una parte del mismo, así como a los

datos informáticos almacenados en el mismo.

Un medio de almacenamiento de datos informáticos en el que

puedan almacenarse datos informáticos, en su territorio.

Medidas legislativas y de otro tipo necesarias para facultar a sus

autoridades competentes para confiscar u obtener de una forma similar

datos informáticos en los siguientes casos:

50



Confiscar u obtener de una forma similar un sistema informático

o una parte del mismo, o un medio de almacenamiento de datos

informáticos.

Realizar y conservar una copia de dichos datos informáticos.

Preservar la integridad de los datos informáticos almacenados de

que se trate.

Hacer inaccesibles o suprimir dichos datos informáticos del

sistema informático al que se ha tenido acceso.

Título 5 - Obtención en

tiempo real de datos

informáticos

Obtención en tiempo real de datos sobre el tráfico

Adoptar medidas legislativas y de otro tipo necesarias para facultar a

sus autoridades competentes a:

Obtener o grabar mediante la aplicación de medios técnicos

existentes en su territorio.

Obligar a un proveedor de servicios, dentro de los límites de su

capacidad técnica.

Obtener o grabar mediante la aplicación de medios técnicos


51



Prestar a las autoridades competentes su colaboración y su

asistencia para obtener o grabar en tiempo real los datos sobre el

tráfico asociados a comunicaciones específicas transmitidas en

su territorio por medio de un sistema

Interceptación de datos sobre el contenido

Adoptar medidas legislativas y de otro tipo necesarias para facultar a las

autoridades competentes, por lo que respecta a una serie de delitos

graves que deberán definirse en su derecho interno a:

Obtener o a grabar mediante la aplicación de medios técnicos


Obligar a un proveedor de servicios dentro de los límites de su

capacidad técnica.

Obtener o a grabar mediante la aplicación de los medios

técnicos existentes en su territorio.

Prestar a las autoridades competentes su colaboración y su

asistencia para obtener o grabar en tiempo real los datos sobre el

contenido de determinadas comunicaciones en su territorio,

transmitidas por medio de un sistema informático.

JURISDICCIÓN

52



Jurisdicción

Adopción de medidas legislativas y de otro tipo necesarias para afirmar

su jurisdicción respecto de cualquier delito previsto anteriormente

siempre que se haya cometido así:

En su territorio

A bordo de un buque que enarbole pabellón de dicha parte.

A bordo de una aeronave matriculada según las leyes de dicha

parte.

Por uno de sus nacionales, si el delito es susceptible de sanción

penal en el lugar en el que se cometió o si ningún estado tiene

competencia territorial respecto del mismo.

B. COOPERACION INTERNACIONAL

PRINCIPIOS GENERALES

Título 1 - Principios

generales relativos a la

cooperación

internacional

Principios generales relativos a la cooperación internacional

Las Partes cooperarán entre sí en la mayor medida posible, en la

aplicación de los instrumentos internacionales sobre cooperación

internacional en materia penal. Especialmente sobre los acuerdos

basados en legislación uniforme o recíproca y de su derecho interno,

para los fines de las investigaciones o los procedimientos relativos a los

delitos relacionados con sistemas y datos informáticos o para la

obtención de pruebas electrónicas de los delitos.

53



Título 2 - Principios

relativos a la

extradición

Extradición

Se aplicará la extradición entre las Partes por los delitos establecidos

anteriormente, siempre que estén castigados en la legislación de las dos

partes implicadas con una pena privativa de libertad de una duración

máxima mínimo un año, o con una pena más grave. (Convenio Europeo

de Extradición (STE No. 24).

Cada Parte comunicará al Secretario General del Consejo de Europa, en

el momento de la firma o del depósito de su instrumento de ratificación,

la aceptación, aprobación o adhesión, el nombre y la dirección de cada

autoridad responsable del envío o de la recepción de solicitudes de

extradición o de detención provisional en ausencia de un tratado.

Titulo 3 - Principios

generales relativos a la

asistencia mutua

Las Partes se asistirán mutuamente en la mayor medida posible para los

fines de las investigaciones o procedimientos relativos a delitos

relacionados con sistemas y datos.

Información espontánea

Dentro de los límites de su derecho interno, y sin petición previa, una

Parte podrá comunicar a otra Parte información obtenida en el marco de

sus propias investigaciones cuando considere que la revelación de dicha

54



información podrá ayudar a la Parte receptora a iniciar o llevar a cabo

investigaciones o procedimientos en relación con delitos previstos en el

presente Convenio. También podrá dar lugar a una petición de

cooperación de dicha Parte en virtud de la cooperación internacional.

Titulo 4 -

Procedimientos

relativos a las

solicitudes de

asistencia mutua en

ausencia de acuerdos

internacionales

aplicables

Procedimientos relativos a las solicitudes de asistencia

mutua en ausencia de acuerdos internacionales aplicables:

cuando entre las Partes requirente y requerida no se encuentre

vigente un tratado de asistencia mutua o un acuerdo basado en

legislación uniforme o recíproca.

Confidencialidad y restricción de la utilización: En ausencia

de un tratado de asistencia mutua o de un acuerdo basado en

legislación uniforme o recíproca que esté vigente entre las

Partes requirente y requerida.

DISPOSICIONES ESPECIALES

Título 1 - Asistencia

mutua en materia de

medidas provisionales

Conservación rápida de datos informáticos almacenados :

una Parte podrá solicitar a otra Parte que ordene o asegure de

otra forma la conservación rápida de datos almacenados por

medio de un sistema informático que se encuentre en el

territorio de esa otra Parte, respecto de los cuales, la Parte

55



requirente tenga la intención de presentar una solicitud de

asistencia mutua con vistas al registro o al acceso de forma

similar, la confiscación o la obtención de forma similar, o la

revelación de los datos.

Revelación rápida de datos conservados sobre el tráfico:

cuando, con motivo de la ejecución de una solicitud presentada

de conformidad con el artículo 29 para la conservación de datos

sobre el tráfico en relación con una comunicación específica, la

Parte requerida descubra que un proveedor de servicios de otro

estado participó en la transmisión de la comunicación, la Parte

requerida revelará rápidamente a la Parte requirente un volumen

suficiente de datos sobre el tráfico para identificar al proveedor

de servicios y la vía por la que se transmitió la comunicación.

Título 2 - Asistencia

mutua en relación con

los poderes de

investigación

Asistencia mutua en relación con el acceso a datos

informáticos almacenados: una Parte podrá solicitar a otra

Parte que registre o acceda de forma similar, confisque u

obtenga de forma similar y revele datos almacenados por medio

de un sistema informático situado en el territorio de la Parte

56



requerida, incluidos los datos conservados en aplicación del

artículo 29.

Acceso transfronterizo a datos almacenados, con

consentimiento o cuando estén a disposición del público.

Asistencia mutua para la obtención en tiempo real de datos

sobre el tráfico.

Título 3 - Red 24/7

24 horas-siete días

Cada Parte designará un punto de contacto disponible las veinticuatro

horas del día, siete días a la semana, con objeto de garantizar la

prestación de ayuda inmediata para los fines de las investigaciones o

procedimientos relacionados con delitos vinculados a sistemas y datos

informáticos, o para la obtención de pruebas electrónicas de un delito.

Dicha asistencia incluirá los actos tendentes a facilitar las siguientes

medidas o su adopción directa, cuando lo permitan la legislación y la

práctica internas:

a. El asesoramiento técnico.

b. La conservación de datos en aplicación de los artículos 29 y 30.

57



c. La obtención de pruebas, el suministro de información jurídica y

la localización de sospechosos.

El punto de contacto de una Parte estará capacitado para mantener

comunicaciones con el punto de contacto de otra Parte con carácter

urgente.

Si el punto de contacto designado por una Parte no depende de la

autoridad o de las autoridades de dicha Parte responsables de la

asistencia mutua internacional o de la extradición, el punto de contacto

velará por garantizar la coordinación con dicha autoridad o autoridades

con carácter urgente.

Cada Parte garantizará la disponibilidad de personal debidamente

formado y equipado con objeto de facilitar el funcionamiento de la red.

Considerando la emisión de la normatividad establecida dentro del convenio de Budapest,

los países participantes aplicaron inmediatamente dichos artículos a sus legislaciones propias, lo

cual desencadenó que gobiernos fuera del Consejo de Europa encaminaran sus iniciativas de

ciberseguridad hacia los estándares de cooperación internacional que ya se estaban consolidando.

58

Comienzan a surgir dentro de los países adoptantes, leyes sobre la ciberseguridad de sus redes

informáticas. Las más representativas y sonadas a nivel internacional son detalladas en el

documento Delitos Informáticos en Latinoamérica (Temperini, 2015): Un estudio de derecho

comparado 1ra. Parte:

a) Argentina - Código Penal, Ley 26.388 (2008), Ley 25.326 (2000)

A partir de junio de 2008, la Ley 26.388 también conocida como la ley de delitos

informáticos ha incorporado y realizado una serie de modificaciones al Código Penal argentino.

Es decir, la misma no regula este tipo de delitos en un cuerpo normativo separado del Código

Penal (CP) con figuras propias o independientes, sino que dicha ley modifica, sustituye e

incorpora figuras típicas a diversos artículos del CP, actualmente en vigencia. Se modificó el

Epígrafe del Capítulo III cuyo nuevo título es "Violación de Secretos y de la Privacidad". Los

artículos que modifica o agrega son: 128, 153, 153 bis, 155, 157, 157 bis, 173, 183, 184, 197,

255. El art. 157 bis ya había sido incorporado por la Ley 25.326 de Protección de Datos

Personales (2000) pero fue modificado por la Ley 26.388.

b) Bolivia - Código Penal, Ley 1.768 (1997), Ley 3325 (2006) y la Ley 1.768

Realiza una reforma general al Código Penal. Allí incorpora como Capítulo XI, del Título

XII, del Libro Segundo del Código Penal, el de "DELITOS INFORMÁTICOS". Dentro de este

capítulo, se incorporan 2 artículos: 363 bis y ter, en cuyos textos se tipifica algunos delitos

informáticos.

c) Brasil - Ley 12.737 (2012), Ley 11.829 (2008).

59

En la Ley 12.737, de reciente creación (2012), se dispone la tipificación criminal de los

delitos informáticos y otras providencias. En su regulación incorpora modificaciones para los

artículos 154-A, 154-B, 266 y 298. Por su parte, la Ley 11.829 regula el Estatuto de la Niñez y la

Adolescencia, para mejorar la lucha contra la producción, venta y distribución de pornografía

infantil, así como tipifica como delito la adquisición y posesión de dicho material y otros

comportamientos relacionados con la pedofilia en internet.

d) Chile - Ley 19.223 (1993), Ley 20.009 (2005), Ley 18.168 (2002). La Ley 19.223 es una

ley “Relativa a Delitos Informáticos”

De acuerdo a su propio título, donde regula cuatro artículos, desde los cuáles se tipifican

varios delitos informáticos. La Ley 20.009 regula la responsabilidad para el caso de robo, hurto o

extravío de tarjetas de crédito, en cuyo texto se sancionan algunas conductas relacionadas con

estos aspectos. La Ley 18.168 (modificada por diferentes normativas) regula de manera general

las telecomunicaciones, incorporando algunos tipos penales sobre la interferencia o captación

ilegítima de señales de comunicación.

e) Costa Rica - Ley 9.048 (2012). La Ley 9048 es una modificación importante del Código

Penal de este país.

Inicialmente reforma los artículos 167, 196, 196 bis, 214, 217 bis, 229 bis y 288 de la Ley Nº

4573. Por otro lado, adiciona el inciso 6) al artículo 229 y un artículo 229 ter. Modifica la sección

VIII del título VII del Código Penal, titulándolo "Delitos informáticos y conexos", donde regula

desde el art. 230 hasta el art. 236. En esta modificación bastante integral, agrega una importante

cantidad de delitos informáticos al Código Penal, desde los más tradicionales hasta algunos más

modernos como la Suplantación de Identidad (art. 230) o el espionaje cibernético (art. 231).

60

f) Cuba - Resolución 204/96, Resolución 6/96, Decreto Ley 199/99, Ley de Soberanía

Nacional.

En este país se ha podido acceder a la Resolución 204/96, la cual dispone el Reglamento

sobre la Protección y Seguridad Técnica de los Sistemas Informáticos, junto a la Resolución 6/96

que pone en vigor el Reglamento sobre la Seguridad informática, con medidas establecidas para

la protección y seguridad del Secreto Estatal. Por otro lado, el Decreto Ley 199/99 define como

objetivo fundamental establecer y regular el Sistema para la Seguridad y Protección de la

Información Oficial. Si bien no existe legislación específica para delitos informáticos, se han

encontrado distintas posturas en la doctrina. Por un lado, se opina sobre la necesidad de

regulación especial en la materia, y por otro, se considera que por la forma en que están

abordados algunos delitos y por la filosofía del Código cubano de sancionar por los valores

atacados y por los medios empleados, los tipos penales ya existentes son aplicables.

g) Ecuador - Ley Nº 67/2002 (2002) La Ley No. 67/2002 regula el Comercio Electrónico,

Firmas y Mensajes de datos.

En dicha norma, dentro del Capítulo I del Título V, titulado "DE LAS INFRACCIONES

INFORMÁTICAS", el art. 57 afirma que "Se considerarán infracciones informáticas, las de

carácter administrativo y las que se tipifican, mediante reformas al Código Penal, en la presente

ley." En artículo siguiente, agrega y modifica varios artículos al Código Penal, incorporando

diferentes figuras de delitos informáticos.

h) El Salvador - Decreto 1030 / 1997 (1997)

No se ha encontrado legislación específica sobre la materia. No obstante, posee la adaptación

de ciertos delitos clásicos a las nuevas modalidades informáticas. Entre ellos, se pueden

61

mencionar los siguientes artículos: 172, 185, 186, 190, 208 No.2, 216, 222 No. 2, 228, 230, 231 y

302 del Código Penal de El Salvador.

i) Guatemala

En el Código Penal y dentro de él, posee el Capítulo VII, titulado "De los delitos contra el

derecho de autor, la propiedad industrial y delitos informáticos". Allí incorpora distintos artículos

penales para las figuras de los delitos informáticos, en especial desde el artículo 274 inc. A hasta

el inciso G.

j) México - Reforma 75 del Código Penal Federal (1999)

Mediante reformas se crearon en el Código Penal Federal, los artículos 211 bis 1 al 211 bis 7,

que buscaron tipificar los delitos informáticos clásicos teniendo en consideración la fecha de su

incorporación. Se destaca la diferencia que existe cuando se atenta contra los sistemas de

cómputo que pueden o no, ser parte del sector financiero mexicano. Es importante destacar, que

algunos Estados Mexicanos tienen además sus propias normas penales, incorporando otros

delitos informáticos no analizados en este trabajo.

k) Panamá - Código Penal y sus reformas: Ley 51 (2008)

No se ha encontrado legislación especial en la materia. No obstante, posee la adaptación de

ciertos delitos clásicos a las nuevas modalidades informáticas. Entre ellos pueden citarse los

artículos del 162 a 165, 180, 184, 185, 220, 237, 260, 283 a 286 y 421. Adicionalmente posee la

Ley 51/2008 de Firma Electrónica, en la cual se regula penalmente sobre la falsificación de

documentos.

l) Paraguay - Código Penal – Ley 1.160 (1997), Ley 2.861

62

No se ha encontrado legislación especial sobre la materia. Sin embargo, a partir de distintas

reformas al Código Penal Paraguayo, se han adaptado algunos delitos para la posibilidad de

comisión a través de las nuevas tecnologías y en otros casos se han incorporado tipos penales

específicos (como es el caso del art. 175 de Sabotaje de Computadoras). Los artículos son 144,

146, 173 a 175, 188, 189, 220, 239, 248 y 249.

m) Perú Ley 27.309 (2000), Ley 28.251 (2004)

La Ley 27309 incorpora al Código Penal del Perú los Delitos Informáticos, a través de un

artículo único que modifica el Título V del Libro Segundo del Código Penal, promulgado por

Decreto Legislativo No 635, introduciendo allí los artículos 207 – A – B y C y 208. En otro

orden, la Ley 28.251 actualizó e incorporó distintos delitos contra la integridad sexual, entre

ellos, tipificando la pornografía infantil, a través de la modificación del art 183-A. Perú posee la

Ley 28.493 (2005) que regula el uso del correo electrónico no solicitado (spam), pero en la

misma no incluye ningún tipo de sanción penal.

n) Puerto Rico - Ley 146/2012 (Código Penal) y Ley de Espionaje Cibernético 1165

(2008)

No se ha encontrado legislación especial al respecto. Sin embargo, Puerto Rico ha optado por

la modificación de los tipos penales clásicos con el fin de adaptarlos para su comisión a través de

las nuevas tecnologías. Por otro lado, a través de la Ley de Espionaje Cibernético Nº 1165/2008

sí se han incorporado algunos delitos penales especiales para estas figuras relacionados con el

espionaje.

o) República Dominicana - Ley Nº 53-07 (2007)

63

Posee una Ley Especial contra Crímenes y Delitos de Alta Tecnología. Dicha norma regula

una parte general, conteniendo algunos principios y conceptos para posteriormente tipificar los

delitos informáticos según el bien jurídico afectado. Incluye un capítulo dedicado al aspecto

procesal penal, así como en la propia normativa genera un órgano encargado de la recepción de

denuncias, investigación y persecución de los delitos informáticos.

p) Uruguay - Ley 18.600 (2009), Ley 17.520 (2002), Ley 17.815 (2004), Ley 18.383

(2008), Ley 18.515 (2009)

Si bien no se ha encontrado legislación especial en la materia, se han encontrado diferentes

normativas parcialmente aplicables a la materia. El art. 7 de la Ley 17.815, afirma que

“constituye delito de comunicación la comisión, a través de un medio de comunicación, de un

hecho calificado como delito por el Código Penal o por leyes especiales.”, permitiendo así la

aplicación de los tipos clásicos del CP. La Ley N° 17.520, penaliza el uso indebido de señales

destinadas exclusivamente a ser recibidas en régimen de abonados. La Ley Nº 17.815 regula la

violencia sexual, comercial o no comercial cometida contra niños, adolescentes y discapacitados

que contenga la imagen o cualquier otra forma de representación.

q) Venezuela - Gaceta Oficial Nº 37.313 (2001)

Posee una ley especial sobre Delitos Informáticos. Contiene 33 artículos y están clasificados

en 5 Capítulos a saber: Contra sistemas que utilizan TI. Contra la propiedad. Contra la privacidad

de las personas y las comunicaciones. Contra niños y adolescentes y contra el orden económico.

r) Legislación Europea

64

Directiva 2009/136/CE. Relativa al servicio universal y los derechos de los usuarios con

relación a las redes y los servicios de comunicaciones electrónicas. Directiva 2002/58/CE.

Relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las

comunicaciones electrónicas. Reglamento (CE) nº 2006/2004 sobre la cooperación en materia

de protección de los consumidores. Directiva 2009/140/CE. Modifica la Directiva 2002/21/CE.

Relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas.

Directiva 2002/19/CE. Relativa al acceso a las redes de comunicaciones electrónicas y recursos

asociados y a su interconexión. Directiva 2002/20/CE. Relativa a la autorización de redes y

servicios de comunicaciones electrónicas. (GITS Informatica, 2015)

s) Legislación Norteamericana

Estados Unidos de América aprobó en octubre de 2015 la Ley de ciberseguridad CISA (Ley

de Compartición de Información de Ciberseguridad) “destinada a luchar contra ataques en el

ciberespacio mediante la compartición de datos entre empresas privadas y el Gobierno

Federal”, ante los reiterados ciberataques que se dieron en el país.

Esta Ley aumenta la protección gubernamental para aquellas empresas que voluntariamente

decidan compartir con el Gobierno federal aquellos datos que consideren que podrían constituir

ciberamenazas.

65

Tabla 4. Comparativa Europa Vs EE. UU. En la protección de datos. Elaboración propia basado

en (GITS Informatica, 2015 )

ESTADOS UNIDOS

UNIÓN EUROPEA

a) No dispone de ningún tipo de ley

semejante a la LOPD española.

b) Las sanciones por las diferentes

infracciones contra la protección

de datos se deciden caso por

caso.

c) Las leyes de protección de datos

protegen solo a los ciudadanos

americanos.

a) España cuenta con la Ley Orgánica 15/1999 de 13 de

diciembre de Protección de Datos de Carácter Personal,

(LOPD), cuyo objeto es garantizar y proteger, en lo que

concierne al tratamiento de los datos personales, las

libertades públicas y los derechos fundamentales de las

personas físicas, y especialmente de su honor, intimidad y

privacidad personal y familiar.8

b) Las sanciones ya están estipuladas de antemano y cuando

se cometen, se aplica la multa pertinente, dependiendo del

grado de la infracción.

c) Las leyes de protección de datos protegen a todo aquel que

esté dentro de la Unión Europea.

8 https://es.wikipedia.org/wiki/Ley_Org%C3%A1nica_de_Protecci%C3%B3n_de_Datos_de_Car%C3%A1cter_Personal_(Espa%C3%B1a)

66

5.2 Panorama internacional del Ciberdelito

Debido al alcance del Ciberdelito y su trascendencia multilateral por sus canales rápidos y

masivos de dispersión, se le considera como un delito de dimensión internacional, por lo que es

necesario establecer una relación estrecha y de cooperación entre los países

articulando procedimientos para dar una rápida respuesta a los incidentes...Un cierto número de

países basan su régimen de asistencia jurídica mutua en el principio de "criminalidad doble". Las

investigaciones a nivel global se limitan generalmente a los delitos penalizados en todos los países

participantes. Aunque existe un cierto número de delitos que pueden procesarse en cualquier parte

del mundo, las diferencias regionales desempeñan un papel importante. (ITU, 2009, pág. 1)

Para las diferentes organizaciones multilaterales cuyo principio de operación es la

cooperación internacional es prioridad dentro de sus iniciativas fortalecer la ciberseguridad de los

mercados electrónicos mundiales, tal como se describe en el informe para la región de América

Latina y el Caribe de la OEA

Una de las prioridades de la Organización de los Estados Americanos (OEA) es respaldar los

esfuerzos e iniciativas de nuestros Estados Miembros destinados a fortalecer las capacidades

necesarias para que el dominio informático sea más seguro, estable y productivo…combatir los

delitos cibernéticos y fortalecer la resiliencia cibernética eran cuestiones imperativas para el

desarrollo económico y social, la gobernanza democrática, la seguridad nacional y la de los

ciudadanos. (OEA, 2014)

Para adelantar dichos esfuerzos e iniciativas el compromiso debe ser un esfuerzo entre el

sector público, privado y el sector académico, para que desde las diferentes perspectivas de

solución al problema del ciberdelito o cibercrimen, se combatan los desafíos a los que se

enfrentan los sistemas informáticos de las empresas en el diario vivir de sus operaciones.

67

Partiendo de convenciones internacionales como la firmada en Budapest, los estados

miembros han fortalecido la seguridad de sus sistemas informáticos, iniciativa que se ha

extendido a países de diferentes regiones que mantienen relaciones comerciales a nivel global.

Dichos países se han unido en contra del cibercrimen para fortalecer sus regulaciones en materia

procesal y penal. Se han tipificado aquellas conductas que violentan y afectan la seguridad de los

sistemas informáticos y de sus usuarios, considerando el aumento en la última década de

dispositivos, sistemas redes y servicios a lo largo de las redes tecnológicas mundiales.

La UIT9 en su preocupación contra el ciberdelito, también ha encaminado sus esfuerzos

para elaborar una guía con la cual le ayudan a los países a comprender los aspectos jurídicos de la

ciberseguridad y armonizar el marco legal…tiene por objeto ayudar a los países en desarrollo a

entender mejor las implicaciones nacionales e internacionales de las ciberamenazas en constante

crecimiento, evaluar los requisitos de los actuales instrumentos nacionales, regionales e

internacionales y colaborar con los países para establecer unas bases jurídicas sólidas. (ITU,

2009).

En la siguiente guía se planteó una tipología inicial para el ciberdelito, que contempla la

siguiente clasificación, la cual será de ayuda para reglamentar la legislación ante las nuevas

amenazas de seguridad:

9 Unión Internacional de Telecomunicaciones (UIT) organismo especializado en telecomunicaciones de la Organización de las Naciones Unidas (ONU), sigla original en inglés ITU.

68

Tabla 5. Tipología del Ciberdelito. Fuente: elaboración propia basado en (ITU, 2009)

Delitos contra la

confidencialidad, la

integridad y la

disponibilidad de los

datos y sistemas

informáticos

Delitos

relacionados con

el contenido

Delitos en materia

de derechos de autor

y de marcas

Combinación de

delitos

Acceso ilícito

(piratería de

sistemas y

programas).

Espionaje de datos.

Intervención ilícita.

Manipulación de

datos

Ataques contra la

integridad del

sistema.

Material erótico

o pornográfico

(excluida la

pornografía

infantil).

Pornografía

infantil

Delitos contra

la religión.

Juegos ilegales

y juegos en

línea

Delitos en materia

de derechos de

autor.

Delitos en materia

de marcas.

Delitos

informáticos

Fraude y fraude

informático.

Falsificación

informática.

Robo de identidad.

Ciberterrorismo.

Guerra

informática.

Ciberblanqueo

de dinero.

Phishing.10

10 El termino Phishing es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener

información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima. https://www.infospyware.com/articulos/que-es-el-phishing/

http://www.infospyware.com/articulos/que-es-el-phishing/

69

Difamación e

información

falsa

Correo basura y

amenazas

conexas

Otras formas de

contenido

ilícito.

Utilización

indebida de

dispositivos.

Tal como lo resalta la OEA, los gobiernos de la región se esforzaron por mantenerse al día

con un contexto en evolución y lograron algunos avances notables, tanto a nivel regional como

nacional. A nivel regional, a pesar de la existencia de obstáculos y complicaciones persistentes,

las autoridades nacionales competentes, entre ellas, los equipos de respuesta ante incidentes

cibernéticos (CSIRT, también denominados CERT o CIRT) y los organismos policiales,

compartieron más información y cooperaron a nivel técnico con mayor intensidad que en el

pasado, a menudo con resultados positivos. Para muchos países, la cooperación en tiempo real

como respuesta a incidentes o actividades delictivas que estaban teniendo lugar, se volvió más

frecuente, además de más eficiente y eficaz. Los socios regionales e internacionales siguieron

desempeñando un papel clave en lo que respecta a reunir a los funcionarios gubernamentales con

el fin de desarrollar capacidades, fortalecer relaciones y compartir conocimientos y experiencias,

además de brindar asistencia a cada gobierno según sus necesidades específicas. Y si bien las

iniciativas orientadas a elaborar estándares regionales oficiales no han dado frutos, no caben

70

dudas de que se han elevado las expectativas acerca de lo que se espera de las autoridades

nacionales para aumentar la seguridad del dominio cibernético. (OEA, 2014)

La preocupación de los estados miembros de las organizaciones internacionales que se

han pronunciado sobre la ciberseguridad, radica en el aumento de las amenazas y

vulnerabilidades de los sistemas informáticos. Estas representan pérdidas financieras

considerables y acceso a información privada, que no distingue como víctimas a usuarios

jurídicos y naturales y en los peores casos se violentan los sistemas informáticos

gubernamentales. Tanto hackers como crackers han mejorado la infraestructura de sus ataques

volviéndolos más certeros y dañinos. Así, al 2013 las tendencias de ataques trascienden del

inicial malware al ciberespionaje financiero y gubernamental.

El avance de las perdidas por el cibercrimen aumenta a grandes pasos devengando

grandes beneficios, mientras que la perspectiva de capturar a los hackers y estafadores en línea

demostró ser limitada en todas las jurisdicciones… representado altos costos por delitos

cibernéticos en 2013…. se estima que ascendieron a por lo menos USD 113,000 millones, suma

suficiente para comprar un iPad a toda la población de México, Colombia, Chile y Perú….

Solamente en Brasil, los costos de los delitos cibernéticos alcanzaron los USD 8,000 millones,

seguidos por México con USD 3,000 millones y Colombia, con USD 464 millones. A nivel

mundial, 1de cada 8 violaciones de datos dieron como resultado la exposición de 10 millones de

identidades. además, la cantidad de ataques dirigidos se incrementó. (OEA, 2014).

Con el aumento de usuarios de redes informáticas respecto al 2012 en un 12%, los

usuarios aumentaron el uso de información personal y financiera desde sus dispositivos móviles o

de hogar, aumentándose las violaciones a la ciberseguridad y los ataques masivos a los sistemas

71

informáticos de personas físicas y empresas. Inicialmente se conocían violaciones de datos en

puntos PoS11, cuya anatomía de delito es la siguiente:

Figura 5. Violación de datos en puntos de venta POS Etapas. Fuente: Elaboración propia basado en (OEA, 2014)

Se considera que la mayoría de establecimientos comerciales a nivel mundial utilizan

sistemas POS para su facturación. En total, más de 552 millones de identidades se expusieron

durante 2013 en todo el mundo, lo que permitió a distintos delincuentes acceder a información

sobre tarjetas de crédito, fechas de nacimiento, números de documentos de identidad, domicilios

particulares, historias clínicas, números de teléfono, información financiera, direcciones de

correo electrónico, claves de acceso, contraseñas y otra clase de información personal. Para

comprender la magnitud del delito, podemos señalar que las tarjetas de crédito robadas pueden

venderse por un valor de hasta USD 100 en el mercado negro, lo que hace de las violaciones de

datos una actividad sencilla y de bajo riesgo para los ciberdelincuentes, pero sin duda rentable.

(OEA, 2014).

11 Sistema de Punto de Venta, (también conocido como EPOS en Europa) es un sistema electrónico ampliamente usado en el comercio minorista y la hostelería. Su función principal es la venta de productos de cotejo, el inventario y el comportamiento de compra del cliente, se considera imprescindible en el sector del comercio minorista moderno. (ACULA, 2015)

72

Los ciberataques cometidos comúnmente son los conocidos como “spear-phishing”12.

Ataques dirigidos por correo electrónico y “watering-hole”13 infección a través de sitios web,

buscando una afectación económica para la victima mediante la captación fraudulenta de datos

financieros.

Para el 2013 estas fueron las industrias que más se vieron afectadas en la región de

América Latina y el Caribe:

Figura 6: Industrias afectadas en América Latina y el Caribe. Fuente OEA, 2014

El aumento de vulnerabilidades de día cero que son aquellas que han sido descubiertas y

explotadas por los posibles atacantes antes de que se conozca su existencia y se publique un

parche que las solucione. Aumentaron en el 2013 un 61% con relación al 2012. Esto es

12 El spearphishing es un correo electrónico diseñado con ingeniería social con el objeto de engañar a una persona o un pequeño grupo de personas y realizar un ataque dirigido. (OEA, 2014) 13 Un ataque “watering-hole”, por su parte, requiere que los atacantes infiltren un sitio web legítimo visitado por sus víctimas, instalen un código malicioso y luego esperen que estas víctimas caigan en la trampa. (OEA, 2014)

Comercio minorista 0,5%

Minería 1%

Servicios no tradicionales 3%

Otros 3%

Comercio mayorista 9%

Finanzas y seguros 10%

Servicios profesionales (contables, jurídicos, ingeniería, salud) 20%

Construcción 23%

manufactura 30%

73

preocupante ya que demuestra que los Hacker tienen medios más sofisticados para infectar a sus

víctimas sin necesidad de utilizar adjuntos de correo electrónico, enlaces u otros métodos que

puedan suscitar sospechas no deseadas. Para el 2013 se revelaron 6,787 vulnerabilidades, en

comparación con las 5,291 de 2012. (OEA, 2014).

En el 2013 este era el panorama de ciberdelito cometidos (OEA, 2014):

La industria manufacturera fue la más afectada en 2013, y representó 30% de

todos los ataques perpetrados en América Latina.

En 2013 se revelaron 6,787 vulnerabilidades, en comparación con las 5,291 de

2012.

Las ofertas falsas representaron la mayor cantidad de ataques basados en medios

sociales en 2013, 81%, en comparación con 56% de 2012.

Las estafas basadas en “micro-blogging” representaron 1% del total de ataques

detectados en la categoría de medios sociales, tanto para 2012 como 2013.

La afectación al patrimonio económico de las entidades es el premio más grande para los

ciberdelincuentes por lo que en toda América Latina y el Caribe han aumentado los incidentes

relacionados con los asaltos y troyanos bancarios. Las amenazas actuales están concentradas en

modificar sesiones bancarias e inyectar campos adicionales con la esperanza de robar

información bancaria sensible o secuestrar la sesión.

Algunos de los troyanos bancarios más comunes de este año incluyen Trojan. Tylon36 y

una variante del botnet Zbot llamada Gameover Zeus.37 Infostealer. Bancos, aparece con mucha

frecuencia en América Latina y el Caribe. En el informe “El Estado de los troyanos financieros:

74

2013” de Symantec se concluye que en los primeros tres trimestres de 2013 se triplicó el número

de troyanos bancarios.

Aunque más de la mitad de estos ataques apuntaban a las principales 15 instituciones

financieras, más de 1,400 instituciones fueron víctimas en 88 países de todo el mundo. Los

ataques basados en navegadores siguen siendo moneda corriente, pero también son utilizadas

amenazas móviles para eludir la autenticación a través de mensajes de texto (SMS), que permiten

a los atacantes interceptar mensajes de texto del banco de la víctima.

Estamos ante un panorama preocupante que se viene planteando desde la Conferencia

Mundial de Telecomunicaciones Internacionales de la UIT 2012, el número y el grado de

sofisticación de los ciberataques está aumentando conforme crece nuestra dependencia de internet

y de otros medios para obtener servicios e información críticos. De acuerdo con la compañía de

seguridad McAfee, en 2011 se produjo el mayor número de amenazas descubiertas. Se supone

que existen aproximadamente unos 70 millones de programas malware circulando en todo el

mundo y los teléfonos inteligentes (“smartphones”) se han convertido en el principal medio de su

difusión. Los analistas consideran que al menos el 70% de los correos electrónicos son spam.

El primer Índice Mundial de Ciberseguridad y Perfiles de Ciberbienestar 201514 publicado

por ABIresearc e UIT reveló los perfiles de ciberseguridad de los estados miembros de la UIT,

elaborados a partir de un cuestionario. Como resultado se obtuvo una clasificación global y otra

regional de los países con mejores prácticas en ciberseguridad liderado por Estados Unidos de

América. Los aspectos que se evaluaron fueron los siguientes:

14 El Índice Mundial de Ciberseguridad (IMC) es una medida del nivel de desarrollo de la ciberseguridad de cada Estado nación. El IMC pretende

servir de acicate para que los países intensifiquen sus esfuerzos en materia de ciberseguridad. La meta final consiste en contribuir al fomento de una cultura mundial de ciberseguridad, así como a su integración como elemento fundamental de las tecnologías de la información y la comunicación. https://www.itu.int/pub/D-STR-SECU-2015/es

75

i. Medidas legales

Legislación penal

Reglamentación y conformidad

ii. Medidas técnicas

CERT-CIRT-CSIRT

Normas

Certificación

iii. Medidas orgánicas

Política

Hoja de ruta para la gobernanza

Organismo responsable

Análisis comparativos nacionales

iv. Capacitación

Desarrollo de la normalización

Desarrollo de la mano de obra

Certificación profesional

Certificación de los organismos

v. Cooperación

Cooperación intraestatal

Cooperación intraorganismos

Colaboraciones público-privadas

Cooperación internacional

76

5.2.1. Mejores prácticas Internacionales sobre Ciberseguridad

Reconociendo las tendencias de ciberdelito que se están presentando dentro de los

sistemas informáticos actualmente, la OEA en su informe de tendencias reconoce una serie de

mejores prácticas que disminuyen la vulnerabilidad de los sistemas, a saber:

Tabla 6. Mejores prácticas de Ciberseguridad. Fuente: Elaboración propia basado en el informe

sobre Tendencias de seguridad cibernética en América Latina y el Caribe (OEA, 2014)

Utilizar estrategias de

defensa profunda

Sistemas defensivos múltiples, superpuestos y de soporte mutuo para

protegerse contra fallas de punto único en cualquier tecnología o

método de protección específico. Esto debe incluir la implementación

de firewalls actualizados con regularidad, así como antivirus de

puertas de enlace, sistemas de detección o protección contra

intrusiones (IPS), escaneos de vulnerabilidad de sitios web con

protección contra malware y soluciones de seguridad de puertas de

enlace web en toda la red.

Monitorear para

detectar intentos de

incursión en la red,

vulnerabilidades y

abuso de marca Reciba

Alertas sobre nuevas vulnerabilidades y amenazas en las plataformas

de los diversos proveedores para tomar medidas de reparación

proactivas, mediante alertas de dominio e informes sobre sitios web

ficticios.

Un antivirus en los end

points no alcanza

77

Las versiones actualizadas de software antivirus no brindan una

protección completa, se debe implementar y usar un producto integral

para seguridad extrema, que tenga capas adicionales de protección.

Proteger sus sitios web

contra “Man In The

Middle” (ataques de

intermediarios) e

infecciones de malware

Para proteger la relación de confianza con los clientes se debe:

Configurar “SSL Always On” (protección SSL en su sitio web

desde el inicio hasta el cierre de sesión).

Escanear su sitio web en forma diaria para detectar malware.

Establecer el marcador seguro para todas las cookies de la

sesión.

Evaluar periódicamente su sitio web para detectar

vulnerabilidades.

Mostrar marcas de confianza reconocidas en ubicaciones de

gran visibilidad en su sitio web para demostrar a sus clientes

su compromiso con la seguridad.

Proteger sus claves

privadas

Obtener certificados digitales de una autoridad reconocida y

confiable que demuestre excelentes prácticas de seguridad. Se

recomienda a las organizaciones:

Usar infraestructuras independientes de Firma de Prueba y Firma

de Versión.

Proteger las claves en dispositivos de hardwares seguros,

criptográficos y a prueba de alteraciones.

78

Implementar seguridad física para proteger sus activos contra

robos.

Usar encriptación para

proteger datos sensibles

Implementar y hacer cumplir una política de seguridad que exija que

todo dato sensible sea encriptado.

El acceso a la información sensible debe ser restringido.

Esto debe incluir una solución de Protección Contra Pérdida de Datos

(DLP).

La solución de DLP debe configurarse para identificar y bloquear

acciones sospechosas de copiado o descarga de datos sensible.

Los datos de los clientes también deben estar encriptados.

Asegurarse de que

todos los dispositivos

autorizados con acceso

a las redes de la

empresa tengan

Si se aplica una política de ‘Traiga su propio dispositivo’ (BYOD),

asegurarse de que haya un perfil de seguridad mínimo para todo

dispositivo autorizado a acceder a la red.

79

protecciones de

seguridad adecuadas

Implementar una

política de medios

extraíbles

Restringir los dispositivos no autorizados, tales como discos duros

externos portátiles y otros medios extraíbles, ya que pueden

introducir malware y facilitar las infracciones de propiedad

intelectual, ya sea de manera intencional o no.

Si los dispositivos de medios externos están permitidos,

automáticamente escanearlos en caso de virus ya que se conectan a la

red. También usar una solución para prevenir la pérdida de datos,

monitorear y restringir la copia de información confidencial a

dispositivos de almacenamiento externo sin encriptar.

Tomar medidas

enérgicas de

actualización y

aplicación de parches

Hacer actualizaciones, parcheos y migraciones desde exploradores,

aplicaciones y complementos de exploradores obsoletos e inseguros.

Siempre tenga las últimas versiones disponibles de las definiciones de

prevención de virus e intrusiones utilizando los mecanismos de

actualización automática de los proveedores.

Siempre que sea posible, conviene automatizar las implementaciones

de parches para mantener la protección contra vulnerabilidades en

toda la organización.

80

Aplicar una política de

contraseñas eficaz

Asegurarse de que las contraseñas sean sólidas, con un mínimo de 8-

10 caracteres de largo y con una combinación de letras y números.

Recomiende a los usuarios evitar reutilizar las mismas contraseñas en

distintos sitios web y compartir sus contraseñas con otras personas,

práctica que debería estar prohibida. Las contraseñas se deben

cambiar con regularidad, al menos cada 90 días.

Hacer copias de

seguridad regularmente

Es recomendable crear y mantener copias de seguridad (backups) de

los sistemas críticos y de los extremos con regularidad. Si ocurriera

una emergencia de seguridad o de datos, se debe poder acceder

fácilmente a las copias de seguridad para minimizar el tiempo de

inactividad de los servicios y garantizar la productividad de los

empleados.

Restringir los archivos

adjuntos de correo

electrónico

Configurar los servidores de correo para bloquear o eliminar

mensajes que contengan archivos adjuntos que suelen usarse para

difundir virus, por ejemplo: archivos .VBS, .BAT, .EXE, .PIF y

.SCR. Las empresas deben examinar las políticas relativas a los

archivos .PDF autorizadas a incluirse como datos adjuntos.

81

Asegurarse de que los servidores de correo estén bien protegidos por

software de seguridad y de que los mensajes se escaneen de forma

exhaustiva.

Asegurarse de contar

con procedimientos de

respuesta a infecciones

e incidentes

Tener siempre a mano los datos de contacto de su proveedor de

soluciones de seguridad. Debe saber a quién va a llamar y qué pasos

va a seguir si tiene uno o más sistemas infectados.

Asegurarse de contar con una solución de copias de seguridad y

restauración para recuperar datos perdidos o comprometidos si

ocurriera un ataque exitoso o una pérdida de datos grave.

Aprovechar las funciones de detección post infección de los

cortafuegos y soluciones de seguridad de puertas de enlace web y

extremos para identificar sistemas infectados.

Aislar las computadoras infectadas para prevenir el riesgo de

infectar otros equipos de la organización, y recuperar los datos

usando medios confiables de copias de seguridad.

Si los servicios de red son víctimas de un código malicioso o

alguna otra amenaza hay que deshabilitar o bloquear el acceso a

esos servicios hasta aplicar un parche.

82

Educar a los usuarios

acerca de los protocolos

básicos de seguridad

No abra datos adjuntos si no esperaba recibirlos o si no provienen de

una fuente conocida y confiable, y no ejecute software descargado de

internet (si se permiten dichas acciones), salvo que la descarga haya

sido escaneada para detectar virus y malware.

Se debe tener cuidado al hacer clic en URL en mensajes de correo

electrónico o programas de redes sociales, incluso cuando

provienen de fuentes confiables y amigos.

Implemente soluciones con complementos de reputación de URL

en exploradores web que muestren la reputación de los sitios web

desde las búsquedas.

83

Ante los numerosos ciberataques de la última década y como lo resalta Cano:

Es evidente que los gobiernos no pueden hacer realidad su nueva visión de la defensa, sin una

estrategia concreta de prácticas de seguridad de la información, como base fundamental de su

visión de seguridad nacional, donde cada uno de los individuos reconozcan en la información un

activo fundamental que articula todas las infraestructuras críticas de la nación, y que hace realidad

el sueño de una sociedad informada. Ante esta preocupación por blindar a la sociedad, los

gobiernos han contraatacado violaciones dañinas y certeras a sus sistemas informáticos. (Cano J. ,

2011)

Entre los más sonados se encuentran las acciones adelantadas por los siguientes países como

detalla el informe (Dirección de Estudios Sectoriales, 2009):

Descargue únicamente software (si está permitido) compartido

por la empresa, o directamente del sitio web del proveedor.

Si los usuarios de Windows ven una advertencia que indica que

están “infectados” luego de hacer clic en una URL o de usar un

motor de búsqueda (infecciones de antivirus falsos), se debe

enseñar a los usuarios a cerrar o salir del explorador pulsando Alt-

F4 o CTRL+W o utilizando el administrador de tareas.

84

Alemania: en el año 2009 estableció su primera unidad exclusivamente dedicada a la guerra

cibernética, conformada por 60 oficiales y suboficiales de todas las fuerzas. Está comandada

por un General del Ejército Alemán.

Australia: Creó el Centro de Operaciones Cibernéticas que coordina las acciones estatales

ante los incidentes ocurridos en el ciberespacio. En el Libro Blanco de Defensa de 2009, se

definió a la ciberseguridad como una de las competencias esenciales y vitales para fortalecer

en los próximos 20 años.

China: Tiene una capacidad bien conformada y hombres entrenados dentro del Comando

Cibernético Conjunto (militar y civil). Ha desarrollado una red operativa muy segura para

sus sistemas gubernamentales y militares, haciendo sus redes impenetrables y con un poderío

ofensivo que está en posición de demorar o interrumpir el despliegue de tropas de otros

países.

Corea del norte: Tiene operando desde hace aproximadamente 8 años una unidad de guerra

cibernética, especializada en hackear las redes militares surcoreanas y norteamericanas para

extraer información y examinar sus vulnerabilidades.

Corea del sur: Las entidades civiles han desarrollado un fuerte mecanismo privado de

defensa a los ataques, dada la poca eficiencia de las acciones adelantadas en este sentido por

parte del Estado.

85

Estados Unidos: Creó un Centro de Ciber - Comando Unificado que depende de la Agencia

de Seguridad Nacional (NSA, por sus siglas en inglés). Este Centro optimiza los esfuerzos

hechos por parte de las Fuerzas Militares y otras agencias, y provee al país con la capacidad

de defender la infraestructura tecnológica y de conducir operaciones ofensivas.

Estonia: En 2008 creó conjuntamente con varios países de Europa, la OTAN y Estados

Unidos el Centro Internacional de Análisis de Ciberamenazas. En este centro trabajan 30

personas, entre personal técnico y administrativo. Su presupuesto proviene de los países

participantes de manera compartida.

Francia: Creó la Agencia de Seguridad para las Redes e Información (FINSA), que vigila las

redes informáticas gubernamentales y privadas con el fin de defenderlas de ataques

cibernéticos. Esta agencia depende directamente del Ministro de Seguridad Nacional. Lidera

la Unidad de Ciberseguridad y Ciberdefensa en la OTAN.

De los estudios más recientes y de los aportes más beneficiosos de la guerra contra el

cibercrimen, se encuentra el índice mundial de ciberseguridad y perfiles de ciberbienestar 2015

ITU mencionado anteriormente. En este estudio, que comprende 193 países de las cinco regiones

del mundo basados en los aspectos encuestados, cuales son las mejores prácticas en

ciberseguridad a nivel global. Prácticas que se anteponen a la suspicacia novedosa de los

ciberdelincuentes.

A continuación, un detalle de las buenas prácticas de los países líderes:

86

Tabla 7. Buenas prácticas- Índice mundial de ciberseguridad y perfiles de ciberbienestar 2015

Fuente: Elaboración propia basado en (ABIresearch, ITU, 2015)

REGIÓN AMÉRICAS

Medidas Técnicas

Estados

Unidos

Equipo de Respuesta a Emergencias Informáticas de los Sistemas de Control Industrial

(ICS-CERT) Instituto Nacional de Normas y Tecnología.

– Marco de mejora de la ciberseguridad de las infraestructuras críticas, versión 1.0.

– Serie 800 de publicaciones especiales.

– Norma federal de procesamiento de la información.

– Ciberseguridad para los sistemas inteligentes de fabricación- Iniciativa nacional para la

educación en

ciberseguridad (NICCS).

– Certificados profesionales.

– Marco laboral de la ciberseguridad nacional.

Medidas Jurídicas

Uruguay

Marco de reglamentación sobre la ciberseguridad.

87

– Política sobre seguridad de la información en el sector público.

– Dirección de seguridad de la información.

– Decreto de creación del Centro de Respuesta a Incidentes de Seguridad Informática en el

Uruguay (CERTuy)

– Ley de Protección de Datos Personales y Acción de Habeas Data

– Uruguay es el primer Estado no europeo que se ha adherido al Convenio sobre la

protección de datos personales del Consejo de Europa (2013).

Creación de Capacidades

Brasil

La Asociación Brasileña de Normas Técnicas (ABNT) define las versiones de las normas

ISO CEI para Brasil (por ejemplo, ABNT NBR ISO/CEI serie 27000).

– CEPESC (Centro de Estudios e Investigación en Salud Colectiva) – Centro de

investigación y desarrollo para la seguridad de la comunicación – desarrolla investigación

científica y tecnológica aplicada a proyectos relacionados con la seguridad de las

comunicaciones y, en particular, con la transferencia de tecnología.

– CAIS RNP (Centro de Atención a Incidentes de Seguridad – Red Nacional de Enseñanza e

88

Investigación). Equipo de respuesta ante incidentes de seguridad. Se encarga de la detección,

solución y prevención de los incidentes de seguridad en la red académica de Brasil.

Adicionalmente, de la creación, fomento y divulgación de prácticas de seguridad en las

redes.

– CEGSIC/UnB – Curso de especialización en Gestión de la Seguridad de la Información y

las Comunicaciones

– CGI.br – El Comité de Dirección de Brasil para Internet es el responsable de recomendar

normas técnicas y buenas prácticas relacionadas con Internet y promover las prácticas

óptimas en materia de seguridad.

REGIÓN ESTADOS ÁRABES

Medidas Organizativas

Omán

Estrategia y plan maestro de ciberseguridad de alto nivel, y hoja de ruta de amplio alcance

en cinco dominios.

1 Estructura organizativa.

2 Medidas jurídicas.

3 Creación de capacidades.

89

4 Medidas técnicas y procedimentales.

5 Cooperación regional e internacional.

REGIÓN ASIA – PACÍFICO

Medidas Jurídicas

Australia

Australia se ha adherido al Convenio del Consejo de Europa sobre Ciberdelincuencia. Este

Convenio entró en vigor el 1 de marzo de 2013.

– Ley de reforma de la legislación sobre ciberdelincuencia de 2012, número 120, 2012.

– Red australiana de información en línea sobre la ciberdelincuencia y marco estratégico

contra la ciberdelincuencia.

– La Australian Competition and Consumer Commission (ACCC) (Comisión australiana de

la competencia y el consumidor por sus siglas en inglés) le proporciona asesoramiento sobre

estafas y la manera de denunciarlas.

– La Australian Federal Police (AFP) High Tech Crime Operations (HTCO) (Unidad de

operaciones de la policía federal australiana contra la delincuencia de alto nivel tecnológico)

es la responsable de investigar la delincuencia de alto nivel tecnológico en Australia.

90

- La Australian Securities and Investment Commission (ASIC) (la Comisión de inversiones

y valores de Australia por sus siglas en inglés) investiga las estafas relacionados con

servicios financieros tales como las de suplantación de identidad.

Medidas Técnicas

Malasia

El Malaysia Computer Emergency Response Team (MyCERT) (Equipo de respuesta a las

emergencias informáticas de Malasia) se constituyó el 13 de enero de 1997 y tiene su sede

en las oficinas de CyberSecurity Malaysia.

– El GCERT MAMPU se instituyó en enero de 2001 en el Marco Gubernamental de Política

sobre Seguridad de las TIC (PA 3/2000) para garantizar la continuidad de los sistemas TIC

del Gobierno.

– El GCERT mantiene relaciones con otras 55 agencias CERT.

– Marcos de ciberseguridad nacional.

– National Cyber Security Policy (NCSP) (Política sobre ciberseguridad nacional).

– Arahan 24 (Directiva NSC, número 24).

– Decisión del Consejo de Ministros de 2010.

– Arahan Keselamatan (Dirección de Seguridad) dependiendo de la Chief Government

Security Office (CGSO)

(Oficina de Seguridad Principal del Gobierno).

– NCSP – Política de interés 3: Marco Tecnológico de la Ciberseguridad.


91

Corea

Medidas nacionales de ciberseguridad para la respuesta sistemática a nivel gubernamental, a

diversas ciberamenazas para la seguridad nacional. Entre ellas tenemos cuatro estrategias

establecidas con el objetivo de construir una ciberseguridad potente:

– Mejorar la agilidad del sistema de respuesta frente a las ciberamenazas.

– Crear un sistema de colaboración inteligente para las agencias pertinentes.

– Hacer más robustas las medidas de seguridad en el ciberespacio.

– Construir una base creativa de la ciberseguridad.

– Plan de normalización de protección de la información personal para promover un

planteamiento genérico de

la gestión de la información y la protección de los sistemas, la tecnología y los derechos.

– Supervisado por el Ministerio de Ciencia, TIC y Planificación Futura.

– Índice nacional de seguridad de la información: Medición objetiva y cuantitativa para

evaluar el nivel de

seguridad de la información del sector privado (empresas y usuarios individuales de

internet) en Corea.

– Actividades políticas de amplio alcance llevadas a cabo con relación a las experiencias de

diversos países y

casos dignos de ejemplo.

Cooperación

92

Japón

En la Región de Asia-Pacífico, el JPCERT/CC colaboró en la creación de APCERT (Asia

Pacific Computer Emergency Response Team- equipo de respuesta ante emergencias

informáticas de Asia-Pacífico). Realiza la función de secretaría de APCERT.

– En todo el mundo, como miembro del Foro sobre los Equipos de Seguridad y Respuesta

ante Incidentes

(FIRST), JPCERT/CC colabora con los CSIRT de confianza en todo el mundo.

– Estrategia internacional sobre ciberseguridad – iniciativa de Japón para la ciberseguridad.

– Cooperación internacional con Estados Unidos, la Unión Europea, Israel y Sudamérica.

– Colaboración con UNGGE, G8, OCDE, APEC, NATO y ASEAN.

– Meridian y la Red de alerta y vigilancia internacional (IWWN).

– Signatario del Convenio de Budapest.

– Programas de intercambio de información del Ministerio de Defensa.

– Alianza para el intercambio de información sobre ciberseguridad en Japón (J-CSIP) del

Ministerio de Economía, Comercio e Industria

REGIÓN EUROPA


Turquía

Estrategia y Plan de Acción sobre Ciberseguridad Nacional 2013-2014.

93

– El plan de acción consta de 29 acciones principales y 95 subacciones. Asigna

responsabilidades en materia de

legislación, creación de capacidades, desarrollo de infraestructuras técnicas, entre otras.

– Se ha creado el Consejo de Ciberseguridad para determinar las medidas relativas a la

ciberseguridad, aprobar

los planes, programas, informes, procedimientos, principios y normas elaborados, y

garantizar su aplicación y

coordinación.

– Durante los tres últimos años, se han organizado ejercicios de ciberseguridad a nivel

nacional en los que han

participado personas procedentes de los sectores público y privado. Estos ejercicios han

desempeñado un

importante papel en la sensibilización sobre la ciberseguridad y han sido una excelente

herramienta para medir

el desarrollo de ésta.

Creación de capacidades

Reino

Unido De

La Gran

94

Bretaña E

Irlanda

Del Norte

El CESG (Grupo de Seguridad de las Comunicaciones Electrónicas) es el órgano para la

seguridad de la información de GCHQ (Cuartel General de Comunicaciones del Gobierno) y

la Autoridad Técnica Nacional para la Seguridad de la Información en el Reino Unido.

– El CESG es un miembro autorizante del Sistema de Reconocimiento de Criterios

Comunes.

– Además del CESG, los Consejos de Investigación del Reino Unido tienen un programa

denominado “Global

Uncertainties” (incertidumbres a nivel mundial) en el que la ciberseguridad es un aspecto

clave.

– El Reino Unido ha creado una serie de Centros Académicos de Excelencia en

Investigación sobre

ciberseguridad, así como institutos de investigación complementarios, siendo uno de ellos

el Oxford Internet

Institute (Instituto de Internet de Oxford), que posee un centro de creación de capacidades.

– Existe un sistema de certificación de seguridad de la información, gestionado por el

Gobierno, para los

profesionales de la seguridad de la información, denominado CCP.

– El Gobierno del Reino Unido respalda plenamente la certificación IISP y fomenta la

incorporación de nuevos

miembros al IISP y el CCP.

Medidas técnicas

95

Estonia

ISKE es la norma de seguridad de la información desarrollada para el sector público de

Estonia, que tiene carácter obligatorio para las organizaciones gubernamentales estatales y

locales que manejan bases de datos y registros.

– La existencia de un sistema básico de tres niveles corresponde al desarrollo de tres

conjuntos diferentes de

medidas de seguridad para tres requisitos de seguridad diferentes.

– El sistema de cibergobierno e infraestructura TI de Estonia utiliza un sistema de

encriptación de 2048 bits

para gestionar los identificadores electrónicos de Estonia, las firmas digitales y los

sistemas preparados para

X-road.

– Estonia ha implementado una PKI nacional. El Estado organiza las actividades más

importantes relacionadas

con el ámbito de la PKI:

– La recopilación de aplicaciones necesaria para utilizar la PKI (el software de base de la

tarjeta de

identificación), que maneja la Autoridad de los Sistemas de Información (RIA).

– La legislación que determina los requisitos de calidad y confianza de los servicios PKI.

Este ámbito es

96

competencia de los Sistemas de Información del Departamento de Estado del Ministerio

de Asuntos

Económicos y Comunicaciones.

– Expedir los medios para lograr la autorización y firma electrónica (tarjeta de

identificación, etc.). Este

aspecto es competencia de la policía y el Consejo de la Guardia de Fronteras.

97

6. Propuesta de buenas prácticas para cada una de las conductas penales “delitos”

consignados en la Ley 1273 del 2009.

6.1 Limitantes en la normatividad del Estado Colombiano en la prevención del cibercrimen

frente a los adelantos internacionales.

Ante la preocupación del estado colombiano sobre la ciberseguridad de los sistemas

informáticos que interactúan en la infraestructura nacional y teniendo en cuenta el creciente

aumento de usuarios y plataformas transaccionales que se alimentan diariamente de millones de

datos personales y financieros, se han reunido fuerzas desde la emisión del CONPES 3701 del

año 2011.

En él se involucraron los ministerios, departamentos administrativos nacionales y Fiscalía

General de la Nación para emitir lineamientos de ciberseguridad y ciberdefensa que permitieran

establecer un punto de partida para el ataque al cibercrimen.

Dicha iniciativa promovió la creación, bajo la resolución 3933 de 2013, del Grupo de

Respuesta a Emergencias Cibernéticas de Colombia – colCERT como parte de la Dirección de

Seguridad Pública e Infraestructura que ha venido trabajando con apoyo de la policía en una

plataforma de denuncia que permite la interacción con los usuarios víctimas del ciberespacio.

El último plan de gobierno abarca una expansión considerable en la red de

telecomunicaciones colombianas, y paralelo a éste, según encuestas mencionadas anteriormente,

el aumento del cibercrimen es considerable. El estado se ha visto en la necesidad de adelantar una

revisión a dichos lineamientos iniciales sobre ciberseguridad y la aplicación de estos a la realidad

del país, considerando que Colombia cuenta con desafíos adicionales por el conflicto armado que

presenta.

98

Este estudio, se denominó Misión de asistencia técnica en seguridad cibernética, adelantado

en el 2014 por la OEA. Se realizó una revisión detallada, lineamiento por lineamiento bajo las

condiciones actuales de la infraestructura informática colombiana, los sistemas de información y

las condiciones sociales. Como resultado la OEA emitió cinco desafíos y cinco recomendaciones

detalladas a continuación:

Tabla 8. Recomendaciones al documento Conpes 3701. Fuente: Elaboración propia basado en

(OEA, 2014).

DESAFIO

RECOMENDACIÓN

Desafío 1

Los esfuerzos de Colombia para abordar la

ciberseguridad están limitados

por la falta de una visión general clara

La seguridad no es un fin en sí mismo. Es una

herramienta de soporte de objetivos de más alto

nivel.

Aunque el CONPES 3701 representa un

importante paso no aborda los problemas a un

nivel de forma que proporcione una visión

estratégica clara.

En la etapa actual, la comprensión del

Gobierno sobre ese tema (por ejemplo, definición

Recomendación 1

Desarrollar una visión global “la visión” para la

ciberseguridad

La visión debe formular claramente los objetivos

amplios y de alto nivel que se buscan y articularlos

para que sean aplicables a toda la nación.

• Diferenciar claramente los objetivos entre sí:

1. La prosperidad económica y social.

2. La defensa del país (por ejemplo, militar, de

inteligencia, otros).

3. La lucha contra el cibercrimen.

La naturaleza de estos tres objetivos es diferente y

99

de ciberseguridad y ciberdefensa) y los objetivos

generales parecen más bien estar motivados por

consideraciones e intereses institucionales más

que por una visión clara para el país que

trascienda estas consideraciones.

se deben abordar por separado. Sin embargo,

también se superponen en algunas áreas.

Esta superposición debe abordarse específicamente

(por ejemplo, a través de mecanismos de

coordinación adecuados) en vez de volverse la guía

de toda la visión.

Debe ser liderada por el más alto nivel del

gobierno, el cual se asegurará de que:

La visión sea entendida y seguida por todos

al interior del gobierno.

Los tres objetivos anteriores, a veces

contradictorios y que compiten entre sí, se

equilibren para el mejor beneficio de la

nación.

Incluir la cooperación internacional. El

entorno digital es por naturaleza global.

La mayoría de los aspectos de la gestión del riesgo

de la ciberseguridad tienen un carácter

internacional.

Desafío 2

Recomendación 2

100

El enfoque global de la ciberseguridad no se

basa en la gestión de riesgos

Se están adoptando medidas de seguridad sin que

sean el resultado de una evaluación o gestión

sistemática del riesgo. El enfoque actual tiene

como objetivo lograr la seguridad en lugar de

gestionar los riesgos. Un enfoque de gestión de

riesgos tiene como objetivo obtener los beneficios

de un entorno digital para lograr la prosperidad

económica y social.

Colombia es cada vez más digital. Un enfoque de

seguridad (es decir, no basado en la gestión de

riesgos) será cada vez más insostenible y costoso

sin que efectivamente se proteja la economía y la

sociedad.

Esto será especialmente claro con relación a la

protección de infraestructuras críticas.

Desde una perspectiva organizacional, existen dos

cuestiones principales:

1) El nivel más alto de gobierno no cuenta con

una evaluación exhaustiva de la situación de

riesgo global de ciberseguridad en todo el país y

por tanto no puede tomar decisiones basadas en el

riesgo.

Adoptar un enfoque global de la gestión de

riesgos de ciberseguridad

Basar la visión global en un enfoque de

gestión de riesgos.

Establecer un programa nacional de gestión

de riesgos que incluya:

o La evaluación.

o El tratamiento.

o La selección de medidas de seguridad.

o La preparación.

o La recuperación.

o La metodología.

o La sensibilización.

o La formación.

Establecer una capacidad para desarrollar

una evaluación integral de riesgos de

ciberseguridad nacional

101

2) Las actividades en los niveles inferiores no se

basan en la gestión del riesgo.

Desafío 3

La responsabilidad no está distribuida

claramente en todo el gobierno y

algunas instituciones tienen la responsabilidad,

pero no la autoridad o recursos para actuar

El marco institucional es complejo y no es claro

quién es responsable de qué. No hay trazabilidad

en los procesos y así la responsabilidad es vaga, la

coordinación es compleja y los mecanismos no

están claros.

La asignación y planificación de los recursos no

están definidos y no son el resultado de una

evaluación de la situación de riesgo general de

ciberseguridad en todo el país.

La ausencia de una autoridad responsable de la

coordinación general conduce a una posible

duplicación de esfuerzos y menor eficiencia.

Recomendación 3

Establecer un marco institucional claro

Este marco debería establecer un órgano de

coordinación permanente (organismo coordinador)

con un rol que se

extienda por todo el gobierno. Este organismo

debería responder directamente al Presidente.

− Se le debe asignar a la coordinación:

• La autoridad y responsabilidad legal para actuar,

que incluya recursos presupuestales para poder

responder a la visión.

• La responsabilidad de dirigir la formulación de la

política pública para asegurar un enfoque de

conjunto gubernamental coherente.

102

La dinámica institucional existente parece estar

motivada por la asignación de recursos en lugar de

los objetivos de gestión de riesgos de

ciberseguridad.

• El establecimiento de un programa nacional de

gestión de riesgos mencionado.

− Proporcionarle al organismo de coordinación la

capacidad de desarrollar una evaluación integral de

los riesgos de ciberseguridad nacional.

Debería considerarse la posibilidad de localizar el

CERT nacional (actualmente el colCERT), al

interior del órgano coordinador. Este órgano de

coordinación debe garantizar la independencia de

las entidades constitucionalmente establecidas para

ejercer funciones judiciales.

Desafío 4

El mecanismo para integrar a todas las partes

interesadas

(sector privado, academia, sociedad civil y

entidades internacionales) no está lo

suficientemente desarrollado.

Se ha iniciado un diálogo público-privado. Sin

embargo, para llegar al siguiente nivel de madurez

para gestionar el riesgo de la ciberseguridad, este

debe ser mejorado significativamente y deben

participar todos los actores de la economía y la

sociedad.

Recomendación 4

Establecer un proceso sistemático para

involucrar a todos los interesados en el

desarrollo de la estrategia y su implementación.

• Consultar con todas las partes interesadas sobre la

forma de organizar el diálogo sistemático.

• Establecer reglas para consultar sistemáticamente

a todas las partes interesadas en la fase inicial y a lo

largo de la elaboración de políticas.

103

Todas las partes interesadas tienen la

responsabilidad de la gestión de los riesgos de

ciberseguridad, de acuerdo con su función. Por

tanto, la implementación de la visión se basa en su

compromiso completo.

• Sobre la base de los recursos y esfuerzos

existentes se deben crear foros para que todos los

interesados participen en la ejecución de la visión.

• Desarrollar un plan a corto, mediano y largo plazo

para llegar progresivamente a todos los

actores gubernamentales y no gubernamentales.

Desafío 5

Es limitado el enfoque del gobierno en relación

con la protección de la infraestructura crítica

La política de infraestructura crítica está en la

agenda del gobierno y ya se inició un proceso para

su identificación y sobre asuntos relacionados con

la cadena de oferta.

Sin embargo, aún no se ha desarrollado una

definición de lo que es la infraestructura crítica y

por lo tanto se desconoce lo que hay que proteger.

Colombia está en la etapa temprana de la

formulación de la política de infraestructura

crítica.

Recomendación 5

El gobierno debe adoptar una política para la

protección de lainfraestructura crítica, teniendo

en cuenta los aspectos de personal, físicos y

lógicos

• Los aspectos digitales de la política de protección

de la infraestructura crítica debe ser parte de la

visión. El aspecto digital (o ciber) de protección de

la infraestructura crítica debe ser un subgrupo

del enfoque global de la protección de la

infraestructura crítica.

• La política de la infraestructura crítica contribuye

tanto a la prosperidad económica y social del país,

como a su defensa. Por lo tanto, la entidad de

coordinación debe liderar este proceso de

formulación de políticas para asegurar que los

objetivos que a veces compiten entre sí se

104

La mayoría de la infraestructura crítica es

propiedad y está operada por el sector privado y,

por tanto, debe estar en el centro del desarrollo de

la política de protección de infraestructura crítica.

Sin embargo, ese no parece ser el caso en la

política de protección de la infraestructura crítica

que se planea.

equilibren adecuadamente, para el máximo

beneficio del país.

• La descripción de la función del colCERT en el

CONPES 3701 (“Esquema relacional del

colCERT”,

en el gráfico 6) refleja un enfoque apropiado para la

protección de la infraestructura crítica con

respecto a la aplicación de la visión en el ámbito de

la protección de la infraestructura crítica.

Sin embargo, dado que la política de la

infraestructura crítica se sobrepone a la prosperidad

económica y social y a la defensa del país, esta

función debe ubicarse como parte del órgano de

coordinación (y no debería llamarse un “CERT”).

Según el estudio adelantado por la OEA, es evidente que los esfuerzos del estado

colombiano se quedan cortos en varios aspectos ante los nuevos desafíos que crecen conforme

aumentan los usuarios en el ciberespacio. Teniendo en cuenta la opinión de expertos es

necesario que se replanteen puntos del CONPES 3701 que pueden quedarse cortos en el alcance

o cuya aplicación no corresponde con la realidad del país.

Teniendo en cuenta estas recomendaciones, el Estado Colombiano puede replantear

aquellos lineamientos de ciberseguridad nacional que no estén acorde al panorama

internacional. Se debe tener en cuenta las tendencias y prácticas de los países que están a la

vanguardia de la seguridad en el ciberespacio y las respuestas implementadas ante los últimos

ciberataques que desangraron virtualmente las finanzas de las compañías

105

Este es un trabajo mancomunado entre el estado a través de la generación de lineamientos

actualizados y mejores campañas de sensibilización y las empresas tanto públicas como

privadas con el fortalecimiento de la seguridad de sus sistemas de información y la aplicación

de buenas prácticas avaladas por estándares internacionales.

106

6.2 Propuesta de buenas prácticas15 para cada una de las conductas penales o delitos consignados en la Ley 1273 del 2009, que

permitirá a las empresas disminuir la brecha que aumenta el riesgo al cibercrimen.

De acuerdo con la bibliografía consultada, se abordó la posición histórica y actual de la normativa nacional y los lineamientos

sobre ciberseguridad y ciberdefensa propuestos por los organismos de defensa nacional, para contrarrestar el cibercrimen en las

empresas colombianas; de forma paralela se adelantó una investigación de tendencias, prácticas y estándares internacionales vigentes

en este campo de estudio.

Con lo cual nos permitimos presentar un cuadro en el que se unieron los dos ejes de investigación desde la propuesta de buenas

prácticas para cada uno de los nueve delitos de la Ley 1273 del 2009, partiendo de la asignación de procesos catalizadores expuestos

en el marco de referencia COBIT 5 emitido por ISACA, el cual nos permitió mapear adecuadamente las buenas prácticas que reúnen

los estándares internacionales más reconocidos y aplicados, que podrían desde su aplicación en las empresas colombianas, disminuir

las brechas en los controles reduciendo razonablemente el riesgo al cibercrimen.

Adicionalmente, una vez establecidas las buenas prácticas, proponemos iniciativas que surgieron de la revisión del

cumplimiento proyectado del CONPES 3701, la evaluación de este por parte de la OEA, y las mejores prácticas internacionales, que

podría aplicar el estado colombiano para la ejecución total de los lineamientos vigentes y los planes de desarrollo futuros.

15 Las mejores prácticas son directrices que permiten a las empresas modelar sus procesos para que se ajusten a sus propias necesidades, proporcionan a las empresas y/o

organizaciones métodos utilizados para estandarizar procesos y administrar de una mejor manera los entornos de TI. http://olea.org/~yuri/propuesta-implantacion-auditoria-

informatica-organo-legislativo/ch03s02.html

107

Tabla 9: Iniciativas propuestas y basadas en las mejores prácticas internacionales. Fuente: Elaboración propia basado en (Alcaldía de

Bogotá), (ISACA, 2012)

DELITO

PROCESO

COBIT

BUENAS PRACTICAS

ESTANDARES

INTERNACION

ALES

Buenas prácticas

desde la vigilancia

normativa del

Estado Colombiano

Artículo 269A

Acceso abusivo a

un sistema

informático

EDM03.01

Evaluar la gestión

de riesgos

1. Determinar el nivel de riesgos relacionados con las TI que la

empresa está dispuesta a asumir para cumplir con sus objetivos

(apetito de riesgo).

COSO/ERM

ISO/IEC 3100

ISO/IEC 38500

King III (5.5 - 5.7)

Programa de alcance

nacional para la

educación y

sensibilización sobre la

seguridad de la

información, creando

centros forenses y

módulos de formación

dotados de entornos de

educación virtual.

2. Evaluar y aprobar propuestas de umbrales de tolerancia al riesgo TI

frente a los niveles de riesgo y oportunidad aceptables por la empresa.

3. Determinar el grado de alineación de la estrategia de riesgos de TI

con la estrategia de riesgos empresariales.

4. Evaluar proactivamente los factores de riesgo TI con anterioridad a

las decisiones estratégicas de la empresa pendientes y asegurar que

las decisiones de la empresa se toman conscientes de los riesgos.

108

5. Determinar si el uso de TI está sujeto a una valoración y evaluación

de riesgos adecuada, según lo descrito en estándares nacionales e

internacionales relevantes.

6. Evaluar las actividades de gestión de riesgos para garantizar su

alineamiento con las capacidades de la empresa para las pérdidas

relacionadas con TI y la tolerancia de los líderes a los mismos.

DSS05.02

Gestionar la

seguridad de la red

y las conexiones

1. Basándose en el análisis de riesgos y en los requerimientos del

negocio, establecer y mantener una política de seguridad para las

conexiones.

ISO/IEC

27002:2011

NIST SP800-53

Rev 1

ITIL V3 2011

2. Permitir sólo a los dispositivos autorizados tener acceso a la

información y a la red de la empresa. Configurar estos dispositivos

para forzar la solicitud de contraseña.

3. Implementar mecanismos de filtrado de red, como cortafuegos y

software de detección de intrusiones, con políticas apropiadas para

controlar el tráfico entrante y saliente.

4. Cifrar la información en tránsito de acuerdo con su clasificación.

5. Aplicar los protocolos de seguridad aprobados a las conexiones de

red.

109

6. Configurar los equipamientos de red de forma segura.

7. Establecer mecanismos de confianza para dar soporte a la

transmisión y recepción segura de información.

8. Realizar pruebas de intrusión periódicas para determinar la

adecuación de la protección de la red.

9. Realizar pruebas periódicas de la seguridad del sistema para

determinar la adecuación de la protección del sistema.

APO12.03

Mantener un perfil

de riesgo

1. Inventariar los procesos de negocio, incluyendo el personal de

soporte, aplicaciones, infraestructura, instalaciones, registros manuales

críticos, vendedores, proveedores y externalizados y documentar la

dependencia de los procesos de gestión de servicio TI y de los

recursos de infraestructuras TI.

ISO/IEC

27001:2005

(Sección 4)

ISO/IEC

27002:2011

ISO/IEC

31000 (6)

2. Determinar y acordar qué servicios TI y recursos de infraestructuras

de TI son esenciales para sostener la operación de procesos de

negocio.

Analizar dependencias e identificar eslabones débiles.

3. Agregar escenarios de riesgo actuales, por categoría, línea de

negocio y área funcional.

110

4. De forma regular, capturar toda la información sobre el perfil de

riesgo y consolidarla dentro de un perfil de riesgo agregado.

5. Sobre la base de todos los datos del perfil de riesgo, definir un

conjunto de indicadores de riesgo que permitan la identificación

rápida y la supervisión del riesgo actual y las tendencias de riesgo.

6. Capturar información sobre eventos de riesgos de TI que se han

materializado, para su inclusión en el perfil de riesgo de TI de la

empresa.

7. Capturar información sobre el estado del plan de acción del riesgo,

para la inclusión en el perfil de riesgo de TI de la empresa

APO12.04

Expresar el riesgo

1. Informar de los resultados del análisis de riesgos a todas las partes

interesadas afectadas en términos y formatos útiles para soportar las

decisiones de empresa. Cuando sea posible, incluir probabilidades y

rangos de pérdida o ganancia junto con niveles de confianza que

permitan a la dirección equilibrar el retorno del riesgo.

2. Proporcionar a los responsables de la toma de decisiones un

entendimiento de los peores escenarios y los más probables a las

exposiciones y las consideraciones sobre la reputación, legales y

111

regulatorias significativas.

3. Informar el perfil de riesgo actual a todas las partes interesadas,

incluyendo la efectividad del proceso de gestión de riesgos, la

efectividad de los controles, diferencias, inconsistencias,

redundancias, estado de la remediación y sus impactos en el perfil de

riesgo.

4. Revisar los resultados de evaluaciones objetivas de terceras partes,

auditorías internas y revisiones del aseguramiento de la calidad y

mapearlos con el perfil de riesgo. Revisar las diferencias y

exposiciones identificadas para determinar la necesidad de análisis de

riesgos adicionales.

5. De forma periódica, para áreas con un riesgo relativo y una paridad

de capacidad del riesgo, identificar oportunidades relacionadas con TI

que podrían permitir la aceptación de un mayor riesgo y un

crecimiento y retornos mayores.

APO12.06

Responder al riesgo

1. Preparar, mantener y probar planes que documenten los pasos

específicos a tomar cuando un evento de riesgo pueda causar un

112

incidente significativo operativo o evolucionar en un incidente con un

impacto de negocio grave.

Asegurar que los planes incluyan vías de escalado a través de la

empresa.

2. Categorizar los incidentes y comparar las exposiciones reales con

los umbrales de tolerancia al riesgo. Comunicar los impactos en el

negocio a los responsables de toma de decisiones como parte de la

notificación y actualizar el perfil de riesgo.

3. Aplicar el plan de respuesta apropiado para minimizar el impacto

cuando ocurren incidentes de riesgo.

4. Examinar eventos adversos/pérdidas del pasado y oportunidades

perdidas y determinar sus causas raíz. Comunicar la causa raíz,

requerimientos de respuestas adicionales para el riesgo y mejoras de

proceso a los responsables de toma de decisiones apropiados y

asegurarse de que la causa, los requerimientos de respuesta y la

mejora del proceso se incluyan en los procesos de gobierno del riesgo.

APO13.01

1. Definir el alcance y los límites del SGSI en términos de las

características de la empresa, la organización, su localización, activos

ISO/IEC

27001:2005

113

Establecer y

mantener un SGSI

y tecnología. Incluir detalles de y justificación para, cualquier

exclusión del alcance.

(Sección 4)

ISO/IEC

27002:2011

NIST (National

Institute of

Standards and

Technology)

SP800-53 Rev 1

ITIL V3 2011 (4.7)

2. Definir un SGSI de acuerdo con la política de empresa y alineada

con la Organización, localización, activos y tecnología.

3. Alinear el SGSI con el enfoque global de la gestión de la seguridad

en la empresa.

4. Obtener autorización de la dirección para implementar y operar o

cambiar el SGSI.

5. Preparar y mantener una declaración de aplicabilidad que describa

el alcance del SGSI.

6. Definir y comunicar los roles y las responsabilidades de la gestión

de la seguridad de la información.

7. Comunicar el enfoque de SGSI.

APO13.03

Supervisar y

revisar el SGSI

1. Realizar revisiones periódicas del SGSI, incluyendo aspectos de

políticas, objetivos y prácticas de seguridad del SGSI. Considerar los

resultados de auditorías de seguridad, incidentes, resultados de

mediciones de efectividad, sugerencias y retroalimentación de todas

las partes interesadas.

114

2. Realizar auditorías internas al SGSI a intervalos planificados.

3. Realizar revisiones periódicas del SGSI por la Dirección para

asegurar que el alcance sigue siendo adecuado y que se han

identificado mejoras en el proceso del SGSI.

4. Proporcionar información para el mantenimiento de los planes de

seguridad para que consideren las incidencias de las actividades de

supervisión y revisión periódica.

5. Registrar las acciones y los eventos que podrían tener un impacto en

la efectividad o el desempeño del SGSI.

Articulo 269B

Obstaculización

ilegítima de

sistema

informático o red

de

telecomunicación

EDM03.02

Orientar la gestión

de riesgos

1. Promover una cultura consciente de los riesgos TI e impulsar a la

empresa a una identificación proactiva de riesgos TI, oportunidades e

impactos potenciales en el negocio. COSO/ERM

ISO/IEC 3100

ISO/IEC 38500

King III (5.5 - 5.7)

Establecer un Índice

nacional de seguridad

de la información:

Medición objetiva y

cuantitativa para

evaluar el nivel de

seguridad de la

información del sector

2. Orientar la integración de las operaciones y la estrategia de riesgos

de TI con las decisiones y operaciones empresariales estratégicas.

3. Orientar la elaboración de planes de comunicación de riesgos

(cubriendo todos los niveles de la empresa), así como los planes de

acción de riesgo.

115

4. Orientar la implantación de mecanismos apropiados para responder

rápidamente a los riesgos cambiantes y notificar inmediatamente a los

niveles adecuados de gestión, soportados principios de escalado

acordados (qué informar, cuándo, dónde y cómo).

privado (empresas y

usuarios individuales de

Internet).

5. Orientar para que el riesgo, las oportunidades, los problemas y

preocupaciones puedan ser identificadas y notificadas por cualquier

persona en cualquier momento. El riesgo debe ser gestionado de

acuerdo con las políticas y procedimientos publicados y escalados a

los decisores relevantes.

6. Identificar los objetivos e indicadores clave de los procesos de

gobierno y gestión de riesgos a ser monitorizados y aprobar los

enfoques, métodos, técnicas y procesos para capturar y notificar la

información de medición.

APO13.02

Definir y gestionar

un plan de

tratamiento del

riesgo de la

1. Formular y mantener un plan de tratamiento de riesgos de seguridad

de la información alineado con los objetivos estratégicos y la

arquitectura de la empresa. Asegurar que el plan identifica las

prácticas de gestión y las soluciones de seguridad apropiadas y

óptimas, con los recursos, las responsabilidades y las prioridades

ISO/IEC

27001:2005

(Sección 4)

ISO/IEC

116

seguridad de la

información

asociadas para gestionar los riegos identificados de seguridad de

información.

27002:2011

ISO/IEC 31000 (6)

2. Mantener un inventario de componentes de la solución

implementados para gestionar los riesgos relacionados con la

seguridad como parte de la arquitectura de la empresa.

3. Desarrollar propuestas para implementar el plan de tratamiento de

riesgos de seguridad de la información, sustentados en casos de

negocio adecuados que incluyan consideren la financiación la

asignación de roles y responsabilidades.

4. Proporcionar información para el diseño y desarrollo de prácticas de

gestión y soluciones seleccionadas en base al plan de tratamiento de

riesgos de seguridad de información.

5. Definir la forma de medición de la efectividad de las prácticas de

gestión seleccionadas y especificar la forma de utilizar estas

mediciones para evaluar la efectividad y producir resultados

reproducibles y comparables.

6. Recomendar programas de formación y concienciación en

seguridad de la información.

117

7. Integrar la planificación, el diseño, la implementación y la

supervisión de los procedimientos de seguridad de información y otros

controles que permitan la prevención y detección temprana de eventos

de seguridad, así como la respuesta a incidentes de seguridad.

Artículo 269C

Interceptación

de datos

informáticos

APO01.06

Definir la

propiedad de la

información (datos)

y del sistema

1. Proveer políticas y directrices para asegurar la adecuación y

consistencia de la clasificación de la información (datos) en toda la

empresa.

ISO/IEC 20000 (3.1

- 4.4)

ISO/IEC 27002 (6)

ITIL V3 2011

(25.7)

Desarrollar un

documento de acceso

público que contenga

los requisitos mínimos

para la seguridad de la

información digital de

las instituciones

gubernamentales,

públicas y privadas.

2. Definir, mantener y proporcionar herramientas adecuadas, técnicas

y directrices para garantizar la seguridad y control efectivo sobre la

información y los sistemas en colaboración con el propietario.

3. Crear y mantener un inventario de la información (sistemas y datos)

que incluya un listado de los propietarios, custodios y clasificaciones.

Incluir los sistemas subcontratados y aquellos cuya propiedad debe

permanecer dentro de la empresa.

4. Definir e implementar procedimientos para asegurar la integridad y

consistencia de toda la información almacenada en formato

electrónico, tales como bases de datos, almacenes de datos (data

warehouses) y archivos de datos.

118

APO12.01

Recopilar datos

1. Establecer y mantener un método para la recogida, clasificación y

análisis de datos relacionados con riesgo de TI, dando cabida a

múltiples tipos de eventos, múltiples categorías de riesgo de TI y

múltiples factores de riesgo.

ISO/IEC

27001:2005

(Sección 4)

ISO/IEC

27002:2011

ISO/IEC 31000 (6)

2. Registrar datos relevantes sobre el entorno de operación interno y

externo de la empresa que pudieran jugar un papel significativo en la

gestión del riesgo de TI.

3. Medir y analizar los datos históricos de riesgo de TI y de pérdidas

experimentadas tomados de datos y tendencias externas disponibles,

empresas similares de la industria – basados en eventos registrados,

bases de datos y acuerdos de la industria sobre divulgación de eventos

comunes.

4. Registrar datos sobre eventos de riesgo que han causado o pueden

causar impactos al beneficio/valor facilitado por TI, a la entrega de

programas y proyectos de TI y/o a las operaciones y entrega de

servicio de TI. Capturar datos relevantes sobre asuntos relacionados,

incidentes, problemas e investigaciones.

119

5. Para clases o eventos similares, organizar los datos recogidos y

destacar factores contribuyentes. Determinar los factores

contribuyentes comunes para eventos múltiples.

6. Determinar las condiciones específicas que existían o faltaban

cuando ocurrieron los eventos de riesgo y la forma en la cual las

condiciones afectaban la frecuencia del evento y la magnitud de la

pérdida.

7. Ejecutar análisis periódicos de eventos y de factores de riesgo para

identificar asuntos nuevos o emergentes relacionados con el riesgo y

para obtener un entendimiento de los asociados factores de riesgo

internos y externos

DSS05.07

Supervisar la

infraestructura

para detectar

eventos

relacionados con la

seguridad

1. Registrar los eventos relacionados con la seguridad reportados por

las herramientas de monitorización de la seguridad de la

infraestructura, identificando el nivel de información que debe

guardarse en base a la consideración de riesgo. Retenerla por un

periodo apropiado para asistir en futuras investigaciones.

ISO/IEC

27002:2011

NIST SP800-53

Rev 1

ITIL V3 2011 2. Definir y comunicar la naturaleza y características de los incidentes

potenciales relacionados con la seguridad de forma que sean

120

fácilmente reconocibles y sus impactos comprendidos para permitir

una respuesta conmensurada.

3. Revisar regularmente los registros de eventos para detectar

incidentes potenciales.

4. Mantener un procedimiento para la recopilación de evidencias en

línea con los procedimientos de evidencias forenses locales y asegurar

que todos los empleados están concienciados de los requerimientos.

5. Asegurar que los tiques de incidentes de seguridad se crean en el

momento oportuno cuando la monitorización identifique incidentes de

seguridad potenciales.

Artículo 269D

Daño

Informático

DSS05.07

Supervisar la

infraestructura

para detectar

eventos

relacionados con la

seguridad

1. Registrar los eventos relacionados con la seguridad reportados por

las herramientas de monitorización de la seguridad de la

infraestructura, identificando el nivel de información que debe

guardarse en base a la consideración de riesgo. Retenerla por un

periodo apropiado para asistir en futuras investigaciones.

ISO/IEC

27002:2011

NIST SP800-53

Rev 1

ITIL V3 2011

Fortalecer los sistemas

de encriptación para

gestionar los

identificadores

electrónicos, las firmas

digitales y los sistemas

preparados.

2. Definir y comunicar la naturaleza y características de los incidentes

potenciales relacionados con la seguridad de forma que sean

121

fácilmente reconocibles y sus impactos comprendidos para permitir

una respuesta conmensurada.

3. Revisar regularmente los registros de eventos para detectar

incidentes potenciales.

4. Mantener un procedimiento para la recopilación de evidencias en

línea con los procedimientos de evidencias forenses locales y asegurar

que todos los empleados están concienciados de los requerimientos.

5. Asegurar que los tiques de incidentes de seguridad se crean en el

momento oportuno cuando la monitorización identifique incidentes de

seguridad potenciales.

APO12.02

Analizar el riesgo

1. Definir la amplitud y profundidad apropiadas para los esfuerzos en

análisis de riesgos, considerando todos los factores de riesgo y la

criticidad en el negocio de los activos. Establecer el alcance del

análisis de riesgos después de llevar a cabo un análisis coste-beneficio.

ISO/IEC

27001:2005

(Sección 4)

ISO/IEC

27002:2011

ISO/IEC 31000 (6)

2. Construir y actualizar regularmente escenarios de riesgo de TI, que

incluyan escenarios compuestos en cascada y/o tipos de amenaza

coincidentes y desarrollar expectativas para actividades de control

específicas, capacidades para detectar y otras medidas de respuesta.

122

3. Estimar la frecuencia y magnitud de pérdida o ganancia asociada

con escenarios de riesgo de TI. Tener en cuenta todos los factores de

riesgo que apliquen, evaluar controles operacionales conocidos y

estimar niveles de riesgo residual.

4. Comparar el riesgo residual con la tolerancia al riesgo e identificar

exposiciones que puedan requerir una respuesta al riesgo.

5. Analizar el coste-beneficio de las opciones de respuesta al riesgo

potencial, tales como evitar, reducir/mitigar, transferir/compartir y

aceptar y explotar/ capturar. Proponer la respuesta al riesgo óptima.

6. Especificar requerimientos de alto nivel para los proyectos o

programas que implementarán las respuestas de riesgo seleccionadas.

Identificar requerimientos y expectativas para los controles clave que

son apropiados para las respuestas de mitigación de riesgos.

7. Validar los resultados de análisis de riesgos antes de usarlos para la

toma de decisiones, confirmando que los análisis se alinean con

requerimientos de empresa y verificando que las estimaciones fueron

apropiadamente calibradas y examinadas ante una posible parcialidad.

123

Artículo 269E

Uso de software

malicioso.

EDM03.03

Supervisar la

gestión de riesgos

1. Divulgar concienciación sobre el software malicioso y forzar

procedimientos y responsabilidades de prevención.

COSO/ERM

ISO/IEC 3100

ISO/IEC 38500

King III (5.5 - 5.7)

Fomentar la

investigación científica

y tecnológica aplicada a

proyectos relacionados

con la seguridad de las

comunicaciones y, en

particular, con la

transferencia de

tecnología.

2. Instalar y activar herramientas de protección frente a software

malicioso en todas las instalaciones de proceso, con ficheros de

definición de software malicioso que se actualicen según se requiera

(automática o semi-automáticamente).

3. Distribuir todo el software de protección de forma centralizada

(versión y nivel de parcheado) usando una configuración centralizada

y la gestión de cambios.

4. Revisar y evaluar regularmente la información sobre nuevas

posibles amenazas (por ejemplo, revisando productos de vendedores y

servicios de alertas de seguridad).

5. Filtrar el tráfico entrante, como correos electrónicos y descargas,

para protegerse frente a información no solicitada (por ejemplo,

software espía y correos de phishing).

6. Realizar formación periódica sobre software malicioso en el uso del

correo electrónico e Internet. Formar a los usuarios para no instalarse

software compartido o no autorizado.

124

DSS05.01

Proteger contra

software malicioso

(malware)

1. Divulgar concienciación sobre el software malicioso y forzar

procedimientos y responsabilidades de prevención.

ISO/IEC

27002:2011

NIST SP800-53

Rev 1

ITIL V3 2011

2. Instalar y activar herramientas de protección frente a software

malicioso en todas las instalaciones de proceso, con ficheros de

definición de software malicioso que se actualicen según se requiera

(automática o semi-automáticamente).

3. Distribuir todo el software de protección de forma centralizada

(versión y nivel de parcheado) usando una configuración centralizada

y la gestión de cambios.

4. Revisar y evaluar regularmente la información sobre nuevas

posibles amenazas (por ejemplo, revisando productos de vendedores y

servicios de alertas de seguridad).

5. Filtrar el tráfico entrante, como correos electrónicos y descargas,

para protegerse frente a información no solicitada (por ejemplo,

software espía y correos de phishing).

6. Realizar formación periódica sobre software malicioso en el uso del

correo electrónico e Internet. Formar a los usuarios para no instalarse

software compartido o no autorizado.

125

Artículo 269

Violación de

datos personales.

DSS05.02

Gestionar la

seguridad de la red

y las conexiones

1. Basándose en el análisis de riesgos y en los requerimientos del

negocio, establecer y mantener una política de seguridad para las

conexiones.

ISO/IEC

27002:2011

NIST SP800-53

Rev 1

ITIL V3 2011

Llevar a cabo auditorías

periódicas obligatorias

de seguridad de la

información en la

administración pública

y otras organizaciones

seleccionadas, y el

establecimiento de las

condiciones y

procedimientos para la

certificación de los

auditores en seguridad

de la información.

2. Permitir sólo a los dispositivos autorizados tener acceso a la

información y a la red de la empresa. Configurar estos dispositivos

para forzar la solicitud de contraseña.

3. Implementar mecanismos de filtrado de red, como cortafuegos y

software de detección de intrusiones, con políticas apropiadas para

controlar el tráfico entrante y saliente.

4. Cifrar la información en tránsito de acuerdo con su clasificación.

5. Aplicar los protocolos de seguridad aprobados a las conexiones de

red.

6. Configurar los equipamientos de red de forma segura.

7. Establecer mecanismos de confianza para dar soporte a la

transmisión y recepción segura de información.

126

8. Realizar pruebas de intrusión periódicas para determinar la

adecuación de la protección de la red.

9. Realizar pruebas periódicas de la seguridad del sistema para

determinar la adecuación de la protección del sistema.

APO12.02

Analizar el riesgo

1. Definir la amplitud y profundidad apropiada para los esfuerzos en




ISO/IEC

27001:2005

(Sección 4)

ISO/IEC

27002:2011

ISO/IEC 31000 (6)











127












APO12.06

Responder al riesgo




impacto de negocio grave. Asegurar que los planes incluyan vías de

escalado a través de la empresa.



128







requerimientos de respuesta adicionales para el riesgo y mejoras de




Artículo 269G

Suplantación de

sitios web para

capturar datos

personales.

APO12.03

Mantener un perfil

de riesgo






ISO/IEC

27001:2005

(Sección 4)

ISO/IEC

27002:2011

ISO/IEC 31000 (6)

Fortalecer la

cooperación

internacional

aprovechando los

avances sobre

ciberseguridad.

2. Determinar y acordar qué servicios TI y recursos de infraestructuras


negocio. Analizar dependencias e identificar eslabones débiles.

129










empresa.



DSS05.04

Gestionar la

identidad del

usuario y el acceso

lógico

1. Mantener los derechos de acceso de los usuarios de acuerdo con los

requerimientos de las funciones y procesos de negocio. Alinear la

gestión de identidades y derechos de acceso a los roles y

responsabilidades definidos, basándose en los principios de menor

privilegio, necesidad de tener y necesidad de conocer.

ISO/IEC

27002:2011

NIST SP800-53

Rev 1

ITIL V3 2011

130

2. Identificar unívocamente todas las actividades de proceso de la

información por roles funcionales, coordinando con las unidades de

negocio y asegurando que todos los roles están definidos

consistentemente, incluyendo roles definidos por el propio negocio en

las aplicaciones de procesos de negocio.

3. Autenticar todo acceso a los activos de información basándose en

su clasificación de seguridad, coordinando con las unidades de

negocio que gestionan la autenticación con aplicaciones usadas en

procesos de negocio para asegurar que los controles de autenticación

han sido administrados adecuadamente.

4. Administrar todos los cambios de derechos de acceso (creación,

modificación y eliminación) para que tengan efecto en el momento

oportuno basándose sólo en transacciones aprobadas y documentadas

y autorizadas por los gestores individuales designados.

5. Segregar y gestionar cuentas de usuario privilegiadas.

6. Realizar regularmente revisiones de gestión de todas las cuentas y

privilegios relacionados.

131

7. Asegurar que todos los usuarios (internos, externos y temporales) y

su actividad en sistemas de TI (aplicaciones de negocio,

infraestructura de TI, operaciones de sistema, desarrollo y

mantenimiento) son identificables unívocamente. Identificar

unívocamente todas las actividades de proceso de información por

usuario.

8. Mantener una pista de auditoría de los accesos a la información

clasificada como altamente sensible.

Artículo 269H

Circunstancias

de agravación

punitiva

APO 12.05

Definir un

portafolio de

acciones para la

gestión de riesgos

1. Mantener un inventario de actividades de control que estén en

marcha para gestionar al riesgo y que permitan que el riesgo que se

tome esté alineado con el apetito y tolerancia al riesgo. Clasificar las

actividades de control y mapearlas con las declaraciones de riesgo

específicas de TI y agrupaciones de riesgo de TI.

ISO/IEC

27001:2005

(Sección 4)

ISO/IEC

27002:2011

ISO/IEC 31000 (6)

Adelantar reformas a la

legislación de seguridad

informática y

protección de datos que

se encuentren

desactualizadas.

2. Determinar si cada entidad organizativa supervisa el riesgo y acepta

la responsabilidad para operar dentro de sus niveles de tolerancia

individuales y de portafolio.

3. Definir un conjunto de propuestas de proyecto equilibradas

diseñadas para reducir el riesgo y/o proyectos que permitan

132

oportunidades estratégicas empresariales, considerando

costes/beneficios, el efecto en el perfil de riesgo actual y las

regulaciones.

Artículo 269I

Hurto por

medios

informáticos y

semejantes.

APO04.03

Supervisar y

explorar el entorno

tecnológico

1. Comprender el interés de la empresa y su potencial para adoptar

nuevas innovaciones tecnológicas canalizando los esfuerzos de

concienciación en las innovaciones tecnológicas más oportunas.

Sin referencia

exacta

Fortalecer la reacción

ante las alertas de

riesgo de los organos de

vigilancia y respuesta

del estado, trabajo entre

el COLCERT y la

Policia Nacional de

Colombia.

2. Realizar estudios y analizar el entorno exterior, incluyendo sitios

web apropiados, diarios y conferencias para identificar tecnologías

emergentes.

3. Consultar con terceras personas expertas cuando se necesite

confirmar los resultados de la investigación o como fuente de

información en tecnologías emergentes.

4. Recopilar las ideas innovadoras del personal de TI y analizarlas

para su posible implementación.

APO12.03

Mantener un perfil

de riesgo.




ISO/IEC

27001:2005

(Sección 4)

133



ISO/IEC

27002:2011

ISO/IEC 31000 (6) 2. Determinar y acordar qué servicios TI y recursos de infraestructuras


negocio. Analizar dependencias e identificar eslabones débiles.










empresa.



134

APO12.04

Expresar el riesgo

1. Informar de los resultados del análisis de riesgos a todas las partes

interesadas afectadas en términos y formatos útiles para soportar las

decisiones de empresa. Cuando sea posible, incluir probabilidades y

rangos de pérdida o ganancia junto con niveles de confianza que

permitan a la dirección equilibrar el retorno del riesgo.

2. Proporcionar a los responsables de toma de decisiones un

entendimiento de los escenarios peor y más probable, exposiciones de

diligencia debida y consideraciones sobre la reputación, legales y

regulatorias significativas.

3. Informar el perfil de riesgo actual a todas las partes interesadas,

incluyendo la efectividad del proceso de gestión de riesgos, la

efectividad de los controles, diferencias, inconsistencias,

redundancias, estado de la remediación y sus impactos en el perfil de

riesgo.

4. Revisar los resultados de evaluaciones objetivas de terceras partes,

auditorías internas y revisiones del aseguramiento de la calidad y

mapearlos con el perfil de riesgo. Revisar las diferencias y

135

exposiciones identificadas para determinar la necesidad de análisis de

riesgos adicionales.

5. De forma periódica, para áreas con un riesgo relativo y una paridad

de capacidad del riesgo, identificar oportunidades relacionadas con TI

que podrían permitir la aceptación de un mayor riesgo y un

crecimiento y retorno mayores.

EDM03.02

Orientar la gestión

de riesgos

1. Promover una cultura consciente de los riesgos TI e impulsar a la

empresa a una identificación proactiva de riesgos TI, oportunidades e

impactos potenciales en el negocio.

COSO/ERM

ISO/IEC 3100

ISO/IEC 38500

King III (5.5 - 5.7)

2. Orientar la integración de las operaciones y la estrategia de riesgos

de TI con las decisiones y operaciones empresariales estratégicas.

3. Orientar la elaboración de planes de comunicación de riesgos

(cubriendo todos los niveles de la empresa), así como los planes de

acción de riesgo.

4. Orientar la implantación de mecanismos apropiados para responder

rápidamente a los riesgos cambiantes y notificar inmediatamente a los

niveles adecuados de gestión, soportados principios de escalado

acordados (qué informar, cuándo, dónde y cómo).

136

5. Orientar para que el riesgo, las oportunidades, los problemas y

preocupaciones puedan ser identificadas y notificadas por cualquier

persona en cualquier momento. El riesgo debe ser gestionado de

acuerdo con las políticas y procedimientos publicados y escalados a

los decisores relevantes.

6. Identificar los objetivos e indicadores clave de los procesos de

gobierno y gestión de riesgos a ser monitorizados y aprobar los

enfoques, métodos, técnicas y procesos para capturar y notificar la

información de medición.

Artículo 269J

Transferencia no

consentida de

activos.

APO12.01

Recopilar datos

1. Establecer y mantener un método para la recogida, clasificación y

análisis de datos relacionados con riesgo de TI, dando cabida a

múltiples tipos de eventos, múltiples categorías de riesgo de TI y

múltiples factores de riesgo.

ISO/IEC

27001:2005

(Sección 4)

ISO/IEC

27002:2011

ISO/IEC 31000 (6)

2. Registrar datos relevantes sobre el entorno de operación interno y

externo de la empresa que pudieran jugar un papel significativo en la

gestión del riesgo de TI.

3. Medir y analizar los datos históricos de riesgo de TI y de pérdidas

experimentadas tomados de datos y tendencias externas disponibles,

137

empresas similares de la industria – basados en eventos registrados,

bases de datos y acuerdos de la industria sobre divulgación de eventos

comunes.

Aumento de la

vigilancia en las

plataformas

transaccionales no

certificadas.

Campañas de

sensibilización por

parte del sector

financiero, en

cooperación con el

estado, al sector real

para la aplicación de las

buenas prácticas en el

usos de los sistemas de

información financiera.

4. Registrar datos sobre eventos de riesgo que han causado o pueden

causar impactos al beneficio/valor facilitado por TI, a la entrega de

programas y proyectos de TI y/o a las operaciones y entrega de

servicio de TI. Capturar datos relevantes sobre asuntos relacionados,

incidentes, problemas e investigaciones.

5. Para clases o eventos similares, organizar los datos recogidos y

destacar factores contribuyentes. Determinar los factores

contribuyentes comunes para eventos múltiples.

6. Determinar las condiciones específicas que existían o faltaban

cuando ocurrieron los eventos de riesgo y la forma en la cual las

condiciones afectaban la frecuencia del evento y la magnitud de la

pérdida.

7. Ejecutar análisis periódicos de eventos y de factores de riesgo para

identificar asuntos nuevos o emergentes relacionados con el riesgo y

138

para obtener un entendimiento de los asociados factores de riesgo

internos y externos

APO12.02

Analizar el riesgo

1. Definir la amplitud y profundidad apropiadas para los esfuerzos en














139












APO12.06

Responder al riesgo




impacto de negocio grave. Asegurar que los planes incluyan vías de

escalado a través de la empresa.



140







requerimientos de respuesta adicionales para el riesgo y mejoras de




DSS05.06

Gestionar

documentos

sensibles y

dispositivos de

salida

1. Establecer procedimientos para gobernar la recepción, uso,

eliminación y destrucción de formularios especiales y dispositivos de

salida, dentro, en y fuera de la empresa. ISO/IEC

27002:2011

NIST SP800-53

Rev 1

ITIL V3 2011

2. Asignar privilegios de acceso a documentos sensibles y dispositivos

de salida basados en el principio del menor privilegio, equilibrando

riesgo y requerimientos de negocio.

3. Establecer un inventario de documentos sensibles y dispositivos de

salida, y realizar regularmente conciliaciones.

141

4. Establecer salvaguardas físicas apropiadas sobre formularios

especiales y dispositivos sensibles. 5. Destruir la información sensible

y proteger dispositivos de salida (por ejemplo, desmagnetizando

soportes magnéticos, destruir físicamente dispositivos de memoria,

poniendo trituradoras o papeleras cerradas disponibles para destruir

formularios especiales y otros documentos confidenciales).

142

7. Conclusiones Preliminares

Con el desarrollo de este trabajo logramos construir un estado del arte normativo

colombiano sobre ciberseguridad. Con éste pudimos establecer que aun existiendo

lineamientos de política para ciberseguridad y Ciberdefensa (Conpes 3701) el

cumplimento de este se encuentra a un 90%, en el 10% restante que no se ha logrado

cumplir se encuentran las falencias de las que se aprovechan los ciberdelincuentes, para

seguir afectando el patrimonio económico de las empresas colombianas. La

desactualización de los lineamientos representa una desventaja para la ciberseguridad

nacional si se tiene en cuenta los avances y las tendencias consignados en convenios

internacionales a los que podría aplicar Colombia.

Aunque Colombia se encuentra en una posición alentadora en el ranking global de

ciberseguridad emitido por ITU, Unión Internacional de Telecomunicaciones, los casos de

cibercrimen crecen conforme evolucionan las plataformas tecnológicas y aumentan los

usuarios en la red. La inventiva criminal se hace más creativa, por lo que los

ciberdelincuentes encuentran formas de ataques más complejos con costos bajos, que les

permite lucrarse del patrimonio económico a causa de las brechas que se presentan en los

controles implementados por las empresas.

Por lo que es necesario profundizar en las medidas que se deben tomar para mejorar la

vigilancia y el control de los usuarios que interactúan en los sistemas informáticos,

promoviendo iniciativas que integren esfuerzos públicos, privados y de la academia, en

pro del conocimiento causal y preventivo del cibercrimen, los riesgos asociados a este y

143

sus medidas de control (buenas practicas), evitando que estos esfuerzos se concentren

solamente en el accionario reactivo de los organismos de seguridad y defensa, una vez

cometido el fraude.

Una vez identificadas las causas que aumentan el riesgo a cibercrimen en las empresas y

el panorama delictivo actual de este, se hace vital para el auditor como profesional, la

constante actualización y profundización de los estándares internacionales que dictan

lineamientos de riesgo y control, aplicables a la ciberseguridad y ciberdefensa nacional.

El conocimiento de estas, aporta herramientas al auditor para el desarrollo de planes de

trabajo en la evaluación de controles y detección de las brechas que aumentan los riesgos

al cibercrimen; presentamos a COBIT 5 marco de referencia publicado por ISACA, como

un referente internacional que las empresas deberían adoptar para el fortalecimiento de las

buenas practicas al interior de sus organizaciones, ya que este es la integración de

estándares aplicados y avalados internacionalmente.

Esta propuesta de mejores prácticas para combatir el cibercrimen en las empresas

colombianas va más allá de la función social de los contadores. También pretende

solucionar un problema que está impactando a las empresas colombianas y por tanto, a

miles de colombianos que ven afectados sus recursos por los ataques de la

ciberdelincuencia. La socialización de la información contenida en esta tesis en

escenarios empresariales y académicos permitirá aliviar en buena medida este problema

común para todos los colombianos.

144

En conclusión, esta propuesta de buenas prácticas para fortalecer los controles de

prevención y detección temprana del cibercrimen en las empresas colombianas, aporta

conceptualmente un beneficio que integra al sector público, privado y a la academia, en

cuanto su intención es la de establecer un punto en el estado del arte nacional e

internacional, sobre los lineamientos de ciberseguridad y ciberdefensa, buscando en un

plano comparativo resaltar los avances nacionales , y los puntos de mejora teniendo en

cuenta las mejores prácticas de países que han logrado disminuir las pérdidas económicas

a causa del cibercrimen y los adelantos en la infraestructura cibercriminal.

Esperamos que sea de beneficio para la sociedad, las empresas y sobre todo para los

profesionales en auditoría en cuanto a la necesidad de constante actualización en un

mundo empresarial que se enfoca al ciberespacio, y del cual ya no se desconoce su peligro

y fragilidad ante las brechas que aumentan los riesgos al cibercrimen.

145

8. Referencias bibliográficas

ABIresearch, ITU. (2015). Índice Mundial de Ciberseguridad y Perfiles de Ciberbienestar.

Abril, A. (2006). Mitos y realidad del gobierno de Internet. Revista Derecho y Política. Obtenido

de http://www.redalyc.org/articulo.oa?id=78800306> ISSN

ACULA Technology Corp. (2015). ¿Qué es un sistema POS? Obtenido de ACULA:

http://acula.com/

Aguirre, Y. (s.f.). olea.org/. Obtenido de http://olea.org/~yuri/propuesta-implantacion-auditoria-

informatica-organo-legislativo/ch03s02.html

Alamillo, Ignacio en Redalyc. (2009). redalyc.org. Obtenido de

http://www.redalyc.org/articulo.oa?id=78813254008> ISSN

Alcaldía de Bogotá. (s.f.).

Alcaldía de Bogotá. (28 de 10 de 1993). alcaldiabogota.gov.co. Obtenido de

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=304









Alcaldía de Bogotá. (12 de 10 de 2011). Ley 1480 de 2011.

Alcaldía de Bogotá. (17 de 10 de 2012). Ley 1581 de 2012.

Anticorrupción y Fraude. (2014). Revista 67.

Banco de México. (1999). Mejores prácticas en la auditoría interna. Lima .

Cano, D., & Lugo, D. (2008). Auditoria Financiera Forence. ECOE Ediciones.

Cano, J. (2011). Ciberseguridad y ciberdefensa : dos tendencias emergentes en un contexto

global. SISTEMAS (ASOCIACION COLOMBIANA DE INGENIEROS DE

SISTEMAS)(0119), 4-7.

Cano, M., & René, C. (s.f.). Instituto de Auditores Internos de la Republica Dominicana, INC.

Recuperado el 2015

146

CCDCOE. (2015). CCDCOE NATO Cooperative Cyber Defence Centre of Excellence.

Recuperado el 2015, de ccdcoe.org: www.ccdcoe.org

CCIT y Fedesarrollo. (2014). Avances y retos de la defensa digital en Colombia. Bogota: CCIT y

Fedesarrollo.

CCN-CERT Centro Criptológico Nacional. (Junio de 2008). www.ccn.cni.es. Recuperado el

2015, de www.ccn-cert.cni.es

Centro Cibernético Policial. (16 de Junio de 2015). ccp.gov.co. Obtenido de

http://www.ccp.gov.co/sites/default/files/bacib_001_6_0.pdf

Certicámara. (29 de Agosto de 2013). ABC para proteger los datos personales, Ley 1581de 2012

Decreto1377 de 2013.

Certicámara. (2014). Certicámara. Obtenido de web.certicamara.com

CIBERSUR. (04 de 08 de 2014). cibersur.com. El cibercrimen cuesta a las empresas hasta 9.000

millones de euros al año. España.

Comunicaciones, C. d. (Julio de 2015). Identificación de las posibles acciones regulatorias a

implementar en materia de Ciberseguridad.

Comunicaciones, F. d. (Diciembre de 2011). Modelo de seguridad de la información para la

estrategia de gobierno en linea .

CONGRESO DE COLOMBIA. (2009). Alcaldia de Bogotá. Recuperado el 2015, de


CONGRESO DE COLOMBIA. (17 de Octubre de 2012). Alcaldía de Bogotá D.C. Obtenido de


Constitución Política de Colombia. (6 de 06 de 1991). procuraduría.gov.co. Obtenido de

http://www.procuraduria.gov.co/guiamp/media/file/Macroproceso%20Disciplinario/Const

itucion_Politica_de_Colombia.htm

Corporación Colombia Digital. (2015 de Junio de 2015). colombiadigital.net. Obtenido de

http://colombiadigital.net/actualidad/noticias/item/8365-cuales-son-los-amenazas-de-

seguridad-financiera-mas-populares-en-colombia.html

Diario La República. (25 de 06 de 2013). larepublica.co. Obtenido de

http://www.incp.org.co/incp/document/colombia-debe-fortalecer-la-seguridad-

informatica/

Dinero. (28 de Septiembre de 2015). Dinero.com. Obtenido de

http://www.dinero.com/internacional/articulo/principales-cifras-del-cibercrimen-mundo-

colombia/213988

Dirección de Estudios Sectoriales. (2009). Ciberseguridad y Ciberdefensa: Una primera

aproximación. MINISTERIO DE DEFENSA NACIONAL. Bogotá: Ministerio de

Defensa Nacional.

147

Ernst & Young. (s.f.). ey.com. Recuperado el 2015, de

http://www.ey.com/Publication/vwLUAssets/EY-Vencer-el-cibercrimen/$FILE/EY-

vencer-al-cibercrimen.pdf

Estupiñan, R. (s.f.). Control Interno y Fraudes.

Fernández, M., Hurtado , M., & Peral, D. (2005). Comercio Electrónico en la era Digital: España.

Razón y Palabra(45).

FOROSISIS. (2015). ¿Qué hace el Gobierno para proteger a los ciudadanos? (U. d. Andes, Ed.)

ForosISIS Universidad de los Andes, 33.

FOROSISIS. (2015). El peligro existe y va al alza. FOROSISIS, 22 - 24.

GITS Informatica. (2015). gitsinformatica.com. Obtenido de gitsinformatica.com:

http://www.gitsinformatica.com/legislacion.html#extranjera

Hernandez, E. H. (s.f.). Auditoria en Informatica. CECSA.

Infolaft . (10 de Noviembre de 2014). Infolaft Anticorrupción, fraude y LA/FT. Obtenido de

www.infolaft.com

ISACA. (2012). isaca.org. Recuperado el 2015, de www.isaca.org

ISO. (2005). iso.org. Recuperado el 2015, de

http://www.iso.org/iso/catalogue_detail?csnumber=39612

ITU. (2009). itu.int. Obtenido de http://www.itu.int/

KPMG. (2013). Encuesta de Fraude en Colombia 2013. Colombia: KPMG en Colombia. KPMG

Advisory Services Ltda. Obtenido de KPMG:

https://www.kpmg.com/CO/es/IssuesAndInsights/ArticlesPublications/Documents/Encue

sta%20de%20Fraude%20en%20Colombia%202013.pdf

Larrota, L. M. (2014). ucatolica.edu.co. (U. C. Colombia, Ed.)

Medero, G. S. (2012). Revista Cenipec.

Medero, G. S. (2012). Ciberespacio, y el crimen organizado, los nuevos desafíos del siglo XXI.

Enfoques.

Ministerio de Defensa Nacional. (Octubre de 2009). Cibercrimen y Ciberdefensa: una primera

aproximación. Cibercrimen y Ciberdefensa. Bogotá, Cundinamarca, Colombia:

Ministerio de Defensa.

Ministerio de Relaciones Exteriores y Concejo de Europa. (23 de Noviembre de 2001).

exteriores.gob.es. Recuperado el 2015, de Biblioteca virtual de tratados:

http://apw.cancilleria.gov.co/tratados/SitePages/Menu.aspx

148

Ministerio de Tecnologías de la Información y las Comunicaciones. (14 de Julio de 2011).

mintic.gov.co. Obtenido de http://www.mintic.gov.co/portal/604/articles-

3510_documento.pdf

MINTIC. (8 de Enero de 2015). mintic.gov.co. Obtenido de mintic.gov.co:

http://www.mintic.gov.co/portal/604/w3-article-8148.html

Ocampo S., C. A. (2010). Las Técnicas Forenses Y La Auditoria. Scientia Et Technica [en linea].

OEA. (2014). Misión de Asistencia Técnica en Seguridad Cibernética. Organización de los

Estados Americanos , Bogotá. Recuperado el 2015

OEA. (2014). Tendencias de segurdidad cibernética en America latina y el Caribe.

OPS. (s.f.). ops.org.bo. Recuperado el 2015, de

http://www.ops.org.bo/textocompleto/prensa/concurso-buenas-practicas/conceptos.pdf

Organización Mundial del Comercio. (2014). www.wto.org. Obtenido de www.wto.org

Oxman, N. (2013). Estafas informáticas a través de Internet: acerca de la imputación penal del

“phishing” y el “pharming. Revista de Derecho , 211- 262.

Perez, P. (2014). Futuro Incierto de la Gran Colombia. Palibrio.

Piatinni, M. d. (2001). Auditoria Informatica, Un enfoque práctico. Madrid, España: Alfaomega

RA-MA.

Policial, C. C. (s.f.). Boletin de Analisis de Criminal en Ciberseguridad.

Ramírez, M., & Reina, J. (2013). Metodología y desarrollo de la auditoría forense en la detección

del fraude contable en Colombia. Cuadernos de Administración , 29(50).

Saccani, R. (2010). kpmg.com. (KPMG, Ed.)

Sadder, Y. (2013). unimilitar.edu.co. Obtenido de

http://repository.unimilitar.edu.co/bitstream/10654/11142/1/SadderCarvajalYeimyPaola2

013.pdf

Senado de la República. (08 de 07 de 2005). secretariasenado.gov.co. Obtenido de

http://www.secretariasenado.gov.co/senado/basedoc/ley_0962_2005.html

Senado de la República. (16 de 07 de 2007). Ley 1150 de 2007.

Superintendencia de Industria y Comercio. (31 de 12 de 2008). sic.gov.co. Obtenido de

http://www.sic.gov.co/drupal/sites/default/files/files/ley1266_31_12_2008(1).pdf

Symantec. (octubre de 2013). symantec.com. Obtenido de

http://www.symantec.com/content/es/mx/about/presskits/b-norton-report-2013-final-

report-lam-es-mx.pdf

Symantec. (25 de Noviembre de 2014). Foro Symantec Vision 2014. Bogotá, Colombia.

149

Temperini, M. G. (2015). Delitos Informáticos en Latinoamérica: Un estudio de derecho

comparado. 1ra. Parte. Biblioteca digital del Departamento de Cooperación

Jurídica,dependiente de la Secretaría de Asuntos Jurídicos, de la Organización de los

Estados Americanos. Recuperado el 2015, de http://conaiisi.unsl.edu.ar/2013/82-553-1-

DR.pdf

Universidad de la Rioja. (2010). unirioja.es. Obtenido de http://www.unirioja.es/

Universidad de los Andes . (2015). CONPES. II foro de Ciberseguridad y Ciberdefensa 2015.

Nuevos retos y perspectivas en Latinoamérica. Bogotá.

Universidad de los Andes. (2015). Colombia se prepara para afrontar nuevos peligros. (U. d.

Andes, Ed.) FOROSISIS, 25 - 26.