El portal jurídico de
IUS ET VERITAS

Una introducción al derecho de la ciberseguridad | Rodolfo Núñez Robinson

Compartir

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

Escrito por Rodolfo Núñez Robinson (*)

 

I. REPENSEMOS EL DERECHO: LA EVOLUCIÓN DE LA SOCIEDAD Y LAS NUEVAS TECNOLOGÍAS

Como mencionamos en el artículo anterior, la sociedad ha pasado por un cambio avasallador conocido como la interconectividad, la cual nos permite tener acceso de inmediato al internet, y estar conectados siempre y desde donde sea. Es decir, nos da una puerta de acceso irrestricta al ciberespacio, el cual es el entorno digital interconectado de redes, servicios, sistemas, personas, procesos, organizaciones y lo que reside en el entorno digital o lo atraviesa, según la norma técnica ISO/IEC TS 27100:2020 [1].

Sin embargo, este acceso permanente ha generado una peligrosa superficie de ataque  (Attack Surface) definida como la suma de diferentes puntos de ataque (vectores de ataque) por donde un atacante puede intentar penetrar un sistema y extraer información[2].

Y en el caso concreto, lo curioso -o alarmante, para ser más exactos- es que, como ahora todo está interconectado por el internet (desde el rastreador de nuestra mascota hasta los controles de un misil nuclear), la superficie de ataque se ha vuelto global: cualquiera puede llevar a cabo un ciberataque sobre cualquier dispositivo desde cualquier parte del mundo y atacar la información disponible o lo que fuese que le interese al ciberdelincuente (estas son conocidas como las motivaciones intrínsecas del actor, que podré explicar en una próxima oportunidad).

Esta expansión exponencial de la superficie de ataque se ha denominado como superficie de ataque global (Global Attack Surface). Autores como Hubbard y Seiersen [3] realzan la peligrosidad de esta preocupante tendencia señalando que se compone por el compuesto total de todas las vulnerabilidades en la ciberseguridad a lo largo de todos los sistemas, redes y organizaciones. Es, en otras palabras, un fenómeno macro que se encuentra siempre en expansión y una nueva realidad que ha venido para quedarse. Pero, ¿realmente nos damos cuenta de la peligrosidad o es que le estamos dando la espalda a esta nueva realidad? 

Les cuento un caso [4] y les hago la siguiente pregunta: ¿sabían que un ciberataque puede matar a alguien? Así suene extraño que un ataque a un sistema informático pueda causar daños físicos a alguien, pasa más de la cuenta. En julio de 2019, en Mobile, Alabama, la clínica Springhill Medical Center fue objeto de un ataque de ransomware

El ransomware, de acuerdo con el NIST [5], es un tipo de malware que ataque la información de una organización y/o persona y la encripta. Si uno quiere acceder nuevamente a su información, debe pagar un rescate (ransom) o perderá por siempre su información. En otras palabras, es un secuestro de información.

En este caso, un bebé llamado Nicko Silar, nace justo en el momento en que Springhill Medical Center fue atacado por el ransomware. Dado que los sistemas de la clínica se encontraban caídos (downtime) por este ciberataque, el personal médico no pudo acceder a la historia clínica del paciente (su madre) ni podía monitorear los signos vitales de la madre y el bebé (que aún no había nacido). Así, tampoco pudieron ver que el cordón umbilical estaba ahorcando a Nicko. Él nació, pero el daño causado por dicha sofocación generó un daño cerebral irreparable que terminó arrebatándole la vida después de nueve meses. Todo, producto de un ataque a un sistema informático médico.

Otro caso [6], esta vez en Düsseldorf, Alemania. En setiembre de 2020, el Hospital de la Universidad de Düsseldorf fue atacada por un ransomware. Este ciberataque hizo que los sistemas del hospital dejen de funcionar y, dentro de estos, estaba el sistema encargado de admitir a pacientes a emergencias. Lamentablemente, justo en el transcurso de dicho ataque, una mujer de 78 años aquejada de un aneurisma aórtico tuvo un deterioro de salud que motivó que fuese llevada de emergencias a recibir atención médica de urgencia.

El centro médico más cercano era el Hospital de la Universidad de Düsseldorf. Sin embargo, al informar de la llegada de esta paciente, no pudieron admitirla debido al ciberataque -se dijo que no estaban atendiendo en emergencias, ya que el sistema no funcionaba-, por lo que se rechazó su ingreso y se redirigió a la ambulancia al Hospital Universitario Helios de Wuppertal, a 32 kilómetros de distancia, lo que retrasó una hora el tratamiento de la paciente. Murió poco después.

Esta situación nos obliga a repensar el Derecho y a destacar su naturaleza fenoménica que lo obliga a que siempre cambie conforme la sociedad a la que sirve vaya cambiando. Así las cosas, y de cara a estos y miles de casos más, se ha ido formando una nueva rama jurídica llamada Derecho de la Ciberseguridad, pero lo cierto es que incluso existe dificultad de entender lo que regula. Debido a ello es que la finalidad de este artículo es brindar una introducción a esta nueva materia jurídica, de modo que se puedan desarrollar, en otros trabajos, temas afines y mayores detalles sobre aspectos más específicos.

 

II. LA CIA TRIAD COMO PUNTO DE PARTIDA

La ciberseguridad, en general, no tiene una ley que la regule. Por eso, lo principal cuando estudiemos esta materia es conocer la lex artis y ver el inconmensurable mar de normas técnicas que constituyen el soft law que se aplica para resolver un caso de esta naturaleza. La CIA Triad es una de ellas. 

De acuerdo con Falco y Rosenbach [7], este es un estándar técnico aplicado en el mundo entero que busca que toda seguridad de la información (Information Security o INFOSEC [8]) garantice, mínimamente, tres principios fundamentales -los cuales, seguramente, apreciarán que se presentan como bienes jurídicos protegidos en normas internas de protección de datos personales, por ejemplo-: 

  • Confidencialidad –Confidentiality: es la prevención del acceso no autorizado a información privada y/o sensible. Este puede ser premeditado -como cuando un agente, sea interno o externo, ingresa a nuestros sistemas sin autorización y accede a nuestra información-, o impremeditado -cuando un agente, sea interno o externo, debido al descuido, impericia o negligencia, genere una vulnerabilidad o filtre información-. En pocas palabras, la confidencialidad busca mantener la información privada y/o sensible fuera del alcance de personas no autorizadas.
  • Integridad –Integrity: se refiere a la consistencia de los sistemas, redes y datos, asegurando que no sufran alteraciones no autorizadas o no intencionadas. Esto garantiza que el sistema, las redes y los datos se comporten según lo previsto y deseado cuando un usuario accede a ellos, impidiendo que se borren o modifiquen indebidamente. Lo esencial en este extremo es que la información se mantenga tal cual la organización necesita que esté (sin nada más ni nada menos), sin que se presenten modificaciones o supresiones no autorizadas. Básicamente, la protección al cambio indeseado.
  • Disponibilidad –Availability: se refiere a la capacidad de los usuarios autorizados para acceder libremente a sus sistemas, redes o datos cuando sea que lo necesitan. Es decir, garantiza la disponibilidad inmediata a los recursos cuando requieran ser empleados para los fines que sean pertinentes.

En base a lo expuesto, tengamos presente que la CIA Triad sirve como parámetro de control mínimo y estándar universalmente aceptado para determinar los niveles de ciberseguridad, siendo el indiscutible derrotero que debe siempre seguirse al momento de estudiar, analizar e implementar una política elemental de protección de sistemas informáticos o, en general, de nuestro entorno digital (pues, al final y al cabo, casi todo es información).

Además, no perdamos de vista que cada ciberataque infringirá alguno de dichos principios, pues, sea como causa o consecuencia, no puede haber un ataque si un ciber delincuente no elimina algún elemento de la tríada (dependiendo de la intención que se tenga y el tipo de ataque que se realice). Dichos elementos deberán encontrarse siempre presente como mínimo en todo análisis de gestión de riesgos en el ciberespacio.

 

III. ¿CUÁL ES EL OBJETO DE ESTUDIO DEL DERECHO DE LA CIBERSEGURIDAD?: DEFINAMOS LO QUE ES LA CIBERSEGURIDAD

Las definiciones abundan sobre lo que es la ciberseguridad y ello hace que el acceso a dicha información sea tan confuso. Siempre veamos la regulación internacional técnica de dos lugares geográficos que dominan esta materia: Estados Unidos y la Unión Europea. 

En Estados Unidos, de acuerdo con el National Institute of Standards and Technology – NIST, la ciberseguridad puede ser definida sencillamente como la habilidad de proteger o defender el uso del ciberespacio de un ciberataque [9]. Esta definición, si bien es homogénea en otros documentos técnicos como el NIST SP 800-39 de marzo de 2011 y el NIST SP 800-30 de setiembre de 2012 -y es la más conocida y empleada-, no es la única que este instituto maneja. Aunada a la definición antes glosadas, el NIST tiene cinco otras definiciones sobre la ciberseguridad a tomar en cuenta:

“Prevención de daños, protección y restauración de ordenadores, sistemas de comunicaciones electrónicas, servicios de comunicaciones electrónicas, comunicaciones por cable y comunicaciones electrónicas, incluida la información contenida en ellos, para garantizar su disponibilidad, integridad, autenticación, confidencialidad y no repudio [10].”

(contenida en los documentos CNSSI 4009-2015, NIST SP 1800-10B, NIST SP 1800-25B , NIST SP 1800-26B, NIST SP 800-160 Vol. 2 Rev. 1, NIST SP 800-37 Rev. 2, NIST SP 800-53 Rev. 5,  NIST IR 8401 y NIST IR 7621 Rev. 1).

“El proceso de proteger la información mediante la prevención, detección y respuesta a los ataques [11].”

(Contenida en los documentos NIST SP 800-160 Vol. 2 Rev. 1, NIST Cybersecurity Framework Version 1.1, NIST IR 8183,  
NIST IR 8183 Rev. 1, NIST IR 8183A Vol. 1, NIST IR 8183A Vol. 2, NIST IR 8183A Vol. 3).

“Medidas y controles que garantizan la confidencialidad, integridad y disponibilidad de la información procesada y almacenada por una computadora [12].”

(Contenida en el documento CNSSI 4009-2015).

“La prevención de daños, el uso no autorizado, la explotación y, en caso de que fuese necesario, el restablecimiento de los sistemas electrónicos de información y comunicaciones, así como de la información que contienen; con el fin de reforzar la confidencialidad, integridad y disponibilidad de dichos sistemas [13].”

(Contenido en el documento NIST IR 8074 Vol. 2).

“Prevención de daños, protección y restauración de computadoras, sistemas de comunicaciones electrónicas, servicios de comunicaciones electrónicas, comunicaciones por cable y comunicaciones electrónicas, incluida la información que contienen, para garantizar su disponibilidad, integridad, autenticación, confidencialidad y no repudio [14].”

(Contenido en el documento NIST IR 8323r1).

A su turno, el Subcommittee SC 27, Information security, cybersecurity and privacy protection del Joint Technical Committee 1 del International Organization for Standirization (ISO) y la International Electrotechnical Commission (IEC) define a la ciberseguridad en el documento técnico ISO/IEC 27032:2023 [15], publicado en junio de 2023 como “salvaguardar a las personas, la sociedad, las organizaciones y las naciones frente a los ciber riesgos [16]; significando salvaguardar, para dicha entidad, “mantener los ciber riesgos a un nivel tolerable.” [17].

En la Unión Europea, la ciberseguridad se define, de manera sencilla, en la Regulación (UE) 2019/881 del Parlamento y Consejo Europeo del 17 de abril de 2019 que crea la European Union Agency for Cybersecurity (ENISA) [18]: “‘ciberseguridad’ significa las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas.” [19]

Dicha definición es la que se emplea a lo largo de toda la Unión Europea, siendo la adoptada por la Directiva (UE) 2022/2555 del Parlamento y Consejo Europeo del 14 de diciembre de 2022 que regula un alto nivel común de ciberseguridad en toda la Unión, entre otros. Al ser la ENISA la más importante agencia de ciberseguridad en la Unión Europea, resulta imprescindible conocer sus directivas y pronunciamientos sobre el particular, pues regula cómo debe entenderse esta materia. 

En el documento denominado Definition of Cybersecurity – Gaps and overlaps in standarisation de diciembre de 2015, definde a la ciberseguridad de la siguiente manera:

“La ciberseguridad se referirá a la seguridad del ciberespacio, entendiendo por ciberespacio el conjunto de enlaces y relaciones entre objetos accesibles a través de una red generalizada de telecomunicaciones, y al conjunto de objetos en sí mismos cuando presenten interfaces que permitan su control remoto, el acceso remoto a datos, o su participación en acciones de control dentro de dicho ciberespacio. La ciberseguridad deberá, por tanto, comprender el paradigma CIA para las relaciones y objetos dentro del ciberespacio y extender ese mismo paradigma CIA para abordar la protección de la privacidad de las personas jurídicas (personas y empresas), y para abordar la resiliencia (recuperación ante un ataque)”  [20] (pág. 7).

Si bien la EINSA hace suya dicha definición, es de suma importancia destacar que reconoce que el Derecho de la Ciberseguridad tiene un concepto tan amplio actualmente que se puede clasificar hasta en cinco rubros (conocidos técnicamente como los dominios de la ciberseguridad –domains [21]-), siendo que cada uno tendrá un concepto y desarrollo distinto y, naturalmente, un enfoque particular:

  • Seguridad de las comunicaciones: protección contra una amenaza a la infraestructura técnica de un ciber sistema que pueda conducir a una alteración de sus características para llevar a cabo actividades no previstas por sus propietarios, diseñadores o usuarios [22].
  • Seguridad de las operaciones: protección contra la corrupción intencionada de procedimientos o flujos de trabajo que tendrán resultados no previstos por sus propietarios, diseñadores o usuarios [23].
  • Seguridad de la información: protección contra la amenaza de robo, supresión o alteración de los datos almacenados o transmitidos dentro de un ciber sistema [24].
  • Seguridad física: protección contra las amenazas físicas que pueden influir o afectar al bienestar de un ciber sistema. Algunos ejemplos podrían ser el acceso físico a servidores, la inserción de hardware malicioso en una red o la coacción de usuarios o sus familias [25].
  • Seguridad pública o nacional: Protección contra una amenaza cuyo origen está en el ciberespacio, pero que puede amenazar activos físicos o cibernéticos de forma que el atacante obtenga un beneficio político, militar o estratégico. Algunos ejemplos podrían ser Stuxnet o ataques DOS a gran escala contra servicios públicos, comunicaciones, sistemas financieros u otras infraestructuras públicas o industriales críticas [26].

Con todo lo expuesto, y siendo lo expuesto tomado solo de manera altamente resumida de lo que es la ciberseguridad y el objeto de estudio de esta incipiente rama jurídica, nos preguntamos si realmente es posible -o, mejor dicho, necesario- definir el término ciberseguridad para encasillar el objeto de esta materia.

Nosotros coincidimos con el ENISA en que no es necesario definir a la ciberseguridad, sino que lo ideal es generar definiciones contextuales que encajen en el modelo que se le quiera dar en cada documento técnico y dependiendo del ámbito que se quiera proteger (tal como podemos ver de las diversas interpretaciones de la ciberseguridad citadas y los enfoques desde sus dominios). A decir del ENISA:

“No es necesaria una definición de la ciberseguridad en el sentido convencional que solemos aplicar a las definiciones de cosas sencillas como la autenticación de una identidad (un mecanismo de seguridad que permite verificar la identidad proporcionada). El problema es que la ciberseguridad es un término envolvente, no siendo posible elaborar una definición que abarque todo lo que realmente engloba este término. Por ello, debería considerarse una definición contextual, basada en una que sea relevante, encaje y que ya esté siendo utilizada por una organización o SDO [27] en concreto.” (2015, pág. 28).

En ese sentido, más que brindar una definición adicional a las ya existentes y que son altamente técnicas y consensuadas entre naciones, y organismos nacionales e internacionales, consideramos que el derrotero que deberá guiar el análisis o entendimiento de toda persona sobre el Derecho de la Ciberseguridad es la búsqueda de maneras y buenas -mejores- prácticas que garanticen un uso seguro de las computadoras, redes y/o sistemas; y, a su vez, permitan salvaguardar la información contenida, con el objetivo de asegurar la confidencialidad, integridad y disponibilidad (la tríada). 

Cabe resaltar que este enfoque está más orientado hacia la seguridad de la información, siendo que en posteriores trabajos podremos explicar sobre temas más específicos como los dominios; la seguridad física, administrativa y lógica; la gestión de riesgos; respuesta de incidentes; etc. Por lo pronto, tengamos presente que esta novedosa materia jurídica regula a la ciberseguridad, pero, al ser esta un tema eminentemente técnico, existen un sinfín posturas yuxtapuestas respecto a su objeto. 

De hecho, como hemos podido apreciar, la normativa internacional (soft law en su mayoría) considera a la ciberseguridad desde distintas perspectivas (como mejores prácticas de protección, conjunto de herramientas para proteger, entre otros), siendo que, incluso, se abre la puerta al estudio de subramas (dominios) que son, de por sí, mundos enteros de conocimientos técnicos que escapan a lo jurídico.

 


(*) Sobre el autor: Abogado egresado de la Facultad de Derecho de la Pontificia Universidad Católica del Perú. Actualmente, es un destacado abogado especialista en Derecho Procesal, Constitucional y Ciberseguridad (gestión de riesgos). Asimismo, es Asociado Senior del Estudio Amprimo, Flury, Barboza & Rodríguez Abogados.


Referencias:

[1] Traducción libre de: “interconnected digital environment of networks, services, systems, people, processes, organizations, and that which resides on the digital environment or traverses through it

[2] United States Government Accountability Office. (2018). WEAPON SYSTEMS CYBERSECURITY, p. 18.

[3] Douglas, H., & Richard, S. (2016). How to Measure Anything in Cybersecurity Risk. WIley.

[4] Srinivasan, Suraj, and Li-Kuan Ni. «Ransomware Attack at Springhill Medical Center.» Harvard Business School Caso 123-065, 2023.

[5]https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/ransomware.

[6] https://www.wired.com/story/ransomware-hospital-death-germany/

[7] Falco, G., & Rosenbach, E. (2022). Confronting cyber risk: an embedded endurance strategy for cybersecurity. Oxford University Press.

[8] Sobre el particular, es necesario destacar que en el mundo de la ciberseguridad existe un debate sobre qué engloba a qué (si la ciberseguridad engloba a la seguridad de la información o viceversa). De acuerdo con la norma técnica ISO/IEC TS 27100:2020, la ciberseguridad es el género, mientras que la seguridad de la información es la especie. Primeramente, el INFOSEC es la preservación de la confidencialidad, integridad y disponibilidad de la información, según la norma técnica ISO/IEC 27000. Así, la violación de la seguridad de la información en el ciberespacio puede provocar un incidente de ciberseguridad. Esto significa que los riesgos de seguridad de la información se consideran ciber riesgos en el contexto de la ciberseguridad. Sin embargo, la ciberseguridad y la seguridad de la información difieren en sus objetivos. La ciberseguridad se ocupa principalmente de proteger a las entidades, incluidas las personas, la sociedad, las organizaciones y las naciones, de los ciber riesgos, mientras que la seguridad de la información se ocupa de mantener la confidencialidad, integridad y disponibilidad de la información con consecuencias (ISO/IEC TC 27100:2020, p. 3 a 4).

[9] Traducción libre de “The ability to protect or defend the use of cyberspace from cyberattacks.”.

[10] Traducción libre de “Prevention of damage to, protection of, and restoration of computers, electronic communications systems, electronic communications services, wire communication, and electronic communication, including information contained therein, to ensure its availability, integrity, authentication, confidentiality, and nonrepudiation.”.

[11] Traducción libre de “The process of protecting information by preventing, detecting, and responding to attacks.”.

[12] Esta era la definición de seguridad de la computación (computer security) que fue reemplazada por el término ciberseguridad. El texto oringinal que ha sido traducido libremente es el siguiente: “Measures and controls that ensure confidentiality, integrity, and availability of the information processed and stored by a computer. Rationale: Term has been replaced by the term “cybersecurity.”

[13] Traducción libre de “the prevention of damage to, unauthorized use of, exploitation of, and—if needed—the restoration of electronic information and communications systems, and the information they contain, in order to strengthen the confidentiality, integrity and availability of these systems.”.

[14] Traducción libre de “Prevention of damage to, protection of, and restoration of computers, electronic communications systems, electronic communications services, wire communication, and electronic communication, including information contained therein, to ensure its availability, integrity, authentication, confidentiality, and nonrepudiation.”

[15] Este reemplaza el estándar técnico anterior contenido en la ISO/IEC 27032:2012.

[16]  Traducción libre de “safeguarding of people, society, organizations and nations from cyber risks”.

[17] Traducción libre de “Safeguarding means to keep cyber risk at a tolerable level.”.

[18] Dicha norma deroga la Regulación (UE) No 526/2013, Cybersecurity Act.

[19] Traducción libre de “‘cybersecurity’ means the activities necessary to protect network and information systems, the users of such systems, and other persons affected by cyber threats”.

[20] Traducción libre de “Cybersecurity shall refer to security of cyberspace, where cyberspace itself refers to the set of links and relationships between objects that are accessible through a generalised telecommunications network, and to the set of objects themselves where they present interfaces allowing their remote control, remote access to data, or their participation in control actions within that Cyberspace. Cybersecurity shall therefore encompass the CIA paradigm for relationships and objects within cyberspace and extend that same CIA paradigm to address protection of privacy for legal entities (people and corporations), and to address resilience (recovery from attack).

[21] Aunque desde un punto de vista más técnico, los dominios de la ciberseguridad son ocho, de acuerdo con el Certified Information Systems Security Professional – CISSP, uno de las más prestigiosas certificaciones en ciberseguridad del mundo: i) Domain 1. Security and Risk Management; ii) Domain 2. Asset Security; iii) Domain 3. Security Architecture and Engineering; iv) Domain 4. Communication and Network Security; v) Domain 5. Identity and Access Management (IAM); vi) Domain 6. Security Assessment and Testing; vii) Domain 7. Security Operations; y, viii) Domain 8. Software Development Security.

[22] Traducción libre de “Protection against a threat to the technical infrastructure of a cyber system which may lead to an alteration of its characteristics in order to carry out activities which were not intended by its owners, designers or users.”.

[23] Traducción libre de “Protection against the intended corruption of procedures or workflows which will have results that were unintended by its owners, designers or users.”.

[24] Traducción libre de “Protection against the threat of theft, deletion or alteration of stored or transmitted data within a cyber system.”.

[25] Traducción libre de “Protection against physical threats that can influence or affect the well-being of a cyber system. Examples could be physical access to servers, insertion of malicious hardware into a network, or coercion of users or their families.”.

[26] Traducción libre de “Protection against a threat whose origin is from within cyberspace, but may threaten either physical or cyber assets in a way which will have a political, military or strategic gain for the attacker. Examples could be ‘Stuxnet’ or wide-scale DOS attacks on utilities, communications, financial system or other critical public or industrial infrastructures.”.

[27]  Un SDO es una Standard Developing Organization que tiene como finalidad desarrollar y aprobar estándares técnicos consensuados (tales como el ISO/IEC o la ITU-T)

 

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada.