MEMORIAL DE CABALLERÍA Nº 73 JUNIO 2012 - Portal de Cultura ...
MEMORIAL DE CABALLERÍA Nº 73 JUNIO 2012 - Portal de Cultura ...
MEMORIAL DE CABALLERÍA Nº 73 JUNIO 2012 - Portal de Cultura ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
150<br />
Varios Noticias <strong>de</strong>l Arma Orgánica y Materiales Empleo Táctico y Operaciones Historia<br />
TRADUCCIONES<br />
seguras como lo sean las personas que las utilizan. Por <strong>de</strong>sgracia, los humanos somos vulnerables a<br />
las técnicas <strong>de</strong> ingeniería social y también propensos a abrir brechas acci<strong>de</strong>ntales incluso <strong>de</strong>ntro <strong>de</strong><br />
las más rigurosas políticas <strong>de</strong> seguridad IT.<br />
La amenaza <strong>de</strong> la ingeniería social en el ciberentorno -en concreto el “spearphishing” o “phishing”,<br />
que intenta hacer que los usuarios revelen información personal, tal como nombres <strong>de</strong> usuarios<br />
y contraseñas– está bien acreditada. En 2010, el experto en ciberseguridad Thomas Ryan se inventó<br />
un atractivo personaje femenino online llamado “Robin Sage”, que utilizó para acumular cientos <strong>de</strong><br />
contactos en el gobierno <strong>de</strong> EEUU, entre los que se encontraban altos funcionarios <strong>de</strong> organizaciones<br />
<strong>de</strong>l gobierno tales como el DoD, la Agencia <strong>de</strong> Seguridad Nacional y otras agencias <strong>de</strong> seguridad <strong>de</strong><br />
EEUU. De acuerdo con su informe, “mucha información revelada a Robin Sage violaba los procedimientos<br />
<strong>de</strong> la OPSEC (Seguridad Operacional) y la PERSEC (Seguridad <strong>de</strong> las Personas)”.<br />
En otro notable inci<strong>de</strong>nte <strong>de</strong> error humano en 2008, un contratista militar <strong>de</strong> EEUU conectó<br />
acci<strong>de</strong>ntalmente una llave USB a un or<strong>de</strong>nador militar seguro. Aunque el contratista no tuvo intención<br />
maliciosa, el error dio como resultado lo que el entonces US Deputy Secretary of Defense<br />
William Lynn llamó “la brecha más significativa que se había producido nunca en los or<strong>de</strong>nadores<br />
<strong>de</strong> EEUU”. Tanto la red militar no clasificada (NIPRNet) como su contraparte clasificada (SIPRNet)<br />
se vieron comprometidas.<br />
El <strong>de</strong>seo <strong>de</strong> prevenir una repetición <strong>de</strong> este tipo <strong>de</strong> ataques respaldó, en parte, la creación <strong>de</strong> un<br />
órgano militar en EEUU, el USCYBECOM, en mayo <strong>de</strong> 2010. Des<strong>de</strong> entonces, los EEUU han estado<br />
encabezando el esfuerzo en la aplicación <strong>de</strong> una mejor doctrina y estrategia en ciberseguridad.<br />
Los esfuerzos militares para mejorar la protección <strong>de</strong> las organizaciones nacionales <strong>de</strong> seguridad<br />
y la industria <strong>de</strong> <strong>de</strong>fensa dieron fruto en julio <strong>de</strong> 2011 con la publicación <strong>de</strong> la primera “Estrategia<br />
para Operar en el Ciberespacio” <strong>de</strong>l DoD. En este documento <strong>de</strong> estrategia, el DoD <strong>de</strong>lineaba su<br />
forma <strong>de</strong> abordar la ciberseguridad, que llamaba “ciber<strong>de</strong>fensa activa”. Este proceso proporciona<br />
“una capacidad sincronizada, en tiempo real, para <strong>de</strong>scubrir, <strong>de</strong>tectar, analizar y mitigar amenazas<br />
o vulnerabilida<strong>de</strong>s… utilizando sensores, software e información para <strong>de</strong>tectar y <strong>de</strong>tener actividad<br />
maliciosa antes <strong>de</strong> que pueda afectar a las re<strong>de</strong>s y sistemas <strong>de</strong>l DoD”. Se acepta que el perímetro <strong>de</strong><br />
seguridad invariablemente será abierto, pero se espera que los atacantes sean ralentizados una vez<br />
entren, utilizando fuerzas <strong>de</strong> apoyo para i<strong>de</strong>ntificar, aislar y eliminar las amenazas antes <strong>de</strong> que se<br />
exfiltren datos importantes o se infrinjan enormes daños.<br />
Al mismo tiempo, un sistema menos robusto se está extendiendo en el sector privado mediante<br />
un PPP enfocado a compartir información. Cuando anunciaba el programa en junio <strong>de</strong> 2011, Lynn<br />
dijo que el DoD, junto con el Department of Homeland Security, había “establecido un programa<br />
piloto con un puñado <strong>de</strong> compañías <strong>de</strong> <strong>de</strong>fensa para proporcionar una protección más sólida a sus<br />
re<strong>de</strong>s. En este Defense Industrial Base [DIB] Cyber Pilot, el [DoD] está compartiendo información<br />
clasificada con contratistas <strong>de</strong> <strong>de</strong>fensa, o sus proveedores comerciales <strong>de</strong> servicios <strong>de</strong> internet,<br />
acerca <strong>de</strong> amenazas, junto con los conocimientos para emplearla en re<strong>de</strong>s <strong>de</strong> <strong>de</strong>fensa”. Añadió que<br />
el DIB no monitorizaría, interceptaría o almacenaría ninguna comunicación <strong>de</strong>l sector privado y que<br />
el programa era “voluntario para todos los participantes”.<br />
Aunque los participantes no fueron mencionados oficialmente, el Washington Post informó que<br />
los contratistas <strong>de</strong> <strong>de</strong>fensa implicados en el DIB Cyber Pilot incluían a Lockheed Martin, Computer<br />
Sciences Corporation (CSC), SAIC y Northrop Grumman.<br />
Hacia agosto <strong>de</strong> 2011 Lynn confirmó que el DIB Cyber Pilot había “<strong>de</strong>tenido ya cientos <strong>de</strong><br />
intentos <strong>de</strong> intrusiones” y “parecía ser rentable”. Sobre esas bases dijo que el DIB Cyber Pilot se<br />
ampliaría “al resto <strong>de</strong> la base industrial, así como a otras áreas clave <strong>de</strong> infraestructura critica”.<br />
Hay una clara necesidad <strong>de</strong> exten<strong>de</strong>r el conocimiento y uso <strong>de</strong>l programa DIB Cyber Pilot. El<br />
Cdr Walker comentó a Jane’s que “realmente no hay ningún mecanismo coordinado para proteger<br />
el entorno comercial”.