Políticas Nacionales de Controles Criptográficos
Este artículo se ocupa de las políticas nacionales de controles criptográficos, de la seguridad informática y de la ciberseguridad, a nivel gubernamental.
Políticas Nacionales de Controles Criptográficos
En inglés: National Cryptographic Controls Policies.
La criptografía es una disciplina que engloba los principios, medios y métodos para la transformación de los datos con el fin de ocultar su contenido informativo, establecer su autenticidad, impedir su modificación no detectada, evitar su repudio y/o impedir su uso no autorizado. Es uno de los medios tecnológicos para proporcionar seguridad a los datos en los sistemas de información y comunicaciones. La criptografía puede utilizarse para proteger la confidencialidad de los datos, como los financieros o los personales, tanto si están almacenados como en tránsito. La criptografía también puede utilizarse para verificar la integridad de los datos, revelando si han sido alterados e identificando a la persona o el dispositivo que los ha enviado. Estas técnicas son fundamentales para el desarrollo y la utilización de las redes y tecnologías de la información y las comunicaciones nacionales y mundiales, así como para el desarrollo del comercio electrónico.
El propósito de la criptografía es proporcionar confidencialidad, integridad, autenticación y no repudio de los datos. De este modo, la confidencialidad protege los datos haciéndolos ilegibles para todas las entidades excepto las autorizadas, la integridad protege los datos de la manipulación accidental o deliberada por parte de las entidades, la autenticación garantiza que una entidad es quien dice ser, y el no repudio proporciona la prueba de que una entidad realizó una acción concreta.
Actividades nacionales e internacionales relevantes relacionadas con la política de criptografía
En los últimos años se han aplicado leyes de protección de datos y privacidad en varios países y en la Unión Europea. La Directiva [95/46/CE] del Parlamento Europeo y del Consejo de la Unión Europea, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por ejemplo, exige la aplicación de medidas técnicas y organizativas adecuadas para proteger los datos personales contra la pérdida accidental, la alteración o la difusión o el acceso no autorizados, en particular cuando los datos se transmiten a través de una red. Esta Directiva suscita preocupaciones específicas en el debate sobre la política de criptografía, ya que ésta es un medio importante para proteger la confidencialidad de los datos.
Los productos y tecnologías criptográficos han estado históricamente sujetos a controles de exportación. La base actual de los controles de exportación es el Acuerdo de Wassenaar sobre el control de las exportaciones de armas convencionales y de bienes y tecnologías de doble uso (acordado el 13 de julio de 1996), que incluye los productos criptográficos en sus listas de control para la exportación. El Acuerdo se aplica en los reglamentos nacionales. El Reglamento [(CE)3381/94] y la Decisión [94/942/PESC] del Consejo de la Unión Europea, de 19 de diciembre de 1994, sobre el control de la exportación de productos de doble uso, también son aplicables a la exportación de productos de criptografía. Algunos Estados individuales han impuesto otros controles específicos a dichas exportaciones, que son objeto de un debate continuo.
El Consejo de Europa ha dedicado considerables recursos a estudiar el tema de los delitos informáticos, emitiendo la Recomendación [R(95)13] del Consejo de Europa de 11 de septiembre de 1995 relativa a los problemas de derecho procesal penal relacionados con la tecnología de la información, y está considerando la posibilidad de sugerir una convención internacional para abordar la cuestión. Dicha convención podría abordar cuestiones como el intercambio de información entre organismos gubernamentales en casos que impliquen el uso de criptografía.
En la reunión de la Cumbre del G7 sobre la lucha contra el terrorismo, celebrada en julio de 1996, los gobiernos del G7 anunciaron que se acelerarían las consultas, "en los foros bilaterales o multilaterales apropiados, sobre el uso de la criptografía que permita, cuando sea necesario, el acceso legal del gobierno a los datos y las comunicaciones con el fin, entre otras cosas, de prevenir o investigar actos de terrorismo, protegiendo al mismo tiempo la privacidad de las comunicaciones legítimas".
La Influencia de las Criptomonedas tras la Victoria de Trump
La Influencia de las Criptomonedas tras la Victoria de Trump
En mayo de 1996, la Junta de Ciencias Informáticas y Telecomunicaciones del Consejo Nacional de Investigación de Estados Unidos publicó el informe "Cryptography's Role in Securing the Information Society" (El papel de la criptografía en la seguridad de la sociedad de la información). Este estudio interinstitucional evalúa el efecto de las tecnologías criptográficas en la seguridad nacional, la aplicación de la ley y los intereses comerciales y de privacidad de EE.UU., y revisa el impacto de los controles de exportación de las tecnologías criptográficas. Este autorizado informe proporciona una revisión exhaustiva de los problemas de política criptográfica a los que se enfrenta el Gobierno de EE.UU.
Sin embargo, ninguno de estos esfuerzos ha intentado abordar de forma exhaustiva la política criptográfica internacional, ni identificar los diversos intereses que deben equilibrarse en el contexto de la política criptográfica internacional. En este ámbito, estas Directrices de la OCDE para la Política de Criptografía pretenden ser una ayuda para los países miembros al plantear estas cuestiones para su consideración.
Protección de la intimidad
El respeto a la privacidad y la confidencialidad de la información personal son valores importantes en una sociedad democrática. Sin embargo, la privacidad está ahora en mayor riesgo porque en la emergente infraestructura de la información y las comunicaciones ni las redes abiertas, ni muchos tipos de redes privadas, fueron diseñadas teniendo en cuenta la confidencialidad de las comunicaciones y el almacenamiento de datos. Sin embargo, la criptografía constituye la base de una nueva generación de tecnologías que mejoran la privacidad. El uso de una criptografía eficaz en un entorno de red puede ayudar a proteger la privacidad de la información personal y el secreto de la información confidencial. La falta de uso de la criptografía en un entorno en el que los datos no son completamente seguros puede poner en riesgo una serie de intereses, como la seguridad pública y la seguridad nacional. En algunos casos, como cuando la legislación nacional exige el mantenimiento de la confidencialidad de los datos, o la protección de las infraestructuras críticas, los gobiernos pueden exigir el uso de criptografía de una fuerza mínima.
Al mismo tiempo, el uso de la criptografía para garantizar la integridad de los datos en las transacciones electrónicas también puede tener implicaciones para la privacidad. El uso de las redes para todo tipo de transacciones generará cada vez más cantidades ingentes de datos que pueden ser almacenados, analizados y reutilizados de forma fácil y barata. Cuando estas operaciones requieran una prueba de identidad, los datos transaccionales dejarán rastros detallados y quizás irrefutables de la actividad comercial de un individuo, así como pintarán un cuadro de las actividades privadas y no comerciales, como las asociaciones políticas, la participación en debates en línea y el acceso a tipos específicos de información en bibliotecas en línea u otras bases de datos. El proceso de certificación de claves también tiene implicaciones para la privacidad, ya que se pueden recoger datos cuando una autoridad de certificación vincula a un individuo con un par de claves.
Acceso legal
Una cuestión crítica que presenta la criptografía -quizás el aspecto más debatido de la criptografía y el que más probablemente conduzca a políticas nacionales dispares- es el conflicto percibido entre la confidencialidad y la seguridad pública. Si bien el uso de la criptografía es importante para la protección de la privacidad, puede ser necesario considerar mecanismos apropiados para el acceso legal a la información cifrada. Por ejemplo, en muchos países, las fuerzas del orden pueden acceder legalmente a los datos almacenados o interceptar las comunicaciones (o ambas cosas) en determinadas condiciones. Ambas herramientas importantes para la aplicación de la ley podrían verse limitadas por el uso de la criptografía, que puede impedir el acceso legal al texto plano o a las claves criptográficas de los datos cifrados. En algunos casos, la encriptación de los datos almacenados puede hacer imposible el acceso de las fuerzas del orden, mientras que en otros casos, se puede acceder legalmente a los datos en otro lugar (como obtener los registros financieros de un banco en lugar del ordenador de casa de una persona), o se podría obtener la clave para desencriptar los datos. Para los países que permiten cualquiera de las dos técnicas, resulta políticamente difícil equilibrar las preocupaciones por la protección de la intimidad y la confidencialidad de la información empresarial con las necesidades de las fuerzas del orden y la seguridad nacional.
Además, la necesidad de acceso de terceros no se limita a los gobiernos. Los particulares y las empresas también pueden necesitar acceder a la información encriptada: por ejemplo, si el titular de una clave muere dejando la información encriptada pero sin la clave para desencriptarla, o si un empleado que ha encriptado un archivo dimite sin dejar información sobre la clave de desencriptación. Los individuos o las empresas que encriptan datos pueden desear almacenar una copia de las claves criptográficas en un depósito que permita el acceso legal en tales casos.
Es importante tener en cuenta la diferencia entre las claves criptográficas que se utilizan para la confidencialidad y las que se utilizan únicamente con fines de autenticación, integridad de los datos y no repudio. El problema del acceso lícito a las claves criptográficas es más relevante en el contexto de la criptografía utilizada para mantener la confidencialidad de los datos, donde se oculta la información. La criptografía utilizada únicamente para autenticar o garantizar la integridad de los datos no oculta necesariamente la información, sino que se limita a verificar los datos. En este caso, la propia información puede estar disponible, o los datos podrían obtenerse legalmente de otra manera, por lo que no sería necesario acceder a la clave privada. Una implicación importante de las claves privadas utilizadas únicamente para la autenticación o para garantizar la integridad de los datos es que cuando dicha clave se ve comprometida es posible la "suplantación electrónica". Dado que las claves públicas están diseñadas para ser de dominio público, estas cuestiones no suelen aplicarse al acceso a las claves públicas.
Si hay que preservar el acceso legal, no está claro cómo debe hacerse exactamente. Los gobiernos están siguiendo diferentes enfoques y están buscando soluciones innovadoras de la industria. Un enfoque que podría sentar las bases de una posible solución para equilibrar los intereses de los usuarios y de las autoridades policiales consistiría en utilizar un sistema de gestión de claves en el que una copia de la clave criptográfica privada utilizada con fines de confidencialidad se "almacenaría" en un "tercero de confianza" (TTP) . Otros enfoques podrían facilitar el acceso de terceros legales al texto plano de los datos cifrados. Entre la variedad de enfoques, algunos también podrían utilizarse para recuperar los datos cuando se pierdan las claves. Una vez más, es importante reconocer la distinción entre las claves que se utilizan para proteger la confidencialidad y las que se utilizan únicamente para otros fines. Las claves que se utilizan con fines de autenticación, verificación de la integridad de los datos y no repudio no estarían sujetas a los mismos tipos de acceso legal por parte de terceros.
En este contexto, otras cuestiones que pueden tener que abordarse son dónde se almacenarán las claves, a quién se le permitirá tenerlas y cuáles serán las responsabilidades y las obligaciones de los poseedores de las claves. Estos sistemas de almacenamiento de claves son distintos de las infraestructuras de clave pública para la certificación de claves públicas - otro tipo de servicio de confianza que podría proporcionar una TTP - aunque ambos servicios podrían combinarse.
Responsabilidad
Como muchas cosas en la vida, las tecnologías de la información y las comunicaciones no siempre funcionan a la perfección: los cortafuegos pueden fallar a la hora de mantener alejados a los intrusos, las redes pueden averiarse, los routers pueden enviar datos a un destino equivocado. Además, el error humano también puede influir, por ejemplo cuando se borran datos por error o no se mantienen secretas las contraseñas. En el contexto de la criptografía, un fallo en el sistema o un error humano que provoque que las claves criptográficas se vean comprometidas puede tener consecuencias importantes y de gran alcance, ya que la criptografía más sólida se vuelve ineficaz si las claves se ven comprometidas. Si las claves criptográficas se ven comprometidas, los usuarios deben asumir que sus datos cifrados ya no son seguros y corren el riesgo de que se falsifiquen documentos o transacciones en su nombre. Si una autoridad de certificación se ve comprometida, las consecuencias pueden ser catastróficas. Además, el proceso de revocación de claves y certificados de claves puede ser complicado.
El manejo seguro de las claves es muy importante tanto para los usuarios individuales como para las organizaciones; los sistemas de gestión de claves suelen tener procedimientos estrictos para proteger y supervisar el uso de las claves para evitar que éstas se vean comprometidas. Sin embargo, si estas prácticas fallan y las claves se ven comprometidas, es importante saber qué partes deben asumir la responsabilidad y hasta qué punto pueden ser consideradas responsables de las repercusiones. Esta cuestión es especialmente importante para los servicios de gestión de claves o los terceros de confianza, que guardan o acceden a claves criptográficas en nombre de otros, dado el importante impacto de la responsabilidad si sus sistemas se ven comprometidos. El establecimiento de disposiciones en materia de responsabilidad puede abordarse tanto por contrato como por legislación, a nivel individual o gubernamental. Además, puede ser importante considerar las implicaciones de la responsabilidad tanto a nivel nacional como internacional.
Cooperación internacional
El flujo cada vez más global de datos en las redes de información y comunicación pone de manifiesto la necesidad de un enfoque de cooperación internacional para abordar estas cuestiones. La aplicación de los regímenes jurídicos existentes se basa en fronteras definidas geográficamente, pero en el entorno de red emergente, la información y las transacciones comerciales pueden moverse libremente a través de las fronteras nacionales y jurisdiccionales. Al elaborar las estrategias nacionales y diseñar las estructuras reguladoras de la infraestructura de la información, incluidas las relativas a la criptografía, todos los gobiernos están reconociendo que el impacto de estas actividades se extenderá, en muchos casos, mucho más allá de sus fronteras.
Las políticas nacionales dispares pueden perjudicar el desarrollo de las redes y tecnologías mundiales, obligando a utilizar numerosos productos, posiblemente incompatibles, para comunicarse y realizar transacciones comerciales, cuando uno solo podría ser suficiente. Un entorno así también puede crear barreras al comercio internacional. Dada la naturaleza intrínsecamente global del desarrollo de las redes de información y comunicaciones y las dificultades para definir y hacer cumplir los límites jurisdiccionales en este entorno, estas cuestiones pueden abordarse de forma más eficaz mediante la consulta y la cooperación internacionales. Esto es especialmente relevante en el caso de la criptografía.
Uso de la encriptación
El cifrado de los datos en reposo puede utilizarse para proteger los datos sensibles o clasificados almacenados en los equipos y soportes de las TIC. Además, el cifrado de datos en tránsito puede utilizarse para proteger los datos sensibles o clasificados comunicados a través de la infraestructura de redes públicas. Sin embargo, cuando una organización utiliza el cifrado para los datos en reposo o en tránsito, no está reduciendo la sensibilidad o la clasificación de los datos, simplemente está reduciendo las consecuencias inmediatas de que un adversario acceda a los datos.
Normas internacionales para los módulos criptográficos
La Organización Internacional de Normalización (ISO)/Comisión Electrotécnica Internacional (IEC) 19790:2012, Tecnología de la información - Técnicas de seguridad - Requisitos de seguridad para módulos criptográficos, y la ISO/IEC 24759:2017, Tecnología de la información - Técnicas de seguridad - Requisitos de prueba para módulos criptográficos, son normas internacionales para el diseño y la validación de módulos criptográficos de hardware y software.
En la OCDE
Los países miembros de la OCDE se han comprometido a desarrollar y aplicar políticas y leyes relativas a la criptografía; en muchos países, éstas aún están en proceso de desarrollo. Las disparidades en las políticas pueden crear obstáculos a la evolución de las redes nacionales y mundiales de información y comunicaciones y dificultar el desarrollo del comercio internacional. Los gobiernos de los países miembros han reconocido la necesidad de un enfoque coordinado a nivel internacional para facilitar el desarrollo sin problemas de una infraestructura de información eficaz y segura. La OCDE desempeña un papel en este sentido al desarrollar un consenso sobre cuestiones políticas y reglamentarias específicas relacionadas con las redes y tecnologías de la información y las comunicaciones, incluidas las cuestiones de criptografía.
La OCDE lleva tiempo trabajando en los ámbitos de la privacidad y la protección de datos y la seguridad de los sistemas de información. A principios de 1996, la OCDE inició un proyecto sobre política de criptografía mediante la creación del Grupo Ad hoc de Expertos en Directrices de Política de Criptografía (Grupo Ad hoc) bajo los auspicios del Comité de Política de Información, Informática y Comunicaciones (ICCP). El Grupo Ad hoc, bajo la presidencia del Sr. Norman Reaburn, del Departamento del Fiscal General de Australia, se encargó de redactar unas Directrices para la Política de Criptografía (Directrices) con el fin de identificar las cuestiones que deberían tenerse en cuenta en la formulación de las políticas de criptografía a nivel nacional e internacional. El Grupo ad hoc tenía un mandato de un año para llevar a cabo esta tarea y concluyó su trabajo en diciembre de 1996. Posteriormente, las Directrices se adoptaron como Recomendación del Consejo de la OCDE el 27 de marzo de 1997.
La ciberseguridad y la criptografía nacional en Brasil
En la reglamentación y el control de los poderes ejecutivo y legislativo nacionales
El año es 2008. Fue la primera vez que la estrategia de defensa nacional brasileña reconoció el ciberespacio como uno de los dominios estratégicos para la defensa y la seguridad nacional del país. En ese momento, los ciberataques se hacían notorios y reflejaban cada vez más las tensiones geopolíticas. Un año antes, Estonia había sufrido un importante ciberataque por parte de Rusia, al que siguieron otros ataques rusos en Georgia. No tan diferente de la creciente preocupación mundial por la ciberseguridad y la criptografía, Brasil (como algunos otros países) había comenzado entonces a ser testigo de lo que se convertiría en una década de desarrollos institucionales fundamentales destinados a consolidar una arquitectura para la ciberseguridad y la criptografía de elaboración y control ejecutivo nacional dentro del gobierno federal y una agenda nacional de ciberseguridad y criptografía informada por las preocupaciones con las amenazas externas, las "guerras cibernéticas" y el problema de terrorismo existente en el país. Estas preocupaciones iniciales serían sustituidas posteriormente por un énfasis en la lucha contra la ciberdelincuencia y la propaganda digital, pero no antes de legar un conjunto de disposiciones y organizaciones institucionales que han pasado a formar parte de la infraestructura cibernética del gobierno. Al mismo tiempo, el legado institucional de este periodo llegó a coexistir e interactuar con las organizaciones no gubernamentales existentes que se ocupan de la respuesta técnica a los incidentes cibernéticos y del desarrollo de la política de Internet.
¿Cómo se ha producido este cambio? ¿Cómo surgió el ecosistema brasileño de ciberseguridad y criptografía y cómo podemos dar sentido a los cambios en el panorama de las ciberamenazas en la última década? Además, ¿cómo podemos dar sentido a estos cambios a nivel institucional, dentro del gobierno federal? Al plantear estas preguntas, este texto ofrece una visión general del estado del arte de la normativa y el control de los poderes ejecutivo y legislativo nacionales en materia de ciberseguridad y criptografía en Brasil, presentando un complejo panorama de actores e instituciones responsables de la respuesta a incidentes cibernéticos, la política cibernética, la seguridad de la información y las estrategias de ciberdefensa del país. Señala los desafíos actuales a los que se enfrentan las instituciones y los actores que trabajan con la ciberseguridad y la criptografía en Brasil (al igual que en algunos otros países), incluyendo un desajuste persistente entre la percepción de la amenaza y la respuesta, y una falta de acción concertada entre la variedad de organismos gubernamentales y no gubernamentales. La reglamentación y el control ejecutivo nacional de la ciberseguridad y la criptografía en Brasil (como en algunos otros países) se caracteriza por una tensión continua entre las respuestas aisladas a las amenazas y los intentos de acción concertada, lo que afecta sustancialmente a la eficacia y la coherencia de las estrategias existentes frente a las amenazas reales, además de dificultar una colaboración amplia fuera de los nichos ya establecidos que comparten una comprensión similar de las amenazas.
Ciberseguridad y criptografía en Brasil
Los riesgos de gestión
La ciberseguridad y la criptografía surgieron como una preocupación nacional en Brasil (como en algunos otros países) tras las profundas transformaciones derivadas de la digitalización de las infraestructuras, la sociedad, la economía y la política. Entre 2008 y 2017, la tasa de penetración digital del país pasó del 18 al 61% (según datos de TIC Domicílios, 2018), las instituciones financieras se han vuelto totalmente digitales con más de 604 start-ups financieras en todo el país (FintechLab, 2019), y los medios sociales han alcanzado un papel central en la creación y mediación de la opinión pública - con más de 120 millones de usuarios en Brasil. Por otra parte, los informes del Equipo Nacional Brasileño de Respuesta a Emergencias Informáticas (CERT.br) destacan que el número de incidentes registrados aumentó de 3.107 en 1999 a 833.775 en 2017 - alcanzando su pico en 2014, con más de un millón de incidentes reportados. Estos incidentes incluyen ataques de denegación de servicio distribuidos (DDoS), invasiones informáticas, escaneos, gusanos, fraudes y ataques web.
Entender qué riesgos cibernéticos se establecen, se priorizan y cómo alimentan las respuestas institucionales a las amenazas percibidas es fundamental para la tarea de trazar la arquitectura de la seguridad cibernética y la criptografía de la normativa y el control de los poderes ejecutivo y legislativo nacionales en Brasil, entre otras cosas porque nos dicen qué tipo de escenario institucional se prioriza como el más adecuado para responder a las amenazas que se avecinan. Así, por ejemplo, un enfoque en la guerra cibernética podría llevar a un protagonismo de las doctrinas y los razonamientos militares como respuestas adecuadas y, por lo tanto, a una asignación de recursos a los actores militares u orientados a la defensa. Del mismo modo, un enfoque en las "amenazas domésticas", es decir, el hacktivismo local y el activismo político en línea, o en la "ciberdelincuencia", podría fomentar una mayor inversión en capacidades de inteligencia, vigilancia o investigación dentro del panorama institucional actual o incluso llevar a la creación de nuevas organizaciones e instituciones.
Los riesgos son significativamente distintos de las amenazas, a pesar de que ambos están profundamente entrelazados cuando se trata de la seguridad (National Research Council, 1991). Mientras que las amenazas sugieren la existencia, presente o in potentia, de algo que puede explorar una vulnerabilidad, causar daños o destruir un activo; el riesgo se refiere a la posibilidad de que una amenaza cause efectivamente destrucción o daños. Es decir, los riesgos se asocian a las amenazas en su potencial, apuntando siempre hacia un futuro (inmediato o no). Definir los riesgos es una acción normativa que se apoya en la movilización de una "gramática del riesgo" que busca desencadenar acciones para prevenir la ocurrencia o mitigar los impactos relacionados con un riesgo particular. El riesgo es una llamada a la acción (tanto material como discursiva) ante la incertidumbre.
Los riesgos y las amenazas se construyen cultural e históricamente. No sólo son mutables a través del tiempo y el espacio, sino que dependen y responden más íntimamente a los cambios en el contexto político. Esto es importante, ya que nos proporciona al menos dos consideraciones que informan el análisis de las nociones de riesgo que compiten entre sí en Brasil. En primer lugar, nos permite considerar quién puede "llamar a la acción": identificar los riesgos o definir las prioridades. En segundo lugar, sitúa la noción de riesgos y amenazas en un horizonte más amplio de dinámicas políticas, sociales y económicas. Así, el ejercicio de entender los riesgos cibernéticos en Brasil (como en algunos otros países) no debería limitarse a las acciones y/o estrategias de mitigación (como la reparación, el mantenimiento y la gestión de las infraestructuras). Más bien, deberíamos considerar también cómo se negocian estas prioridades y se movilizan los recursos dentro de este contexto cultural y político.
Brasil acogió cinco "megaeventos" en un periodo de cuatro años, empezando por la Conferencia Río+20 para el Desarrollo Sostenible en 2012 y cerrando con los Juegos Olímpicos en 2016. La inminencia de los llamados "megaeventos" en el país, es decir, eventos internacionales de gran envergadura que se caracterizan por la atracción de visitantes a gran escala, una importante difusión en los medios de comunicación, elevados costes y grandes transformaciones en la infraestructura urbana, el medio ambiente y la población, suscitó una gran preocupación sobre cuáles serían las principales fuentes de amenazas para la infraestructura de Internet del país. La literatura académica ha señalado que estos acontecimientos actúan como momentos clave para la transformación de la seguridad pública de la normativa y el control de los poderes ejecutivo y legislativo nacional.
Acontecimientos consecutivos, como la Copa Confederaciones, el Mundial de Fútbol y los Juegos Olímpicos, impulsaron respuestas preparatorias por parte del gobierno federal, que culminaron con la creación de organizaciones e instituciones que se sumarían a la floreciente infraestructura de Internet. Aquí exploramos dos dimensiones del panorama de las amenazas en los años posteriores a 2012.
La primera dimensión del panorama de las amenazas a la ciberseguridad y la criptografía del ejecutivo nacional en Brasil (como en algunos otros países) fue la de combatir e identificar las amenazas externas. Entre los años 2012 y 2014 la principal preocupación nacional giraba en torno a las amenazas de baja probabilidad y alto impacto, como la ciberguerra y el ciberterrorismo. La percepción temprana de los riesgos cibernéticos estuvo sustancialmente influenciada por las -entonces- "nuevas" amenazas a la seguridad del Estado en el ciberespacio. La conciencia de estas amenazas se intensificó por la cobertura mediática y los debates académicos centrados en acontecimientos internacionales como los ciberataques contra Georgia (2008) y Estonia (2007) y el descubrimiento del gusano Stuxnet en la planta nuclear iraní de Natanz (2010. El alarmismo respecto a la inminencia de una ciberguerra y la amenaza ciberterrorista aumentó considerablemente en este periodo. No sólo eclipsó el debate público a las verdaderas amenazas de alto riesgo para la ciberseguridad y la criptografía -como el fraude, la ciberdelincuencia, la violación de datos y el robo-, sino que también elevó a la agenda política las ambiguas nociones de ciberguerra y terrorismo con poca claridad conceptual.
Esta ambigüedad proporciona un terreno fértil para la redefinición y la contestación de las líneas rojas. Algunos responsables políticos de Brasil (como de otros países), por ejemplo, han destacado que el acceso no autorizado a información sensible del gobierno debe configurarse como un acto de guerra (Senado Federal, 2012). Según la Política Nacional de Ciberdefensa, la ciberguerra se define como el uso de un conjunto de medidas ofensivas y defensivas para negar, explorar, corromper y destruir los valores del adversario a través de la información, los sistemas de información y los ordenadores. En aquel momento, principalmente en 2012, la preocupación -al menos, discursivamente- era la de las capacidades, es decir, lo preparado que estaba el gobierno para hacer frente al ciberterrorismo y a la ciberguerra, a pesar de que ambos no eran amenazas concretas ni inminentes para el país. También fue una época en la que el ciberterrorismo llegó a los principales titulares de los medios de comunicación internacionales, con los primeros relatos del Estado Islámico y su uso de las herramientas de las redes sociales para el reclutamiento terrorista global.
A diferencia de los países occidentales, el ciberterrorismo va a la zaga como preocupación de seguridad nacional en Brasil (como en algunos otros países) y el país no se ha enfrentado a amenazas terroristas sustanciales en su historia. Muchos estudiosos han argumentado que el desajuste entre la amenaza terrorista percibida o la expectativa de una potencial guerra cibernética son indicadores de la securitización del ciberespacio por parte del Estado. A pesar de ello, más recientemente, los debates sobre el ciberterrorismo han vuelto gradualmente a la agenda política, ya que el Senado de Brasil (como en algunos otros países) discute una nueva ley antiterrorista que pretende incorporar Internet como una dimensión de los medios y expresiones del terrorismo (informe del Senado Federal, 2017).
Según el gobierno, tanto la seguridad de la información como la ciberseguridad y la criptografía se están convirtiendo en una prioridad para las funciones estratégicas del Estado. Esto incluye la protección de las infraestructuras críticas, la información, los derechos individuales como la privacidad y la soberanía nacional. A partir de artículos periodísticos e informes de empresas de seguridad informática (Kaspersky, 2017; Symantec, 2019), algunos estudios ilustran la probabilidad y el impacto de los eventos cibernéticos que más se destacaron durante el período de megaeventos en el país, teniendo como referencia el marco de defensa nacional que guió la mayoría de los debates en este período. Como se muestra, considera como ataques de alto impacto aquellas acciones que probablemente podrían resultar en la pérdida de vidas humanas, información gubernamental sensible o inestabilidad política.
La literatura analizó el panorama de las ciberamenazas en Brasil entre 2012 y 2015 (como en algunos otros países) desde la perspectiva del sector de la defensa nacional. Replica la "perspectiva" de las instituciones de defensa nacional, incluyendo sus caracterizaciones y priorizaciones de las amenazas. El análisis divide el riesgo de que se produzca una ciberamenaza a lo largo de dos ejes: el eje horizontal comprende el impacto esperado de dicho riesgo, que va de "bajo" a "alto", mientras que el vertical comprende la probabilidad de que se produzca un riesgo y también va de "bajo" a "alto". Definir si un riesgo es de probabilidad/impacto bajo/alto depende de la frecuencia estimada del evento, por un lado, y de su pérdida financiera, económica, de información o humana esperada, por otro.
En cuanto al impacto, la gravedad de un riesgo depende del número de personas a las que afectaría (y de su gravedad) y, en cuanto a la probabilidad, depende de la probabilidad de que ocurra, siempre que se disponga de las mejores pruebas en el momento en que se realice este juicio. Los sucesos de alto impacto tendrían que afectar a poblaciones enteras y causar grandes daños (miles de víctimas mortales, comprometer infraestructuras sanitarias y de suministro/transporte críticas o suponer un gran peligro para la seguridad nacional), en contraste con los sucesos de bajo impacto cuyos daños pueden incluir pérdidas financieras limitadas, molestias menores y la suspensión temporal de servicios no esenciales. Que la probabilidad de un suceso sea alta o baja depende de la frecuencia con la que se produzca.
Sin embargo, si cambiamos el punto de referencia al sector del mercado y consideramos los principales impactos en términos de costes financieros, el resultado cambia sustancialmente.
Este cambio sugiere que la priorización de un grupo de riesgos asociados a las amenazas a la defensa nacional ha moldeado sustancialmente los esfuerzos para crear y/o establecer respuestas adecuadas a los mismos. En un primer momento, la arquitectura de regulación y control de los poderes ejecutivo y legislativo nacionales de Brasil en materia de ciberseguridad y criptografía se ajustó para responder a las amenazas de alto impacto y baja probabilidad, en parte como estrategia para hacer frente a la atención internacional recibida durante los Juegos Olímpicos y la Copa del Mundo, y en parte como continuación de una tendencia a centrar las cuestiones militares y de defensa nacional en el ciberespacio (es decir, la ciberguerra y el ciberterrorismo).
Aunque las amenazas externas como la ciberguerra y el terrorismo caracterizan la perspectiva gubernamental predominante en los primeros años de los "megaeventos", en particular en 2012 y 2013, está lejos de retratar el panorama de riesgos en su totalidad. Además de los debates sobre la ciberguerra de finales de la década de 2000, un importante motor de riesgo durante 2014 fue precisamente el impacto de las revelaciones sobre la vigilancia masiva de Estados Unidos y la forma en que ésta se dirigía a las instituciones brasileñas. Las revelaciones de Snowden hicieron aflorar grandes preocupaciones con respecto a la injerencia y el espionaje extranjeros, así como dieron lugar a un compromiso de liderazgo político directo por parte de la ex presidenta Dilma Rousseff tras haber sido objeto de vigilancia por parte del gobierno estadounidense. También le siguieron respuestas políticas y estratégicas clave, como:
la aprobación de la Carta de Derechos de Internet de Brasil,
la organización de NetMundial (que fue un evento internacional para el avance de una normativa y control ejecutivo nacional de Internet respetuoso con los derechos y con múltiples partes interesadas que se celebró en abril de 2014 tras las revelaciones de Snowden) en São Paulo; y
la elevación de la privacidad y la seguridad como aliados en la agenda política nacional.
Sin embargo, poco después, la inestabilidad política se introdujo a medida que el país se acercaba a sus elecciones presidenciales a finales de 2014, abriendo espacio a una importante crisis política y económica que más tarde condujo a la destitución de la presidenta brasileña Dilma, en 2016. Durante este periodo, las oleadas de protestas en todo el país preanunciaron un cambio en el panorama de riesgos, pasando de las amenazas externas a las predominantemente internas. La creciente polarización y el uso de los medios sociales crearon nuevas condiciones para la aparición de noticias falsas, delitos, denuncias y piratería informática como sinónimos de riesgos asociados a la ciberseguridad y la criptografía.
Aunque la inestabilidad política y económica contribuyó a que se prestara más atención a la política y a las amenazas internas, eventos paralelos como los Juegos Olímpicos de 2016 también reflejaron preocupaciones similares centradas en el ámbito interno. En la preparación del megaevento internacional, la agencia de inteligencia brasileña llamó la atención públicamente sobre el papel del hacktivismo como uno de los principales impulsores de posibles ataques. La preocupación del sector de la inteligencia por el hacktivismo antes de las Olimpiadas se basaba en la experiencia con los casos denunciados durante la Copa Confederaciones, en 2013, las masivas protestas callejeras del mismo año y el Mundial de 2014, cuando las páginas web del gobierno fueron desfiguradas con mensajes de motivación política.
Una dimensión siempre presente y, sin embargo, bastante olvidada en los debates sobre ciberseguridad y criptografía durante este periodo fue la ciberdelincuencia, caracterizada principalmente por las violaciones con motivación económica y mediada por ordenador, el robo de datos, el fraude y los delitos financieros (Kaspersky, 2017, entre otros). Los costes de la ciberdelincuencia en Brasil (al igual que en otros países) son especialmente alarmantes - McAfee estima que las pérdidas alcanzan aproximadamente los 10.000 millones de dólares - y el país ha sido el epicentro de una ola de ciberdelincuencia mundial. Ocupa el segundo lugar en pérdidas de consumidores por cibercrimen (Statista, 2019) y es el país más atacado de América Latina (Statista, 2019). Este escenario también debe leerse en el contexto de las innovaciones del sector bancario de Brasil y la creciente infraestructura de comercio electrónico. El país no sólo es uno de los primeros en adoptar la banca segura por Internet, sino también las tecnologías emergentes, como las biométricas. Según la Federación Brasileña de Bancos (FEBRABAN), el 40% de todas las transacciones realizadas en 2018, es decir, 31.300 millones, fueron únicamente a través de la banca móvil. Sin embargo, el hecho de ser la "vanguardia" de la transformación de la economía digital también conlleva una mayor superficie de ataque para los delitos, como los esquemas de fraude en línea que incluyen, aunque no se limitan a ello, la creación de páginas web bancarias falsas para atraer a los clientes a fin de que den información sensible.
Una dimensión reciente de los riesgos cibernéticos es el impacto de las campañas de desinformación en las instituciones democráticas brasileñas. Mientras que antes se incluía en las preocupaciones de la defensa nacional, los impactos de las tecnologías digitales en la estabilidad del régimen no fueron una fuente de preocupación durante el período de los "megaeventos" y la construcción institucional de la arquitectura de control y de elaboración de normas ejecutivas nacionales en materia de ciberseguridad y criptografía de Brasil. La atención se dirigió a este fenómeno después de la elección del presidente estadounidense Donald Trump y el escándalo de Cambridge Analytica y fomentó rápidamente la investigación sobre el impacto de la propaganda computacional en Brasil. Al igual que en el caso estadounidense, la dinámica de la desinformación en Brasil (como en algunos otros países) está estrechamente relacionada con la protección -o la falta de ella- de las bases de datos que contienen información personal de los usuarios.
La aparición de plataformas de medios sociales y de modelos de negocio centrados en la recopilación de la mayor cantidad de datos posible sobre el comportamiento de los usuarios para mejorar los servicios y permitir la publicidad dirigida a ellos ha potencializado la propaganda de una forma bastante imprevista. No sólo sirve como medio para la manipulación, las campañas de influencia y otros mecanismos para disputar y cambiar la opinión pública, sino que proporciona nuevas bases para que los líderes carismáticos se comuniquen con su público particular y lo identifiquen. A la luz de cómo se asocian estos medios a la elección del presidente de Brasil, Jair Bolsonaro, y su comunicación, es probable que en los próximos años se realicen evaluaciones en profundidad sobre el impacto y el alcance real de estos esfuerzos.
Además, la politización de la imagen del hacker y su constitución como agente investido políticamente ha caracterizado los recientes escándalos relacionados con la filtración de la correspondencia en línea entre los fiscales de la Operación Autolavado ("Lava Jato") (ver más este tema en esta plataforma), que investigó un escándalo de corrupción de alto perfil que involucra a representantes del gobierno y de las empresas. Como reacción a las acusaciones de parcialidad, ilegalidad y mala conducta judicial durante las investigaciones que culminaron con la condena del ex presidente de Brasil Luiz Inácio Lula da Silva, los fiscales, el ministro de Justicia y el presidente Jair Bolsonaro han cuestionado la autenticidad de los mensajes, sugiriendo que fueron pirateados y que, por lo tanto, eran ilegales.
Estos acontecimientos sugieren una continuación y posible profundización de las acciones y respuestas orientadas a una amenaza "interna". Es decir, la priorización de las amenazas y la consecuente asignación de recursos probablemente seguirán siguiendo la preocupación con la posibilidad de disrupción (técnica y política) causada por las acciones de la tan fantaseada amenaza del hacker y una ansiedad con el rastreo y monitoreo de los sujetos "disruptivos" en línea. En la práctica, esto se alinearía con un aumento de las capacidades de investigación y vigilancia de la Policía Federal, la ABIN y, posiblemente, la CDCiber. El encarcelamiento inmediato de cuatro personas por parte de la Policía Federal (dirigida por Sergio Moro) por el supuesto hackeo de teléfonos de las autoridades públicas podría ser indicativo de cómo la inversión en capacidades de investigación y vigilancia refuerza el papel de esta institución en particular.
Los fenómenos institucionales y políticos
La concienciación sobre las ciberamenazas ha sido impulsada, en buena parte del mundo, de forma significativa por:
las percepciones del sector militar sobre los incidentes internacionales de ciberseguridad y criptografía y el encuadre de la cuestión en términos de ciberguerra;
el aumento de los costes de la ciberdelincuencia; y
la preocupación por los ciberataques y el ciberterrorismo durante los años de los megaeventos.
Estos tres fenómenos influyeron en diferentes aspectos de lo que debería llamarse la "estrategia brasileña de ciberseguridad y criptografía". Oficialmente, no existe un documento único que unifique esta estrategia, como en el caso de EE.UU. o de muchos países de la UE; en su lugar, hay tres documentos básicos que resumen la estrategia nacional del país para hacer frente a las amenazas cibernéticas en Brasil: La Estrategia Nacional de Defensa de 2008, su revisión de 2012, la Estrategia Nacional de Seguridad de la Información de 2015 y la Política Nacional de Seguridad de la Información de 2019. Esta sección analiza la misma línea temporal de acontecimientos, sin embargo, parte de la comprensión de los desarrollos institucionales y normativos que apuntalaron y surgieron de los cambios en el panorama de los riesgos.
La preocupación por la ciberguerra, la vigilancia y otras amenazas extranjeras dio lugar a la inclusión del ciberespacio como uno de los sectores estratégicos clave en la Estrategia de Defensa Nacional de 2008. Este fue un paso significativo y quizás el momento fundacional para que surgiera una arquitectura nacional de ciberseguridad y criptografía bajo los auspicios del Ministerio de Defensa. El énfasis de este documento allanó el camino para que el gobierno creara una nueva cartera de actividades y proyectos que quedaría bajo la coordinación del Ministerio de Defensa y del Ejército brasileño.
El ascenso de la ciberseguridad y la criptografía dentro de la agenda nacional no fue meramente discursivo, sino que también condujo a una importante movilización de recursos. Esto no es una sorpresa, ya que algunas empresas y gobiernos tienen un interés político y económico (y expectativas de rentabilidad) en hacerse eco de las narrativas de la inminente amenaza cibernética. El Libro Blanco de la Defensa Nacional de 2012 estimó 900 millones de reales brasileños (aproximadamente 220 millones de dólares estadounidenses) en inversiones entre 2011 y 2035 para que el ejército estableciera un sistema de protección del ciberespacio nacional. Este presupuesto incluía además una lista de seis subproyectos, tres de los cuales se centraban en la implementación de:
el Centro Nacional de Ciberdefensa (CDCiber) brasileño,
el Comando de Ciberdefensa de las Fuerzas Armadas (ComDCiber) del país, y
la Escuela Nacional de Ciberdefensa.
Ese fue el mismo año en que el ejército acababa de crear el CDCiber y recibió un presupuesto plurianual de 370 millones para desarrollar un sistema nacional de ciberdefensa. Además, se asignaron 20 millones de reales únicamente para un centro integrado de ciberseguridad y criptografía para ese particular "megaevento".
La arquitectura institucional brasileña distingue las competencias de ciberseguridad y criptografía de las de seguridad de la información y ciberdefensa. Esta división sigue las competencias entre las diferentes ramas del gobierno federal, en particular porque incorpora distinciones militares-civiles (ciberseguridad y criptografía vs. ciberdefensa) y -institucionalmente- diferencia la seguridad de la infraestructura de comunicaciones (seguridad de la información) de la seguridad de las máquinas y los sistemas. En la práctica, esto significa atribuir la competencia de la ciberdefensa a las fuerzas armadas (CDCiber y ComDCiber) mientras se deja la seguridad de la información dentro de la responsabilidad institucional del gobierno federal a través del Gabinete de Seguridad Institucional (GSI) y la Agencia Brasileña de Inteligencia (ABIN).
El Gabinete de Seguridad Institucional brasileño es responsable de coordinar las actividades de seguridad de la información y de mantener el Centro de Respuesta a Incidentes de las redes gubernamentales (CTIRgov). Es el principal organismo encargado de desarrollar directrices, estrategias y políticas de seguridad de la información a nivel nacional. El Centro Nacional de Ciberdefensa de Brasil, por su parte, integra el Comando de Ciberdefensa (ComDCiber). Sus actividades clave son el análisis de riesgos, la detección automática de incidentes, el análisis de incidentes, la difusión de alertas y las recomendaciones estadísticas.
Trazar un mapa y profundizar en las diferentes instituciones surgidas en las dos últimas décadas sería un artículo en sí mismo. La literatura ofrece una representación de los sectores y competencias clave que componen actualmente el panorama más amplio de la ciberseguridad y la criptografía del ejecutivo nacional. Lo importante dentro de este panorama es comprender que, aunque las tendencias de securitización y las percepciones de amenazas externas predominantes han hecho que la inflación institucional de los organismos gubernamentales y de las fuerzas armadas sea pronunciada, operativa y estratégicamente, la ciberseguridad y la criptografía son mucho más amplias en el sentido de que implican esfuerzos de coordinación.
Esto fue evidente durante los "megaeventos" en los que diferentes organismos técnicos se unieron para establecer esfuerzos de coordinación e integración para responder a los ciberataques y las vulnerabilidades. Durante la Copa del Mundo de 2014, el Centro Nacional de Ciberdefensa de Brasil estableció un centro de operaciones con un órgano central de ciberdefensa encargado de coordinar 13 equipos dispersos en ciudades clave de todo Brasil. En 2015, los esfuerzos de colaboración continuaron mientras se preparaban para los Juegos Olímpicos del año siguiente. Sin embargo, paradójicamente, estos ejercicios y acciones se restringieron considerablemente a los organismos gubernamentales como la Policía Federal, la Agencia Nacional de Telecomunicaciones, la Agencia Nacional de Inteligencia y representantes específicos del mundo académico.
Aspectos estratégicos de la ciberseguridad nacional y la criptografía
Para comprender mejor la progresión de la normativa y el control de los poderes ejecutivo y legislativo nacionales en materia de ciberseguridad y criptografía en Brasil, separamos el desarrollo institucional en tres etapas. Se describen en el texto sobre criptografía y Seguridad de los Sistemas de Información.
Revisor de hechos: Lawi
Recursos
Véase También
Espionaje, Criptografía, Matemáticas aplicadas, Tecnología bancaria, Ciencias formales Codificación, Criptografía, Educación y Comunicación, Guía de la Nueva Tecnología Militar en el Derecho Internacional, Informática y Tratamiento de Datos, Medios de Comunicación, Tratamiento de Datos