menu image
AssuranceSecurityGovernanceMembers & LeadersProfessionals & PractitionersStudents & EducatorsExhibitors & Advertisers
menu shadow
Overview & History
What's New
Certification
Education & Conferences
Standards
Research
Publications
Chapters
Membership
Bookstore
Downloads
COBIT
Risk IT
Career Centre
spacer image
Print this page
spacer image

Home

Journal Volume 6, 2008 cover
 

JournalOnline
Cibercrimen y Ciberterrorismo:
Dos Amenazas Emergentes

Por Jeimy J. Cano, Ph.D., CFE
Volume 6, 2008
Download PDF
 

Al hablar de ciberterrorismo, Dan Verton comenta en su libro: “Esta es la nueva cara del terrorismo. Es un juego de inteligencia que aplica las tácticas violentas del viejo mundo a las realidades y vulnerabilidades de la nueva era tecnológica. (…) El terrorismo ahora implica atacar de forma indirecta, inteligente y bien planeada los tendones electrónicos de una nación.1 Si esta afirmación es cierta, estamos en un contexto donde los intrusos comienzan a superar sus propias fronteras, para considerar ahora a una nación como su objetivo de ataque; el ciberterror como evolución del terrorismo tradicional y el cibercrimen como la transformación de la delincuencia en medios informáticos y electrónicos.

De manera complementaria a lo expuesto por Verton, Rice2 hace lo propio para tratar de responder la pregunta: ¿Qué factores contribuyen a un crecimiento explosivo y exponencial de los ataques? Para ello establece cinco factores de análisis que tratan de dar respuesta a la pregunta y al mismo tiempo se plantean nuevas consideraciones que se integran a lo sugerido por Verton.

Factor No. 1—La velocidad es bendición y ruina.

Según el autor incrementar la velocidad en la cual la gente y los negocios pueden tener las cosas, facilita de manera rápida y eficiente los métodos para cometer delitos o crímenes conocidos como fraudes o robos, ahora de una nueva forma. Esta afirmación es interesante y refuerza una vez más que las inversiones en seguridad informática son inversamente proporcionales a los datos. Es decir, mientras más volátil es la tecnología, en cuanto a sus nuevas funcionalidades y rápida obsolescencia, más eficiente se vuelve el intruso para materializar sus acciones. El no conocer el desarrollo tecnológico y estar sometido a la curva de aprendizaje para dominarlo, son factores claves para avanzar en el reconocimiento de la inseguridad tanto en las aplicaciones como en los servicios que ofrecen las organizaciones a sus clientes.

Factor No. 2—Si el software hace más fácil y rápida la materialización de los delitos informáticos, la cantidad de dinero que se podría ganar en un mes, ahora sólo toma unos segundos.

Rice comenta que ahora nos enfrentamos al segundo factor, un simple incentivo financiero: ganar más dinero con menos esfuerzo. Es decir, la magnitud de las ganancias ilícitas, se están incrementando; existen cantidades enormes de dinero en forma electrónica que son susceptibles de fallas y asaltos que aún estamos por descubrir. Esta reflexión es desafiante y exigente al tiempo, si ahora los intrusos “saben” que requieren menos tiempo para tener dinero, pues la tecnología es su aliada, la pregunta es: ¿Qué estamos haciendo nosotros para hacerles la vida más difícil?

Factor No. 3—Otro factor que contribuye al explosivo crecimiento de los ataques es el volumen de vulnerabilidades reportadas en el software.

El autor afirma que estas vulnerabilidades ofrecen a los atacantes un sin fin de formas para explotar y vulnerar los sistemas de todos los tipos y sabores, desde aplicaciones corporativas como Oracle y PeopleSoft hasta computadores de uso en casa como Apple OS X y Windows. En este punto el autor dice que con este escenario, es difícil imaginar porqué no existen más personas involucradas con el cibercrimen. Si bien, este factor, no sólo requiere un reclamo a los proveedores del software y sus estrategias de aseguramiento de calidad de software, sino a nosotros los usuarios que “no reportamos” los eventos que puedan ser extraños o fuera del funcionamiento normal. Los atacantes se valen de nuestra “ignorancia” para avanzar y generar la incertidumbre requerida para que sus acciones pasen desapercibidas.

Factor No. 4—Las soluciones de seguridad para proteger el software de ciberataques son sustancialmente más complejas de configurar correctamente o requieren una importante cuota de “cuidado y alimentación” para asegurar su eficiencia.

El autor sugiere que la configuración y afinamiento permanente de los mecanismos de seguridad, particularmente habla de los firewalls, exige una complejidad propia del mismo y conocimiento de las interacciones para mantenerlo funcionando adecuadamente. Esta afirmación de Rice, apunta precisamente al esfuerzo continuado que requiere la seguridad, a la constante evolución de las infraestructuras y a las maneras como los atacantes desafían las nuevas propuestas de seguridad y control. La inseguridad de la información es dinámica y parte de la labor es tratar de seguirle el rastro y porqué no enfrentarnos con ella para entenderla y desafiarla.

Factor No. 5—El quinto factor es la falta de coordinación transnacional de los agentes gubernamentales para tratar el tema del delito informático.

Rice argumenta que a menos que dos naciones no compartan normas o acuerdos sobre control, persecución y judicialización de los temas de crímenes informáticos, los atacantes seguirán manteniendo su estatus de “intocables,” lo cual no envía un buen mensaje a los ciudadanos de los países. Esta connotación del autor, marca un punto importante en el tema de los ataques en Internet y las implicaciones jurídicas del asunto. Por un lado, los abogados y juristas deben avanzar en la era del electronic compliance,3 lo cual implica comprender los riesgos derivados del cruce entre tecnologías, leyes y mercados, como una manera de profundizar en las normas y estrategias para comprender el delito informático y las relaciones entre el mundo offline (mundo real) y el mundo online (virtual) y, por otro, los técnicos y especialistas en seguridad informática (o sencillamente apasionados por el tema) deben avanzar no en la identificación de las vulnerabilidades y sus posibilidades, sino en la comprensión y entendimiento de la inseguridad como esa propiedad inherente a los objetos y que requiere una mente que “piense en el margen,” “sin restricciones” y de manera creativa.

Revisando lo expuesto por Rice y Verton no es claro identificar hasta donde el ciberterrorismo se basa en el cibercrimen o vice versa, pues los intrusos ahora tienen un panorama mucho más amplio para conquistar y desarrollar. Si el intruso se concentra en atacar una nación y sus recursos computacionales propios de su funcionamiento, algunos expertos lo denominarían ciberterrorismo; mientras otros pueden sugerir acciones punibles en medios informáticos de alcance nacional que responden a tipos penales locales, lo cual implica la utilización de medios informáticos para vulnerar los derechos del estado y sus ciudadanos en la red.

Ante este aparente cruce de conceptos, se presenta este documento que busca abrir la discusión sobre el ciberterrorismo y el cibercrimen como una excusa académica para profundizar más en cada uno de estos temas y así advertir posible efectos adversos sobre los individuos, organizaciones y naciones, como amenazas emergentes que deben ser estudiadas en profundidad de manera expedita,4 para disminuir la incertidumbre propia de los temas, la cual será capitalizada por los intrusos cuando sean procesados por uno u otro contexto.

Ciberterrorismo: La evolución de un concepto violento en el mundo offline y en un mundo online

El ciberterrorismo es la convergencia entre el terrorismo y el ciberespacio, una conjunción de fuerzas que utilizando las ventajas y capacidades del terrorismo físico, ahora basado en fallas y vulnerabilidades tecnológicas, logran intimidar o presionar a un estado y sus ciudadanos.5

De otra parte, algunos establecen que el ciberterrorismo esta relacionado con las vulnerabilidades propias de las infraestructuras críticas de una nación: energía eléctrica, producción, almacenamiento y suministro de gas y petróleo, telecomunicaciones, bancos y finanzas, sistemas de suministro de agua, transporte, servicios de emergencia y operaciones gubernamentales, aquellos sistemas que hacen parte de la dinámica de la economía de un país y el bienestar de los ciudadanos.6 Si bien, las vulnerabilidades no son sinónimo de amenazas, dado que ellas son debilidades que se presentan en un sistema, las amenazas requieren de un actor con motivación, recursos y deseos de explotar la misma.

De igual forma otros autores7 comentan que las acciones ciberterroristas son actividades terroristas que son llevadas a cabo completamente (de manera preferente) en el mundo virtual. En este contexto, los investigadores mencionados establecen un modelo base para comprender el ciberterrorismo, como una extensión del terrorismo, para lo cual establecen siete elementos de análisis a saber:

  • Si el perpetrador es un grupo o un individuo
  • El sitio donde se adelanta la acción
  • La acción misma realizada
  • La herramienta o estrategia utilizada: violencia, secuestro, bomba, etc.
  • El objetivo de la acción: el gobierno, una organización particular
  • La afiliación a la que pertenece el perpetrador
  • La motivación

Como se puede observar no hay un consenso sobre lo que se debe entender por ciberterrorismo, sin embargo la definición sugerida por Pollit, mencionada en Taylor et al.,8 muestra una forma interesante de comprender el mismo, la cual conjuga los aspectos mencionados por los autores anteriores: “El ciberterrorismo es un ataque premeditado, políticamente o ideológicamente motivado o una amenaza de ataque contra la información, los sistemas de información, programas de computadores y datos que puede llevar una acción violenta contra objetivos civiles.”

Cuando entendemos el ciberterror, como esa fuerza emergente que reconoce en las vulnerabilidades propias de los sistemas y en la tendencia convergente de la tecnologías de información, la manera de ocasionar el mayor daño, con el menor esfuerzo y el mayor impacto en las infraestructuras de misión crítica de una nación, sabe que está en un margen de acción que escribe una nueva historia de los intrusos, que ahora no conocen límites para demostrar que han aprendido a explotar las ventajas de la tecnología para intimidar y desafiar a los estados en un mundo donde no existen fronteras y cuyo límite no está en las instituciones, sino en la imaginación del hombre.

En este sentido, el ciberterrorismo abarca cuatro variables que deben ser parte del análisis de esta nueva amenaza, la cual se confunde con las fallas mismas de los sistemas de información y deja sin argumentos tanto a los profesionales de la seguridad, como a los analistas de inteligencia.

Las variables propias del ciberterrorismo son: ataques a la infraestructura de tecnologías de información—TI, ataques a la información, utilización de las TI para labores de coordinación de los planes terroristas y la promoción y difusión de sus consignas ideas, así como del entrenamiento de sus grupos de acción.

Al estudiar como mínimo estas cuatro variables y sus relaciones entre ellas, podemos ver comportamientos emergentes que nos permitirán ver cómo las naciones, las organizaciones y los individuos deben cerrar sus filas para que el terror en línea no se convierta en esa amenaza invisible y predecible que todos advertimos pero no queremos enfrentar. Si esta tendencia actual persiste, estaremos allanando el camino para eventos de mayor magnitud, que permitirán al atacante demostrar que puede atemorizar a un estado, que ha faltado a su deber de protección de sus ciudadanos ahora en un mundo online.

El cibercrimen: Viejos hábitos del mundo offline, nuevas armas en el mundo online

Para la UIT,9 la ciberseguridad consiste en “(…) proteger contra el acceso no autorizado y la manipulación y destrucción de recursos y activos esenciales, (…),” definición que si bien establece un lineamiento concreto para los gobiernos e interesados, limita un entendimiento profundo del concepto de seguridad informática, pues considera a la inseguridad de la información, causante de los riesgos identificados, como la enemiga de la sociedad.

Cuando comprendemos que el estudio de la inseguridad de la información nos permite ver el otro lado de la distinción de la seguridad, podemos alimentar un modelo de estrategias más consistente y real frente a las fallas emergentes de un sistema y no frente a los controles que se diseñan para protegerlo. Es decir, pensando como “el atacante”: puedo ver aquello que desde la cotidianidad del uso del sistema, no puedo ver.

La realidad de la inseguridad de la información y la materialización de la delincuencia en medios electrónicos, nos debe llevar a mirar en perspectiva, lo que la justicia requiere para enfrentar el desafío de un atacante anónimo, que se mimetiza en la red, que manipula evidencias, que elimina rastros y que conoce en los detalles las herramientas de apoyo y soporte de investigaciones informáticas.

Los constantes avances tecnológicos y los altos niveles de conocimientos técnicos involucrados en los nuevos desarrollos electrónicos y computacionales10, 11 establecen un reto para presentar una definición general de lo que puede denominarse un “computer crime” o delito por computador o semejante. En este sentido, existen múltiples interpretaciones y sugerencias que buscan modelar esta naciente y conflictiva área para el derecho y las tecnologías de información.

El no contar con una definición concreta sobre el tema, desestima los esfuerzos para una adecuada detección, investigación y judicialización de este tipo de conductas en medios electrónicos y computacionales. A pesar de que las estadísticas actuales nos muestran un importante incremento de eventos relacionados con explotación de vulnerabilidades informáticas en diferentes ramos y campos, dejando pérdidas millonarias para las organizaciones y grandes vacíos en la sociedad sobre las acciones que el estado toma al respecto, no se han experimentado avances significativos ni estrategias desde el punto de vista jurídico, que articulen los limitados esfuerzos sugeridos desde la perspectiva de la administración de la seguridad de la información.

La dificultad existente para perseguir la criminalidad informática radica en varias razones como el entendimiento de las tecnologías y las vulnerabilidades inherentes por parte de los cuerpos de seguridad del estado y la administración de justicia, la comprensión y análisis de la evidencia digital y los rastros electrónicos, la información y su valor en los mercados internacionales y la falta de precisión en el perfil de un delincuente tecnológico, como elementos que exigen de la academia, el gobierno, la industria y las instituciones de la justicia un esfuerzo conjunto para avanzar en la construcción de caminos que confronten a los nuevos y organizados criminales.12

En este contexto, el National Institute of Justice (NIJ) del Departamento de Justicia de los Estados Unidos13 adelantó un estudio que establece aquellos elementos y consideraciones que se hacen necesarias para apoyar tanto táctica como operacionalmente a la administración de justicia para enfrentar el reto de la cibercriminalidad informática y de las telecomunicaciones.

Los resultados del estudio establecen 10 temas críticos donde se debe trabajar para avanzar en el fortalecimiento de las habilidades de la Administración de Justicia y su relación con las nuevas armas de delincuencia informática:
  1. Concientización del público
  2. Estadísticas y datos sobre delitos informáticos
  3. Entrenamiento uniforme y cursos de certificación para investigadores
  4. Asistencia en sitio para las unidades de lucha contra el delito informático
  5. Actualización del marco normativo
  6. Cooperación con los proveedores de alta tecnología
  7. Investigaciones y publicaciones especializadas en crímenes de alta tecnología
  8. Concientización y soporte de la gerencia
  9. Herramientas forenses y de investigación criminal informática
  10. Estructuración de unidades de lucha contra el delito informático

Como se puede observar en el resultado del estudio del NIJ el combate del cibercrimen requiere toda una estrategia de formación y articulación que permita a la sociedad contar con una administración de justicia moderna y acorde con los retos que la criminalidad le impone. El no considerar algunos de los elementos planteados por la investigación, implica debilitar el modelo de Administración de Justicia en el escenario de una sociedad de la información y generar un espacio de acción más amplio para los artificios jurídicos que serán utilizados por los delincuentes para evadir las sanciones que deben tener por sus acciones.

Protección de infraestructuras críticas: La inseguridad de la información en el contexto de una nación

La información se ha convertido en activo tan importante que cada uno de los ministerios y departamentos administrativos cuentan con datos suficientes para que personas inescrupulosas, terroristas o delincuentes puedan “manipular,” “alterar,” “eliminar” o “borrar” dicha información y desinformar a toda una nación.

Las consecuencias de actos como estos, sumados a la alteración y mal funcionamiento de los sistemas de información que manejan y administran los sistemas de salud en los hospitales, los expedientes recientes de los juicios en el sistema penal acusatorio, los servidores de las fuerzas militares, las redes eléctricas interconectadas y monitoreadas, así como los cables de telecomunicaciones disponibles para el desarrollo de las relaciones comerciales y de estado, son elementos que pueden comprometer el control general de una nación.

Parece que este escenario fuese sólo para países del primer mundo con alto desarrollo tecnológico que tienen que cuidar sus sistemas automatizados vigentes, pero la realidad es otra. Las fallas conjuntas que se pueden ocasionar por fallas en un sistema y sus dependencias asociadas pueden generar un caos similar o peor al ocurrido el 911 (11 de septiembre de 2001). Si bien es probable que estemos entrenados para eventuales catástrofes naturales y eventos en el mundo físico, la pregunta válida es: ¿Lo estaremos para eventos en el mundo de la informática y la electrónica?

La cibercriminalidad sigue en aumento y dado que no la percibimos de manera directa, ni nos afecta en esta forma, pasa inadvertida, generando un ambiente ideal para seguir echando raíces en sus diferentes maneras y mutaciones, generando barreras de defensa que cuando se quieran atacar tendremos que hacer importantes esfuerzos para derribarlas.

La infraestructura crítica de información de una nación inicia en la dinámica de uso de los ciudadanos de cada uno de los servicios que ofrece el estado y termina, en un ciclo de mejoramiento continuo y discontinuo que repiense las estrategias de coordinación y acción ante fallas que afecten aquellos servicios públicos de la nación como la banca central, el sistema de acueducto, las redes eléctricas, los hospitales, los sistemas de aeronavegación, los poliductos de combustibles, entre otros. Si lo anterior es correcto, los estados deben asumir el reto de prepararse tanto para mejorar la infraestructura de tecnologías de información y comunicaciones, como para las fallas de la misma.

En razón a lo anterior, el Grupo de los Ocho (G8) estableció una serie de recomendaciones para los estados, con el fin de avanzar en una estrategia de coordinación internacional para comprender las relaciones propias de las infraestructuras de información crítica de las naciones y así prepararse para enfrentar el reto de las amenazas, ahora en un mundo interconectado y sin fronteras físicas. A continuación se detalla un listado compendiado de los Principios del G8 para la protección de las infraestructuras de información crítica (IIC):14
  1. Los países deben tener un sistema de redes de advertencias sobre ciber vulnerabilidades, amenazas e incidentes.
  2. Los países deben incrementar la concientización sobre el entendimiento y naturaleza de las infraestructuras de información crítica, para que los stakeholders comprendan su papel en la protección de la misma.
  3. Los países deben analizar sus infraestructuras y las dependencias entre las mismas para mejorar sus estrategias de coordinación y protección.
  4. Los países deben promover alianzas entre el gobierno, el sector privado y público para analizar las IIC con el fin de prevenir, investigar y responder a los daños o ataques a las IIC.
  5. Los países deben crear y mantener redes de notificación y comunicación ante crisis y probarla con frecuencia para generar una cultura de prevención y acción segura y estable en estas situaciones.
  6. Los países deben asegurar las políticas de disponibilidad de los datos tomando como base la necesidad de proteger las IIC.
  7. Los países deben facilitar el seguimiento de los ataques a las IIC, considerando la revelación de la información requerida a otras naciones.
  8. Los países deben desarrollar ejercicios y entrenamientos para mejorar su capacidad de respuesta y así probar los plantes de continuidad y contingencia cuando las IIC son sometida a un ataque. Se recomienda adicionalmente involucrar a los stakeholders.
  9. Los países deben adecuar las regulaciones y legislaciones, siguiendo lo establecido en la Convención de Cibercrimen.15 Así mismo, deben entrenar al personal requerido para investigar y perseguir los ataques a las IIC y coordinar las investigaciones con otros países cuando se requiera.
  10. Los países deben promover la cooperación internacional, cuando sea apropiado, para asegurar las IIC, incluyendo el desarrollo y coordinación de sistemas de emergencias, compartir y analizar información relacionada con vulnerabilidades, amenazas e incidentes y coordinación de investigaciones de ataques sobre las IIC de acuerdo con las regulaciones y leyes locales vigentes.
  11. Los países deben promover investigación y desarrollo a nivel nacional e internacional, así como promover la aplicación de tecnologías de seguridad que se encuentren alineadas con las mejores prácticas y estándares internacionales.

Cibercrimen y Ciberterrorismo: Dos sorpresas predecibles

Las sorpresas predecibles, como el 11 de septiembre, son costosas y llevan a reflexiones profundas luego de que éstas ocurren. En este sentido, Bazerman y Watkins16 establecen que una organización se vuelve más vulnerable a una sorpresa predecible cuando:

  • La organización falla en el análisis de su entorno interno y externo, alineado con sus objetivos de negocio
  • La organización no es capaz de encajar las piezas de información recolectadas de varios puntos de la misma, para analizarla y establecer posibles amenazas
  • La empresa no incentiva a los analistas o personas en posiciones claves para adelantar los análisis requeridos de información
  • La comunidad empresarial no preserva la memoria de fallas anteriores y las aproximaciones establecidas para evitarlas
  • La organización no hace un ejercicio conciente para desaprender de lo ocurrido, como una manera de repensar sus acciones anteriores y desarrollar un diseño ideal de inteligencia que le permite construir e influir el futuro cercano

Cuando se advierten amenazas emergentes, las cuales están sustentadas en información procesada y analizada, basada en los objetivos y tendencias verificadas, y éstas, no corresponden al modelo de creencias y valores del que toma decisiones sencillamente son ignoradas.

En razón a lo anterior, el cibercrimen y el ciberterrorismo se convierten en sorpresas predecibles que constantemente nos envían mensajes de su presencia, que sistemáticamente evadimos o ignoramos, aún teniendo elementos para evidenciar su presencia. Mientras no reconozcamos en la inseguridad de la información la fuente permanente de las fallas y fuente misma para aprender de la mente del terrorista o del intruso, estaremos avocados a enfrentar situaciones que pudimos haber prevenido y que ahora sólo debemos controlar o tratar.

“Las indicaciones y los avisos de que el terrorismo está evolucionando hacia un mayor uso de las tácticas del ciberterrorismo están ahí, si las queremos reconocer. La única pregunta que queda por responder es sí los estados actuarán antes de que sea tarde. Desde ahora, en todo el mundo todos los días son el 10 de septiembre”.17

De manera complementaria a lo anteriormente expuesto, podemos afirmar que con los constantes descubrimientos de vulnerabilidades (falla de día cero) y la inevitabilidad de la falla de los sistemas, un atacante o intruso se tomará algunas horas, para materializar su actividad criminal, con una probabilidad de éxito mayor al 50 por ciento, mientras que una investigación de lo que ocurrió puede tomar semanas, meses o años con una probabilidad de logro inferior al 50 por ciento.

Ante este panorama, las estrategias de los estados, organizaciones e individuos deben orientarse a desarrollar sistemas de inteligencia estratégica de información18, 19 en la industria, academia y gobierno de tal forma que puedan formular un sistema de simulación de escenarios previsibles, que preparen a todos los involucrados en los esquemas de contención y reacción ante una situación de falla parcial o total. Estamos en medio de un sistema emergente altamente conectado e integrado, donde el concepto de territorialidad y límites de las naciones se hace difuso, que ante una falla de uno de sus componentes podemos advertir una emergencia o un desastre; ya las proporciones del mismo y sus impactos, corren por cuenta de todos nosotros y nuestras decisiones.

Reflexiones finales

Siguiendo a Nelson et al.20 y Littleton,21 el ciberterror es un subconjunto del terrorismo, en el cual se usa la información como un arma, método u objetivo con el fin de lograr los objetivos del terrorista. El ciberterrorismo existe en y más allá del ciberespacio, incluyendo entre otros aspectos, manipulación o destrucción física de cualquier dispositivo, sistemas de dispositivos o procesos con un alto componente de información.

Esta nueva realidad del ciberterrorismo advierte el uso de técnicas de guerra de la información,22 guerra psicológica, propaganda diseminada, reclutamiento, entrenamiento y formación de agentes virtuales, los cuales mantienen un bajo perfil en la sociedad, que hacen muy compleja su identificación y actuación. Mientras este nuevo terrorista usa la red como un escenario para mimetizarse, los ciudadanos continúan durmiendo con un enemigo con el cual conviven e interactúan sin conocer sus intenciones.

Si bien este documento no busca generar una sensación alarmista sobre esta realidad emergente, si quiere concienciar a sus lectores para que comiencen a leer en lo que constantemente se publica, no el contenido, sino el trasfondo de las noticias y las acciones que sobre ellas se advierten. Tanto el estado como los ciudadanos son parte del nuevo juego del ciberterror, donde cualquier movimiento de las piezas implica acciones bien sea de ataque o evasión por parte de alguno de sus actores.

En este sentido, el cibercrimen se conjuga con el ciberterror en una línea difusa de comprender, pues cuando el criminal informático no sólo busca un lucro económico de sus acciones, sino que las acciones mismas atentan contra la soberanía de la una nación en un entorno digital, estamos entrando en terrenos donde podemos hablar de un atentado contra la infraestructura de información crítica de una nación, que puede ser catalogada como ciberterrorismo.

Dado que estas dos amenazas son tan reales como la información existente en todos los formatos, es deber tanto de individuos, organizaciones y estados dedicar esfuerzos y recursos para avanzar en una estrategia de administración de riesgos que permitan hacer evidente esa propiedad inherente a los objetos como lo es la inseguridad, para así, no sorprendernos ante los retos que ésta nos proponga, sino que podamos responder al desafío con la misma fuerza y habilidad con que ella nos pone a prueba.

Cibercrimen y ciberterror son dos amenazas que se hacen invisibles al tejido social, a las regulaciones estatales, a las consideraciones de la industria, pues saben que existen otras prioridades que preocupan a gobiernos, industria e individuos. Por tanto, si esto es correcto, estamos gestando un escenario emergente de variables intangibles, que actualmente viven entre nosotros, que se pasean frente a nosotros, sin que las podamos comprender o percibir. Cibercrimen y ciberterror son dos verdades tan evidentes, que sistemáticamente negamos y evadimos, por ser demasiado creíbles.

Notas

1 Verton, D.; Blackice. La Amenaza Invisible del Ciberterrorismo, McGraw Hill, 2004, p. 16-17
2 Rice, D.; Geekonomics: The Real Cost of Insecure Software, Addison Wesley, 2008, p. 78-81
3 Gasser, U.; Haeusermann, D.; “E-compliance: Toward a Roadmap to an Effective Risk Management,” Research Publications, Harvard Law School, 2007
4 Aldrich, R.; “Internationalized Information Terror: Does It Call for an International Treaty?,” INSS Occasional Paper, No. 32, Information Operation Series, USAF Institute for National Security Studies, 2000, www.usafa.af.mil/df/inss/OCP/ocp32.pdf
5 Denning, D.; Cyberterrorism, 2000, www.cs.georgetown.edu/~denning/infosec/cyberterror.html
6 Nelson, B.; R. Choi; M. Iacobucci; M. Mitchell; G. Gagnon; “Cyberterror: Prospect and Implications,” United States Navy, Naval Postgraduate School, 1999, http://handle.dtic.mil/100.2/ADA393147
7 Gordon, S.; R. Ford; “Cyberterrorism,” Symantec, 2003, www.symantec.com/avcenter/reference/cyberterrorism.pdf
8 Taylor, R.; T. Caeti; D. Kall Loper; E. Fritsch; J. Liederbach; Digital Crime and Digital Terrorism, Pearson Prentice Hall, 2006, p. 23
9 Unión Internacional De Telecomunicaciones (UIT), “Agenda Sobre Ciberseguridad Global,” 2008, www.itu.int/cybersecurity/
10 Howard, J.; “An Analysis of Security Incidents on the Internet 1989-1995,” Tesis doctoral, Carnegie Mellon University, 1997, www.cert.org/research/JHThesis/Start.html
11 Raymond Choo, K. K.; R. Smith; R. McCusker; “Future Directions in Technology-enabled Crime: 2007-09,” Research and Public Policy Series, No. 78, 2007, www.aic.gov.au/publications/rpp/78/rpp78.pdf
12 Knetzger, M.; J. Muraski; Investigating High-tech Crime, Pearson Prentice Hall, 2008
13 Stambaugh, H.; D. Beaupre; D. Icove; R. Baker; W. Cassaday; W. Williams; “Electronic Crime Needs Assessment for State and Local Law Enforcement,” National Institute of Justice, Research Report, 2001, www.ncjrs.gov/pdffiles1/nij/186276.pdf
14 www.cybersecuritycooperation.org/documents/G8_CIIP_Principles.pdf
15 www.cybersecuritycooperation.org/documents/CoE_cybercrime_convention.doc, 23 de noviembre de 2001
16 Bazerman, M.; M. Watkins.; Predictable Surprises: The Disasters You Should Have Seen Coming and How to Prevent Them, Harvard Business School Press, 2004
17 Adaptado de Verton, 2004, p. 258
18 Khalsa, S.; Forecasting Terrorism: Indicators and Proven Analytic Techniques, The Scarecrow Press Inc., 2004
19 Clark, R.; Intelligence Analysis: A Target-centric Approach, CQ Press, 2004
20 Ibid., Nelson, et al.
21 Littleton, M.; “Information Age Terrorism: Toward Cyberterror,” United States Navy, Naval Postgraduate School, 1995, www.fas.org/irp/threat/cyber/docs/npgs/terror.htm
22 Longstaff, T.; J. Ellis; H. Shawn; H. Lipson; R. McMillan; L. Hutz Pesante; D. Simmel; “Security of the Internet,” en The Froehlich/Kent Encyclopedia of Telecommunications vol. 15, Marcel Dekker, 1997, p. 231-255, www.cert.org/encyc_article/tocencyc.html

Jeimy J. Cano, Ph.D., CFE
es miembro investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI) en la Facultad de Derecho de la Universidad de los Andes, en Colombia. También es ingeniero de Sistemas y Computación y Magíster en Ingeniería de Sistemas y Computación, ambos por la Universidad de los Andes, y Ph.D., en Administración de empresas en la Newport University, California, USA. Está diplomado en Sistema Penal Acusatorio por la Universidad Militar Nueva Granada, Colombia. Es profesional certificado en Computer Forensic Analysis (CFA) del Instituto Mundial para la mejora de la seguridad, Estados Unidos de América, y profesional certificado como Certified Fraud Examiner (CFE) por la Association of Certified Fraud Examiners. Contacto en: jjcano@yahoo.com.

Information Systems Control Journal, formerly the IS Audit & Control Journal, is published by the ISACA. Membership in the association, a voluntary organization of persons interested in information systems (IS) auditing, control and security, entitles one to receive an annual subscription to the Information Systems Control Journal.

Opinions expressed in the Information Systems Control Journal represent the views of the authors and advertisers. They may differ from policies and official statements of the Information Systems Audit and Control Association and/or the IT Governance Institute® and their committees, and from opinions endorsed by authors' employers, or the editors of this Journal. Information Systems Control Journal does not attest to the originality of authors' content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, Mass. 01970, to photocopy articles owned by the Information Systems Audit and Control Association Inc., for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.
nav menu image
spacer image
Assurance | Security | Governance
Members & Leaders | Professionals & Practitioners | Students & Educators | Exhibitors & Advertisers
Info Request | Join | Bookstore | My ISACA | About ISACA
Home | Site Map | Shopping Cart | Logout | Contact Us
spacer image
menu shadow

Terms Of Use | Privacy Policy | IP Guidelines
© 2010 ISACA All rights reserved.
3701 Algonquin Road, Suite 1010, Rolling Meadows, Illinois 60008 USA