La seguridad informática (también ciberseguridad , seguridad digital o seguridad de las tecnologías de la información (TI) ) es la protección del software , los sistemas y las redes informáticas contra amenazas que pueden provocar la divulgación no autorizada de información, el robo o daños al hardware , el software o los datos , así como la interrupción o el desvío de los servicios que prestan. [1] [2]
La importancia de este campo se debe a la creciente dependencia de los sistemas informáticos , Internet [3] y los estándares de redes inalámbricas . Su importancia se ve amplificada aún más por el crecimiento de los dispositivos inteligentes , incluidos los teléfonos inteligentes , los televisores y los diversos dispositivos que constituyen la Internet de las cosas (IdC). La ciberseguridad ha surgido como uno de los nuevos desafíos más importantes que enfrenta el mundo contemporáneo, debido tanto a la complejidad de los sistemas de información como a las sociedades que los respaldan. La seguridad es particularmente crucial para los sistemas que gobiernan sistemas a gran escala con efectos físicos de largo alcance, como la distribución de energía , las elecciones y las finanzas . [4] [5]
Aunque muchos aspectos de la seguridad informática involucran seguridad digital, como contraseñas electrónicas y cifrado , aún se utilizan medidas de seguridad física, como cerraduras metálicas , para evitar manipulaciones no autorizadas. La seguridad informática no es un subconjunto perfecto de la seguridad de la información , por lo que no se alinea completamente con el esquema de convergencia de seguridad .
Una vulnerabilidad se refiere a un fallo en la estructura, ejecución, funcionamiento o supervisión interna de una computadora o sistema que compromete su seguridad. La mayoría de las vulnerabilidades que se han descubierto están documentadas en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE). [6] Una vulnerabilidad explotable es aquella para la que existe al menos un ataque o exploit en funcionamiento. [7] Los actores que buscan vulnerabilidades de forma maliciosa se conocen como amenazas . Las vulnerabilidades se pueden investigar, aplicar ingeniería inversa, buscar o explotar utilizando herramientas automatizadas o scripts personalizados. [8] [9]
Distintas personas o grupos son vulnerables a los ataques cibernéticos; sin embargo, es probable que distintos grupos experimenten distintos tipos de ataques más que otros. [10]
En abril de 2023, el Departamento de Ciencia, Innovación y Tecnología del Reino Unido publicó un informe sobre los ciberataques de los últimos 12 meses. [11] Encuestaron a 2263 empresas del Reino Unido, 1174 organizaciones benéficas registradas en el Reino Unido y 554 instituciones educativas. La investigación descubrió que "el 32% de las empresas y el 24% de las organizaciones benéficas en general recuerdan alguna infracción o ataque de los últimos 12 meses". Estas cifras fueron mucho más altas para "las empresas medianas (59%), las grandes empresas (69%) y las organizaciones benéficas de altos ingresos con £500.000 o más en ingresos anuales (56%)". [11] Sin embargo, aunque las empresas medianas o grandes son las víctimas con mayor frecuencia, dado que las empresas más grandes generalmente han mejorado su seguridad durante la última década, las pequeñas y medianas empresas (PYME) también se han vuelto cada vez más vulnerables, ya que a menudo "no tienen herramientas avanzadas para defender el negocio". [10] Las PYMES tienen más probabilidades de verse afectadas por malware, ransomware, phishing, ataques de intermediario y ataques de denegación de servicio (DoS). [10]
Los usuarios normales de Internet son los más propensos a verse afectados por ciberataques no dirigidos. [12] En estos casos, los atacantes atacan indiscriminadamente tantos dispositivos, servicios o usuarios como sea posible. Para ello, utilizan técnicas que aprovechan la apertura de Internet. Estas estrategias incluyen principalmente phishing , ransomware , waterholing y escaneo. [12]
Para proteger un sistema informático, es importante comprender los ataques que pueden realizarse contra él, y estas amenazas normalmente pueden clasificarse en una de las siguientes categorías:
Una puerta trasera en un sistema informático, un criptosistema o un algoritmo es cualquier método secreto para eludir los controles normales de autenticación o seguridad. Estas debilidades pueden existir por muchas razones, incluido el diseño original o una configuración deficiente. [13] Debido a la naturaleza de las puertas traseras, son de mayor preocupación para las empresas y las bases de datos que para los individuos.
Las puertas traseras pueden ser añadidas por una parte autorizada para permitir un acceso legítimo o por un atacante con fines maliciosos. Los delincuentes suelen utilizar malware para instalar puertas traseras, lo que les otorga acceso administrativo remoto a un sistema. [14] Una vez que tienen acceso, los ciberdelincuentes pueden "modificar archivos, robar información personal, instalar software no deseado e incluso tomar el control de todo el equipo". [14]
Las puertas traseras pueden ser muy difíciles de detectar y generalmente las descubre alguien que tiene acceso al código fuente de la aplicación o un conocimiento profundo del sistema operativo de la computadora.
Los ataques de denegación de servicio (DoS) están diseñados para hacer que una máquina o un recurso de red no esté disponible para sus usuarios previstos. [15] Los atacantes pueden denegar el servicio a víctimas individuales, por ejemplo, introduciendo deliberadamente una contraseña incorrecta suficientes veces consecutivas para provocar el bloqueo de la cuenta de la víctima, o pueden sobrecargar las capacidades de una máquina o red y bloquear a todos los usuarios a la vez. Si bien un ataque de red desde una única dirección IP se puede bloquear añadiendo una nueva regla de cortafuegos, son posibles muchas formas de ataques de denegación de servicio distribuido (DDoS), en los que el ataque procede de una gran cantidad de puntos. En este caso, la defensa contra estos ataques es mucho más difícil. Dichos ataques pueden originarse en los ordenadores zombi de una botnet o en una serie de otras técnicas posibles, incluida la denegación de servicio distribuida y reflexiva (DRDoS), en la que se engaña a sistemas inocentes para que envíen tráfico a la víctima. [15] Con estos ataques, el factor de amplificación hace que el ataque sea más fácil para el atacante porque tiene que utilizar poco ancho de banda. Para comprender por qué los atacantes pueden llevar a cabo estos ataques, consulte la sección "Motivación del atacante".
Un ataque de acceso directo es cuando un usuario no autorizado (un atacante) obtiene acceso físico a una computadora, muy probablemente para copiar datos directamente de ella o robar información. [16] Los atacantes también pueden comprometer la seguridad al realizar modificaciones del sistema operativo, instalar gusanos de software , registradores de pulsaciones de teclas , dispositivos de escucha encubiertos o usar micrófonos inalámbricos. Incluso cuando el sistema está protegido por medidas de seguridad estándar, estas pueden eludirse iniciando otro sistema operativo o herramienta desde un CD-ROM u otro medio de arranque. El cifrado de disco y el estándar Trusted Platform Module están diseñados para prevenir estos ataques.
Los atacantes de servicio directo están relacionados conceptualmente con los ataques de memoria directa , que permiten a un atacante obtener acceso directo a la memoria de una computadora. [17] Los ataques "aprovechan una característica de las computadoras modernas que permite que ciertos dispositivos, como discos duros externos, tarjetas gráficas o tarjetas de red, accedan directamente a la memoria de la computadora". [17]
La escucha clandestina es el acto de escuchar subrepticiamente una conversación (comunicación) privada de una computadora, generalmente entre hosts en una red. Generalmente ocurre cuando un usuario se conecta a una red donde el tráfico no está protegido ni encriptado y envía datos comerciales confidenciales a un colega, que, al ser escuchados por un atacante, podrían ser explotados. [18] Los datos transmitidos a través de una "red abierta" permiten a un atacante explotar una vulnerabilidad e interceptarlos a través de varios métodos.
A diferencia del malware , los ataques de acceso directo u otras formas de ataques cibernéticos, es poco probable que los ataques de espionaje afecten negativamente el rendimiento de las redes o dispositivos, lo que hace que sea difícil detectarlos. [18] De hecho, "el atacante no necesita tener ninguna conexión continua con el software. El atacante puede insertar el software en un dispositivo comprometido, tal vez mediante inserción directa o tal vez mediante un virus u otro malware, y luego regresar algún tiempo después para recuperar los datos que encuentre o hacer que el software envíe los datos en un momento determinado". [19]
El uso de una red privada virtual (VPN), que cifra los datos entre dos puntos, es una de las formas más comunes de protección contra las escuchas clandestinas. La mejor práctica es utilizar la mejor forma de cifrado posible para las redes inalámbricas, así como utilizar HTTPS en lugar de un HTTP sin cifrar . [20]
El FBI y la NSA han utilizado programas como Carnivore y NarusInSight para espiar los sistemas de los proveedores de servicios de Internet . Incluso las máquinas que funcionan como un sistema cerrado (es decir, sin contacto con el mundo exterior) pueden ser espiadas mediante el monitoreo de las débiles transmisiones electromagnéticas generadas por el hardware. TEMPEST es una especificación de la NSA que hace referencia a estos ataques.
El software malicioso ( malware ) es cualquier código de software o programa informático "escrito intencionalmente para dañar un sistema informático o sus usuarios". [21] Una vez presente en una computadora, puede filtrar detalles confidenciales como información personal, información comercial y contraseñas, puede dar el control del sistema al atacante y puede corromper o eliminar datos de forma permanente. [22] Otro tipo de malware es el ransomware , que es cuando "el malware se instala en la máquina de una víctima, encripta sus archivos y luego se da vuelta y exige un rescate (generalmente en Bitcoin ) para devolver esos datos al usuario". [23]
Los tipos de malware incluyen algunos de los siguientes:
Los ataques de intermediario (MITM) implican que un atacante malintencionado intente interceptar, vigilar o modificar las comunicaciones entre dos partes falsificando la identidad de una o ambas partes e inyectándose en el medio. [24] Los tipos de ataques MITM incluyen:
En 2017 surgió una nueva clase de ciberamenazas multivectoriales [25] polimórficas [26] que combinan varios tipos de ataques y cambian de forma para evitar los controles de ciberseguridad a medida que se propagan.
Los ataques polimórficos multivectoriales, como su nombre lo describe, son a la vez multivectoriales y polimórficos. [27] En primer lugar, son un ataque singular que implica múltiples métodos de ataque. En este sentido, son “multivectoriales (es decir, el ataque puede utilizar múltiples medios de propagación, como la Web, el correo electrónico y las aplicaciones”). Sin embargo, también son multietapa, lo que significa que “pueden infiltrarse en redes y moverse lateralmente dentro de la red”. [27] Los ataques pueden ser polimórficos, lo que significa que los ciberataques utilizados, como virus, gusanos o troyanos, “cambian constantemente (“se transforman”), lo que hace casi imposible detectarlos utilizando defensas basadas en firmas”. [27]
El phishing es el intento de adquirir información confidencial, como nombres de usuario, contraseñas y detalles de tarjetas de crédito, directamente de los usuarios mediante engaños. [28] El phishing generalmente se lleva a cabo mediante suplantación de correo electrónico , mensajería instantánea , mensajes de texto o una llamada telefónica . A menudo, indican a los usuarios que ingresen detalles en un sitio web falso cuya apariencia es casi idéntica a la del legítimo. [29] El sitio web falso a menudo solicita información personal, como detalles de inicio de sesión y contraseñas. Esta información luego se puede utilizar para obtener acceso a la cuenta real del individuo en el sitio web real.
El phishing, que se aprovecha de la confianza de la víctima, puede clasificarse como una forma de ingeniería social . Los atacantes pueden utilizar formas creativas de obtener acceso a cuentas reales. Una estafa común es que los atacantes envíen facturas electrónicas falsas [30] a personas que muestran que recientemente compraron música, aplicaciones u otros productos, y les piden que hagan clic en un enlace si las compras no fueron autorizadas. Un tipo de phishing más estratégico es el spear-phishing, que aprovecha los datos personales o específicos de la organización para hacer que el atacante parezca una fuente confiable. Los ataques de spear-phishing se dirigen a personas específicas, en lugar de a la amplia red que abarcan los intentos de phishing. [31]
La escalada de privilegios describe una situación en la que un atacante con cierto nivel de acceso restringido puede, sin autorización, elevar sus privilegios o nivel de acceso. [32] Por ejemplo, un usuario de computadora estándar puede explotar una vulnerabilidad en el sistema para obtener acceso a datos restringidos; o incluso convertirse en root y tener acceso total sin restricciones a un sistema. La gravedad de los ataques puede variar desde ataques que simplemente envían un correo electrónico no solicitado hasta un ataque de ransomware a grandes cantidades de datos. La escalada de privilegios generalmente comienza con técnicas de ingeniería social , a menudo phishing . [32]
La escalada de privilegios se puede dividir en dos estrategias: escalada de privilegios horizontal y vertical:
Cualquier sistema computacional afecta a su entorno de alguna forma. Este efecto puede ir desde la radiación electromagnética hasta el efecto residual en las celdas de RAM que, como consecuencia, hacen posible un ataque de arranque en frío , pasando por fallos en la implementación del hardware que permiten el acceso o la adivinación de otros valores que normalmente deberían ser inaccesibles. En los escenarios de ataque de canal lateral, el atacante recopilaría dicha información sobre un sistema o red para adivinar su estado interno y, como resultado, acceder a la información que la víctima supone que es segura.
La ingeniería social , en el contexto de la seguridad informática, tiene como objetivo convencer a un usuario para que revele secretos como contraseñas, números de tarjetas, etc. o conceda acceso físico, por ejemplo, haciéndose pasar por un alto ejecutivo, un banco, un contratista o un cliente. [33] Esto generalmente implica explotar la confianza de las personas y confiar en sus sesgos cognitivos . Una estafa común implica correos electrónicos enviados al personal del departamento de contabilidad y finanzas, haciéndose pasar por su director ejecutivo y solicitando urgentemente alguna acción. Una de las principales técnicas de ingeniería social son los ataques de phishing .
A principios de 2016, el FBI informó que este tipo de estafas de compromiso de correo electrónico empresarial (BEC) habían costado a las empresas estadounidenses más de 2 mil millones de dólares en aproximadamente dos años. [34]
En mayo de 2016, el equipo de la NBA Milwaukee Bucks fue víctima de este tipo de estafa cibernética con un perpetrador que se hizo pasar por el presidente del equipo, Peter Feigin, lo que resultó en la entrega de los formularios de impuestos W-2 de 2015 de todos los empleados del equipo . [35]
La suplantación de identidad es un acto de hacerse pasar por una entidad válida mediante la falsificación de datos (como una dirección IP o un nombre de usuario), con el fin de obtener acceso a información o recursos que de otro modo no se podría obtener. La suplantación de identidad está estrechamente relacionada con el phishing . [36] [37] Existen varios tipos de suplantación de identidad, entre ellos:
En 2018, la empresa de ciberseguridad Trellix publicó una investigación sobre el riesgo potencialmente mortal que supone la suplantación de identidad en el sector sanitario. [39]
La manipulación describe una modificación o alteración maliciosa de datos. Es un acto intencional pero no autorizado que da como resultado la modificación de un sistema, de sus componentes, de su comportamiento previsto o de los datos. Los ataques denominados Evil Maid y la implantación de capacidades de vigilancia en los enrutadores por parte de los servicios de seguridad son ejemplos de ello. [40]
El contrabando de HTML permite a un atacante "contrabandear" un código malicioso dentro de un HTML o una página web en particular. [41] Los archivos HTML pueden llevar cargas útiles ocultas como datos inertes benignos para poder burlar los filtros de contenido . Estas cargas útiles se pueden reconstruir en el otro lado del filtro. [42]
Cuando un usuario objetivo abre el HTML, se activa el código malicioso; luego, el navegador web "decodifica" el script, que luego libera el malware en el dispositivo objetivo. [41]
El comportamiento de los empleados puede tener un gran impacto en la seguridad de la información en las organizaciones. Los conceptos culturales pueden ayudar a que los distintos segmentos de la organización trabajen de manera eficaz o en contra de la eficacia en materia de seguridad de la información dentro de una organización. La cultura de seguridad de la información es la "...totalidad de patrones de comportamiento en una organización que contribuyen a la protección de la información de todo tipo". [43]
Andersson y Reimers (2014) descubrieron que los empleados a menudo no se consideran parte del esfuerzo de seguridad de la información de su organización y, a menudo, toman medidas que impiden los cambios organizacionales. [44] De hecho, el Informe de investigaciones de violaciones de datos de Verizon de 2020, que examinó 3950 violaciones de seguridad, descubrió que el 30% de los incidentes de ciberseguridad involucraban a actores internos dentro de una empresa. [45] Las investigaciones muestran que la cultura de seguridad de la información debe mejorarse continuamente. En "Information Security Culture from Analysis to Change", los autores comentaron: "Es un proceso interminable, un ciclo de evaluación y cambio o mantenimiento". Para gestionar la cultura de seguridad de la información, se deben seguir cinco pasos: preevaluación, planificación estratégica, planificación operativa, implementación y postevaluación. [46]
En seguridad informática, una contramedida es una acción, dispositivo, procedimiento o técnica que reduce una amenaza, una vulnerabilidad o un ataque eliminándolo o previniéndolo, minimizando el daño que puede causar o descubriéndolo y reportándolo para que se puedan tomar acciones correctivas. [47] [48] [49]
En las siguientes secciones se enumeran algunas contramedidas comunes:
La seguridad por diseño, o también conocido como seguro por diseño, significa que el software ha sido diseñado desde cero para ser seguro. En este caso, la seguridad se considera una característica principal.
El Centro Nacional de Seguridad Cibernética del gobierno del Reino Unido divide los principios de diseño cibernético seguro en cinco secciones: [50]
Estos principios de diseño de seguridad por diseño pueden incluir algunas de las siguientes técnicas:
La arquitectura de seguridad puede definirse como la "práctica de diseñar sistemas informáticos para alcanzar objetivos de seguridad". [51] Estos objetivos se superponen con los principios de "seguridad por diseño" explorados anteriormente, incluidos los de "hacer que el compromiso inicial del sistema sea difícil" y "limitar el impacto de cualquier compromiso". [51] En la práctica, el papel de un arquitecto de seguridad sería garantizar que la estructura de un sistema refuerce la seguridad del sistema y que los nuevos cambios sean seguros y cumplan con los requisitos de seguridad de la organización. [52] [53]
De manera similar, Techopedia define la arquitectura de seguridad como "un diseño de seguridad unificado que aborda las necesidades y los riesgos potenciales involucrados en un determinado escenario o entorno. También especifica cuándo y dónde aplicar controles de seguridad. El proceso de diseño es generalmente reproducible". Los atributos clave de la arquitectura de seguridad son: [54]
La práctica de la arquitectura de seguridad proporciona la base adecuada para abordar sistemáticamente las preocupaciones comerciales, de TI y de seguridad en una organización.
Un estado de seguridad informática es el ideal conceptual que se logra mediante el uso de tres procesos: prevención, detección y respuesta ante amenazas. Estos procesos se basan en diversas políticas y componentes del sistema, entre los que se incluyen los siguientes:
Hoy en día, la seguridad informática consiste principalmente en medidas preventivas, como cortafuegos o un procedimiento de salida . Un cortafuegos puede definirse como una forma de filtrar datos de red entre un host o una red y otra red, como Internet . Pueden implementarse como software que se ejecuta en la máquina, conectándose a la pila de red (o, en el caso de la mayoría de los sistemas operativos basados en UNIX como Linux , integrado en el núcleo del sistema operativo ) para proporcionar filtrado y bloqueo en tiempo real. [55] Otra implementación es el llamado cortafuegos físico , que consiste en una máquina separada que filtra el tráfico de red. Los cortafuegos son comunes entre las máquinas que están conectadas permanentemente a Internet.
Algunas organizaciones están recurriendo a plataformas de big data , como Apache Hadoop , para ampliar la accesibilidad a los datos y el aprendizaje automático para detectar amenazas persistentes avanzadas . [57]
Para garantizar una seguridad adecuada, se debe proteger la confidencialidad, integridad y disponibilidad de una red, mejor conocida como la tríada CIA, que se considera la base de la seguridad de la información. [58] Para lograr esos objetivos, se deben emplear medidas de seguridad administrativas, físicas y técnicas. El grado de seguridad que se le otorga a un activo solo se puede determinar cuando se conoce su valor. [59]
La gestión de vulnerabilidades es el ciclo de identificación, reparación o mitigación de vulnerabilidades , [60] especialmente en software y firmware . La gestión de vulnerabilidades es parte integral de la seguridad informática y de la seguridad de la red .
Las vulnerabilidades se pueden descubrir con un escáner de vulnerabilidades , que analiza un sistema informático en busca de vulnerabilidades conocidas, [61] como puertos abiertos , configuración de software insegura y susceptibilidad al malware . Para que estas herramientas sean efectivas, deben mantenerse actualizadas con cada nueva actualización que lance el proveedor. Por lo general, estas actualizaciones buscarán las nuevas vulnerabilidades que se introdujeron recientemente.
Además de los análisis de vulnerabilidades, muchas organizaciones contratan auditores de seguridad externos para que realicen pruebas de penetración periódicas en sus sistemas a fin de identificar vulnerabilidades. En algunos sectores, esto es un requisito contractual. [62]
El acto de evaluar y reducir las vulnerabilidades a los ataques cibernéticos se conoce comúnmente como evaluaciones de seguridad de la tecnología de la información . Su objetivo es evaluar los sistemas en busca de riesgos y predecir y probar sus vulnerabilidades. Si bien es posible la verificación formal de la corrección de los sistemas informáticos, [63] [64] aún no es común. Los sistemas operativos verificados formalmente incluyen seL4 , [65] y PikeOS de SYSGO [66] [67] , pero estos representan un porcentaje muy pequeño del mercado.
Es posible reducir las posibilidades de un atacante manteniendo los sistemas actualizados con parches y actualizaciones de seguridad y contratando a personas con experiencia en seguridad. Las grandes empresas con amenazas significativas pueden contratar analistas del Centro de Operaciones de Seguridad (SOC). Estos son especialistas en ciberdefensas, y su función va desde "realizar análisis de amenazas hasta investigar informes de nuevos problemas y preparar y probar planes de recuperación ante desastres". [68]
Si bien no hay medidas que puedan garantizar por completo la prevención de un ataque, estas medidas pueden ayudar a mitigar el daño de posibles ataques. Los efectos de la pérdida o el daño de los datos también se pueden reducir mediante la realización de copias de seguridad y un seguro .
Además de las evaluaciones formales, existen varios métodos para reducir las vulnerabilidades. La autenticación de dos factores es un método para mitigar el acceso no autorizado a un sistema o a información confidencial. [69] Requiere algo que usted sabe: una contraseña o PIN, y algo que usted tiene : una tarjeta, un dispositivo de seguridad, un teléfono celular u otro dispositivo de hardware. Esto aumenta la seguridad ya que una persona no autorizada necesita ambos para obtener acceso.
La protección contra la ingeniería social y los ataques de acceso directo a computadoras (físicos) solo se puede lograr por medios no informáticos, que pueden ser difíciles de implementar, en relación con la confidencialidad de la información. A menudo se requiere capacitación para ayudar a mitigar este riesgo mejorando el conocimiento de las personas sobre cómo protegerse y aumentando la conciencia de las amenazas. [70] Sin embargo, incluso en entornos altamente disciplinados (por ejemplo, organizaciones militares), los ataques de ingeniería social aún pueden ser difíciles de prever y prevenir.
La inoculación, derivada de la teoría de la inoculación , busca prevenir la ingeniería social y otros trucos y trampas fraudulentas inculcando una resistencia a los intentos de persuasión a través de la exposición a intentos similares o relacionados. [71]
La seguridad informática basada en hardware o asistida también ofrece una alternativa a la seguridad informática basada únicamente en software. El uso de dispositivos y métodos como dongles , módulos de plataforma confiables , carcasas que detectan intrusiones, bloqueos de unidades, desactivación de puertos USB y acceso habilitado para dispositivos móviles puede considerarse más seguro debido al acceso físico (o acceso sofisticado por puerta trasera) necesario para verse comprometido. Cada uno de estos se explica con más detalle a continuación.
Un uso del término seguridad informática se refiere a la tecnología que se utiliza para implementar sistemas operativos seguros . El uso de sistemas operativos seguros es una buena forma de garantizar la seguridad informática. Se trata de sistemas que han obtenido la certificación de una organización de auditoría de seguridad externa; las evaluaciones más populares son Common Criteria (CC). [85]
En ingeniería de software, la codificación segura tiene como objetivo proteger contra la introducción accidental de vulnerabilidades de seguridad. También es posible crear software diseñado desde cero para ser seguro. Dichos sistemas son seguros por diseño . Más allá de esto, la verificación formal tiene como objetivo demostrar la corrección de los algoritmos subyacentes a un sistema; [86] importante para los protocolos criptográficos, por ejemplo.
Dentro de los sistemas informáticos, dos de los principales modelos de seguridad capaces de imponer la separación de privilegios son las listas de control de acceso (ACL) y el control de acceso basado en roles (RBAC).
Una lista de control de acceso (ACL), en relación con un sistema de archivos informático, es una lista de permisos asociados a un objeto. Una ACL especifica qué usuarios o procesos del sistema tienen acceso a los objetos, así como qué operaciones están permitidas en determinados objetos.
El control de acceso basado en roles es un enfoque para restringir el acceso al sistema a usuarios autorizados, [87] [88] [89] utilizado por la mayoría de las empresas con más de 500 empleados, [90] y puede implementar control de acceso obligatorio (MAC) o control de acceso discrecional (DAC).
Otro enfoque, la seguridad basada en capacidades , se ha restringido en su mayor parte a los sistemas operativos de investigación. Sin embargo , las capacidades también se pueden implementar a nivel de lenguaje, lo que conduce a un estilo de programación que es esencialmente un refinamiento del diseño orientado a objetos estándar. Un proyecto de código abierto en este ámbito es el lenguaje E.
El usuario final es ampliamente reconocido como el eslabón más débil en la cadena de seguridad [91] y se estima que más del 90% de los incidentes y violaciones de seguridad involucran algún tipo de error humano. [92] [93] Entre las formas de errores y errores de juicio más comúnmente registradas están la mala gestión de contraseñas, el envío de correos electrónicos que contienen datos confidenciales y archivos adjuntos al destinatario equivocado, la incapacidad de reconocer URL engañosas y de identificar sitios web falsos y archivos adjuntos peligrosos en correos electrónicos. Un error común que cometen los usuarios es guardar su identificación de usuario/contraseña en sus navegadores para facilitar el inicio de sesión en sitios bancarios. Esto es un regalo para los atacantes que han obtenido acceso a una máquina por algún medio. El riesgo puede mitigarse mediante el uso de autenticación de dos factores. [94]
Como el componente humano del riesgo cibernético es particularmente relevante para determinar el riesgo cibernético global [95] que enfrenta una organización, la capacitación en concientización sobre seguridad, en todos los niveles, no solo proporciona un cumplimiento formal con los mandatos regulatorios y de la industria, sino que se considera esencial [96] para reducir el riesgo cibernético y proteger a las personas y las empresas de la gran mayoría de las amenazas cibernéticas.
El enfoque en el usuario final representa un cambio cultural profundo para muchos profesionales de seguridad, que tradicionalmente han abordado la ciberseguridad exclusivamente desde una perspectiva técnica, y avanza en la línea sugerida por los principales centros de seguridad [97] para desarrollar una cultura de conciencia cibernética dentro de la organización, reconociendo que un usuario consciente de la seguridad proporciona una importante línea de defensa contra los ataques cibernéticos.
En relación con la formación de los usuarios finales, la higiene digital o ciberhigiene es un principio fundamental relacionado con la seguridad de la información y, como demuestra la analogía con la higiene personal , es el equivalente a establecer medidas rutinarias sencillas para minimizar los riesgos de las amenazas cibernéticas. Se parte del supuesto de que las buenas prácticas de ciberhigiene pueden dar a los usuarios de la red otra capa de protección, reduciendo el riesgo de que un nodo vulnerable se utilice para lanzar ataques o comprometer otro nodo o red, especialmente en el caso de ciberataques comunes. [98] La ciberhigiene tampoco debe confundirse con la ciberdefensa proactiva , un término militar. [99]
Las medidas más habituales de higiene digital pueden incluir la actualización de la protección contra malware, las copias de seguridad en la nube, las contraseñas y la garantía de derechos de administrador restringidos y cortafuegos de red. [100] A diferencia de una defensa contra amenazas basada puramente en la tecnología, la higiene cibernética se refiere principalmente a medidas rutinarias que son técnicamente sencillas de implementar y que dependen en gran medida de la disciplina [101] o la educación. [102] Se puede considerar como una lista abstracta de consejos o medidas que han demostrado tener un efecto positivo en la seguridad digital personal o colectiva. Como tal, estas medidas pueden ser realizadas por personas no especializadas, no solo por expertos en seguridad.
La higiene cibernética se relaciona con la higiene personal de la misma manera que los virus informáticos se relacionan con los virus biológicos (o patógenos). Sin embargo, mientras que el término virus informático se acuñó casi simultáneamente con la creación de los primeros virus informáticos funcionales, [103] el término higiene cibernética es una invención mucho más tardía, tal vez de 2000 [104] por el pionero de Internet Vint Cerf . Desde entonces ha sido adoptado por el Congreso [105] y el Senado de los Estados Unidos, [106] el FBI, [107] instituciones de la UE [98] y jefes de estado. [99]
Responder a los intentos de violación de seguridad suele ser muy difícil por diversos motivos, entre ellos:
Cuando un ataque tiene éxito y se produce una violación de seguridad, muchas jurisdicciones cuentan ahora con leyes obligatorias de notificación de violaciones de seguridad .
El crecimiento del número de sistemas informáticos y la creciente dependencia de ellos por parte de individuos, empresas, industrias y gobiernos significa que hay un número cada vez mayor de sistemas en riesgo.
Los sistemas informáticos de los reguladores financieros y las instituciones financieras como la Comisión de Bolsa y Valores de Estados Unidos , SWIFT, los bancos de inversión y los bancos comerciales son objetivos destacados de piratería para los ciberdelincuentes interesados en manipular los mercados y obtener ganancias ilícitas. [108] Los sitios web y las aplicaciones que aceptan o almacenan números de tarjetas de crédito , cuentas de corretaje e información de cuentas bancarias también son objetivos destacados de piratería, debido al potencial de ganancia financiera inmediata al transferir dinero, realizar compras o vender la información en el mercado negro . [109] Los sistemas de pago en tiendas y los cajeros automáticos también han sido manipulados para recopilar datos de cuentas de clientes y PIN .
El informe de Internet de la UCLA : Surveying the Digital Future (2000) concluyó que la privacidad de los datos personales creaba barreras para las ventas en línea y que más de nueve de cada diez usuarios de Internet estaban algo o muy preocupados por la seguridad de las tarjetas de crédito . [110]
Las tecnologías web más comunes para mejorar la seguridad entre navegadores y sitios web se denominan SSL (Secure Sockets Layer), y su sucesor TLS ( Transport Layer Security ), los servicios de gestión de identidad y autenticación y los servicios de nombres de dominio permiten a las empresas y consumidores participar en comunicaciones y comercio seguros. Varias versiones de SSL y TLS se utilizan comúnmente hoy en día en aplicaciones como la navegación web, el correo electrónico, el fax por Internet, la mensajería instantánea y VoIP (voz sobre IP). Existen varias implementaciones interoperables de estas tecnologías, incluida al menos una implementación que es de código abierto . El código abierto permite que cualquiera vea el código fuente de la aplicación y busque e informe vulnerabilidades.
Las compañías de tarjetas de crédito Visa y MasterCard colaboraron para desarrollar el chip EMV seguro que se incorpora a las tarjetas de crédito. Otros avances incluyen el Programa de Autenticación con Chip , en el que los bancos proporcionan a los clientes lectores de tarjetas portátiles para realizar transacciones seguras en línea. Otros avances en este ámbito incluyen el desarrollo de tecnologías como la emisión instantánea, que ha permitido que los quioscos de los centros comerciales que actúan en nombre de los bancos emitan tarjetas de crédito en el acto a los clientes interesados.
Las computadoras controlan funciones en muchos servicios públicos, incluida la coordinación de las telecomunicaciones , la red eléctrica , las plantas de energía nuclear y la apertura y cierre de válvulas en las redes de agua y gas. Internet es un vector de ataque potencial para tales máquinas si está conectada, pero el gusano Stuxnet demostró que incluso el equipo controlado por computadoras no conectadas a Internet puede ser vulnerable. En 2014, el Equipo de preparación para emergencias informáticas , una división del Departamento de Seguridad Nacional , investigó 79 incidentes de piratería en empresas de energía. [111]
La industria de la aviación depende en gran medida de una serie de sistemas complejos que podrían ser atacados. [112] Un simple corte de energía en un aeropuerto puede causar repercusiones en todo el mundo, [113] gran parte del sistema depende de transmisiones de radio que podrían verse interrumpidas, [114] y controlar aeronaves sobre océanos es especialmente peligroso porque la vigilancia por radar solo se extiende de 175 a 225 millas de la costa. [115] También existe la posibilidad de un ataque desde el interior de una aeronave. [116]
La implementación de correcciones en los sistemas aeroespaciales plantea un desafío singular, ya que el transporte aéreo eficiente se ve muy afectado por el peso y el volumen. Mejorar la seguridad mediante la incorporación de dispositivos físicos a los aviones podría aumentar su peso sin carga y, potencialmente, reducir la capacidad de carga o de pasajeros. [117]
En Europa, con el Servicio de Red Paneuropeo [118] y NewPENS [119] , y en los EE.UU. con el programa NextGen [120] , los proveedores de servicios de navegación aérea están avanzando hacia la creación de sus propias redes dedicadas.
Muchos pasaportes modernos son ahora pasaportes biométricos , que contienen un microchip incorporado que almacena una fotografía digitalizada e información personal como nombre, género y fecha de nacimiento. Además, más países [ ¿cuáles? ] están introduciendo tecnología de reconocimiento facial para reducir el fraude relacionado con la identidad . La introducción del pasaporte electrónico ha ayudado a los funcionarios fronterizos a verificar la identidad del titular del pasaporte, lo que permite un procesamiento rápido de los pasajeros. [121] Hay planes en marcha en los EE. UU., el Reino Unido y Australia para introducir quioscos SmartGate con tecnología de reconocimiento de retina y huellas dactilares . [122] La industria de las aerolíneas está pasando del uso de billetes de papel tradicionales al uso de billetes electrónicos (e-tickets). Esto ha sido posible gracias a los avances en las transacciones en línea con tarjetas de crédito en asociación con las aerolíneas. Las compañías de autobuses de larga distancia [ ¿cuáles? ] también están cambiando a las transacciones de billetes electrónicos en la actualidad.
Las consecuencias de un ataque exitoso varían desde la pérdida de confidencialidad hasta la pérdida de integridad del sistema, interrupciones del control del tráfico aéreo , pérdida de aeronaves e incluso pérdida de vidas.
Las computadoras de escritorio y portátiles son comúnmente el objetivo de recopilar contraseñas o información de cuentas financieras o para construir una botnet para atacar a otro objetivo. Los teléfonos inteligentes , las tabletas , los relojes inteligentes y otros dispositivos móviles como los dispositivos de autocuantificación como los rastreadores de actividad tienen sensores como cámaras, micrófonos, receptores GPS, brújulas y acelerómetros que podrían ser explotados y pueden recopilar información personal, incluida información de salud confidencial. Las redes WiFi, Bluetooth y de teléfonos celulares en cualquiera de estos dispositivos podrían usarse como vectores de ataque, y los sensores podrían activarse de forma remota después de una violación exitosa. [123]
El creciente número de dispositivos de automatización del hogar, como el termostato Nest, también son objetivos potenciales. [123]
Hoy en día, muchos proveedores de atención médica y compañías de seguros de salud utilizan Internet para ofrecer productos y servicios mejorados, por ejemplo, mediante el uso de telesalud para ofrecer potencialmente una mejor calidad y acceso a la atención médica, o rastreadores de actividad física para reducir las primas de seguro.
La empresa de atención médica Humana se asocia con WebMD , Oracle Corporation , EDS y Microsoft para permitir a sus miembros acceder a sus registros de atención médica, así como para proporcionar una descripción general de los planes de atención médica. [124] Los registros de pacientes se colocan cada vez más en redes internas seguras, aliviando la necesidad de espacio de almacenamiento adicional. [125]
Las grandes corporaciones son objetivos habituales. En muchos casos, los ataques tienen como objetivo obtener beneficios económicos a través del robo de identidad e implican violaciones de datos . Algunos ejemplos incluyen la pérdida de datos financieros y de tarjetas de crédito de millones de clientes por parte de Home Depot , [126] Staples , [127] Target Corporation , [128] y Equifax . [129]
Los registros médicos han sido blanco de robos de identidad en general, fraudes de seguros de salud y suplantación de identidad de pacientes para obtener medicamentos recetados con fines recreativos o para revenderlos. [130] Aunque las amenazas cibernéticas siguen aumentando, el 62% de todas las organizaciones no aumentaron la capacitación en seguridad para sus negocios en 2015. [131]
Sin embargo, no todos los ataques tienen motivaciones económicas: la empresa de seguridad HBGary Federal sufrió una serie de ataques graves en 2011 por parte del grupo hacktivista Anonymous en represalia porque el director ejecutivo de la empresa afirmó haberse infiltrado en su grupo, [132] [133] y Sony Pictures fue hackeada en 2014 con el aparente doble motivo de avergonzar a la empresa a través de filtraciones de datos y paralizarla borrando estaciones de trabajo y servidores. [134] [135]
Los vehículos están cada vez más informatizados, con sincronización del motor, control de crucero , frenos antibloqueo , tensores de cinturones de seguridad, cerraduras de puertas, airbags y sistemas avanzados de asistencia al conductor en muchos modelos. Además, los coches conectados pueden utilizar WiFi y Bluetooth para comunicarse con los dispositivos de consumo a bordo y la red de telefonía móvil. [136] Se espera que los coches autónomos sean aún más complejos. Todos estos sistemas conllevan algunos riesgos de seguridad, y estas cuestiones han ganado una amplia atención. [137] [138] [139]
Algunos ejemplos de riesgo son el uso de un CD malicioso como vector de ataque [140] y el uso de los micrófonos de a bordo del automóvil para espiar. Sin embargo, si se obtiene acceso a la red de área de control interna de un automóvil , el peligro es mucho mayor [136] ; y en una prueba de 2015 ampliamente publicitada, los piratas informáticos secuestraron un vehículo a distancia desde 10 millas de distancia y lo condujeron hasta una zanja [141] [142] .
Los fabricantes están reaccionando de diversas maneras. En 2016, Tesla lanzó algunas correcciones de seguridad por aire en los sistemas informáticos de sus automóviles. [143] En el área de vehículos autónomos, en septiembre de 2016, el Departamento de Transporte de los Estados Unidos anunció algunas normas de seguridad iniciales y pidió a los estados que elaboraran políticas uniformes. [144] [145] [146]
Además, se están desarrollando licencias de conducir electrónicas utilizando la misma tecnología. Por ejemplo, la autoridad de licencias de México (ICV) ha utilizado una plataforma de tarjeta inteligente para emitir las primeras licencias de conducir electrónicas en la ciudad de Monterrey , en el estado de Nuevo León . [147]
Las compañías navieras [148] han adoptado la tecnología RFID (identificación por radiofrecuencia) como un dispositivo de seguimiento eficiente y digitalmente seguro . A diferencia de un código de barras , la RFID se puede leer a una distancia de hasta 20 pies. La RFID es utilizada por FedEx [149] y UPS [150] .
Los sistemas informáticos gubernamentales y militares son comúnmente atacados por activistas [151] [152] [153] y potencias extranjeras. [154] [155] [156] [157] Infraestructura de los gobiernos locales y regionales, como controles de semáforos , comunicaciones de la policía y agencias de inteligencia, registros de personal , así como registros de estudiantes. [158]
El FBI , la CIA y el Pentágono utilizan tecnología de acceso controlado seguro para cualquiera de sus edificios. Sin embargo, el uso de esta forma de tecnología se está extendiendo al mundo empresarial. Cada vez más empresas están aprovechando el desarrollo de la tecnología de acceso controlado seguro digitalmente. ACUVision de GE, por ejemplo, ofrece una plataforma de panel único para control de acceso, monitoreo de alarmas y grabación digital. [159]
La Internet de las cosas (IoT) es la red de objetos físicos, como dispositivos, vehículos y edificios, que incorporan componentes electrónicos , software , sensores y conectividad de red que les permite recopilar e intercambiar datos. [160] Se han planteado inquietudes respecto de que esto se está desarrollando sin tener en cuenta adecuadamente los desafíos de seguridad que implica. [161] [162]
Si bien la IoT crea oportunidades para una integración más directa del mundo físico en los sistemas informáticos, [163] [164] también ofrece oportunidades para el uso indebido. En particular, a medida que la Internet de las cosas se expande ampliamente, es probable que los ciberataques se conviertan en una amenaza cada vez más física (en lugar de simplemente virtual). [165] Si la cerradura de una puerta de entrada está conectada a Internet y se puede bloquear o desbloquear desde un teléfono, entonces un delincuente podría ingresar a la casa con solo presionar un botón desde un teléfono robado o pirateado. Las personas podrían perder mucho más que sus números de tarjeta de crédito en un mundo controlado por dispositivos habilitados para IoT. Los ladrones también han utilizado medios electrónicos para burlar las cerraduras de las puertas de los hoteles que no están conectadas a Internet. [166]
Un ataque dirigido a la infraestructura física o a la vida humana suele denominarse ataque cibercinético. A medida que los dispositivos y aparatos de IoT se generalizan, la prevalencia y el daño potencial de los ataques cibercinéticos pueden aumentar sustancialmente.
Los dispositivos médicos han sido atacados con éxito o se han demostrado vulnerabilidades potencialmente mortales, incluidos tanto equipos de diagnóstico intrahospitalarios [167] como dispositivos implantados, incluidos marcapasos [168] y bombas de insulina . [169] Hay muchos informes de hospitales y organizaciones hospitalarias que han sido pirateados, incluidos ataques de ransomware , [170] [171] [172] [173] exploits de Windows XP , [174] [175] virus, [176] [177] y violaciones de datos confidenciales almacenados en servidores hospitalarios. [178] [171] [179] [180] El 28 de diciembre de 2016, la Administración de Alimentos y Medicamentos de los EE. UU. publicó sus recomendaciones sobre cómo los fabricantes de dispositivos médicos deberían mantener la seguridad de los dispositivos conectados a Internet, pero no hay una estructura para su aplicación. [181] [182]
En los sistemas de generación distribuida, el riesgo de un ciberataque es real, según Daily Energy Insider . Un ataque podría causar una pérdida de energía en una gran área durante un largo período de tiempo, y un ataque de este tipo podría tener consecuencias tan graves como un desastre natural. El Distrito de Columbia está considerando la creación de una Autoridad de Recursos Energéticos Distribuidos (DER) dentro de la ciudad, con el objetivo de que los clientes tengan más conocimiento de su propio uso de energía y dar a la empresa eléctrica local, Pepco , la oportunidad de estimar mejor la demanda de energía. La propuesta del DC, sin embargo, "permitiría a los proveedores externos crear numerosos puntos de distribución de energía, lo que potencialmente podría crear más oportunidades para que los atacantes cibernéticos amenacen la red eléctrica". [183]
Tal vez el dispositivo de telecomunicaciones digitalmente seguro más conocido sea la tarjeta SIM (módulo de identidad del abonado), un dispositivo que se incorpora a la mayoría de los dispositivos celulares del mundo antes de que se pueda obtener cualquier servicio. La tarjeta SIM es sólo el comienzo de este entorno digitalmente seguro.
El borrador de la norma de servidores web de tarjetas inteligentes (SCWS) define las interfaces con un servidor HTTP en una tarjeta inteligente . [184] Se están realizando pruebas para proteger la información de pago y de tarjeta de crédito vía OTA ("over-the-air") desde y hacia un teléfono móvil. Se están desarrollando dispositivos combinados SIM/DVD mediante la tecnología de tarjetas de vídeo inteligentes que incorpora un disco óptico compatible con DVD en el cuerpo de la tarjeta de una tarjeta SIM normal.
Otros avances en telecomunicaciones que involucran seguridad digital incluyen las firmas móviles , que utilizan la tarjeta SIM incorporada para generar una firma electrónica legalmente vinculante .
Las violaciones de seguridad han causado graves daños financieros , pero como no existe un modelo estándar para calcular el coste de un incidente, los únicos datos disponibles son los que publican las organizaciones implicadas. "Varias empresas de consultoría en seguridad informática elaboran estimaciones de las pérdidas totales mundiales atribuibles a los ataques de virus y gusanos y a los actos digitales hostiles en general. Las estimaciones de pérdidas de 2003 realizadas por estas empresas oscilan entre 13.000 millones de dólares (sólo gusanos y virus) y 226.000 millones de dólares (para todas las formas de ataques encubiertos). La fiabilidad de estas estimaciones se pone a menudo en tela de juicio; la metodología subyacente es básicamente anecdótica". [185]
Sin embargo, las estimaciones razonables del costo financiero de las violaciones de seguridad pueden ayudar a las organizaciones a tomar decisiones de inversión racionales. Según el modelo clásico de Gordon-Loeb que analiza el nivel óptimo de inversión en seguridad de la información, se puede concluir que la cantidad que una empresa gasta para proteger la información debería ser, en general, solo una pequeña fracción de la pérdida esperada (es decir, el valor esperado de la pérdida resultante de una violación de la seguridad cibernética o de la información ). [186]
Al igual que con la seguridad física , las motivaciones para las violaciones de la seguridad informática varían según los atacantes. Algunos son buscadores de emociones o vándalos , algunos son activistas, otros son delincuentes que buscan ganancias económicas. Los atacantes patrocinados por el Estado son ahora comunes y cuentan con buenos recursos, pero comenzaron con aficionados como Markus Hess, que pirateaba para la KGB , como relata Clifford Stoll en The Cuckoo's Egg .
Las motivaciones de los atacantes pueden variar para todo tipo de ataques, desde el placer hasta los objetivos políticos. [15] Por ejemplo, los "hacktivistas" pueden atacar a una empresa u organización que realiza actividades con las que no están de acuerdo. Esto sería para crear mala publicidad para la empresa haciendo que su sitio web se caiga.
Los piratas informáticos de gran capacidad, a menudo con un mayor respaldo o patrocinio estatal, pueden atacar en función de las demandas de sus patrocinadores financieros. Es más probable que estos ataques intenten un ataque más serio. Un ejemplo de un ataque más serio fue el hackeo de la red eléctrica de Ucrania en 2015 , que supuestamente utilizó el spear-phishing, la destrucción de archivos y los ataques de denegación de servicio para llevar a cabo el ataque completo. [187] [188]
Además, las motivaciones recientes de los atacantes se pueden remontar a organizaciones extremistas que buscan obtener ventajas políticas o perturbar agendas sociales. [189] El crecimiento de Internet, las tecnologías móviles y los dispositivos informáticos económicos han llevado a un aumento de las capacidades, pero también del riesgo para los entornos que se consideran vitales para las operaciones. Todos los entornos críticos objetivo son susceptibles de ser comprometidos y esto ha llevado a una serie de estudios proactivos sobre cómo migrar el riesgo teniendo en cuenta las motivaciones de este tipo de actores. Existen varias diferencias marcadas entre la motivación de los hackers y la de los actores de los estados nacionales que buscan atacar basándose en una preferencia ideológica. [190]
Un aspecto clave del modelado de amenazas para cualquier sistema es identificar las motivaciones detrás de los ataques potenciales y los individuos o grupos que probablemente los lleven a cabo. El nivel y el detalle de las medidas de seguridad variarán según el sistema específico que se esté protegiendo. Por ejemplo, una computadora personal doméstica, un banco y una red militar clasificada enfrentan amenazas distintas, a pesar de utilizar tecnologías subyacentes similares. [191]
La gestión de incidentes de seguridad informática es un enfoque organizado para abordar y gestionar las consecuencias de un incidente o compromiso de seguridad informática con el objetivo de prevenir una violación o frustrar un ciberataque. Un incidente que no se identifica y gestiona en el momento de la intrusión normalmente se intensifica hasta convertirse en un evento más dañino, como una violación de datos o una falla del sistema. El resultado previsto de un plan de respuesta a incidentes de seguridad informática es contener el incidente, limitar el daño y ayudar a la recuperación de la actividad normal. Responder a los compromisos rápidamente puede mitigar las vulnerabilidades explotadas, restaurar servicios y procesos y minimizar las pérdidas. [192] La planificación de la respuesta a incidentes permite a una organización establecer una serie de mejores prácticas para detener una intrusión antes de que cause daños. Los planes de respuesta a incidentes típicos contienen un conjunto de instrucciones escritas que describen la respuesta de la organización a un ciberataque. Sin un plan documentado, una organización puede no detectar con éxito una intrusión o compromiso y las partes interesadas pueden no comprender sus funciones, procesos y procedimientos durante una escalada, lo que ralentiza la respuesta y la resolución de la organización.
Hay cuatro componentes clave de un plan de respuesta a incidentes de seguridad informática:
A continuación se ofrecen algunos ejemplos ilustrativos de diferentes tipos de violaciones de seguridad informática.
En 1988, 60.000 ordenadores estaban conectados a Internet, y la mayoría eran mainframes, miniordenadores y estaciones de trabajo profesionales. El 2 de noviembre de 1988, muchos empezaron a funcionar más despacio, porque estaban ejecutando un código malicioso que exigía tiempo de procesador y que se propagaba a otros ordenadores: el primer gusano informático de Internet . [194] El origen del software se remonta a Robert Tappan Morris, un estudiante de posgrado de la Universidad de Cornell de 23 años, que dijo "quería contar cuántas máquinas estaban conectadas a Internet". [194]
En 1994, piratas informáticos no identificados realizaron más de cien intrusiones en el Laboratorio Rome , la principal instalación de comando e investigación de la Fuerza Aérea de los Estados Unidos. Utilizando caballos de Troya , los piratas informáticos pudieron obtener acceso sin restricciones a los sistemas de red de Rome y eliminar rastros de sus actividades. Los intrusos pudieron obtener archivos clasificados, como datos de sistemas de órdenes de tareas aéreas y, además, pudieron penetrar en las redes conectadas del Centro de Vuelo Espacial Goddard de la Administración Nacional de Aeronáutica y del Espacio , la Base Aérea Wright-Patterson, algunos contratistas de Defensa y otras organizaciones del sector privado, haciéndose pasar por un usuario confiable del centro Rome. [195]
A principios de 2007, la empresa estadounidense de ropa y artículos para el hogar TJX anunció que había sido víctima de una intrusión no autorizada en sus sistemas informáticos [196] y que los piratas informáticos habían accedido a un sistema que almacenaba datos sobre transacciones con tarjetas de crédito , tarjetas de débito , cheques y devoluciones de mercancías. [197]
En 2010, el gusano informático conocido como Stuxnet arruinó, según se informa, casi una quinta parte de las centrifugadoras nucleares de Irán . [198] Lo hizo al interrumpir los controladores lógicos programables (PLC) industriales en un ataque dirigido. Se cree que este ataque fue lanzado por Israel y los Estados Unidos para interrumpir el programa nuclear de Irán [199] [200] [201] [202] , aunque ninguno de los dos lo ha admitido públicamente.
A principios de 2013, el Washington Post y el Guardian publicaron documentos proporcionados por Edward Snowden [203] [204] que exponían la escala masiva de la vigilancia global de la NSA . También hubo indicios de que la NSA podría haber insertado una puerta trasera en un estándar del NIST para el cifrado. [205] Este estándar fue retirado más tarde debido a las críticas generalizadas. [206] Además, se reveló que la NSA había intervenido los vínculos entre los centros de datos de Google . [207]
Un hacker ucraniano conocido como Rescator irrumpió en los ordenadores de Target Corporation en 2013, robando aproximadamente 40 millones de tarjetas de crédito [208] , y luego en los ordenadores de Home Depot en 2014, robando entre 53 y 56 millones de números de tarjetas de crédito [209] . Se enviaron advertencias a ambas corporaciones, pero fueron ignoradas; se cree que las brechas de seguridad física mediante el uso de máquinas de autopago han jugado un papel importante. "El malware utilizado es absolutamente poco sofisticado y poco interesante", dice Jim Walter, director de operaciones de inteligencia de amenazas en la empresa de tecnología de seguridad McAfee, lo que significa que los robos podrían haberse detenido fácilmente con el software antivirus existente si los administradores hubieran respondido a las advertencias. La magnitud de los robos ha provocado una gran atención de las autoridades estatales y federales de los Estados Unidos y la investigación está en curso.
En abril de 2015, la Oficina de Gestión de Personal descubrió que había sido hackeada más de un año antes en una violación de datos, lo que resultó en el robo de aproximadamente 21,5 millones de registros de personal manejados por la oficina. [210] El hackeo de la Oficina de Gestión de Personal ha sido descrito por funcionarios federales como una de las mayores violaciones de datos gubernamentales en la historia de los Estados Unidos. [211] Los datos objeto de la violación incluían información de identificación personal como números de Seguro Social , nombres, fechas y lugares de nacimiento, direcciones y huellas dactilares de empleados gubernamentales actuales y anteriores, así como de cualquier persona que se hubiera sometido a una verificación de antecedentes del gobierno. [212] [213] Se cree que el hackeo fue perpetrado por piratas informáticos chinos. [214]
En julio de 2015, un grupo de hackers conocido como The Impact Team vulneró con éxito el sitio web de relaciones extramatrimoniales Ashley Madison, creado por Avid Life Media. El grupo afirmó que no solo habían tomado datos de la empresa, sino también datos de los usuarios. Después de la vulneración, The Impact Team filtró correos electrónicos del director ejecutivo de la empresa, para demostrar su punto, y amenazó con filtrar los datos de los clientes a menos que el sitio web se cerrara de forma permanente. [215] Cuando Avid Life Media no sacó el sitio de línea, el grupo publicó dos archivos comprimidos más, uno de 9,7 GB y el segundo de 20 GB. Después del segundo volcado de datos, el director ejecutivo de Avid Life Media, Noel Biderman, renunció; pero el sitio web siguió funcionando.
En junio de 2021, un ciberataque derribó el oleoducto de combustible más grande de Estados Unidos y provocó escasez en toda la costa este. [216]
Las cuestiones jurídicas internacionales de los ciberataques son de naturaleza complicada. No existe una base global de reglas comunes para juzgar, y eventualmente castigar, los delitos cibernéticos y a los cibercriminales, y cuando las empresas o agencias de seguridad localizan al cibercriminal detrás de la creación de una pieza particular de malware o forma de ciberataque , a menudo las autoridades locales no pueden tomar medidas debido a la falta de leyes bajo las cuales procesarlo. [217] [218] Probar la atribución de delitos y ciberataques cibernéticos también es un problema importante para todas las agencias de aplicación de la ley. " Los virus informáticos cambian de un país a otro, de una jurisdicción a otra, moviéndose por el mundo, aprovechando el hecho de que no tenemos la capacidad de vigilar globalmente operaciones como esta. De modo que Internet es como si alguien [hubiera] dado boletos de avión gratis a todos los criminales en línea del mundo". [217] El uso de técnicas como DNS dinámico , fast flux y servidores a prueba de balas se suma a la dificultad de la investigación y la aplicación de la ley.
El papel del gobierno es crear regulaciones para obligar a las empresas y organizaciones a proteger sus sistemas, infraestructura e información de cualquier ciberataque, pero también proteger su propia infraestructura nacional, como la red eléctrica nacional . [219]
El papel regulador del gobierno en el ciberespacio es complicado. Para algunos, el ciberespacio era visto como un espacio virtual que debía permanecer libre de la intervención gubernamental, como se puede ver en muchos de los debates libertarios actuales sobre la cadena de bloques y el bitcoin . [220]
Muchos funcionarios gubernamentales y expertos piensan que el gobierno debería hacer más y que existe una necesidad crucial de mejorar la regulación, principalmente debido al fracaso del sector privado para resolver de manera eficiente el problema de la ciberseguridad. R. Clarke dijo durante un panel de discusión en la Conferencia de Seguridad RSA en San Francisco , que cree que "la industria solo responde cuando se amenaza con la regulación. Si la industria no responde (a la amenaza), hay que seguir adelante". [221] Por otro lado, los ejecutivos del sector privado están de acuerdo en que son necesarias mejoras, pero piensan que la intervención del gobierno afectaría su capacidad para innovar de manera eficiente. Daniel R. McCarthy analizó esta asociación público-privada en materia de ciberseguridad y reflexionó sobre el papel de la ciberseguridad en la constitución más amplia del orden político. [222]
El 22 de mayo de 2020, el Consejo de Seguridad de las Naciones Unidas celebró su segunda reunión informal sobre ciberseguridad para centrarse en los desafíos cibernéticos a la paz internacional . Según el Secretario General de las Naciones Unidas, António Guterres , las nuevas tecnologías se utilizan con demasiada frecuencia para violar derechos. [223]
Existen muchos equipos y organizaciones diferentes, entre ellos:
El 14 de abril de 2016, el Parlamento Europeo y el Consejo de la Unión Europea adoptaron el Reglamento General de Protección de Datos (RGPD). El RGPD, que entró en vigor el 25 de mayo de 2018, otorga a las personas físicas dentro de la Unión Europea (UE) y el Espacio Económico Europeo (EEE) el derecho a la protección de los datos personales . El reglamento exige que cualquier entidad que procese datos personales incorpore la protección de datos desde el diseño y por defecto. También exige que determinadas organizaciones designen un Delegado de Protección de Datos (DPO).
La mayoría de los países tienen su propio equipo de respuesta a emergencias informáticas para proteger la seguridad de la red.
Desde 2010, Canadá cuenta con una estrategia de ciberseguridad. [229] [230] Esta funciona como un documento equivalente a la Estrategia Nacional y Plan de Acción para Infraestructura Crítica. [231] La estrategia tiene tres pilares principales: proteger los sistemas gubernamentales, proteger los sistemas cibernéticos privados vitales y ayudar a los canadienses a estar seguros en línea. [230] [231] También existe un Marco de Gestión de Incidentes Cibernéticos para proporcionar una respuesta coordinada en caso de un incidente cibernético. [232] [233]
El Centro Canadiense de Respuesta a Incidentes Cibernéticos (CCIRC) es responsable de mitigar y responder a las amenazas a la infraestructura crítica y los sistemas cibernéticos de Canadá. Proporciona apoyo para mitigar las amenazas cibernéticas, apoyo técnico para responder y recuperarse de ataques cibernéticos dirigidos y proporciona herramientas en línea para los miembros de los sectores de infraestructura crítica de Canadá. [234] Publica boletines periódicos sobre ciberseguridad [235] y opera una herramienta de informes en línea donde las personas y las organizaciones pueden informar sobre un incidente cibernético. [236]
Para informar al público en general sobre cómo protegerse en línea, Seguridad Pública Canadá se ha asociado con STOP.THINK.CONNECT, una coalición de organizaciones sin fines de lucro, del sector privado y gubernamentales, [237] y lanzó el Programa de Cooperación en Seguridad Cibernética. [238] [239] También administran el portal GetCyberSafe para ciudadanos canadienses y el Mes de Concientización sobre Seguridad Cibernética durante octubre. [240]
Seguridad Pública de Canadá se propone iniciar una evaluación de la estrategia de ciberseguridad de Canadá a principios de 2015. [231]
El gobierno federal australiano anunció una inversión de 18,2 millones de dólares para fortalecer la resiliencia en materia de ciberseguridad de las pequeñas y medianas empresas (PYME) y mejorar sus capacidades para responder a las amenazas cibernéticas. Este respaldo financiero es un componente integral de la Estrategia Australiana de Ciberseguridad 2023-2030, que se dará a conocer próximamente y que se publicará esta semana. Se ha destinado una importante partida de 7,2 millones de dólares para el establecimiento de un programa voluntario de comprobación de la salud cibernética, que facilite a las empresas la realización de una autoevaluación integral y personalizada de sus conocimientos de ciberseguridad.
Esta vanguardista evaluación sanitaria sirve como herramienta de diagnóstico que permite a las empresas determinar la solidez de las normas de ciberseguridad de Australia. Además, les ofrece acceso a un repositorio de materiales y recursos educativos que fomentan la adquisición de las habilidades necesarias para adoptar una postura de ciberseguridad superior. Esta innovadora iniciativa fue presentada conjuntamente por la Ministra de Ciberseguridad Clare O'Neil y la Ministra de Pequeñas Empresas Julie Collins . [241]
Algunas disposiciones sobre ciberseguridad se han incorporado a las normas elaboradas en virtud de la Ley de Tecnología de la Información de 2000. [242]
La Política Nacional de Seguridad Cibernética de 2013 es un marco de políticas del Ministerio de Electrónica y Tecnología de la Información (MeitY) que tiene como objetivo proteger la infraestructura pública y privada de los ciberataques y salvaguardar "la información, como la información personal (de los usuarios de Internet), la información financiera y bancaria y los datos soberanos". CERT-In es la agencia nodal que monitorea las amenazas cibernéticas en el país. También se ha creado el puesto de Coordinador Nacional de Seguridad Cibernética en la Oficina del Primer Ministro (PMO) .
La Ley de Sociedades de la India de 2013 también ha introducido obligaciones en materia de ciberseguridad y ciberlegislación por parte de los directores indios. Algunas disposiciones en materia de ciberseguridad se han incorporado a las normas elaboradas en virtud de la Ley de Tecnología de la Información de 2000, actualizada en 2013. [243]
Tras los ciberataques de la primera mitad de 2013, cuando se vieron comprometidos el gobierno, los medios de comunicación, las estaciones de televisión y los sitios web de los bancos, el gobierno nacional se comprometió a formar a 5.000 nuevos expertos en ciberseguridad para 2017. El gobierno de Corea del Sur culpó a su homólogo del norte por estos ataques, así como por los incidentes ocurridos en 2009, 2011 [244] y 2012, pero Pyongyang niega las acusaciones. [245]
Estados Unidos tiene su primer plan cibernético completamente formado en 15 años, como resultado de la publicación de este plan cibernético nacional. [246] En esta política, Estados Unidos dice que: protegerá al país manteniendo seguras las redes, los sistemas, las funciones y los datos; promoverá la riqueza estadounidense construyendo una economía digital fuerte y alentando una fuerte innovación interna; se debe mantener la paz y la seguridad facilitando que Estados Unidos impida que las personas usen herramientas informáticas para cosas malas, trabajando con amigos y socios para hacer esto; y aumentará el impacto de Estados Unidos en todo el mundo para apoyar las ideas principales detrás de una Internet abierta, segura, confiable y compatible. [247]
La nueva estrategia cibernética de Estados Unidos [248] busca disipar algunas de esas preocupaciones promoviendo un comportamiento responsable en el ciberespacio , instando a las naciones a adherirse a un conjunto de normas, tanto a través del derecho internacional como de estándares voluntarios. También exige medidas específicas para fortalecer las redes del gobierno estadounidense frente a ataques, como la intrusión en junio de 2015 en la Oficina de Gestión de Personal (OPM) de Estados Unidos, que comprometió los registros de unos 4,2 millones de empleados gubernamentales actuales y anteriores. Y la estrategia exige que Estados Unidos continúe identificando y avergonzando a los malos actores cibernéticos, denunciándolos públicamente por los ataques cuando sea posible, junto con el uso de sanciones económicas y presión diplomática. [249]
La Ley de Fraude y Abuso Informático de 1986, 18 USC § 1030, es la legislación clave. Prohíbe el acceso no autorizado o el daño a computadoras protegidas , tal como se define en . Aunque se han propuesto otras medidas [250] [251] , ninguna ha tenido éxito.
En 2013, se firmó la orden ejecutiva 13636 para mejorar la ciberseguridad de la infraestructura crítica , lo que impulsó la creación del Marco de Ciberseguridad del NIST .
En respuesta al ataque de ransomware a Colonial Pipeline [252], el presidente Joe Biden firmó la Orden Ejecutiva 14028 [253] el 12 de mayo de 2021, para aumentar los estándares de seguridad del software para las ventas al gobierno, reforzar la detección y la seguridad en los sistemas existentes, mejorar el intercambio de información y la capacitación, establecer una Junta de Revisión de Seguridad Cibernética y mejorar la respuesta a incidentes.
La Administración de Servicios Generales (GSA) ha estandarizado [ ¿cuándo? ] el servicio de pruebas de penetración como un servicio de soporte previamente examinado, para abordar rápidamente las vulnerabilidades potenciales y detener a los adversarios antes de que afecten a los gobiernos federales, estatales y locales de los EE. UU. Estos servicios se conocen comúnmente como Servicios de Ciberseguridad Altamente Adaptativos (HACS).
El Departamento de Seguridad Nacional tiene una división dedicada responsable del sistema de respuesta, el programa de gestión de riesgos y los requisitos de ciberseguridad en los Estados Unidos llamada División Nacional de Ciberseguridad . [254] [255] La división es el hogar de las operaciones del US-CERT y del Sistema Nacional de Alerta Cibernética. [255] El Centro Nacional de Integración de Comunicaciones y Ciberseguridad reúne a las organizaciones gubernamentales responsables de proteger las redes informáticas y la infraestructura en red. [256]
La tercera prioridad del FBI es: "Proteger a los Estados Unidos contra ataques cibernéticos y delitos de alta tecnología", [257] y ellos, junto con el Centro Nacional de Delitos de Cuello Blanco (NW3C) y la Oficina de Asistencia Judicial (BJA) son parte del grupo de trabajo multiinstitucional, el Centro de Quejas de Delitos en Internet , también conocido como IC3. [258]
Además de sus funciones específicas, el FBI participa junto a organizaciones sin fines de lucro como InfraGard . [259] [260]
La Sección de Delitos Informáticos y Propiedad Intelectual (CCIPS) opera en la División Penal del Departamento de Justicia de los Estados Unidos . La CCIPS está a cargo de investigar los delitos informáticos y los delitos contra la propiedad intelectual y está especializada en la búsqueda e incautación de evidencia digital en computadoras y redes . [261] En 2017, la CCIPS publicó A Framework for a Vulnerability Disclosure Program for Online Systems para ayudar a las organizaciones a "describir claramente la conducta autorizada de descubrimiento y divulgación de vulnerabilidades, reduciendo así sustancialmente la probabilidad de que dichas actividades descritas resulten en una violación civil o penal de la ley bajo la Ley de Fraude y Abuso Informático (18 USC § 1030)". [262]
El Comando Cibernético de los Estados Unidos , también conocido como USCYBERCOM, "tiene la misión de dirigir, sincronizar y coordinar la planificación y las operaciones en el ciberespacio para defender y promover los intereses nacionales en colaboración con socios nacionales e internacionales". [263] No tiene ningún papel en la protección de las redes civiles. [264] [265]
El papel de la Comisión Federal de Comunicaciones de los Estados Unidos en materia de ciberseguridad es fortalecer la protección de la infraestructura de comunicaciones crítica, ayudar a mantener la confiabilidad de las redes durante los desastres, ayudar a una recuperación rápida después de ellos y garantizar que los equipos de primera respuesta tengan acceso a servicios de comunicaciones eficaces. [266]
La Administración de Alimentos y Medicamentos ha publicado una guía para dispositivos médicos, [267] y la Administración Nacional de Seguridad del Tráfico en las Carreteras [268] está preocupada por la ciberseguridad automotriz. Después de ser criticada por la Oficina de Responsabilidad Gubernamental , [269] y después de ataques exitosos en aeropuertos y supuestos ataques en aviones, la Administración Federal de Aviación ha dedicado fondos a proteger los sistemas a bordo de los aviones de fabricantes privados y el Sistema de Direccionamiento y Notificación de Comunicaciones de Aeronaves . [270] También se han planteado preocupaciones sobre el futuro Sistema de Transporte Aéreo de Próxima Generación . [271]
En 2004, el Departamento de Defensa de los Estados Unidos (DoD) emitió la Directiva DoD 8570, complementada por la Directiva DoD 8140, que exige que todos los empleados del DoD y todo el personal contratado del DoD que participe en funciones y actividades de garantía de la información obtengan y mantengan diversas certificaciones de tecnología de la información (TI) en un esfuerzo por garantizar que todo el personal del DoD involucrado en la defensa de la infraestructura de la red tenga niveles mínimos de conocimientos, habilidades y capacidades (KSA) reconocidos por la industria de TI. Andersson y Reimers (2019) informan que estas certificaciones van desde A+ y Security+ de CompTIA hasta CISSP de ICS2.org, etc. [272]
El equipo de respuesta ante emergencias informáticas es el nombre que se da a los grupos de expertos que se encargan de los incidentes de seguridad informática. En Estados Unidos existen dos organizaciones distintas, aunque trabajan en estrecha colaboración.
En el contexto de las centrales nucleares de Estados Unidos , la Comisión Reguladora Nuclear de Estados Unidos (NRC) describe los requisitos de ciberseguridad en virtud de la Parte 73 del Título 10 del CFR , específicamente en el §73.54. [274]
El documento NEI 08-09 del Instituto de Energía Nuclear , Cyber Security Plan for Nuclear Power Reactors [275] , describe un marco integral para la ciberseguridad en la industria de la energía nuclear . Redactada con aportes de la NRC de los Estados Unidos , esta directriz es fundamental para ayudar a los licenciatarios a cumplir con el Código de Regulaciones Federales (CFR) , que exige una protección sólida de los equipos y computadoras digitales y los sistemas de comunicaciones en las plantas de energía nuclear contra las amenazas cibernéticas. [276]
Existe una creciente preocupación por la posibilidad de que el ciberespacio se convierta en el próximo escenario de guerra. Como escribió Mark Clayton, de The Christian Science Monitor, en un artículo de 2015 titulado "La nueva carrera armamentista cibernética":
En el futuro, las guerras no sólo serán libradas por soldados con armas o con aviones que lanzan bombas. También se librarán con un clic de ratón a medio mundo de distancia que activará programas informáticos cuidadosamente armados que perturbarán o destruirán sectores críticos como los de servicios públicos, transporte, comunicaciones y energía. Estos ataques también podrían inutilizar las redes militares que controlan el movimiento de tropas, la trayectoria de los aviones de combate y el mando y control de los buques de guerra. [277]
Esto ha dado lugar a nuevos términos como guerra cibernética y terrorismo cibernético . El Comando Cibernético de los Estados Unidos se creó en 2009 [278] y muchos otros países tienen fuerzas similares .
Hay algunas voces críticas que cuestionan si la ciberseguridad es una amenaza tan importante como se la presenta. [279] [280] [281]
La ciberseguridad es un campo de TI en rápido crecimiento que se ocupa de reducir el riesgo de que las organizaciones sufran ataques informáticos o violaciones de datos. [282] Según una investigación del Enterprise Strategy Group, el 46 % de las organizaciones afirman que tienen una "escasez problemática" de habilidades en ciberseguridad en 2016, frente al 28 % en 2015. [283] Las organizaciones comerciales, gubernamentales y no gubernamentales emplean profesionales en ciberseguridad. Los aumentos más rápidos en la demanda de trabajadores en ciberseguridad se dan en industrias que gestionan volúmenes cada vez mayores de datos de consumidores, como las finanzas, la atención médica y el comercio minorista. [284] Sin embargo, el uso del término ciberseguridad es más frecuente en las descripciones de puestos de trabajo gubernamentales. [285]
Los títulos y descripciones de puestos de trabajo típicos en materia de ciberseguridad incluyen: [286]
También hay programas para estudiantes disponibles para personas interesadas en comenzar una carrera en ciberseguridad. [290] [291] Mientras tanto, una opción flexible y eficaz para que los profesionales de la seguridad de la información de todos los niveles de experiencia sigan estudiando es la capacitación en seguridad en línea, que incluye transmisiones web. [292] [293] También hay disponible una amplia gama de cursos certificados. [294]
En el Reino Unido, se creó un conjunto de foros de seguridad cibernética a nivel nacional, conocido como el Foro de Seguridad Cibernética del Reino Unido , con el apoyo de la estrategia de seguridad cibernética del Gobierno [295] para alentar la creación de empresas y la innovación y abordar la brecha de habilidades [296] identificada por el Gobierno del Reino Unido .
En Singapur, la Agencia de Seguridad Cibernética ha publicado un Marco de Competencia en Ciberseguridad de Tecnología Operativa (OT) de Singapur (OTCCF). El marco define los roles emergentes en materia de ciberseguridad en la tecnología operativa. El OTCCF fue aprobado por la Autoridad de Desarrollo de Medios de Infocomunicación (IMDA). Describe los diferentes puestos de trabajo en ciberseguridad de OT, así como las habilidades técnicas y competencias básicas necesarias. También describe las muchas trayectorias profesionales disponibles, incluidas las oportunidades de avance vertical y lateral. [297]
A continuación se explican los siguientes términos utilizados en relación con la seguridad informática:
Desde la llegada de Internet y con la transformación digital iniciada en los últimos años, la noción de ciberseguridad se ha convertido en un tema familiar tanto en nuestra vida profesional como personal. La ciberseguridad y las ciberamenazas han estado presentes de manera constante durante los últimos 60 años de cambio tecnológico. En las décadas de 1970 y 1980, la seguridad informática se limitaba principalmente al ámbito académico hasta la concepción de Internet, donde, con el aumento de la conectividad, los virus informáticos y las intrusiones en la red comenzaron a despegar. Después de la propagación de los virus en la década de 1990, la década de 2000 marcó la institucionalización de los ataques organizados como la denegación distribuida de servicio . [301] Esto condujo a la formalización de la ciberseguridad como una disciplina profesional. [302]
La sesión de abril de 1967 organizada por Willis Ware en la Conferencia Conjunta de Computación de Primavera , y la posterior publicación del Informe Ware , fueron momentos fundamentales en la historia del campo de la seguridad informática. [303] El trabajo de Ware se extendió a lo largo de la intersección de preocupaciones materiales, culturales, políticas y sociales. [303]
Una publicación del NIST de 1977 [304] introdujo la tríada de la CIA de confidencialidad, integridad y disponibilidad como una forma clara y sencilla de describir los objetivos de seguridad clave. [305] Si bien sigue siendo relevante, desde entonces se han propuesto muchos marcos más elaborados. [306] [307]
However, in the 1970s and 1980s, there were no grave computer threats because computers and the internet were still developing, and security threats were easily identifiable. More often, threats came from malicious insiders who gained unauthorized access to sensitive documents and files. Although malware and network breaches existed during the early years, they did not use them for financial gain. By the second half of the 1970s, established computer firms like IBM started offering commercial access control systems and computer security software products.[308]
One of the earliest examples of an attack on a computer network was the computer worm Creeper written by Bob Thomas at BBN, which propagated through the ARPANET in 1971.[309] The program was purely experimental in nature and carried no malicious payload. A later program, Reaper, was created by Ray Tomlinson in 1972 and used to destroy Creeper.[citation needed]
Between September 1986 and June 1987, a group of German hackers performed the first documented case of cyber espionage.[310] The group hacked into American defense contractors, universities, and military base networks and sold gathered information to the Soviet KGB. The group was led by Markus Hess, who was arrested on 29 June 1987. He was convicted of espionage (along with two co-conspirators) on 15 Feb 1990.
In 1988, one of the first computer worms, called the Morris worm, was distributed via the Internet. It gained significant mainstream media attention.[311]
In 1993, Netscape started developing the protocol SSL, shortly after the National Center for Supercomputing Applications (NCSA) launched Mosaic 1.0, the first web browser, in 1993.[citation needed][312] Netscape had SSL version 1.0 ready in 1994, but it was never released to the public due to many serious security vulnerabilities. These weaknesses included replay attacks and a vulnerability that allowed hackers to alter unencrypted communications sent by users. However, in February 1995, Netscape launched Version 2.0.[313]
The National Security Agency (NSA) is responsible for the protection of U.S. information systems and also for collecting foreign intelligence.[314] The agency analyzes commonly used software and system configurations to find security flaws, which it can use for offensive purposes against competitors of the United States.[315]
NSA contractors created and sold click-and-shoot attack tools to US agencies and close allies, but eventually, the tools made their way to foreign adversaries.[citation needed] In 2016, NSAs own hacking tools were hacked, and they have been used by Russia and North Korea.[citation needed] NSA's employees and contractors have been recruited at high salaries by adversaries, anxious to compete in cyberwarfare.[citation needed] In 2007, the United States and Israel began exploiting security flaws in the Microsoft Windows operating system to attack and damage equipment used in Iran to refine nuclear materials. Iran responded by heavily investing in their own cyberwarfare capability, which it began using against the United States.[315]
network vulnerability scans at least quarterly and after any significant change in the network
Exclusive: Top secret court order requiring Verizon to hand over all call data shows scale of domestic surveillance under Obama
