• No se han encontrado resultados

Propuesta de buenas prácticas para fortalecer los controles de prevención y detección temprana del cibercrimen en las empresas colombianas

N/A
N/A
Protected

Academic year: 2017

Share "Propuesta de buenas prácticas para fortalecer los controles de prevención y detección temprana del cibercrimen en las empresas colombianas"

Copied!
155
0
0

Texto completo

(1)
(2)

Propuesta de Buenas Prácticas para Fortalecer los Controles de Prevención y Detección Temprana del

Cibercrimen en las Empresas Colombianas ... 2

1. Introducción... 3

2. Metodología... 7

3. Situación de las empresas colombianas frente al cibercrimen financiero ... 9

3.1 Realidad cuantificable de las pérdidas financieras en las empresas colombianas a causa del cibercrimen. ... 10

4. Normatividad colombiana sobre Ciberseguridad y Ciberdefensa. ... 18

4.1 Historia normativa de la seguridad informática en Colombia. ... 18

4.2 Iniciativas y planes de acción contra el cibercrimen impulsados por el estado colombiano ... 28

5. Tendencias y prácticas internacionales sobre seguridad informática. ... 41

5.1 Normatividad y convenios internacionales vigentes contra el Cibercrimen (Rango UIT) ... 41

5.2 Panorama internacional del Ciberdelito ... 66

6. Propuesta de buenas prácticas para cada una de las conductas penales “delitos” consignados en la Ley 1273 del 2009. ... 97

6.1 Limitantes en la normatividad del Estado Colombiano en la prevención del cibercrimen frente a los adelantos internacionales. ... 97

6.2 Propuesta de buenas prácticas para cada una de las conductas penales o delitos consignados en la Ley 1273 del 2009, que permitirá a las empresas disminuir la brecha que aumenta el riesgo al cibercrimen. ... 106

7. Conclusiones Preliminares ... 142

(3)

Propuesta de Buenas Prácticas para Fortalecer los Controles de Prevención y Detección

Temprana del Cibercrimen en las Empresas Colombianas1

Katy Alejandra Vásquez Zarate** María Paula Cárdenas Rodríguez***

Resumen

Durante la evolución económica y financiera de los mercados globales han surgido y

desarrollado fuerzas negativas que afectan el panorama de la seguridad cibernética. La aparición

de nuevas plataformas tecnológicas no solamente ha generado un incremento de las

transacciones financieras, sino que ha dado lugar a nuevas posibilidades de delito informático.

Por lo anterior, es necesario establecer buenas prácticas de prevención y detección temprana de

este tipo de fraude, uniendo esfuerzos del sector gubernamental y privado para disminuir las

brechas de vulnerabilidad asociadas al cibercrimen en las empresas colombianas.

Abstract

During the economic and financial developments in global markets they have emerged and

developed negative forces that affect the landscape of cybersecurity. The emergence of new

technology platforms has not only generated an increase of financial transactions, but has led to

*El presente es un artículo de revisión bibliográfica comparativa, con fundamento en una investigación analítica que busca proponer una estructura conceptual de buenas prácticas para fortalecer los controles de prevención y detección temprana del cibercrimen en las empresas colombianas.

** Estudiante de Pregrado de Contaduría Pública de la Pontificia Universidad Javeriana. Correo: [email protected].

(4)

new possibilities of cybernetic crime. Therefore, it is necessary to establish good practices for

prevention and early detection of this type of fraud, joining efforts of public and private sector to

reduce vulnerability breach associated with cybercrime in Colombian companies.

Palabras clave autor: cibercrimen, ciberseguridad, delitos informáticos, buenas prácticas, fraude, auditoria forense, empresas colombianas.

Códigos JEL:M42, M48, O38

1. Introducción

El Estado colombiano ha considerado en sus últimos planes de desarrollo el fortalecimiento y

ampliación de la red e infraestructura tecnológica del país. Con su implementación se ha

incrementado el comercio electrónico entre los ciudadanos en un 59% y entre las empresas en un

79%2, respectivamente. Del mismo modo, se ha presentado un aumento considerable en las

transacciones financieras a nivel nacional.

En esta coyuntura, en el proceso de desarrollo del mercado a nivel mundial y en su evolución

hacia el comercio electrónico, las medidas de control adoptadas por el estado colombiano se han

fortalecido de acuerdo con los programas digitales establecidos. No obstante, estos esfuerzos no

han sido suficientes para combatir y reducir los ataques cibernéticos, que para el año 2014 cobro

6 millones de víctimas representando perdidas económicas por 464 millones de dólares por año

(Certicámara, 2014), debido a los vacíos existentes en la normatividad y en el tratamiento

(5)

procesal para los ciberdelincuentes clasificados como “hackers” y “crackers” según sea su

intención al momento de cometer el delito.

Por esto, el país está ante el inevitable acecho de la cibercriminalidad. Tal como lo describe

Oxman (2013), la cibercriminalidad:

se presenta en la cotidianidad de las personas bajo las más variadas formas, expresivas de una amplia heterogeneidad de nuevos fenómenos delictivos y renovadas modalidades de comisión de los delitos tradicionales, especialmente, a través de sistemas o redes informáticas de transmisión y de intercambio de datos por internet, cuya complejidad operativa dificulta su persecución y en consecuencia incrementa los niveles de impunidad. Y, aunque en realidad no exista un concepto de "cirbercriminalidad" unánimemente aceptado, podríamos decir que se trata de un término que hace referencia a un conjunto de actividades ilícitas cometidas al amparo del uso y el abuso de las tecnologías de la información y la comunicación (TIC 3), poniendo en peligro o lesionando intereses o bienes jurídicos de naturaleza individual o bien, amenazando la seguridad de los sistemas sociales (pág. 212).

Es importante comprender este fenómeno pues empresas del sector público y privado han

migrado paulatinamente sus negocios hacia el “ciberespacio”4 (Ministerio de Defensa Nacional,

2009). Gradualmente se han creado canales basados en tecnología e implementado en el control

de sus operaciones, sistemas informáticos complejos y robustos. Éstos controlan el acceso de los

usuarios a su información y a sus canales transaccionales; no obstante otros usuarios también han

podido acceder a esta clase de sistemas de manera fraudulenta (cuando se identifican las posibles

3 Se consideran Tecnologías de la Información y Comunicación tanto al conjunto de herramientas relacionadas con la transmisión,

procesamiento y almacenamiento digitalizado de información, como al conjunto de procesos y productos derivados de las nuevas herramientas (hardware y software) Disponible en: http://www.recursoseees.uji.es/fichas/fc10.pdf

4 El ciberespacio es la red interdependiente de infraestructuras de tecnología de la información, que incluye internet y otras redes de

(6)

brechas en los controles establecidos) y han cometido delitos como: hackeo, crackeo, denegación

de servicios, falsificación de documentos electrónicos, robos en cajeros automáticos y tarjetas de

crédito, robos de identidad, phreaking, fraudes electrónicos e incluso sabotaje informático.

Como lo detalla KPMG (2013) en su encuesta sobre el fraude del año 2013, “el

cibercrimen5 ha tomado fuerza en el ámbito tecnológico convirtiéndose en uno de los cuatro tipos

principales de crímenes económicos que más afectan a las compañías colombianas. Por su parte,

según Symantec (2014) en el foro Symantec Visión de 2014, los ataques dirigidos crecieron en el

país un 91% durante el año 2012 (representando mayores pérdidas financieras para las empresas

del país), y se hace cada vez más difícil contrarrestarlos dado que se ha sofisticado cada vez más

la infraestructura delictiva.

Considerando este incremento del cibercrimen en Colombia se genera una duda sobre la

suficiencia y efectividad de los adelantos normativos sobre ciberseguridad y la adaptación de

estos en las prácticas y controles que se implementan en las empresas. (Centro Cibernético

Policial, 2015).

Si se tiene en cuenta la importancia de los sistemas de información, y de acuerdo con

Cano (2011):

los ejercicios de riesgos y controles propios de las empresas, para establecer y analizar los activos de información críticos, han dejado de ser algo que hacen los de seguridad para transformarse día a día en una disciplina que adopta la organización, para hacer de su gestión de la información una ventaja clave y competitiva frente a su entorno de negocio. (pág. 4)

5Cibercrimen: Se refiere a aquellas actividades ilícitas de carácter informático que se llevan a cabo para robar, alterar, manipular, enajenar, o

(7)

De acuerdo con las encuestas reveladas por firmas de auditoría KPMG y PWC, los

cibercriminales podrán vulnerar la seguridad informática utilizando software indetectable y

mucho más sofisticado, ya que requieren de poca infraestructura material para sus ataques y

logran una alta ganancia económica. Esto representa grandes afectaciones al patrimonio de las

empresas y vulneración a los sistemas de ciberseguridad impulsados desde el gobierno.

Por lo anterior, resulta necesario realizar una propuesta de adopción de buenas prácticas6 que

reduzca la brecha en los controles establecidos por las empresas disminuyendo los riesgos a

ciberataques por cada conducta penal o delito descritos en la Ley 1273 de 2009, beneficiandoel manejo de las tecnologías de la información y particularmente los aspectos ligados a la seguridad

informática. Esta ley fue construida a partir de la revisión del estado del arte, es decir, de la normatividad nacional vigente relacionada y estudios realizados por organizaciones competentes

y expertas, versus los avances y pronunciamientos internacionales en ciberseguridad, para

finalmente proponer las buenas prácticas que pueden ayudar a contrarrestar los delitos

informáticos.

6E ge e al el o epto de ue as p á ti as se efie e a toda experiencia que se guía por principios, objetivos y procedimientos apropiados o

(8)

2. Metodología

Este trabajo es una revisión bibliográfica comparativa y su intención es investigar y revisar

diferentes fuentes de información sobre la situación actual normativa del estado colombiano

frente a las tendencias y avances internacionales para combatir el cibercrimen. Pretendemos

proponer que el Estado Colombiano valide si la estructura legal se encuentra soportada en las

últimas estructuras conceptuales de buenas prácticas para el manejo de las tecnologías de la

información, las cuales buscan el fortalecimiento de los controles y la disminución de brechas de

seguridad en las empresas colombianas para la producción de eventos de cibercrimen.

Esta investigación es de tipo cualitativo, por cuanto se toma en primer lugar, el fenómeno del

cibercrimen tal y como es, y posteriormente se va de lo general a lo particular para determinar las

posibles causas del problema. Así, posteriormente obtenemos un resultado concreto que permitirá

hacer frente a la problemática del cibercrimen, desde la perspectiva del control interno

corporativo.

La revisión bibliográfica abarcará fuentes publicadas en los últimos cinco años (2010-2015)

nacionales e internacionales que involucren las primeras ocho (8) posiciones del ranking global

del Índice Mundial de Ciberseguridad 2014 (IMC) publicado por La Unión Internacional de

Telecomunicaciones (UIT), que en adelante denominaremos RANGO UIT.

Con esta propuesta buscamos de una parte, un beneficio directo para las empresas puesto que

se busca que éstas implementen buenas prácticas de seguridad de la información, y de otra,

aportar al Ministerio de Tecnologías de la información y las Comunicaciones los elementos

(9)

los delitos cibernéticos que tipifica la Ley 1273 de 2009. En la figura 1 se proponen algunas

[image:9.612.86.549.155.402.2]

buenas prácticas para las empresas.

(10)

3. Situación de las empresas colombianas frente al cibercrimen financiero

Con el creciente uso del internet y la variedad de herramientas informáticas disponibles que

facilitan el acceso fraudulento a las empresas, se presenta un aumento en la brecha de los

controles que permiten un incremento de las amenazas a los sistemas de información. El aumento

de usuarios en las diferentes plataformas tecnológicas ha hecho más atractivo para los

ciberdelincuentes planear ataques focalizados o masivos por el alto grado de vulnerabilidad de la

información y de los bajos costos que representa la infraestructura de sus ataques. Por ello, “el

cibercrimen es un delito más rentable que el narcotráfico” (Dinero, 2015).

Este panorama resulta desalentador considerando que Colombia es el tercer país

latinoamericano más atractivo para los ciberdelincuentes, con un 21,73% seguido por Perú y

Ecuador. Según Iván Iván Galindo, representante de Digiware:

(…)Colombia se ha convertido en uno de los principales destinos para el cibercrimen debido a

que esas organizaciones se fijan en la actualidad económica de las naciones a las que van a atacar (ese país es el que mayores proyecciones de crecimiento tiene en la región pues ese porcentaje es del 3,3% para este año) explica (Dinero, 2015, pág. 1) .

Conforme lo explica Carlos Carrizosa, director de Seguridad de la Información de

Teleperformance, hay diferentes actividades en las que las empresas ya han venido trabajando

para superar las violaciones más conocidas en contra de la información, como son: el uso de

cuentas y tarjetas de crédito, la suplantación de identidades y la fuga de información al interior de

las organizaciones, entre otras. Pero estas actividades no han sido suficientes para enfrentar el

cibercrimen en Colombia. Consultado el coronel Bautista por las principales causas de fraudes

(11)

organizaciones de carácter privado, y algunas públicas, acerca del manejo de la gestión de la

seguridad de la información”. (Diario La República, 2013, pág. 1)

3.1 Realidad cuantificable de las pérdidas financieras en las empresas colombianas a causa

del cibercrimen.

El documento Los Avances y retos de la defensa digital en Colombia tiene como

propósito realizar un diagnóstico sobre el grado de exposición de nuestro país frente a delitos

cibernéticos, así como el nivel de sofisticación de la defensa nacional digital para contrarrestar y

prevenir estos tipos de amenazas.

En documento, FEDESARROLLO-Fundación para la Educación Superior y el

Desarrollo- encontró que:

Colombia fue uno de los países que mayor progreso demostró en este campo en la última década, toda vez que aumentó el porcentaje de individuos que usaba internet de un 2% en 2000 a más del 50% en 2013, ubicándose así en la cuarta posición frente a sus pares de la región. Aunque Colombia es un país con un nivel potencial de riesgo medio para ser atacado por piratas informáticos, el crecimiento económico que ha alcanzado en los últimos años lo hace atractivo para quienes cometen delitos en el ciberespacio. En lo que respecta al costo, esta misma compañía estimó que el ciberdelito causó un daño económico al consumidor cercano a los 500 millones de dólares durante lo corrido de 2013, acercándose así cada vez más a los países que reciben mayores ataques cibernéticos en el mundo. (CCIT y Fedesarrollo, 2014, pág. 4)

El reporte Norton 2013 es uno de los estudios más grandes del mundo sobre delitos

(12)

adopción y evolución de las nuevas tecnologías impacta sobre la seguridad de los usuarios. La

investigación se realizó a más de 13.000 adultos en 24 países, incluido Colombia.

Según este informe, las personas con más probabilidades de convertirse en victimas del

cibercrimen son hombres con un 64%, comparado con las mujeres que tienen un 58%. Los países

con mayor número de víctimas por delitos informáticos es Rusia en primer lugar, con 85%, en

segundo lugar, China con un 77%, seguido de México con un 71%, y con un cuarto lugar está

Colombia con un 64%. El 41% de las personas conectadas a la red ha sufrido ataques tales como malware, virus, piratería, estafas, fraudes y robo; entendiéndose a los usuarios como personas

naturales y usuarios jurídicos.

En resumen, US$113 mil millones son los costos directos globales totales en 12 meses. El 50% de los adultos conectados a la red ha sido víctima de un ciberdelito y/o ha sufrido incidentes en el último año todos los días., Más de 1 millón de adultos es víctima de delitos informáticos, es decir, 12 víctimas por segundo. (Symantec, 2013, pág. 1)

La Encuesta de Fraude en Colombia 2013 realizada por KPMG, fue aplicada a 197

directivos de empresas que operan en Colombia cuya muestra en total representa 65% de

compañías privadas y 35% de compañías públicas. Su objetivo fue conocer la incidencia y el

impacto que tienen los crímenes económicos, en sus modalidades de malversación de activos,

fraude financiero, corrupción y cibercrimen. Se realizó a 197 directivos de empresas que operan

en Colombia y que han registrado ingresos anuales desde 50 millones de dólares.

Las empresas que participaron en este estudio representan diversos sectores e industrias,

como son energía, manufactura, banca y servicios financieros, salud, construcción e

(13)

telecomunicaciones y otros. Las empresas representadas en el estudio fueron tanto compañías

privadas 65%, como publicas 35%. Los daños causados a las compañías que operan en el país

han representado un alto costo para la sociedad colombiana, no solo en términos de daño

económico, sino también en la desaparición de empresas y en consecuencia, en la afectación en el

bienestar de miles de familias que han sido perjudicadas por la desaparición de sus empleos.

Para KPMG, 7 de cada 10 empresas que operan en Colombia han padecido al menos un

fraude en los 12 meses anteriores a la emisión del informe. En el 2013, el costo estimado por

crímenes económicos fue de 3600 millones de dólares, es decir el 1% del PIB nacional.

La incidencia de los crímenes económicos está directamente asociada con la capacidad

que tengan las compañías para prevenir, detectar y responder ante actividades ilícitas, sean estos

deliberados o auténticos casos fortuitos. Por esto, la importancia que tiene para las compañías

contar con mecanismos institucionalizados de la administración de riesgos de fraude. Según el

informe, el 70% de los crímenes económicos (incluyendo sus diferentes tipologías) han sido

realizados por empleados de las propias compañías, causando daños económicos cercanos a los

3.600 millones de USD en el 2013. El 39% de los ataques del cibercrimen se detectaron

accidentalmente.

Dentro de la tipología de crímenes económicos en Colombia, el resultado del análisis en

términos de incidencia, fraude o número de ilícitos experimentados en el último año, se inicia con

la malversación de activos, siendo el crimen más común con un 46%. En segundo lugar, está la

corrupción con un 31%, en tercer lugar, el cibercrimen con un 13% y como último, el fraude

(14)

Para el caso del cibercrimen, este ha sido el tipo de crimen económico que ha tomado más

fuerza en los últimos años previos al 2013, convirtiéndose en una actividad criminal definida en

contra de las empresas colombianas generando un daño económico cercano a los 550 millones de

dólares.

[image:14.612.113.467.228.491.2]

Para el caso del cibercrimen, el informe ha definido seis causas comunes a saber:

Figura 2: Causas comunes en el cibercrimen

Al respecto llama la atención una novedosa modalidad de atacantes cibernéticos: se trata

de organizaciones con la preparación, recursos y tiempo para estudiar y conocer bien las

debilidades de sus potenciales blancos. Muchas veces este tipo de atacante puede infiltrar la

organización a través de la identificación de los puntos vulnerables de la seguridad informática e

incluso sembrar algún dispositivo que permita el acceso y ataque remoto. Co u % la deslealtad

de los e pleados po lo

que el peligro en muchos casos se encuentra dentro

de las mismas organizaciones.

Fallas en la seguridad tecnológica

Inadecuada disposición del

activo Fallas de seguridad física.

Robo de dispositivos móviles

(15)

Los mecanismos de detección del cibercrimen se establecen en cuatro categorías:

o Accidentalmente.

o Por control interno.

o Denuncia.

o Autoridades regulatorias y auditoria externa, lo que evidencia la inefectiva actividad de seguridad que impera en las compañías que operan en Colombia, concluye (KPMG,

2013).

De acuerdo con la encuesta, la implementación de mecanismos de prevención de crímenes

económicos permite reducir los riesgos hasta en un 70%, a través de un adecuado sistema de

administración de riesgos y una estructura sólida de gobierno corporativo, en la cual, todos (la

junta directiva, el comité de auditoría, la gerencia y la auditoría interna) deben desempeñar un

papel importante en el proceso de supervisión y monitoreo. Como se detalla en el informe de la

encuesta, una vez que exista una estructura deseable, los ejemplos de un programa integral de

administración de riesgo de fraude se dividen comúnmente en tres, como se puede apreciar en la

(16)
[image:16.612.189.485.79.361.2]

Figura 3: Programa integral de administración de riesgo de fraude. Fuente: tomado de (KPMG, 2013)

Lastimosamente en Colombia la cultura de las empresas en general sigue siendo más

reactiva que preventiva, por lo que la identificación y mitigación de los riesgos de fraudes y

conductas impropias son principalmente áreas de oportunidad que tienen las empresas

colombianas para mejorar su competitividad en el futuro inmediato.

Las organizaciones suelen poner demasiado énfasis en la tecnología especializada para

brindar seguridad, pero, si esta tecnología no es aplicada convenientemente o si las personas que

están a cargo de dicha tecnología no la ejecutan correctamente, su vulnerabilidad podría incluso

llegar a incrementarse. Ninguna tecnología por sí misma puede disminuir el impacto del factor

humano y la debida diligencia de implantar y operar correctamente los mecanismos de seguridad

(17)

Para KPMG, estos son los aspectos a considerar dentro de las conductas del cibercrimen:

a) Las Amenazas Persistentes Avanzadas

Son grupos organizados con la capacidad tecnológica y económica que incursionan de forma

sigilosa y mantienen su presencia indefinidamente en los sistemas de información internos de las

entidades, con objeticos claramente definidos.

Una amenaza persistente avanzada puede definirse también a partir de sus componentes

esenciales, como son:

 AMENAZA: Aquí, el atacante tiene la intención y la capacidad de obtener acceso a

información confidencial almacenada electrónicamente.

 PERSISTENTE: La naturaleza persistente y continua de la amenaza hace que sea difícil

prevenir su acceso a la red de computadores. Una vez el atacante ha obtenido acceso

exitosamente es difícil removerlo.

 AVANZADA: El atacante tiene la habilidad de evadir la detección, así como la capacidad

de obtener y mantener el acceso a redes bien protegidas y a la información confidencial

contenida en ellas. Generalmente se adapta fácilmente y cuenta con buenos recursos

tecnológicos y económicos.

b) Fases de una Amenaza Persistente Avanzada

1. Reconocimiento, lanzamiento e infección: El atacante efectúa un reconocimiento de su

objetivo, identifica sus vulnerabilidades, lanza el ataque e infecta los sistemas de

(18)

2. Control, actualización, enumeración y persistencia. El atacante controla los sistemas de

información infectados, actualiza o adiciona sus programas de control, se extiende a otras

máquinas, enumera y recolecta los datos seleccionados.

3. Extracción y compromiso: El atacante extrae la información de los sistemas de

información a la red objetivo y la entrega a quien financia el ataque, la vende y

posteriormente, demanda un rescate para evitar su publicidad e incluso comparte y

comercia la información necesaria para que otros tengan acceso a la red.

Las compañías que operan en Colombia enfrentan el reto de consolidar sus negocios y

potenciar su prestigio. La confianza que proyecten a sus clientes, inversionistas y socios

estratégicos serán fundamentales para lograr estos objetivos. Su principal enemigo es el riesgo de

ser víctimas de crímenes económicos que minen su patrimonio e imagen corporativa.

[image:18.612.77.523.538.681.2]

El nivel de incidencia de fraudes reportados en este estudio, especialmente los atribuibles a la alta dirección, es una clara señal de que es necesario reforzar su capacidad de control y gobierno corporativo. Por esto se deben asumir estrategias administrativas de riesgos de fraude que sean efectivas y orientadas a la empresa. Las actividades, mecanismos y controles tienen tres objetivos: (KPMG, 2013, pág. 1).

(19)

4. Normatividad colombiana sobre Ciberseguridad y Ciberdefensa.

4.1 Historia normativa de la seguridad informática en Colombia.

Aquí mencionaremos la normatividad colombiana frente a temas de seguridad

informática, protección de la información y de los datos, donde se preservan integralmente los

sistemas que utilizan las tecnologías de la información y las comunicaciones.

Como primer antecedente encontramos en la Constitución Nacional, el Art. 15

(Constitución Política de Colombia, 1991) que expresa que todas las personas tienen derecho a su

intimidad personal, familiar y a su buen nombre y que el estado debe respetarlos y hacerlos

respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se

hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En

la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías

consagradas en la Constitución.

La ley 527 de 1999 () define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, establece las entidades de certificación. Será

aplicable a todo tipo de información en forma de mensaje de datos, salvo en los siguientes casos:

En las obligaciones contraídas por el estado colombiano en virtud de convenios o tratados

internacionales. En las advertencias escritas que por disposición legal deban ir necesariamente

impresas en cierto tipo de productos en razón al riesgo que implica su comercialización, uso o

consumo. (Alcaldía de Bogotá, 1999)

La ley 962 de 2005 (Alcaldía de Bogotá, 2005) tiene por objeto facilitar las relaciones de los particulares con la administración pública, de tal forma que las actuaciones que deban surtirse

(20)

de conformidad con los principios establecidos en los artículos 83, 84, 209 y 333 de la Carta

Política.

Por tal razón, son de obligatoria observancia los siguientes principios rectores de la

política de racionalización, estandarización y automatización de trámites que detalla la ley 962 de 2005: Sobre la cual se dictan disposiciones sobre racionalización de trámites y procedimientos administrativos de los organismos y entidades del Estado y de los particulares que ejercen

funciones públicas o prestan servicios públicos. Esta Ley prevé el incentivo del uso de medios

tecnológicos integrados para disminuir los tiempos y costos de realización de los trámites por

parte de los administrados. (Senado de la República, 2005)

Ley 1150 de 2007, denominada Ley de Seguridad de la información electrónica en contratación en línea. En esta Ley se introducen medidas para la eficiencia y la transparencia en

la Ley 80 de 1993 (Alcaldía de Bogotá, 1993) y se dictan otras disposiciones generales sobre la contratación con recursos públicos. Específicamente, se establece la posibilidad de que la

administración pública expida actos administrativos y documentos y haga notificaciones por

medios electrónicos, para lo cual prevé el desarrollo del Sistema Electrónico para la Contratación

Pública, SECOP. (Senado de la República, 2007)

La Ley 1266 del 2008 tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido

sobre ellas en bancos de datos y los demás derechos, libertades y garantías constitucionales

relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el

artículo 15 de la Constitución Política, así como el derecho a la información establecido en el

(21)

y crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras

disposiciones. (Superintendenccia de Industria y Comercio, 2008)

La Ley 1273 del 2009, denominada Ley de la protección de la información y de los datos. Cuida los sistemas informáticos de los atentados contra la confidencialidad, la integridad y la

disponibilidad de los datos. Regula el acceso abusivo a un sistema informático, obstaculización

ilegitima de un sistema informático, intercepción de datos informáticos, daños informáticos, uso

de software malicioso, violación de datos personales, y suplantación de sitios web para capturar

[image:21.612.66.559.471.710.2]

datos personales. A continuación, veremos más en detalle esta ley. (Alcaldía de Bogotá, 2009)

Tabla 1. Ley 1273 del 2009. Fuente: elaboración propia basado en (CONGRESO DE

COLOMBIA, 2009)

LEY 1273 DEL 2009

De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos

Acceso abusivo a un sistema informático

El que, sin autorización o por fuera de lo acordado, acceda en todo o

en parte a un sistema informático protegido o no con una medida de

seguridad, o se mantenga dentro del mismo en contra de la voluntad

de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de

prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en

multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

El que, sin estar facultado para ello, impida u obstaculice el

(22)

Obstaculización ilegítima de sistema informático o red de telecomunicación

datos informáticos allí contenidos, o a una red de

telecomunicaciones incurrirá en pena de prisión de cuarenta y ocho

(48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios

mínimos legales mensuales vigentes, siempre que la conducta no

constituya delito sancionado con una pena mayor.

Interceptación de datos informáticos

El que, sin orden judicial previa intercepte datos informáticos en su

origen, destino o en el interior de un sistema informático, o las

emisiones electromagnéticas provenientes de un sistema informático

que los transporte incurrirá en pena de prisión de treinta y seis (36) a

setenta y dos (72) meses.

Daño Informático

El que, sin estar facultado para ello, destruya, dañe, borre, deteriore,

altere o suprima datos informáticos, o un sistema de tratamiento de

información o sus partes o componentes lógicos, incurrirá en pena

de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en

multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Uso de software malicioso

El que, sin estar facultado para ello, produzca, trafique, adquiera,

distribuya, venda, envíe, introduzca o extraiga del territorio nacional

software malicioso u otros programas de computación de efectos

dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a

noventa y seis (96) meses y en multa de 100 a 1.000 salarios

mínimos legales mensuales vigentes.

El que, sin estar facultado para ello, con provecho propio o de un

(23)

Violación de datos personales

envíe, compre, intercepte, divulgue, modifique o emplee códigos

personales, datos personales contenidos en ficheros, archivos, bases

de datos o medios semejantes, incurrirá en pena de prisión de

cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100

a 1000 salarios mínimos legales mensuales vigentes.

Suplantación de sitios web para capturar datos personales

El que, con objeto ilícito y sin estar facultado para ello, diseñe,

desarrolle, trafique, venda, ejecute, programe o envíe páginas

electrónicas, enlaces o ventanas emergentes, incurrirá en pena de

prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en

multa de 100 a 1.000 salarios mínimos legales mensuales vigentes,

siempre que la conducta no constituya delito sancionado con pena

más grave.

Circunstancias de agravación punitiva

Las penas imponibles de acuerdo con los artículos descritos en este

título, se aumentarán de la mitad a las tres cuartas partes si la

conducta se cometiere:

 Sobre redes o sistemas informáticos o de comunicaciones

estatales u oficiales o del sector financiero, nacionales o

extranjeros.

 Por servidor público en ejercicio de sus funciones.

 Aprovechando la confianza depositada por el poseedor de la

información o por quien tuviere un vínculo contractual con éste.

 Revelando o dando a conocer el contenido de la información en

(24)

 Obteniendo provecho para sí o para un tercero.

 Con fines terroristas o generando riesgo para la seguridad o

defensa nacional.

 Utilizando como instrumento a un tercero de buena fe.

Si quien incurre en estas conductas es el responsable de la

administración, manejo o control de dicha información, además se

le impondrá hasta por tres años la pena de inhabilitación para el

ejercicio de profesión relacionada con sistemas de información

procesada con equipos computacionales.

De los atentados informáticos y otras infracciones

Hurto por medios

informáticos y semejantes

El que, superando medidas de seguridad informáticas, manipule

un sistema informático, una red de sistema electrónico, telemático

u otro medio semejante, o suplantando a un usuario ante los

sistemas de autenticación y de autorización establecidos.

Transferencia no consentida de activos

El que, con ánimo de lucro y valiéndose de alguna manipulación

informática o artificio semejante, consiga la transferencia no

consentida de cualquier activo en perjuicio de un tercero, siempre

que la conducta no constituya delito sancionado con pena más

grave, incurrirá en pena de prisión de cuarenta y ocho (48) a

(25)

La ley 1341 de 2009 define los principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones –TIC–, crea la

Agencia Nacional de Espectro y se dictan otras disposiciones. Esta ley determina el marco

general para la formulación de las políticas públicas que regirán el sector de las tecnologías de la

información y las comunicaciones, su ordenamiento general, el régimen de competencia, la

protección al usuario. Igualmente lo concerniente a la cobertura, calidad del servicio, promoción

de la inversión en el sector y el desarrollo de estas tecnologías, el uso eficiente de las redes y del

espectro radioeléctrico, así como las potestades del Estado en relación con la planeación, la

gestión, la administración adecuada y eficiente de los recursos, regulación, control y vigilancia

del mismo y facilitando el libre acceso y sin discriminación de los habitantes del territorio

nacional a la Sociedad de la Información. (Alcaldía de Bogotá, 2009)

La ley 1480 de 2011 en el artículo 5, incluye en la definición de las ventas a distancia, aquellas que se realizan a través del comercio electrónico. El artículo 26 de esta Ley, consagra

que la SIC determinará las condiciones mínimas bajo las cuales operar la información pública de

precios de los productos que se ofrezcan a través de cualquier medio electrónico.

Adicionalmente, el artículo 27 establece que el consumidor tiene derecho a exigir a costa del

productor o proveedor constancia de toda operación de consumo que realice. La factura o su

equivalente, expedida por cualquier medio físico, electrónico o similar podrán hacer las veces de

constancia. (Alcaldía de Bogotá, 2011)

La Ley 1581 de 2012, reglamentada parcialmente por el Decreto 1377 del 2013 y denominada Ley de protección de datos personales, determina que todas las personas tienen el

derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en

(26)

refiere el artículo 15 de la Constitución Política, así como el derecho a la información consagrado

en el artículo 20 de la misma. (Alcaldía de Bogotá, 2012)

De acuerdo con la mencionada Ley, los principios sobre protección de datos son

aplicables a todas las bases de datos, con los límites que se disponen allí mismo, así:

Tabla 2. Principios para el tratamiento de datos personales. Fuente: elaboración propia basado

en (CONGRESO DE COLOMBIA, 2012)

Principio de legalidad en materia de Tratamiento de datos

El tratamiento a que se refiere la presente ley es una

actividad reglada que debe sujetarse a lo establecido en ella

y en las demás disposiciones que la desarrollen

Principio de finalidad

El tratamiento debe obedecer a una finalidad legítima de

acuerdo con la Constitución y la Ley, la cual debe ser

informada al Titular.

Principio de libertad

El tratamiento sólo puede ejercerse con el consentimiento,

previo, expreso e informado del Titular. Los datos

personales no podrán ser obtenidos o divulgados sin previa

autorización, o en ausencia de mandato legal o judicial que

releve el consentimiento.

Principio de veracidad o calidad

La información sujeta a tratamiento debe ser veraz,

completa, exacta, actualizada, comprobable y comprensible.

Se prohíbe el tratamiento de datos parciales, incompletos,

(27)

Principio de transparencia

En el tratamiento debe garantizarse el derecho del titular a

obtener del responsable del tratamiento o del encargado del

tratamiento, en cualquier momento y sin restricciones,

información acerca de la existencia de datos que le

conciernan.

Principio de acceso y circulación restringida

El tratamiento se sujeta a los límites que se derivan de la

naturaleza de los datos personales, de las disposiciones de la

presente ley y la Constitución. En este sentido, el

tratamiento sólo podrá hacerse por personas autorizadas por

el titular y/o por las personas previstas en la presente ley.

Principio de seguridad

La información sujeta a tratamiento por el responsable del

tratamiento o encargado del tratamiento a que se refiere la

presente ley, se deberá manejar con las medidas técnicas,

humanas y administrativas que sean necesarias para otorgar

seguridad a los registros evitando su adulteración, pérdida,

consulta, uso o acceso no autorizado o fraudulento

Todas las personas que intervengan en el tratamiento de

datos personales que no tengan la naturaleza de públicos

están obligadas a garantizar la reserva de la información,

inclusive después de finalizada su relación con alguna de las

(28)

Principio de confidencialidad

realizar suministro o comunicación de datos personales

cuando ello corresponda al desarrollo de las actividades

autorizadas en la presente ley y en los términos de la misma

La Ley 581 de 2012:

“obliga a todas las entidades públicas y empresas privadas del país a revisar el uso de los datos personales contenidos en sus sistemas de información y replantear sus políticas de manejo de información y fortalecimiento de sus herramientas, como entidad responsable del tratamiento. Igualmente se estableció en el artículo 28 un plazo de seis meses para la implementación y adaptación de políticas por parte de las empresas que hagan las veces de encargados y/o responsables del tratamiento de datos” (Certicámara, 2013).

La ley 1621 de 2013 tiene por objeto fortalecer el marco jurídico que permite a los organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir

adecuadamente con su misión constitucional y legal. Así mismo, esta Ley establece los límites y

fines de las actividades de inteligencia y contrainteligencia, los mecanismos de control y

supervisión y la regulación de la protección a las bases de datos. En el marco de la Ley hay

diversas autoridades que manejan inteligencia tales como UIAF, POLFA, DIPOL, organismos

con función de policía judicial. (Comunicaciones C. d., 2015).

4.1.1 Estructura normativa actual de políticas de Ciberseguridad y Ciberdefensa en Colombia.

Colombia logró un muy buen resultado en temas de regulación para la prevención y

(29)

delitos informáticos. De acuerdo con el ranking global de la UIT, Colombia está entre los mejores

países del mundo en manejo de ciberseguridad, que ubica al país en el quinto lugar en el ranking

de las Américas por encima de Chile y México y ocupa el noveno lugar en el ranking mundial

con países como Francia, España, Egipto y Dinamarca (MINTIC, 2015).

Conforme al ranking presentado, el país debe adoptar nuevas medidas que le ayuden a

subir a los primeros lugares de estos estudios. Uno de los retos más grandes es crear conciencia

entre los usuarios de la información y las empresas colombianas acerca de la importancia de

conocer y comprender el contexto de los delitos informáticos y la normatividad existente en

Colombia sobre la protección de la información.

4.2 Iniciativas y planes de acción contra el cibercrimen impulsados por el estado

colombiano

Políticas de Ciberseguridad y Ciberdefensa en Colombia

Los gobiernos de Colombia han apostado de manera decidida por la defensa nacional

digital desde el comienzo del siglo, mediante la formulación de diferentes iniciativas en los

sectores de la sociedad colombiana y la concientización del impacto de esta problemática.

En el año 2011 por medio del CONPES 3701, Colombia adoptó una estrategia integral de

ciberseguridad y ciberdefensa, convirtiéndose así en el primer estado de América Latina en

implementar un esquema de esta envergadura. El CONPES 3701 concentró su programa en seis

ejes estratégicos, de acuerdo como fue presentado en el II foro de ciberseguridad y Ciberdefensa

(30)

1. Gobernanza: Alternativas que le permitan al Estado Colombiano, articular y armonizar su orientación, integrar actores y consolidar esfuerzos en aspectos relacionados con la

Ciberseguridad y Ciberdefensa.

2. Desarrollo de capacidades: fortalecimiento de las instituciones existentes, del recurso humano, los procesos, la tecnología y las habilidades en Ciberseguridad y Ciberdefensa,

con un enfoque de coordinación y cooperación para permitir que el país pueda

beneficiarse de las ventajas políticas, económicas y sociales que ofrece un ciberespacio

seguro y garantizar la Defensa y Seguridad Nacional.

3. Generación de una cultura de ciberseguridad y ciberdefensa: implementación de planes y programas que permitan a los actores y responsables de la Ciberseguridad y

Ciberdefensa, prevenir y desarrollar habilidades de respuesta ante amenazas y ataques de

naturaleza cibernética mediante el uso de nuevas tecnologías de la información y

comunicaciones, procesos y procedimientos establecidos en la materia.

4. Infraestructuras críticas cibernéticas nacionales: protección y defensa de la

infraestructura crítica cibernética nacional, se considera fundamental y demanda no solo

la participación de los propietarios y/o operadores de dicha infraestructura, sino también

requiere el concurso del gobierno, la academia, las Fuerzas Militares, Policía Nacional y

de los sectores público y privado.

5. Marco legal y regulatorio: Las leyes y normativas actuales y futuras así como los convenios internacionales a los cuales la República de Colombia pertenezca o se adhiera,

apalancarán y facultarán la ejecución, la legitimidad y el marco procesal requerido,

relacionado con Ciberseguridad y Ciberdefensa.

6. Cooperación y diplomacia en el ciberespacio: Permite establecer canales de

(31)

otros países, con organismos nacionales e internacionales, así como fortalecer y estrechar

los lazos diplomáticos en relación con el adecuado uso y aprovechamiento del

ciberespacio.

Una vez definidos los ejes estructurales de los lineamientos sobre ciberseguridad y

ciberdefensa para el país, los objetivos que busca el CONPES 3701 se definen de la siguiente

forma, según documento publicado por el (Ministerio de Tecnologías de la Información y las

Comunicaciones, 2011):

Generales: Fortalecer las capacidades del Estado para enfrentar las amenazas que atentan contra su seguridad y defensa en el ámbito cibernético (ciberseguridad y Ciberdefensa), creando el

ambiente y las condiciones necesarias para brindar protección en el ciberespacio.

Específicos:

a. Implementar instancias apropiadasprevenir, coordinar, atender, controlar, generar

recomendaciones y regular los incidentes o emergencias cibernéticas para afrontar las

amenazas y los riesgos que atentan contra la ciberseguridad y Ciberdefensa nacional.

Este objetivo permitirá conformar organismos con la capacidad técnica y operativa

necesaria para la defensa y seguridad nacional en materia cibernética. Para alcanzarlo se

hace necesario que el Gobierno Nacional implemente las siguientes instancias:

o Una Comisión Intersectorial encargada de fijar la visión estratégica de la gestión de la información, así como de establecer los lineamientos de política respecto de la gestión

de la infraestructura tecnológica (hardware, software y comunicaciones), información

(32)

o El Grupo de Respuesta a Emergencias Cibernéticas de Colombia – colCERT será el organismo coordinador a nivel nacional en aspectos de ciberseguridad y ciberdefensa.

Será un grupo del Ministerio de Defensa Nacional, integrado por funcionarios civiles,

personal militar y en comisión de otras entidades.

o El Comando Conjunto Cibernético de las Fuerzas Militares – CCOC estará en cabeza del Comando General de las Fuerzas Militares, quien podrá delegar sus funciones

dentro de las Fuerzas Militares dependiendo de las especialidades existentes en el

sector.

o El Centro Cibernético Policial – CCP: Estará encargado de la ciberseguridad del territorio colombiano, ofreciendo información, apoyo y protección ante los delitos

cibernéticos.

b. Brindar capacitación especializada en seguridad de la información y ampliar las líneas de

investigación en ciberdefensa y ciberseguridad.

c. Fortalecer la legislación en materia de ciberseguridad y ciberdefensa, la cooperación

internacional y adelantar la adhesión de Colombia a los diferentes instrumentos

internacionales en esta temática.

Este documento busca generar lineamientos de política en ciberseguridad y ciberdefensa

orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas

informáticas que afectan significativamente al país. Adicionalmente, recoge los antecedentes

nacionales e internacionales, así como la normatividad del país en torno al tema. La problemática

central se fundamenta en que la capacidad actual del Estado para enfrentar las amenazas

(33)

A partir de ello se establecen las causas y efectos que permitirán desarrollar políticas de

prevención y control ante el incremento de amenazas informáticas. Para la aplicabilidad de la

estrategia se definen recomendaciones específicas a desarrollar por entidades involucradas directa

e indirectamente en esta materia. A continuación, veremos algunos de los objetivos planteados

allí.

La Cámara Colombiana de Informática y Telecomunicaciones (CCIT) se estableció como

centro de coordinación de atención de incidentes de seguridad informática colombiano, en aras de

fomentar el contacto con el sector privado, particularmente con los principales proveedores de

internet en nuestro país.

El Ministerio de la Información y las Telecomunicaciones (TIC) ha llevado a cabo campañas

de sensibilización y conciencia en toda la población, a través de la campaña En TIC confió.

Adicionalmente, el Ministerio de Defensa ha trasmitido la inclusión de cátedras relacionadas con

la Defensa Nacional Digital en todas las escuelas de formación de las Fuerzas Militares y de la

Policía. Más aún, las universidades y otras instituciones educativas colombianas se han adherido

a este plan, al implementar un amplio abanico de programas académicos y de capacitación sobre

la seguridad cibernética y los delitos cibernéticos.

Legislación y Cooperación Internacional

En cuanto al progreso institucional e integración internacional, el Gobierno Nacional de

Colombia también ha evolucionado a buen ritmo. En lo referente a legislación, el Ministerio de

Justicia continúa revisando el Código Penal, específicamente para el tema de tipificación actual

(34)

Gobierno en Línea, generó una serie de directrices en temas de seguridad de la información

basadas en estándares internacionales, que deberán ser implementadas por las entidades del sector

público. Por lo cual dentro de las expectativas del CONPES 3701, se establecieron en el eje de

cooperación y diplomacia los siguientes lineamientos, explicados así (Universidad de los Andes ,

2015):

1. Desarrollar un marco para el establecimiento de alianzas con partes interesadas.

2. Desarrollar e implementar una agenda estratégica de cooperación nacional.

3. Desarrollar e implementar una agenda estratégica de cooperación internacional.

4. Implementar estrategias para el desarrollo de la Diplomacia en el Ciberespacio.

5. Adhesión a redes de intercambio de información, reporte de incidentes e investigación de

ciberseguridad y ciberdefensa.

Retos de la Defensa Nacional Digital en Colombia

Pese a los importantes avances mencionados anteriormente, persisten falencias y muchas

tareas pendientes que impiden responder de manera eficiente al elevado nivel de vulnerabilidad

del país ante estas nuevas amenazas cibernéticas. Por tanto, surge la necesidad de implementar

medidas más efectivas que pongan una barrera al incremento de la delincuencia informática por

medio de cuatro ejes fundamentales en los cuales nuestro país debería concentrarse, a saber:

1. Este eje consiste en mejorar la institucionalidad nacional ya que, si bien el CONPES 3701

representó un gran progreso, actualmente los esfuerzos de Colombia para abordar este

tema encuentran un techo por la falta de una visión integral a largo plazo, así como la

(35)

2. Resulta definitivo implementar una nueva regulación, eficiente y ágil sobre la

investigación de los delitos informáticos. En este frente, la Misión de la OEA aconseja la

creación de unidades especializadas de fiscales con preparación específica para la

investigación y el ejercicio de la acción penal, respecto de los ciberdelitos.

3. En tercera instancia y pese a que existen numerosos avances en materia de cooperación

internacional, Colombia todavía está bastante rezagado en la adhesión a los diferentes

instrumentos internacionales. De esta forma, urge la necesidad de reformar la legislación

colombiana, de tal forma que se armonice con la Convención de Budapest, especialmente

en lo relacionado a las cuestiones de Derecho Procesal. Adicionalmente y con el fin de

facilitar el intercambio rápido de datos, Colombia deberá adherirse al sistema I-24/7, el

cual brinda acceso a todas las bases de datos criminales de la INTERPOL.

4. Nuestro país afronta el reto de crear una concientización en su población sobre la

dimensión de esta problemática en la actualidad. Como se mencionó en la parte

introductoria, la ciberdelincuencia es una amenaza cada vez más latente en nuestra

sociedad y afecta por igual a grandes industrias, entidades gubernamentales y personas

pertenecientes al ciberespacio. Así, se debe incorporar una generalizada cultura de

seguridad de la información basada en la capacidad de todas las personas para gobernar y

administrar los incidentes que se presenten día a día.

Otra iniciativa del gobierno colombiano fue la de organizar una Comisión de Expertos

Internacionales para evaluar el estado de la seguridad cibernética del país, con el apoyo de la

Organización de los Estados Americanos (OEA) en el 2014, para hacer de las tecnologías de

información y comunicaciones una parte integral del plan de desarrollo del país. Se visitaron

(36)

escucharon presentaciones de actores relevantes en seguridad cibernética en Colombia. Los

expertos internacionales prepararon una serie de recomendaciones para ser tenidas en cuenta por

el gobierno de Colombia.

La Comisión Internacional de Expertos Internacionales brindó su experiencia en políticas de

seguridad cibernética, marcos institucionales, respuesta a incidentes de seguridad cibernética,

investigación y legislación de delitos cibernéticos, ciberdefensa y cooperación internacional. Las

recomendaciones de los expertos fueron redactadas en sesiones privadas, garantizando un análisis

equilibrado e imparcial de las necesidades y pasos a seguir que deberían ser considerados por el

gobierno colombiano. Aunque la OEA organizó esta comisión internacional de expertos, este

documento no refleja posición u opinión alguna de esta organización internacional.

Se creó un Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea

que hace referencia al conjunto de políticas estratégicas que soportan objetivos de Gobierno en

Línea como la protección de información del individuo, la credibilidad y confianza en el

Gobierno en Línea.

Este establece como elementos fundamentales de la seguridad de la información para los

organismos gubernamentales:

1) La disponibilidad de la información y los servicios.

2) La integridad de la información y los datos.

3) Confidencialidad de la información” (Comunicaciones F. d., 2011)

Según el Diario Oficial No. 48.813 de 6 de junio de 2013 del Ministerio de Defensa

Nacional, por la cual se adiciona la Resolución número 127 del 18 de enero de 2012 se crean y

(37)

de Respuesta a Emergencias Cibernéticas de Colombia - ColCERT, el cual tiene como

responsabilidad central la coordinación de la ciberseguridad y ciberdefensa nacional, la cual

estará enmarcada dentro del Proceso Misional de Gestión de la Seguridad y Defensa del

Ministerio de Defensa Nacional.

Su propósito principal es la coordinación de las acciones necesarias para la protección de la

infraestructura crítica del Estado colombiano frente a emergencias de ciberseguridad que atenten

o comprometan la seguridad y defensa nacional. Sus objetivos son:

 Coordinar y asesorar a CSIRT's, Centros de Coordinación Seguridad Informática

Colombia y entidades públicas, privadas y la sociedad civil para responder ante incidentes

informáticos.

 Ofrecer servicios de prevención ante amenazas informáticas, respuesta frente a incidentes informáticos, de información, sensibilización y formación en materia de seguridad

informática.

 Actuar como punto de contacto internacional con sus homólogos en otros países, así como con organismos internacionales involucrados en esta técnica.

 Promover el desarrollo de capacidades locales/sectoriales, así como la creación de CSIRT's sectoriales para la gestión operativa de los incidentes de ciberseguridad en las

infraestructuras críticas nacionales, el sector privado y la sociedad civil.

 Desarrollar y promover procedimientos, protocolos y guías de buenas prácticas y

recomendaciones de ciberdefensa y ciberseguridad para las infraestructuras críticas de la

nación en conjunto con los agentes correspondientes y velar por su implementación y

(38)

 Coordinar la ejecución de políticas e iniciativas público-privadas de sensibilización y formación de talento humano especializado, relacionadas a la ciberdefensa y

ciberseguridad.

 Apoyar a los organismos de seguridad e investigación del Estado para la prevención e investigación de delitos donde medien las tecnologías de la información y las

comunicaciones.

 Fomentar un sistema de gestión de conocimiento relativo a la ciberdefensa y ciberseguridad, orientado a la mejora de los servicios prestados por el colCERT.

También se creó el Centro Cibernético Policial. Es la dependencia de la Dijín encargada del

desarrollo de estrategias, programas, proyectos y demás actividades requeridas en materia de

investigación criminal contra los delitos que afectan la información y los datos. En Bogotá se

encuentra el núcleo del CCP7 desde el cual opera el laboratorio de informática forense más

grande de Colombia. El CPP también cuenta con ocho laboratorios de informática forense

distribuidos a nivel nacional y 25 unidades de delitos informáticos capacitadas y especializadas

en atacar el cibercrimen. Las funciones que desarrollará serán las siguientes:

 Proteger a la ciudadanía de las amenazas y/o delitos cibernéticos.

 Responder operativamente ante los delitos cibernéticos, desarrollando labores coordinadas

de prevención, atención, investigación y de apoyo a la judicialización de los delitos

informáticos en el país.

 Dar asesoría sobre vulnerabilidades y amenazas en sistemas informáticos.

(39)

 Divulgar información a la ciudadanía, que permita prevenir lo concerniente a pérdida de

disponibilidad, integridad y/o confidencialidad de la información.

 Apoyar e investigar en coordinación con el colCERT las vulnerabilidades, amenazas e

incidentes informáticos que afecten la seguridad de la infraestructura informática crítica

de la nación.

 Fomentar la concienciación de políticas de seguridad cibernética en coordinación con los

actores involucrados.

Causas del delito informático en Colombia

En el panorama actual de la ciberseguridad nacional, se evidencias algunas causas por las que

las empresas de nuestro país no se encuentran debidamente preparadas para afrontar las amenazas

del cibercrimen, por lo que serán descritas a continuación:

- Vacíos importantes en la legislación

- Poca efectividad en el tratamiento procesal de los ciberdelincuentes.

- Desconocimiento del gobierno corporativo de muchas empresas, frente a los riesgos

derivados del cibercrimen, y por tanto adopción de esquemas débiles de ciberseguridad.

- Desconocimiento por parte del gobierno corporativo de las empresas, de los estándares

internacionales y de las buenas prácticas para gestionar en forma segura las tecnologías de

la información, los sistemas y la información corporativa.

- Alto apetito de riesgos del gobierno corporativo de muchas empresas frente a diferentes

(40)

afectada por este tipo de amenazas), circunstancia que aumenta su exposición a la

materialización de delitos informáticos.

- Presupuesto limitado de las empresas para implementar medidas de control eficaces para

afrontar los riesgos de cibercrimen y ciberseguridad.

- Aplicación de prácticas de seguridad insuficientes o ineficaces.

- Aumento y perfeccionamiento de las modalidades de estafa, según el capitán Miranda, las

más utilizadas son el Phishing, skimming, ransomware (encriptación de bases de datos e

información sensible), la carta nigeriana y la falsedad personal. (Infolaft , 2014)

Según la edición 67 de la revista publicada por INFOLAFT, el coronel Freddy Bautista señala

que

desafortunadamente no existe una política clara al interior de las organizaciones de carácter privado, y algunas públicas, acerca del manejo de la gestión de la seguridad de la información. Se ha encontrado en muchas ocasiones que los funcionarios o personas responsables de gestionar los datos en las áreas de sistemas, de garantizar la seguridad perimetral informática de las corporaciones y de las empresas en Colombia no conocen o no agotan las condiciones necesarias para blindar informáticamente a la empresa. (Infolaf, 2014, pág.1)

Adicionalmente resalta las siguientes causales de aumento en los casos detectados de

cibercrimen en las empresas colombianas:

- Presencia frecuente de delincuentes extranjeros en Colombia que traen técnicas utilizadas

en países de Europa del Este. Según datos que reposan en el CCP, dichos delincuentes

traen malware sofisticado y programas maliciosos que en algunos casos llegan incluso a

controlar remotamente los computadores de directivos o ejecutivos de áreas financieras,

(41)

- No hay políticas claras en las organizaciones privadas del país para el manejo de

dispositivos móviles, entre ellos las tabletas, los smartphones y los híbridos, por medio de

los cuales se viene manejando una gran cantidad de recursos e información y los cuales

generarían un gran riesgo en caso de extravío.

- Las empresas del sector privado prefieren no denunciar las estafas o extorsiones de las

que son víctimas, por el desconocimiento del proceso de la denuncia o para no evidenciar

falencias en su infraestructura tanto física como lógica y no generar una mala reputación o

una mala imagen ante sus clientes.

En el documento publicado por COLOMBIA DIGITAL que reúne las memorias del ''Foro

Amenazas y retos frente a la seguridad de sitios web'', se reconocen también como causas en la

fuga de datos:

o El hacking 35%

o Divulgación accidental 29%

o Robo o pérdida de un ordenador o unidad 27%

o Apropiación por parte del personal interno 6%

o Fraudes 2%

(42)

5. Tendencias y prácticas internacionales sobre seguridad informática.

5.1 Normatividad y convenios internacionales vigentes contra el Cibercrimen (Rango UIT)

La iniciativa de unión en contra del cibercrimen parte normativamente con la publicación

del Convenio de Budapest en el año 2001. Es el resultado de la reunión de los estados miembros

del Consejo de Europa, quienes encaminaron las iniciativas de entendimiento y cooperación

internacional en la lucha contra la ciberdelincuencia, incluyendo las medidas adoptadas por las

Naciones Unidas, la OCDE, la Unión Europea y el G8.

Dichos estados están convencidos de la necesidad de aplicar con carácter prioritario una política

penal encaminada a proteger a la sociedad frente a la ciberdelincuencia, mediante la adopción de

la legislación adecuada y el fomento de la cooperación internacional. Están conscientes de los

profundos cambios provocados por la digitalización, la convergencia y la globalización continua de las redes informáticas y preocupados por el riesgo de que las redes informáticas y la

información electrónica sean utilizadas para cometer delitos y de que las pruebas relativas a

dichos delitos sean almacenadas y transmitidas por medio de dichas redes. (Ministerio de

Relaciones Exteriores y Concejo de Europa, 2001, pág. 1)

Como se consigna en el convenio se reconoce la necesidad de una cooperación entre los

estados y el sector privado en la lucha contra la ciberdelincuencia. Se busca prevenir los actos

dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas

informáticos, redes y datos informáticos, así como el abuso contra dichos sistemas, redes y datos,

(43)

De la emisión del convenio contra la ciberdelincuencia firmado en Budapest quedaron en

firme una serie de artículos cuya intención principal era reunir conceptual y normativamente la

tipificación penal de los actos tecnológicos delictivos. A continuación, el detalle de estos:

Tabla 3. Convenio contra la ciberdelincuencia Budapest 2001. Fuente: elaboración propia

basado en Convenio sobre la ciberdelincuencia Budapest, 23.XI.2001

A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL

DERECHO PENAL SUSTANTIVO

Delitos contra la confidencialidad, integridad

disponibilidad de los datos y sistemas informáticos

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten

necesarias para tipificar como delito en su derecho interno la comisión

deliberada e ilegítima de los siguientes actos.

Acceso ilícito: Acceso deliberado e ilegítimo a la totalidad o a una parte de un sistema informático.

Interceptación ilícita: Interceptación deliberada e ilegítima, por medios técnicos, de datos informáticos comunicados en transmisiones

no públicas efectuadas al interior o exterior de un sistema informático.

Interferencia en los datos: Es lacomisión deliberada e ilegítima de actos que dañen, borren, deterioren, alteren o supriman datos

informáticos.

Interferencia en el sistema: Obstaculización grave, deliberada e ilegítima del funcionamiento de un sistema informático mediante la

introducción, transmisión, provocación de datos, borrado, deterioro,

(44)

A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL

DERECHO PENAL SUSTANTIVO

Abuso de los dispositivos: Producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta a disposición

de un dispositivo, incluido un programa informático, diseñado o

adaptado principalmente para cometer cualquiera de los delitos

previstos anteriormente.

Contraseña: Un código de acceso o datos informáticos similares que permitan tener acceso a la totalidad o a una parte de un sistema

informático con el fin de que sean utilizados para cometer cualquiera de

los delitos contemplados anteriormente.

La posesión de alguno de los elementos contemplados en los puntos

anteriores con el fin de que sean utilizados para cometer cualquiera de

los delitos previstos anteriormente.

Delitos informáticos

Falsificación informática: Introducción, alteración, borrado o

supresión de datos informáticos que dé lugar a datos no auténticos, con

la intención de que sean tenidos en cuenta o utilizados con efectos

legales como si se tratara de datos auténticos, con independencia de que

(45)

A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL

DERECHO PENAL SUSTANTIVO

Fraude informático: Actos deliberados e ilegítimos que causen un perjuicio patrimonial a otra persona mediante:

 Cualquier introducción, alteración, borrado o supresión de datos

informáticos.

 Cualquier interferencia en el funcionamiento de un sistema

informático, con la intención fraudulenta o delictiva de obtener

ilegítimamente un beneficio económico para uno mismo o para

otra persona.

Delitos relacionados con el contenido

Delitos relacionados con la pornógrafa infantil (toda persona menor de

18 años, la parte podrá establecer un límite de edad inferior, que ser

como mínimo de 16 años)

 Producción de pornografía infantil para ser difundida por medio

de un sistema informático.

 Oferta o la puesta a disposición de pornografía infantil por

medio de un sistema informático.

 Transmisión de pornografía infantil por medio de un sistema

informático,

 Adquisición de pornografía infantil por medio de un sistema

Figure

Figura 1: Diagrama de modelación de las variables objeto de estudio
Figura 2: Causas comunes en el cibercrimen
Figura 3: Programa integral de administración de riesgo de fraude. Fuente: tomado de (KPMG, 2013)
Figura 4: Objetivos de una estrategia de administración de riesgos de fraude. Fuente: elaboración propia basado en (KPMG, 2013)
+6

Referencias

Documento similar

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

You may wish to take a note of your Organisation ID, which, in addition to the organisation name, can be used to search for an organisation you will need to affiliate with when you

Where possible, the EU IG and more specifically the data fields and associated business rules present in Chapter 2 –Data elements for the electronic submission of information

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)

E Clamades andaua sienpre sobre el caua- 11o de madera, y en poco tienpo fue tan lexos, que el no sabia en donde estaña; pero el tomo muy gran esfuergo en si, y pensó yendo assi