Seguritecnia 392

86 SEGURITECNIA Diciembre 2012 Seguridad TIC garantizar su funcionamiento eficaz al servicio de los intereses nacionales”. El Real Decreto continúa esbozando las líneas estratégicas que irán mar- cando el desarrollo en los años poste- riores y mantiene que la seguridad de los sistemas de información debe ga- rantizar la confidencialidad, disponibili- dad e integridad de la información que manejan y la disponibilidad e integri- dad de los propios sistemas, así como la autenticidad del usuario y la trazabi- lidad del uso del servicio y del acceso a los datos. Señala entonces la necesi- dad de contar con un organismo que, partiendo del conocimiento de las TIC y de las amenazas y vulnerabilidades que existían entonces (y que no han de- jado de crecer), proporcionara una ga- rantía razonable sobre la seguridad de productos y sistemas. Este organismo es el CCN. Adecuación al entorno Desde su creación en el año 2004, el CCN ha ido adecuándose y, en la me- dida de lo posible, adelantándose a una realidad cambiante en donde las ame- nazas se incrementan día a día favo- recidas por la rentabilidad que se ob- tiene, ya sea económica, política o de otro tipo; la facilidad y el bajo coste en el empleo de las herramientas utiliza- das; así como el reducido riesgo para el atacante, que lo puede hacer de forma anónima y desde cualquier lugar del mundo, afectando transversalmente tanto al sector público, como al privado o a los ciudadanos. Ciberdelincuentes, crimen organizado, terroristas, hackti- vistas o los propios Estados son capaces de explotar las vulnerabilidades tecno- lógicas con el objeto de recabar infor- mación, sustraer activos de gran valor y amenazar servicios básicos para el nor- mal funcionamiento de nuestro país. La creación de la Capacidad de Respuesta a Incidentes, CCN-CERT, en el año 2006 (y sus múltiples servicios orientados a una defensa preventiva frente a los ata- ques a las AAPP) y del Organismo de Certificación (OC) en 2007, son la res- puesta más importante en los últimos años a este desafío. Porque este ámbito y los distintos aspec- tos que lo componen, ahora llamado ci- berseguridad, han ido modificándose a lo largo de los últimos años. Así, las amena- zas han ido variando a medida que lo ha- cía la motivación de los atacantes (antes se buscaba prestigio y satisfacción personal, ahora dinero y réditos políticos); así como los objetivos que persiguen (de ataques globales se ha pasado a ataques dirigidos). Los métodos de ataque también han cambiado, aumentando su alcance y so- fisticación. Así, a media que las tecnolo- gías de seguridad evolucionan, quienes realizan los ataques se adaptan a ellas y descubren ataques nuevos y mejores: deficiencias en la seguridad de los equi- pos, código dañino, bots, spam, phishing , DNS y DoS (el primer ataque de denega- ción de servicio surgió en 2006), spyware, adware, rootkits , o ataques basados en la web (SQL, Cross-site scripting ). Por su parte, las vulnerabilidades tam- bién se han ido incrementado a un ritmo constante (incluidas las más pe- ligrosas, las Zero-Day ) y han ido afec- tando a todas las tecnologías e infra- estructuras que han ido surgiendo: sis- temas operativos (del servidor y del cliente), mensajería, sitios web, redes sociales, dispositivos móviles, carding , bluetooth , RFDI, Wi-Fi, WiMax, Infraes- tructuras Críticas (sistemas SCADA), etc. En esta evolución constante, y a me- dida que los riesgos cobran mayor im- portancia y repercusión en todas las ca- pas de la sociedad, la participación de los gobiernos y la legislación para ha- cerles frente se ha intensificado en to- dos los países de nuestro entorno. Sur- gen así (y lo seguirán haciendo) Estra- tegias Nacionales de Ciberseguridad, fruto de la preocupación de los gobier- nos por proteger el ciberespacio como un eje fundamental en la defensa de la sociedad y de su sistema económico. En este sentido, el CCN, en línea con la futura Estrategia Española de Ciber- seguridad, mantendrá todo su esfuerzo en incrementar las capacidades de pre- vención, detección, análisis, respuesta y coordinación ante las ciberamenazas, haciendo énfasis en las administracio- nes públicas, las Infraestructuras Críticas, las capacidades militares y de Defensa, y otros sistemas de interés nacional. S El CCN, en línea con la futura Estrategia Española de Ciberseguridad, mantendrá todo su esfuerzo en incrementar capacidades de prevención, análisis y coordinación ante las amenazas