Defensa informática
ISSA: Perú necesita un “cibercomando” contra ataques informáticos
Entrevista. Roberto Pullo Valladares, ingeniero en Computación y Sistemas, presidente de la Information Systems Security Association (ISSA) – Capítulo Peruano. Propone un mayor desarrollo en la defensa informática del país. Para él, los ciber activistas de Anonymous son un “quinto poder” necesario
¿En qué se sustenta la idea de que los peruanos tienen “escasa conciencia en términos de la protección y riesgos en materia de seguridad informática”, como dice su nota de prensa?
Perú es uno de los países que poco ha legislado en temas de seguridad de la información y seguridad informática y, sobretodo, en planeamiento de ciber defensa y ciber seguridad. No solamente hablamos de proteger una página web, sino estrategias de seguridad nacional. Actualmente existen artículos como el 207 A, B y C del Código Penal, el proyecto de ley de ciber delitos, la Ley de Protección de Datos Personales, pero no existen lineamientos de ciber seguridad.
¿Significa esto que falta lo teórico?
Falta ver el tema de la defensa cibernética de manera estructurada a nivel del Gobierno, existen entidades gubernamentales como Ongei (…) en las Fuerzas Armadas existen profesionales muy preparados en temas de protección cibernética, lo que falta es el espacio para poder fusionar estas fuerzas, colocar elemento académico y privado y crear una estrategia nacional.
¿Y cómo se define la ciber guerra?
Normalmente clasificamos los ataques bélicos en aire mar y tierra, es el territorio físico, pero nos estamos olvidando del terreno cibernético; allí es donde los países que quieren atacar a otros utilizan este espacio (…) para obtener así beneficios diversos o solo para que el país objetivo se pueda paralizar u obtener información privilegiada.
¿Entonces los ataques a puntos vitales digitales definen la ciber guerra?
Principalmente (sí). Ya hubo situaciones como la del gusano Stuxnet que arrasó sobre los sistemas informáticos de empresas industriales.
¿Qué tanto dependen los servicios básicos peruanos, como el agua y electricidad, de las redes, en caso de ser atacados en una ciber guerra?
Estos sistemas tienen un software que los monitoriza, y están programados en un lenguaje determinado (…) Este lenguaje de programación si es vulnerado podría colapsar: o no distribuir energía o distribuirla mal o paralizarla y no activarse, etc.
¿Han ocurrido ataques de ese tipo en Latinoamérica?
Registrados, no.
¿Qué tan actualizados están los programas que controlan estas plantas?
En lo que es software normalmente no hay conciencia ni criterio o experiencia en el común de profesionales de tecnología de información (TI) respecto a estos temas.
¿Entonces no están actualizados?
Pueden estar programados (los sistemas), pero que exista personal profesional que los proteja con códigos seguros o que esos sistemas de control sean protegidos, sí hay una gran brecha.
¿Es suficiente el conocimiento que se imparte de ciber defensa en Perú?
Hay muchas brechas. Existen algunas carreras en las universidades, es un curso por allí de seguridad informática pero todavía no hay ese impulso que debería haber de adiestrar a los profesionales de TI en el desarrollo seguro.
¿Dónde termina un hackeó y dónde empieza la ciber guerra?
Paralizar una página web con una denegación de servicio (DDOS) por un tema de protesta es distinto a invertir dinero para crear software malicioso exclusivamente para atacar la infraestructura crítica de un Estado…
¿Los objetivos del atacante determinan si hay o no una ciber guerra?
Exactamente.
Hay una frase muy conocida que dice “la mejor defensa es un buen ataque” ¿qué necesita este país para hacer un ataque cibernético?
Para empezar: lineamientos, estrategia y crear –que es la propuesta de ISSA Perú- un ciber comando, y no solamente hablamos de militares metidos en defensa cibernética, sino de juntar a todos los muy buenos profesionales peruanos que tenemos aquí relacionados a la seguridad de la información, reclutarlos, efectuarles una buena propuesta económica (…) y unir este ciber comando ante una posible amenaza.
¿Sería tanto para defender sitios del Estado como atacar, cierto?
Se pueden hacer miles de cosas, pero si no los tenemos reunidos, no los tenemos en constante capacitación y entrenamiento (no se podrá).
Anonymous mencionó que si este país busca asesoramiento en ciber guerra es perder el tiempo ¿Qué opina de esto?
La verdad es que nada es seguro, pero no tener nada es peor. Ahora, sobre el actuar de Anonymous y del grupo de activistas mi comentario es que todo organismo necesita elementos de desfogue, elementos de protección. Para mí (Anonymous) es un quinto poder que tiene que estar allí. Pero de protestar contra la ley SOPA a pasar al hecho delictivo, atacar una nación, es diferente.
Este año Anonymous filtró documentos del ministerio de Relaciones Exteriores, es más, también difundió correos electrónicos de la Divindat. ¿Qué nos dice el hecho de ver la Policía Informática pasar por esto?
Para que el Perú pueda tener una buena base de protección, requiere inversión. Requiere que los entes protectores tengan dinero para educarse y tener herramientas. Se requiere de una constante capacitación y estrategias. Ahora bien, que se expongan datos de páginas web del Estado yo analizaría bien el asunto y preguntaría de quién es la culpa. ¿Del analista, del ingeniero, del experto en seguridad informática que ve una libertad expuesta en internet y simplemente ingresa o la responsabilidad de quien no protegió adecuadamente la página?
¿Y para usted de quién es la culpa?
Es una gran pregunta que la dejo a los lectores.
Hay webs con la etiqueta de Anonymous que promueven ataques DDOS (para sobrecargar páginas) entre sus seguidores, para quienes no es difícil hacer caso. ¿Qué se puede hacer cuando los gobiernos son atacados por sus propios ciudadanos?
El Gobierno y entidades públicas y privadas deben estar preparados para soportar cualquier embestida…
Pero si hablamos de embestidas de 500 computadoras o 100…
Hay temas que no vamos a poder solucionarlos de la noche a la mañana…
¿Pero es posible frenar estos ataques?
Hay herramientas y, principalmente, estrategias para sortear el tema, pasa también por un asunto de codificación de sitios web. Son dos asuntos que van de la mano, pero nada es infalible.
¿En líneas generales qué proponen para fortalecer la defensa informática del Estado?
Establecer una estrategia relacionada a la ciber guerra donde se deben tener vínculos entre centros de estudios, Gobierno y militares.
¿Si este país es tan vulnerable en el sentido digital, no sería mejor revalorar el papel como soporte de información?
El tema de tener información en papel, con todo lo que se viene, está tendiendo a desaparecer. Estaríamos aislados del mundo. No usar el papel reduce brechas, actos de corrupción, porque el papel que tú podías falsificar es electrónico. ¿Nosotros vamos a quitar esos avances? Creo que no. Debiéramos reforzar los elementos para proteger la parte electrónica.
Dato:
El jueves 12 de abril ISSA Perú llevará a cabo el congreso "Cybersecurity Government", evento que mostrará los riesgos, vulnerabilidades, retos, amenazas, avances sobre defensa tecnológica en materia de la seguridad informática. Más información en issaperu.org
FUENTE:LaRepública.pe