Home / Area / DOCTRINA EN DOS PÁGINAS I Diario DPI Suplemento Derecho y Tecnologías Nro. 68 – 14.09.2020


DOCTRINA EN DOS PÁGINAS I

Más medidas de ciberseguridad internacional: Armenia, Australia, Bosnia y Herzegovina, Canadá, Dinamarca, Emiratos Árabes Unidos, Georgia, Honduras e Indonesia

Por Uriel Bekerman

Se recomienda leer la presente obra a continuación de la publicada anteriormente por el mismo autor: “Algunas medidas de ciberseguridad en Argentina, Colombia, Cuba, Egipto, Francia, Grecia, Japón, Singapur y Turquía”.[1]

I. Introducción

Como consecuencia del enriquecedor aporte que han tenido los debates del Grupo de Expertos Gubernamentales de Naciones Unidas en Ciberseguridad (Grupo de Expertos), el cual ha dedicado su ejercicio a examinar las amenazas existentes y potenciales en el ámbito cibernético y ha analizado las posibles medidas de cooperación para hacerles frente a través de la formulación de normas y recomendaciones -que luego fueron captadas por la Asamblea General de las Naciones Unidas-, se ha inculcado en los Estados el deber de cumplimiento de sus obligaciones de respetar y proteger los derechos humanos y las libertades fundamentales de sus habitantes, las cuales deben a su vez interpretarse íntegramente aplicables mediante la utilización de las nuevas tecnologías de la información y de la comunicación (TIC).

Estos debates han colaborado en la instauración del papel de liderazgo de Naciones Unidas en la promoción del diálogo sobre la seguridad internacional de las TIC y acerca del uso estatal de estas para diversos fines, destacando la necesidad de que los Estados no utilicen servidores informáticos o “proxy” para la comisión de hechos internacionalmente ilícitos, lo cual a su vez está ligado a los principios de soberanía internacional y de no intervención en los asuntos internos de otras jurisdicciones.[2]

En virtud de la promoción del diálogo internacional mencionada, la Asamblea General ha solicitado en varias oportunidades a los Estados miembros comunicar al Secretario General sus opiniones y observaciones sobre cuestiones referidas al estado de la ciberseguridad en sus jurisdicciones, así como sobre las medidas que han tomado recientemente en la materia.[3] Una de las últimas solicitudes de información a los Estados miembros, cuyo plazo original de presentación fue prorrogado hasta el 31 de mayo de 2020, derivó en la publicación del informe titulado -idénticamente a los anteriores-: “Avances en la esfera de la información y las telecomunicaciones en el contexto de la seguridad internacional” por el Secretario General, el 23 de junio de 2020 (el Informe).[4]

A continuación, se resumirán brevemente las principales medidas de ciberseguridad que algunos Estados han comunicado al Secretario General, según lo plasmado por el mismo en el Informe.

II. Información aportada por los Estados

1) Armenia

El Estado armenio reafirma su compromiso por mantener un ciberespacio abierto, libre y seguro en vistas de proteger los derechos humanos y las libertades de las personas en la Red, lo cual destaca que significa un gran desafío por la amplitud y diversidad de esta. Promueve la continuidad de una labor conjunta entre todos los Estados miembros de Naciones Unidas para prevenir el uso indebido de las TIC de manera cooperativa. Remarca, entre otras, las siguientes medidas tomadas durante los últimos años:[5]

a) Ha participado activamente del proyecto conjunto entre la UE y el Consejo de Europa: “CyberEast”, implementado en la región de la Asociación Oriental en el marco del Instrumento Europeo de Vecindad Oriental (European Neighbourhood Instrument o ENI), con el objeto de adaptar su derecho interno en compatibilidad con el Convenio de Budapest de Ciberdelincuencia[6] y los instrumentos relacionados.[7]

b) Ha implementado diversas medidas de fomento de la confianza recomendadas por la Organización para la Seguridad y la Cooperación en Europa (OSCE) -que, como se verá más adelante, ha influido directamente en las medidas tomadas por otros Estados-.

c) En virtud de su relación con la OSCE, en 2019, Armenia permitió a la División de Amenazas Transnacionales[8] a que realice estudios en su territorio acerca de sus capacidades nacionales sobre ciberdelincuencia, los cuales concluyeron en una nota conceptual acerca de estas, y que en el futuro podría derivar en un proyecto de mejoras.

2) Australia

El gobierno australiano demuestra una sólida participación en los debates internacionales en la materia y reconoce la necesidad de adoptar medidas de fomento para aumentar la confianza en el ciberespacio. Para este Estado, la Carta de Naciones Unidas y el derecho internacional en su totalidad es aplicable en Internet y por ello su protección es esencial para la búsqueda de un entorno tecnológico seguro, estable, accesible y pacífico, lo cual puede reflejarse en virtud de las siguientes acciones:[9]

a) El gobierno invita a todos los Estados a que se ajusten al informe del Grupo de Expertos Gubernamentales de 2015 respecto de los que, a su consideración, son los “4 pilares” en la materia: (i) la aplicación del derecho internacional; (ii) la aplicación de normas de comportamiento responsable de los Estados; (iii) las medidas de fomento de la confianza; y (iv) la creación de capacidad.

b) Publicación en 2017 de la Estrategia de Participación Cibernética Internacional,[10] la cual remarca -entre otras consideraciones- que, si bien antes la materia constituía una cuestión técnica y especializada, actualmente los asuntos cibernéticos abarcan una amplia gama de cuestiones estratégicas y de política internacional que deben tratarse colaborativamente, así como bajo entidades internacionales que permitan un entendimiento común.[11]

c) Publicación en 2020 del documento: “Estudios Monográficos sobre la Aplicación del Derecho Internacional en el Ciberespacio”, el cual proporciona un marco amplio y sólido para abordar las amenazas que plantea la actividad cibernética maliciosa generada o patrocinada por un Estado -referente a los ciberataques geopolíticos y/o militares-.[12]

3) Bosnia y Herzegovina

Desde que en 2006 ratificó el Convenio de Budapest sobre Ciberdelincuencia, el Estado de Bosnia y Herzegovina ha comenzado a adaptar su legislación interna al instrumento internacional mencionado. Motivado por lo anteriormente mencionado y consciente de los perjuicios que pueden producirse a través de los ataques en la Red, ha llevado a cabo las siguientes actividades:[13]

a) En 2016 el Estado creó un grupo de trabajo interministerial para la ejecución del proyecto iPROCEEDS[14] sobre fomento de la capacidad en materia de ciberdelincuencia, lo cual ha permitido al Estado bosnio una activa participación en el proyecto. Además, es coordinador de los miembros del proyecto iPROCEEDS-2 sobre los procedimientos delictivos en Internet, con el objeto de proteger las pruebas electrónicas en el sudeste de Europa y Turquía.

b) En 2017 se estableció un “Equipo Informático de Respuesta de Emergencia” (CERT) para las instituciones públicas nacionales y dentro del Ministerio de Seguridad. Actualmente, se tiene previsto una mejora operacional, institucional y técnico del CERT bosnio, lo que corresponde con un aumento de la dependencia de las instituciones en las TIC, y, por ende, con una mayor necesidad de invertir recursos en la protección informática de estas infraestructuras.

c) En 2017 se aprobó un análisis sobre la armonización de la legislación en materia de seguridad informática, en vistas de elaborar una Estrategia de Ciberseguridad.

d) En el mismo año, se adoptó la Estrategia de Ciberseguridad para prevenir los incidentes de seguridad, promover la educación en este campo y establecer un marco para el otorgamiento de certificados para el personal que trabaja en ciberseguridad, entre otros objetivos. Luego, y con el antecedente de la Estrategia, se aprobó una política de gestión de la seguridad de la información para las instituciones.

e) Se creó un grupo de trabajo bajo el auspicio de la OSCE para la creación de directrices que propicien un marco estratégico de ciberseguridad bosnio.

4) Canadá

El Estado de Canadá ha dedicado gran parte de sus recursos para disuadir y responder a las ciberactividades malintencionadas. Altamente comprometido con la misión de lograr un ciberespacio libre, abierto y seguro, apoya los esfuerzos de la OTAN en ciberdefensa y considera que las medidas prácticas de fomento de la confianza son esenciales para una “estabilidad” en la paz cibernética, por lo que participa activamente en diversos foros internacionales en la materia. Además, ha dispuesto las siguientes políticas públicas:[15]

a) Desde 2015, Canadá ha destinado más de 4 millones de dólares en la creación de proyectos y mejora de sus capacidades informáticas en materia de seguridad.

b) En junio de 2018 publicó la Estrategia Nacional de Ciberseguridad, con el objeto de proteger los “cibersistemas vitales”, e incluyó la financiación de una Unidad Nacional de Coordinación de la Ciberdelincuencia, la cual tiene vigencia hasta 2023 y coordina las investigaciones de ciberdelitos.

c) En el mismo año, la Real Policía Montada fue financiada para fortalecer sus capacidades cibernéticas y poder tomar medidas contra las actividades de ciberdelincuencia.

d) Creó en 2019 el Centro Canadiense de Ciberseguridad como un CERT.

e) Adoptó un Plan de Acción Nacional de Ciberseguridad con medidas a tomar por 5 años.

f) Preside un equipo multidisciplinario dentro de la organización internacional de derechos humanos en línea: “Freedom Online Coalition”.

5) Dinamarca

Para el Estado danés, a pesar de los inmensurables esfuerzos, los ciberataques -tanto por agentes estatales como no estatales- siguen aumentando constantemente y esto debe ser considerado una preocupación mundial. Teniendo en consideración que la tecnología forma parte de su vida cotidiana y que representa un factor clave para su crecimiento económico, Dinamarca está decidido a prevenir y responder a estas ciberactividades malintencionadas, y promueve una mejora en la cooperación internacional en la materia. Para ello, destaca las siguientes medidas:[16]

a) El “Acuerdo de Defensa” danés destinó 1.400 millones de coronas danesas al fortalecimiento de la ciberseguridad para el período 2018-2023.

b) En 2018 se aprobó la Estrategia Danesa de Seguridad Cibernética y de la Información, proponiéndose aumentar la ciberresiliencia y los conocimientos técnicos de las empresas y autoridades, así como el “ciberhigiene” de la población. Además, se establecieron unidades dedicadas a la seguridad de la información en sectores críticos, y se creó un foro para el intercambio de experiencias.

c) Se desarrolló un Centro de Ciberseguridad con educación intensiva en la materia, y en 2019 se graduaron 15 personas de este, que actualmente están empleadas en el sector público.

d) En el mismo año, se estableció un Consejo de Ciberseguridad público-privado (Cybersikkerhedsråd) para calificar la labor de las autoridades nacionales acerca de las TIC.

6) Emiratos Árabes Unidos

A través de la participación en organizaciones internacionales, Emiratos Árabes Unidos (EAU) ha firmado diversos memorandos de entendimiento y acuerdos internacionales de cooperación para dar efectiva respuesta a los ciberataques. El Estado ha reconocido una gran necesidad de garantizar la seguridad de las infraestructuras críticas, tanto para la confianza de la población como para promover la innovación. En particular destaca que:[17]

a) En 2006 se aprobó la Ley de Delitos Informáticos.

b) En 2019 se publicó la versión actualizada de la Estrategia Nacional de Ciberseguridad, con el objetivo de crear una infraestructura cibernética segura y sólida en los EAU que permita a los ciudadanos cumplir sus aspiraciones y empodere a las empresas para prosperar.

c) Se han desarrollado numerosas políticas para mejorar la ciberseguridad, como por ejemplo la creación del CERT de los EAU (aeCERT), quien dedica una vigilancia e inspección de las infraestructuras críticas las 24 horas del día.

d) Se ha llevado adelante la iniciativa “CyberPro”, la cual busca fomentar la capacidad de los empleados que trabajan en la seguridad cibernética y campos relacionados con la tecnología de la información mediante cursos de capacitación mensuales gratuitos.

e) El país es miembro de la Unión Internacional de Telecomunicaciones (UIT) y colabora activamente en materia de ciberseguridad.

f) A través de la elaboración de programas y materiales, participa del CERT de la Organización de Cooperación Islámica (OIC-CERT).

7) Georgia

Con su reciente accionar, el gobierno de Georgia ha demostrado un fiel comportamiento para la creación de un entorno informático seguro a nivel internacional. Teniendo en consideración que en 2019 ha sido víctima de un ciberataque masivo dentro de las infraestructuras de su administración pública, -lo que perjudicó tanto a los organismos gubernamentales como a sus ciudadanos, y que las autoridades de Georgia han responsabilizado a Rusia por el ciberataque-, el Estado promueve la búsqueda de una política de ciberseguridad nacional e internacional, así como también un uso responsable de los Estados a través de las TIC. Por ello, ha tomado las siguientes iniciativas:[18]

a) Ha impulsado una etapa activa de colaboración con la OTAN a través de diversos proyectos de aprendizaje estratégico y técnico en la materia.

b) En 2019 se elaboró el tercer proyecto de Estrategia Nacional De Ciberseguridad y su Plan de Acción.

c) Ha recibido financiación de la UE para reducir la ciberdelincuencia a través del programa “EU4 Security, Accountability and the Fight against Crime in Georgia”, cuyo objetivo es aumentar el nivel de responsabilidad de todos los organismos involucrados mediante el seguimiento y la evaluación de la Estrategia y el Plan de acción.[19]

d) Participa activamente en la plataforma de ciberseguridad de la OSCE y sus iniciativas.

e) Ha firmado junto a Reino Unido un Memorando de Entendimiento sobre cooperación en materia de ciberseguridad, con la finalidad de trabajar mutuamente y compartir buenas prácticas en la materia. Además, el CERT georgiano ha firmado acuerdos con Lituania, Rumania, Moldova, Ucrania y Bielorrusia.

8) Honduras

Bajo la misión de crear una cultura laboral que se adecúe al “Manual de Seguridad de la Información” de su institución policial, el Estado de Honduras ha demostrado un alto grado de interés y dedicación en el cumplimiento de sus derechos constitucionales a través de las TIC. Además, ha participado en diversas actividades internacionales relacionadas al cibercrimen y a la ciberseguridad, y se han llevado adelante las siguientes decisiones:[20]

a) Ha implementado una red local a través de la página “Poliweb” donde se mantiene informado al personal administrativo sobre las últimas novedades en materia de ciberdelitos.

b) Se desarrolló un control e investigación de incidentes a través de un constante monitoreo de la Red focalizado en los datos institucionales, identificando vulnerabilidades y amenazas cibernéticas a usuarios particulares e infraestructuras críticas.

c) El Estado promueve constantes auditorías especializadas que verifican el cumplimiento de un correcto uso de los equipos informáticos.

d) Se han tomado diversas medidas institucionales, como la creación de una “administración de cortafuegos” que bloquea los intentos de intrusión a las redes del Estado y contabiliza los inicios de sesión del personal público, y también a través del cifrado de todas las comunicaciones públicas para salvaguardar la integridad de las comunicaciones estatales.

9) Indonesia

El Estado de Indonesia ha fomentado constantemente una cooperación internacional para fortalecer la seguridad de la información y promover el diálogo fluido entre los Estados. El 65% de su población tiene acceso a Internet y destaca que en 2019 ha sufrido más de 220 millones de ciberataques. Con el objetivo de desarrollar capacidad de respuesta a este fenómeno que afecta con semejante magnitud a las organizaciones y a la sociedad en general, ha venido implementando las siguientes medidas:[21]

a) En 2014 promulgó la Ley de Información y Transacciones Electrónicas, así como la Hoja de Ruta Nacional de Comercio Electrónico para 2017-2019.

b) En 2017 se estableció la Agencia Nacional de Ciberseguridad y Criptografía y se ha creado el CERT de Indonesia para dar una respuesta rápida a los incidentes cibernéticos.

c) En 2018 se inició una Campaña de Alfabetización sobre Ciberseguridad para promover un acceso seguro a Internet.

d) Participa activamente de la Asociación de Naciones de Asia Sudoriental (ASEAN) sobre cuestiones cibernéticas.

III. Conclusiones

Los beneficios que otorgan las TIC se han visto amenazados ante el gran incremento de ciberataques que se han acreditado en los últimos años -y en especial con la llegada de la pandemia del Covid-19 y el aumento de tiempo en el que las personas pasan conectadas a la Red-. La hiperconectividad de la población y la búsqueda de una íntegra digitalización de las entidades públicas ha permitido una nueva vía para la comisión de ilícitos, que con una gran asimetría entre los recursos invertidos por los ciberdelincuentes y los perjuicios económicos que pueden producir, preocupan a todos los gobernantes del mundo.

La cooperación internacional para fomentar la confianza de la población en el ciberespacio -teniendo en cuenta que en este último se apoya gran parte de la economía moderna-, debe ir acompañada por políticas públicas de ciberseguridad, las cuales deben sostenerse con acuerdos bilaterales y multilaterales.

El paso del tiempo y este aumento de ciberataques masivos han demostrado una vez más el esencial rol de las Naciones Unidas como promovedor de un entendimiento común en la materia, donde la paz, la seguridad, los derechos humanos y la soberanía internacional deben ser un objetivo común para todos los Estados miembros.

[1]Uriel Bekerman, Algunas medidas de ciberseguridad en Argentina, Colombia, Cuba, Egipto, Francia, Grecia, Japón, Singapur y Turquía, Diario DPI Suplemento Derecho y Tecnologías Nro. 66 – 07.08.2020, disponible en https://dpicuantico.com.

[2] Informe del Secretario General de Naciones Unidas A/70/174.

[3] Párrafo 2 de la Resolución 74/28 de Naciones Unidas.

[4] Informe del Secretario General de Naciones Unidas A/75/123.

[5] Informe del Secretario General de Naciones Unidas A/75/123, p. 3.

[6] Convenio Sobre la Ciberdelincuencia, serie de Tratados Europeos N°185, Consejo Europeo, 23/11/2001.

[7] Información extraída de la web oficial del Consejo de Europa: https://www.coe.int/

[8]El Departamento, creado en 2012, tiene como objetivo que los compromisos políticos se traduzcan en medidas programáticas efectivas y duraderas, entre otras cosas mediante la organización de reuniones conjuntas de expertos, el intercambio de información y de prácticas recomendables, y la coordinación de la puesta en práctica de proyectos y planes de acción. El Departamento incluye una Célula de coordinación que se ocupa, entre otras cosas, de cuestiones de seguridad de las tecnologías de la ciber/información y la comunicación, así como tres unidades temáticas: la Unidad de Acción contra el Terrorismo, la Unidad de Seguridad y Gestión de Fronteras, y la Unidad de Asuntos Policiales Estratégicos”. Informe Anual 2016, Organización para la Seguridad y la Cooperación en Europa, OSCE. Disponible en https://www.osce.org/

[9] Informe del Secretario General de Naciones Unidas A/75/123, p. 4 y 5.

[10] “Australia’s International Cyber Engagement Strategy“. Disponible en el sitio web del Departamento de Relaciones Exteriores y Comercio australiano: www.dfat.gov.au/sites/default/files/application-of-international-law-to-cyberspace.pdf

[11] Información extraída de la web oficial del Departamento de Relaciones Exteriores y Comercio australiano: https://www.dfat.gov.au/

[12] “Case studies on the application of international law in cyberspace”, Departamento de Relaciones Exteriores y Comercio australiano, disponible en: www.dfat.gov.au/sites/default/files/australias-oewg-non-paper-case-studies-on-the-application-of-international-law-in-cyberspace.pdf

[13] Informe del Secretario General de Naciones Unidas A/75/123, p. 6-11.

[14] Proyecto conjunto de la Unión Europea (programa de acción multipaís IPA II 2014) y el Consejo de Europa, cuyos Estados participantes son Albania, Bosnia y Herzegovina, Montenegro, Macedonia del Norte, Serbia, Turquía y Kosovo. Información extraída de la web oficial del Consejo de Europa: https://www.coe.int/en/web/cybercrime/iproceeds.

[15] Informe del Secretario General de Naciones Unidas A/75/123, p. 12-14.

[16] Ibídem, p. 30-32.

[17] Ibídem, p. 46-50.

[18] Ibídem, p. 51-52.

[19] Información extraída de la web oficial del Ministerio de Asuntos Internos de Georgia: https://police.ge/en/home.

[20] Informe del Secretario General de Naciones Unidas A/75/123, p. 57-58.

[21] Ibídem, p. 57-58.

DESCARGAR ARTICULO