Sobre la importancia de Internet

La preponderancia de Internet en nuestra sociedad es evidente. Cada vez son más las personas que la utilizan para desarrollar todo tipo de actividades (ej. ocio, negocios, entretenimiento, educación, etc.). De forma global, el número de usuarios de Internet pasó de solo 413 millones en el año 2000 a un estimado de 3.4 mil millones para inicios del 2016 (Roser et al, 2015). Según cálculos hechos por la Royal Society (2016) de Reino Unido, para el año 2020 se esperaba contar con una cifra de entre 26 y 50 mil millones de dispositivos conectados en línea. A pesar que el advenimiento del Internet ha representado un gran número de beneficios, este trajo consigo nuevos riesgos y retos.

Ejemplo de ello es el posible mal uso de la información personal de los usuarios. En el mundo moderno, el estado físico, mental y emocional de un individuo puede ser cuantificado en función de la huella digital que genera (National Academy of Sciences, 2015). Lo anterior dado que, a medida que las personas pasan más tiempo en línea, se van acumulando más datos relacionados a su situación laboral, financiera, médica, sexual, anímica,  y de otro tipo. Además que, una vez que algo es publicado en este medio, dicha información puede ser guardada, replicada y combinada de forma ilimitada. Si bien existen entidades que tienen intereses legítimos en tener acceso a dicha información (ej. gobiernos, comunidades, negocios), esto multiplica las oportunidades de terceros para adquirir y hacer un uso indebido de dichos datos. Como consecuencia, la privacidad a la que tienen derecho los usuarios de Internet se ha convertido en materia de discusión a nivel internacional.

Derechos digitales

Por derecho digital se entiende la libertad de acción en el espacio cibernético (EDRi, 2020). Sin embargo, para algunos (ej. Hutt, 2015), se trata solamente de derechos humanos en la era de Internet. Entre los derechos digitales más reconocidos se destacan los siguientes: (1) derecho de acceso, (2) derecho de oposición, (3) derecho de rectificación, (4) derecho de cancelación, (5) derecho de expresión, (6) derecho a la privacidad, (7) derecho de asociación, y (8) derecho a un ciberespacio abierto e inclusivo (EDRi, 2020; Ranking Digital Rights, 2021). Se considera que, para que estos sean asegurados, los gobiernos, corporaciones e instituciones deben rendir cuentas sobre su cumplimiento.

A la raíz del debate sobre derechos digitales se encuentra una discusión sobre confianza. En este contexto, se entiende por confianza la seguridad que un individuo o grupo tienen en la confiabilidad e integridad de un sistema u organización (The Royal Society, 2016). La confianza es fundamental para que los usuarios mantengan su participación en la sociedad digital. Una entidad (ej. gobierno, corporación, institución) puede ganarse la confianza del público actuando de la siguiente manera: (1) creando sistemas que sean confiables y seguros, (2) tratando su privacidad y sus datos con respeto, y (3) proporcionando información creíble y comprensible que los ayude a comprender qué tan seguras están, así como a tomar decisiones (The Royal Society, 2016).

Nociones de ciberseguridad

A lo largo de los años, se han tenido importantes brechas de seguridad (i.e., ciberataques) en sistemas informáticos vinculadas a fallas en su diseño y funcionamiento (Millett, Fischhoff y Weinberger, 2017). Entre estos destacan el robo de información bancaria en diversos países, o la filtración de documentación privada de grandes empresas o gobiernos. Las ciberamenazas son impredecibles, no sólo en términos de quién, dónde o cuándo se tendrán, sino también en cómo y cuáles serán sus consecuencias. Según Kapersky (2021), a la práctica de defender o proteger a los usuarios, la información y los dispositivos tecnológicos de ataques maliciosos se le conoce como ciberseguridad. Esta es considerada como intrínsecamente multidisciplinaria, dado que para que un sistema esté protegido de forma adecuada, un equipo de ciberseguridad debe tener en cuenta aspectos tales como vulnerabilidades, amenazas, eventos que tendrán lugar, datos que pueden ser afectados, impactos organizacionales y los roles que jugarán los diferentes actores involucrados (i.e., stakeholders).

Algunos de los stakeholders de la ciberseguridad incluyen: (1) desarrolladores y proveedores de sistemas informáticos, (2) usuarios de dichos sistemas, (3) adversarios que buscan realizar actividades maliciosas que amenazan tanto a sistemas como a sus usuarios, y (4) defensores que intentan frustrar dichas actividades (CSIA-IWG, 2019). Las ciberamenazas se encuentran en un proceso constante de evolución en términos de su sofisticación, metas y objetivos. Por otro lado, los adversarios cambian con frecuencia sus tácticas y enfoques. Lo anterior para evitar ser detenidos. Por lo que, como resaltan Millett, Fischhoff y Weinberger (2017), las estrategias de seguridad tradicionales (ej. mantener la confidencialidad de la información, y verificar la integridad y disponibilidad de los sistemas) no pueden ser consideradas como suficientes, y que se crea que las organizaciones capaces de defenderse con éxito son aquellas que se adaptan de forma continua al cambio.

Los desafíos que implica la ciberseguridad son de escala global. Esto ya que los servicios y productos digitales, así como los ciberataques, rara vez se limitan a una sola jurisdicción. De ahí que se considere que los marcos legales, políticas públicas y aplicación de la ley aún no están bien adaptados. Para abordar este reto, varios países han lanzado diversas iniciativas. Ejemplo de ello es la Ley de Mejora de la Ciberseguridad promulgada en Estados Unidos en 2014 (Ley Pública 113-274), la cual requiere que su Consejo Nacional de Ciencia y Tecnología y su Programa de Investigación y Desarrollo de Redes y Tecnología de la Información desarrollen, mantengan y actualicen un plan estratégico de investigación y desarrollo (R&D por sus siglas en inglés) de ciberseguridad (CSIA- IWG, 2019). 

Instancias dedicadas a este rubro en otros países incluyen el National Cyber Security Centre (NCSC) de Reino Unido, la Bundesamt für die Sicherheit in der Informationstechnik (BSI) de Alemania, y la National Security Agency (NSA) de Estados Unidos. En el caso de México, la ciberseguridad está a cargo del Gobierno Federal, a través de dependencias como la Policía Federal y el C5 (Gobierno Federal, 2017).

En la práctica, la ciberseguridad puede ser dividida en las siguientes tácticas: disuadir, detectar, proteger, responder y adaptarse (CSIA-IWG, 2019; Millett, Fischhoff y Weinberger, 2017). Por disuadir se entiende la capacidad de desalentar las actividades cibernéticas maliciosas aumentando los costos, disminuyendo el botín, y aumentando los riesgos y la incertidumbre para los adversarios potenciales. Proteger implica aumentar la capacidad de los componentes, sistemas, usuarios e infraestructura crítica para resistir de manera eficiente las actividades maliciosas y así garantizar la confidencialidad, integridad y disponibilidad de los recursos. Detectar está relacionada con la capacidad de identificar de manera eficiente, o incluso de anticipar, las decisiones y actividades del adversario. Responder implica la capacidad de los defensores, las defensas y la infraestructura para reaccionar dinámicamente a las actividades maliciosas. Por último, adaptarse contempla el sobrellevar de forma efectiva la interrupción de un servicio, contrarrestar las actividades maliciosas en tiempo real, recuperarse de los daños, mantener las operaciones mientras se completa la restauración y hacer los cambios necesarios para frustrar actividades futuras similares.

Por su parte, la Academia Nacional de Ciencias de Estados Unidos propone las siguientes acciones que pueden servir para la protección contra acciones cibernéticas hostiles: (1) defensa, para proteger activos importantes; (2) disuasión, para desalentar a los adversarios de lanzar operaciones hostiles; (3) prevención y limitación de daños, para reducir la capacidad de las fuerzas que un adversario podría utilizar; y (4) control de “armas”, para llegar a acuerdos viables con adversarios potenciales para reducir la probabilidad de operaciones hostiles y reducir los daños en caso de que ocurran operaciones hostiles (National Academy of Sciences, 2015).

No todos los ciberataques pueden detectarse a tiempo. Algunos son encontrados luego de sufrir alguna consecuencia (ej. interrupción de un servicio). Incluso los sistemas más robustos tienen puntos débiles. Por lo que, si no se cuenta con formas efectivas de estimar la vulnerabilidad de un sistema, se puede llegar a subestimar el riesgo y optarse por invertir menos recursos de los necesarios en ciberseguridad. El diseño y desarrollo de sistemas resilientes y adaptables es vital para mejorar su potencial para la ciberseguridad, y con ello, garantizar que un servicio pueda continuar de forma ininterrumpida.

Derivado del trabajo de Millett, Fischhoff y Weinberger (2017), algunos de los marcadores para monitorear las condiciones latentes de un sistema en términos de ciberseguridad que pueden ser de utilidad son: (1) número de indicadores de compromiso disponibles públicamente, (2) porcentaje de sistemas y redes que utilizan indicadores de compromiso, (3) número de flujos de datos recopilados de redes internas y externas, (4) grado de apertura para adaptarse y aprender de los errores, (5) tiempo necesario para adaptarse y aprender, y (6) grado de compromiso con la mejora continua.

Ciencia de la seguridad

Dentro del área de la computación, la comunidad de interacción humano-computadora tiene un lema “tú no eres el usuario”, el cual es usado para recordar a los profesionales que no deben asumir que todas las personas comparten sus percepciones y motivaciones. De ahí que, luego de años de trabajo, expertos provenientes de campos como la computación, economía, sociología, psicología, matemáticas, estadística, lingüística, comunicación y ciencias políticas dieran pie a la ciencia de la seguridad (Millett, Fischhoff y Weinberger, 2017).

La ciencia de la seguridad tiene como objetivo el mejorar la comprensión de los diferentes aspectos de un sistema, incluyendo su entorno y usuarios, que crean vulnerabilidades o permiten que alguien o algo, ya sea dentro o fuera del sistema, las explote. Dentro de dichas metas destacan las siguientes: (1) la estimación de riesgo y predicción de ataques, (2) la búsqueda de evidencia que vincule las causas y consecuencias de un ciberataque, (3) el desarrollo de mecanismos de prevención y solución, (4) el desarrollo de leyes científicas y explicaciones comprobables, y (5) la creación de protocolos de seguridad, entre otros  (Millett, Fischhoff y Weinberger, 2017). Lo anterior como parte del ciclo de vida de un sistema. Es decir, contemplando su diseño, desarrollo, evaluación, implementación, operación, administración, mantenimiento, monitoreo, revisión, reparación, actualización y eventual reemplazo.

¡Frida participa!

Tomando en cuenta las temáticas de ciberseguridad y derechos digitales, para la temporada 2020-2021 de Código Frida se comenzó a trabajar con equipos conformados por jóvenes de secundaria y preparatoria en proyectos de esta índole. Dichos proyectos contemplan la creación de una intervención digital, la cual conste de una app para dispositivos móviles, una página web, y una red social. Esto con el fin de que los usuarios sean capaces de actuar, mantenerse informados, e interactuar con otras personas para contribuir a la solución de una problemática. Se espera terminar estos trabajos para finales de Marzo, a fin de presentar resultados.

Referencias

Cyber Security and Information Assurance Interagency Working Group (CSIA-IWG). (2019). FEDERAL CYBERSECURITY RESEARCH AND DEVELOPMENT STRATEGIC PLAN. National Science & Technology Council, Subcommittee on Networking & Information Technology Research & Development, Committee on Science & Technology Enterprise. Última visita: Febrero 19, 2021. Acceso en línea: https://www.nitrd.gov/cybersecurity/

European Digital Rights (EDRi). (2020). Policy. Sitio oficial de European Digital Rights, What we do. Última visita: Febrero 22, 2021. Acceso en línea: https://edri.org/what-we-do/policy/ 

Gobierno Federal. (2017). Estrategia Nacional de Ciberseguridad. Ciudad de México, México: Gobierno Federal. Acceso en línea: https://www.gob.mx/cms/uploads/attachment/file/271884/Estrategia_Nacional_Ciberseguridad.pdf 

Hutt, R. (2015). What are your digital rights?. Sitio oficial de World Economic Forum, Global Agenda, Digital Economy and New Value Creation, Media, Entertainment and Information. Acceso en línea: https://www.weforum.org/agenda/2015/11/what-are-your-digital-rights-explainer/ 

Kapersky. (2021). What is cybersecurity. Sitio oficial de Kapersky, Home Security, Resource Center, Definitions. Última visita: Febrero 22, 2021. Acceso en línea: https://www.kaspersky.com/resource-center/definitions/what-is-cyber-security 

Millett, L.I., Fischhoff, B., y Weinberger, P.J. (editors). (2017). Foundational Cybersecurity Research: Improving Science, Engineering, and Institutions. Washington, DC: The National Academies Press. DOI: 10.17226/24676

National Academy of Sciences. (2015). Cybersecurity Dilemmas: Technology, Policy, and Incentives: Summary of Discussions at the 2014 Raymond and Beverly Sackler U.S.-U.K. Scientific Forum. Washington, DC: The National Academies Press. ISBN: 978-0-309-38008-9 DOI: 10.17226/21833.

National Security Agency. (2018). NSA/CSS Technical Cyber Threat Framework v2 – A REPORT FROM: CYBERSECURITY OPERATIONS THE CYBERSECURITY PRODUCTS AND SHARING DIVISION. Última visita: Febrero 19, 2021. Acceso en línea: https://www.nsa.gov/What-We-Do/Cybersecurity/Threat-Intelligence-Assessments/ 

Ranking Digital Rights. (2021). Methodology Development. Sitio oficial de Ranking Digital Rights, Resources. Última visita: February 22, 2021. Acceso en línea: https://rankingdigitalrights.org/methodology-development/ 

Roser, M., Ritchie, H., y Ortiz-Ospina, E. (2015). Internet. Sitio oficial de Our World in Data. Última visita: Febrero 22, 2021. Acceso en línea: https://ourworldindata.org/internet

The Royal Society. (2016). Progress and research in cybersecurity: Supporting a resilient and trustworthy system for the UK. United Kingdom: The Royal Society. ISBN: 978-1782522157