Guía de Ciberseguridad para Cuerpos y Fuerzas de seguridad

En los últimos años, la ciberseguridad se ha convertido en una prioridad estratégica importante para gobiernos y para el sector privado. Para altos funcionarios del gobierno y ejecutivos de la compañía, lograr y mantener la ciberseguridad y la ciberresiliencia es un imperativo operativo continuo y necesario.

Con esta tendencia más amplia, la ciberseguridad también se ha convertido en un área estratégica de preocupación y responsabilidad para las fuerzas y cuerpos de seguridad estatales y locales.

El rango de amenazas que enfrentan las entidades gubernamentales y el sector privado es enorme. Los actores estatales y sus servicios de seguridad e inteligencia poseen la capacidad e intención de proteger los intereses del Estado.

Actores no estatales también han desarrollado habilidades cibernéticas sofisticadas y proporcionan sus nefastos
servicios al mejor postor o a la entidad cuya ideología y objetivos admiran y defienden.

El aumento de grupos terroristas y criminales en el dominio cibernético, hace que exista un ecosistema peligroso

En este contexto, las agencias policiales y los funcionarios del estado y los niveles locales no son inmunes. Hemos visto ciberataques en los departamentos de policía locales. Por supuesto, los tipos de perjuicios causados a las personas, los equipos, la privacidad, etc., puede ser muy diferentes.

Aquí tienes una guía completa sobre las obligaciones en materia de ciberseguridad para las Fuerzas y Cuerpos de seguridad del Estado.

Objetivo: aplicación de la ley

Una amenaza persistente avanzada (APT, por sus siglas en inglés) está referida a personas que realizan esfuerzos de piratería informática sofisticados, sigilosos y continuos, dirigidos normalmente por el crimen organizado internacional o los estados adversarios.

Una APT a menudo aprovechará el malware para obtener acceso no detectado a los sistemas de TI de una organización o interrumpir los servicios gubernamentales esenciales.

El Ransomware es una forma de malware utilizada para privar a los usuarios del acceso a datos y sistemas críticos. Una vez que los sistemas de una organización se ven afectados, los ciberdelincuentes exigen un pago de rescate a cambio de supuestamente proporcionar una vía para que la organización víctima recupere el acceso a los datos.

Los recientes ataques de ransomware han utilizado correos electrónicos de phishing para engañar a los usuarios finales para que introduzcan un código malicioso en la red de la organización víctima.

Los piratas informáticos utilizan considerablemente más la ingeniería social que la penetración técnica. En pocas palabras, es más fácil engañar a una persona involuntaria para que deje entrar a los piratas informáticos que derrotar a los sistemas de seguridad diseñados para mantenerlos alejados.

Las agencias de aplicación de la ley en todo el mundo también han experimentado un aumento en el hacktivismo. Los actos de hacktivismo a menudo coinciden con temas de agravio derivados de eventos como la adopción de políticas controvertidas; decisiones de la agencia que generan escrutinio; u otros eventos de alto perfil que reciben la atención de los medios, como tiroteos involucrados por oficiales.

Los organismos encargados de hacer cumplir la ley tienen la obligación ética de mantener la seguridad de sus datos y, cada vez más, también tienen una obligación legal. El coste monetario de una violación cibernética podría tener implicaciones fiscales sustanciales e interrumpir los servicios gubernamentales esenciales por períodos prolongados de tiempo.

Ciberseguridad en departamentos de la policía

Dentro de los problemas más graves a los que se enfrentan todas las organizaciones policiales está el incremento considerable de varios tipos de evidencia digital que necesitan para recopilar y almacenar, incluidos informes, fotos, vídeos y otros registros electrónicos.

Los departamentos de policía deben asegurar la evidencia digital para garantizar la integridad de la autenticidad de la información, al tiempo que proporcionan acceso que ofrezca una responsabilidad verificable.

Muchas organizaciones de aplicación de la ley confían en el personal de tecnología de la información (TI) del gobierno local para garantizar la seguridad cibernética, a pesar de no tener un control directo sobre los procesos de contratación de los empleados de TI o la tecnología que utilizan.

Puede parecer natural acudir a los profesionales de TI para proteger a un departamento de policía de un ataque cibernético. Sin embargo, en última instancia, es responsabilidad del liderazgo de una agencia garantizar que todos los aspectos de seguridad, incluida la ciberseguridad, sean suficientes para las necesidades de la organización.

Si el sistema de un departamento de policía se ve comprometido, la comunidad, los medios de comunicación y los funcionarios electos buscarán respuestas del jefe de policía, no del personal de TI. Además, la investigación penal asociada será responsabilidad de la agencia policial y sus socios encargados de hacer cumplir la ley.

El acceso no autorizado o la pérdida de datos policiales debido a un ciberataque tiene serias implicaciones operativas y de privacidad.

La importancia de la ciberseguridad debe considerarse desde múltiples perspectivas: la de los empleados, los miembros de la comunidad, las víctimas de delitos, los testigos, los informantes y los fiscales.

Colaboración

Es fundamental la colaboración de los líderes policiales con profesionales de TI para garantizar que las prioridades y estrategias son desarrolladas conjuntamente.

Deben acordarse objetivos mutuos para evitar un ciberataque, y los procedimientos deben ser claros si se produce uno. Tener relaciones y expectativas ya establecidas puede ayudar a asegurar que se realice una investigación efectiva que aún permita la recuperación rápida de los archivos y sistemas afectados.

Un ataque cibernético podría comprometer la capacidad de una agencia para proteger la vida y mantener el orden, lo que podría afectar la confianza del público en la aplicación de la ley local, erosionando así la confianza y la credibilidad.

Medidas preventivas

Las estrategias preventivas recomendadas incluyen las siguientes:

  • Implementar programas de concientización y capacitación. Como los usuarios de correo electrónico a menudo son objetivos, todos los empleados deben comprender la amenaza del ransomware y cómo se entrega.
  • Parchear sistemas, software y firmware que opera en los dispositivos, incluyendo teléfonos móviles.
  • Confirmar que no haya dispositivos más antiguos conectados a la red de la organización que puedan estar utilizando software sin parches con mayor riesgo de compromiso.
  • Confirmar que las soluciones antivirus y antimalware están configuradas para actualizarse automáticamente y que se realizan exploraciones periódicas.
  • Administrar cuentas privilegiadas, respetando el principio de privilegio mínimo necesario (los usuarios no deben tener permisos administrativos a menos que sean esenciales para su posición).
  • Usar el software Office Viewer para abrir archivos de Microsoft Office transmitidos por correo electrónico en lugar de aplicaciones de Office reales, que pueden ser más vulnerables a las vulnerabilidades comunes.
  • Realizar copias de seguridad de los datos regularmente, verificando la integridad de esos archivos de copia de seguridad y asegurándose de que no permanezcan conectados constantemente a las redes de las que están realizando copias de seguridad.
  • Utilizar el cifrado cuando sea posible para garantizar la confidencialidad y la integridad.
  • Adoptar prácticas que protejan las redes locales y de área amplia de los ataques de denegación de servicio.

Capacitación y concienciación en ciberseguridad

Es imperativo que el personal de las Fuerzas y Cuerpos de seguridad reciba capacitación en seguridad cibernética en todos los niveles de una organización y que la capacitación se adapte específicamente a su área de acceso y responsabilidad.

Los usuarios finales deben conocer las solicitudes de correo electrónico legítimas (pero falsas), los riesgos relacionados con los dispositivos USB no aprobados, los protocolos de contraseña adecuados y las mejores prácticas preventivas, como la autenticación de doble factor.

Se recomienda la siguiente capacitación según el rol y la tenencia:

  • Conciencia digital básica para reclutas de academias. Este bloque de capacitación debe cubrir temas como las mejores prácticas para la conciencia y recuperación de la evidencia digital y posibles vulnerabilidades de seguridad relacionadas con el uso personal de las redes sociales.
  • Capacitación de primeros respondedores para oficiales titulares que incluye conciencia de evidencia digital, tendencias emergentes de delitos cibernéticos y análisis forense digital.
  • Capacitación de escenarios de mesa para el liderazgo policial, profesionales de TI y personal de información pública o relaciones con los medios para practicar la respuesta colectiva a un incidente cibernético. Este ejercicio debe incluir:
    • contención de la amenaza,
    • restauración de los servicios esenciales,
    • recuperación de datos,
    • preservación de la evidencia forense digital y
    • comunicación a las partes interesadas internas, la comunidad y los medios de comunicación.

Los policías y guardias civiles deben ser formados sobre las mejores prácticas en relación a los dispositivos móviles, obligatorias para cualquier dispositivo que se conecte a la red de una agencia.

Conocer los riesgos

Los usuarios deben comprender el alcance de los permisos y el acceso asociados con las aplicaciones que instalan en sus teléfonos. Las aplicaciones móviles pueden contener malware o servir como herramientas para obtener información extensa sobre los usuarios.

Los empleados también deben comprender los riesgos de usar Wi-Fi no seguro en lugares como cafeterías y hoteles. Muchos empleados ahora utilizan aplicaciones informáticas que se sincronizan con otros dispositivos, como los rastreadores de actividad física que se pueden llevar puestos. Como tal, pueden mantener sus dispositivos habilitados para Bluetooth y GPS en todo momento. Dichas prácticas crean vulnerabilidades evitables que los empleados deben tener en cuenta.

Respuesta de incumplimiento

Las técnicas de pirateo continúan evolucionando y se vuelven más sofisticadas.

No es una postura derrotista suponer que la tecnología de un departamento de policía finalmente se violará. Incluso con las medidas de prevención más sólidas, no hay garantía contra la explotación, por lo que la planificación de contingencia y remediación es crítica para garantizar la continuidad operativa y la recuperación después de un ataque cibernético.

Los siguientes pasos son necesarios para responder efectivamente a un incidente:

  1. Identificar quién es necesario y qué deben hacer antes de que ocurra un ataque.
  2. Detectar y analizar la naturaleza del ataque.
    3. Contener el incidente con atención a preservar la evidencia digital.
    4. Mitigar la amenaza y proteger la infraestructura de TI no afectada.
    5. Recuperar sistemas y datos.
    6. Preparar un informe posterior a la acción e implemente ajustes para evitar futuros incidentes.

Los profesionales de TI en las organizaciones que son víctimas de un incidente cibernético podrían priorizar las máquinas de imágenes que han sido infectadas con malware. Sin embargo, cualquier evidencia se pierde en este proceso.

Políticas de seguridad

Se deben adoptar políticas y prácticas para equilibrar la preservación de la evidencia del delito con la necesidad de restaurar el acceso a los datos y los sistemas.

La policía no recomienda pagar un rescate si uno se convierte en víctima de un ataque de malware. Pagar un rescate no garantiza que una organización recupere el acceso a sus datos. De hecho, muchas organizaciones que experimentaron ataques de malware nunca recibieron claves de descifrado a pesar de pagar un rescate.

Pagar a un adversario los alienta a atacar a otras organizaciones y proporciona un entorno que atrae a otros delincuentes a involucrarse.

Es imperativo prepararse y ensayar la respuesta a un ciberataque.

Los incidentes pasados ​​han demostrado que prácticamente ninguna organización tiene todos los recursos necesarios para organizar una respuesta integral. Si los recursos internos son insuficientes, los servicios de profesionales externos pueden ser necesarios para gestionar aspectos de la respuesta.

Estas necesidades pueden incluir detección, triaje, análisis forense digital, preservación de evidencia y procesamiento de evidencia basado en la red. Estos servicios especializados serán menos costosos si se organizan por adelantado en lugar de contratarse durante una crisis.

Pruebas de Penetración y Evaluación

Las auditorías de seguridad de terceros se consideran una de las formas más efectivas de evaluar la capacidad de una organización para resistir un ataque cibernético.

Se puede usar una prueba de penetración para identificar áreas donde es necesario mejorar.

Es importante que tanto la policía como la Guardia civil dispongan de expertos que realicen este tipo de auditorías en sus sistemas para evitar los ciberataques.

Ciberataques a Fuerzas y Cuerpos de seguridad

En diciembre de 2016, una agencia policial cerca de Dallas, Texas, fue víctima de un ataque de ransomware cuando un empleado hizo clic en un enlace en un correo electrónico de phishing que parecía ser de otra agencia policial. La agencia perdió una cantidad considerable de archivos digitales, incluida evidencia en vídeo.

El 22 de marzo de 2018, un ataque de ransomware cifró datos en los servidores del gobierno de la Ciudad de Atlanta (Georgia), afectando varias aplicaciones internas y orientadas al cliente, incluidas las del Departamento de Policía de Atlanta. Durante el mismo mes, la ciudad de Baltimore, Maryland, tuvo su sistema de despacho desconectado durante más de 17 horas debido a un ataque cibernético.