Durante la conferencia internacional "Dual-Use Technologies and RIS3 Strategies in Europe", y tras el trabajo previo realizado por un grupo de expertos (entre el que se ha encontrado CITIC representado por Andrés Méndez), se llevó a cabo el "Focus Group 3. Cybersecurity and Critical Infrastructure Protection. An example of dual-use Tech". Dicho grupo de trabajo estuvo liderado por Javier Candau (Jefe de Política y Servicios del Centro Criptológico Nacional) y Viíctor Manuel Iglesias (Gabinete de Seguridad y Calidad de la Consejería de Innovación, Ciencia y Empleo de la Junta de Andalucía). En estas diapositivas se muestran las conclusiones obtenidas por el grupo de debate y que se expusieron en el plenario el 28 de octubre de 2015.

1. Grupo de Debate 3. Ciberseguridad y Protección de Infraestructuras
Críticas. Un ejemplo de tecnologías duales
Documento de conclusiones
Relator: Víctor Manuel Iglesias Palomo Responsable: Javier Candau Romero
28 de octubre de 2015

2. Índice del documento
1. Metodología de trabajo del Grupo de Debate.
2. Introducción. Definiciones
3.Razones que avalan la oportunidad.
4. Barreras para su aprovechamiento.
5. Medidas y recomendaciones.

3. Metodología de trabajo del Grupo de Debate
Objetivo: identificar las razones que avalan esta área de oportunidad, conocer
las dificultades existentes y plantear medidas que permitan su aprovechamiento
en términos económicos.
Dinámica de trabajo:
Preparación Grupo de Debate Plenario
l
Exposición y debate de las
razones, barreras y medidas
sobre la base del Documento
de Trabajo.
l
Elaboración de las
conclusiones a transmitir en
el Plenario.
l
Exposición de las
conclusiones por parte del
Relator.
l
Intervenciones de los
asistentes.
l
Identificación de actores.
l
Puesta en común y
coordinación previa.
l
Elaboración consensuada del
Documento de Trabajo del
Grupo de Debate.

4. Introducción
CNO: Computer Network Operations u Operaciones en el Ciberespacio
(CiberOps)
- Capacidad de Defensa (CND, Computer Network Defense)
 Proteger, monitorizar, analizar, detectar, recuperar y responder a los ataques,
intrusiones, interrupciones u otras acciones no autorizadas.
- Capacidad Ofensiva o de Ataque (CNA, Computer Network Attack)
 Perturbar, denegar, degradar o destruir la información que circula en los CIS de los
adversarios
- Capacidad de Explotación (CNE, Computer Network Explotation)
 Acciones de recopilación, análisis y explotación de información que reside en los CIS
del adversario.

5. Introducción
Tecnologías duales
Herramientas
defensivas
Herramientas
Hacking ético
Vulnerabilidades
Exploits
Herramientas
explotación
Herramientas
ofensivas

6. Herramientas Defensivas / Hacking Etico
Herramientas defensivas / Hacking ético
Herramientas de seguridad (430)
- (1) Análisis de vulnerabilidades (431)
952 NESSUS / 954 NMAP
- (2) Detección/prevención de intrusiones (432)
953 SNORT
- (3) Búsqueda de SW o código dañino (433)
- (4) Análisis de registros de eventos (434)
- (5) Monitorización del tráfico (435)
951Ethereal / Wireshark
- (6) Mejora de la seguridad del sistema
436 Análisis de contraseñas
- (7) Herramientas de cifrado SW (437)
955 GNUPG / 438 Esteganografía.
• Protección perímetro
• Análisis forense / Ingeniería inversa

7. Herramientas Defensivas / Hacking Etico
Herramientas defensivas / Hacking ético
Herramientas de seguridad (430)
- (1) Análisis de vulnerabilidades (431)
952 NESSUS / 954 NMAP
- (2) Detección/prevención de intrusiones (432)
953 SNORT
- (3) Búsqueda de SW o código dañino (433)
- (4) Análisis de registros de eventos (434)
- (5) Monitorización del tráfico (435)
951Ethereal / Wireshark
- (6) Mejora de la seguridad del sistema
436 Análisis de contraseñas
- (7) Herramientas de cifrado SW (437)
955 GNUPG / 438 Esteganografía.

8. Vulnerabilidades / Exploits
2014 2015
 Criticidad ALTA = Ejecución de
código
 Desmotivación de los
investigadores de seguridad
 Vulnerabilidades DIA CERO
 Mercado Negro / Gris

9. Herramientas explotación

10. Administración Remota / Herramientas
ofensivas

11. Barreras para su aprovechamiento
Barreras (I):

Desconocimiento por parte de las empresas del marco legal y de las implicaciones de
los acuerdos internacionales aplicables a la exportación de tecnologías duales.

Desconocimiento de los instrumentos europeos, nacionales y regionales de apoyo a la
innovación en este ámbito y a la financiación de proyectos.

Ausencia de una cultura de colaboración entre los actores civiles y militares.

Posición dominante de países no pertenecientes a la Unión Europea en el mercado
de la ciberseguridad.

Necesidad de protección de las tecnologías duales al objeto de evitar su uso por parte
de grupos dedicados al cibercrimen, ciberterrorismo o países enemigos.

Falta de integración de los grupos de investigación en tecnologías duales.

Falta de madurez de las capacidades de protección y políticas de prevención.

Escasez de medidas estructurales y bajo uso de los esquemas de certificación de
productos para reducir las vulnerabilidades en las tecnologías duales.

12. Barreras para su aprovechamiento
Barreras (y II):

Desconocimiento, por parte de las empresas, de los requisitos y especificaciones
que el ámbito de defensa requiere de los productos de ciberseguridad.

Falta de estandarización común de los requisitos y especificaciones militares entre
los departamentos de defensa de los distintos países.

Dificultad de los potenciales clientes para obtener referencias de clientes actuales del
ámbito militar usuarios de productos y soluciones de ciberseguridad.

Acceso restringido a fuentes de información de FCSE.

Complejidad, elevados requerimientos y plazos para convertirse en un proveedor para
el entorno de defensa.

Elevado coste para la certificación de productos y corto periodo de vigencia dado
que cada versión requiere de un nuevo proceso.

13. Medidas y recomendaciones
Recomendaciones (I):

Coordinación de agendas de los programas de I+D+i civiles y militares en el seno de
la Unión Europea y OTAN, así como fomento a la creación de plataformas comunes
de investigación.

Análisis e identificación de requerimientos comunes y áreas de cooperación entre
los ámbitos civil y militar, así como de los posibles riesgos derivados del uso de
tecnologías duales por ciberterroristas o países enemigos.

Aumento del esfuerzo de difusión del marco legal y de los instrumentos de apoyo
financiero al desarrollo y exportación de tecnologías duales.

Establecimiento de redes de intercambio de información sobre vulnerabilidades y
alerta temprana para su uso por los actores civiles y militares.

Generación de una plataforma de contacto entre profesionales de la
ciberseguridad y disciplinas afines (seguridad privada) para compartir experiencia
en el ámbito de las tecnologías duales.

Contribuir a la consolidación de los controles de exportación de tecnologías duales
en colaboración y cooperación con los países del entorno europeo.

Evaluar los mecanismos existentes a nivel regional para combatir el tráfico ilícito y
el uso criminal de las tecnologías duales.

14. Medidas y recomendaciones
Recomendaciones (y II):

Potenciar la formación de capital humano y la generación de talento en ciberseguridad.

Definición de una agenda de necesidades y prioridades en I+D+i para tecnologías
duales que permita orientar la actividad de los grupos de investigación.

A nivel regional, promover la evolución hacia la excelencia en I+D+i mediante la creación
de grupos y proyectos conjuntos de trabajo.

Estandarización de los requisitos para el entorno de seguridad nacional entre distintos
países.

Posibilidad de contar con el sector público del propio país como primer usuario y caso
de éxito para captar la confianza de futuros clientes.

Simplificar, facilitar o dinamizar la homologación para los proveedores de soluciones
de ciberseguridad.

Incentivar el mercado de la certificación de productos, de manera que permita reducir
los costes del proceso al aumentar el número de clientes y certificadores.

Incorporación de la figura del “tercero de confianza” en el proceso de certificación de
productos de manera que terceros países pueden confiar en que los productos
certificados fuera de sus fronteras son confiables.

15. Medidas y recomendaciones
Medidas de innovación y desarrollo tecnológico (I):
Gestión de la ciberseguridad

Diseño de métricas y metodologías para la creación de un sistema de gestión de
riesgos en IC, en tiempo real e integrado con amenazas de seguridad lógica y física.

Generación de un sistema automatizado de malla de reacción, que incluya planes de
despliegue de medidas técnicas y metodologías ante alertas en IC análogas.
Ciberseguridad defensiva

Diseño de un sistema de infraestructura reactiva inteligente que ante las diferentes
alertas e incidentes de seguridad en IC, y según la criticidad de los mismos, genere de
forma autónoma sus propias reglas de defensa.

Desarrollo de un sistema de despliegue privilegiado de defensas que ante alertas
verificadas en IC análogas evite retrasos en los tiempos de despliegue.

Impulso de la tecnología de cifrado homomórfico, así como de las soluciones basadas
en la nube al objeto de controlar su uso ofensivo contra objetivos nacionales.

16. Medidas y recomendaciones
Medidas de innovación y desarrollo tecnológico (y II):
Ciberseguridad ofensiva

Focalizada en las necesidades y requerimientos del ámbito militar y de las
FCSE, desarrollo de capacidades ofensivas propias, evitando la
dependencia tecnológica de terceros países.
Respuesta a incidentes

Desarrollo de un sistema experto de identificación y valoración de
indicadores de compromiso (IOC), según criticidad de la zona de
descubrimiento, accesibilidad a datos sensibles, etc.

Diseño de un sistema de adquisición de evidencias remotas en tiempo real
y con validez legal.

Desarrollo de herramientas de intercambio de inteligencia de ciber
amenazas e información de incidentes, así como de detección de amenazas
avanzadas por análisis de anomalías.

17. Grupo de Debate 3. Ciberseguridad y Protección de Infraestructuras
Críticas. Un ejemplo de tecnologías duales
Documento de trabajo
Relator: Víctor Manuel Iglesias Palomo Responsable: Javier Candau Romero
28 de octubre de 2015