RÉGIMEN LEGAL DE BOGOTÁ D.C.

© Propiedad de la Secretaría Jurídica Distrital de la Alcaldía Mayor de Bogotá D.C.

Secretaría
Jurídica Distrital

Cargando el Contenido del Documento
Por favor espere...

Proyecto de Acuerdo 184 de 2014 Concejo de Bogotá, D.C.

Fecha de Expedición:
--/ 00/2014
Fecha de Entrada en Vigencia:
Medio de Publicación:
La Secretaría Jurídica Distrital aclara que la información aquí contenida tiene exclusivamente carácter informativo, su vigencia está sujeta al análisis y competencias que determine la Ley o los reglamentos. Los contenidos están en permanente actualización.


 
 

PROYECTO DE ACUERDO 184 DE 2014.

"Por medio del cual se establece la Estrategia de Ciberseguridad para enfrentar ciberdelitos y amenazas contra el Distrito Capital."

EXPOSICIÓN DE MOTIVOS

1. OBJETO

El siguiente proyecto de Acuerdo, tiene como objetivo establecer una estrategia sobre Ciberseguridad en el Distrito Capital, como un mecanismo para enfrentar amenazas contra la Ciberseguridad o Seguridad Informática en el territorio de Bogotá. Algunas entidades del Estado, como del Distrito Capital, han padecido ataques a sus bases de datos, información, infraestructura y equipos de sistemas y cómputo (informáticos), alterando productos y resultados, con la consecuencia inmediata de demora en la información o pérdida de la misma. Como ejemplo de ello, se pueden mencionar los ataques que sufrió la Registraduría Nacional del Estado Civil durante las elecciones legislativas de 2010- 2014, los ataques a la Empresa de Acueducto y Alcantarillado entre otros.

Entre otros, algunos casos de ciberataques contra el Estado o el Distrito Capital se mencionan:

Ataque masivo de hackers contra la Registraduría.1

Conforme lo cita la fuente de El Universal, "Pese a que un informe del Cuerpo Técnico de Investigación de la Fiscalía (CTI), elaborado en mayo de 2010, determinó que hubo un ataque masivo de hackers al programa informático de la Registraduría Nacional durante las elecciones parlamentarias del 2010, que a la postre hizo colapsar al sistema de datos; la Fiscalía decidió archivar la investigación por considerar que las pruebas no eran suficientes.

Otros medios, denuncian casos similares así:

Se confirma el primer ataque de 'hackers' a la Registraduría2

Según cita el periódico El Espectador, "La Registraduría Nacional del Estado Civil confirmó el primer ataque de ‘hackers’ al sitio web de la entidad. El registrador Carlos Ariel Sánchez dio a conocer que en días pasados las consultas de bases de datos del Censo Electoral y la de jurados de votación, intentaron ser bloqueadas por Anonymus.

Sin embargo, las operaciones de los ‘hackers’ no fueron tan exitosas pues se logró detectar a tiempo las direcciones IP desde donde se dieron los ataques y se pusieron en conocimiento de la Policía y de la Fiscalía".

Por otro lado, se han evidenciado con los recientes ataques a la Ciberseguridad en Bogotá, la fragilidad y las falencias que en esta materia se presentan en el Distrito.

Como se sustenta en el presente Proyecto de Acuerdo, Colombia y especialmente el Distrito Capital, presenta uno de los más altos índices de vulnerabilidad a ciberataques en América Latina, y lo peor, la tendencia de ataques cibernéticos es exponencialmente creciente al corto, mediano y largo plazo. Esta preocupante situación, exige medidas urgentes que permitan mitigar efectos, no solo en contra de la infraestructura de la ciudad, de la información del Distrito Capital, sino de la seguridad, integridad, vida y honra de los bogotanos.

3. CONTEXTO

Definiciones:

Se tendrán para este proyecto de Acuerdo, los siguientes conceptos principales3:

* Ciberseguridad: Conjunto de mecanismos tendientes a proteger la información de una persona, entidad o ciberentorno; la Ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos, procesos, registros e información de una organización y sus usuarios, contra todo tipo de riesgo e intrusión de tipo informático que pueda afectar el normal funcionamiento de una entidad, o persona jurídica o natural.

* Ciberseguridad: Es un nuevo concepto estratégico de los gobiernos locales y estatales en el ciberentorno global, en cuanto a la vulnerabilidad de su infraestructura física, o informática frente a amenazas o ciberataques, que permite ofrecer las garantías y proteger los derechos de los ciudadanos en un ciberentorno local.

* Ciber: De origen griego kibernao, que significa pilotar, en otros casos significa máquina.

Conforme lo cita una fuente de la ITU, (Internacional Telecommunications Unión), "Mediante una nueva Resolución, la Conferencia de la ITU aprobó una definición de ciberseguridad tal como se expresa en la Recomendación UIT–T X.1205: La ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Los activos de la organización y los usuarios son los dispositivos informáticos conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno. Las propiedades de seguridad incluyen una o más de las siguientes: disponibilidad; integridad, que puede incluir la autenticidad y el no repudio; confidencialidad."

4. ANTECEDENTES GLOBALES DE CIBERATAQUES Y TENDENCIAS MUNDIALES EN CIBERSEGURIDAD.

Según El Diario El Espectador4, "ataques maliciosos se incrementaron un 81% en 2011", además cita que "Colombia es el tercer país de América Latina que sufre más ciberataques". Según el informe anual sobre seguridad informática de Symantec.

Por otra parte, "Colombia ocupa el tercer lugar en el ranking de países con mayor actividad maliciosa originada a partir de computadoras infectadas en América Latina durante 2011", según el informe anual sobre amenazas a la seguridad en internet de Symantec.

Como contexto global, la fuente también cita que "Brasil ocupa el primer lugar de la tabla como fuente de actividad maliciosa de red en la región, mientras que Estados Unidos lidera el ranking a nivel mundial".

En su análisis, la compañía fuente asume como "actividad maliciosa: amenazas, phishing, código malicioso, zombies de spam, computadoras infectadas por bots y orígenes de ataques a redes".

Los ataques maliciosos crecen rápidamente

Asimismo, la firma de seguridad informática de Symantec indica que "los criminales cibernéticos están recurriendo a las redes sociales para lanzar sus ataques, ya que la naturaleza de estas redes hace que los usuarios presuman incorrectamente que no están en peligro, y así los atacantes pueden aprovechar estos sitios para dirigirse a nuevas víctimas. A raíz de técnicas de ingeniería social y la naturaleza viral de las redes sociales, es mucho más fácil que las amenazas se transmitan de una persona a otra".

Por otra parte en términos de evaluación de amenazas bajo el concepto de Ciberguerra, se esta conociendo que el escenario operacional de la ciberguerra es muy diferente, evaluemos ahora algunos antecedentes que en el ciberentorno global se han conocido y que nos permitirán posteriormente caracterizar la amenaza de la ciberguerra y la necesidad de implementar medidas en Ciberseguridad.

Para el sitio de Blog El Poder Colombiano5 se plantean algunos antecedentes mundiales de ataques que a continuación se mencionan:

"1991. Primera guerra del Golfo Pérsico. Utilización de sistemas informáticos para desinformar (aunque desinformar ha sido una constante en los conflictos).

1998. Estados Unidos penetra el sistema de tráfico aéreo de Serbia.

2002. Se conocen de las Botnets.

2007. Estonia. Primer antecedente catalogado por la comunidad de analistas como ciberguerra. Las instituciones estonias en el ciberespacio colapsan después de ataques dirigidos para tal fin al parecer procedentes de Rusia (bancos, partidos políticos, ministerios, trámites en línea etc.).

2008. Robo de identidades de personas de Georgia por parte de piratas informáticos rusos. Se da un ataque informático paralelo al ataque físico (guerra de Osetia del sur) se configuraron de esa manera dos frentes de batalla en una misma guerra.

2009. Botnets y redes de espionaje informático descubierta por Canadá (GhostNet).

06-OCT-2.009 el secretario de la Unión Internacional de Telecomunicaciones (UIT), Hamadoun Touré dijo que la próxima guerra mundial podría librarse en el ciberespacio.

2010. Ataques a Google desde China, (operación aurora) generan roses con tintes diplomáticos entre este país y esa empresa.

2010. Hugo Chávez crea cuentas en Twiter para "trinar" con sus seguidores; la liberación de secuestrados en Colombia es prácticamente transmitida por ese canal de microbloging y a finales de Julio un sitio llamado wikileaks revela documentos secretos de la guerra en Afganistán que muy posiblemente darán luces a los terroristas de la forma de operar de los ejércitos de la coalición". Según cita dicho blog.

4.1. ANTECEDENTES DE CIBERATAQUES EN COLOMBIA.

En Colombia es muy preocupante la vulnerabilidad en cuanto a ciberseguridad, más aun cuando en el Distrito Capital se concentra más de la mitad del control de los sistemas de información del país6. Por ello se evidencian algunos serios incidentes de ciberataques que a continuación se mencionan:

1. Según la revista Dinero7, un informe publicado en Septiembre de 2012, muestra que "Colombia es el segundo país más sensible a ciberataques. Las computadoras de un 35% de usuarios en la Región, fueron atacadas por lo menos una vez mientras navegaba por la web. Karpesky Lab informó que su análisis sobre la naturaleza del delito cibernético en América Latina, que examina los primeros nueve meses de 2012, reveló que las computadoras de un 35% de usuarios en la Región fueron atacadas por lo menos una vez mientras navega por la web". Se menciona que los peores países afectados son Chile, Colombia y Panamá ya que están en el grupo de alto riesgo (casi un 40% de maquinas atacadas mientras están en línea).

Por otra parte, según la revista Enter8, "Colombia es subcampeón mundial en fraude y uno de los más vulnerables a ciberataques. La reputación empresarial de Colombia, que ha mejorado en los últimos años, sufrió un revés. A la lista de problemas que agobian al país, se suma que ahora se clasifica como el segundo en todo el mundo en fraudes empresariales. Esto refleja un pésimo nivel de la seguridad en las empresas, tanto física como informática".

5. CIBERATAQUES A ENTIDADES DEL DISTRITO CAPITAL.

La Empresa de Acueducto de Bogotá sufre un ataque en Noviembre de 2012.

Con gran preocupación se reveló que la página web de la Empresa de Acueducto y Alcantarillado de Bogotá fue atacada, según fuente publicada por CMI, donde se informó "Un hacker ataca la página de EAAB9. El sitio web donde se publican los procesos licitatorios que adelanta la Empresa de Acueducto de Bogota EAAB – ESP ha sido víctima de ataque informático.

Esta situación se presenta tras la publicación del proceso contractual por 80 mil millones, para cumplir con compra de vehículos para la gestión y operación del servicio público de aseo, a partir del 18 de diciembre de 2012. El ataque informático completó tres días y se registra únicamente en la página oficial de contrataciones de la Empresa de Acueducto y Alcantarillado de Bogotá que hace parte del sitio web de la entidad www.acueducto.com.co."

En el mismo sentido, y referente al tema de los semáforos en Bogotá, se documentó lo siguiente:

Alcalde Petro sospecha de ataques cibernéticos a la red de semáforos de Bogotá.

El Alcalde de Bogotá Dr. Gustavo Petro Urrego, manifestó su gran preocupación en cuanto a que sospechaba de que la red de semáforos de la capital pudiera haber sido atacada para alterar algunos semáforos de la ciudad. Esta situación prende las alarmas en el Distrito, teniendo en cuenta que la Administración no ha tomado las medidas necesarias a fin de prevenir y contrarrestar este tipo de ataques cibernéticos".

Predicciones, proyecciones y tendencias en ciberseguridad que afectarán a Bogotá.

En cuanto a proyecciones, se puede establecer que según el diario Portafolio 10 se ha podido evidenciar algunas principales tendencias y riesgos para la ciberseguridad en Colombia en el 2013 y años venideros.

1. Aunque las predicciones siempre están en el plano de la especulación, la firma Symantec ‘se atreve’ a dar algunos vaticinios.

Según cientos de expertos en seguridad, las predicciones se basan en lo que ocurre en el presente, pero también reflejan hacia dónde creen tales expertos que se mueven los ataques informáticos fundamentados en su experiencia para analizar y entender la evolución de las amenazas, como de las tendencias de ciberseguridad vistas anteriormente.

Proyección de Crecimiento de las amenazas en Internet en Bogotá.

El crecimiento de las amenazas en la Red se acelera cada año. Imagen: PandaLabs.

El informe indica que: "las tendencias en cuanto a amenazas, y destaca, entre otras cosas, el aumento dramático en frecuencia y sofisticación de los ataques dirigidos a las empresas;  el crecimiento continuo de sitios de redes sociales como plataforma de distribución de ataques; y un cambio en las tácticas de infección, cada vez más focalizados en vulnerabilidades de Java para irrumpir en los sistemas informáticos tradicionales.

En conclusión, el informe resalta que los ataques segmentados, las amenazas en las redes sociales, la seguridad de los dispositivos móviles y la proliferación de herramientas de ataque son las principales tendencias en el panorama actual de amenazas y seguirán dando de qué hablar en el mundo tecnológico en los próximos meses, mas aun si se tiene en cuenta las posibilidades de saboteo de parte de enemigos políticos, y delincuencia de todo tipo en contra de los sistemas de información del Distrito Capital.

Es importante dictar normas en el Distrito sobre Ciberseguridad, teniendo también en cuenta el anuncio del Alcalde Mayor donde informaba:

"11Entra en funcionamiento primer punto de WiFi gratuito en Bogotá

Agosto 4 de 2012. Por medio de su cuenta de twitter, el alcalde Mayor de Bogotá, Gustavo Petro, anunció la entrada en funcionamiento del primer punto de WiFi gratuito en la ciudad, con ocasión de la inauguración del Festival de Verano de Bogotá.

"Otro de los puntos del programa 'Bogotá Humana' arranca. WIFI gratuito. Podrás conectarte en la plaza de eventos parque Simón Bolívar" manifestó el mandatario.

Así, los ciudadanos podrán acceder a internet por medio de computadores portátiles, Ipads, tabletas y celulares, y navegar, chatear, enviar fotos y acceder a las redes sociales, entre otras facilidades, sin ningún costo.

Con esta implementación, se materializa uno de los objetivos del Plan de Desarrollo Distrital "Bogotá Humana", que es el de superar la segregación social en la ciudad por medio del uso y democratización de las Tecnologías de la Información TIC, con el fin de construir una ciudad inteligente y una sociedad del conocimiento en Bogotá.

Próximamente se anunciarán otros puntos de WiFi gratuito para los capitalinos".

"Seguido por Argentina, Chile y Venezuela

Colombia, líder en inseguridad informática en A. Latina el espectador

El reciente reporte de amenazas de McAfee Lab reveló que los sectores financiero y de telecomunicaciones son los que mejor están preparados para salvaguardar el problema mundial.

Por: Marcela Díaz Sandoval

Un reciente estudio presentado por McAfee, compañía de software especializada en seguridad informática, reveló que Colombia presenta serios problemas en esta área, con tendencia a crecer. De acuerdo con Juan Pablo Páez, gerente preventa para América Latina de la organización, "las razones están vinculadas con la falta de normas y exigencias por parte del Estado a las empresas y la ausencia de concienciación de los directivos".

El ejecutivo contó que los sectores que están mejor preparados para salvaguardar el problema de carácter mundial son el financiero y de telecomunicaciones, aunque hace falta crear una comunidad de apoyo externa, porque tienen logística internamente. Y mencionó que las instituciones de Gobierno aún están muy débiles en temas de seguridad de datos "lo que puede llegar a ocasionar incluso una crisis financiera o política".

Aunque a nivel mundial las compañías invierten el 8% de su presupuesto en tecnología y el 3% en seguridad informática, y América Latina destina 16% y 6% respectivamente, "la región sigue teniendo un enemigo muy grande que son los vectores de amenaza. Red, correo electrónico y medio físico son los principales agentes con los que se propaga la inseguridad.

Las cifras parecen ser positivas porque durante el tiempo son lineales, sin embargo en problemas de seguridad el crecimiento es exponencial".

El reporte de amenazas de McAfee Lab, deja ver, además, que cada trimestre 100.000 nuevos computadores se adhieren a la red de atacantes, y que sólo se puede combatir entendiendo que la seguridad es la base de los negocios y del país y reforzando la formación básica de profesionales. También mostró que las organizaciones débiles en este tema lo son porque: "En Colombia hay un modo reacción, hasta que no pasen las cosas no tomamos decisiones, y porque no han liderado esquemas que obliguen a cumplir con este requisito".

Para Páez los beneficios que tienen las empresas armadas en seguridad informática se ven reflejados en "la permanencia en el negocio, la optimización de recursos, la eficiencia porque se toman decisiones en menores tiempos y la propia seguridad de la organización".

De acuerdo con el informe, Norte América (55,9%), Europa (31,9%), Asia (8,4%), y América Latina (3,2%), son las zonas comerciales que mayores ataques mundiales emiten. El directivo de McAfee aclaró que es la primera vez que la región aparece en los primeros puestos de esa lista y que "lo preocupante es que la cifra es relevante y va en aumento". Al mismo tiempo señaló que "Colombia está ocupando el primer puesto, seguido por Argentina, Chile y Venezuela".

Fuente: http://www.elespectador.com/tecnologia/colombia-lider-inseguridad-informatica-latina-articulo-482097.

6. DESARROLLO DE POLÍTICAS DE CIBERSEGURIDAD EN COLOMBIA.

6.1. Medidas desde la Institucionalidad Civil.

En el ámbito nacional, y según Planeación Nacional12 "el Gobierno promoverá la participación privada en estrategia de ciberseguridad". Comenta (GCRP), que "el director del Departamento Nacional de Planeación, dijo que además de las instancias que desde el Estado tendrán a su cargo la tarea de prevenir y enfrentar las amenazas informáticas, el Gobierno promoverá la creación de comités del sector privado que apoyen la estrategia de ciberseguridad aprobada por el Conpes. Se trata de integrar, por ejemplo, a actividades como la financiera o de telecomunicaciones, que de forma permanente están sujetas a este tipo de vulnerabilidades".

"Es muy importante que se creen comités del sector privado, que conectados en forma armónica con este sistema y coordinados por él, podamos prevenir efectivamente este tipo de ataques y situaciones de vulnerabilidad al Sistema económico, social, en particular", precisó el Director del DNP".

Por otra parte según fuente del portal de Yahoo.com13, el grupo Anonymous habría atacado la cuenta del Presidente. Los ataques fueron ejecutados por Anonymous, colectivo conocido por vulnerar sitios web en el mundo.

"Somos Legión, no olvidamos, no perdonamos. Espéranos", dice un breve video subido al 'muro' de la cuenta del presidente Juan Manuel Santos, la cual fue creada durante su campaña a la Presidencia, pero que no se venía actualizando desde su llegada a la Casa de Nariño.

Desde @JuanManSantos, su perfil de Twitter, el Presidente lamentó la publicación del mensaje. "Lamento la interferencia en la cuenta de Facebook que se encuentra a mi nombre y los mensajes que desde allí se han publicado", escribió.

El video que fue subido al Facebook de Santos según la fuente, y contiene un mensaje en el que se critica la celebración de la Independencia de Colombia. El grupo Anonymous se atribuye la publicación. Se trata de un grupo de hackers que ya han afectado páginas como las de la Presidencia de la República, el Ministerio del Interior y el suspendido alcalde de Bogotá, Samuel Moreno.

El expresidente Uribe, también víctima de los ataques, de la cuenta del ex mandatario salió el siguiente trino: "Somos Anonymous" y enviaron un enlace a un video en YouTube contra la conmemoración del día de la independencia en Colombia.

Por otra parte según fuente del Ministerio de Comunicaciones14, El CONPES aprobó la estrategia de Ciberseguridad y Ciberdefensa para contrarrestar amenazas informáticas en el país, con la aprobación del Conpes de Ciberseguridad y Ciberdefensa, Colombia será el primer país de América Latina en adoptar una estrategia para prevenir y enfrentar delitos cibernéticos y de esta manera minimizar los riesgos de los ciudadanos ante amenazas o incidentes en el ciberespacio. Informo la fuente.

"Con la aprobación del Conpes de Ciberseguridad y Ciberdefensa el país contará con una herramienta que le permitirá prevenir y responder amenazas cibernéticas, protegiendo así su soberanía, gobernabilidad e infraestructura crítica entre otras", señaló el Ministro TIC, Diego Molano Vega.

Con esta iniciativa el Ministerio TIC, según lo informa el Min TIC, emitirá un documento con las directrices en temas de seguridad de la información basado en estándares internacionales, que deberán implementarse por las entidades del sector público para minimizar el riesgo de amenazas informáticas.

De igual manera, según el informa, el Ministerio TIC promoverá planes de educación formal a través del Ministerio de Educación y el Servicio Nacional de Aprendizaje (SENA), para que el sector privado tenga acceso a capacitación en temas de Ciberseguridad y seguridad de la información para que estos organismos apoyen la consolidación de la estrategia nacional de ciberseguridad en diferentes regiones del país.

Para proteger a los ciudadanos de los riesgos informáticos, el Gobierno creará tres dependencias15:

1. El Grupo de Respuesta a Emergencias Cibernéticas de Colombia - ColCERT, encargado de coordinar a escala nacional los aspectos de ciberseguridad.

2. El Comando Conjunto Cibernético de las Fuerzas Militares, que tendrá la responsabilidad de salvaguardar los intereses nacionales en el ciberespacio.

3. El Centro Cibernético Policial, estará a cargo de la prevención, la investigación y apoyará la judicialización de los delitos informáticos. Para ello, contará con un comando de Atención Inmediata Virtual (CAI Virtual) para recibir las denuncias de los ciudadanos. Según informe dado por Planeación Nacional.

La creación de estas dependencias dará confianza a los colombianos que cada vez más adelantan transacciones en la web se informó. Según la Superintendencia Financiera, el monto de las operaciones monetarias adelantadas en el 2010 ascendió los 667,6 billones de pesos.

Es de tener muy en cuenta, como uno de los documentos rectores para la aplicación de políticas de Ciberseguridad y Ciberdefensa, el Conpes de Ciberseguridad y Ciberdefensa, que contempla según cita, la creación de la Comisión Intersectorial, encabezada por el Presidente de la República, el Alto Consejero para la seguridad, los ministros de Tecnologías de la Información y las Comunicaciones y Defensa, los directores del DAS y del Departamento Nacional de Planeación. Esta instancia orientará estratégicamente al ColCERT, lo anterior según fuente del Ministerio de Comunicaciones.

6.2. Medidas desde la Institucionalidad Militar y Policial en Colombia.

El Viceministerio de Defensa, resaltó la importancia en la ciberseguridad nacional, según lo cita fuente del Mindefensa16. El 22 de septiembre de 2012 la Viceministra de Defensa para la Estrategia y Planeación, Diana Quintero, clausuró el primer simulacro de ataques cibernéticos que se realiza en Latinoamérica, en el cual representantes de los sectores financieros, telecomunicaciones y energético, pusieron a prueba sus capacidades de respuesta frente a una crisis de seguridad cibernética, según fuente del Ministerio de Defensa Nacional.

"Durante dos días se hicieron unos simulacros en donde se simularon ataques cibernéticos para ver cómo se mitigan y previenen esos riesgos y cómo se debe trabajar de manera coordinada entre la academia, el sector privado y los Ministerios de Defensa y Tecnologías de la Información", señaló la entidad.

Por otra parte según cita un artículo en la revista Gerente17, se hacen varias preguntas en relación con la vulnerabilidad informática en Bogotá y en Colombia, donde se plantea, si el gobierno colombiano reaccionó después de los ataques cibernéticos masivos de organizaciones hacktivistas durante 2011 y 2012.

Entre tanto en Colombia, se pasó de 575 delitos informáticos denunciados en el 2009 a 995 en el 2010, lo que indica un incremento de un 73%. Dichos delitos incluyen el hurto por medios informáticos, uno de lo que mayor preocupación genera ya que son más del 90% de los casos, según SIEDCO (Sistema de Información Estadístico Delincuencial, Contravencional y Operativa de la Policía Nacional). Según lo cita la revista Gerente18.

Sin embargo, en el ciberespacio aumenta un riesgo mayor que pocos han percibido. Se trata de los ataques criminales que desde el mundo virtual están encaminadas a destruir infraestructuras, entidades públicas, sistema financiero y toda la economía de una nación. La Nota de Investigación 03 del Ministerio de Defensa Nacional de Octubre del 2009, Ciberseguridad y Ciberseguridad: "Una primera aproximación", habla de la obligación del Estado a proteger su infraestructura cibernética y al efecto que tendría sobre el gobierno, las industrias, el comercio y el ciudadano común.

Además hace énfasis en el aumento de la penetración del internet del 2% de la población en el año 2000 a un 40% en el 2009 y de los distintos intentos de ataque a la infraestructura crítica del país durante esos años. En este documento se presentó la creación del ColCERT, Equipo de Respuesta a Emergencias Informáticas de Colombia, por parte un grupo interagencial del Ministerio de Relaciones Exteriores.

6.3 Documento CONPES 3701 del 14 de Julio de 2011.

Este CONPES identifica inconvenientes fundamentales tales como que las instituciones públicas y privadas no han coordinado sus políticas frente al tema de ciberseguridad, que el marco normativo existente no es suficiente para hacer frente a los problemas de ciberseguridad y defensa (Negritas y Subrayas fuera del texto)., incluída la impunidad que existe actualmente para los delitos informáticos y el no pertenecer a la comunidad mundial de delitos cibernéticos, y que los funcionarios públicos y privados no están debidamente capacitados para responder ante las amenazas cibernéticas. (Negritas y Subrayas fuera del texto).

El actual Plan Nacional de Desarrollo incluye el tema de Ciberseguridad y Ciberdefensa, dando al ColCERT la coordinación de la ciberseguridad en el 2011, y al Comando Conjunto Cibernético (CCOC), la protección de la infraestructura crítica del país de los ataques cibernéticos, programada para el 2014.

Más específicamente, el CCOC se encargará de la Ciberseguridad, fortaleciendo las capacidades técnicas y operativas del país para afrontar las amenazas y ataques cibernéticos, monitoreando las infraestructuras críticas, minimizando los riesgos vinculados a la información crítica del país, reforzando la protección de los sistemas informáticos de la Fuerza Pública y reaccionando adecuadamente ante los ataques cibernéticos que atenten contra la seguridad nacional.

Al mismo tiempo, al CCP (Comando Cibernético Policial) corresponde la protección de la ciudadanía de los delitos cibernéticos y la realización de programas de prevención, atención, investigación y apoyo a la judicialización de estos delitos.

A diferencia de Colombia, el Comité Interamericano Contra el Terrorismo, CICTE, según cita la fuente, muestra que en Latinoamérica hay 13 países con Equipos de Respuesta a Incidentes de Seguridad Cibernética (CSIRT), entre los que se encuentran el ArCERT, en Argentina creado en 1999, el ClCERT de Chile en el 2001, el CTIR-GOV en Brasil desde el 2004, el CTIRGT de Guatemala del 2006, el CERTUy de Uruguay y el VenCERT de Venezuela desde el 2008, y el PerCERT, creado en Perú durante el 2009. Quiere decir que desde hace varios años estos países cuentan con una estrategia nacional y un marco legal para la ciberseguridad y la Ciberdefensa.

Por ahora, el CONPES 3701, prevé un presupuesto para el 2014 de apenas $4.600 millones para atender programas relacionados con ciberseguridad.

6.4 PLAN INTEGRAL DE SEGURIDAD PARA BOGOTÁ 2007- 2017.

1.5. Bienes financieros: hacia la protección de la disponibilidad de ingresos

"19Los bienes financieros se presentan como la disponibilidad de activos financieros que les facilitan a los pueblos adoptar diferentes estrategias en materia de medios de vida 12. Dentro de esta categoría, se incluyen ahorros, cuentas en bancos y entidades financieras, pensiones, créditos, flujos nacionales e internacionales de activos Financieros, entre otros. A través de este medio, las poblaciones acceden directa o indirectamente a diversos bienes o servicios.

En términos de seguridad, han cobrado dinámica los llamados delitos cibernéticos, dentro de los cuales hay que destacar los robos electrónicos a las cuentas bancarias, la pornografía en la red, y las estafas".

6.5 Gobierno en Línea – Políticas de Seguridad Informática20.

Gobierno en Línea establece dentro de la Comisión Intersectorial de Políticas y Gestión de la Información para la Administración Pública, lo siguiente:

1. Análisis de riesgos

2. Análisis de requerimientos y establecimiento de políticas de seguridad informática

3. Aseguramiento de Componentes de Datos

4. Aseguramiento de Componentes de Software

5. Aseguramiento de Componentes de Hardware

6. Aseguramiento de Componente Humano

7. Aseguramiento de Componentes de Interconectividad

8. Aseguramiento de Infraestructura Física

9. Administración de la seguridad informática

10. Estándares

Existen en el Distrito capital otras disposiciones y medidas que avalan la pertinencia del presente Proyecto de Acuerdo como la "Norma técnica distrital del sistema integrado de gestión para las entidades y organismos Distritales". Ntd-Sig 001:2011.

Por otro lado, el Plan de Desarrollo de Bogota Humana, involucra en la Meta Eje 3, "Una Bogotá que defiende y fortalece lo público", los Programas: "Fortalecimiento de la función administrativa y desarrollo institucional", y el Programa "TIC para Gobierno Digital, Ciudad Inteligente y Sociedad del Conocimiento y del Emprendimiento", programas que sustentan también el presente Proyecto de Acuerdo.

7. CONSTITUCIONALIDAD Y LEGALIDAD

Constitución Política

ARTICULO 2o. Son fines esenciales del Estado: servir a la comunidad, promover la prosperidad general y garantizar la efectividad de los principios, derechos y deberes consagrados en la Constitución; facilitar la participación de todos en las decisiones que los afectan y en la vida económica, política, administrativa y cultural de la Nación; defender la independencia nacional, mantener la integridad territorial y asegurar la convivencia pacífica y la vigencia de un orden justo.

Las autoridades de la República están instituidas para proteger a todas las personas residentes en Colombia, en su vida, honra, bienes, creencias, y demás derechos y libertades, y para asegurar el cumplimiento de los deberes sociales del Estado y de los particulares.

ARTICULO 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.

Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.

ARTICULO 75. El espectro electromagnético es un bien público inenajenable e imprescriptible sujeto a la gestión y control del Estado. Se garantiza la igualdad de oportunidades en el acceso a su uso en los términos que fije la ley.

Para garantizar el pluralismo informativo y la competencia, el Estado intervendrá por mandato de la ley para evitar las prácticas monopolísticas en el uso del espectro electromagnético.

ARTICULO 78. La ley regulará el control de calidad de bienes y servicios ofrecidos y prestados a la comunidad, así como la información que debe suministrarse al público en su comercialización.

Serán responsables, de acuerdo con la ley, quienes en la producción y en la comercialización de bienes y servicios, atenten contra la salud, la seguridad y el adecuado aprovisionamiento a consumidores y usuarios.

El Estado garantizará la participación de las organizaciones de consumidores y usuarios en el estudio de las disposiciones que les conciernen. Para gozar de este derecho las organizaciones deben ser representativas y observar procedimientos democráticos internos.

ARTICULO 20. Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación.

Estos son libres y tienen responsabilidad social. Se garantiza el derecho a la rectificación en condiciones de equidad. No habrá censura

Leyes

Ley 527 de 1999 "Comercio Electrónico"

Ley 603 de 2000 "Antipiratería"

Ley 1453 de 2011 "Ley de Seguridad Ciudadana"

Ley 599 de 2000 "Por el cual se expide el Código Penal".

De la violación a la intimidad, reserva e interceptación de comunicaciones

Artículo 192. Violación ilícita de comunicaciones. El que ilícitamente sustraiga, oculte, extravíe, destruya, intercepte, controle o impida una comunicación privada dirigida a otra persona, o se entere indebidamente de su contenido, incurrirá en prisión de uno (1) a tres (3) años, siempre que la conducta no constituya delito sancionado con pena mayor.

Si el autor de la conducta revela el contenido de la comunicación, o la emplea en provecho propio o ajeno o con perjuicio de otro, la pena será prisión de dos (2) a cuatro (4) años.

Artículo 193. Ofrecimiento, venta o compra de instrumento apto para interceptar la comunicación privada entre personas. El que sin permiso de autoridad competente, ofrezca, venda o compre instrumentos aptos para interceptar la comunicación privada entre personas, incurrirá en multa, siempre que la conducta no constituya delito sancionado con pena mayor.

Artículo 194. Divulgación y empleo de documentos reservados.  El que en provecho propio o ajeno o con perjuicio de otro divulgue o emplee el contenido de un documento que deba permanecer en reserva, incurrirá en multa, siempre que la conducta no constituya delito sancionado con pena mayor.

Artículo 196. Violación ilícita de comunicaciones o correspondencia de carácter oficial. El que ilícitamente sustraiga, oculte, extravíe, destruya, intercepte, controle o impida comunicación o correspondencia de carácter oficial, incurrirá en prisión de tres (3) a seis (6) años.

La pena descrita en el inciso anterior se aumentará hasta en una tercera parte cuando la comunicación o la correspondencia esté destinada o remitida a la Rama Judicial o a los organismos de control o de seguridad del Estado.

Artículo 197. Utilización ilícita de equipos transmisores o receptores. Modificado por el art. 8, Ley 1453 de 2011. El que con fines ilícitos posea o haga uso de aparatos de radiofonía o televisión, o de cualquier medio electrónico diseñado o adaptado para emitir o recibir señales, incurrirá, por esta sola conducta, en prisión de uno (1) a tres (3) años.

La pena se aumentará de una tercera parte a la mitad cuando la conducta descrita en el inciso anterior se realice con fines terroristas.

Ley 1273 de 2009 "Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones".

Decretos

Decreto Distrital 619 de 2007, "Por el cual se establece la Estrategia de Gobierno Electrónico de los organismos y de las entidades de Bogotá, Distrito Capital y se dictan otras disposiciones."

Decreto Distrital 296 de 2008 "Por el cual se le asignan las funciones relacionadas con el Comité de Gobierno en Línea a la Comisión Distrital de Sistemas y se dictan otras disposiciones en la materia".

Decreto Distrital 316 de 2008, "Por medio del cual se modifica parcialmente el artículo del Decreto Distrital 619 de 2007 que adoptó las acciones para el desarrollo de la Estrategia Distrital de Gobierno Electrónico"

Decreto Nacional 2758 de 2012 "Por el cual se modifica la estructura del Ministerio de Defensa Nacional y se dictan otras disposiciones".

Acuerdos

Acuerdo Distrital 57 de 2002 "Por el cual se dictan disposiciones generales para la implementación del Sistema Distrital de Información -SDI-, se organiza la Comisión Distrital de Sistemas, y se dictan otras disposiciones".

RESOLUCIÓN 261 DE 2010 "Por la cual se crea el Comité de Seguridad de la Información de la Secretaría Distrital de Desarrollo Económico"

8. COMPETENCIA DEL CONCEJO DE BOGOTÁ

Artículo 12: ATRIBUCIONES (DECRETO 1421 DE 1993)

"Corresponde al Concejo Distrital, de conformidad con la Constitución y la Ley.

1. Dictar las normas necesarias para garantizar el adecuado cumplimiento de las funciones y la eficiente prestación de los servicios a cargo del Distrito.

9. IMPACTO FISCAL

De conformidad con el Artículo 7 de la ley 819 de 2003, los gastos que genere la presente iniciativa se entenderán incluidos en los presupuestos y en el Plan Operativo Anual de Inversión de la entidad competente. Asimismo, el Acuerdo 489 de 2012 "POR EL CUAL SE ADOPTA EL PLAN DE DESARROLLO ECONÓMICO, SOCIAL, AMBIENTAL Y DE OBRAS PÚBLICAS PARA BOGOTÁ D.C. 2012-2016" establece el "Programa Fortalecimiento de la Seguridad Ciudadana" que tiene entre objetivos: "tecnologías de la información y logística" Dicho programa tiene asignado dentro del Plan Plurianual de Inversiones 2012-2016, la suma de $ 761.761.000.000.

10. CONCLUSIÓN

Con el trámite y aprobación de este proyecto, se pretende de manera primordial, establecer una estrategia en el Sistema Jurídico Distrital que permita a la Administración, ejecutar acciones de Ciberseguridad que blinden a Bogotá contra amenazas y ciberdelitos.

Con fundamento en los argumentos expuestos, colocamos a consideración del Honorable Concejo de la Ciudad la presente iniciativa.

Atentamente,

 

BANCADA MOVIMIENTO POLÍTICO MIRA

OLGA VICTORIA RUBIO CORTÉS Concejala de Bogotá

JAIRO CARDOZO SALAZAR

Concejal de Bogotá

 

EL CONCEJO DE BOGOTÁ D.C.,

En ejercicio de sus atribuciones constitucionales y legales, en especial las conferidas en el artículo 12, numeral 1° del Decreto Ley 1421 de 1993,

 

ACUERDA:

ARTÍCULO 1. Créase en Bogotá D.C., la "Estrategia de Ciberseguridad para enfrentar ciberdelitos y amenazas contra el Distrito Capital", conforme a la Política de Seguridad y el Plan Integral de Seguridad 2007 – 2017.

ARTÍCULO 2. La Administración Distrital adelantará las acciones pertinentes y tendientes a prevenir amenazas, intrusión o hackeo en los Sistemas y Redes de información del Distrito, creando, entre otros, programas educativos de buen uso de Internet, programas de ciberseguridad personal, y programas de ciberseguridad ciudadana.

ARTÍCULO 3. La Secretaría Distrital de Gobierno en coordinación con las entidades e instancias competentes nacionales, departamentales, distritales, municipales y locales, determinará los criterios de clasificación de la información para priorizar los niveles de vulnerabilidad de las entidades del Distrito Capital.

ARTÍCULO 4. El presente Acuerdo rige a partir de la fecha de su publicación.

 

PUBLÍQUESE Y CÚMPLASE

NOTAS DE PIE DE PÁGINA

www.eluniversal.com.co

http://www.eluniversal.com.co/cartagena/politica/caso-de-ataques-de-hackers-la-registraduria-sera-cerrado-65633

2 www.elespectador.com.co

http://www.elespectador.com/noticias/elecciones2011/articulo-300731-confirman-primer-ataque-de-hackers-registraduria

3 Definición según la Sociedad Colombiana de Estudios en Internet y Cibersociedad SCAINTER. https://www.SCAINTER.org/

4 http://www.elespectador.com/tecnologia/articulo-345008-colombia-el-tercer-pais-de-latina-sufre-mas-ciberataques

5 http://elpodercolombiano.blogspot.com/2010/08/ciberguerra-ii.html

6 Esto teniendo en cuenta la concentración del manejo, administración y control de la información que se encuentra en Bogotá, no solo en el sector privado, sino preocupantemente en el sector público.

7 http://www.dinero.com/empresas/articulo/colombia-segundo-pais-mas-sensible-ciberataques/159739

8 http://www.enter.co/otros/colombia-es-subcampeon-mundial-en-fraude/

9 http://masterhacks.net/noticias/un-hacker-ataca-la-pagina-de-eaab/

10 http://www.portafolio.co/negocios/cinco-predicciones-seguridad-informatica-el-2013

11 http://www.bogotahumana.gov.co/index.php/noticias/comunicados-de-prensa-alcalde-mayor/1733-entra-en-funcionamiento-primer-punto-de-wifi-gratuito-en-bogota

12 https://www.dnp.gov.co/LinkClick.aspx?fileticket=47QXMTUP_Xk%3D&tabid=1246

13 http://es.groups.yahoo.com/group/ciberseguridad/message/771

14 http://www.mintic.gov.co/index.php/mn-news/188-20110714conpes

15 Según Planeación Nacional y el Ministerio de Defensa.

16 http://www.mindefensa.gov.co/irj/go/km/docs/documents/News/NoticiaGrandeMDN/0086e044-f2e6-2f10-7293-c0c4a18606a6.xml

17 http://www.gerente.com/detarticulo.php?CodArticl=385

18 http://www.gerente.com/detarticulo.php?CodArticl=385

19 Plan Integral de Seguridad para Bogotá 2007- 2017.

20 Gobierno en Línea. Documento de la Comisión Intersectorial de Políticas y Gestión de la Información para la Administración Pública