Saltar al contenido

El Interprete Digital

El esfuerzo interinstitucional sobre seguridad cibernética en Irak

Por Hashim Shubbar para Al-Bayan Center for Planning and Studies

Palacio Republicano, Bagdad, Irak. [Jim Gordon/ Creative Commons]

En 2017, la oficina del Asesor de Seguridad Nacional publicó la Estrategia de Ciberseguridad Iraquí (ECI), marcando el primer esfuerzo sustancial y público del estado iraquí para analizar las deficiencias en la política cibernética nacional; dibujar una hoja de ruta para la construcción de una superestructura cibernética para que la nación ponga a Irak a la par con sus contrapartes y aliados internacionales. [1]

[Se prohíbe expresamente la reproducción total o parcial, por cualquier medio, del contenido de esta web sin autorización expresa y por escrito de El Intérprete Digital]

El ECI, siendo el primero de su tipo, diagnosticó con precisión las brechas en las políticas cibernéticas de Irak así como las debilidades estructurales relacionadas con la negligencia humana, las medidas no examinadas y la despriorización del dominio cibernético. En consecuencia, la estrategia establece una agenda de implementación basada en cumplimiento de objetivos a tres y cinco años que van desde el establecimiento de una agencia cibernética federal y la redacción de leyes relacionadas con el ciberespacio hasta la “creación de una cultura de ciberseguridad” y títulos universitarios en ciberseguridad. [2]

Si bien la publicación de un documento de este tipo debe ser aplaudida como muestra de la de la creciente priorización del ámbito cibernético, el ECI de 2017 es, sin embargo, muy defectuoso y en gran medida, fracasó a la hora de inducir la aplicación del marco que propone. La estrategia de ciberseguridad publicada era en gran parte teórica y detalla las amenazas generales a las que se enfrentaban por actores privados y públicos en el ciberespacio en lugar de centrarse en la naturaleza de las amenazas cibernéticas que enfrenta Irak en particular. [3] 

En consecuencia, la estrategia no intentó proporcionar lo que puede considerarse un análisis o esquema concreto para la clasificación de la infraestructura crítica que es o podría ser objeto de focalización frecuente. Además, el documento no describe qué entidad o institución gubernamental sería responsable de la implementación de sus recomendaciones, planes u objetivos; sin proporcionar programas estratégicos detallados ni períodos de implementación de las políticas mencionadas. Por consiguiente, ninguno de los objetivos, políticas o reformas sugeridas y propuestas vio un progreso real en términos de su realización.

Teniendo en cuenta la base general establecida por el ECI de 2017, sus deficiencias y los riesgos y amenazas predominantes en el dominio cibernético en Irak, y los principios rectores internacionales en torno a la seguridad cibernética, el Consejo de Seguridad Nacional Iraquí, los servicios de inteligencia iraquíes y el gobierno iraquí deben tener en cuenta las siguientes recomendaciones:

1. Trabajar con socios internacionales  —tanto privados como públicos— para lanzar el propio satélite de comunicaciones de Irak para crear la infraestructura básica necesaria para un sistema integrado de seguridad de la información,

2. Trazar un ecosistema legislativo, legal y judicial en torno al dominio cibernético que proporcione estándares y regulaciones nacionales para la seguridad cibernética tanto en el sector público como en el privado. Crear un entorno legal propicio para las empresas y fijar el precio de una ecología para la persecución del delito cibernético al tiempo que se garantizan las libertades civiles.

3. Establecer una agencia cibernética nacional dedicada bajo la cual se implemente la política cibernética, responsable de la educación y conciencia cibernética, la seguridad de la información y la defensa del ciberespacio nacional iraquí.

4. Celebrar tratados y acuerdos multinacionales relacionados con la ciberseguridad como mecanismos cruciales para codificar normas y comportamientos al celebrar tratados y acuerdos bilaterales que estipulan tanto el intercambio de información como el desarrollo de capacidades,

5. Incentivar la experiencia del sector privado de terceros países para instalarse en Irak para llenar el vacío actual en experiencia técnica y profesionales, y proporcionar una base sobre la cual el capital humano iraquí pueda nutrirse, desarrollarse y alentarse a largo plazo.

Estas recomendaciones se formularon mediante el análisis y el estudio de la actual arquitectura de la ciberpolítica iraquí y el estado de su infraestructura de comunicaciones, como como se explora más adelante en este informe, así como las consultas de la conducta de las naciones cibernéticas más avanzadas y las orientaciones proporcionadas por las comunicaciones transnacionales y los ciber-cuerpos. 

Observaciones

Irak fue capaz de hacer una entrada sorprendentemente fuerte en el espacio cibernético después de 2003 y el final del aislamiento tecnológico impuesto por las sanciones de la década de 1990. A partir de 2017, aproximadamente 20 millones de residentes iraquíes  —alrededor de la mitad de la población— están conectados a líneas de servicio de internet móvil, y un porcentaje similar tiene acceso a internet en sus hogares. [4]

Sin embargo, la inestabilidad política a largo plazo y la volatilidad de la seguridad del país restaron prioridad al desarrollo de mecanismos estatales maduros, políticas e infraestructura en torno a este creciente dominio cibernético en el país, por lo que este crecimiento puso de manifiesto, en gran medida, las debilidades de Irak en materia de ciberseguridad y de la información. 

El estado iraquí y la mayoría de sus instituciones siguen dependiendo de proveedores de satélites más allá del territorio del país para procesar la información. Esta dependencia equivale a una brecha crítica en la seguridad de la información iraquí, ya que la información necesariamente debe ser dirigida a través de los servidores de terceros países. [5]

En la práctica, mientras se mantenga esta dependencia de servidores y satélites extraterritoriales, la nación es incapaz de construir un sistema de seguridad verdaderamente integrado. Recientemente, en septiembre de 2021 el gobierno y el ministerio de comunicaciones anunciaron planes para la construcción y el lanzamiento del primer satélite de comunicaciones de Irak. Sin embargo, el proyecto permanece en la fase de licitación, ya que el gobierno continúa buscando socios extranjeros. [6]

Internet y el dominio cibernético también maduraron en gran medida sin dirección ni influencia del estado, ya que Irak aún carece de un marco judicial o regulatorio para el ciberespacio. Irak no cuenta con una ley de protección de datos, mientras que la legislación sobre privacidad, obsoleta y poco desarrollada, se aplica en gran medida de forma retroactiva a Internet. Además el poder judicial iraquí carece de una legislación específica sobre delitos informáticos, lo que significa que el Código Civil iraquí anticuado de 1951 y el Código Penal de 1969 se aplican en realción a los delitos cibernéticos. [7]

Esta ausencia de una ecología legal en torno al ciberespacio complicó la provisión de una ciberseguridad integral, tanto para las instituciones estatales como para las empresas, mientras que hizo que el enjuiciamiento de los nuevos y crecientes fenómenos de ciberdelincuencia sea cada vez más difícil. [8]

Según los datos cerrados de 2013 proporcionados por el gobierno a Sattar J. Aboud en 2014, la gran mayoría de los delitos cibernéticos en Irak se llevan a cabo a través de plataformas de redes sociales y, en particular, a través de Facebook. Estos datos representan sólo una fracción de las probables ocurrencias de ciberdelincuencia, ya que muchos de los delitos incluyen además el chantaje de naturaleza sexual y la venta de sustancias ilícitas, los cuales conllevan un estigma social y repercusiones que reducen la disposición de los ciudadanos a denunciar tales incidentes a las autoridades. [9]

En 2019, el parlamento intentó introducir un proyecto de ley sobre delincuencia cibernética en medio de algunas de las protestas más violentas en la historia del país. Estos esfuerzos fueron considerados en gran medida por las organizaciones de derechos humanos como increíblemente represivos y motivados políticamente en lugar de un intento por introducir una reforma legislativa genuina con respecto al dominio cibernético. [10]

Esta politización de las leyes en torno a la seguridad cibernética podría tener implicancias a largo plazo en la confianza que los actores internos y externos tienen en la buena fe del gobierno iraquí con respecto a la seguridad cibernética. El 70% de los encuestados por la ONU expresaron su fuerte aprobación por regulaciones más estrictas sobre privacidad, protección del consumidor y ciberdelincuencia en Irak. [11]

La participación y el respaldo del público a dicha legislación son necesarios si se quiere alcanzar el objetivo de lograr una “cultura de ciberseguridad” en el país.

Las vulnerabilidades de la seguridad cibernética iraquí debido a las deficiencias estructurales antes mencionadas se extendieron al Estado y a sus instituciones. El Centro Digital en Irak informó que la casi mayoría de los sitios web de los ministerios gubernamentales no cumplen con los estándares básicos de seguridad de la UIT y, por lo tanto, son fácilmente penetrables. [12] Esta posibilidad se puso de manifiesto en 2011 cuando se lanzaron varios ataques contra la infraestructura de información y datos de instituciones gubernamentales clave; más notablemente el Parlamento iraquí.

El Estado se vio obligado a pagar la cifra de rescate no revelada a los piratas informáticos para que no se publicaran los datos del Estado. Las instituciones de seguridad del Estado en ese momento no pudieron identificar al culpable del ataque debido a la falta de experiencia técnica; reduciéndolo ampliamente a una fuente extranjera. [13]

Más recientemente, el Estado Islamico de Irak y el Levante (EIIL) fue capaz de usar la guerra cibernética contra los contingentes del Estado iraquí y las instituciones estatales iraquíes. [14] Sin duda, esta campaña emprendida por una amenaza tan existencial para el Estado,  tuvo un impacto directo en inspirar al establecimiento de seguridad en el país a considerar la seguridad cibernética, lo que resultó en el ECI de 2017.

De hecho, el aparato de seguridad y los ministerios pertinentes comenzaron lentamente a incorporar, de una forma u otra, algunas capacidades cibernéticas. Sin embargo, estos esfuerzos no están centralizados ni coordinados por una institución especializada, y así la configuración resultante es una pluralidad de equipos y departamentos integrados en múltiples agencias gubernamentales civiles y militares. En consecuencia, tanto la coordinación como la cooperación profesional de estos esfuerzos preexistentes es diminuta. [15]

Un excelente ejemplo de estos problemas institucionales es la integración del equipo nacional iraquí CERT en la oficina del Asesor de Seguridad Nacional. La NSA iraquí es una de las posiciones más poderosas en el establecimiento de seguridad y es responsable de todo, desde la coordinación de las operaciones militares civiles fuera del territorio iraquí hasta la investigación del reciente intento de asesinato del Primer Ministro. Por lo tanto, el equipo del CERT, que trabaja bajo su oficina, no está siendo utilizado en toda su capacidad en términos de protección de las instituciones del sector público y privado y sus servicios; más bien son uno de los muchos instrumentos que la NSA mantiene para cumplir con deberes particulares. [16]

Recomendaciones

Los últimos 18 años de inestabilidad y violencia política en Irak quitaron prioridad a la regulación y al compromiso del gobierno con el dominio cibernético. Sin embargo, a medida que el país avanza hacia la tercera década de este siglo, la soberanía de su ciberespacio y la ciberseguridad se están convirtiendo en un factor cada vez más importante para garantizar la deseada prosperidad y estabilidad. El Índice de Seguridad Cibernética de la UIT otorga a Irak una puntuación general de 20,71, ubicándose en el rango medio en comparación con otros países de la región. [17]

Irak, como la cuarta economía más grande del mundo árabe y la sexta más grande de la región, es absolutamente capaz de construir un ecosistema de ciberseguridad integrado, bien regulado y altamente efectivo. Mirando las recomendaciones de la UIT y contrastándolas con la realidad de la arquitectura actual y el estado de la ciberseguridad en Irak, se puede trazar una hoja de ruta clara para que el Estado avance adecuadamente en sus capacidades, defensa y soberanía.

El lanzamiento y la operatividad del satélite de comunicaciones planificado deben priorizarse a corto plazo para proporcionar al Estado iraquí una base sobre la cual se pueda construir la soberanía cibernética del país; Irak no debería depender de otras naciones para el procesamiento, almacenamiento y transferencia de su información si espera asegurar seriamente un alto grado de seguridad de la información. Incluso, un esfuerzo de infraestructura de este tipo requerirá la creación de los marcos legales y reglamentarios necesarios, así como una estructura organizativa que los respalde.

Una ecología legislativa y jurídica dedicada a la seguridad cibernética, la criminalidad cibernética y el dominio cibernético también es una prioridad máxima. Las preocupaciones sobre la ciberdelincuencia en Irak seguirán creciendo a medida que mayores porcentajes del país continúen obteniendo acceso a la web. Los códigos penal y civil iraquíes obsoletos no pueden servir como base para el enjuiciamiento de los delitos cibernéticos. Es vital que se introduzca un libro blanco de leyes de seguridad cibernética de una manera que mantenga las libertades civiles y la confianza del público iraquí y los círculos comerciales; tomando la legislación de la UE como un ejemplo factible de inspiración para la protección de datos necesaria, y la legislación de privacidad mientras observa el vecindario de Irak en busca de ejemplos de legislación exitosa sobre ciberdelincuencia. La legislación de Irak sobre cibernética debe incluir además regulaciones y estándares en los que puedan confiar tanto el sector público como el privado. Una de las principales solicitudes del mercado de seguridad cibernética privada en Irak ha sido el despliegue de un estándar mínimo ––al menos en sectores clave como salud, banca y telecomunicaciones— mediante el cual los procedimientos de ciberseguridad pueden estandarizarse y, por lo tanto, ser mejor atendidos. [18]

Estas infraestructuras cibernéticas, leyes y regulaciones deben hacerse cumplir, organizarse y coordinarse a través de una agencia gubernamental cibernética dedicada y centralizada. Es importante señalar que la inspiración para la legislación de jurisdicciones como la Unión Europea también debe tener en cuenta los puntos de falla de tales modelos de legislación. La complejidad de la legislación europea, por ejemplo, tiende a aumentar los costos operativos. Un estudio exhaustivo de los éxitos y fracasos experimentados por otros países y jurisdicciones es un esfuerzo relativamente sin costo que permitiría al poder judicial iraquí presentar una legislación que esté actualizada y adaptada a su contexto y preocupaciones particulares.

La evolución actual de las capacidades, los equipos y los profesionales de seguridad cibernética de Irak no permite que el estado cree un esfuerzo coordinado frente a su dominio cibernético, ni implementar las estrategias y metas que tiene para dicho dominio. El CERT nacional iraquí debe transferirse a esta agencia, mientras que se deben crear varios otros equipos de respuesta para administrar dominios altamente críticos como el comercio, la banca y la atención médica. Además, esta agencia debería ser responsable de la defensa de la seguridad cibernética en el país, similar a la función y estructura de la ANSSI de Francia. Este tipo de promoción puede tomar múltiples formas, desde anuncios de concientización en la televisión nacional hasta asociaciones con universidades y otros institutos formales de educación.

Además, Irak necesita enfatizar acuerdos tanto bilaterales como multinacionales con respecto al ciberespacio. La UIT entiende que los acuerdos bilaterales son un motor para el desarrollo de capacidades, que Irak necesita desesperadamente. Además, la creación y codificación de normas y comportamientos internacionales permitiría a Irak luchar mejor contra las amenazas cibernéticas, ya que se desalentaría y evitaría la agresión a nivel internacional. [19]

Finalmente, Irak necesita aumentar su inversión en su estrategia cibernética y políticas cibernéticas. El vecino Irán, con un PIB per cápita que es la mitad del de Irak, ha asignado 1.000 millones anuales a su seguridad cibernética y estrategias cibernéticas, un presupuesto que empequeñece la asignación cibernética de Irak. [20]

Irak debe invertir activamente e incentivar a los actores del sector privado tanto en el país como en el extranjero para que se instalen en Irak y desarrollen la experiencia y la cultura necesarias en torno al espacio cibernético necesario para el desarrollo de los sectores. Como el comercio electrónico que el gobierno iraquí ha señalado como un objetivo para la maduración económica del país. [21]

Una política de seguridad cibernética cultivada y completa, que se actualiza y ajusta activamente y anualmente promete no solo aumentar la seguridad de Irak, su gobierno y su población en el ciberespacio, sino también para animar los esfuerzos del sector privado que tendrán repercusiones positivas en la salud económica y el crecimiento de la nación.

[Se prohíbe expresamente la reproducción total o parcial, por cualquier medio, del contenido de esta web sin autorización expresa y por escrito de El Intérprete Digital]

Hashim Shubbar, actualmente es estudiante de Maestría en Seguridad Internacional, Riesgos Globales y Medio Oriente en el Instituto de Estudios Políticos de París. Parte del Departamento de Defensa y Analista de seguridad centrado en Irak y la región más amplia del Golfo Arábigo.

N.d.T.: El artículo original fue publicado por Al-Bayan Center for Planning and Studies el 19 de marzo de 2022.

REFERENCIAS: 

1. Asesor de Seguridad Nacional “Estrategia de Ciberseguridad Iraquí 2017” Unión Internacional de Telecomunicaciones. 2017

2. Ibíd.

3. Asmaa Khalid Jarjees Al-Tae, Hameeda Abdul-Hussain Al-Dhalimi, Adnan Kadhum Jabbar Al-Shaibani “Relación de la ciberseguridad y la seguridad nacional del país: estudio de caso de Irak”. Revisiones sistemáticas en Farmacia. diciembre de 2020, pág. 474

4. Asmaa Khalid Jarjees Al-Tae, Hameeda Abdul-Hussain Al-Dhalimi, Adnan Kadhum Jabbar Al-Shaibani “Relación de la ciberseguridad y la seguridad nacional del país: estudio de caso de Irak”. Revisiones sistemáticas en Farmacia. diciembre de 2020, pág. 473

5. Ali Ziad al-Ali “Las amenazas ocultas a la seguridad nacional de Irak”. Centro Al-Bayan de Planificación y Estudios. julio 2018

6. Mina Aldroubi “Irak revela un plan para construir y lanzar un satélite” The National News. septiembre 2021

7. Aro Omar “Actualización de la ley: Legislación sobre delitos cibernéticos en Irak”. Al Tamimi & Co. Septiembre de 2017

 8. Ibíd.

9. Sattar J. Aboud “Delito cibernético en Irak”. Revista internacional de investigación científica y de ingeniería. Marzo del 2014

10.Kristen Sibbald “Parlamento de Irak suspende proyecto de ley draconiano sobre delitos cibernéticos” Human Rights Watch. mayo 2021

11. “Irak apunta a oportunidades de comercio electrónico” Conférence des Nations unies sur le commerce et le développement. julio 2019

12. Asmaa Khalid Jarjees Al-Tae, Hameeda Abdul-Hussain Al-Dhalimi, Adnan Kadhum Jabbar Al-Shaibani “Relación de la ciberseguridad y la seguridad nacional del país: estudio de caso de Irak”. Revisiones sistemáticas en Farmacia. diciembre de 2020, pág. 473

13. “La seguridad nacional no cumplió con la estrategia nacional de ciberseguridad de 2017” al-Hurra Iraq. junio 2021

14. Asmaa Khalid Jarjees Al-Tae, Hameeda Abdul-Hussain Al-Dhalimi, Adnan Kadhum Jabbar Al-Shaibani “Relación de la ciberseguridad y la seguridad nacional del país: estudio de caso de Irak”. Revisiones sistemáticas en Farmacia. diciembre de 2020, pág. 473

15. Ibíd.

16. Bassem Ali Khreisan “Seguridad cibernética en Irak: una lectura en el Índice de seguridad cibernética global 2020”. Centro Al-Bayan de Planificación y Estudios. julio de 2021, pág.

17. “Índice de Ciberseguridad Global 2020” Unión Internacional de Telecomunicaciones. 2021

18. Farook Al-Jibouri “Resumen de la seguridad cibernética de Irak”. Tecnologías de código cibernético FZE. diciembre 2016

19. “Índice de Ciberseguridad Global 2020” Unión Internacional de Telecomunicaciones. 2021, pág. 19 20. Bassem Ali Khreisan “Seguridad cibernética en Irak: una lectura en el Índice de seguridad cibernética global 2020”. Centro Al-Bayan de Planificación y Estudios. julio de 2021, pág. 10

21. “Irak apunta a oportunidades de comercio electrónico” Conférence des Nations unies sur le commerce et le développement. julio 2019

Obras

Sattar J. Aboud “Cyber Crime in Iraq.” International Journal of Scientific & Engineering Research. March 2014 https://www.ijser.org/paper/Cybercrime-in- Iraq.html

Aro Omar “Law Update: Cybercrime Legislation in Iraq.” Al Tamimi & Co. September 2017 https://www.tamimi.com/law-update-articles/cybercrime-legislation-iraq/

Asmaa Khalid Jarjees Al-Tae, Hameeda Abdul-Hussain Al-Dhalimi, Adnan Kadhum Jabbar Al- Shaibani “Relationship of Cybersecurity and the National Security of the Country: Iraq Case Study.” Systematic Reviews in Pharmacy. December 2020 https:// www.sysrevpharm.org/articles/relationship-of-cybersecurity-and-the-national- security-of-the-country-iraq-case-study.pdf

Bassem Ali Khreisan “Cyber security in Iraq: a reading in the Global Cybersecurity Index 2020.” Al-Bayan Center for Planning and Studies. July 2021 https://www. bayancenter.org/2021/07/7266/

“Iraq sets sights on e-commerce opportunities” Conférence des Nations unies sur le commerce et le développement. July 2019 https://unctad.org/fr/node/2223

Farook Al-Jibouri “Iraq Cyber Security Overview.” Cyber Code Technologies FZE. December 2016 https://www.linkedin.com/pulse/iraq-cyber-security-overview- announcing-our-framework-al-jibouri/

Ali Ziad al-Ali “The Hidden Threats to Iraq’s National Security.” Al-Bayan Center for Planning and Studies. July 2018 https://www.bayancenter.org/en/2018/07/1549/

“Homeland Security Did Not Fulfill the National Cybersecurity Strategy of 2017” al- Hurra Iraq. June 2021 https://www.youtube.com/watch?v=LB7u-nPnXLQ

“Global Cybersecurity Index 2020” International Telecommunications Union. 2021 https://www.itu.int/en/ITU-D/Cybersecurity/Pages/global-cybersecurity-index.aspx

National Security Advisor “Iraqi Cybersecurity Strategy 2017” International Telecommunications Union. 2017 https://www.itu.int/en/ITU-D/Cybersecurity/ Documents/National_Strategies_Repository/00056_06_iraqi-cybersecurity-strategy. pdf

Mina Aldroubi “Iraq unveils plan to build and launch satellite” The National News. September 2021 https://www.thenationalnews.com/mena/iraq/2021/09/23/iraq- unveils-plan-to-build-and-launch-satellite/

Kristen Sibbald “Iraq Parliament Suspends Draconian Cybercrimes Bill” Human Rights Watch. May 2021 https://www.hrw.org/news/2021/05/07/iraq-parliament- suspends-draconian-cybercrimes-bill