SIC3RAC: La reunión de la ciberdefensa. Los ataques cibernéticos ya no son obra de jóvenes ansiosos de reconocimiento. Eso es cosa del pasado. Ahora los ataques son desarrollados por ‘profesionales’ del delito que no buscan reconocimiento, sino dinero e información. Lo que antes fue una actividad solitaria ahora es una tarea encomendada a verdaderos ejércitos cibernéticos.
Y lo de ‘ejército’ no es exageración, pues con el cambio de los atacantes también cambiaron los objetivos. Ahora los puntos de ataque son empresas y estados, y lo que supone una intrusión puede llegar a convertirse en daños considerables a la infraestructura vital de un país; es decir, el equivalente a lanzar un bombardeo, pero sin explosiones.
SIC3RAC fue el Simposio que se desarrolló el pasado 18 de junio y que trató precisamente sobre estos temas. Conferencistas de diversos países ofrecieron sus conocimientos ante un auditorio conformado por los profesionales de TI de las instituciones que deberían involucrarse en el tema, incluyendo, por supuesto, a las fuerzas armadas.
A continuación, un recuento de la información que se ofreció aquel día del simposio.
Los temas a tomar en cuenta
SIC3RAC significa Ciberdefensa, Ciberseguridad, Ciberinteligencia: Retos y Amenazas del Ciberespacio; un Simposio que ya lleva un par de años y que se realizó en las instalaciones del Cuartel General del Ejército.
Luego de las palabras iniciales de Ronald Hurtado, general del Ejército; y de Arthur Huamaní, capitán de la misma institución; se realizó la primera presentación de la mañana.
Ésta estuvo a cargo de Claudio Caracciolo, chief security ambassador de Eleven Paths, quien trató el tema “Ciberinteligencia y Ciberdescuidos”. Caracciolo ofreció una amplia perspectiva sobre todos los tipos de amenazas a las que las organizaciones se tienen que enfrentar en la actualidad.
Así sostuvo que uno de los puntos que se tienen que cuidar en la actualidad son las organizaciones que utilizan los sistemas Scada. Estos sistemas se encargan precisamente de las empresas e instituciones que tienen que ver con servicios públicos, y es por ello que pueden representar un objetivo para un atacante que desee causar daño a la infraestructura básica de un país.
Pero no solo uno se debe preocupar por los ataques que pueden provenir del exterior. Si algo ha mostrado el caso de Edward Snowden es que la fuga de información no solo se puede dar debido a un ataque desde el exterior, sino también desde el interior; y esto no pasa por los controles de seguridad sino por la gestión del riesgo. Ésta es la que debe determinar cuáles son los puntos débiles y riesgosos que tiene una organización, puntos que en ocasiones pueden encontrarse entre los miembros de la misma.
El expositor sostuvo que para encontrar a los posibles atacantes se requieren de nuevos enfoques. Si antes bastaba con escudriñar el ciberespacio para determinar quién ha realizado acciones de defacement en un sitio web -algo relativamente fácil de hacer pues este tipo de ataques son publicitados en lugares como Zone-H por los mismos atacantes-, ahora es necesario buscar más profundo, ya que los ciberataques no son logros que se muestren. De hecho, cuando se encuentran malware en empresas, estos pueden haber estado trabajando durante años antes de haber sido encontrados, una muestra de la discreción con la que trabajan ahora los atacantes.
Y ciertamente hay poco presupuesto y pocas personas para defender a las organizaciones, además son más las puertas que hay que vigilar.
Una forma en que los ciberatacantes reúnen información es mediante la open source intelligence o inteligencia de código abierto, algo que en buena cuenta significa recopilar información de diversas fuentes para preparar un ataque a una persona. Y esas fuentes pueden ser los datos que la propia persona ha publicado en redes sociales, o incluso lo que otras personas han publicado sobre él o ella en las redes. Por supuesto, también se pueden encontrar en el ciberespacio, en sitios como Pastebin, bases de datos robadas con información personal.
Un punto que Caracciolo enfatizó fue el uso de los metadatos. Éstos se encuentran ‘adheridos’ a los archivos que circulan libremente en la Red, y a los cuales no consideramos como amenaza a la seguridad. La verdad es que la información que llevan amarrada a través de los metadatos se puede utilizar para preparar ataques dirigidos hacia un objetivo de perfil alto. Por ello, por ejemplo, en Estados Unidos se tiene establecido que las instituciones públicas no publiquen documentos que contengan metadatos, una práctica que también se debería imponer en las instituciones de otros países.
Incluso dispositivos tan aparentemente inofensivos como los televisores pueden jugar en contra de la seguridad. Si un desprevenido usuario conecta un USB a un televisor inteligente, puede correr el riesgo de que además del video o foto que desee ver en pantalla, el televisor tenga acceso a los otros documentos que contiene el USB.
Todos estos puntos de riesgo deben ser tomados en cuenta.
El daño al negocio
Una de las formas en que la empresa puede tomar conciencia de la necesidad de tomar medidas de seguridad, es mostrándole los daños que podría sufrir y su equivalencia en dinero.
Eso es precisamente lo que hicieron Jack Hakim y Peter DiPrete, CEO y director de seguridad de EC Wise, respectivamente, durante su presentación. Hakim fue el primero en tomar la palabra y mostró interesantes datos sobre lo que cuesta la inseguridad.
En primer lugar estableció que el costo de las violaciones a la seguridad se puede traducir en la interrupción de servicios, el costo del servicio de restauración, las multas a las que puede quedar expuesta la firma, y el daño a la marca que puede significar pérdida de clientes y adquisición de nuevos clientes reducida.
Pero si se habla de dinero, Hakim también expuso que se puede cuantificar el valor del daño a la empresa. De acuerdo a un estudio del Instituto Ponemon, el costo promedio per cápita fue de 145 dólares en el 2013, llegando incluso a los 246 dólares en caso de un ataque malicioso en Estados Unidos. En el otro extremo, el costo fue de 51 dólares en India.
Hakim explicó también que las amenazas son cada vez más específicas y se encuentran en crecimiento. Los atacantes se encuentran cada vez más equipados a través de herramientas como Kali (distribución Linux para auditoría y seguridad informática); mejor educados, gracias a reuniones como Black Hat; y mejor financiados gracias al dinero proveniente del crimen organizado y de estados que adquieren sus servicios.
Y a esto se suman las vulnerabilidades. Un tema en el que DiPrete tomó la posta en la exposición. El ejecutivo sostuvo que las vulnerabilidades se pueden encontrar en diversos lugares, uno de ellos es la capa física de la infraestructura. Aquí se puede llegar a comprometer la fibra, se puede utilizar incluso más fácilmente el cobre y la radiofrecuencia es la más débil de las tres vías y la más sencilla de interceptar. Incluso en los enlaces de datos se puede hacer uso de exploits como el Covert Channel Video para uso en Ethernet. En las redes se pueden utilizar técnicas como el spoofing, mientras que en las aplicaciones se puede hacer uso de la inyección SQL.
Y por supuesto no hay que olvidar al factor humano. DiPrete recordó a los asistentes que el enemigo puede ser un infiltrado en la organización, actualmente en trabajo o ya fuera de ella, pero aún con acceso a los sistemas. Los atacantes también pueden ser externos y pueden utilizar técnicas muy conocidas pero aún útiles como el phishing. Mientras, en los dispositivos móviles un daño a la seguridad lo puede causar algo tan común como el simple olvido del dispositivo en un taxi.
Ante ello, DiPrete propuso un conjunto de actividades. Primero se debe tener una política y procedimiento en ejecución, además se debe identificar las capas de seguridad, abordar las vulnerabilidades en todos los niveles, capacitar al equipo, monitorear continuamente e incrementar siempre las defensas.
Por otro lado, se debe tener conciencia y conocimiento de las capacidades, amenazas y ataques externos, además de las fortalezas, defensas y defensores internos de la propia organización.
Qué implica la cibercriminalidad
Luego del break fue el turno de Alberto Gómez, doctor en criminología y ciencias de la seguridad, quien ofreció la exposición “Inteligencia tecnológica en la lucha contra el ciberdelito y el cibercrimen”.
Gómez ofreció un contexto sobre lo que implica la cibercriminalidad para la sociedad en su conjunto. Y para ello mostró los conceptos que se manejan alrededor del tema a nivel internacional y local.
Así el expositor mostró los conceptos que se manejan sobre crimen organizado, delito grave, bienes, embargos e incautaciones, entrega vigilada, y similares.
Quizás uno de los conceptos más visibles sobre el tema fue el que lanzó el expositor al señalar que en la actualidad el crimen organizado se trata de una delincuencia de ámbito global y transnacional, que se ha transformado en una organización especializada y altamente organizada y jerarquizada. Lo más importante ahora es que utiliza las tecnologías de la información para cometer sus delitos.
Gómez también definió los cibercrímenes que en la actualidad se tiene que enfrentar en la sociedad. Al primer grupo de ellos los denominó cibercrímenes económicos mediales y entre ellos se encuentran el hacking, el malware, los ataques de denegación de servicio y el spam.
Pero adicionalmente también existe otro grupo, al que denominó cibercrímenes económicos finales, y entre ellos se encuentran el ciberblanqueo de capitales, el ciberfraude, el ciberespionaje y la ciberpiratería.
Otra categoría es la de los cibercrímenes políticos como el hatespeech (divulgación de doctrinas de odio), la ciberguerra, los ataques de denegación de servicio –nuevamente- y el ciberterrorismo. Además, definió también los cibercrímenes sociales como el grooming (acoso cibernético a menores), online harrassment (similar el grooming), ciberstalking (acoso cibernético) y el ciberbullying. Por supuesto, también se encuentra en esta categoría el sexting, es decir, el envío de contenidos eróticos o pornográficos a través de medios móviles.
Un aspecto significativo de la exposición de Gómez es que sostuvo que la conducta de la persona determina enormemente el que se convierta o no en una víctima de alguno de estos ciberdelitos. Lamentablemente, mientras mayor exposición en Internet, crecen las probabilidades de ser víctima. De acuerdo a un cuadro mostrado por el expositor, un acto tan simple como el uso del correo electrónico genera una probabilidad de casi 77% de convertirse en víctima de un cibercrimen, aunque claro, la mayor de las probabilidades es aquella que se produce cuando una persona contacta con extraños a través de la Red. En este caso la probabilidad sube a más de 80%.
Lo que publicamos en la Red
Quizás una de las exposiciones que más se van a recordar fue la de Pedro Sánchez Cordero, especialista en seguridad presentado por BitDefender.
Sánchez Cordero inició su presentación mostrando el estado actual de la seguridad. De ella señaló que se ha pasado de una época en la que los ataques eran realizados por jóvenes entusiastas por demostrar sus habilidades, a un momento en el que los ataques provienen del crimen organizado e incluso de empresas legítimas. Ahora los medios de proliferación son los sitios web multimedio legítimos pero que se encuentran comprometidos, los dispositivos extraíbles -como los USB-, las redes P2P, el phishing, los adjuntos del correo spam, los dispositivos móviles, las redes Wi-Fi y, por supuesto, las redes sociales.
Pero ahora nos atacan en fases. Una primera fase es la de inteligencia. En ella lo que se hace es recopilar datos de la persona que se podría atacar; es decir, de los objetivos, pero también de los colaboradores, amigos, empleados, y perfiles en redes sociales.
La siguiente etapa es la que se denomina Pivoting, en la que se comienza la utilización de herramientas para poder llegar a la información a la que se desea llegar. Y ese fue el momento en el que su exposición captó el mayor de los intereses del público asistente.
Sánchez mostró cómo se podía fácilmente acceder a la información pública de cualquier personaje. Para ello mostró, mediante un video de la pantalla de su laptop, lo que había hecho durante la mañana: recopilar información sobre un general de un país vecino.
Con herramientas propias de un investigador se accedió a mucha información como números de teléfono, contactos y otros ítems que, con seguridad, un general no desearía que fuesen tan públicos, pero lo son. En realidad, Sánchez no hizo sino recopilar con herramientas especializadas toda la información que el propio general o sus allegados había publicado de alguna manera en Internet. Y por supuesto, no solo se trataba de fotos o videos, también se encontró documentos -¿recuerda los metadatos de los que se habló líneas arriba?- de Word o PDF.
Obviamente, Sánchez hizo esto con información pública por dos motivos. Uno, para demostrar cuán fácil es recopilar esta información y, dos, para mostrar toda la información que inadvertidamente podemos publicar nosotros o nuestros amigos en Internet sobre nuestra vida. Todos lo hacemos, incluso los generales.
Por supuesto, al ser información pública Sánchez no violó ninguna ley ni realizó acto de espionaje alguno durante su presentación. Todo lo que mostró fue lo que alguien hizo público en la Red.
Estas fueron solo algunas de las exposiciones que se realizaron durante el evento. Ciertamente, el SIC3RACfue una reunión multitudinaria que ofreció valiosa información sobre lo que se está logrando con la toma de conciencia en las organizaciones directamente involucradas con la infraestructura vital de nuestro país.
Jose Antonio Trujillo, CIO Perú.
Fuente: CIO Peru
Visitas: 7