Actualidad Info Actualidad

Seguridad industrial

Exploración horizontal y vertical de la ciberseguridad y privacidad: entorno y núcleo

Prof. Dr. Javier Areitio Bertolín – E.Mail: jareitio@deusto.es. Catedrático de la Facultad de Ingeniería. Universidad de Deusto. Director del Grupo de Investigación Redes y Sistemas.19/03/2018

En el presente artículo se exploran, identifican, analizan y visualizan los aspectos más relevantes de la cibrseguridad y privacidad que deben estar implantados en todo tipo de redes, tanto convencionales (basadas en cableado de cobre y fibra como Ethernet y de tipo inalámbrico como 4G, 5G, WiFi, LiFi, Wimax, ZigBee, LoRaWan, IIoT, IoT, IoE, etc.) como asociadas a nuevas tecnologías como es el caso de las Redes Blockchain/Hyperledger (iniciativas de código abierto), con aplicaciones como contratos inteligentes, identidad digital, criptomonedas/criptodivisas (como ethereum, litecoin, bitcoin, stellar, ripple, monero, etc. algunas más desconocidas, de código abierto, descentralizadas, desintermediadas, desubicada, desgobernada, desregulada, etc.), Big Data, IA, Industria 4.0, infraestructuras críticas, astilleros 4.0, sanidad 4.0, Boost 4.0 (Espacio Europeo de Datos Industrial), realidad virtual, realidad aumentada, cloud, fog, virtualización, etc.

La ciberseguridad y la privacidad deben ser las piedras y piezas angulares, maestras y claves de todo ecosistema con conexión al ciberespacio, transformación digital y todo lo que sea X 4.0 (Industria 4.0, transportes 4.0, sanidad 4.0, infraestructuras críticas 4.0, etc.). El objetivo obligatorio es reducir los ataques de red a niveles satisfactorios y proteger convenientemente contra ciber-riesgos cuyos impactos sean inaceptables (afectación de personas, medio ambiente, robos financieros, reputación, inestabilidad, ciberacoso, caos, etc.). La ciberseguridad actúa frente a los ciberataques, por desgracia, crecientes en este mundo cada vez más digital y conectado, con una difusión creciente y continua de información, cada vez con más dispositivos interconectados y de movilidad, con una sociedad cada vez más colaborativa, etc. Según un estudio de Kaspersky Lab el 28% de las empresas industriales (compuestas por infraestructuras IT y OT) ha sufrido ciberataques dirigidos en el último año, aumentando desde el 20% valoración en el 2016. Se ha detectado malware atacando componentes de automatización industrial y el 87% de los actores industriales valora como complejos los incidentes de seguridad sufridos el pasado año.

La firma Frost & Sullivan Research prevé que para el año 2022 habrá un déficit de 1,8 millones de profesionales en ciberseguridad. En el sistema de administración de licencias HASP (Hardware Against Software Piracy) muy utilizado en sistemas de control industrial (ICS) para la activación de licencias de software, Kaspersky Lab ha descubierto un elevado número de vulnerabilidades derivadas de la adición de un puerto a la lista de excepciones del Firewall de Windows lo que abre una puerta a posibles ataques remotos. En concreto el puerto 1947 sin notificar al usuario. Dichas vulnerabilidades tienen su origen en el empleo de tokens USB de seguridad que los administradores del sistema de la empresa utilizan para activar licencias de software. Este puerto permanece abierto después de que el token USB se haya retirado. Wannamine es un tipo de malware capaz de minar criptomonedas que no instala ningún programa en el equipo (puede quedar latente donde infecta y puede propagarse a través de redes), se trata de un script que toma el control de algunas funciones del computador que funciona con sistema operativo Microsoft. Wannamine aprovecha las vulnerabilidades creadas por Eternalblue, un exploit creado por la NSA y utilizado en el ataque WannaCry.

Gartner prevé que el gasto en seguridad empresarial alcance los 96.300 millones de dólares americanos en el 2018 a nivel mundial, lo que supone un aumento del 8% respecto al 2017. En enero la empresa ESSET analizó diversas amenazas como por ejemplo un malware para móviles Android denominado Skygofree del tipo software espía que los usuarios lo descargaban de páginas Web fraudulentas que se hacían pasar por las de operadores legítimos. Entre las funcionalidades espiar mensajes de texto enviados, la ubicación, el registro de las llamadas o los eventos anotados en el calendario, además los atacantes pueden enviar varios comandos al móvil infectado que les permite grabar u obtener un video o foto utilizando la cámara delantera del dispositivo móvil, grabar audio cuando la víctima entra en una zona definida por los atacantes, robar ficheros utilizados por otra aplicación instalada en el dispositivo o forzar la conexión a una red WiFi controlada por los atacantes para capturar tráfico.

La estrategia de revalorización de su cotización en bolsa de algunas empresas por vincularse al Blockchain si es veraz debe estar apoyada por una fuerte protección en ciberseguridad y privacidad tanto mayor cuanto mayores riesgos puedan producirse. Como regla general, lo que empieza siendo una prueba de concepto a nivel de ataque con el tiempo se convierte realmente en un ataque real, es el caso, por ejemplo, del ataque a WPA2 de WiFi, solución superponer tecnología VPN con o sin cliente.

Imagen

Entorno y núcleo de protección ante ciberataques en redes

La ciberseguridad aborda los procesos de protección en el ciberespacio (quinto frente de batalla y defensa tras los más conocidos de tierra (soldados, tanques), mar (buques de guerra, submarinos), aire (aviones militares y drones) y espacio (satélites de vigilancia y defensivos)). La ciberseguridad es el proceso de proteger contra el uso no autorizado y/o delictivo de datos y recursos electrónicos incluyendo las medidas tomadas para realizar este objetivo. La ciberseguridad ayuda a que se puedan ejecutar las políticas de seguridad establecidas. Se deben utilizar cada vez más técnicas de auditoría del tipo hacking ético o test de penetración como medida eficaz para evaluar instalaciones, ecosistemas, etc. (recordar lo que no se mide, no se conoce, lo que no se conoce no se puede administrar-gestionar y lo que no se puede administrar no se puede mejorar, arreglar, solucionar, corregir, ganar, etc.). Estos test de penetración o pentest integran diferentes tareas:

(a) En la capa física. Se explora la ingeniería social (de cara al comportamiento del personal frente a engaños, como contramedida la concienciación y formación en ciberseguridad), se busca en papeleras y basuras posible fuga de información, se exploran medidas físicas de seguridad en distintas áreas como la electricidad, puertas, cerraduras, edificio, cámaras de video-vigilancia, sistemas de aire acondicionado y calefacción, se buscan puntos de acceso inalámbricos, por ejemplo, WiFi (y se valora si operan con excesiva potencia y proximidad a zonas públicas), se buscan posibles fugas electromagnéticas y acústicas, etc.

(b) En la capa de comunicaciones. Se realizan auditorías del entorno inalámbrico (WiFi, LiFi, RFID/NFC, Bluetooth, redes celulares 2,5G, 3G, 4G, 4,5G, etc.), se hacen auditoría de accesos remotos (como VPN; wardialing: técnica para automáticamente escanear una lista de números de teléfonos, marcar cada uno en busca de módems, computadores, BBSs, fax, etc. como posibles entradas de ciberataques), se llevan a cabo auditorías de elementos de red (como routers, switches, gateways, módems, etc.), se efectúan auditorías de elementos de seguridad (como firewalls, ARCM (Automated Risk and Compliance Management), DLP, NGFW, IDS/IPS, UTMs, security appliances, etc.).

(c) En la capa de aplicación. Se realizan análisis de visibilidad, auditorías de código fuente (como PHP, J2EE, ASPX, etc.), auditorías de aplicaciones Web y servicios Web, auditorías de servicios (como bases de datos, Web, correo electrónico, mensajería instantánea (como Signal recomendada por Snowden, el contenido no se guarda en el servidor de la empresa, Telegram, Pryvate, Viber, Threema, Dust, Silence, Cyphr, ChatSecure, Wickr, Confide, Whatsapp la información se almacena en los servidores de la empresa, etc.), Redes Sociales, etc.), auditorias estáticas y dinámicas de sistemas operativos (Linux, Windows, Unix, kernels de SO, hipervisores como VMWare, etc. así como drivers, dlls, scripts, etc.).

Imagen

Para encontrar redes inalámbricas abiertas, por ejemplo, WiFi y explotar sus vulnerabilidades se pueden utilizar diferentes técnicas:

(1) Warwalking. Consiste en pasear buscando redes WLANs disponibles.

(2) Wardriving. Consiste en circular en coche con PC, antena y GPS para localizar redes WLAN disponibles. El GPS ayuda a generar mapas de dichas redes abiertas.

(3) Warchalking. Se utiliza tiza u otros elementos que dejan marcas para identificar redes WLAN disponibles para peatones. Los objetivos de la ciberseguridad son cada día mayores, y van abarcando cada vez más aspectos como, por ejemplo:

(1) Proteger contra ataques a la confidencialidad. Los ataques a la confidencialidad son intentos de los atacantes/adversarios que tratan de hacer visibles y entendibles el significado de los datos y metadatos confidenciales; aquí se incluye todo tipo de espionaje incluso a nivel global como Echelon. Como contramedidas en el ciberespacio el uso del cifrado (para generar criptogramas) que oculta el significado de la información y la esteganografía (para generar esteganogramas) que oculta la propia información por ejemplo dentro de “contenedores” como películas, videos, fotos, en los campos (no usados u optativos) de las PDUs (unidades de datos de protocolo, por ejemplo, L2-TCP/IP que son las tramas, L3-TCP/IP que son los paquetes-datagramas, L4-TCP/IP que son los datagramas UDP o los segmentos TCP, etc.), empleo de tecnología DDP (Distributed Deception Platforms), DLP (Data Leak Prevention), etc. Como contramedidas en el mundo real trituradoras de documentos, controles de guardas de seguridad, borradores de discos duros a bajo nivel con infinidad de lecturas y escrituras, los comandos delete o format no borran los datos en sí, sólo anulan los links. El malware creepware permite que nuestros dispositivos de comunicaciones como smartphone, PC, smartTV, tablet, etc. sea manipulado por un malware-atacante y encienda la Webcam e incluso nuestro micrófono y nos vea y nos escuche, así como todo nuestro entorno. Otros elementos espías son los juguetes como ositos y muñecas con WiFi, con cámaras, micrófonos y altavoces integrados. Las aspiradoras autónomas con WiFi que permiten obtener los planos de una vivienda. Los sniffers (pasivos y activos en este caso, pueden operar con switches) son dispositivos que nos permiten capturar el tráfico de red tanto en redes cableadas (cobre, fibra óptica) como en redes inalámbricas.

El ataque denominado análisis de tráfico permite inferir información del tráfico de red incluso aunque se encuentre cifrado (como por ejemplo longitudes de los mensajes); una contramedida consiste en no sólo cifrar el tráfico de datos real sino añadirle ruido en forma de datos sin valor cifrado para engañar al atacante respecto a la longitud de los mensajes transmitidos o cuando se transmite ya que se podría enviar mensajes cifrados con datos basura de vez en cuando para engañar al atacante cuando se transmite. Los keyloggers hardware y software son herramientas que permiten capturar las teclas pulsadas en el teclado y averiguar contraseñas y otras informaciones de valor que se puedan teclear (utilizado para el bien, puede ser una herramienta para el control parental). Una contramedida es el uso de teclados virtuales creados dinámicamente sobre la pantalla que se vayan desplazando y cambiando el lugar de las teclas para trabajar con el ratón. El malware del tipo spyware también captura información sin revelar su presencia. Como contramedida antivirus actualizados. La captura no autorizada de emanaciones y ondas electromagnéticas y acústicas liberadas de los dispositivos electrónicos (pantallas, CPU, etc.) fuga información no deseada. Como contramedidas tecnologías Tempest, SoftTempest, cajas de Faraday de apantallamiento electromagnético, etc. El ataque snooping es un ataque a la confidencialidad, es cuando alguien busca y mira en los ficheros y carpetas de un dispositivo de computación tratando de encontrar algo valioso. En el mundo real se busca en papeleras (hojas o trozos partidos de papel), en basuras, en cubos de reciclaje o incluso debajo del teclado en busca de notas escritas en post-it por ejemplo contraseñas, etc.

Imagen

Posibles ataques a la confidencialidad:

(1) Captura de paquetes. Por ejemplo, con sniffers alámbricos o inalámbricos, son normalmente ataques pasivos.

(2) MITM (Man-In-The-Middle). Escucha y puede manipular las conversaciones interceptadas entre los extremos de una comunicación tanto con arquitectura P2P como cliente-servidor, se trata de ataques activos.

(3) Ingeniería social. Utilizando técnicas psicológicas y de psiquiatría como el engaño/confusión/sumisión, sería el caso de los ataques de phishing.

(4) Barrido de ping y escaneo de puertos UDP/TCP.

(5) Buscar entre la basura en vertederos, papelearas información sensible de todo tipo contraseñas, números de cuenta de bancos, etc.

(6) Wiretapping. Capturar información utilizando el pinchado de cables cobre, fibra óptica, etc.

(7) Interceptación inalámbrica. Utilizando interceptación de señales electromagnéticas y acústicas de infrasonidos y ultrasonidos. La interceptación y modificación (MITM) es fácil en redes públicas inalámbricas, como contramedidas añadir VPN. Los datos se alteran durante la transmisión antes de la recepción, como contramedidas firmas digitales y VPN.

(8) Captura del teclado vía keyloggers.

(9) Captura de información vía malware, spyware, troyanos.

(10) Captura de imágenes con Webcams y CCTV y por micrófonos espía. Utilizando malware como creepware.

La confidencialidad (la pregunta es ¿qué contenidos se transfieren?) es uno de los componentes de la privacidad (disciplina con entidad propia separada de la ciberseguridad pero que colaboran entre sí, aunque en algunos casos haya colisiones) que además engloba otras funcionalidades como los usuarios/entidades que se comunican (la pregunta es ¿Quiénes intervienen, sus identidades?), la localización indoor/outdoor (la pregunta es ¿dónde se encuentran?), la actividad (la pregunta es ¿cómo?), etc.

Otros ataques a la confidencialidad en el mundo real son: el espiar o mirar por encima del hombro un documento que lee otra persona. El espionaje psíquico. Fotografiar o grabar en video lo que ve una persona alejada desde su móvil, tablet o PC, como contramedida colocar sobre la pantalla un protector que sólo permita ver a corta distancia y con un determinado ángulo. Fotografiar una o varias personas haciendo la V de la victoria con sus dedos para robarles sus huellas dactilares para una ulterior suplantación en una autenticación por huella dactilar, también se puede echar un vistazo en redes sociales como Instagram. Robar un PC, tablet o móvil como contramedida cifrar todo el disco duro y sistema operativo para que no le sirva al ladrón.

La tecnología de anonimato permite ocultar al emisor y al receptor de una comunicación, el contenido, así como que emisores se comunican con que receptores, es decir la vinculación entre emisores y receptores.

La tecnología de las transferencias trascordadas permite que no sepa el receptor el contenido que ha capturado el emisor de dicho receptor y el emisor no pueda saber todos los contenidos restantes que posee el receptor. La tecnología de compromiso digital permite a una entidad ocultar temporalmente una información secreta que la revela trascurrido un cierto tiempo de modo que el emisor no puede cambiar el valor guardado, por ejemplo, un emisor hace una predicción (¿qué número de lotería va salir en una fecha futura?), la oculta y cuando ya se ha sorteado revela el valor secreto guardado, pero sin poder haberla cambiado. La tecnología de la computación multiparte segura o SMPC posibilita la confidencialidad, es decir varias entidades pueden intercambiar datos entre si, pero ninguna sabe los datos de las otras entidades, por ejemplo, es el caso de saber que millonario tiene más dinero sin revelar sus datos.

La tecnología de las comunicaciones subliminares posibilita la confidencialidad, sería el caso de los prisioneros que se comunican para escaparse en presencia de un carcelero. En el mundo físico real un ejemplo de fuga de metadatos de las personas sería el caso de la identificación de una persona utilizando el ADN, por ejemplo, por un cigarrillo abandonado en un cenicero, o un botellín de agua o una taza de café dejado en la mesa de un bar o un pañuelito de papel con algún tipo de fluido corporal, etc. e incluso la forma de dibujar, escribir, los dibujos, la forma de hablar, etc.

(2) Proteger contra ataques a la integridad. Los ataques a la integridad son intentos de modificar y alterar datos, incluso borrándolos. Los ataques de inyección de fake news para fines de injerencias son ataques a la integridad. Los ataques de fabricación de datos son contra la integridad. Como contramedidas funciones hash (SHA512), MAC, firma digital (convencional y a ciegas), códigos FEC de detección y corrección de errores sin retransmisión con elevadísima distancia de Hamming como Reed-Solomon, Golay, etc.

Como ataques a la integridad:

(1) Ataque Salami. Se trata de reunir muchos ataques pequeños para hacer uno mayor.

(2) Ataques a contraseñas/PIN. Utilizando troyanos, capturadores de paquetes, keylogger, ataques por fuerza bruta y ataques por diccionario. Las contraseñas se deben guardan en los servidores en forma cifrada, resultado de aplicar una función hash a la combinación de la contraseña en texto en claro y un valor pseudoaleatorio o salt. Como contramedidas utilizar contraseñas robustas (largas que incluyan caracteres especiales, números y letras tanto mayúsculas como minúsculas), cambiarlas frecuentemente, incluir mecanismos de límite de reintentos (tres en PINes de teléfonos móviles), en caso de olvido de la contraseña debe existir un departamento de help-desk para ayudar a los usuarios, por ejemplo, para resetear la contraseña y proporcionar una nueva contraseña temporal hasta que el usuario la cambie por la definitiva, a veces se utiliza un servicio auto-help-desk.

(3) Secuestro y robo de sesiones. Las cuentas huérfanas surgen cuando los empleados dejan la empresa por diferentes causas: cambio de empresa, jubilación, despido, fallecimiento, etc. en todos los casos debe haber un proceso de gestión de cuentas de usuarios que las debe borrar urgentemente ya que pueden ser puntos de entrada peligrosos.

(4) MITM. Intercepta la conexión víctima con un servidor robando el identificador de sesión y cambiando los datos, es decir intercepta y manipula los datos.

(5) Estafa de datos (o data-diddling). Cambia los datos antes del almacenamiento.

(6) Explotación de la relación de confianza. La confianza es una gran vulnerabilidad.

(7) Botnet. Es una red de equipos contaminados (infectados por malware: PCs, smartphones, tablets, etc.) (denominados mulas o zombies) gobernados por un atacante. Se puede utilizar por ejemplo para que las victimas minen bitcoins para los atacantes de forma ilegal.

Una botnet presenta cuatro fases:

(a) El atacante infecta a los dispositivos de computación del usuario con malware.

(b) El atacante envía órdenes de ataque a los servidores controlados por el atacante.

(c) El dispositivo de usuario infectado recupera las órdenes.

(d) Los dispositivos infectados de usuario realizan las órdenes de ataque al objetivo final a atacar. El ISP asociado a los usuarios zombies y servidores controlados por el atacante puede notificar a los usuarios si detectan botnets conocidas y bloquea las comunicaciones con servidores comprometidos. El SSO (Single Sign On) es la unificación de autenticación, de modo que con sólo logeo (apertura de sesión) se pueda acceder a todos los recursos de la organización, correo, intranet, bases de datos, etc. e incluso a otras empresas asociadas. Por ejemplo, en universidades existe el servicio Eduroam que posibilita acceder a la universidad donde se encuentre y a otras universidades con el mismo login.

Imagen

(3) Proteger contra ataques a la disponibilidad. Los ataques a la disponibilidad son intentos de limitar, retardar, ralentizar o impedir la accesibilidad y usabilidad de un sistema, recurso, objeto a un sujeto autorizado. La disponibilidad de cualquier dispositivo o entidad hardware (que depende de la temperatura) puede calcularse como el cociente entre el MTBF (Mean Time Before Faults) dividido por la suma de MTBF y el MTTR (Mean Time To Repair); la indisponibilidad se calcula restando uno menos la disponibilidad. Como contramedidas utilizar copias de seguridad o backups (guardadas lejos del dispositivo y que puedan ser recuperadas con comandos restore), la redundancia de recursos, la tecnología RAID en discos duros, los planes de contingencia o planes B. Por ejemplo, los malware del tipo ransomware como WannaCry cifran ilegalmente ficheros, carpetas o discos y piden recompensa para devolver a la víctima su accesibilidad, son ataques de extorsión. Los ataques de denegación de servicios simples o distribuidos DoS y DDoS saturan recursos como impresoras, enlaces, servidores o aplicaciones/APPs para impedir su acceso y utilización. También pueden agotar memoria o potencia de CPU/GPU de la víctima.

Posibles ataques a la disponibilidad (ataques que varían desde consumir recursos de servidores, dañar físicamente sistemas, generar fallos de sistemas, etc.):

(1) Ataque DoS (Denial of Service). Por ejemplo, inunda de forma continua el sistema de la víctima con peticiones a servicios o correos electrónicos, causando que el sistema desborde la memoria y se estropee. Si se hacen muchísimos accesos a la vez a ciertos discos duros estos pueden llegar a averiarse.

(2) DDoS (Distributed Denial of Service). Se basan en redes botnet. Como contramedidas eliminar en el firewall todos los paquetes ICMP que se originan desde Internet, eliminar todas las peticiones a direcciones de difusión, filtrado entrante (no permitir paquetes entrantes con direcciones origen internas), filtrado saliente (no permitir paquetes que salgan con direcciones origen externas).

(3) Inundación SYN TCP. Es una variante de ataque DoS donde el atacante inicia muchas sesiones TCP, pero nunca completa el handshake de tres envíos. El sistema de la víctima se satura su memoria y se hace incapaz de abrir más sesiones TCP con usuarios legítimos.

(4) Ataques buffer overflow. Se basan en desbordar el buffer y mezclar datos y código.

(5) Ataques smurf vía el protocolo ICMP. Inunda el sistema objetivo con tráfico ICMP desde una subred. El atacante envía un ping a la dirección de difusión de la subred y los dispositivos entonces responden a dirección IP falsificada (la del sistema objetivo) que satura el ancho de banda y los recursos de procesamiento. El ataque smurf (es un ataque DoS clásico) consiste en una difusión de paquetes ICMP echo que se envía a todos los hosts de una red con la dirección origen falsificada (la de la víctima), todos los sistemas en el segmento de red enviarán paquetes ICMP echo-replay a la víctima.

(6) Ataques fraggle (es un ataque DoS clásico) es similar a smurf pero la difusión es utilizando el protocolo UDP en vez del protocolo ICMP.

(7) Ataque ping of death. Si un mensaje ping es mayor de 65536 bytes, máximo tamaño de un paquete IP, puede causar que ciertas máquinas casquen, por ejemplo, sistemas Windows antiguos.

(8) Perturbaciones-alteraciones en la alimentación eléctrica. Se basan en interrumpir, perturbar con picos de tensión o interferir el servicio de suministro eléctrico disponible para un sistema (como efecto por ejemplo averiar placas madre de computadores). Algunos ejemplos: picos de corriente, fluctuaciones y anomalías eléctricas bruscas, fallos de alimentación eléctrica, reducción de la alimentación, saturación y exceso de nivel eléctrico, etc. Como contramedidas utilizar UPS (Uninterruptable Power Supply) o SAI (Sistema de Alimentación Ininterrumpida) compuestos internamente por baterías de corriente continua, filtros, estabilizadores y acondicionadores y onduladores (que pasan de corriente continua a alterna), empleo de grupos electrógenos, de acondicionadores de línea, de generadores de respaldo, disponer de más de un proveedor o empresa de fluido eléctrico simultáneo.

(9) Ataques al entorno físico y medioambiental. Los equipos de computación pueden dañarse influenciados por el entorno físico y medioambiental. Algunos elementos, a tener encuentra son: temperatura (el atacante perturba el HVAC (Heating Ventilation and Air Conditioning) recalentando los sistemas), humedad (el atacante crea un nivel elevado de vaho, humedad, niebla, etc.), gas (el atacante inyecta gas en un entorno que puede ser inflamado por los propios sistemas de computación), catástrofes medioambientales (huracanes, nevadas, maremotos, incendios, contaminación química, electromagnética, acústica, etc.), etc. Estos ataques utilizan amenazas generalmente mitigadas utilizando restricciones físicas, credenciales de acceso y monitorización visual. Para apagar los incendios se pueden inyectar gases especiales (como anhídrido carbónico, Halon, etc.) o rociadores de agua. Para refrigerar se pueden utilizar ventiladores, frigistores, etc. para la humedad deshumidizadores. El proyecto norteamericano HAARP (High Frequency Advanced Auroral Research Project) desplegado en Alaska se compone de unas ciento ochenta antenas para señales electromagnéticas. Según indican los expertos posee la capacidad de controlar el clima mundial e incluso de desencadenar huracanes, sequías, tornados, crear agujeros en la capa de ozono, etc. incluso hay quién opina que podría manipular la mente humana y perturbar equipamiento telemático.

(10) Ataques vía malware ransomware.

(11) Ataques creando fallos en los sistemas.

(12) Obsolescencia programada en los dispositivos físicos.

(13) Inyección de troyanos hardware en dispositivos físicos y electrónicos.

(3) Proteger contra ataques a la autenticidad/autenticación. Los ataques a la autenticidad tratan de utilizar entidades hardware o software clonadas/copiadas, que suplantan a las verdaderas para hacerse pasar por las legítimas. Sería el caso de suplantar a un extremo de una comunicación de red o de sustituir un aparato hardware legítimo por otro falso sería el caso de una cámara de videovigilancia ilegal (frente a estos ataques como contramedidas utilizar tecnología PUF). Como contramedidas a la posibilidad de suplantar la identidad de los extremos de una comunicación utilizar mecanismos de autenticación mutua, continuada, multi-factor (lo que uno sabe (contraseña/PIN y recibir un código por SMS), lo que uno tiene (token, smartcard, prótesis RFID/NFC), lo que uno es (biometría fisiológica como huella dactilar o reconocimiento facial y de comportamiento como forma de hablar, andar, firmar), su localización geográfica (outdoor vía GPS-satélites, indoor vía sensores y radio-balizas i-beacons), fecha-hora (utilizando servidores NTP), etc.), sin revelado de claves (utilizando tecnología ZK como Omura o Fiat-Shamir).

También nos encontramos con ciberataques basados en la repetición. Como contramedidas: el uso del sellado temporal con firma digital, el uso de marcas de tiempo dentro de marcas de agua y esteganografía y metadatos. La autenticación trata de probar que una entidad es quien dice ser, después de la identificación que trata de conocer quién es una cierta entidad vía un username/login. Una entidad puede tener varias identidades según su entorno de operación. Los metadatos en el mundo real son nuestro comportamiento, forma de escritura a mano, nuestros dibujos, forma de hablar, fotos que elegimos subir a redes sociales, nuestros gustos, etc. Los metadatos en una foto son quién la ha realizado, las coordenadas GPS, los metadatos en documentos hacen referencia al equipo donde se han realizado. Los ataques spoofing son ataques activos de suplantación de un usuario autorizado con credenciales; se roban las credenciales utilizadas para autenticarse a una WLAN (las claves pre-compartidas son susceptibles de robar y aplicar ataque de diccionario) y se falsifica la dirección MAC para suplantar a un host en una WLAN; como contramedida política de contraseñas basada en mecanismos de autenticación robustos (al menos de doble factor, firmas digitales, contraseñas de un solo uso). Los ataques Web spoofing la suplantación es en el nivel del servidor, redireccionan los navegadores de usuario a diferentes sitios.

(4) Proteger contra ataques a la trazabilidad. Los ataques a la trazabilidad tratan de borrar huellas de posibles actuaciones y acciones no autorizadas y de ataque, borrando o modificando evidencias y pruebas digitales, por ejemplo, de logs, registros, grabaciones de videovigilancia, etc. Como mecanismos para la trazabilidad keylogger, creepware, spyware, logs, Webcams, generación de perfiles al navegar por Web, etc.

(5) Servicios de no repudio, protección contra ataques al repudio. Los servicios de no repudio tratan de imposibilitar que una entidad (del mundo real o del ciberespacio) niegue una acción o tarea realizada como por ejemplo negar algo que se ha hecho, por ejemplo, ver, escribir, robar, ejecutar, imprimir, detener un proceso, disparar, enviar, recibir, fotografiar, guardar, borrar, etc.

(6) Servicios de engaño de cara a los atacantes. Tratan de confundir, perturbar y trastornar a los atacantes para que no realicen sus acciones maliciosas. Como principales tecnologías de engaño:

(1) NGFW (Next-Generation Firewalls). Incluyen capacidades para mejorar el engaño en zonas de red protegidas. Pueden establecerse acciones en políticas específicas para “engañar” y generar respuestas engañosas para confundir empleando el propio firewall o utilizando la integración con otras herramientas de engaño.

(2) WAFs (Web Application Firewalls) y herramientas de engaño a nivel de aplicaciones. Pueden ayudar a trastornar y perturbar la automatización de los atacantes utilizando engaños tanto a nivel Web como a nivel de aplicaciones Web y contramedidas HTTP y de navegador Web, así como confusión y ofuscación de contenido HTML y entradas de aplicación para reducir las superficies de ataque.

(3) IPS (Intrusión Prevention Systems). Pueden introducir engaño dentro del protocolo TCP y en la capa de protocolo de red L3-TCP/IP. Pueden utilizar técnicas básicas de engaño como honeypots del tipo TCP-Tarpits y/o la integración con tecnologías de engaño más avanzadas como sistemas de señuelo.

(4) Plataformas de protección de puntos finales. Estos sistemas tratan de crear engaño para impedir la instalación de malware haciendo creer a los atacantes que el punto final es un entorno virtual para liberarse de los procesos de perfil de malware o emulando los procesos de antivirus dispares para introducir inactividad.

(5) DDPs (Distributed Deception Platforms) o DDSs (Distributed Decoy Systems). Estas herramientas distribuyen sistemas de puntos finales señuelos a lo largo de la empresa y ofrecen detección mejorada comparada con herramientas más tradicionales. Debido a que los usuarios legítimos no tienen razón para interactuar con ataques procedentes de señuelos pueden identificarse rápidamente los ataques reales y se reducen de forma importante la tasa de falsos positivos.

Imagen

Consideraciones finales

La ciberseguridad trata de defender frente a todo tipo de agresiones, intrusiones, ataques, comportamiento anómalo de protocolos, desestabilizaciones, tendencia al caos por parte de toda clase de atacantes, además protege los diferentes aspectos del funcionamiento asociado a todo tipo de redes, como, por ejemplo, el uso permitido, el acceso, la confidencialidad, el comportamiento, el rendimiento, la QoS, la integridad, el no repudio, la disponibilidad, las extorsiones, el ciberacoso, etc. El nuevo Reglamento General de Protección de Datos (o RGPD) Europeo (que sustituye a la LOPD-RMS) que se aplicará a partir de mayo de 2018 obliga a las empresas a implementar medidas técnicas y organizativas adecuadas. Algunas de dichas medidas técnicas son el cifrado de soportes, los procedimientos de copias de seguridad, la pseudonimización basada en el uso de pseudónimos, la identificación y autenticación de los usuarios, el control de acceso a los datos (cada empleado accederá a los datos que le sean estrictamente necesarios para su trabajo), la actualización de los derechos de los usuarios, la privacidad por diseño, etc.

Uno de los principios de la ciberseguridad dice que se debe dar a cada entidad el mínimo de privilegios para que pueda realizar con normalidad sus tareas asignadas, esto protege en el caso de que el equipo se infecte por un malware y éste pueda tomar los privilegios de dicha entidad/persona. Entre los ciberataques a nivel de usuarios en general más típicos basados en ingeniería social son: engaño o sumisión que obliga a pinchar links dañinos colocados en correos electrónicos maliciosos que descargan malware por ejemplo ransomware, las estafas vía SMS, la instalación de un malware al conectar un dispositivo USB desconocido (por ejemplo de regalo o encontrado en la calle), el escanear un código QR malicioso, el conectar a una red WiFi fraudulenta gratuita, la contestación de llamadas telefónicas que dan lugar a estafas, la clonación de Webs vía pharming envenenando tablas DNS los usuarios piensan que están en un portal-sitio Web seguro e introducen datos sensibles que van a parar a los ciberdelincuentes, los ataques que se realizan físicamente por ejemplo en una empresa donde los empleados no se conocen, los atacantes entran y se hacen pasar por otros empleados o por personal de mantenimiento-limpieza, pasean por las diferentes áreas y oficinas y van capturando información sensible como contraseñas escritas en papeles próximas al puesto de trabajo, posters, papeles, hurgan en papeleras, etc.

El marco de la ciberseguridad del NIST integra cinco áreas:

(1) Identificar. En cualquier entorno business o industrial, permite la gestión de activos, la valoración, gobernanza y gestión de riesgos. Las tecnologías de machine-learning y deep-learning permiten identificar anomalías extremadamente escondidas. Pueden utilizarse tecnologías como la gestión de identidad y autenticación (IAM) donde se integra la gestión de identidad (con el aprovisionamiento de usuarios LDAP/AD, los servicios de sincronización, la gestión de cuentas, la gestión de contraseñas y el help-desk para el reseteo de contraseñas) y el control de acceso (con la identificación, autenticación mutua y autorización, la optimización de autenticación multifactor con el SSO (Single Sign On), la federación de identidades y las funcionalidades de trazabilidad y registro).

(2) Proteger. Mediante políticas, procesos, seguridad de datos, control de acceso (identificación, autenticación, autorización y trazabilidad), tecnologías de protección (esteganografía, cifrado, PUF, DLP, IPS, NGFW, integridad a nivel de datos, hardware, personal y software/inmunidad, etc.), procedimientos administrativos, disuasión, engaño al atacante vía DDPs, señuelos estilo honeypot-honeynet, concienciación, adiestramiento, aprendizaje, etc.

(3) Detección. De anomalías y eventos utilizando procesos de detección y monitorización continua. Se detectan vulnerabilidades (debilidades, inestabilidades, agotamientos, grietas, superficies de ataque, agujeros, mala configuración, elección equivocada, programación incorrecta no depurada ni auditada con contraseñas de baja entropía, no validar entradas, no comprobar ni gestionar buffer-overflow, etc.) y amenazas/exploits (APTs, malware, troyanos hardware, etc.).

(4) Responder. En base a una planificación de respuestas en comunicaciones, reconfigurando firewalls, separando funciones (por ejemplo, caché DNS de funcionalidad de recursividad DNS), redireccionando a otros servidores Web. Incluye un análisis, mitigación de riesgos e integración de mejoras.

(5) Recuperar. En base a una planificación de recuperación que incluye copias de seguridad, hot-sites/cold-sites, comunicaciones, recursos para contingencias o planes B, etc. En el contexto ITU-T-Y.4806 un vector de impacto es un camino comprometido de enlaces de comunicación por los que un atacante explota las debilidades-vulnerabilidades de servicios, plataformas o dispositivos IoT/IIoT que puede tener un efecto en los objetos-cosas (por ejemplo, vehículos, prótesis médicas), el entorno físico (medio ambiente, seres vivos y artificiales, etc.) y el entorno virtual-cibernético asociado al ciberespacio (por ejemplo, con APPs, IA, realidad virtual, etc.). IoT interconecta dos tipos de entornos: el entorno virtual (por ejemplo, con proveedores de servicio) y el entorno físico (por ejemplo, con objetos físicos), por tanto, podrán surgir problemas en ambos tipos de entornos y afectar a aspectos físicos (P), aspectos virtuales (V) y a los propios objetos o cosas (T).

Imagen

Posibles vectores de impacto son: V-T-V, V-T, V-T-P, T-V, T-P, P-T-V, P-T, P-T-P. Un ejemplo de amenaza a la seguridad con vector de impacto V-T-P consiste en un ataque dirigido al entorno físico de los objetos para causar daño físico o dañar aspectos físicos de su funcionalidad, por ejemplo, un ataque a un vehículo conectado por ejemplo cambiándole su velocidad, su dirección o causar otros efectos físicos, ataques a sistemas de control industrial, ataques a prótesis médicas, etc. Ejemplos de amenazas a la seguridad con vector de impacto P-T-V son acciones que presentan problemas para los aspectos de seguridad de la información por medios físicos, por ejemplo, destruir hardware, trastornar físicamente un sistema de video vigilancia colocando una fotografía delante de la cámara. Un ejemplo de amenaza a la seguridad con vector de impacto T-P consiste en implementar las funciones de un sistema sin tener en cuenta o de forma insuficiente los requisitos de seguridad. Ejemplos de amenazas a la seguridad con vector de impacto V-T-V son los ataques dirigidos al entorno virtual de los objetos o cosas explotando sus vulnerabilidades y características implementadas incorrectamente, por ejemplo, es el caso de la denegación distribuida de servicios (DDoS) utilizando una botnet o el CSS/XSS.

Un ejemplo de amenaza a la seguridad con vector de impacto V-T es un ataque dirigido a una cosa u objeto desde dentro de su entorno virtual, por ejemplo, el robo de información confidencial-privada. Un ejemplo de amenaza a la seguridad con vector de impacto T-V consiste en explotar bugs, vulnerabilidades o características que dañen la seguridad del entorno, pueden tratarse como una cuestión de seguridad de la información, por ejemplo, un objeto virtual implementado inadecuadamente o infectado con malware capaz de dañar a otros. Ejemplos de amenazas a la seguridad con vector de impacto P-T son los azares físicos que son capaces de dañar a un sistema o a sus componentes, por ejemplo, un tratamiento con fallos.

Ejemplos de amenazas a la seguridad con vector de impacto P-T-P son los azares físicos que son capaces de dañar el entorno físico o a las personas, por ejemplo, sabotajes, negligencias. Ejemplos de amenazas a la seguridad con vector de impacto T-P son los bugs software/firmware o las funciones que pueden afectar a factores importantes del entorno físico, por ejemplo, funciones de un sistema implementadas sin tener en cuenta o de forma insuficiente los requisitos y consideraciones de seguridad. Relacionado con las redes Blockchain, recientemente los dos gigantes de la publicidad online que representan alrededor del 61% de la publicidad online global (Google y Facebook) decidieron prohibir que se anuncien instrumentos financieros (servicios y productos) del tipo opciones binarias y contenidos relacionados con criptomonedas-criptodivisas, ofertas iniciales de moneda (ICOs) en sus plataformas para evitar estafas y engaños.

Referencias

  • Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2017.
  • Areitio, J. “Anàlisis del paradigma Big Data desde la perspectiva de la ciberseguridad”. Revista Eurofach. Nº 428. Abril. 2014.
  • Areitio, J. “Anàlisis de riesgos y planteamientos de contramedidas en entornos de computación basados en WSN”. Revista Eurofach. Nº 427. Marzo. 2014.
  • Areitio, J. “Identificación anticipada y análisis de ciber-riesgos en las arquitecturas Blockchain”. Revista Eurofach. Nº 462. Enero. 2018.
  • Klimburg, A. “The Darkening Web: The War for Cyberspace”. Penguin Publishing Group. 2017.
  • Gupta, P.K., Tyagi, V. and Singh, S.K. “Predictive Computing and Information Security”. Springer. 2017.
  • Corletti, A. “Ciberseguridad: Una estrategia Informático/Militar”. DarFe Learning Consulting. 2017.
  • Dittmann, A., Heinrichs, B., Hellwig, S. and Seewald, M.G. “Internet of Things / Internet of Everything: A Practical Architecture Approach”. Cisco Press. 2016.
  • Brooks, C.J., Craig, P. and Short, D. 'Cybersecurity Essentials'. Sybex. 2017.
  • Whitman, M.E. and Mattord, H.J. 'Principles of Information Security'. Cengage Learning. 2017.
  • Goodrich, M. and Tamassia, R. 'Introduction to Computer Security'. 2017.
  • Brotherston, L. and Berlin, A. 'Defensive Security Handbooks: Best Practices for Securing Infrastructures'. O`Reilly Media. 2017.
  • Musa, S.M. 'Network Security and Cryptography'. Mercury Learning and Information. 2017.
  • Ellis, R. and Mohan, V. 'Rewired: The Past, Present and Future of Cybersecurity'. Wiley. 2017.
  • Chang, C-H and Potkonjak, M. 'Secure Systems Design and Trustable Computing'. Springer. 2015
  • Cheng, D. “Cyber Dragon: Inside Chinás Information Warfare and Cyber Operations”. Praeger. 2016.
  • Schober, S.N. “Hacked Again”. Scottschober.com. 2016.
  • Colbert, E.J.M. and Kott, A. “Cyber-Security of Scada and Other Industrial Control Systems”. Springer. 2016.

"Entre los ciberataques a nivel de usuarios en general más típicos basados en ingeniería social son: engaño o sumisión que obliga a pinchar links dañinos colocados en correos electrónicos maliciosos que descargan malware por ejemplo ransomware, las estafas vía SMS, la instalación de un malware al conectar un dispositivo USB desconocido (por ejemplo de regalo o encontrado en la calle), el escanear un código QR malicioso, o conectar a una red WiFi fraudulenta gratuita, la contestación de llamadas telefónicas que dan lugar a estafas, la clonación de Webs vía pharming envenenando tablas DNS los usuarios piensan que están en un portal-sitio Web seguro"

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos