Tecnología Info Tecnología

En ciberseguridad la autenticación es un elemento clave de protección

Confluencias, correlaciones y sinergias entre ciberataques y actuaciones eficientes de ciberseguridad ciber-resiliente/intensiva

Prof. Dr. Javier Areitio Bertolín – E.Mail: jareitio@deusto.es. Catedrático de la Facultad de Ingeniería. Universidad de Deusto. Director del Grupo de Investigación Redes y Sistemas03/09/2020
El mundo de los ciberataques es extremadamente cambiante y complejo y se observa actualmente un elevado incremento en su número y sofisticación.

Entre las actuaciones eficientes que pueden aplicarse está el estándar internacional de ciberseguridad NIST SP 800-53 que identifica las siguientes dieciocho familias de controles/contramedidas/salvaguardas de ciberseguridad: control de acceso (política y procedimientos de control de acceso), gestión de cuentas (eliminar cuentas huérfanas), aplicación de accesos, aplicación de flujo de información separación de responsabilidades, mínimo privilegio, intentos de abrir sesión/logon sin éxito, notificación de uso del sistema, notificación del acceso logon previo, controles de sesión concurrentes, bloqueo de sesión, terminación de sesión, acciones permitidas sin identificación o autenticación, atributos de seguridad, acceso remoto (prohibir telnet, http, snmpv1, ftp, etc.), formación y concienciación del personal, auditoría y responsabilidad/trazabilidad, aseguramiento de ciberseguridad y autorización, gestión de configuración, planificación de contingencias, identificación y autenticación (quien es Vd. entidad X y demuestre que Vd. entidad X es quién dice ser), respuesta frente a ciberincidentes, mantenimiento, protección de medios (dispositivos USB, etc.), protección física (cerraduras con tarjetas de proximidad, RFID/NFC, sensores-actuadores contra incendios, etc.) y del medio ambiente, planificación, seguridad del personal, valoración de riesgos, adquisición de sistemas y servicios, protección de sistemas y comunicaciones, integridad de sistemas e información y gestión de programas.

Imagen

El NIST (National Institute of Standards and Technology) SP 800-53 identifica entre los controles de privacidad mas relevantes:

(1) Autoridad y propósito. Autoridad para recoger información y especificación de propósitos.

(2) Gestión de riesgos, auditoria y trazabilidad. Programa de gobernanza y privacidad, impacto de la privacidad y valoración de riesgos, requerimientos de privacidad para contratistas y proveedores de servicios, monitorización y auditoria de la privacidad, concienciación y formación en privacidad, generación de informes de privacidad, trazabilidad-responsabilidad de revelaciones, diseño y desarrollo de sistemas de privacidad realzada.

(3) Calidad e integridad de datos. Calidad de datos, integridad de datos y equipo de integridad de datos.

(4) Minimización y retención de datos. Minimización de la PII (Personally Identificable Information), retención y disposición de datos, minimización de la PII utilizada en testing, formación e investigación.

(5) Participación y reparación individual. Consenso, acceso individual, reparar, gestión del cumplimiento.

(6) Seguridad. Inventario de la PII, respuesta a incidentes de privacidad.

(7) Transparencia. Anuncios de privacidad, sistema de registros de anuncios y declaraciones acta de privacidad.

(8) Limitaciones. Uso interno, compartición de información con terceras partes.

Por su parte, el estándar NIST SP 800 193 PFR (Platform Firmware Resilience) ayuda en el establecimiento de una RoT (Root-of-Trust) para proteger el hardware con capacidades criptográficas para datos, autenticación del firmware, autenticación del sistema, criptografía del código y configuración, protección de la memoria no volátil, la memoria de control de acceso, detección y prevención criptográfica del arranque y código malicioso, restauración del sistema al último firmware de confianza, etc.

Confluencias entre contramedidas y ciber-ataques en autenticación y captura de emanaciones de señales em. Requerimientos IEC 62443.

En ciberseguridad la autenticación es un elemento clave de protección. Se pueden identificar diferentes tipos de autenticación:

(a) Autenticación básica, simple o unidireccional, por ejemplo, probar que un cliente es quien dice ser frente a un servidor.

(b) Autenticación mutua o bidireccional entre las entidades que interactúan.

(c) Autenticación sin revelar la contraseña o secreto (entre una entidad probadora y una verificadora modo autenticación simple o entre ambas entidades probadora/verificadora modo autenticación mutua), por ejemplo, utilizando tecnología ZK como Omura, Fiat-Shamir, etc.

(d) Autenticación multi-factor. Se pueden identificar como principales factores: (i) Lo que uno sabe: utilizando PIN, contraseña, frase de paso, respuesta a una pregunta o problema, reconocer fotos, etc., (ii) Lo que uno lleva: tarjeta de coordenadas, tarjetas inteligentes de proximidad o de contacto galvánicas, token hardware, llaves físicas mecánicas, magnéticas, de agujeros perforados, etc., implantes-prótesis RFID/NFC con y sin chip, tarjetas de identidad con códigos de barras (lineales) y QR (BiDi matriciales), etc. (iii) Lo que uno es: utilizando biometría fisiológica como huella dactilar, del iris, retina, etc. y/o biometría de comportamiento cómo uno anda, como uno escribe o teclea, como habla, etc., (iv) El instante de tiempo fecha y hora, utilizando servidores de tiemplo NTP (ver listado de servidores NTP en URL http://www.pool.ntp.org/en/). (v) La geolocalización. El lugar geográfico donde se encuentra la entidad a autenticar con su geolocalización real utilizando localización por dirección IP, MAC, URL, etc., geolocalización en el exterior de edificios (outdoor) por drones, por satélite vía GPS-USA, Glonass-Rusia, QZSS-Japon, Galileo-UE, Beidou-China, SBAS, IRNSS, etc.; geolocalización en el interior de edificios (indoor) videovigilancia, sensores de captura de etiquetas RFID/NFC, dispositivos i-Beacon/Bluetooth, seguimiento térmico-radiactivo, por sonido, por Webcam/CCTV, etc.

Imagen

Algunas contramedidas preventivas contra los ciberataques basados en captura de emanaciones electromagnéticas son: (i) Separación física. Se trata de excluir a todo individuo/entidad no autorizada de las áreas cercanas a la fuente donde las emanaciones EM (electromagnéticas) son mayores en amplitud/potencia comparado con el ruido ambiental. En las áreas no tan cercanas colocaremos generadores de interferencias y jamming. (ii) Separación electromagnética. Utilización de apantallamientos (blindajes de cajas de Faraday, vidrio, por ejemplo, Datastop/Pilkington de Tempest Security Systems, Inc.; la gráfica de estos plásticos representa el porcentaje de reducción del campo eléctrico, tiene en el eje de abscisas la efectividad de apantallamiento en dB y en el eje de ordenadas la atenuación en tanto por ciento), filtros y otros métodos de aislamiento electromagnético (EM), RF (Radio Frecuencia) y EMI (Interferencias Electro-Magnéticas) para atenuar y confundir las emisiones no intencionadas. (iii) Minimizar el nivel de la señal. Diseñar y trabajar con circuitos a los niveles de potencia mas bajos posibles para minimizar la potencia de las emisiones no intencionadas. Normalmente el mundo OT es determinístico, los procesos son los activos y los parches tardan mucho tiempo, en cambio el mundo IT (utiliza sistemas como impresoras, PCs de Office, servidores SMTP, de datos, Web, APPs, redes TCP/IP, tablets, smartphones, PCs, etc.) es dinámico, los datos son los activos y los parches son cada poco tiempo.

En OT se identifican: (a) ICS (Industrial Control Systems) que integran conjuntos de sistemas que se utilizan para monitorizar y controlar procesos industriales. Algunos sistemas de control son los controladores industriales como PLCs, DCSs, SCADA, redes industriales, por ejemplo, de campo, equipamiento como sensores (temperatura, presión, etc.), sistemas embebidos, cámaras, escáners, robots, analizadores, servidores y PCs rugerizados, etc. (b) IACS (Industrial Automation and Control Systems) que integra un conjunto de procesos, personas, hardware, firmware y software que puede afectar o influenciar la ciberseguridad y el funcionamiento fiable de un proceso industrial. El estándar IEC-62443 identifica cuatro niveles de ciberseguridad: (a) SL-1. Protección contra violaciones casuales. (b) SL-2. Protección contra violaciones intencionadas utilizando medios simples. (c) SL-3. Protección contra violaciones intencionadas utilizando medios sofisticados (ciber-armas, aplicaciones de generación de malware a la carta con elección de vectores de infección, etc. (d) SL-4. Protección contra violaciones intencionadas utilizando medios sofisticados con recursos extendidos. Las contramedidas o requerimientos de ciberseguridad de IEC-62443 para la integridad de sistemas son: integridad de las comunicaciones (protección de integridad criptográfica con hash, firmas digitales, MAC), protección contra código malicioso (protección contra código malicioso/malware en puntos de entrada y salida con AV, gestión centralizada y generación de informes de protección contra código malicioso), verificación de la funcionalidad de ciberseguridad (mecanismos automatizados de verificación de la funcionalidad de ciberseguridad), integridad del software y de la información (notificación automatizada sobre violaciones de integridad), validación de las entradas, salida determinística, gestión de errores, integridad de las sesiones (invalidación de identificadores de sesión después de la terminación de la sesión, generación de identificación de sesión único, aleatoriedad de identificadores de sesión), protección de información de auditoría (registros de auditoría sobre medios de una escritura y hash/MAC).

Imagen

Correlaciones y sinergias entre ciberataques y controles-contramedidas y actuaciones eficientes en ciberseguridad

Existe un creciente número de ciber-ataques hoy en día. Exploramos algunos de los más relevantes y sus confluencias con las contramedidas:

Ciberataques creepware. Creepware es software-malware espía que permite el acceso remote a los dispositivos del computador personal (smartphone, tablet, smartTV, juguetes con WiFi, Webcam, micrófono y altavoz, etc.) de la víctima, concretamente le da control sobre la cámara Web y el micrófono, evitando los firewall y antivirus. Es capaz de actuar en las cámaras de seguridad que muchas personas utilizan para vigilar la casa, el jardín, su comercio, la habitación del bebé, un garaje, un enfermo, un portal, etc. Correlacionado con creepware se encuentra la expresión ‘mi TV-smartphone me escucha y me vigila'. Como contramedida retirar a las personas sus móviles antes de entrar en la sala de reuniones para abordar temas sensibles, importantes y confidenciales.

Ciberataques smurf. Utilizan paquetes del tipo ICMP eco-request (falsificando y poniendo como dirección origen la de la víctima) y los envía a la dirección de broadcast IP. Los paquetes ICMP eco-replay inundan a la víctima. Este tipo de ciber-ataque implica el uso de spoofing IP y el protocolo ICMP satura con tráfico una red destino de la víctima. Este método de ciber-ataque utiliza las peticiones de eco-request ICMP dirigidas a direcciones IP de difusión (o broadcast). Estas peticiones ICMP el ciber-atacante hace ver que se originan de la dirección de la ‘victima’ falsificada. Por ejemplo, si la dirección IP de la víctima es la 199.76.48.15, el ciber-atacante debería falsificar una petición de eco-request ICMP desde la dirección 199.76.48.15 a la dirección de broadcast 199.76.48.255. Esta petición debería ir a todas las direcciones IP del intervalo, con todas las respuestas volviendo a la dirección de la victima ‘falsificada’ 199.76.48.15, saturando la red. Este proceso es repetible y puede automatizarse para generar enormes cantidades de paquetes IP que congestionen la red de la víctima. Para protegerse los dispositivos de este ciber-ataque se necesitan inhabilitar las difusiones (o broadcast) dirigidas a direcciones IP en los routers. Esto es una medida preventiva para las peticiones de broadcast de eco-request ICMP en los dispositivos de red. Otra opción sería configurar los sistemas finales para no responder a paquetes ICMP procedentes de direcciones de broadcast/difusión.

Ciberataques pharming (envenenamiento de las tablas de correspondencias entre direcciones IP/L3 y URLs/L5). No requiere ingeniería social es un ciberataque de tipo técnico basado por ejemplo en malware.

Imagen

Ciberataques basados en envenenar las tablas ARP. Se trata de modificar las correspondencias entre direcciones MAC-L2 y direcciones de red IP-L3.

Ciberataques de phishing. El phishing son correos electrónicos que aparentan venir de fuentes de confianza con el objetivo de obtener información personal/sensible/confidencial influenciando a los usuarios a hacer algo. Combina ingeniería social y trucos técnicos (coloca logotipos que inducen al engaño, falsificar el fondo de páginas Web para que se vean como otros sitios Web de confianza; como posibles contramedidas implantar autenticación mutua multi-factor). Puede incluir ficheros adjuntos al correo que si se ejecutan cargan malware en el computador/tablet/smarphone de la víctima. También pueden incluir en el correo links maliciosos a sitios Web infectados que pueden descargar malware o convencer que introduzca información personal (contraseñas, números de cuenta, etc.). Una campaña de phishing dirigida específicamente a una empresa permite engañar para que los empleados hagan clic en un link malicioso. Se pueden mitigar bloqueando al remitente o tirando a bajo los dominios que generan phishing, pero es posible que continúen otros correos similares desde otras direcciones y nuevos dominios creados ex-profeso (por cada dominio que se da de baja aparecen N nuevos) con algoritmos como DGA.

Ciberataques spear-phishing. Es un tipo de phishing altamente dirigido. Los ciber-atacantes se toman el tiempo en investigar las víctimas/objetivos (por ejemplo, explorando en Redes Sociales, etc.) y crear mensajes que sean personales y relevantes.

Imagen

Debido a esto, el spear-phishing puede ser muy difícil de identificar e incluso mas difícil de defenderse contra ello. Una de las formas mas sencillas que un ciber-atacante puede realizar un spear-phishing es falsificando (spoofing) el correo electrónico que es cuando se falsifica la información de la sección “from”, haciendo creer que viene de una fuente conocida como tu jefe o compañero de la organización. Otra técnica que utilizan los ciber-atacantes (o scammers) para añadir credibilidad a su historia es clonar el sito Web copiando el fondo de los sitios Web legítimos para convencer a la víctima que introduzca su PII (Personally Identificable Information) o las credenciales del logon (usename/login y password). Como contramedidas para reducir el riesgo de ser ciberatacado con phishing/spear-phishing se pueden utilizar las siguientes técnicas: (a) Pensar de forma crítica. No aceptar que un correo electrónico es real debido a que estas ocupado o estresado o tienes otros 400 mensajes no leídos en tu cola inbox. Detenerse reflexionar un minuto y analizar dicho correo electrónico. (b) Colocarse sobre los links. Mover el ratón sobre el link, pero no hacer clic en él. Colocar el cursor del ratón sobre el link y ver donde de hecho debería ir. Aplicar un razonamiento crítico para descifrar la URL. (c) Analizar la cabecera del correo electrónico. Las cabeceras de correo electrónico definen cómo un correo obtiene tu dirección. Los parámetros ‘Replay-to’ y ‘Return-Path’ deberían conducir al mismo dominio como se especifica en el correo electrónico. (d) Sanboxing. Se puede comprobar el contenido del correo electrónico en un entorno sandbox (de confinamiento, aislamiento y compartimentado), logeando la actividad de abrir el fichero adjunto o hacer clic en los links que exista dentro del correo electrónico.

Ciberataques whale-phishing o whaling o CEO-fraud. Son ciberataques dirigidos a ‘peces gordos, de alto nivel’ de una organización. Un ciberataque whale-phishing es un tipo de phishing que se centra en empleados de alto perfil como CEOs (Chief Executive Officer o director ejecutivo), CFOs (Chief Financial Officer o director financiero), etc. El objetivo es robar información vital ya que ocupan posiciones de mayor nivel en la compañía y tienen acceso ilimitado a la información sensible. La mayor parte de estos ciber-ataques manipulan (engañan, amenazan, asustan, juegan con los sentimientos, etc.) a la víctima para que transfiera al ciberatacante información de elevado valor.

Ciberataques basados en unidades removibles USB infectadas con malware oculto para entornos OT/IIoT/IT. Un ejemplo es la APT stuxnet que atacó los PLCs de control industrial de las centrifugadoras de refinamiento de uranio. Una posible contramedida es utilizar una estación de escaner ICSP (Industrial Control System Protection) donde se ecanean y limpian los dispositivos USB (como, por ejemplo, memory sticks, T-Flash cards, xD-Picture card, CompactFlash cards, Mini SD cards, CD-ROM, SD cards, Micro SD cards, USB DVD drive, SDHC cards, MMC-MutiMediaCard, etc.). Sólo los dispositivos USB validados por la ICSP se permitirán conectar a los sistemas IIoT/OT/IT o de la organización en general, que dotados de un driver decidirán si se permitirán conectar lógicamente a los diferentes sistemas OT/IIoT/IT.

Ciberataques MITM (Man-In-The-Middle). El ciberatacante monitoriza los paquetes de red, los modifica y los inserta de vuelta en la red. Este tipo de ciber-ataques sucede cuando un ciber-atacante se inserta entre la comunicación de un cliente y un servidor o entre dos entidades-dispositivos peers P2P.

Ciberataques hijacking (de secuestro de sesión). En este tipo de ciber-ataques MITM un atacante secuestra una sesión ente un cliente y un servidor de red de confianza. El computador atacante sustituye su dirección IP por la del cliente de confianza mientras el servidor continúa la sesión, haciéndole creer que se comunica con el cliente legítimo. Esquemáticamente el ciber-ataque consta de las siguientes fases: (i) Un cliente se conecta a un servidor. (ii) El computador del atacante obtiene el control del cliente. (iii) El computador del atacante desconecta al cliente del servidor (por ejemplo, envenenando las tablas ARP). (iv) El computador del atacante sustituye la dirección IP del cliente con su propia dirección IP y falsifica los números de secuencia del cliente. (v) El computador del atacante continúa dialogando con el servidor y el servidor cree que aún esta comunicándose con el cliente legítimo.

Ciberataques tipo salami. Consisten en juntar muchos ciberataques pequeños para crean uno mucho más grande.

Ciberataques DoS (Denial of Service). El ciberatacante envía un gran número de conexiones o peticiones de información a un destino (red, servidor, aplicación, etc.). El sistema destino no puede manipular con éxito junto con otras peticiones de servicio legítimas; puede dar lugar a que el sistema/computador/servicio casque/se trastorne o a la incapacidad para realizar las funciones ordinarias. El ciber-ataque DoS inunda los recursos del sistema de modo que no puede responder a las peticiones de servicio. A diferencia de los ciber-ataques que están diseñados para permitir que el ciber-atacante obtenga o aumente el nivel de acceso, los ciberataques del tipo DoS no proporcionan beneficios directos a los ciber-atacantes. Para algunos, es suficiente el resultado de la denegación del servicio. Sin embargo, si los recursos atacados pertenecen al competidor de negocios entonces el beneficio para el ciberatacante puede ser bastante obvio. Otro propósito de un ciber-ataque DoS puede ser hacer offline un sistema, para que pueda ser lanzado una clase diferente de ciber-ataque. Por ejemplo, el secuestro de sesión. Otros tipos de ciberataques DoS se basan en el uso de inhibidores de RF o generadores de interferencias/jamming para impedir las comunicaciones radioeléctricas o no poder abrir con el mando a distancia su vehículo o no tener acceso WiFi/WiMax, telefonía celular (2G, 2,5G, 3G, 3,5G, 4G, 4,5G, 5G) o a nuestro móvil o impedir la geolocalización y orientación de personas, vehículos terrestres, aéreos, marítimos, etc. tanto outdoor por satélite (GPS, Glonass, BeiDou, Galileo, etc.) como indoor (iBeacon, Bluetooth, etc.).

Ciberataques DDoS (Distributed Denial of Service). Es una corriente coordinada de peticiones lanzadas contra el destino desde muchas localizaciones de forma simultánea. Cuando una red/servidor/aplicación se inunda con el elevado número de peticiones para los que no se encuentra diseñada manipular, hace que el servidor se haga no disponible para las peticiones legítimas. En los ciber-ataques DDoS las peticiones pueden venir de diferentes fuentes no relacionadas (entidades infectadas o zombies). Puede ser mitigado analizando y filtrando el tráfico en centros de borrado. Los centros de borrado son estaciones de limpieza de datos centralizados donde el tráfico a un sitio Web se analiza y se elimina el tráfico malicioso. Un ciber-ataque DDoS es también un ataque sobre los recursos del sistema de la víctima, pero se lanza desde un gran número de otras máquinas de computación o zombies que se han infectado previamente por software malicioso controlado por el atacante.

Imagen

Ciberataques basados en SQL injection (SQL-i). Se ha convertido en uno de los problemas comunes en sitios Web que trabajan con bases de datos. Ocurre cuando un ciber-atacante ejecuta una interrogación SQL a la base de datos utilizando datos de entrada desde el cliente al servidor. Los comandos SQL se insertan en el plano de datos (por ejemplo, en vez del login o contraseña) para ejecutar comandos SQL predeterminados. Un exploit de inyección SQL con éxito puede leer datos sensibles de la base de datos, modificar (insertar, actualizar o borrar) los datos de la base de datos, ejecutar operaciones de administración (como shutdown) en la base de datos, recuperar el contenido de un fichero dado y en algunos casos emitir comandos al sistema operativo. Por ejemplo, un formulario Web puede pedir un nombre de cuenta de usuario y luego enviarlo a la base de datos para sacar la información de cuenta asociada utilizando SQL dinámico como el siguiente: “SELECT*FROM users WHERE account=´´´+userProvidedAccountNumber+´´´;” Mientras que esto opera para usuarios que están propiamente introduciendo su número de cuenta, deja un agujero a los ciber-atacantes. Por ejemplo, si alguien decide proporcionar un número de cuenta de ´´´or ´1´=´1´´´daría lugar a un string de query de: “SELECT*FROM users WHERE account =”or´1´=´1´ Debido a que ´1´=´1'siempre evalúa TRUE la base de datos devolverá los datos de todos los usuarios en vez de un único usuario. La vulnerabilidad para este tipo de ciber-ataque depende del hecho de que SQL no hace distinción real entre los planos de control y de datos. Por tanto, SQL-injection opera si un sitio Web utiliza SQL dinámica. Además, SQL-injection es muy común con aplicaciones PHP y ASP debido a la prevalencia de los interfaces funcionales más antiguos. Las aplicaciones J2EE y ASP.NET son menos probables que tengan SQL-injections explotables debido a la naturaleza de los interfaces programáticos disponibles. Para protegerse de los ciberataques SQL-injection se debe de aplicar el modelo de permisos least0privilege en la base de datos. Nos debemos atener a procedimientos almacenados (asegurarse que estos procedimientos no incluyen ningún SQL dinámico) y preparar sentencias (queries parametrizadas). El código que se ejecuta contra la base de datos debe ser lo suficiente robusto para prevenir ciberataques de inyección. Así mismo se debe validar los datos de entrada contra una lista blanca en el nivel de aplicación.

Ciberataques ping of death. Utilizan paquetes IP para hacer ping a un sistema destino con un tamaño IP por encima del máximo valor de 65535 bytes. Los paquetes IP de este tamaño no se permiten, de modo que el ciberatacante fragmenta el paquete IP. Una vez el sistema destino re-ensambla el paquete, puede experimentar buffer-overflows y casca. Este tipo de ciber-ataques puede bloquearse utilizando un firewall que verificará IP fragmentados para detectar máximo tamaño.

Ciberataques basados en exploits 0-day. Son exploits no conocidos. En la APT Stuxnet existen varios exploits 0-day.

Imagen

Ciberataques basados en DNS tuneling. Se basan en tunelizar al protocolo L5 DNS.

Ciberataques drive-by-download o simplemente drive-by. Este tipo de ciberataques ‘drive-by’ son un método común de dispersar malware. Los ciber-atacantes buscan sitios Web no seguros y colocan scripts maliciosos en código HTTP o PHP en sus páginas. Estos scripts tratan de instalar malware directamente en el computador/smartphone/tablet de quien lo visita o puede re-direccionar a la víctima a un sitio controlado por los ciber-atacantes. Este tipo de ciber-ataque puede suceder cuando se visita un sitio Web o se visualiza un mensaje de correo electrónico o una pantalla emergente (o pop-up; diga si-no o haga clic en el aspa X para cerrarlo). A diferencia de muchos otros tipos de ciber-ataques un ciber-ataque 'drive-by' no requiere que un usuario haga algo para permitir activamente el ciber-ataque (no se necesita hacer clic en un botón de descarga o abrir un fichero malicioso adjunto de un correo electrónico, ni siquiera pinchar en un link malicioso para infectarse). Un ciber-ataque ‘drive-by download’ puede aprovecharse de una aplicación o APP, sistema operativo o navegador Web que contenga 'flaws de ciberseguridad' (vulnerabilidades de bajo nivel por ejemplo de diseño) debido a no haber realizado actualizaciones con éxito o a la carencia de actualizaciones/parches. Para protegerse de este tipo de ciber-ataques se necesita mantener los navegadores Web y sistemas operativos actualizados y evitar sitios Web que puedan contener código malicioso, esto nos lo informan algunos antivirus. Nos debemos atener a los sitios Web que normalmente se utilizan, aunque teniendo en cuenta que estos sitios pueden haber sido atacados-infectados. Otra recomendación importante es no tener demasiados programas y APPs innecesarias en nuestros dispositivos (PC, tablet, smartphone, servidor, etc.). A más ‘plug-ins’ que tengamos mas vulnerabilidades existirán que pueden ser explotadas por los ciber-ataques ‘drive-by-download’.

Imagen

Consideraciones finales

Es muy importante actualmente identificar y analizar las confluencias, sinergias y correlaciones existentes entre los ciber-ataques y actuaciones, operaciones y acciones avanzadas generadas por la ciberseguridad ciberresiliente (con capacidades para hacer frente a adversidades y fortalecerse de ellas, con tolerancia a eventos no esperados como fallos, ciberataques desconocidos, resistente y capaz de sobrevivir a situaciones desconocidas con novedosas auto-mutaciones, nuevas formas de ocultación esteganográfica, subliminar y antiforense, con múltiples capas de carga sofisticada de elementos maliciosos, etc.) e intensiva (que lidera un conjunto en expansión de contramedidas técnicas, organizativas, medidas de gobernanza, acciones, operaciones, actuaciones de mitigación, detección anticipada, control de acceso, IAM, AV, IPS/IDS, DLP, NGFW, disuasión, prevención, curativas, de recuperación, de defensa activa y pasiva, salvaguardas reales y virtualizadas, de engaño-desinformación, basadas en aislamiento, confinamiento severo, DMZ, sandboxing, zonas de cuarentena multicapa extremas, zonas de cibertriage, zonas de contención multicapa, etc.). Los ciberataques explotan vulnerabilidades como, por ejemplo, TOCTTOU (Time of Check To Time of Use) que es un tipo de ‘race condition’ en sistemas de ficheros estilo Unix. En relación a la privacidad el inscribirse en las Listas Robinson evita que nos llamen a nuestro móvil ofreciendo servicios como por ejemplo de telecomunicaciones. En la batalla ciber-ataques contra contramedidas es fundamental la ‘defensa en profundidad’ que consta de diversos componentes: (i) Crear un plan de ciberseguridad que periódicamente se realice y pruebe en la práctica. (ii) Separar las redes. (iii) Protección del perímetro (físico, lógico, explícito e implícito). (iv) Segmentar las redes a diferentes niveles VLAN-L2, subredes-L3, DMZ, zonas de ciber-triage, etc.). (v) Fortificar y rugerizar los dispositivos con protección criptográfica, del hardware con PUF, del software con antimalware, etc. (vi) Monitorizar y actualizar todo realizar pen-test, auditorías estáticas y dinámicas, etc.

Referencias

  • Areitio, J. ‘Seguridad de la Información: Redes, Informática y Sistemas de Información’. Cengage Learning-Paraninfo. 2019.
  • Areitio, J. ‘Exploración horizontal y vertical de la ciberseguridad y privacidad: entorno y núcleo’. Revista Eurofach Electrónica. Nº 463. Pp. 54-62. Abril 2018.
  • Areitio, J. ‘Análisis del paradigma Big Data desde la perspectiva de la ciberseguridad’. Revista Eurofach Electrónica. Nº 428. Abril 2014.
  • Areitio, J. “Protección contra ciber-ataques en la IoE basada en la tipificación de vulnerabilidades”. Revista Eurofach Electrónica. Nº 454. Noviembre 2016.
  • Areitio, J. ‘La criptografía cuántica una tecnología en auge para la protección de las comunicaciones’. Revista Eurofach Electrónica. Nº 372. Septiembre 2008.
  • Brotherston, L. and Berlin, A. 'Defensive Security Handbooks: Best Practices for Securing Infrastructures'. O`Reilly Media. 2017.
  • Madsen, T. ‘The Art of War for Computer Security’. Springer. 2019.
  • Ellis, R. and Mohan, V. 'Rewired: The Past, Present and Future of Cybersecurity'. Joh Wiley & Sons Inc. 2019.
  • Chang, C-H and Potkonjak, M. 'Secure Systems Design and Trustable Computing'. Springer. 2015.
  • Colbert, E.J.M. and Kott, A. ‘Cyber-Security of Scada and Other Industrial Control Systems’. Springer. 2016.
  • Brooks, C.J., Craig, P. and Short, D. 'Cybersecurity Essentials'. Sybex. 2017.
  • Siegel, C. and Mark Sweeney, M. ‘Cyber Strategy: Risk-Driven Security and Resiliency’. Auerbach Publications. 2020.
  • Petrenko, S. ‘Cyber Resilience’. River Publishers. 2019. Series in Security and Digital Forensics.
  • Guo, S. and Zeng, D. ‘Cyber-Physical Systems: Architecture, Security and Application’. Springer. 2019.
  • Goyal, D., Balamurigan, A., Pemg, S.L. and Verma, O.P. ‘Design and Analysis of Security Protocol for Communication’. Wiley-Scrivener. 2020.
  • Westcott, S. and Westcott, J.R. ‘Cybersecurity: An Introduction’. Mercury Learning & Information. 2019.
  • Andress, J. and Winterfeld, S. ‘Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners’. Syngress. 2013.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos