Búsqueda y hallazgo de confluencias esenciales entre actividades hostiles y contramedidas en ciberseguridad
Prof. Dr. Javier Areitio Bertolín, director del Grupo de Investigación Redes y Sistemas, Universidad de Deusto
20/11/2020A veces la mejor solución de defensa puede ser un “contra-ataque” (basado en realizar procesos de contención-confinamiento reforzado, curación y recuperación y no del tipo hack-back que están penalizados ya que una víctima ha podido ser infectada indicando falsamente como el foco del ciber-ataque).
El mantenimiento predictivo también facilita el encuentro de nuevas alternativas frente al ciber-riesgo de entidades y códigos maliciosos. La ciberseguridad correlacionada con la ciber-resiliencia (o capacidad de resistencia a las infecciones malware/ciber-amenazas y que aporta recursos para hacer frente a situaciones y problemas no preestablecidos), cada día debe enfrentarse a nuevos retos y paradigmas maliciosos (APTs, ARTs, AITs, ciberarmas, etc.). El aislamiento generalizado y los planes de contingencia multinivel son salvaguardas importantes frente a ciber-ataques masivos, atípicos y no convencionales. La ciberseguridad no puede eliminar todo el riesgo, es un viaje no un destino, se debe hacer lo máximo posible gastando lo menos posible. La ciberseguridad ha pasado de ser un costo (para hacer negocios o una exposición a sanciones legales (cumplimientos)) a ser una ventaja competitiva (vender confianza). El número de vulnerabilidades es infinito, el número de vulnerabilidades que son conocidas va en aumento.
Después de resolver un problema de ciberseguridad clave, aún se tendrá un problema de ciberseguridad clave. No puede haber sostenibilidad sin ciberseguridad. La ciberseguridad es cuestión de personas, política, procesos, productos y herramientas tecnológicas a partes iguales. La afirmación de una ciberseguridad buena debe remplazarse por la de una ciberseguridad suficientemente buena. Según el ISO/IEC 27002 el control de gestión de ciber-incidentes se descompone en dos áreas: (i) Dos procesos de notificación de los eventos de ciberseguridad y notificación de los puntos débiles de ciberseguridad. (ii) La gestión de ciber-incidentes y mejoras de ciberseguridad donde se identifican tres procesos: responsabilidades y procedimientos, aprendizaje de los ciber-incidentes de ciberseguridad y recopilación de las ciber-evidencias. Hay frases que a menudo se utilizan equivocadamente y que confunden y no hacen un uso correcto de la terminología, una de ellas es la “pesadilla de la ciberseguridad”, no es correcta ya que la verdadera pesadilla son las ciber-amenazas, los ciber-ataques, las ciber-intrusiones, las ciber-penetraciones, las ciber-armas, etc.
Elementos del entorno-dominio de interacción ciber-ataques-contramedidas
Un activo es todo aquello que puede ser ciber-atacado: datos, equipos, personas, servicios, APPs, infraestructuras, sistemas operativos/hipervisores en entornos virtualizados, medio ambiente, seres vivos en general, etc. Así mismo es todo lo que puede ser afectado como daños/efectos colaterales de un ciber-ataque, por ejemplo, personas/medio ambiente en un ciber-ataque a un sistema ciber-físico o CPS, a una infraestructura crítica como una central nuclear, servicio de electricidad, transportes, telecomunicaciones, sanidad, financiero, etc. Un activo es un recurso a proteger, por ejemplo: (i) Activos físicos son dispositivos, computadores, personas, seres vivos, edificios, infraestructuras, etc. (ii) Activos lógicos son información, datos en transmisión o almacenamiento o procesamiento, propiedad intelectual. (iii) Activos del sistema como cualquier software (sistemas operativos, hipervisores, APPs, etc.) firmware, hardware, datos, comunicaciones o recursos humanos dentro de un sistema IT/OT. Los activos tienen valor, por tanto, deben protegerse. Un evento de ciber-amenaza es un suceso, acontecimiento, hito o situación que tiene el potencial de causar consecuencias o impacto no deseado.
Un escenario de ciber-amenaza (también denominado campaña de ciber-amenaza) es un conjunto de eventos asociados con una fuente de ciber-amenaza específica o múltiples fuentes de ciber-amenazas ordenadas en el tiempo. Una ciber-amenaza es un objeto, persona, u otra entidad que representa un peligro constante para uno o varios activos. Las ciber-amenazas también pueden verse como eventos que pueden causar daño a la confidencialidad, integridad, disponibilidad, trazabilidad, no repudio, autorización, autenticación, frescura, etc. de la información, sistemas y recursos IT/OT utilizando revelación no autorizada, mal uso, alteración o destrucción de la información/datos, recursos o sistemas IT/OT. Las ciber-amenazas también son circunstancias o eventos con el potencial de impacto negativo a las operaciones de la organización (misión, funciones, servicios, imagen o reputación), activos de la organización, individuos otras organizaciones o la nación a través de un sistema IT/OT utilizando acceso no autorizado, destrucción, revelación o modificación de información y/o denegación de servicios. Por tanto, una ciber-amenaza es una categoría de entidad o circunstancia que posee el potencial para dañar un activo (utilizando acceso no autorizado, destrucción, secuestro, daño contra la reputación, revelación, modificación o denegación de servicios, por ejemplo, una ciber-arma, un malware, etc.).
Las ciber-amenazas pueden caracterizarse por el tipo de intento en: accidentales (un error, descuido, torpeza, ignorancia, etc.) y en intencionadas (fraude, inteligencia hostil, robo/hurto, secuestro, etc.). Así mismo, las ciber-amenazas pueden clasificarse por el tipo de entidad implicada en: (i) Humanas. Es el caso de los atacantes, dementes, criminales, ladrones, hacktivistas, etc. (ii) Procesamiento. Es el caso de los sniffers, inteligencia artificial, códigos maliciosos, ciber-armas, keyloggers, etc. (iii) Naturaleza. Es el caso de terremotos, inundaciones, incendios, etc. Este tipo de ciber-amenazas las puede provocar-emular el ser humano con explosiones submarinas (maremotos), incendios provocados, se pueden hacer provocar que las nubes precipiten (bien con yoduro de plata o utilizando ondas electromagnéticas), explosiones en fallas geológicas para producir terremotos, etc. Las ciber-amenazas pueden catalogarse por el impacto, el tipo del activo y las consecuencias. Las ciber-amenazas son procesos que potencialmente tienen una influencia perturbadora sobre la fiabilidad de los sistemas IT/OT. Ejemplos de ciber-amenazas son las influencias externas (acciones de la naturaleza con o sin intervención del ser humano), malfuncionamientos en la infraestructura básica, malfuncionamiento en el hardware, firmware, software o ficheros de datos, errores no intencionados, uso indebido y actividades delictivas y maliciosas. La confidencialidad vista como un activo presenta el aspecto exclusividad y como ciber-amenazas la revelación de contenidos e inferencia de información (volumen datos, instante de tiempo de las transmisiones, origen y destino implicados, etc.) y uso indebido. La integridad vista como un activo presenta para el aspecto corrección la ciber-amenaza cambios, para el aspecto completo las ciber-amenazas borrado/adición, para el aspecto validez las ciber-amenazas repudio/fuera de fecha, para el aspecto autenticidad la ciber-amenaza falsificación. La disponibilidad vista como un activo presenta para el aspecto a tiempo la ciber-amenaza retardos, duración exagerada, para el aspecto continuidad la ciber-amenaza denegación de servicios (DoS/DDoS). Los agentes o actores de ciber-amenaza dañan o roban recursos o información de la organización; así mismo son entidades, individuos, grupos, organizaciones o estados (con su bandera o falsa bandera) que buscan explotar la dependencia de la organización en relación a los ciber-recursos (información en forma electrónica, comunicaciones, tecnologías IT/OT y capacidades de manipulación de información proporcionadas por dichas tecnologías).
Un agente/actor de ciber-amenazas es una instancia de una ciber-amenaza (un atacante concreto, una tormenta específica, etc. Los humanos y organismos artificiales también pueden generar ciber-amenazas como las producidas por las fuerzas de la naturaleza. Un ciber-ataque es un intento de obtener acceso, causar daño o comprometer información, recursos y/o sistemas que lo soportan. Un ciber-ataque pasivo es un ciber-ataque en el que el atacante observa-monitoriza contenidos y la interacción con el sistema. Un ciber-ataque activo es un ciber-ataque en el que el atacante directamente interactúa con el sistema. Un ciber-ataque no intencionado es un ciber-ataque en donde no existe un objetivo deliberado de uso indebido. Los ciber-ataques tienen un sujeto y un objeto: (i) El sujeto del ciber-ataque es la entidad activa, normalmente un agente/actor de ciber-amenaza que interactúa con el sistema. (ii) El objeto del ciber-ataque es el activo del sistema de información IT/OT objetivo o víctima. Los ciber-ataques también pueden verse como actos o acciones que conectan ciber-amenazas con vulnerabilidades, de modo que se explotan vulnerabilidades (es decir, debilidades identificadas) en un sistema o sistemas IT/OT controlados. Un ciber-ataque es una clase de actividad maliciosa (donde existe un esfuerzo deliberado) que intenta recoger, robar, alterar, trastornar, denegar, degradar, secuestrar, destruir, etc. entidades/recursos/datos-información de sistemas de información o sistemas de control industrial (IT/OT).
Una superficie de ciber-ataque es un área accesible donde debilidades, fallos o deficiencias en sistemas de información/sistemas industriales (incluyendo componentes hardware, software, firmware, etc.) proporcionan oportunidades para que los atacantes exploten vulnerabilidades; el atacante puede alcanzar y explotar vulnerabilidades, aspectos de sistemas, misiones, organizaciones (entornos de mantenimiento, aspectos operacionales, aspectos de desarrollo, etc.). Una superficie de ciber-ataque de una entidad/organización es el conjunto de caminos a través de los que el ciber-atacante puede entrar en el sistema y causar daños potenciales. Por ejemplo, la superficie de ciber-ataque de un entorno software es el código dentro de un sistema de computación que puede ser ejecutado por usuarios no autorizados. Esto incluye: interfaces, protocolos, servicios, campos de entrada, etc. Un vector de ciber-ataque es un segmento de un camino entero que un ciber-ataque utiliza para acceder a una vulnerabilidad (0-day o N-day). Cada vector de ciber-ataque consta de una fuente de contenido malicioso, un procesador potencialmente vulnerable de ese contenido malicioso y la propia naturaleza del contenido malicioso. Las TTPs (Tactics, Techniques and Procedures) están relacionadas con el comportamiento de un actor/agente (malicioso o de una contramedida). Una táctica es una descripción del mas alto nivel de este comportamiento, mientras que una técnica da una descripción mas detallada del comportamiento en el contexto de una táctica, los procedimientos son un nivel mas bajo, son descripciones muy detalladas en el contexto de una técnica. Además, para comportamientos de hecho utilizados durante los ciber-ataques concretos, las tácticas, técnicas y procedimientos se pueden referir a los métodos conocidos disponibles dentro de las capacidades de un actor/agente.
Una cadena de suministro es un sistema de organizaciones, personas, actividades, información y recursos posiblemente de ámbito internacional que proporcionan productos o servicios a los consumidores. Los ciber-ataques a la cadena de suministro son ciber-ataques que permiten al ciber-atacante utilizar implantes u otras vulnerabilidades insertadas antes de la instalación para infiltrar datos o manipular hardware, software, firmware, sistemas operativos, periféricos (productos IT/OT) o servicios en cualquier punto durante el ciclo de vida. Los ciber-ataques insertados o realizados después de la instalación por medios de acceso concedido a un suministrador para propósitos de diagnóstico o mantenimiento también pueden considerarse ciber-ataques a la cadena de suministro.
Una vulnerabilidad es un error, una deficiencia, una debilidad, un exceso de confianza, una mala (implementación, diseño, configuración, codificación), un fallo, un azar, etc. en un sistema o entidad que expone la información y/o recursos a ciber-ataques, por ejemplo: (i) Un bug en un programa de computador es una vulnerabilidad muy común en ciberseguridad (por ejemplo, la situación de buffer-overflow). Los bugs son errores que existen en el nivel de implementación, sólo existen en el código fuente y se pueden corregir sin demasiada dificultad. Un flaw en un programa es una vulnerabilidad de más bajo nivel que el bug, por ejemplo, a nivel de diseño. Los flaws son errores a un nivel mucho más profundo, especialmente en el diseño y posiblemente en el nivel de código; pueden corregirse muy difícilmente y a mayor costo que los bugs. (ii) Un fallo procedural puede subvertir los controles de la tecnología, por ejemplo, un volcado del núcleo de información segura bajo fallo. (iii) Una carencia de controles puede dar lugar a vulnerabilidades si los controles son subvertidos, es el caso de las finanzas de Enron. Una vulnerabilidad puede ser una debilidad en la lógica de computación (por ejemplo, en el código) encontrada en el software y algunos componentes hardware (por ejemplo, en el firmware) que cuando se explota da lugar a un impacto negativo en la confidencialidad, integridad, disponibilidad, autorización, autenticación, trazabilidad, no repudio, etc.
Algunos ejemplos de vulnerabilidades (que dan lugar a ciber-ataques) son: smurf (denegación de servicios por inundación de una red utilizando ICMP), contraseña por defecto (ejecución de un comando remoto u otro acceso), phf (ejecución de un comando remoto como usuario “nobody”), problemas de denegación de servicios que permiten a un atacante causar un “Blue Screen of Death”, rpc.ttdbserverd (ejecución de comando remoto como root), fichero de contraseñas world-writeable (modificación de datos críticos del sistema). CVE (Common Vulnerabiliies and Exposures) creada en 1999 por MITRE (https://cve.mitre.org/) es un diccionario, no una base de datos, de nombres comunes denominados identificadores CVE para conocer públicamente las vulnerabilidades de ciberseguridad; la sintaxis de un identificador CVE es: “prefijo CVE-año-dígitos arbitrarios”, no proporciona prueba de concepto (proof-of-concept o PoC). Un ejemplo: CVE-2019-8754. El CVE se ocupa de la instancia específica dentro de un producto o sistema no del flaw subyacente (por ejemplo, el CVE-2015-2213 es una vulnerabilidad de inyección SQL en WordPress). El CWE (Common Weakness Enumeration) mantenido por MITRE es una lista formal de tipos de debilidades software creado para servir como un lenguaje común para describir debilidades de ciberseguridad software en arquitectura, diseño o código, así mismo para proporcionar un estándar de base común para identificar/mitigar debilidades y aporta esfuerzos de prevención, así mismo sirve como barra de medir estándar para herramientas de ciberseguridad software dirigidas a dichas debilidades. El CWE se ocupa de la vulnerabilidad, no de la instancia dentro de un producto o sistema. Por ejemplo, CWE-89 es una “inadecuada sanitización de elementos especiales utilizados en un comando SQL”, se trata de la debilidad o flaw en el código de WordPress que causó el CVE-2015-2213. Algunos tipos comunes de debilidades software son: errores de interfaz de usuario, randomización y predictibilidad, errores de autenticación, insuficiente verificación de los datos, buffers-overflows, format-strings, errores de gestión de recursos, evaluación e inyección de código, problemas de estructura y validez, errores de canal y path, errores de equivalencia y pathname transversal, errores del handler, manipulaciones de elementos especiales comunes, fallos por confianza, etc.
La NVD (National Vulnerability Database) es una base de datos que contiene referencias a asesores, soluciones y herramientas. Utiliza CVE y esta mantenida por el NIST (National Institute of Standards and Technology; https://nvd.nist.gov/vul/detail/CVE-2020-xxxx). La OSVDB (Open Sourced Vulnerability Database; http://osvdb.org/) proporciona información técnica precisa, detallada, actualizada e imparcial sobre vulnerabilidades de ciberseguridad. La Exploit-db (Exploit Database; https://www.exploit-db.com/) es un repositorio para exploits y pruebas de concepto en vez de asesores-consultores. Mantenida por Offensive Security. Integra archivos de exploits y vulnerabilidades software que cumplen CVE. Algunas áreas de vulnerabilidades son: (i) Vulnerabilidades relacionadas con la virtualización/hipervisores. (ii) Vulnerabilidades relacionadas con el malware USB y la pérdida de datos. Es necesario gestionar adecuadamente la protección de dispositivos USB debido al creciente riesgo de gusanos USB como SillyFDC USB, Stuxnet/APT, etc. (iii) Vulnerabilidades relacionadas con la externalización. Un estudio del Instituto Ponemos demostró que el 50% de los profesionales de IT se muestran temerosos de un riesgo crítico inminente debido a la externalización. Las organizaciones con buena ciberseguridad pueden sufrir de exposición de su ciberseguridad debida a socios de negocio descuidados. (iv) Vulnerabilidades relacionadas con la inseguridad de las bases de datos. (v) Vulnerabilidades relacionadas con el incremento de la movilidad. (vi) Vulnerabilidades relacionadas con las RIA (Rich Internet Application). Es posible el clickjacking utilizando Adobe Flash, Silverlight, aplicaciones Web enabled Rich Media, etc. (vii) Vulnerabilidades relacionadas con inyecciones SQL masivas. Los atacantes se aprovechan de aplicaciones y sitios Web no seguros. Se apoyarán en recursos botnet y herramientas automatizadas para realizar ataques SQL masivos como Asprox. (viii) Vulnerabilidades relacionadas con el secuestro de reputación. Según la empresa Cisco los contenidos incorrectos, las inyecciones SQL, etc. permiten aprovecharse del buen nombre de organizaciones honestas. (ix) Vulnerabilidades relacionadas con los despidos de empleados. El clima de despidos se correlaciona con estas debilidades. (x) Vulnerabilidades relacionadas con el aumento del problema de scareware/rogueware. Consiste en alarmar con alertas falsas de ciberseguridad y anuncios con software de ciberseguridad gratuito falso-fraudulento-contaminado-infectado (por ejemplo, esta infectado descargue nuestro antivirus especial que en realidad es un potente malware).
Una vulnerabilidad en espera es aquella para la que no existe de momento ciber-amenaza conocida (la vulnerabilidad existe, pero no es explotable). Una ciber-amenaza en espera es aquella que no posee peligro ya que no existe vulnerabilidad conocida de momento para explotarla (la ciber-amenaza existe, pero no puede hacer daño). Un exploit es un método para aprovecharse de una vulnerabilidad conocida. El riesgo es la posibilidad de que una ciber-amenaza concreta impacte adversamente en un sistema de información OT/IT explotando una o varias vulnerabilidades específicas conocidas (n-day) y/o 0-day. La valoración del riesgo debe tener en cuenta las consecuencias de un exploit. La gestión del riesgo es un proceso para que una organización OT/IT identifique y aborde los riesgos en su entorno.
Existen varios marcos o frameworks de gestión de riesgos y cada uno define un procedimiento a seguir para la organización. Existen cuatro opciones que se pueden tomar frente al riesgo son: aceptar/asumir (si el riesgo es inferior al umbral predeterminado, no obstante, se debe vigilar), mitigar (con herramientas tecnológicas, políticas, técnicas, formación, etc.), traspasar-transferir (a empresas de externalización, en base a documentos de nivel de servicio y/o a seguros que traten la ciberseguridad) y evitar (por ejemplo, cerrando puertos TCP/UDP). Los controles, salvaguardas o contramedidas son cualquier acción, dispositivo, software, firmware o hardware, procedimientos, técnicas, tácticas y otras medidas que reducen las vulnerabilidades de un sistema IT/OT.
Existen muchas categorías de controles, medidas, salvaguardas o contramedidas: técnicas, de política, procedimientos y prácticas, de educación, formación y concienciación, de encubrimiento engaño/deception (camuflaje, desinformación), de inteligencia humana (por ejemplo, desinformación), de valoración, de investigación, de confinamiento malware en sandboxing, de monitorización e inspección de datos y transmisiones, de contramedidas de vigilancia que detectan o neutralizan vía sensores, et. La tecnología Tempest permite establecer una barrera tipo caja de Faraday para impedir que las emanaciones electromagnéticas que transportan información de la víctima lleguen al ciber-atacante y este se pueda aprovechar de dicha información o el ciber-atacante pueda enviarlas a la víctima para generar interferencias o jamming o jamming, etc. Una postura de ciberseguridad o perfil de ciberseguridad es la implementación (política, procedimientos, tecnologías) del esfuerzo en ciberseguridad dentro de una organización. Una exposición es una instancia cuando el sistema es vulnerable para ser ciber-atacado.
Si utilizamos sobre unos ejes de coordenadas cartesianas, en el eje de abscisas x se coloca el tiempo y sobre el eje de ordenadas y se coloca el nivel de riesgo se puede representar gráficamente una ventana de exposición como el intervalo temporal desde que se descubre una vulnerabilidad hasta que el parche se instala en todos los sistemas; entre ambos extremos existen seis puntos intermedios: empezamos en la vulnerabilidad se descubre, la vulnerabilidad se hace pública, la vulnerabilidad la conoce el fabricante, el fabricante notifica a sus clientes (a veces), se actualizan herramientas de ciberseguridad (firmas de IDSs/IPSs, nuevos módulos para herramientas de análisis de vulnerabilidades, etc.), se publica el parche, la instancia del parche es ampliamente conocida y llegamos al extremo final el parche se instala en todos los sistemas afectados. Un compromiso es una situación en la que el atacante tiene éxito. Un indicador es una acción reconocida (específica, generalizada o teórica) que un atacante (agente/actor de ciber-amenaza) puede esperarse que tome en preparación de un ciberataque. Una consecuencia es el resultado de un ciber-ataque (por ejemplo, la muerte de personas, la avería de activos, el robo de contenidos, el robo de identidad, la pérdida de dinero, la pérdida de acceso a cuentas de correo electrónico, medios sociales, el compromiso de sus hijos, etc.). En una ciber-amenaza decidida el agente/actor de la ciber-amenaza ha elegido normalmente una consecuencia deseada para el ciberataque y selecciona el objetivo de ciberseguridad para dirigir con vistas a realizarlo (disrupción objetivo disponibilidad, corrupción objetivo integridad, explotación objetivo confidencialidad). Una consecuencia puede causar que el sistema o activo OT/IT pierda efectividad y puede tener otros problemas-costos. La revelación inadvertida es un tipo de consecuencia que implica la exposición accidental de información a un agente/actor, acceso no autorizado, por ejemplo, una clave criptográfica débil puede hacer que el texto cifrado coincida con el texto en claro.
Existen diversos tipos de entornos: (i) Entorno hostil para activos es aquel que tiene ciber-amenazas conocidas, por ejemplo, localizar un activo en una zona de guerra o zona de inundación o colocar una máquina de computación no protegida (sin antivirus) en Internet. (ii) Entorno benigno es un entorno no hostil que puede ser protegido de elementos hostiles externos utilizando contramedidas físicas, de personal y procedurales. Una intranet o enclave es un conjunto de entornos de computación conectados por una o más redes internas bajo el control de una única política de ciberseguridad y autoridad, aquí se incluye la ciberseguridad física y de personal. Una política de ciber-seguridad se expresa en tres categorías: (i) Sujetos. Entidades como usuarios o procesos, etc. que ejecutan operaciones/actividades y piden acceso a objetos. (ii) Objetos. Elementos a proteger por el sistema como documentos, ficheros, directorios, carpetas, bases de datos, transacciones, recursos físicos, etc. (iii) Acciones. Son operaciones primitivas o complejas que pueden realizarse sobre objetos y deben controlarse. En el sistema operativo Unix, los procesos son sujetos y pueden tener permisos para realizar acciones (leer, escribir, ejecutar) sobre objetos (ficheros). Los procesos pueden crear otros procesos, crear y borrar fichero, etc. Ciertos procesos ejecutándose con permiso root pueden realizar casi todo. Una entidad puede ser sujeto y objeto y ambos están asociados a atributos.
Clasificación de ciberataques según IATF y correlación con las contramedidas
El marco IATF (Information Assurance Technical Framework) identifica las siguientes clases o categorías de ciber-ataques:
1) Ciber-ataques pasivos. Se incluye el análisis del tráfico (incluso tráfico cifrado, donde se infiere información como la frecuencia de las transmisiones, el volumen y longitud de los mensajes, instantes de tiempo de los envíos y recepciones, etc.), la monitorización y escuchas clandestinas de comunicaciones (almacenamientos y ejecuciones)) no protegidas (HTTP, TELNET, FTP, SNMPv1, etc.) utilizando (sniffers, keyloggers, spyware, creepware, captura de emanaciones electromagnéticas, como contramedida usar tecnología Tempest en forma de cajas de Faraday y apantallamientos electromagnéticos, generación de interferencias electromagnéticas de pantalla), el descifrado del tráfico débilmente cifrado (o con claves débiles o con una gestión de claves deficiente) y la captura de información de autenticación (por ejemplo, contraseñas, PINes, credenciales, etc.). La interceptación pasiva de operaciones de red puede dar a los ciber-atacantes indicaciones y avisos de acciones inminentes. Los ciber-ataques pasivos pueden dar lugar a la revelación de información o ficheros de datos a un ciber-atacante sin el consentimiento, ni conocimiento del usuario. Algunos ejemplos son la revelación de información personal como números de tarjetas de crédito, ficheros médicos, secretos industriales 4.0, etc. Algunas contramedidas para los ciber-ataques pasivos son para el análisis de tráfico cifrado el relleno de tráfico, para el tráfico en texto en claro se utiliza el cifrado (ocultar el significado de la información), la esteganografía (ocultar la información en portadoras o carriers como ficheros de música, videos, fotos, etc., campos de una PDU, modulando la cadencia de envío de PDUs), el fraccionamiento de secretos (utilizando Shamir o key-escrow), el uso de canales subliminares, etc.
2) Ciber-ataques activos. Tratan de saltarse o romper las características de protección, introducir código malicioso o robar o modificar información (ficheros, directorios, discos, etc.) Estos son ciber-ataques montados contra una red troncal, explotación de información en tránsito, penetraciones electrónicas en una intranet o ciber-ataques sobre un usuario/entidad remota autorizado cuando intenta conectarse con un enclave (o intranet conjunto de entornos de computación conectados por una o mas redes internas bajo el control de una única autoridad y política de ciberseguridad, incluyendo ciberseguridad física y de personas). Los ciber-ataques activos pueden permitir la revelación (los ciber-ataques del tipo MITM (Man-In-The-Middle) suplantan, escuchan y modifican datos) o diseminación de ficheros de datos, la denegación de servicios (o DoS/DDoS, utilizando jamming, interferencias electromagnéticas, inhibidores de RF, fuentes masivas de ondas electromagnéticas, bombas de neutrones, etc.) y la modificación de datos. Algunas contramedidas son la firma digital convencional o a ciegas, las funciones criptográficas unidireccionales hash y MAC, la tecnología FEC basada en códigos detectores/correctores de errores con elevadísima distancia Hamming como códigos de Golay, el cifrado (simétrico o asimétrico), la esteganografía, los backups, la autenticación mútua, multi-factor incluyendo la basada en geolocalización en el exterior (outdor) basada en redes de satélites como GPS, Glonass, Galileo, Beidou, GNSS, etc. y la geolocalización en interiores (indoor) basada en i-Beacon con Bluetooth, RFID/NFC, etc.
3) Ciber-ataques de distribución. Se enfocan en la modificación maliciosa del hardware (empleando troyanos hardware y mecanismos de obsolescencia/corrupción programada) o software (utilizando malware) en la factoría o durante la distribución (inyectando troyanos hardware correlacionados con la obsolescencia programada, como contramedida usar tecnología PUF o inyectar malware software en APPs y pendrives virgen o “bombas lógicas”). Estos ciber-ataques pueden introducir código malicioso en un producto como por ejemplo una “puerta trasera” para obtener el acceso no autorizado a la información o función del sistema en una fecha posterior.
4) Ciber-ataques desde dentro. Pueden ser maliciosos y no maliciosos. Los ciber-ataques de tipo malicioso intentan escuchas clandestinas, robo o dañar la información (estilo cifrado de carpetas vía ransomware-cryptolocker), utilizan la información de manera fraudulenta o denegación del acceso a otros usuarios/entidades autorizadas. Los ciber-ataques de tipo no malicioso normalmente son descuidos, torpezas, carencia de conocimiento o saltarse intencionadamente la ciberseguridad por razones no maliciosas como por ejemplo obtener el trabajo hecho, vagancia, etc.
5) Ciber-ataques con proximidad. Es donde un individuo-entidad no autorizada esta en proximidad física a redes, sistemas o instalaciones con el propósito de ciber-atacar (modificar, recoger, denegar el acceso a la información, etc.). La proximidad se realiza utilizando entradas furtivas, acceso abierto o ambas. Es el caso de con un datafono escondido en una mochila para robar dinero de tarjetas de crédito de proximidad que transporten personas colocadas a poca distancia (aglomeraciones de personas, colas, autobuses, metro, semáforos, etc.) en pequeñas cantidades ya que no se necesita introducir la contraseña/PIN.
Consideraciones finales
Una de las dimensiones de la ciberseguridad es como tecnología habilitadora clave de la digitalización del mundo físico, donde se encuentran implicados todos los sectores, por ejemplo, en la Industria 4.0 (que integra IT/OT, IIoT/IoT) aparecen nuevos procesos, productos, servicios y modelos de negocio y productivos con la transformación digital, la fabricación aditiva 3D, las redes de cadenas de valor, los nuevos modelos de servicios, etc. Exportar, importar y compartir ciberseguridad es clave hoy en día para conseguir una sociedad más sostenible, eficaz, higiénica y saludable. Otra problemática de cara a los ciber-ataques que crece día a día es BYOD. Es una tendencia donde se observa un aumento de las organizaciones que permiten a sus empleados utilizar sus dispositivos electrónicos personales móviles para propósitos de trabajo (se conoce como fenómeno BYOD/Bring Your Own Device) dispositivos que pueden estar con malware o infectarse. Es clave desarrollar políticas de ciberseguridad con las contramedidas correspondientes sobre los límites razonables de los dispositivos móviles en su oficina, fábrica y en sus redes. Estas medidas deben ser aplicadas estrictamente a todos los empleados desde el rol más bajo a las altas esferas. Entre los diversos mecanismos para el cumplimiento se utiliza GDPR, SOX, ISO-27000/27001, BS-7799-3 (gestión de riesgos de ciberseguridad).
Para poder mitigar muchas ciber-amenazas se puede: mantener los sistemas y bases de datos de anti-virus actualizadas (las tres fases de una actuación AV son buscar, descargar y procesar-aplicar las actualizaciones con o sin necesidad de reiniciar el sistema), aplicar una buena formación a sus empleados con acreditaciones, configurar los firewalls con whitelisting sólo los puertos necesarios y los computadores que necesites mantener utiliza las contraseñas fuertes, utiliza el modelo del mínimo privilegio en tus entornos OT/IT, realiza copias de seguridad regularmente y continuamente audita tus sistemas OT/IT en busca de posible actividad sospechosa. La filosofía ensayo/prueba – error utilizada aún hoy en día en ciertos ámbitos es inadmisible en ciberseguridad ya que una prueba puede expandir una patología, infección, malware o ciber-ataque de forma sigilosa a otros puntos de un entorno/sistema/dispositivo/red y el resultado es una catástrofe muy difícil de resolver a posteriori.
El núcleo del marco CSF (Critical Security Framework) del NIST se compone de cinco funciones: (1) Identificar (identifica activos, políticas, vulnerabilidades, amenazas y estrategia de gestión de riesgos para la organización). (2) Proteger (describe las medidas de protección para limitar o contener el impacto de un posible ciber-ataque). (3) Detectar (identifica la ocurrencia de una ciber-amenaza o ciber-ataque). (4) Responder (permite contener el impacto de un posible ciber-incidente). (5) Recuperar (permite restaurar cualquier capacidad o servicio deteriorado o degradado debido a un ciber-incidente).
A su vez, cada función se descompone de varias categorías: (1) La función identificar se descompone en seis categorías (gestión de activos, entorno de negocios, gobernanza, valoración del riesgo, estrategia de gestión del riesgo y gestión de riesgo de la cadena de suministro). (2) La función proteger se descompone en seis categorías (gestión de identidad y control de acceso, concienciación y formación, seguridad de datos, procesos y procedimientos de protección de la información, mantenimiento, tecnología de protección). (3) La función detectar se descompone en tres categorías (anomalías y eventos, monitorización continua de la seguridad, procesos de detección). (4) La función responder se descompone en cinco categorías (planificación de la respuesta, comunicaciones, análisis, mitigación, mejoras). (5) La función recuperar se descompone en tres categorías (planificación de la recuperación, mejoras, comunicaciones). La categoría gestión de activos de la función identificar se descompone en cinco subcategorías especificando referencias a estándares: (i) Se identifica y comunica el papel de la organización en la cadena de suministro, se correlaciona con estándares como ISO/IEC 27001, NIST SP 800-53. (ii) Se identifica y comunica el papel de la organización en la infraestructura crítica y su sector industrial se correlaciona con estándares como ISO/IEC 27001, NIST SP 800-53 (iii) Se establecen y comunican las prioridades para la misión, objetivos y actividades se correlaciona con estándares como ISA 62443-2-1, NIST SP 800-53 (iv) Se establecen las dependencias y funciones críticas para la entrega de servicios críticos, se correlaciona con estándares como ISO/IEC 27001, NIST SP 800-53. (v) Se establecen los requerimientos de resiliencia para soportar la entrega de servicios críticos para todos los estados operativos (por ejemplo, bajo ciberataques/coacción durante las operaciones normales y de recuperación) se correlaciona con estándares como ISO/IEC 27001, NIST SP 800-53.
Referencias
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2020.
- Areitio, J.”Protección frente a la sofisticación de las armas cibernéticas”. Revista Eurofach Electrónica. Nº 466. Octubre 2018.
- Areitio, J.”Estrategias y tácticas de defensa a los intentos de intrusión y ataques en ciberseguridad-privacidad”. Revista Eurofach Electrónica. Nº 467. Diciembre 2018.
- Areitio, J.”Confluencias entre elementos, componentes y factores en la gobernanza de la ciberseguridad”. Revista Eurofach Electrónica. Nº 469. Abril 2019.
- Areitio, J.”Consecución de protección efectiva basada en la sincronización multi-dominio entre controles de ciberseguridad y códigos de ciber-riesgo en ecosistemas OT-IT”. Revista Eurofach Electrónica. Nº 474. Febrero 2020.
- Greenberg, A. “Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin`s Most Dangerous Hacker”. Doubleday. 2019.
- Haber, M.J. and Hibbert, B. “Asset Attack Vectors: Building Effective Vulnerability Management Strategies to Protect Organizations”. Apress. 2018.
- Verma, R.M. and Marchette, D.J. “Cybersecurity Analytics”. Chapman & Hall/CRC Data Science Series. 2019.
- White, J. “Scams, Security and Over-Sharing: Controlling your information and staying safe online”. Urbane Publications. 2020.
- McDonough, B.R. “Cyber Smart: Five Habits to Protect Your Family, Money, and Identity from Cyber Criminals”. Wiley, 2019. - Brotherston, L. and Berlin, A. 'Defensive Security Handbooks: Best Practices for Securing Infrastructures'. O`Reilly Media. 2017.
- Chio, C and Freeman, D. “Machine Learning and Security: Protecting Systems with Data and Algorithms”. O'Reilly Media. 2018.
- Collins, M. “Network Security Through Data Analysis: From Data to Action”. O'Reilly Media. 2017.
- Kaplan, F. “Dark Territory: The Secret History of Cyber War”. Simon & Schuster. 2017.
- Benson, V. and McAlaney, J. “Emerging Cyber Threats and Cognitive Vulnerabilities”. Academic Press. 2019.
- Hubbard, W., Seiersen, R., Geer, D.E. and McClure, S. “How to Measure Anything in Cybersecurity Risk”. Wiley. 2016.
- Blau, A., Burt, A., Groysberg, B. and Yampolskiy, R.V. “Cybersecurity: The Insights You Need”. Harvard Business Review Press. 2019.