first
  
last
 
 
start
stop

En construcción

Nº 117 Noviembre 2015

Víctimas de un dios tramposo

La ciberseguridad es una actividad en la que, por el momento, los malos van ganado a los buenos, y todos los ciudadanos estamos atrapados en ella. Esta desazón es la base del negocio de muchos dedicados a este menester, pero es buen momento de echar un vistazo retrospectivo y ver cómo hemos llegado a esto. Quizás con esa perspectiva podamos vislumbrar qué podría pasar de ahora en adelante.

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

 

Es interesante ver cómo han ido cambiando las cosas en esto de la Seguridad Informática que ahora las modas prefieren llamar Ciberseguridad. Hace veinte años la economía, los mercados, se percataron de que esa red académica que se llamaba Internet, tenía suficiente gancho, suficiente encanto como para atraer a ella a millones de usuarios en poco tiempo. Con tanta gente “ciberaccesible”, el espíritu comercial no podía dejar de poner su atención en ella y lanzo lo que se llamó “Comercio Electrónico”1. En poco tiempo se llenó Internet de gente y de comerciantes ávidos de beneficios y reducciones de costes.

 

Por otra parte, los antiguos y carísimos sistemas de computación empresarial, abandonaron la geometría del Mainframe2 y los “terminales tontos” para pasarse, prácticamente en pleno, a la Ofimática que hacían posible los ordenadores personales y las redes de área local. Un poco más tarde, sin más miramientos y ninguna precaución, se conectaron esas redes locales al gran torrente que ya era Internet (Proxy, e-Mail).

 

Ya dentro del nuevo siglo, aparecieron nuevas formas de hacer lo que son antiguas tradiciones sociales, como es deambular por la plaza del pueblo, otrora el Ágora. Nacieron las Redes Sociales3 y con ello, el desbordamiento de usuarios comunes, no entrenados e inconscientes de la naturaleza del nuevo medio, que se lanzaron a migrar de su vida real a una vida “Virtual” en la que prácticamente hoy casi todo el mundo está sumido.

 

Todos estos cambios se hicieron sin prestarle ninguna atención a la seguridad de Internet y de todas las tecnologías que en ella cohabitaban e interoperaban. Tras los primeros pequeños incidentes y una oportuna dosis de tremendismo periodístico, se estableció el negocio de las empresas y profesiones IT relacionadas con vender primero aparatos, luego software y, para terminar, servicios que fuesen tapando las muchas inseguridades esenciales presentes en todo el sistema.

 

Durante el primer decenio del siglo XXI el mercado de la seguridad tuvo pingües beneficios vendiendo “parches” –en el sentido de los utilizados en las cámaras de las bicicletas–, en las que, muchas veces, lo que se hacía era tapar un pequeño pinchazo sin plantearse si el problema pudiera venir de más abajo, de la misma concepción de las tecnologías y los sistemas de información que se estaban utilizando.

 

En ese periodo se vendieron numerosos Cortafuegos (Firewalls4), Detectores de Intrusiones (IDS5) y minuciosos Analizadores de Paquetes (Deep Packet Inspectors6), entre otros ”cacharros”. Se intentó otorgar identidades levantando unas no bien entendidas Infraestructuras de Clave Pública (PKI)7 y se intentó poner orden a la autenticación de usuarios en múltiples plataformas y aplicaciones (Single Sign-On8, Federación de Identidades9). Cuando las Redes Sociales se convirtieron en el codiciado objetivo de los vendedores de cualquier cosa, el ansia de ventas inventó a los “Community Managers”, y nació la preocupación enfermiza por la reputación digital de la marca10.

 

Por si esto fuera poco, los proveedores de nicho de los sistemas de control industrial, decidieron conectar sus redes locales de monitorización y control a otras que podían acceder a Internet, estableciendo así un puente inesperadamente bidireccional entre ambos mundos. Esta coalescencia de redes abrió al mundo instalaciones industriales que nunca debieron abandonar su ostracismo.

 

Mientras tanto, de la mano de hackers verdaderamente románticos –a la vista de lo que puebla hoy el “underground”–, la sociedad descubrió que sus tiendas, sus clubs sociales, sus oficinas, sus hospitales y clínicas, sus propias hogares estaban más expuestos que nunca. Internet había disuelto en gran medida cualquier tipo de perímetro, barrera, empalizada o discreción; elementos todos ellos que acompañaban a la sociedad humana desde su más antigua cuna.

 

Al principio, algunos creían que eran esos “innegaban, se dedicaban a torpedear lo que para muchos ya era su forma más lucrativa de llevar sus negocios. Al principio fueron los “virus informáticos”11, que realmente lo que hicieron fue dar de comer bien a la compañías fabricantes de antivirus. Luego llegó el malware12 que campaba por Internet consagrado a alterar el funcionamiento de los ordenadores que pillaba (botnets13), a robar el dinero que encontrase sin preocuparse de quién era (crimeware14), a extraer información sensible de los usuarios (keyloggers15), ganar el acceso remoto a ordenadores personales y privados (RATs16).

 

Paralelamente, también surgió el hacktivismo17 moderno18 y se puso de moda la alteración mal intencionada (defacement19) de sitios web. Más tarde se encontró el modo de impedir parcial y tumultuariamente acceso a los ciberescaparates de empresas y organizaciones mediante los muy populares Ataques Distribuidos de Denegación de Servicio (DDoS20).

 

La llegada de Snowden

 

Esa leyenda negra tuvieron que soportar los hackers hasta que en el verano de 2013 en el que Edward Joseph Snowden informó al mundo21 de algunos de los mecanismos y actividades de vigilancia masiva22, inespecífica y global que, desde hacía varios años, estaba realizando la NSA y sus amigos del club Five Eyes23, para nutrir a sus intereses estratégicos, militares, políticos y económicos.

 

En junio de 2013, el gran público, los ciudadanos de todo el mundo, fuimos conscientes de la inmensa asimetría que hay en nuestra relación individual frente los “Hackers de estado” que desde hacía tiempo alimentaban a sus entramados políticos, militares y empresariales. En ese momento, fuimos conscientes de que rusos, chinos, norteamericanos y algunas potencias satélite (Canadá, Reino Unido, Australia, Nueva Zelanda y Alemania, entre otros) pescaban libremente información confidencial y secreta de nuestras empresas, administraciones públicas, instituciones y organizaciones civiles. Y todo ello por haber construido toda nuestra vida real y moderna sobre Internet y sistemas informáticos que nunca fueron seguros, ni estaban preparados ni diseñados para ello.

 

Sin saberlo, nuestra sociedad había depositado todos sus secretos en el altar de un dios tramposo, que no es otro distinto a las tecnologías digitales que ahora todo lo impregnan.

 

Proceso continuo de asalto

 

Ahora lo que está de moda son las APTs (Advanced and Persistent Threads24) que son un proceso continuo de asalto (hacking), orquestado por humanos muy bien entrenados, y dirigido contra una entidad en concreto. Sus promotores son naciones y/ o grandes multinacionales movidas por intereses económicos y políticos. Las APTs se caracterizan por un alto grado de ocultación durante largos periodos de tiempo. Utilizan técnicas sofisticadas basadas en combinaciones de malware que explotan vulnerabilidades que están presentes en los sistemas utilizados por la entidad atacada (Zero-day25). El carácter de persistencia queda patente en las comunicaciones que se establecen con entes externos que se encargan del mando y control del sistema, la monitorización continua del mismo y la extracción o implantación de información en los sistemas de información de la víctima.

 

Lo dramático de la situación actual es que no podemos dejar de utilizar ni los ordenadores, ni los sistemas de información, ni Internet; estamos atrapados más allá del punto sin retorno. La única posibilidad que tenemos es seguir adelante y hacerlo mucho mejor que hasta ahora.

 

Imaginando el espacio ideal

 

Puestos a movernos en el espacio ideal, podríamos imaginar que los sistemas actuales se rediseñan, se incluye su seguridad real en el balance que determina su atractivo económico, se tienen en cuenta las consecuencias asociadas con las diferentes tecnologías o procesos para los diferentes actores, activos o pasivos, que participan en ellos. En definitiva, se trataría de optar por una nueva tecnología que proteja derechos fundamentales de ciudadanos y colectivos como son la intimidad, el derecho a disfrutar de comunicaciones confidenciales, el derecho a una identidad propia, el derecho al olvido, a no ser encontrado si uno no lo desea, a la propiedad de los frutos del trabajo, entre otros.

 

Técnicamente, ya hay instrumentos que permiten las comunicaciones confidenciales e integras entre corresponsales, es posible otorgar identidades digitales que sean más difíciles de burlar que el mero dueto usuario-contraseña, incluso es posible disponer de suficiente anonimato como para no necesitar el derecho al olvido, pero para ello hay que rediseñar los modos y funciones de todo lo que hacemos en el mundo Internet y en los sistemas digitales, sean estos cuales sean. Aunque todos los deseables derechos estuvieran completamente conseguidos, todavía quedaría una última frontera que alcanzar, un último elemento que proteger: el usuario final.

 

El usuario final, la última frontera

 

La Ingeniería Social, en el ámbito de la seguridad de la información, se refiere a la manipulación psicológica de la gente de modo que hagan acciones prohibidas o divulguen información confidencial. Es un tipo de engaño, un timo montado por el atacante para conocer información que, de otro modo, no conseguiría o que le resulta más sencillo y rentable obtener de este modo. Una operación de Ingeniería Social normalmente está compuesta de varias fases organizadas dentro de un esquema de fraude complejo, y siempre tiene un alto contenido de interpretación teatral. Una de las características esenciales de la Ingeniería Social es ser un ataque de agentes humanos contra víctimas también humanas.

 

Es sorprendente saber que el malware, tres de cada cuatro veces, entra en la instalación atacada mediante correo electrónico (spear phishing26), que para atacar un objetivo bien protegido, siempre se empieza atacando al proveedor más débil y luego se escala hacia dentro, hacia el objetivo perseguido, gracias a cadenas de (falsa) confianza que se establecen entre los diferentes agentes colaboradores.

 

¿Cómo se puede considerar segura una instalación que permite que el mismo terminal se utilice para trabajar con material sensible, secreto o confidencial, y para que jueguen tus niños cuando se ponen pesados? (BYOD27) ¿Cómo puede uno pensar que un usuario humano no va a abrir un correo-e que (aparentemente) le remite su hijo/hija/esposa muy amad@? ¿Cómo puede uno esperar que el atacante no pueda llegar a cualquier rincón de la red corporativa si puede hacerlo el administrador de sistemas?

 

Durante una operación de Ingeniería Social, la víctima no percibe que sus acciones puedan ser dañinas para alguien de algún modo. En estos casos, el atacante explota los instintos inocentes de su víctima y no sus instintos criminales como sería el caso de un soborno. Para ello se utilizan un sinfín de métodos para engañar a las víctimas de modo que divulguen información útil o que realicen acciones tan triviales como hacer clic en un enlace web.

 

El valor del engaño

 

Como ejemplo del valor del engaño en nuestra historia reciente decir que, en el desarrollo de sus funciones, en el punto álgido de la Guerra Fría, la CIA contrató a un prestidigitador llamado John Mulholland28 para que enseñase a sus agentes técnicas de ilusión visual y engaño como parte del siniestro y poco claro proyecto MKUltra29.

 

En realidad, la Ingeniería Social no es más que un nombre nuevo para algo incluido en una vieja actividad humana: el espionaje. Ya en el año 350 antes de nuestra era, se escribió en India un tratado sobre técnicas de gobierno conocido como Arthashastra 30, y en su libro 14 se describen los beneficios de utilizar el espionaje para estar informado de todo lo que ocurre y así poder gobernar un imperio.

 

Si el espionaje con seres humanos (HUMINT31) es tan antiguo como la misma sociedad y todavía funciona, es impensable que vaya a dejar de hacerlo porque utilicemos ordenadores o redes digitales. Por ello, aun en el caso de que todos los sistemas de información actuales fuesen técnicamente inquebrantables, siempre nos quedará la Ingeniería Social.

 

La contrainteligencia corporativa

 

Puestos a buscar soluciones, habremos de indagar qué ha hecho durante todo este tiempo el antagonista natural del espionaje que es la “Contrainteligencia”32. Todavía no se habla mucho de ello, pero pronto veremos ponerse de moda el término “Business Counterintelligence”.

 

La contra inteligencia corporativa persigue conseguir que cualesquiera agentes externos, como son los competidores, puedan obtener información confidencial de la compañía, y con ella construir bases de conocimiento que les suponga una ventaja competitiva frente a ella. La idea es poder detectar, identificar y contratacar cualquier amenaza de la seguridad propia, como son los servicios de inteligencia hostiles, otras organizaciones, o incluso individuos dedicados al espionaje, sabotaje, o subversión.

 

Las técnicas de ese arte antagónico son reducir la cantidad de información hecha pública, retardar su disponibilidad, aumentar el nivel de confusión asociado con la información obtenida por el atacante, etc. Sin embrago, hay que tener siempre muy presente que la contrainteligencia puede retardar la difusión de la información, pero no podrá impedirla completamente.

 

Gartner33 admite que en poco tiempo veremos triunfar pequeñas empresas consagradas al uso de las tecnologías del engaño como mecanismo defensivo a lo largo de toda la cadena del ciberataque, para con ellas retrasar o impedir el movimiento del hacker por la red de la corporación. La idea es, en lugar de fijarse sólo en el malware, fijarse en el atacante humano y ayudarle a cometer errores.

 

Cuando todos los errores técnicos que destruyen la seguridad de nuestros sistemas digitales actuales estén completamente subsanados, todavía nos quedará el Gran Juego del espionaje y el contraespionaje jugado, como siempre, entre seres humanos.

 

 

1 Ver https://en.wikipedia.org/wiki/E-commerce
2 Ver https://en.wikipedia.org/wiki/Mainframe_computer
3 Ver https://en.wikipedia.org/wiki/Social_networking_service
4 Ver https://en.wikipedia.org/wiki/Firewall_(computing)
5 Ver https://en.wikipedia.org/wiki/Intrusion_detection_system
6 Ver https://en.wikipedia.org/wiki/Deep_packet_inspection
7 Ver https://en.wikipedia.org/wiki/Public_key_infrastructure
8 Ver https://en.wikipedia.org/wiki/Single_sign-on
9 Ver https://en.wikipedia.org/wiki/Federated_identity
10 Ver https://en.wikipedia.org/wiki/Digital_brand_engagement
11 Ver https://en.wikipedia.org/wiki/Computer_virus
12 Ver https://en.wikipedia.org/wiki/Malware
13 Ver https://en.wikipedia.org/wiki/Botnet
14 Ver https://en.wikipedia.org/wiki/Crimeware
15 Ver https://en.wikipedia.org/wiki/Keystroke_logging
16 Ver https://en.wikipedia.org/wiki/Remote_administration_software
17 Ver https://en.wikipedia.org/wiki/Hacktivism
18 El primer acto conocido de Hacktivismo se remonta al mes de octubre de 1989 cuando las máquinas VMS del Departamento de Energía, la High-Energy Physics Network (HEPNET) y de la NASA, conectadas en una red global, fueron infectadas por el gusano antinuclear WANK. https://en.wikipedia.org/wiki/WANK_(computer_ worm)
19 Ver https://en.wikipedia.org/wiki/Website_defacement
20 Ver https://en.wikipedia.org/wiki/Denial-of-service_attack#Distributed_attack
21 Ver https://en.wikipedia.org/wiki/Global_surveillance_disclosures_(2013-present)
22 Ver https://en.wikipedia.org/wiki/Mass_surveillance
23 Ver https://en.wikipedia.org/wiki/Five_Eyes
24 Ver https://en.wikipedia.org/wiki/Advanced_persistent_threat
25 Ver https://en.wikipedia.org/wiki/Zero-day_(computing)
26 Ver https://en.wikipedia.org/wiki/Phishing#List_of_phishing_types
27 Ver https://en.wikipedia.org/wiki/Bring_your_own_device
28 John Mulholland: “The Official CIA Manual of Trickery and Deception” (1953), Ver https://en.wikipedia.org/wiki/John_Mulholland_(magician)
29 Ver https://en.wikipedia.org/wiki/Project_MKUltra
30 Ver https://es.wikipedia.org/wiki/Artha-shastra
31 Ver https://es.wikipedia.org/wiki/Inteligencia_humana_(espionaje)
32 Ver https://en.wikipedia.org/wiki/Counterintelligence
33 Ver https://www.gartner.com/doc/3096017/emerging-technology-analysisdeception- techniques

 

 

Documento en PDF

Consulte el contenido de En construcción de números anteriores aquí

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies