Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2/70
Introducción a la ciberinteligencia y ciberseguridad
INTRODUCCIÓN A LA CIBERINTELIGENCIA Y
CIBERSEGURIDAD
I. INTRODUCCIÓN
En esta unidad vamos a hablar de ciberinteligencia y de ciberseguridad.
El que estos sustantivos vayan precedidos del prefijo “ciber” que surge de la palabra “cibernética” o
“informática”, y que la red preferida de los cibernautas es Internet, también llamada ciberespacio,
significa que podemos referirnos a ellos como inteligencia informática y seguridad informática, que
engloba a la inteligencia en Internet y a la seguridad en Internet.
Es decir, que se tratará de aplicar inteligencia a los compromisos sufridos a través de Internet o a los
recursos que se encuentran en Internet y de aplicar seguridad a esos elementos accesibles a través de
Internet.
II. OBJETIVOS
3/70
Introducción a la ciberinteligencia y ciberseguridad
El sentido común.
La experiencia.
Imaginemos que tenemos unos documentos en un ordenador portátil, ¿cómo podemos proteger esa
información? En algún caso será suficiente con tener el ordenador en un despacho, solo el mero hecho de
que el ordenador esté en un despacho puede ser suficiente para que otras personas entren en el despacho
a acceder al mismo. En otros estamentos, ese despacho podría estar cerrado para evitar que alguien
accediera a su interior. Del mismo modo, el equipo podría estar apagado para quien accediera al mismo
se encontrara con la barrera de tener que encenderlo. Se podría aplicar una contraseña de acceso al
sistema por si alguien lo encendiera. Podría estar sujeto con una cadena de seguridad por si alguien
optase por llevarse el equipo o tener los documentos cifrados en el propio disco duro. Incluso se podría
poner el ordenador dentro de una caja fuerte o un guardia de seguridad custodiándolo, así podríamos
pensar infinitas formas de protección a distintos niveles incluyendo conjuntos variables de
combinaciones de las mismas.
4/70
Introducción a la ciberinteligencia y ciberseguridad
Aspectos fundamentales
La confidencialidad.
La integridad.
La disponibilidad de los datos. [...]
"Dependiendo del tipo de sistema informático con el que tratemos (militar, comercial, bancario...)
el orden de importancia de estos tres factores es diferente, e incluso entran en juego otros elementos,
como la autenticidad o el no repudio. El enfoque de la política de seguridad y de los mecanismos
utilizados para su implementación está influido por el más importante de los tres aspectos. Estos
aspectos también pueden entenderse como metas u objetivos".
3.3. Confidencialidad
(Del inglés “Confidenciality”). Acceso a la información por parte únicamente de quienes estén
autorizados. Según [ISO/IEC 13335-1:2004]: "característica/propiedad por la que la información
no está disponible o revelada a individuos, entidades, o procesos no autorizados".
A veces nos podemos referir a la confidencialidad como privacidad, aunque este término no es muy
acertado, dado que la privacidad está relacionada con la intimidad privada tal como lo define el
Diccionario de la lengua española de la Real Academia - DRAE: "ámbito de la vida privada que se tiene
derecho a proteger de cualquier intromisión".
5/70
Introducción a la ciberinteligencia y ciberseguridad
Para que un sistema sea considerado seguro a nivel del aspecto de la confidencialidad tendría que
cumplirse que la posible información que un tercero pudiera extraer no fuera inteligible para el mismo.
Los sistemas de cifrados garantizan la confidencialidad en función a la eficacia del mismo, y debemos
considerarlos como válidos en función al tiempo que queramos proteger esa información, dado que la
evolución de las tecnologías no nos garantiza que un algoritmo de cifrado permanezca de por vida siendo
efectivo.
3.4. Integridad
En la norma ISO/IEC 27000:2014 Tercera edición está definida la integridad como: " integrity:
property of accuracy and completeness": la propiedad de la exactitud y la completitud.
Es evidente que lo que se trata de proteger es que la información se mantenga invariable, ya sea
almacenada o en una comunicación, de forma que se pueda garantizar que no se ha añadido información
nueva, se ha modificado algo de la información o se ha eliminado parte de la información.
El uso de la criptografía también es eficiente para implementar medidas de control, basado en cálculos
algorítmicos complejos que a través de implementación de cifrado donde solo un descifrado coherente
garantiza que la integridad es absoluta o simplemente aplicando funciones de huella digital (hashing),
que permiten también una garantía de la invariabilidad de la información.
Los cambios que se pueden producir en la información pueden ser debidos no solo a acciones
interesadas por personas, sino que también debemos contemplar las acciones no dolosas, accidentales e
inclusos sin intervención humana como fallos o errores en hardware o software.
Para que un sistema sea considerado seguro a nivel del aspecto de integridad tendría que cumplirse
que ni el sistema ni nadie sin autorización pudiera modificar o corromper la información.
6/70
Introducción a la ciberinteligencia y ciberseguridad
3.5. Disponibilidad
La disponibilidad es la medida que nos indica cuánto tiempo está ese equipo o sistema operativo
respecto de la duración total durante la que se hubiese deseado que funcionase.
Los motivos de que un usuario no pueda acceder de una forma satisfactoria a un sistema pueden ser
debido a múltiples motivos: un fallo del sistema o del hardware, colapso de los recursos, como la
memoria para poder ejecutar correctamente los programas, no disponibilidad de los medios de
almacenamiento como la falta de permisos o de espacio en ellos, no posibilidad de acceso a la
información, etc.
Muchos de los ciberataques de hoy día no buscan robar, modificar o borrar la información, sino
bloquear el sistema para hacerlo inusable.
Auditabilidad
Permitir la reconstrucción, revisión y análisis de la secuencia de eventos.
Identificación
Verificación de una persona o cosa; reconocimiento.
Autenticación
Proporcionar una prueba de identidad; puede ser algo que se sabe, que se es, se tiene o una
combinación de todas.
7/70
Introducción a la ciberinteligencia y ciberseguridad
Autorización
Lo que se permite cuando se ha otorgado acceso.
No repudio
No se puede negar un evento o una transacción.
Seguridad en capas
La defensa a profundidad que contenga la inestabilidad.
Control de acceso
Limitar el acceso autorizado solo a entidades autenticadas.
Gobierno
Proporcionar control y dirección a las actividades.
Estrategia
Los pasos que se requieren para alcanzar un objetivo.
Arquitectura
El diseño de la estructura y las relaciones de sus elementos.
Gerencia
Vigilar las actividades para garantizar que se alcancen los objetivos.
Riesgo
La explotación de una vulnerabilidad por parte de una amenaza.
Exposiciones
Vulnerabilidades
Amenazas
Riesgo residual
8/70
Introducción a la ciberinteligencia y ciberseguridad
Impacto
Criticidad
Sensibilidad
El nivel de impacto que tendría una divulgación no autorizada.
Controles
Cualquier acción o proceso que se utiliza para mitigar el riesgo.
Contra medidas
Políticas
Declaración de alto nivel sobre la intención y la dirección de la gerencia.
Normas
Establecer los límites permisibles de acciones y procesos para cumplir con las políticas.
Ataques
Tipos y naturaleza de inestabilidad en la seguridad.
Clasificación de datos
Para tener conciencia de cómo realizar un endurecimiento de nuestra seguridad ( hardening) debemos
realizar una gestión del riesgo.
9/70
Introducción a la ciberinteligencia y ciberseguridad
La mayoría de los problemas de seguridad tienen que ver con fallos de hardware y software, errores
de programación o administración, robo, fraude y extorsión, demandas legales, infracción de los
derechos de autor o ingeniería social, entre otras.
Los usuarios internos suponen la mayor fuente de amenazas, son los que mejor conocen el sistema,
poseen a veces acceso ilimitado, conocen los activos más valiosos.
Debemos hacer hincapié en que el riesgo no puede eliminarse completamente, pero sí que podemos
reducirlo.
La inteligencia informática es saber cómo adecuar nuestros recursos a una estrategia eficiente para
reducir los riesgos y en todo caso si se produce un incidente el poder reaccionar contra el mismo para
restablecer lo antes posible la situación y poder ejercer acciones contra las personas responsables si se
trata de un ataque intencionado o negligente.
El servidor de comercio electrónico no estará sin servicio más de cinco minutos al año.
10/70
Introducción a la ciberinteligencia y ciberseguridad
Ningún empleado puede ejecutar más software que el autorizado en su puesto de trabajo.
Todos los usuarios deben cambiar su contraseña una vez al mes. Los usuarios del servidor de
base de datos utilizan un control de acceso más fuerte que el de contraseñas.
Toda la información relativa a proyectos como ofertas, estudios de viabilidad, informes
preliminares, etc., se mantendrán estrictamente confidencial tanto durante su almacenamiento
como en su transmisión a clientes.
Debemos tener presente la frase proverbial que "la cadena se rompe siempre por el eslabón más débil".
Y como ya dijimos anteriormente la seguridad absoluta no existe, el objetivo es agotar los recursos del
enemigo en las vertientes moral, temporal y económica.
Esta premisa solo es válida en las atacantes tradicionales como veremos más adelante en el curso no
es eficaz ante un tipo de las amenazas, las que se conocen como APT o APA (amenazas persistentes
avanzadas) cuyo factor de rentabilidad no está medido por las vertientes anteriormente citadas (moral,
tiempo y economía).
Seguridad mesurada
Asignar recursos de forma eficiente, buscando el equilibrio entre la seguridad y uso. De todos es
sabido que cuantas medidas de seguridad implantemos el servicio reducirá eficiencia en uso y ahí es
donde se debe emplear el sentido común, la inteligencia de buscar el punto exacto del equilibrio que
sea el más efectivo para el interés general.
Mínimo privilegio
Seguridad en profundidad
Al iniciar este apartado introdujimos el verbo conjugar y de eso se trata. Este principio es que no
debemos depender de un solo sistema de seguridad, sino de emplear distintas capas de seguridad en
función al valor del activo o la probabilidad de que el riesgo se convierta en realidad.
11/70
Introducción a la ciberinteligencia y ciberseguridad
La seguridad aplicada de esta forma, de manera que el atacante ignore la existencia del activo o
dónde localizarlo, implica una mayor dificultad para que el ataque se produzca, pero eso no garantiza
la eficacia de la medida porque esa oscuridad puede ser iluminada por un sinfín de factores. Esta
medida no implica aumentar la seguridad, porque el que las vulnerabilidades no sean conocidas no
aumenta la seguridad, porque siguen existiendo, la forma es, ya que sabemos de las mismas,
aminorarlas adecuadamente y, evidentemente, no se trata de publicar todas nuestras
implementaciones de seguridad ni las posibles vulnerabilidades que tengamos.
Seguridad homogénea
Cuando introdujimos la sentencia de que "la cadena siempre se rompe por el eslabón más débil",
nos obliga a reforzar por igual todos los eslabones para evitar que el ataque se produzca por uno
determinado. Del mismo modo, en la seguridad debemos reforzar todas las posibles vulnerabilidades
que puedan ser explotadas para no invertir recursos en algunas de ellas y luego la amenaza se
convierta en un ataque por cualquier otra donde no hayamos incidido en reforzar.
Seguridad evolutiva
Cuando se produzca el fallo de la seguridad, debemos estar preparados para ello, de forma que
nuestro sistema quede en un estado seguro. Por ejemplo, si falla el control de autenticación quizá será
mejor que el sistema no deje acceder a ningún usuario que permitir el acceso a alguno que no esté
autorizado, pero en otros casos la situación puede ser totalmente inversa. Imaginemos que el fallo es
debido a una situación de riesgo, como un incendio, y franquear el control de acceso es para salir del
edificio; evidentemente, es preferible que el acceso de salida quede liberado para los usuarios que el
controlar la hora que abandonan el puesto de trabajo ante el riesgo para la vida que supondría el
bloquearlo en las instalaciones.
12/70
Introducción a la ciberinteligencia y ciberseguridad
Participación universal
Si establecemos una normativa, una política de seguridad, uno de los retos de la misma es el
cumplimiento y la no oposición activa de los usuarios. Si las personas han participado en el
establecimiento de las medidas de seguridad estarán más abiertas en su cumplimiento, la participación
en la elaboración de estas medidas de seguridad será el componente más importante en su implicación
en las mismas. Si conseguimos que todos los usuarios sean partícipes en su creación e
implementación obtendremos un sistema más seguro.
Simplicidad
Dos fundamentos avalan este principio: el tener una seguridad simple la hace más entendible, y lo
que no se comprende o cuesta comprender es muy difícil de configurar adecuadamente. El segundo
fundamento es que cuanto más complicado es un sistema, más fácil es que incorpore vulnerabilidades,
errores o malas configuraciones por defecto. De nada vale el tener un cortafuego de última hornada
que incorpore las últimas innovaciones de seguridad si luego los que deban configurarlo no lo
entienden para parametrizarlo en condiciones y su implementación carece de la debida eficacia contra
los riesgos, es preferible el utilizar un cortafuego menos innovador, pero más simple para que el que
deba configurarlo, pueda optimizarlo convenientemente.
Fase 1 - Planificación
En esta fase deberíamos acotar quién coordinaría la misma e identificaríamos las necesidades y la
información que demandan los destinatarios de todo el proceso de ciberinteligencia. Debemos en esta
fase definir cuál va a ser la estrategia para la recolección de la información, el tipo de información y el
contenido definiendo y clasificando la disponibilidad y fiabilidad de las fuentes y los cauces de la
comunicación.
Fase 2 - Recolección
En esta fase obtendríamos la información en bruto. Cuanto mayor información obtengamos mejor,
pero es importante tener los atributos relacionados con esa información, como puede ser la fuente, el
contexto, la fiabilidad de la fuente, la fiabilidad de la información, la fecha de la misma, etc. Todos
estos atributos serán necesarios para la fase siguiente a la del análisis. Esta recolección de información
es importante realizarla con todas las garantías procesales, es muy fácil franquear barreras legales y/o
normativas que pueden anular la eficacia del resultado de la ciberinteligencia.
13/70
Introducción a la ciberinteligencia y ciberseguridad
Fase 3 - Análisis
En esta fase la información obtenida hay que depurarla, tratarla, procesarla, eliminar aquella
inservible, decodificarla y analizarla en un contexto global. Se trata de convertirla en inteligencia
estratégica, táctica u operativa destinada al propósito inicial establecido en la planificación. En esta
fase debemos también clasificar la información en función a los diversos atributos asociados como la
fiabilidad de la fuente, fiabilidad de la información, validez de los datos, oportunidad, pertinencia,
relevancia y utilidad.
Debemos también integrar y fusionar los datos de diversas fuentes, con la información debemos
también ser capaces de crear nueva información a través de la visión global de los datos adquiridos.
Y, sobre todo, debemos ser capaces de interpretar esa información, de forma que podamos gracias a
nuestro intelecto y la información tratada a poder crear en nuestras mentes la realidad y entrar en la
mente de nuestros enemigos para saber el porqué de sus acciones y adelantarnos a sus próximos
movimientos.
Fase 4 - Retroalimentación
En la fase anterior, durante el análisis fuimos capaces de crear inteligencia, tener nuevos
conocimientos que deben servir para corregir e introducir nuevas variantes en todas las fases
anteriores, es decir, definir nuevas estrategias y planificación, recolectar de nuevas fuentes o de las
anteriores nueva información, realizar nuevos cruces y procesamiento de análisis de la información
para generar nueva inteligencia. Esta fase de retroalimentación podría no finalizar nunca con base en
nuevos elementos que se introduzcan en la cadena, y el paso a la fase siguiente lo determinará la
estrategia o planificación en función de otros factores como puede ser la urgencia.
Fase 5 - Difusión
Es la última fase de este ciclo y se trata de suministrar la inteligencia a quien deba ejecutar las
acciones pertinentes con la misma con la suficiente urgencia para que la misma no sea demasiado
tarde para la toma de decisiones. A menudo en la primera criba de análisis deberemos facilitar la
difusión de la información, advirtiendo eso sí que continuaremos con un nuevo ciclo retroalimentado
de cuyos resultados también serán participados a los destinatarios de la inteligencia.
Es habitual en los esquemas que representan el ciclo de la inteligencia que el mismo sea un círculo
figura que no tiene fin.
Fase 6 - Ejecución
Podríamos incorporar una nueva fase fuera del ciclo de inteligencia, pero de cuyos resultados se
podrían extraer nueva información que serviría para alimentar la retroalimentación del ciclo de
inteligencia, esta fase sería la de explotación de la inteligencia y la evaluación de la misma.
14/70
Introducción a la ciberinteligencia y ciberseguridad
Ciclo de la ciberinteligencia
V. AMENAZAS EN LA RED
Las amenazas de nuestros sistemas de información conectados a Internet deben ser interpretadas en el
contexto de los otros elementos que interaccionan con las mismas. No podemos hablar de amenazas, si
no se concibe que existan activos, vulnerabilidades, riesgos e impactos. La ausencia de solo uno de ellos
dejaría de tener sentido la amenaza.
¿Por qué deberíamos preocuparnos de una amenaza si no existiera un activo donde la misma
actuaría?
¿Por qué deberíamos preocuparnos de una amenaza si no existiera una vulnerabilidad para
explotarla?
¿Por qué deberíamos preocuparnos de una amenaza si no existiera un riesgo real de alguien o
algo para realizarla?
¿Por qué deberíamos preocuparnos de una amenaza si no existiera la posibilidad de que se
produjeran los impactos?
Así que definamos estos conceptos para poder entender la importancia de las amenazas en la Red.
15/70
Introducción a la ciberinteligencia y ciberseguridad
Una vulnerabilidad es cualquier circunstancia del sistema que tiene la posibilidad de ser atacado con
éxito para poner en jaque la seguridad del mismo. Estas debilidades suponen que la confidencialidad,
disponibilidad y/o la integridad pueden ser comprometidas.
Es el caso de los fallos de software (bugs) en que el fabricante ha creado una corrección (parche) o
“patch” del comando de Unix creado por Larry Wall que actualizaba ficheros de texto de acuerdo a
unas instrucciones contenidas en un archivo separado. Si es el caso, debemos incorporar el parche
inmediatamente que tengamos el conocimiento de la vulnerabilidad.
Es el caso de los fallos de software en que el fabricante todavía no ha creado una corrección, a
veces pueden haber soluciones intermedias o temporales (workaround), pero en estos casos es mejor
desactivar el servicio hasta la creación y la aplicación por nuestra parte del parche.
No conocidas
Es el peor de los casos, dado que el desconocimiento de la misma implicará que no podamos
realizar ninguna acción para mitigar o impedir un posible ataque.
Amenaza
Es la condición existente de que se comprometa el sistema. Esta puede proceder de una persona,
intencionadamente o no, un software malicioso (troyano, gusano, virus, exploit, rootkit...), o un
meteoro de la naturaleza (terremoto, rayos...) u otra circunstancia (incendios, sobretensiones
eléctricas...). Las amenazas las constituyen tanto los atacantes como las causas que puedan
aprovecharse de la existencia de las vulnerabilidades.
Riesgo
Es la estimación del grado de exposición de un activo, a que una amenaza sea efectiva contra él
poniendo en jaque la seguridad y al activo en sí.
Impacto
16/70
Introducción a la ciberinteligencia y ciberseguridad
Contramedidas
Riesgo intrínseco
Es el que resulta de estimar que se produzca el impacto sobre el activo, independientemente de que
hayamos implementados las contramedidas.
Riesgo residual
Es el riesgo que quedará una vez implementadas las contramedidas. Es evidente que este riesgo
residual siempre existirá.
Debemos de conocer que la seguridad absoluta no es posible, de esa manera nunca tendremos un
sistema informático totalmente seguro, el objetivo será el que no tengamos en el sistema vulnerabilidades
conocidas para que un atacante las explote.
Veamos seguidamente una clasificación de las diferentes vulnerabilidades que podemos encontrarnos:
Vulnerabilidad física
Es la referida cuando analizamos la seguridad física del inmueble que comprende el sistema. Podemos
relacionarlo con la existencia de debilidades en la seguridad que permitan el conseguir el acceso a las
instalaciones para dañarlo, modificarlo e incluso robar algún elemento relacionado con el mismo.
Instalaciones inadecuadas del espacio de trabajo o no disponer de recursos antiincendios, falta de
control del personal y del material.
Vulnerabilidad natural
La naturaleza y el ambiente puede causar daños en el sistema, tales como los meteoros atmosféricos,
tormentas solares, inundaciones, terremotos, pero también el polvo, la temperatura y la humedad
pueden ser aspectos de esta vulnerabilidad.
17/70
Introducción a la ciberinteligencia y ciberseguridad
Defectos de fabricación de los componentes de hardware o de configuración de los mismos que los
hagan vulnerables a ataques. Ausencia de actualizaciones o falta de conservación. Inexistencia de
equipos de contingencia o configuración de respaldo.
Vulnerabilidad de software
Vulnerabilidad de comunicación
La conexión de la información y los dispositivos a redes supone un factor de riesgo a poder explotar
las vulnerabilidades al tener mayor potencialidad de posibles atacantes y desde todos los puntos
accesibles a la comunicación. También esas comunicaciones pueden ser vulnerables a ser
interceptadas y existe la posibilidad de acceder a nuestro sistema a través de esa conexión desde el
exterior.
Vulnerabilidad humana
El ser humano no siendo un elemento tecnológico también es vulnerable y puede ser explotado o ser
la causa de un despropósito por ignorancia, errores o negligencia en sus actuaciones con el sistema. El
desconocimiento o la no correcta aplicación de las medidas de seguridad es una de las
vulnerabilidades más a tener en cuenta. La no existencia de parches a la estupidez humana que
corrijan esta vulnerabilidad hace que el esfuerzo para minimizar este riesgo sea uno de los más
importantes en pro de la ciberseguridad.
La gente que administra los sistemas es la mayor vulnerabilidad de los sistemas porque suelen tener
perfiles de máximo acceso y a través de ellos —o ellos mismos— son accesibles los recursos a proteger.
También los usuarios que tienen acceso a diversos recursos son objetivos de ser explotados por tener
ese rol que permite un primer acceso a ese recurso y desde ahí iniciar el ataque.
18/70
Introducción a la ciberinteligencia y ciberseguridad
Las amenazas que pueden existir en un Sistema de Información pueden clasificarse en función de
distintos criterios. La clasificación en función a los efectos que puedan provocar en el sistema nos daría
cuatro grandes tipos:
Interceptación.
Modificación.
Interrupción.
Generación.
Interceptación
El conocer que alguien ha realizado esta amenaza es más complicado de saber, dado que la
observación de la información accedida no implica que esta haya variado o desaparecido.
19/70
Introducción a la ciberinteligencia y ciberseguridad
Modificación
Interrupción
Puede ser intencionada o accidental. Se detecta inmediatamente al ver que ha dejado de funcionar o
mal funcionar algún elemento del sistema.
20/70
Introducción a la ciberinteligencia y ciberseguridad
Generación
La detección es difícil, pero no del grado al de la interceptación, ya que los elementos generados
persisten y pueden ser detectados.
Naturales o físicas
Son aquellas que afectan a los componentes físicos del sistema. Estas las podemos subdividir en:
Provocadas por meteoros, son los desastres naturales, como los terremotos, lluvias
torrenciales, tormentas solares… y aquellas situaciones del entorno que pueda afectar a
los sistemas como partículas en suspensión, altas temperaturas, ambientes con alto
porcentaje de humedad…
Errores o daños en el hardware; donde podemos incluir mala praxis de los usuarios que
vuelque una bebida en el dispositivo, conecte un dispositivo a una frecuencia eléctrica
incorrecta, interrumpa una actualización de un Sistema o de una escritura en un medio de
almacenamiento…
También podemos agrupar en las producidas por acceso físico a un recurso por un tercero, las
radiaciones electromagnéticas emitidas, los desastres naturales y los desastres del entorno, como
los incendios y los cortes de suministro eléctrico.
21/70
Introducción a la ciberinteligencia y ciberseguridad
Lógicas
Comprenden el software que puede dañar el sistema informático. Estos programas pueden haber
sido creados:
Físicas
Terroristas Inundaciones
Empleados descontentos Terremotos
Fallos de hardware
Lógicas
Cibercriminales Fallos de sistema o de aplicaciones
Malware Empleados (errores o negligencia)
Empleados descontentos
5.3. Malware
Los programas maliciosos (malware) engloba a todo tipo de programa o código informático cuya
función es poner en compromiso la ciberseguridad en cualquiera de sus aspectos: privacidad, integridad
o disponibilidad.
Dentro de este grupo encontramos distintos términos pero debemos aclarar ya que muchos malware
pueden clasificarse dentro de más de una de estas habilidades, seguidamente veremos cómo definir estos
de una forma simple:
Virus
Los virus informáticos son sencillamente programas maliciosos (malwares) que “infectan” a otros
archivos del sistema.
Dicha infección consiste en añadir un código dentro del archivo víctima de forma que ese fichero
modificado se convierte a su vez en transporte de la infección.
22/70
Introducción a la ciberinteligencia y ciberseguridad
Su nombre viene de la analogía de los virus biológicos que afectan a los seres vivos; el símil en
este caso a los antivirales serían los programas antivirus.
Las fuentes de infección de los virus pueden ser inimaginables desde dispositivos de
almacenamiento externo como Sticks USB, tarjetas de memoria, soportes ópticos como por medio de
comunicaciones como correos electrónicos, mensajería directa, hasta publicaciones en foros, redes
sociales, blogs. También pueden propagarse a través de software pirata en descargas directas o redes
P2P o simulando ser otro tipo de software. Es decir, que los vectores de infección son múltiples y
variados.
Adware
Puede instalarse con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es
así. Lo mismo ocurre con el conocimiento o falta del mismo acerca de sus funciones.
Muchos de los programas adware son también shareware dando el creador la posibilidad de
conseguir una versión de pago para eliminar esos anuncios.
Los más peligrosos o agresivos pueden incluir URL en los marcadores, favoritos de los
navegadores, abrir numerosas ventanas y pop-ups, instalar barras de herramientas.
Backdoors
Estos programas son diseñados para abrir una “puerta trasera” en nuestro sistema de tal modo que
permiten al administrador del backdoor acceder al sistema y hacer lo que desee con él.
El objetivo es lograr una gran cantidad de computadoras infectadas para disponer de ellas
libremente hasta el punto de formas redes como se describen en el apartado de Botnets.
Botnets
Es una red de equipos que son controlados por un atacante, de forma que se pueden usar de forma
individual o conjunta para un propósito. Cuando un equipo pasa a formar parte de una botnet, ese
equipo se denomina máquina zombi o robot (“bot”).
23/70
Introducción a la ciberinteligencia y ciberseguridad
Dropper
Se trata de un fichero ejecutable que contiene varios tipos de malware en su interior. Su diseño está
orientado en camuflarse a las detecciones de los sistemas de antimalware para ocultar el malware que
incorpora (simple etapa) o bien una vez en la máquina objetivo y activado en ella proceder a descargar
el malware para instalarlo (etapa doble).
Gusanos
Los gusanos suelen utilizar servicios automatizados del sistema operativo para pasar inadvertidos
por no ser comúnmente revisados esos servicios por los usuarios.
Muchos simplemente se propagan afectando por saturación la red o el almacenamiento, pero otros
pueden incorporar “payloads” dañinos.
Hoax
(En español: “bulo”, engaño”): es un intento de hacer creer a un grupo de personas que algo falso
es real; se ha popularizado por ser engaños masivos distribuidos por medios electrónicos, como el
correo electrónico.
Normalmente es distribuido por el efecto “cadena” por sus connotaciones de noticia impacto y/o
porque el propio mensaje solicita su difusión. El objetivo generalmente es el llegar al máximo de
receptores con el fin de propagar otro tipo de malware, revele información confidencial o
simplemente realizar acciones hacktivistas.
Hijacker
Son los encargados de secuestrar funciones de nuestro navegador web ( browser) modificando la
página de inicio y/o el motor de búsqueda por alguna de su red de afiliados maliciosos, entre otros
ajustes que bloquea para impedir sean vueltos a restaurar por parte del usuario. Generalmente suelen
ser parte de los adwares y troyanos.
24/70
Introducción a la ciberinteligencia y ciberseguridad
Keylogger
(Del inglés: key ('tecla') y logger ('registrador'); 'registrador de teclas'): es un tipo de software o un
dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el
teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de Internet.
Suele usarse como malware del tipo servicio ( daemon), permitiendo que otros usuarios tengan
acceso a credenciales importantes, como los números de una tarjeta de crédito u otro tipo de
información privada que se quiera obtener.
El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software.
Existen dispositivos comerciales que pueden conectarse al cable del teclado o al teclado mismo.
Se aconseja el utilizar un teclado virtual para evitar los keyloggers, pero las aplicaciones más
nuevas también registran screenshots (capturas de pantalla) al realizarse un clic, que anulan la
seguridad de esta medida.
Phishing
El término de phishing proviene de la palabra inglesa “fishing” (pesca) haciendo alusión al engaño
a los peces mediante el “anzuelo”. Otras fuentes indican que proviene de la contracción de “password
hearvesting fishing” (cosecha y pesca de contraseñas).
El cibercriminal que utiliza esta técnica es conocido como phisher, utiliza la psicología para
ganarse la confianza de la víctima, y mediante cualquier tipo de comunicación, no solo el correo
electrónico, pueda interactuar con el atacado para conseguir la realización de la acción que le permita
obtener la información.
Las técnicas de phishing son numerosas desde empleo de Scam hasta utilización de software
troyanizado.
25/70
Introducción a la ciberinteligencia y ciberseguridad
PUP
Proviene del término inglés “Potentially Unwanted Program”, que viene a ser software
potencialmente no deseado, aunque el propio usuario ha consentido su descarga. También puede ser
llamado “grayware”, “riskware”, “offerware” o “bloatware”.
Son programas ofrecidos durante la instalación de programas gratuitos, en la mayoría de los casos
que se seleccionan por defecto su instalación o simplemente se ocultan para así instalarse.
Suelen ser barras de herramientas ( browse hijackers ) que modifican el comportamiento de los
navegadores web, spywares, adwares, scareware, dialers, etc.
RAT
(“Remote Administration Tool”): este tipo de malware permite a un atacante controlar de forma
remota un sistema informático y por lo general consiste en un servidor que se ejecuta de forma
invisible y escucha puertos de comunicación específicos en el equipo de la víctima.
Los atacantes también pueden ofuscar tales patrones del RAT utilizando puertos dinámicos,
mensajes cifrados, e incluso cambiar laas firmas del troyano.
Rogue
Cuando son ejecutados o cuando ellos mismos se autoinician, reproducen una falsa actividad de
chequeo o monitorización para concluir con falsas alertas y recomendaciones de reparación.
La forma de realizar esas reparaciones es solicitando la compra del falso producto que mostrara que
ha solucionado los falsos incidentes o descargando una carga maliciosa que repercutirá en un
beneficio indirecto para el distribuidor del rogue, como pueden ser otros malware.
Riskware
Programas originales, como las herramientas de administración remota, que contienen agujeros
usados por los crackers para realizar acciones dañinas.
Por ejemplo, un programa que tenga determinadas herramientas de seguridad, pero que carece de
ciertas protecciones, podría ser usado por otro programa para detener algún servicio o proceso que
sirve para la seguridad del sistema operativo. Esto dejaría al sistema vulnerable.
Rootkit
26/70
Introducción a la ciberinteligencia y ciberseguridad
Típicamente, un atacante instala un rootkit en una computadora después de primero haber obtenido
un acceso al nivel raíz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber
obtenido una contraseña.
Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusión y
mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de
autenticación y autorización.
Pese a que los rootktis pueden servir con muchos fines, han ganado notoriedad
fundamentalmente como malware, escondiendo programas que se apropian de los recursos de las
computadoras o que roban contraseñas sin el conocimiento de los administradores y de los usuarios
de los sistemas afectados.
Los rootkits pueden estar dirigidos al firmware, al hipervisor, al núcleo o, más comúnmente, a
los programas del usuario.
Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que
funcionan a nivel de aplicación.
Kernel
Los que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para
ocultar el backdoor.
Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información
sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada.
Los rootkits que actúan como aplicaciones pueden reemplazar los archivos ejecutables originales
con versiones crackeadas que contengan algún troyano, o también pueden modificar el
comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc.
Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el
atacante se conecte al sistema a través de un determinado puerto.
27/70
Introducción a la ciberinteligencia y ciberseguridad
Scam
E l Scam es SPAM más un HOAX. Es “estafa” en inglés, término anglosajón que se emplea
familiarmente para referirse a una red de corrupción.
Hoy también se usa para definir los intentos de estafa a través de un correo electrónico fraudulento
(o páginas web fraudulentas).
Cuando hablamos de las clásicas cadenas de propagandas si la misma solo lleva la motivación del
engaño estaríamos hablando de un “hoax” pero cuando existen connotaciones económicas podrían
considerarse como “Scam”.
Como se ha dicho en el phishing, podríamos considerar el phishing bancario como Scam ya que
tiene incorporado el engaño (hoax) con el móvil económico y no solo puede establecerse la
comunicación por medio del correo electrónico sino también por otros medios de comunicación como
la mensajería instantánea, teléfono e incluso páginas de Internet que ofrecen productos o servicios que
luego no se corresponden con la realidad.
Spam
Los términos correo basura (“Junk Mail”) y mensaje basura hacen referencia a comunicaciones que
nos llegan sin una previa comunicación y aceptación de la misma, es decir, son comunicaciones no
solicitadas, no deseadas.
Generalmente este tipo de comunicaciones se viene realizando para publicidad, enviada de forma
masiva. Como esta práctica suele estar reglamentariamente y/o legalmente no permitida suelen
camuflar o variar el remitente de la comunicación.
El “spamming” sería la acción de enviar spam. La palabra equivalente en inglés, spam, proviene de
la época de la segunda guerra mundial, cuando los familiares de los soldados en guerra les enviaban
comida enlatada; entre estas comidas enlatadas se encontraba una carne enlatada llamada spam, que
en Estados Unidos era y sigue siendo muy común.
Este término comenzó a usarse en la informática décadas más tarde al popularizarse, gracias a un
sketch de 1970 del grupo de comediantes británicos Monty Python, en su serie de televisión Monty
Python's Flying Circus, en el que se incluía spam en todos los platos.
La forma de realizar spam, aunque la más general está asociada con el correo electrónico, puede
utilizar otros medios de comunicación, como los mensajes SMS (Spam SMS), sobre voz IP ( SPIT), a
través de mensajería instantánea (SPIM).
E l Spam, además de fines publicitarios, se está utilizando para difundir malware y/o utilizando
ingeniería social para romper la seguridad de la víctima.
28/70
Introducción a la ciberinteligencia y ciberseguridad
Troyano
Es un pequeño programa generalmente alojado dentro de otra aplicación (un archivo) normal.
Su objetivo es pasar inadvertido al usuario e instalarse en el sistema cuando este ejecuta el archivo
“huésped”. Luego de instalarse, pueden realizar las más diversas tareas, ocultas al usuario.
Actualmente, se los utiliza para la instalación de otros malware como backdoors y permitir el
acceso al sistema al creador de la amenaza.
Los más conocidos son los denominados troyanos bancarios, diseñados para robar las credenciales
de acceso a la banca online.
Algunos troyanos, los menos, simulan realizar una función útil al usuario a la vez que también
realizan la acción dañina.
La similitud con el “caballo de Troya” de los griegos es evidente y debido a esa característica
recibieron su nombre.
Existen troyanos que incorporan en sí mismos una suite de herramientas de malware, por ejemplo
Zeus, SpyEye, Carberp o Citadel.
Spyware
El término spyware también se utiliza más ampliamente para referirse a otros productos que no son
estrictamente spyware.
Estos productos realizan diferentes funciones, como mostrar anuncios no solicitados ( pop-up),
recopilar información privada, redirigir solicitudes de páginas e instalar marcadores de teléfono.
Un spyware típico se autoinstala en el sistema afectado de forma que se ejecuta cada vez que se
pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la estabilidad del
ordenador), y funciona todo el tiempo, controlando el uso que se hace de Internet y mostrando
anuncios relacionados.
Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que
funciona como un parásito.
Este nombre viene dado de las palabras en idioma inglés spy que significa espía, y ware (para este
caso) que significa programa.
29/70
Introducción a la ciberinteligencia y ciberseguridad
Objetivo
Normalmente, este software envía información a sus servidores, en función a los hábitos de
navegación del usuario.
También recogen datos acerca de las páginas de internet por las que se navegan y la información
que se solicita en esos sitios, así como direcciones IP y URL que se visitan.
Ransomware
Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y
coaccionando al usuario a pagar el rescate.
La víctima, para obtener la contraseña que libera la información, debe pagar al atacante una suma
de dinero, según las instrucciones que este disponga. Su popularización llegó a través de la extendida
variante del “virus de la policía”, la cual se ha extendido por todo el mundo secuestrando los equipos
y bloqueando la pantalla con una imagen perteneciente de la policía de su país.
Ransomware existen desde hace tiempo: desde bloqueadores que solicitaban para el desbloqueo
una llamada o un SMS Premium hasta los últimos que utilizan sistemas de cifrado híbrido y pagos
con monedas virtuales como Bitcoins.
APT
Una de las amenazas más peligrosas, por no seguir las reglas del juego en cuanto a si fortificamos
nuestras vulnerabilidades para que no sea rentables el explotar nuestro sistema nos hace menos
apetecible para convertirnos en una víctima, son las APT “Advanced Persistent Threat” (Amenazas
Persistentes Avanzadas).
Una APT, generalmente, fija sus objetivos en organizaciones o naciones por motivos de políticos
comerciales o de seguridad.
Los procesos de APT requieren un alto grado de cobertura durante un largo período de tiempo.
30/70
Introducción a la ciberinteligencia y ciberseguridad
Técnicas sofisticadas
El proceso avanzado involucra sofisticadas técnicas que utilizan software malicioso para
explotar vulnerabilidades en los sistemas.
Automatización
La automatización en este tipo de ataque no está dirigida a atacar a múltiples objetivos, sino a
aumentar el poder de penetración en el objetivo.
APT, generalmente, involucra a un solo grupo de inicio a final del ataque, un solo grupo
controla todos los roles del ataque, tal como un gobierno, tanto con la capacidad como con la
intención de dirigirse de forma persistente y eficaz contra una entidad específica.
Objetivo
Conocer las herramientas atacantes, así como el nombre del archivo, puede ayudar al profesional
a la búsqueda de todos los sistemas afectados en la red afectada.
31/70
Introducción a la ciberinteligencia y ciberseguridad
Ingeniería social
Es una técnica basada en los sentimientos humanos para conseguir que voluntariamente e
inconscientemente realice la víctima una acción favorable al atacante, como facilitar información
confidencial, ejecutar un software, dirigirse a un sitio web. La forma de interactuar del atacante con la
víctima puede ser directa, llamada telefónica, mensajería instantánea, presencial o bien indirecta o no
instantánea, como “Web Spoofing”, correos electrónicos, mensajes en foros.
Se apoya en que en general la gente tiende a ayudar, en primera instancia es confiada, no les gusta
decir que no, les gustan los elogios y se dejan llevar por los sentimientos.
DoS
Ataques típicos de denegación de servicio es la saturación del ancho de banda impidiendo que otros
usuarios puedan comunicarse o la saturación de la memoria o de los procesos de los servidores para
que sea inoperativo su funcionamiento.
La denominación de “denegación” se debe a que al estar saturado el sistema deniegue las peticiones
del resto de usuarios por no poder cumplir su servicio. El objetivo del atacante es el provocar esta
situación en los servidores, el no funcionamiento o el mal funcionamiento de los mismos para los
usuarios.
Cuando esos ataques provienen de diferentes orígenes, para impedir que la víctima ponga reglas o
filtros de evitar las comunicaciones de un solo origen, es lo que se conoce como ataque DDoS (sus
siglas vienen del inglés: “Distributed Denial of Service”).
El uso de una Botnet, donde el atacante puede disponer de diferentes puntos de origen del atacante
a través de los computadores controlados, permite de una forma fácil y eficaz de realizar un DDoS.
ISQL
Proviene del inglés “SQL injection”. Es una técnica de aprovecharse de aquellas implementaciones
de consultas SQL a Bases de Datos donde no se filtran o validan los parámetros introducidos para
construir el comando de consulta, pudiendo mediante la inclusión de un código obtener respuestas al
mismo para ir extrayendo información de una forma progresiva.
32/70
Introducción a la ciberinteligencia y ciberseguridad
Gizmodo publicó en mayo de 2013 el artículo “Así se propagaron los virus más destructivos de
la historia”, disponible en: http://es.gizmodo.com/asi-se-programaron-los-virus-mas-
destructivos-de-la-his-678700816.
"Jerusalem, también conocido como Viernes 13, fue uno de los primeros virus de MS DOS. Si el
viernes coincidía en 13, este pequeño bastardo borraba todos los archivos de programa en ejecución,
supuestamente, por motivos religiosos".
33/70
Introducción a la ciberinteligencia y ciberseguridad
"Este fue uno de los primeros gusanos, e infectó más de 6.000 ordenadores de la época, incluyendo
algunos de la NASA. Un error en el código del propio virus lo hizo replicarse como una peste por las
redes, causando unos 100 millones de dólares en daños".
Melissa, 1999
"Creado por David L. Smith, alias Kwyjibo, en honor de una bailarina de Topless de Florida de la
que se enamoró, Melissa era un virus tipo macro que se reproducía en archivos Word y Excel y se
enviaba mediante Outlook. Provocó 80 millones de dólares en pérdidas. Su autor confesó más tarde
que no esperaba que fuera a ser tan dañino".
34/70
Introducción a la ciberinteligencia y ciberseguridad
"Aunque de nombre romántico, el estudiante de Manila que lo programó no debía ser muy querido.
I Love You se transmitía como un correo electrónico con una presunta carta de amor. Al abrirlo,
borraba todos los archivos .jpg del disco duro".
"Code Red fue uno de los virus más dañinos por su capacidad de ejecutarse en memoria sin dejar
archivos a su paso. Enfocado a servidores con Windows NT y Windows 2000 Server Edition, Code
Red causó dos mil millones en pérdidas a no pocas empresas".
35/70
Introducción a la ciberinteligencia y ciberseguridad
"Este virus infectaba servidores web aprovechando un fallo de Microsoft SQL Server y después se
reproducía utilizando direcciones IP al azar. Es una pieza de código excepcional por su longitud. Cabe
en solo cinco tuits".
"Este virus de múltiples nombres hizo reiniciarse una y otra vez a cientos de miles de ordenadores
debido a un fallo en Windows XP y Windows 2000. Su autor dejó dos mensajes en el código: ‘Te
amo San’ y ‘Billy Gates, ¿por qué permites esto? Deja de ganar dinero y arregla tu software'.
Reivindicativo, el chico".
36/70
Introducción a la ciberinteligencia y ciberseguridad
Bagle, 2004
"Este gusano se transmitía en un archivo adjunto para abrir una puerta trasera en todas las versiones
de Windows. Después, esa puerta podía ser utilizada para tomar control del equipo. Su autor escribió
un poema en el código".
Sasser, 2004
"Sasser fue creado por el programador alemán de solo 17 años Sven Jaschan. Al igual que sus
contemporáneos, aprovechaba un agujero de seguridad de Windows".
37/70
Introducción a la ciberinteligencia y ciberseguridad
Fuente: MyDooom.
"Aunque su código no es muy llamativo, MyDoom tiene el notable récord de ser el gusano que más
rápido se extendió por email. La infección fue tan fulminante que ralentizó un 10 % el tráfico de
Internet y algunas páginas redujeron su velocidad a la mitad".
Fuente: Conficker.
"Su nombre lo dice todo. Este virus se ciscaba en la configuración del ordenador con caóticos
resultados".
38/70
Introducción a la ciberinteligencia y ciberseguridad
Stuxnet, 2009-2010
Fuente: Stuxnet.
"Stuxnet es conocida como la primera arma digital desarrollada por un gobierno. Era un gusano
creado a medias por los gobiernos estadounidense e israelí para atacar plantas nucleares en Irán. La
creación se les fue de las manos e infectó ordenadores por todo el mundo".
39/70
Introducción a la ciberinteligencia y ciberseguridad
Fuente: Flame.
"Flame es otra herramienta de terror gubernamental contra países de Oriente Medio, y era una
sofisticada y enorme. De hecho era tan grande (20 MB) que se infiltraba en varios archivos
comprimidos. Cuando la opinión pública se hizo eco de su existencia, sus creadores ejecutaron una
‘Orden 66’ y el virus se autodestruyó. Kaspersky lo considera el virus más sofisticado y de mayor
capacidad destructiva de la historia".
"En portada tenemos a Chernobyl, un virus de Windows 95, 98 y Me que sobreescribía datos de la
BIOS y dejaba el PC inservible. Encima se quedaba alojado en la memoria".
También podemos encontrar un top 10 de virus informáticos más destructivos de los últimos
años publicados en http://pijamasurf.com/2013/03/top-10-virus-informaticos-mas-destructivos-
de-los-ultimos-anos/.
"En el año 2000, millones de personas cometieron el error de abrir lo que parecía ser un correo
electrónico de un admirador secreto. Llevaba por título simplemente “I Love You”, pero en vez de ser
una confesión amorosa, realmente era un “gusano”, que después de sobrescribir las imágenes de los
usuarios se mandaba por correo electrónico a 50 contactos de la agenda Windows del usuario. En tan
solo unas horas se convirtió en una infección global". [...]
40/70
Introducción a la ciberinteligencia y ciberseguridad
"Comparado al malware moderno Code Red parece no ser tan peligroso, sin embargo en el 2001
sorprendió a expertos de seguridad en línea al utilizar una falla en el Servidor de Información de
Microsoft, logrando bajar y cambiar algunos sitios web. El más memorable quizá fue el sitio de la
Casa Blanca: whitehouse.gov y obligó también a otros sitios gubernamentales a bajar sus páginas
momentáneamente". [...]
8. Slammer (2003)
"En enero del 2003, Slammer probó que tan dañino podía ser un gusano para los servicios públicos
y privados. El gusano liberaba una avalancha de paquetes de red, y la cantidad de datos que transmitía
a través del Internet causó que varios servidores suspendieran actividades casi inmediatamente. Entre
las víctimas del gusano se encontraron Bank of America, el servicio de emergencias estadounidense
911 y una planta nuclear en Ohio". [...]
7. Fizzer (2003)
"Los gusanos que se habían visto hasta el año 2004 eran principalmente para crear un poco de caos,
Fizzer iba tras el dinero. Muchos desestimaron al gusano ya que no se movía con la rapidez de Code
Red, pero lo que lo hacía más peligroso es que era un gusano creado para obtener ganancias –una vez
en tu correo electrónico enviaba correos no solo para propagarse, sino para enviar spam de porno y
pastillas". [...]
6. My Doom (2004)
"En el 2004 logró infectar alrededor de un millón de máquinas lanzando una negación masiva del
servicio de ataque, al hacer esto abruma a su objetivo al enviarle información de diversos sistemas. El
gusano se propagaba por correo electrónico y lo hizo con una rapidez jamás antes vista". [...]
5. PoisonIvy (2005)
"Es la pesadilla de todo sistema de seguridad, ya que permite que el virus controle la computadora
que ha infectado. PoisonIvy pertenece al grupo de malware conocido como “un troyano remoto”, ya
que le permite al creador del virus tener acceso completo a las máquinas que ha infectado usando una
especie de puerta trasera, al grado que permite grabar y manipular información del equipo.
Inicialmente se le consideró una herramienta de hackers principiantes, el virus ha llegado a afectar a
muchas compañías de Occidente". [...]
41/70
Introducción a la ciberinteligencia y ciberseguridad
4. Zeus (2007)
"Actualmente es el malware más usado para obtener, de manera ilegal, información personal. Se
puede comprar por un precio de 50 centavos de dólar en el mercado del crimen virtual y permite robar
contraseñas y archivos. La información personal robada puede ser utilizada para hacer compras en
línea o crear cuentas bancarias a nombre de una identidad comprometida". [...]
3. agent.btz (2008)
"En el 2009 este nuevo virus afectó a millones de máquinas con Windows en todo el mundo. Logró
crear una especia de ejército global que robaba todo tipo de información. Debido a que era realmente
difícil de parar, se creó un grupo de expertos dedicados específicamente a detenerlo, el virus se llegó a
conocer como el “súper bicho”, o “súper gusano”. Lo que ha dejado a los expertos realmente perplejos
es que nadie sabe para qué es exactamente, pues la información robada jamás se utilizó". [...]
1. Stuxnet (2009-2010)
"Este virus fue el primero en ser creado para causar daño en el mundo real y no solo en el mundo
virtual. El malware tenía como objetivo principal dañar sistemas industriales –se cree que el virus fue
responsable de causar daños al equipo que procesaba uranio en una planta de Natanz en Irán-.
Basándose en información de la Agencia Internacional de Energía Atómica, los expertos creen que el
virus fue responsable de causar que muchas centrifugues que procesaban uranio en Irán giraran hasta
perder el control y se autodestruyeran. El virus no se descubrió hasta el 2010, pero sospechan que
infectó computadoras desde el 2009". [...]
Debemos entender que en esta lista encontramos algunos que pueden ser catalogados más
acertadamente como otro tipo de malware, por ejemplo Stuxnet (APT), Zeus (troyano bancario),
Slammer, Morris y Bagle (gusanos).
42/70
Introducción a la ciberinteligencia y ciberseguridad
Carberp
"La versión original era el típico troyano diseñado para robar la información confidencial de los
usuarios como las credenciales bancarias o los accesos a diferentes páginas web. Carberp transmitía los
datos robados a un servidor C&C controlado por el creador del malware. Simple y directo. El único
componente “complicado” era el rootkit que permitía al troyano pasar desapercibido en el ordenador de
la víctima. La siguiente generación incluía plug-ins: uno que eliminaba el software antivirus del equipo
infectado y otro que intentaba “destruir” el resto de malware, en caso de que lo hubiera. [...]
Las cosas empezaron a ponerse más interesantes cuando se le confirió la habilidad de cifrar el tráfico
de información entre las máquinas infectadas y el servidor C&C. Además, este troyano empezó a
trabajar junto al famoso exploit Backhole, infectando a un gran número de equipos. Los creadores de
Carperb, a su vez, desarrollaron un módulo específico para Facebook que engañaba a los usuarios con
cupones en metálico, para secuestrar sus cuentas en una estafa de ransomware. [...]
A partir de ese momento, comenzó su declive. Las autoridades rusas arrestaron a ocho individuos
sospechosos de controlar este malware. A pesar de todo, Carperp sigue vivo. Aunque, en el pasado, los
ciberdelincuentes tuviesen que pagar hasta 40.000 dólares para tener acceso al troyano; en 2012, se
publicó el código fuente y, hoy en día, cualquiera que tenga los conocimientos suficientes puede tener
acceso a este programa. [...]
Citadel
"Este malware es una versión del rey de los troyanos, Zeus. Surgió, junto con otros programas
maliciosos, después de que se publicara el código fuente de Zeus en el año 2011. Su popularidad se
debía a que los creadores desarrollaron un modelo de código fuente abierto que permitía a cualquiera
revisarlo y mejorarlo. [...]
Citadel vivió una época dorada hasta que Microsoft, junto con otras compañías, lanzó una operación
que interrumpió el 88 % de las infecciones".
SpyEye
"Se supone que SpyEye se convertiría en el competidor del troyano Zeus. Pero, al final, no pudo ganar
la batalla y alzarse con el título de soberano, aunque también disfrutó de su minuto de gloria. [...]
43/70
Introducción a la ciberinteligencia y ciberseguridad
De hecho, algunas partes de la operación SpyEye se unieron a Zeus en un gran botnet bancario, que
desapareció rápidamente, pero cosechando, mientras tanto, bastante éxito. Los atacantes utilizaron este
malware contra la entidad Verizon, robando la información personal de los usuarios durante una semana
sin que alguien se percatara del golpe. Además, SpyEye utilizaba los servicios de almacenamiento en la
nube de Amazon para difundir el malware en sus campañas maliciosas. [...]
Finalmente, tres hombres fueron arrestados en el verano de 2012 por usar SpyEye para robar
información bancaria. En mayo de este año, también se capturó, en Tailandia, a uno de los
desarrolladores del troyano para extraditarlo, después, a EE. U.U. donde se enfrenta a una treintena de
cargos por sus crímenes on-line. Desde entonces, no hemos sabido nada más sobre SpyEye".
Zeus
"Es el turno de Zeus. Bajo el nombre de un dios griego, este troyano es sinónimo de eficacia y
precisión. Desde que se hizo público su código fuente en 2011, parece que todos los troyanos bancarios
tienen algo de Zeus en ellos. No obstante, solo este dispone de su propio espacio en Wikipedia e,
incluso, en nuestro blog, Viruslist, existen más de 22 artículos relacionados con él. Tal es su popularidad
que se podría escribir una novela de la misma longitud que “El Quijote” narrando sus maldades; aunque
sería prácticamente imposible relatar cada una de ellas. Apareció en escena en 2007, tras un ataque
contra el Departamento de Transporte de EE. UU. Desde aquella primera campaña, Zeus ha infectado
diez millones de equipos y robado cientos de millones de dólares hasta que sus creadores revelaron su
código fuente. Desde entonces, cientos de individuos han dado con sus huesos en la cárcel por participar
en estafas donde Zeus era el protagonista. Además, este malware se convirtió en el azote de bancos,
agencias gubernamentales o instituciones públicas. La lista de víctimas es realmente extensa. [...]
Zeus también se ha hecho famoso por su hermano pequeño, la versión móvil ZitMo que es capaz de
sortear los sistemas dobles de verificación que envían el código de acceso a través de un sms. Por cierto,
sus compañeros, SpyEye y Carberp, también han desarrollado sus modelos móviles. [...]
Dejando a un lado su faceta de troyano bancario, Zeus se ha convertido en uno de los malware más
conocidos a escala internacional, solo precedido por Stuxnet".
44/70
Introducción a la ciberinteligencia y ciberseguridad
www.scam.com
Fuente: http://www.scam.com/.
www.scamwatch.gov
Fuente: http://www.scamwatch.gov.au/content/index.phtml/tag/Scamwatch/.
45/70
Introducción a la ciberinteligencia y ciberseguridad
Fuente: http://outbytes.blogspot.com.es/2009/04/listado-de-programas-de-seguridad.html.
46/70
Introducción a la ciberinteligencia y ciberseguridad
www.spywarewarrior.com
Fuente: http://www.spywarewarrior.com/rogue_anti-spyware.htm.
AURORA
47/70
Introducción a la ciberinteligencia y ciberseguridad
GH0SNET
(Marzo 2009): 1295 equipos en 103 países. Objetivo espiar al Dalai Lama y embajadas, ministerios
de países del Sur/Sureste de Asia. Se sospecha que el gobierno chino está detrás de la operación.
Empleo de la herramienta Gh0st RAT.
Ejemplo APT
STUXNET
(Junio de 2010): gusano- malware avanzado que afecta a sistemas SCADA de control y
monitorización.
Stuxnet es excesivamente grande (0,5 MB) escrito en distintos lenguajes incluyendo C . Firmado
digitalmente con dos certificados auténticos. Actualización por P2P.
Se sospecha que fue desarrollado entre Israel y EE. UU. para atacar las centrales nucleares de Irán.
48/70
Introducción a la ciberinteligencia y ciberseguridad
NIGHT DRAGON
Con el acceso de los hackers obtuvieron acceso a información sobre los sistemas de producción de
gas y petróleo y los documentos operativos y financieros.
SHADY RAT
(Desde 2006 a 2011): 72 organizaciones afectadas por el robo de información entre las que se
incluían Naciones Unidas, Comité Olímpico Internacional, gobiernos y diversas empresas en todo el
mundo.
NITRO
THE FLAME
Descubierto en mayo 2012 y también conocido como Flamer y sKyWIper. Malware avanzado
utilizado para el ciberespionaje en países de Oriente Medio, entre los que se encuentran Irán, Israel,
Sudán, Siria, Líbano, Arabia Saudí y Egipto.
Se propaga por LAN y Memorias USB. Tamaño grande 20MB, C; usa cinco métodos diferente de
cifrado y BD SQLite. Aprovecha dos vulnerabilidades usadas por Stuxnet para infectar sistemas
(recurso 207 que era un plugin de Flame usado en 2009 cuando Flame ya existía para propagarse por
USB). Utilizaba un certificado generado mediante técnicas de colisión de la función hash MD5. Se
sospecha que Israel o EE. UU. estaban detrás del mismo.
GAUSS
Basado en Flame e intercambia funcionalidades con este como las subrutinas de infección USB.
Las víctimas principales fueron Líbano, Palestina e Israel.
49/70
Introducción a la ciberinteligencia y ciberseguridad
APT1
(Febrero 2013): unidad militar del ejército chino encargada de la ciberinteligencia a nivel mundial,
especialmente en países de habla inglesa. Ataque a 141 organizaciones de EE. UU. y otros países de
habla inglesa desde el 2006. Robo de Propiedad Intelectual.
RED OCTOBER
Uno de los comandos en Trojan dropper es el cambio del codepage a 1251, requerido para
renderizar las fuentes cirílicas y en las propiedades de los archivos Excel de todos los exploits indican
su edición con chino simplificado.
KIMSUKY
Primeros signos datan de abril de 2013. Se utiliza el troyano Kimsuky y utiliza una versión
modificada de TeamViewer como puerta de entrada. Todo apunta a que Corea del Norte está detrás de
la APT, por los objetivos, por las cadenas de ruta con palabras coreanas:
(Atacar, terminar), por las IP detrás de los emails origen del spar-phishing que son de las provincias
chinas de Jilin y Liaoning, cuyos ISP también abastecen zonas de Corea del Norte, el malware
Kimsuky solo desactiva herramientas de seguridad de AhnLab, una compañía anti malware de Corea
del Sur.
50/70
Introducción a la ciberinteligencia y ciberseguridad
STORM
"Ha sido uno de los primeros en tener éxito usando tácticas que luego serían utilizadas por otras
botnets de esta lista. Fue masivo, logrando alcanzar diez millones de computadoras con Windows en
su cenit. También fue una de las primeras botnets increíblemente grandes usadas para el rédito
económico de sus autores. [...]
El gran tamaño de esta red les permitió fraccionarla para venderla a diferentes partes, con diversos
fines maliciosos. Y porque esto resultó un esfuerzo muy lucrativo, los creadores del malware lo
diseñaron para que pelee contra los investigadores antimalware: era capaz de tornar sus fuerzas
zombis contra quien intentara unirse a su canal de comando y control, desde donde los autores daban
órdenes a los bots, dejando a los investigadores offline y fuera de batalla".
CONFICKER
" E l malware es difícil de predecir. A veces una amenaza que en la superficie no parece ser
particularmente avanzada, puede terminar protagonizando un ataque abrumador. En su apogeo,
Conficker infectó millones de máquinas Windows: algunos dicen que el número llegó a 15 millones.
[...]
En las películas, cuando una amenaza complica el modo de vida cotidiano, un grupo de
especialistas se forma para derrotar al enemigo. Esto no fue diferente: la cantidad de infecciones fue
tan grande que se creó el equipo Conficker Working Group para pelear contra él. Y si bien tuvieron un
éxito disminuyendo el número de máquinas infectadas, según el sitio del grupo, hay todavía un millón
de computadoras aún afectadas en el mundo –seis años después de que fuera descubierto–".
ZEUS
"Zeus no solo fue una gran botnet en sistemas Windows, tenía también un componente que robaba
códigos de banca en línea de una variedad de dispositivos infectados (Symbian, Windows Mobile,
Android y Blackberry). En 2012, fuerzas estadounidenses y sus socios de la industria de la tecnología
dieron de baja la botnet. [...]
Pero los autores originales tomaron piezas de su creación original y la revivieron –tal como un
hechicero vuelve a la vida a un zombi resucitado– y nació lo que conocimos como Gameover Zeus, la
cual el FBI dio de baja hace unos meses. [...]
Sin embargo, ese tampoco fue el final de esta bestia informática: sus creadores están rearmando
nuevamente su red zombi. ¿Se acuerdan de Cryptolocker, que no nos daba respiro el año pasado? Esta
amenaza fue propagada por variantes de Zeus".
51/70
Introducción a la ciberinteligencia y ciberseguridad
FLASHBACK
"Para aquellos que piensan que “Mac no se infecta con virus”, Flashback fue en cierta forma un
shock. Lo cierto es que las Macs pueden infectarse con malware –y lo hacen–. De hecho, máquinas
infectadas se han convertido en parte de esta botnet masiva. Mientras la red Conficker se hizo de un
mayor número de máquinas afectadas, Flashback tuvo un gran porcentaje del número total de
máquinas Apple, con cerca de 600 mil infectadas en su “mejor” momento. [...]
Hoy la botnet está abandonada, pero contemplando que aún hay computadoras infectadas, ¿quién
sabe qué deparará su futuro?"
WINDIGO
"En la superficie, este bot parece ser como muchos otros: roba credenciales de máquinas infectadas,
o usa su poder de procesamiento para enviar spam. Y con solo algunas decenas de miles de máquinas
infectadas en su pico, sería difícil equiparar esta amenaza con el resto de las botnets de esta lista. [...]
Sin embargo, los autores de este malware parecen haber creado su propio ejército zombi
lentamente, de modo que han logrado permanecer fuera del radar por un tiempo. [...]
Y esas decenas de miles de máquinas son Linux, en su mayoría servidores, y muchos alojan sitios
que visitan millones de personas. Windigo no se limita a afectar sistemas Linux: infecta computadoras
Windows con malware que se propaga a través de un exploit kit. También “sirve” a los usuarios de
Mac con avisos de sitios de citas, y redirige a los de iPhone a sitios pornográficos. [...]
El nombre viene de la leyenda algonquina que habla de un Wendigo asociado al canibalismo –la
representación “corporizada” de la gula, la avaricia y el exceso–. Esta bestia nunca estaba satisfecha
matando y consumiendo a una persona; siempre estaba buscando nuevas víctimas".
52/70
Introducción a la ciberinteligencia y ciberseguridad
https://www.ccn-cert.cni.es/publico/dmpublidocuments/CCN-CERT_IA-21-
14_Ransomware.pdf.
53/70
Introducción a la ciberinteligencia y ciberseguridad
CRYPTOLOCKER
Uno de los ransomware más dañinos durante los años 2013/2014 para los sistemas Windows XP,
Windows Vista, Windows 7, y Windows 8 ha sido CryptoLocker. Sus primeras variantes se
identificaron en septiembre de 2013 y actualmente sigue contando con nuevas versiones que hacen
prácticamente imposible la recuperación de los ficheros cifrados. Para dicho cifrado CryptoLocker
utiliza una mezcla de RSA y AES, solicitando un pago al usuario entre 100$ y 300$ por medio de
BTC o MoneyPak para la recuperación de los mismos. Si dicho pago se demora más de 72 horas el
ransomware amenazará con eliminar la clave privada utilizada para el cifrado de los documentos.
CRYPTOWALL
Poco tiempo después del cierre de la infraestructura de Gameover Zeus y CryptoLocker mediante la
“Operación Tovar”, un ransomware similar a CryptoLocker y CryptoDefense (véase en el siguiente
punto) dio a conocerse utilizando también correos de phishing como vía de infección. Desde el blog
de McAffe [http://blogs.mcafee.com/mcafee-labs/cryptowall-ransomware-built-with-rc4-bricks]
pueden verse algunos ejemplos reales de este tipo de correos en los que se incita al usuario a
descargar y ejecutar un determinado fichero dañino.
CRYPTODEFENSE
54/70
Introducción a la ciberinteligencia y ciberseguridad
Este ransomware emplea un enfoque muy parecido a CryptoWall y CryptoLocker. Utiliza RSA
2048 como sistema de cifrado y solicita al usuario un pago de 500$ USD por medio de BTC en un
intervalo de 4 días. Si el pago se demora más tiempo, el dinero solicitado se duplicará.
El portal de pago estará también localizado dentro del dominio “.onion”, por lo que el usuario
deberá utilizar un cliente Tor o bien usar una pasarela Web-to-Tor. Según información de Bromiun
Labs [Ref.-28] este tipo de ransomware ha sido distribuido por medio de exploits para versiones de
Java vulnerables.
Cada fichero cifrado contendrá una cabecera con la cadena "!crypted!" junto con un identificador
único para el host afectado (hash de 32 caracteres). Entre la lista de ficheros objetivo, el ransomware
también cifrará certificados SSL y ficheros correspondientes a código fuente.
55/70
Introducción a la ciberinteligencia y ciberseguridad
TORRENTLOCKER
Utilizando una metodología similar a CryptoLocker y CryptoWall, CryptoTorrent, cifrará una gran
variedad de ficheros y solicitará cierta cantidad de BTC para la recuperación de los mismos. Sin
embargo, el código utilizado por este espécimen es completamente diferente a dichas familias de
malware. El alias asociado a este espécimen se debe al uso de la cadena “Bit Torrent Application” en
determinadas entradas de registro; aunque este no presente ninguna relación con el protocolo
BitTorrent.
CryptoTorrent fue difundido a partir del mes de agosto de 2014, centrándose principalmente en
países como Australia e Inglaterra por medio de mensajes de phishing que emulaban determinados
servicios de paquetería. Una vez que el usuario descarga y ejecuta el fichero dañino comienza el
proceso de infección.
56/70
Introducción a la ciberinteligencia y ciberseguridad
CRYPTOGRAPHIC LOCKER
Durante los meses de agosto y septiembre de 2014 se identificó un nuevo ransomware bajo el
nombre CryptoGraphic Locker que utilizaba exploits-kits como principal vía de infección
(posiblemente mediante exploits para Silverlight tal y como indican algunos usuarios en KernelMode
[http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3466]).
57/70
Introducción a la ciberinteligencia y ciberseguridad
BAT_CRYPTOR
Durante los meses de julio y agosto de 2014 las compañías Symantec y Trend Micro informaban de
un nuevo tipo de ransomware, caracterizado por el uso de GPG (GNU Privacy Guard) para el cifrado
de los ficheros del sistema infectado. Dicho espécimen ha sido apodado como Trojan.Ransomcrypt.L
y BAT_CRYPTOR.A [Ref.-36] por ambas compañías respectivamente.
El vector de entrada de dicho malware se realiza principalmente por medio de mensajes de spam,
en el que se envía como adjunto un JScript que servirá de dropper de los ficheros dañinos, dentro de
los que se incluye una copia de la herramienta GnuPG. Dicha herramienta será renombrada a
svchost.exe.
58/70
Introducción a la ciberinteligencia y ciberseguridad
Uno de los ransomware más sofisticados identificados durante el 2014 ha sido CTBLocker (Curve-
Tor-Bitcoin Locker), también conocido como Critroni. A diferencia de otros ransomware, este
espécimen [Ref.-38] se caracteriza por utilizar Tor para su comunicación con el servidor de control (el
cual es alcanzable únicamente dentro del dominio “.onion”), dificultando enormemente la localización
del mismo. Además, el esquema criptográfico utilizado hace realmente compleja la recuperación
(descifrado) de los ficheros, incluso si el tráfico entre el malware y el C2 es interceptado.
A finales de enero de 2015, se produjo una importante campaña de distribución de una versión
mejorada del original CTB-Locker. El vector de infección en este caso estaba íntimamente ligado al
conocido downloader Dalexis, que se propagaba a través de correo electrónico en el interior de
ficheros comprimidos con extensiones .zip o .cab.
59/70
Introducción a la ciberinteligencia y ciberseguridad
ZEROLOCKER
Es otro ransomware descubierto en agosto de 2014, el cual genera una clave aleatoria de 160 bits
para cifrar [Ref.-40] mediante AES todos los ficheros del disco duro (incluyendo binarios).
Únicamente quedarán exentos de dicho cifrado ficheros superiores a 20 MB, así como los directorios:
"Windows", "WINDOWS", "Program Files", "ZeroLocker" y "Desktop". Los ficheros cifrados por
ZeroLocker serán renombrados con la extensión “.encrypt”. Mientras que los ficheros originales serán
eliminados.
CRYPTOFORTRESS
En un primer momento se pensó que se trataba de una réplica del famoso ransomware
Torrentlocker (sección 7.3), ya que la página con las instrucciones de pago que se presenta al usuario
es idéntica en apariencia:
60/70
Introducción a la ciberinteligencia y ciberseguridad
http://prezi.com/xcjikhf9fuck/?utm_campaign=share&utm_medium=copy
http://prezi.com/k2iaowfs26bc/?utm_campaign=share&utm_medium=copy
http://prezi.com/b0tjrkiwgs79/?utm_campaign=share&utm_medium=copy
61/70
Introducción a la ciberinteligencia y ciberseguridad
Ejercicios
Ejercicio propuesto 1
Analice la situación actual de las amenazas existentes por Botnets y geolocalice las conexiones de
origen y destino de estos ataques.
Para la realización del ejercicio puede ayudarse de las diversas herramientas on-line que facilitan
diversas empresas de seguridad en virtud de las monitorizaciones y reportes de usuarios.
Páginas de seguridad
Existen diversas páginas de seguridad que nos muestran en tiempo real los diversos ciberataques
que se están produciendo en el ciberespacio. Como muestra relacionaremos los siguientes:
http://www.sicherheitstacho.eu/
62/70
Introducción a la ciberinteligencia y ciberseguridad
http://map.norsecorp.com/#/
https://www.fireeye.com/cyber-map/threat-map.html
63/70
Introducción a la ciberinteligencia y ciberseguridad
http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&time=16239&view=map
http://cybermap.kaspersky.com/
64/70
Introducción a la ciberinteligencia y ciberseguridad
http://globe.cyberfeed.net/
http://www.akamai.com/html/technology/dataviz1.html
65/70
Introducción a la ciberinteligencia y ciberseguridad
http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-
map/index.html
https://apt.securelist.com/#secondPage
66/70
Introducción a la ciberinteligencia y ciberseguridad
http://atlas.arbor.net/worldmap/index
http://map.honeynet.org/
67/70
Introducción a la ciberinteligencia y ciberseguridad
http://www.team-cymru.org/malicious-activity-maps.html
http://www.shadowserver.org/wiki/pmwiki.php/Stats/DDoSMaps
68/70
Introducción a la ciberinteligencia y ciberseguridad
http://worldmap3.f-secure.com/
https://labs.opendns.com/global-network/
69/70
Introducción a la ciberinteligencia y ciberseguridad
Recursos
Enlaces de Interés
http://blogs.mcafee.com/mcafee-labs/cryptowall-ransomware-built-with-rc4-bricks
McAffe
http://map.norsecorp.com/#/
http://map.norsecorp.com/#/
http://map.norsecorp.com/#/
https://www.fireeye.com/cyber-map/threat-map.html
https://www.fireeye.com/cyber-map/threat-map.html
https://www.fireeye.com/cyber-map/threat-map.html
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3466
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3466
70/70