Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CIBERSEGURIDAD: UN ENFOQUE
PRÁCTICO
LECCIÓN 1: INTRODUCCIÓN A LA CIBERSEGURIDAD
Esquemáticamente, se puede afirmar que los ataques explotan vulnerabilidades de los sistemas
de información y las redes de ordenadores (en adelante simplemente sistemas) para provocar un
daño en estos. Para hacer frente a los riesgos que conllevan estos ataques nos hemos venido
dotando de medidas de seguridad, definidas como aquellas que tratan de mitigar (pues cancelar
es imposible) dichos riesgos.
En ocasiones, estas medidas se denominan controles, salvaguardas o contramedidas. Es
importante precisar que estas medidas y su aplicación deben ser proporcionales a la naturaleza
de los datos, a los riesgos a los que están expuestos estos y los sistemas de información que los
tratan, y al estado de la tecnología. Es decir, tan improcedente es que las medidas de seguridad
sean excesivas para los riesgos que se pretenden mitigar, como que se queden cortas para
rebajarlos hasta un nivel oportuno, que será diferente en cada caso.
Atendiendo a su forma de actuación, pueden ser preventivas (pretenden evitar los ataques),
detectoras (que tratan de detectarlos, mientras suceden), correctivas (que se ocupan de atajarlos)
y recuperadoras (cuya misión es devolver los sistemas a la situación previa al ataque). Pero
también pueden clasificarse según su naturaleza, resultando en medidas de tipo físico, técnico,
de gestión y legal.
Las primeras eran prácticamente las exclusivas hasta principio de los años sesenta del pasado
siglo. Entonces, los ordenadores se ubicaban en salas cuyo acceso físico estaba muy restringido
y el lógico reducido a escasos usuarios. Por tanto, las únicas medidas de seguridad eran las de
prevención y extinción de incendios, de control de inundaciones, etc.
No obstante, todo cambió en el decenio de 1970, en el que se generaliza la tendencia de
conectar los ordenadores a líneas de transmisión para permitir el teleproceso. Con ello, se hace
imprescindible el uso de medidas de identificación y autenticación de confidencialidad, de
integridad, o que garanticen el no repudio, es decir que el autor de un hecho no reniegue
después de su autoría.
Todas estas medidas se implementan mediante mecanismos de seguridad, que son dispositivos
físicos (es decir, hardware) o lógicos (o sea software). Por ejemplo, la identificación se
implementa mediante sistemas basados en contraseñas y cada vez más a menudo mediante
sistemas biométricos y de dos factores.
A su vez, la confidencialidad se consigue mediante mecanismos de cifrado, la integridad
mediante las funciones resumen, también denominadas "hash", y el no repudio a través de la
firma digital. Pero debemos esperar al decenio de los 80 para que los países vayan añadiendo a
su ordenamiento legal disposiciones que regulan esta materia. Se promulgan leyes de protección
de datos, códigos penales que incorporan el delito informático, leyes de firma digital, de
protección de infraestructuras críticas, etc. Finalmente, ya en el presente siglo, la ciberseguridad
deja de ser una cuestión exclusivamente técnica para concernir también a los gestores. Es
entonces cuando se extienden los sistemas de gestión de la seguridad de la información, cuyo
paradigma es la familia 27.000 de la Organización Internacional de Estándares (ISO) o el marco
de gestión COBIT.
En definitiva, la ciberseguridad se ha repensado como una ingeniería similar a cualquier otra,
con sus objetivos, recursos y límites legales y normativos, es decir como aquella que tiene como
finalidad el diseño, construcción y mantenimiento de sistemas seguros frente a errores y
amenazas deliberadas o accidentales, atendiendo a los recursos disponibles y respetando las
obligaciones legales y normas técnicas pertinentes.
Esquemáticamente, se puede afirmar que los ataques explotan vulnerabilidades de los sistemas
de información y las redes de ordenadores (en adelante simplemente sistemas) para provocar un
daño en estos.
Para hacer frente a los riesgos que conllevan estos ataques nos hemos venido dotando de
medidas de seguridad, definidas como aquellas que tratan de mitigar (pues cancelar es
imposible) dichos riesgos. En ocasiones, estas medidas se denominan controles, salvaguardas o
contramedidas.
Es importante precisar que estas medidas y su aplicación deben ser proporcionales a la
naturaleza de los datos, a los riesgos a los que están expuestos estos y los sistemas de
información que los tratan, y al estado de la tecnología. Es decir, tan improcedente es que las
medidas de seguridad sean excesivas para los riesgos que se pretenden mitigar, como que se
queden cortas para rebajarlos hasta un nivel oportuno, que será diferente en cada caso.
Atendiendo a su forma de actuación, pueden ser preventivas (pretenden evitar los ataques),
detectoras (que tratan de detectarlos, mientras suceden), correctivas (que se ocupan de atajarlos)
y recuperadoras (cuya misión es devolver los sistemas a la situación previa al ataque). Pero
también pueden clasificarse según su naturaleza, resultando en medidas de tipo físico, técnico,
de gestión y legal.
Las primeras eran prácticamente las exclusivas hasta principio de los años sesenta del pasado
siglo. Entonces, los ordenadores se ubicaban en salas cuyo acceso físico estaba muy restringido
y el lógico reducido a escasos usuarios. Por tanto, las únicas medidas de seguridad eran las de
prevención y extinción de incendios, de control de inundaciones, etc. No obstante, todo cambió
en el decenio de 1970, en el que se generaliza la tendencia de conectar los ordenadores a líneas
de transmisión para permitir el teleproceso. Con ello, se hace imprescindible el uso de medidas
de identificación y autenticación de confidencialidad, de integridad, o que garanticen el no
repudio, es decir que el autor de un hecho no reniegue después de su autoría.
Todas estas medidas se implementan mediante mecanismos de seguridad, que son dispositivos
físicos (es decir, hardware) o lógicos (o sea software). Por ejemplo, la identificación se
implementa mediante sistemas basados en contraseñas y cada vez más a menudo mediante
sistemas biométricos y de dos factores.
A su vez, la confidencialidad se consigue mediante mecanismos de cifrado, la integridad
mediante las funciones resumen, también denominadas "hash", y el no repudio a través de la
firma digital. Pero debemos esperar al decenio de los 80 para que los países vayan añadiendo a
su ordenamiento legal disposiciones que regulan esta materia.
Se promulgan leyes de protección de datos, códigos penales que incorporan el delito
informático, leyes de firma digital, de protección de infraestructuras críticas, etc.
Finalmente, ya en el presente siglo, la ciberseguridad deja de ser una cuestión exclusivamente
técnica para concernir también a los gestores. Es entonces cuando se extienden los sistemas de
gestión de la seguridad de la información, cuyo paradigma es la familia 27.000 de la
Organización Internacional de Estándares (ISO) o el marco de gestión COBIT. En definitiva, la
ciberseguridad se ha repensado como una ingeniería similar a cualquier otra, con sus objetivos,
recursos y límites legales y normativos, es decir como aquella que tiene como finalidad el
diseño, construcción y mantenimiento de sistemas seguros frente a errores y amenazas
deliberadas o accidentales, atendiendo a los recursos disponibles y respetando las obligaciones
legales y normas técnicas pertinentes.
En este vídeo continuaremos hablando sobre el cibercrimen. Otra actividad que se hizo muy
popular hace un par de décadas es el conocido como Scareware.
Esto se refiere a ataques en los que la víctima es engañada para comprar un producto de
seguridad que resulta ser falso.
Normalmente, un antivirus que no funciona en absoluto o que a menudo contiene malware.
Los estudios realizados sobre este tema revelan que alrededor del 2% de las víctimas termina
pagando por este producto.
Los falsos antivirus fueron reemplazados por ramsomware hace algunos años. Ramsomware es
un término genérico que se refiere a software malicioso que impide que las víctimas accedan a
sus sistemas, por ejemplo, cifrando los contenidos del disco duro. Si la víctima quiere recuperar
el acceso al sistema, debe pagar un rescate (por lo general unos pocos cientos de dólares).
El ramsomware ha proliferado extraordinariamente en los últimos años, comenzando con el
caso de Cryptolocker al final del año 2013 y 2014, que se cree que recaudó hasta 4 millones de
dólares en rescates.
Otra actividad muy extendida es el conocido como Fraude de Clicss. Como seguramente saben,
la publicidad en Internet es una industria multimillonaria. Para llevar a cabo este tipo de
fraude, el atacante envía tráfico falso a anuncios y recibe por ello una parte de los ingresos de
los anunciantes.
Estos clics falsos pueden provenir de diferentes fuentes, que pueden incluir desde usuarios que
lo realizan manualmente hasta ordenadores comprometidos que reciben instrucciones de hacer
clic en ciertos anuncios, y también malware diseñado para redirigir clics a sitios específicos.
Según algunos estudios, hasta el 20% de todos los clics son falsos. Actualmente, esto se está
contrarrestando a través de distintas medidas técnicas que identifica que clics son genuinos y
cuales son potencialmente falsos.
El último tipo de cibercrimen del que hablaremos son los ataques contra sistemas de pago y
banca electrónica. En este caso, los atacantes persiguen obtener credenciales de pago, por lo
general detalles de tarjetas de crédito que luego se puedan usar bien para comprar objetos en
otros lugares o incluso para sacar dinero en cajeros automáticos.
Los medios para obtener dichas credenciales de pago son muy variados e incluyen el uso de
malware instalado en los terminales de pago de los puntos de venta, que en algunos casos
pueden leer los detalles de la tarjeta de crédito y el número PIN. En otros casos, el atacante
roba directamente de las bases de datos de pago, como los ataques sufridos por la red de pago
de Sony PlayStation en el año 2011, en el que los atacantes robaron datos pertenecientes a 77
millones de víctimas.
Algunas familias de malware, como es el caso de Zeus, han sido especialmente diseñadas con
el propósito de robar credenciales bancarias, por ejemplo leyendo el nombre de usuario y la
contraseña escrita por las víctimas en los sitios de banca por Internet.
Finalmente, para concluir esta lección hablaremos un poco sobre ciberespionaje. Para muchos
autores, esto se refiere únicamente a un nuevo medio para lograr un viejo objetivo, es decir,
usar las ventajas que ofrece el ciberespacio para obtener información valiosa de competidores
empresariales, de gobiernos o de ciertas personas. Puesto que prácticamente toda la
información que existe hoy en día es en forma digital, esta puede ser robada utilizando medios
digitales. Esto incluye propiedad intelectual, secretos industriales, inteligencia militar, datos
comerciales o información políticamente relevante.
Las organizaciones involucradas en actividades de ciberespionaje incluyen estados,
corporaciones, grupos de ciberdelincuentes o incluso individuos. Las dos razones clave que
hacen que el ciberespionaje sea muy atractivo son que es de bajo riesgo y que es muy rentable.
Es de bajo riesgo por la dificultad inherente de atribuir un ataque a una persona u organización.
Y es rentable porque, en muchos casos la campaña se puede ejecutar con éxito con muchos
menos recursos de lo que requeriría una operación tradicional de espionaje.
En los últimos años se han descubierto decenas de campaña de ciberespionaje. Estas afectan a
organizaciones gubernamentales y militares en todo el mundo, pero también a sectores
industriales clave que incluyen tecnologías de la información y la comunicación, materiales y
fabricación, ciencias y disciplinas médicas, farmacéuticas y de la salud, aeroespacial o
instituciones financieras y comerciales.
Cuantificar el impacto que tiene una campaña de ciberespionaje en una organización es muy
difícil, pero todos los informes sugieren que las pérdidas se encuentran en el rango de millones
de dólares por año. Para concluir este vídeo hemos de hacer énfasis en que el número y la
sofisticación los ataques han aumentado en los últimos años, y hay razones para creer que no es
probable que esto disminuya en los siguientes.
A continuación, tendremos más dispositivos interconectados, sofware más vulnerable
desplegado por todas partes, ataques que seguirán explotando el elemento humano y,
posiblemente una mayor mercantilización de la tecnología ofensiva.
En este video discutiremos las ciberamenazas y las diferentes formas en que pueden
clasificarse.
El término ciberamenaza se refiere a una amplia gama de actividades maliciosas que pueden
dañar o interrumpir un sistema informático, una red o la información que esta contiene.
Una ciberamenaza difiere de la noción de ataque, en que este último se refiere a acciones
específicas ejecutadas para comprometer un sistema, mientras que "amenaza" hace referencia a
la posibilidad de un ataque, sus características y el atacante que está detrás.
Las amenazas se pueden clasificar de acuerdo con múltiples criterios y esto es útil por muchas
razones, particularmente cuando realizamos una evaluación de riesgos o para preparar defensas.
El primer criterio que discutiremos es la estructura de las ciberamenazas. Estructura es un
término muy amplio que tiene que ver con la cantidad de recursos, organización y financiación
que tiene el atacante.
La estructura intenta modelar la cantidad de recursos humanos y su experiencia; la cantidad y la
sofisticación de los recursos técnicos. Es decir, software, equipos, infraestructura, herramientas
de ataque cibernético (incluyendo por ejemplo código malicioso, exploits, credenciales) y
también los recursos financieros que están a disposición del atacante.
De acuerdo a estos podemos identificar tres clases principales de ciberamenazas: amenazas con
poca o ninguna estructura, amenazas con estructura sustancial y amenazas con una estructura
muy alta.
Se dice que la amenaza no está estructurada si se refiere a individuos o grupos pequeños con
poca o ninguna organización y una financiación nula o insignificante.
Los ataques que ejecutan suelen ser muy fáciles de detectar y se basan en herramientas
disponibles gratuitamente y vulnerabilidades documentadas. Estos ataques son generalmente
oportunistas, lo que significa que explotan víctimas que sean vulnerables sin perseguir un
objetivo en particular.
Las motivaciones para esta clase de atacantes van simplemente desde reclamar la autoría del
ataque hasta adquirir recursos que luego puedan ser comercializados para otras actividades de
cibercrimen. Contrariamente a estas, las amenazas estructuradas se refieren a atacantes que
están bien organizados, planificados y financiados.
Los ataques llevados a cabos por ellos a menudo están dirigidos contra individuos u
organizaciones particulares, y generalmente involucran una campaña extensa de recopilación
de información previa para elegir los elementos particulares que luego se usarán durante el
ataque.
Otras dos características importantes de estas amenazas son que el ataque a veces cuenta con la
ayuda de expertos y que pueden aprovechar las vulnerabilidades que no son públicas o basadas
en día cero. que se llama.
Por último, el término amenaza altamente estructurada está reservado para aquellas cuya
organización y financiación es muy importante. A menudo estas se asocian con estados
nacionales y otros atacantes que tienen objetivos estratégicos a largo plazo, que van más allá
de una víctima específica o una campaña de ataque en particular. En este caso, los ataques a
menudo involucran múltiples vectores de infección, tantos técnicos como sociales además de
explotar la ayuda de personas de dentro de la organización.
Algunas operaciones particulares podrían incluso ser acciones coordinadas por múltiples
grupos. Las amenazas altamente estructuradas están relacionadas con un término que se ha
vuelto popular en los últimos años: Amenaza Persistente Avanzada. Sin embargo, este
concepto es algo controvertido porque no está bien definido, y también porque se ha usado de
manera inconsistente durante los últimos años.
En este segundo vídeo vamos a continuar con el estudio de varios incidentes relevantes en
ciberseguridad.
El segundo caso del que hablaremos hoy es el ataque sufrido por la red de pago de Sony
PlayStation en el año 2011. Esta fue una de las mayores violaciones de seguridad de datos en la
historia en aquel momento.
Según algunos informes, se expusieron hasta 100 millones de cuentas, que incluían no sólo
credenciales de acceso (es decir, nombres de usuario y sus contraseñas), sino también mucha
información de identificación personal, como el nombre, correo electrónico, dirección fecha de
nacimiento, etc., además de detalles de la tarjeta de crédito.
El ataque afectó también a Qriocity, que es el servicio de transmisión de Sony. Aparte de esta
pérdida masiva de datos, todo el servicio estuvo no disponible durante 23 días, por lo cual la
compañía tuvo que compensar a los usuarios afectados.
De acuerdo con Sony, este fue el resultado de un plan cuidadosamente planeado, un ataque muy
profesional y altamente sofisticado. Las violaciones de datos como esta se han vuelto cada vez
más comunes en los últimos años. Algunas de las más relevantes incluyen las que afectaron a
Yahoo en el año 2013 y 2014, con 1.000 millones y 500 millones de cuentas respectivamente.
Los ataques han afectado a muchas otras organizaciones, por ejemplo, eBay sufrió en 2014 una
pérdida 145 millones de cuentas. MySpace, en 2016 una de 163 millones de cuentas o Friend
Finder Network, también en 2016, con 412 millones de cuentas.
Por último, el incidente final que discutiremos es una serie de ataques de negación de servicio
distribuidos que ocurrieron a finales de 2016. Quizás, el más significativo de todos ellos es el
que afectó a Dyn, un proveedor de DNS, el día 21 de octubre.
El servicio se congestionó debido a múltiples peticiones DNS procedentes de decenas de
millones de direcciones IP. Esto era posiblemente el mayor ataque de denegación de servicio
distribuida registrado hasta la fecha. con un ancho de banda estimado de 1.2 Terabytes por
segundo.
Las máquinas atacantes fueron dispositivos de la llamada Internet de las cosas, o IOT, como
impresoras, cámaras de internet, routers, etc, controlados por la botnet Mirai. La lista de
servicios afectados es bastante grande e incluye Amazon, PayPal, Twitter y Airbnb. Además de
medios de comunicación, como la BBC, la CNN, Fox News, y otros medios de comunicación,
como el New York Times, The Guardian, Wall Street Journal y Wired.
También se vieron afectados servicios de entretenimiento como HBO o Netflix; sitios de juegos
como PlayStation o Xbox online y otros servicios como Spotify o Twitter. La herramienta
principal detrás de estos ataques es la botnet Mirai.
Los sistemas infectados fueron dispositivos conectados a internet, como cámaras, routers,
impresoras e incluso monitores para bebés.
La infección es bastante simple y se basaba en el uso de nombres de usuario y contraseñas
predeterminados de fábrica en estos dispositivos.
A parte del ataque contra ellos, Mirai fue utilizada en otros ataques de denegación de servicio
distribuidos a finales del año 2016. Estos incluyen el ataque contra el blog de Krebs, el web
host francés OVH y también la infraestructura de Internet de Liberia. Para concluir con este
caso, me gustaría comentar que el código fuente de Mirai fue divulgado públicamente y partes
de él se han utilizado posteriormente para otros ataques más recientes.