Taller de Ciberseguridad

Proyecto Final

PARTE I

Aristas de Ciberespionaje y Ciberinteligencia

En una pared frente a docenas de cubículos en la oficina del FBI en Pittsburgh, cinco tipos de Shanghai
miran desde carteles de "Se busca". Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu y Gu
Chunhui son, según una acusación federalel año pasado, agentes de la Unidad 61398 del Ejército Popular
de Liberación de China, que piratearon redes en compañías estadounidenses (US Steel, Alcoa, Allegheny
Technologies (ATI), Westinghouse), más el sindicato industrial más grande de América del Norte, United
Steelworkers y Estados Unidos. filial de SolarWorld, un fabricante alemán de paneles solares. Durante
varios años, dicen los fiscales, los agentes robaron miles de correos electrónicos sobre estrategias
comerciales, documentos sobre casos de comercio injusto que algunas de las compañías estadounidenses
habían presentado contra China e incluso diseños de tuberías para plantas de energía nuclear, todo lo cual
supuestamente beneficiará a las compañías chinas.

Es el primer caso que Estados Unidos ha presentado contra los autores de presuntos ciberespionajes
patrocinados por el estado, y ha revelado agujeros de seguridad informática que las empresas rara vez
reconocen en público. Aunque los atacantes aparentemente dirigieron sus actividades a través de las
 Taller de Ciberseguridad
Proyecto Final

computadoras de personas inocentes e hicieron otros esfuerzos para enmascararse, los fiscales rastrearon
las intrusiones hasta un edificio de 12 pisos en Shanghai y descubrieron agentes de inteligencia
individuales. Hay pocas posibilidades de que se realicen arrestos, ya que Estados Unidos no tiene
acuerdos de extradición con China, pero el gobierno de EE. UU. Aparentemente espera que nombrar
agentes reales, y demostrar que es posible rastrear ataques, avergonzará a China y avisará a otras
naciones, inhibiendo el espionaje económico futuro.

Eso puede ser poco realista. Las compañías de seguridad dicen que dicha actividad continúa, y China
llama a las acusaciones "puramente infundadas y absurdas". Pero hay otra lección de la acusación: ahora
es poco probable que las empresas mantengan segura la información valiosa en línea. Cualesquiera que
sean los pasos que estén tomando, no se mantienen al día con las amenazas. "Claramente, la situación ha
empeorado, no mejor", dice Virgil Gligor, quien codirige el centro de investigación de seguridad
informática de la Universidad Carnegie Mellon, conocido como CyLab. "Hicimos el acceso a servicios y
bases de datos y conectividad tan conveniente que también es conveniente para nuestros adversarios".
Una vez que las empresas aceptan eso, dice Gligor, la respuesta más obvia es drástica: desconectar.

Sentado en una pequeña mesa de conferencias en su oficina en el tribunal federal de Pittsburgh, David
Hickton, el abogado de los Estados Unidos para el oeste de Pensilvania, abrió un recipiente de plástico
que había traído de su casa y sacó y peló un huevo duro para el almuerzo. Aunque estábamos discutiendo
una investigación que involucraba a jugadores globales y tecnologías opacas, la sensación hogareña de
nuestra reunión era adecuada: el caso tenía muchas raíces en los círculos empresariales y políticos muy
unidos en Pittsburgh. Hickton me mostró una foto enmarcada en un estante. En la imagen, él y un amigo
llamado John Surma están parados junto a sus hijos, los muchachos vestidos con uniformes de hockey,
recién salidos del hielo. Ambos padres habían asistido a Penn State. A medida que Hickton ascendía en
las filas fiscales, Surma ascendió en el mundo corporativo, convirtiéndose en CEO de US Steel. Cuando
Hickton se convirtió en el principal fiscal federal en el área en 2010, uno de sus desayunos de bienvenida
fue con Surma y Leo Girard, el jefe de United Steelworkers, que representa 1.2 millones de trabajadores
actuales o jubilados en varias industrias. "Les estaba pidiendo en un asunto completamente no relacionado
que formaran parte de un consejo de prevención de delitos juveniles", recuerda Hickton. "Dijeron:
'¿Podemos hablar con usted sobre otra cosa?'"

En ese momento, el auge del fracking estadounidense estaba en pleno apogeo, con tasas de interés
ultrabajas que se habían establecido para estimular la economía y también lubricar el negocio de extraer
gas y petróleo previamente difíciles de alcanzar. US Steel tenía un floreciente negocio de venta de tubos
especialmente diseñados para el proceso de extracción. Entre otros rasgos, las tuberías no tienen costuras
verticales, por lo que se sostendrán a medida que se estrellan a miles de pies en la tierra y, sin embargo, se
doblan para transportar petróleo y gas sin romperse.
 Taller de Ciberseguridad
Proyecto Final

Pero US Steel también notó dos desarrollos inquietantes. Primero, las empresas estatales chinas
exportaban lotes de tuberías similares a los Estados Unidos a precios bajos. Entonces, US Steel presentó
quejas ante el Departamento de Comercio de EE. UU. Y la Comisión de Comercio Internacional de EE.
UU., Acusando a China de subsidiar sus industrias; Los casos resultantes condujeron finalmente a
sanciones contra China. En segundo lugar, tanto la empresa como el sindicato sabían que habían recibido
correos electrónicos sospechosos. Pero no estaba claro quién estaba detrás de ellos o si se estaba
produciendo algún daño. "Hubo una conciencia general de las intrusiones, pero no 'cuándo, dónde, cómo'
y el alcance", dice Hickton.

Los correos electrónicos fueron inteligentemente diseñados. Pretendían ser de colegas o miembros de la
junta, con líneas de asunto relacionadas con las agendas de reuniones o estudios de mercado, pero
entregaron malware a través de archivos adjuntos o enlaces. Por ejemplo, según la acusación, el 8 de
febrero de 2010, dos semanas antes de una resolución preliminar del Departamento de Comercio, los
piratas informáticos enviaron un correo electrónico a varios empleados de US Steel. Parecía ser del CEO,
pero incluía un enlace a un sitio web que contenía malware. Algunos empleados hicieron clic y sus
computadoras se infectaron pronto. El resultado: los hackers robaron nombres de host para 1.700
servidores que controlaban el acceso a las instalaciones y redes de la compañía. La acusación dice que
Wang intentó explotar ese acceso, pero no especifica qué información se expuso.

Debbie Shon, vicepresidenta de comercio de US Steel, me dijo que la información incluía inteligencia
empresarial valiosa. "No fueron diseños de alta tecnología", dice ella. "Eran las cosas igualmente
importantes: las estrategias comerciales, los precios, los montos de producción y el tiempo y el contenido
de cualquier queja comercial que US Steel, como una de las compañías más grandes en esta área, podría
estar explorando".

La acusación detalla varios ataques similares. Entre 2007 y 2013, Westinghouse estaba negociando los
detalles de un contrato con una empresa china para construir cuatro reactores nucleares. De 2010 a 2012,
uno de los acusados supuestamente robó al menos 1,4 gigabytes de datos (aproximadamente 700,000
páginas de correo electrónico y archivos adjuntos) de las computadoras de Westinghouse. Los archivos
incluían diseños de tuberías y comunicaciones en las que Westinghouse revelaba preocupaciones sobre la
competencia china. En ATI, los piratas informáticos supuestamente robaron las contraseñas de 7,000
empleados mientras la compañía estaba en una disputa comercial centrada en sus ventas a China. En
Alcoa, alegan los fiscales, los piratas informáticos robaron 2.900 correos electrónicos con más de 860
archivos adjuntos cuando la empresa estaba negociando acuerdos con empresas chinas. (Alcoa,
Westinghouse y ATI se negaron a comentar para esta historia). Y en 2012, Mientras tanto, SolarWorld
había presentado casos comerciales acusando a las compañías chinas de vender paneles solares por debajo
del costo, diezmando a sus rivales. Un día en 2012, sonó un teléfono en sus oficinas en Camarillo,
California. Fue la llamada del FBI, diciendo que los agentes habían descubierto correos electrónicos
robados de la compañía, dice Ben Santarris, su portavoz de Estados Unidos. En una señal de cuán mala es
 Taller de Ciberseguridad
Proyecto Final

la ciberseguridad, "no había indicios de que esto sucedía hasta que recibimos la llamada telefónica",
dice. Solo cuando se desveló la acusación en mayo de 2014, la compañía se enteró del alcance total del
presunto robo. "Hubo acceso a la estrategia de casos comerciales, finanzas de la compañía, costos,
declaraciones de pérdidas y ganancias, hojas de ruta de tecnología, I + D, etc.", dice
Santarris. Finalmente, la compañía ganó sus casos, asegurando aranceles sobre las importaciones de
equipos solares desde China. Durante la disputa comercial, "Observamos controles muy estrictos sobre
quién puede ver qué información", dice. "En el momento en que estábamos haciendo eso, según el FBI, el
ejército chino estaba entrando por la puerta de atrás".

El fracaso de las supuestas tecnologías de seguridad de las empresas fue asombroso. Lance Wyatt,
director de TI del sindicato de trabajadores del acero, pensó que manejaba un barco apretado. Una
auditoría de TI en 2010 no encontró deficiencias importantes. Su servidor de correo electrónico analizó
todos los mensajes entrantes en busca de archivos adjuntos que contenían código ejecutable. Tenía el
último software antivirus. Su red verificó las direcciones IP para evitar sitios que contenían malware. Sin
embargo, Wyatt y el FBI finalmente encontraron computadoras infectadas, una de ellas utilizada por el
administrador de viajes del sindicato. "Ninguna de esas máquinas estaba en nuestro radar como infectada
o sospechosa", dice.

Según la acusación, los hackers tenían varios medios para disfrazarse. Por un lado, supuestamente
enviaron correos electrónicos maliciosos a las empresas y al sindicato desde puntos de
salto: computadoras intermedias, incluido uno en Kansas, que estaban bajo su control. En segundo lugar,
manipularon hábilmente el sistema de Internet para nombrar las direcciones de las computadoras. Los
hackers configuraron nombres de dominio como "arrowservice.net" y "purpledaily.com" y programaron
malware en las computadoras corporativas víctimas para contactarlos. Luego, los espías podían cambiar
continuamente las direcciones de las computadoras a las que se conectaban los nombres de
dominio. Cuando era de día en Shanghái y de noche en Pittsburgh, dice la acusación, habían establecido
un nombre de dominio para conectarse a computadoras de punto de salto y realizar espionaje. Cuando
terminara la jornada laboral de Shanghái, los piratas informáticos establecerían la dirección para
conectarse a sitios inocuos como las páginas de Yahoo.

No es sorprendente que tales sistemas sean relativamente fáciles de cooptar para fines nefastos. Las ideas
para hacer que Internet sea más seguro han existido durante décadas, y los laboratorios académicos y
gubernamentales han producido propuestas interesantes . Sin embargo, muy pocas de estas ideas se han
implementado; requieren una adopción de base amplia y posiblemente compensaciones en el rendimiento
de la red. "Ya no escuchas sobre la reconstrucción de Internet", dice Greg Shannon, científico jefe de la
división CERT del Instituto de Ingeniería de Software de Carnegie Mellon.

¿Qué es una empresa que hacer? Wyatt apretó las cosas en United Steelworkers; Entre otras cosas, ahora
otorga a sus empleados los llamados privilegios administrativos a sus computadoras, y busca en la red
 Taller de Ciberseguridad
Proyecto Final

señales reveladoras de comunicaciones por malware. Pero nada de esto habría evitado las
intrusiones. Wyatt dice que "podría haberlos retrasado".

La mejor opción, entonces, podría ser eliminar completamente los datos confidenciales de Internet. Hay
desventajas en eso: si el correo electrónico no se usa tan libremente, o si una base de datos está fuera de
línea, mantenerse al día con las últimas versiones de informes u otros datos podría llevar más
tiempo. Pero como dice Gligor: “Debemos pagar el costo de la seguridad, lo cual es un
inconveniente. Necesitamos agregar un pequeño inconveniente para que hagamos las cosas mucho más
difíciles para el atacante remoto. La forma de hacerlo es, ¿cómo debo decirlo?, De vez en cuando,
desconectarme”.

Después de todo, todavía ocurren más ataques como los de Pittsburgh. "Esta acusación", dice Hickton,
"no representa la cantidad total de hackers, la cantidad total de víctimas o la cantidad total de acusados".

Intervención:

1. Responda las siguientes preguntas:

a. ¿Qué imposibilita los arrestos de los cibercriminales?

b. En cuanto al ataque del 8 de febrero de 2010:

i. ¿Qué tipo de ataque fue?

ii. ¿Qué se robaron los cibercriminales?

2. Complete la siguiente tabla a partir del texto, con los datos que se les pide a
continuación:

Tipo de Empresa Activo Descripción Fecha

Ataque Afectado de lo sucedido.

PARTE II
 Taller de Ciberseguridad
Proyecto Final

Objetivos:

Escanear redes en busqueda de vulnerabilidades.

Aspectos básicos/situación

Los escaneres de red son bastante utilizados por los administradores de sistemas, los
mismos nos sirven para verificar los servicios y host que tenemos activos en una red.

Para protegerse mejor, es importante saber que tiene en uso en su red, que servicios están
corriendo y si son vulnerables.

Recursos necesarios

• Computadora.

Parte 1: Descargar una de las siguientes herramientas que considere más adecuada para realizar
un escaner de puertos (Todas son gratuitas):

 PortScan & Stuff (Recomendada)

 Zmap
 Nmap
 Advance Ip Escaner

Parte 2: Llenar la tabla presentada a continuación:

 Taller de Ciberseguridad
Proyecto Final

Nombre de Host Dirección Dirección Protocolos Puerto

MAC IP s

Realice un escaneo de puertos en su red y determine todos lo que ha identificado, agregue

evidencia e indique si puede ejecutar algún ataque con esta información.

PARTE III

1. Realice un ensayo de su experiencia e impacto del curso en su trayecto de vida

personal y/o profesional considerando todos los aspectos vistos en clase (1pagina;
tamaño de letra 12 Arial).