Tema Ciberespacio y Cibercriminales PDF

Tema Ciberespacio, Cibercriminales y Amenazas Internacionales Ciberseguridad Grado en Seguridad Índice 1. CIBERESPACIO......................................................................................... 5 1.1 El ciberespacio y su seguridad.......................................................... 5 1.2 El ciberespacio como nueva dimensión operativa........................... 7 1.3 Ciberinteligencia.................................................................................. 9 1.3.1 Ciclo Ciberinteligencia.................................................................. 10 1.3.2 Tipos de Ciberinteligencia............................................................ 13 1.3.3 Cyber Threat Intelligence.............................................................. 13 1.3.4 Disciplinas Ciberinteligencia......................................................... 14 2. Actores de Amenaza................................................................................ 21 2.1 Hackers Individuales......................................................................... 21 2.2 Grupos Cibercriminales Organizados............................................. 22 2.3 Estados/Nación................................................................................. 23 2.4 Hacktivistas....................................................................................... 24 2.5 Insider Threats (Amenazas Internas)............................................... 25 3. CIBERAMENAZAS Y TENDENCIAS EN CIBERSEGURIUDAD.............. 27 3.1 Amenazas Nacionales en Ciberseguridad...................................... 27 3.2 Amenazas Internacionales en Ciberseguridad............................... 29 3.2.1 Actores Estado............................................................................. 29 3.2.2 Cibercrimen.................................................................................. 29 3.2.3 Hacktivismo.................................................................................. 30 3.3 Tendencias Actuales en Ciberseguridad........................................ 31 3.3.1 Aumento del Ransomware........................................................... 31 3.3.2 Uso de Vulnerabilidades de Día Cero........................................... 31 3.3.3 Inteligencia Artificial en Ciberseguridad........................................ 31 3.3.4 Compromiso de la Cadena de Suministro.................................... 32 3.3.5 Participación Civil en Conflictos Cibernéticos............................... 32 1. CIBERESPACIO 1.1 El ciberespacio y su seguridad El término “ciber” fue acuñado por primera vez en 1981 por William Gibson, a quien se le atribuye la creación del término “Cyberspace”, empleado para definir al “conjunto de redes electrónicas, como un lugar de tránsito, hallazgos y encuentros”, en su novela Neuromante. La RAE, define el ciberespacio como el “ámbito virtual creado por medios informáticos”, sin embargo, tras convertirse en un concepto rector en el campo de la ciberseguridad, cabe valerse de otras acepciones que dotan al término de mayor significado. Kissinger (2014), lo describe de manera genérica como un “entorno virtual de información e interacciones entre personas”. Kohl (2015), lo refiere como “un espacio interactivo que comprende redes digitales que recopilan, almacenan y manipulan información para facilitar diferentes formas de comunicación. Por lo tanto, el ciberespacio incluye Internet y una serie de sistemas que apoyan los servicios y la infraestructura para los usuarios que participan en la misma”. Quintana (2016) lo completa como un “dominio global y dinámico, compuesto por infraestructuras de tecnologías de la información, internet, redes, sistemas de información y telecomunicaciones”. Por ello, y debido a la enorme cantidad de definiciones que pueden surgir de este término, usaremos como referencia el que dicta la ISO 27032:2023, también llamada “Directrices para la Ciberseguridad”, la cual define el ciberespacio como “Entorno complejo resultante de la interacción de personas, software y servicios en Internet mediante dispositivos tecnológicos y redes conectados a él, que no existe en forma física alguna” 1.2 Composición Está compuesto por tres capas superpuestas: capa física, capa lógica y capa social, que a su vez están conformadas por 5 componentes: componente geográfico, componente de redes físicas, componente de redes lógicas, personas y ciberidentidades. - La capa física, abarca el componente geográfico (localización física de los elementos que componen la red) y el de redes físicas (hardware y componentes que soportan las redes, cableado, routers, servidores, ordenadores, etc.) - La capa lógica, se conforma por el componente de redes lógicas (nodos de conexiones que interconectan las redes de comunicaciones y los sistemas de información). - La capa social, integrada por los componentes persona (individuos que interactúan en el ciberespacio), y el componente ciberidentidad (identidad que los usuarios utilizan en sus interacciones en el ciberespacio). Puede ser real, ficticia o suplantada; así como individual o utilizada por varias personas, que permite gozar de cierto anonimato. Se constituyen entre otras cosas por las cuentas de correo electrónico, perfiles en redes sociales, etc. 1.3 El ciberespacio como nueva dimensión operativa. Las Fuerzas Armadas, así como los diferentes organismos de Seguridad y Defensa, son cada vez más dependientes de los recursos informáticos, lo que ha hecho emerger un nuevo “campo de batalla cibernético”, en el que desarrollar nuevas formas de cibercriminalidad, ciberguerra y las amenazas híbridas. El término ciberguerra, proviene del vocablo inglés cyberwarfare, no habiendo sido integrado todavía por la RAE en nuestro diccionario, por lo que nos apoyaremos en la definición emitida por W. Schwatau (1994), que precisa la ciberguerra como un “conflicto electrónico en el cual la información es un activo estratégico a conquistar o destruir. Por ello las computadoras y otros sistemas de comunicaciones e información, se convierten en blancos para ser atacados”. A partir de aquí, se hace imprescindible conocer las peculiaridades tanto del entorno como de las formas de combatir en él, que hacen que la ciberguerra, nada se parezca a las otras formas de guerra, aérea, marítima o naval; ya que el ciberespacio se encuentra en continua actividad maliciosa y hostil, sea cual sea su situación, sea o no tiempo de paz. En ello, tienen mucho que ver la cantidad de vulnerabilidades que pueden ser explotadas por los atacantes, así como la heterogeneidad y el volumen de la amenaza, tras la que pueden existir infinidad de motivaciones, que abarca desde individuos aislados, a grupos organizados, hasta incluso actores estatales con enorme capacidad de amenaza, que se incrementa día tras día por la sofisticación de las técnicas de ataque y su capacidad de detección. La opacidad de la ciberguerra, genera un desconocimiento del potencial bélico del adversario ya que no muestra indicadores claros que permitan anticiparse a los movimientos del adversario, como podrían ser los movimientos de tropas o la preparación logística de un enemigo terrestre. Todo ello imposibilita una alerta temprana, que se suma a la complejidad de los ataques, la difícil gestión de crisis o la ineficacia en las labores de disuasión. La gran accesibilidad, el bajo coste del armamento empleado (ciberarmas), así como las facilidades que presenta para el anonimato, entre otras características, convierten al ciberespacio en el caldo de cultivo ideal para subvertir el orden de una nación, poniendo en primera línea de combate a sus infraestructuras críticas y servicios esenciales, ya que los atacantes pueden acceder a ellas sin necesidad de superar barreras físicas, desplegar fuerzas militares u ocupar el territorio de una nación. Las amenazas híbridas en cambio, son un fenómeno resultante de la convergencia e interconexión de diferentes elementos, que en conjunto, constituyen una forma de amenaza más compleja y multidimensional, empleados en situaciones de conflicto híbrido o guerras híbridas, conceptos que conviene aclarar ya que si bien podrían significar lo mismo, la realidad es distinta. El conflicto híbrido, es una forma de combate en el que las partes se abstienen del uso abierto de la fuerza armada y actúan combinando la intimidación militar y la explotación de vulnerabilidades tecnológicas, políticas, económicas y diplomáticas. La guerra híbrida, es una forma de combate que contraviene totalmente las reglas de guerra, es una estrategia militar que combina las guerras convencionales con la ciberguerra, sirviéndose de otros métodos influyentes como las fakenews y la diplomacia para conseguir la subversión. John R. Deni, la define como un “conjunto complejo de amenazas interconectadas y medios contundentes sin límites temporales, ya que puede utilizar tácticas convencionales, ciberataques, procedimientos de crimen organizado o terroristas, operaciones encubiertas, disputas sobre satélites, control de los recursos energéticos de un país, y así una amalgama multiforme de espectro impredecible, para perseguir la interrupción y el desorden de su oponente y el de sus infraestructuras críticas”. Según el Secretario General de la OTAN, Jens Stoltenberg, ejemplo de guerra híbrida ha sido la empleada por Rusia en Ucrania, en la que “ha empleado soldados sustitutos, Fuerzas especiales no marcadas, la intimidación, el uso de propaganda y noticias, con la finalidad de crear una niebla de confusión, ocultando su verdadero propósito en Ucrania y de esta forma negar su pretensión”. 1.4 Ciberinteligencia Los peligros aparejados a las nuevas tecnologías y al ciberespacio, pueden afectar la seguridad, estabilidad y desarrollo de un país y sus habitantes, por ello, se requiere de una capacidad analítica que permita anticiparse a las posibles amenazas y vulnerabilidades, otorgando medidas para contrarrestarlas a través de la implementación de mecanismos de seguridad, con el fin de: - Identificar las vulnerabilidades existentes en un sistema. - Analizar las probabilidades que un ciberdelincuente ejerza una amenaza al sistema con el objetivo de explotar las vulnerabilidades. - Evaluar las consecuencias que se derivarían de cada amenaza en caso de que se lleven a cabo con éxito. - Estimar el coste que repercutiría cada ataque. - Determinar el coste de las posibles medidas de respuesta - Seleccionar el mecanismo de seguridad con el que prevenir la acción. En este contexto, la inteligencia en el ciberespacio tiene un rol irremplazable visto que puede aportar información clave en la identificación de actores, capacidades, peculiaridades, motivaciones de los atacantes, y otorgar una capacidad de respuesta, que inclusive, podría anticipar la ocurrencia de ataques o problemas de funcionamiento que afecten los intereses nacionales del país o pongan en riesgo la vida de sus habitantes, por ejemplo, en el caso de un ataque a la infraestructura crítica de la nación. A falta de una definición del concepto, muy emergente, describimos la Ciberinteligencia como una disciplina enfocada a la obtención de información y análisis de grandes volúmenes de datos de múltiples fuentes con objeto de anticiparse a los incidentes, no solamente ataques, antes de que se produzcan, ayudando a la toma de decisiones para minimizar el impacto y asegurar la recuperación. The Intelligence National Security Alliance (INSA, 2015), la define de forma más completa como los “productos y procesos del ciclo de inteligencia para analizar las capacidades, intenciones y actividades de los potenciales adversarios y competidores en el ciberespacio”. Sin embargo, estas aproximaciones basadas únicamente en adversarios parecen limitativas, obviando que la acción de los mismos se desarrolla en un entorno, un contexto político, social, económico, legal, tecnológico que también conviene analizar, sumado a la propia naturaleza del ciberespacio, sus tendencias, nuevas formas de amenaza y oportunidades, son un conjunto global que los analistas en ciberseguridad no deben relegar. J. M. Blanco Navarro, director del Centro de Análisis y Prospectiva de la Guardia Civil (CAP), define ciberinteligencia como un “proceso de obtención y análisis de datos e información obrante en el ciberespacio, realizado por especialistas y orientado a la toma de decisiones, en tiempo, lugar y forma”. 1.4.1 Ciclo Ciberinteligencia El ciclo o proceso de creación de inteligencia se apoya en diferentes fases, basadas en terminología militar para su nomenclatura. A continuación, exponemos una posible adaptación de las mismas que ha sido elaborada por INCIBE: 1. Planificación y objetivo: Como en todo ciclo, se debe tener una fase de inicio, cuyo primer paso sea la correcta definición del objetivo, en particular la definición del tipo de inteligencia resultante y, en segundo lugar, los procedimientos para obtenerla. Habrá que tener claro desde el principio que la inteligencia que se quiere obtener va a estar enfocada a la mejora de la defensa de nuestro entorno industrial particular. Consumir datos que no apliquen específicamente a nuestro entorno, nuestro sector o nuestras amenazas en particular, es un error muy grave que deberá ser controlado desde esta primera fase. 2. Recolección: Los datos, la información o la inteligencia pueden ser componentes de nuestras fuentes de datos, pero en esta fase, la clave será la forma en la que se recolectan estos datos y la manera en la que van a ser utilizados. Si recolectamos un IoC (Indicador de Compromiso) sobre un determinado fichero que reside en memoria, ¿se dispone de la capacidad para aplicar este IoC en nuestros dispositivos industriales? Si la respuesta es no, lo primero que debemos comprender es que esa pieza de inteligencia no sirve en nuestro entorno específico y lo segundo, es plantearse si se deben obtener estas capacidades para aumentar la resiliencia en el entorno. 3. Procesamiento y explotación: El término de explotación en este contexto, está más enfocado a obtener algo valioso. En esta fase, se pretende obtener información a partir de los datos en crudo, que posteriormente puede ser analizada. Se deben procesar, establecer una correlación y explotar al máximo los datos de los que disponemos, para crear tablas o visualizaciones más concretas del entorno industrial particular que puedan ser analizadas en fases posteriores. Por ejemplo, procesar los comandos obtenidos en una captura de tráfico en crudo sobre un protocolo industrial o que nos indiquen que se ha cambiado una estrategia en un PLC. Este procesamiento nos permite saber cuándo se realiza un cambio en la programación del PLC, pudiendo ser explotados estos datos para obtener una gráfica donde se pueda visualizar el número de veces que se cambia de programación y cuando se realizaron dichos cambios de una manera fácil. 4. Análisis y producción: La utilidad real de toda la información procesada en las fases anteriores viene determina por el análisis de la persona encargada de este proceso. El analista es el encargado de juntar las piezas para que todo encaje, sin olvidar la tarea de discernir de nuevo, qué información es útil y cuál será descartada, basándose en su experiencia, en el entorno específico en ese momento, etc. Finalmente, el analista deberá crear un informe donde muestre toda esta información de manera correcta, orientado en cada caso al público objetivo. Esta fase no puede ser automatizada, ya que debe realizarse por una persona especializada, por lo que puede ser la más costosa. 5. Diseminación e integración: En la última fase de este proceso, se dan a conocer los resultados a las personas indicadas, en el formato adecuado. Facilitar los descubrimientos en tiempo y forma, para que estos sean integrados de una manera rápida y acorde a la situación, debe ser el objetivo primordial. No tendría sentido que la inteligencia obtenida para detener una situación crítica llegue pasados los años. De aquí la importancia de compartir la información, mientras mantenga su valor útil para los destinatarios. 6. Evaluación y retroalimentación: No es una fase como tal, sino más bien un marco común a todas las fases. Este marco de trabajo plantea que, en todo momento, se debe evaluar si los resultados que se han obteniendo son realmente útiles, así como contemplar y evaluar, las opiniones de mejora de cualquier persona, en cualquiera de las fases. 1.4.2 Tipos de Ciberinteligencia contra Amenazas Existen tres tipos generales de inteligencia contra amenazas: - Táctica: Es un tipo de inteligencia basada en el análisis técnico, a través del estudio de las direcciones IP, datos y metadatos de los archivos, hashes, que se pueden emplear para ayudar a la identificación de los actores de la amenaza. - Operativa: Estudia las motivaciones o las capacidades en las que se apoyan los actores de las amenazas, incluyendo sus herramientas, técnicas y procedimientos empleados. - Estratégica: Es un tipo de inteligencia sobre los riesgos generales asociados con las amenazas cibernéticas, que se pueden utilizar para impulsar una estrategia organizativa o preventiva de alto nivel. La inteligencia de amenazas cibernéticas proporciona una serie de beneficios, entre los que se incluyen: - Capacita a las organizaciones para desarrollar una postura proactiva de ciberseguridad y reforzar las políticas generales de gestión de riesgos. - Impulsa hacia una postura de ciberseguridad que sea predictiva, no solo reactiva. - Permite una mejor detección de amenazas. - Faculta una mejor toma de decisiones durante y después de la detección de una intrusión cibernética. 1.4.3 Cyber Threat Intelligence El proceso de Cyber Threat Intelligence o la inteligencia sobre amenazas cibernéticas se refiere a una metodología tecnología, dinámica y adaptable que, a través de recursos compartidos, aprovecha los datos del historial de amenazas a gran escala (malware), para bloquear y corregir de forma proactiva futuros ataques malintencionados en una red. La inteligencia de amenazas cibernéticas en sí misma no es una solución, pero es un componente crucial de la arquitectura de ciberseguridad. Debido a la evolución de las amenazas, las soluciones de seguridad son tan eficaces como la inteligencia que las impulsa. El análisis de amenazas cibernéticas es el proceso de identificación y evaluación de las propiedades de amenazas y archivos potencialmente maliciosos. Tradicionalmente, las defensas de seguridad se centraban estrictamente en conceder o denegar el acceso en el perímetro. Las amenazas han evolucionado, sin embargo, utilizan una serie de capacidades de sigilo y penetración en los sistemas, para evitar la detección. El análisis de amenazas cibernéticas proporciona una evaluación continua de los archivos a lo largo de su vida útil, que incluye el análisis de código abierto, inteligencia en redes sociales, humano, técnico y de la conocida como red oscura (dark web). Si el análisis del archivo lo identifica como una amenaza en cualquier momento, la amenaza será documentada y universalmente bloqueada. 1.4.4 Disciplinas Ciberinteligencia  HUMINT. El término HUMINT, hace referencia a todas aquellas técnicas de inteligencia, utilizadas para recabar información procedente de fuentes humanas. En esta disciplina, el componente psicológico juega un papel muy importante a diferencia de otras disciplinas como pueden ser OSINT, SOCMINT, etc. A continuación, se exponen seis ejemplos con los que poder identificar en los que el análisis HUMINT otorga un gran valor en la investigación: - En una investigación en la que se entrevistan personas clave y se les pide documentación o pruebas de cualquier tipo. - Un interrogatorio policial. - El uso de confidentes para conocer las actividades de una organización (ya sea criminal, empresarial, etc.). - En marketing online, cuando el dueño de un negocio en Internet se informa sobre las necesidades y deseos de sus potenciales clientes a través de una encuesta. - Durante la vigilancia y el seguimiento de un objetivo, para recabar información sobre sus movimientos y establecer sus rutinas. - Si nos fijamos, en todos estos casos el valor informativo lo aporta directamente una persona. No hay búsquedas alternativas, ni fuentes indirectas. Sin embargo, existen ciertas motivaciones que suelen ser comunes a todo el mundo. En eso se basa el sistema MICE, diseñado en base a la psicología conductual, para entender las motivaciones humanas más esenciales y así poder influir en ellas. Estas son: - Money (dinero): Todo el mundo tiene un precio, y en muchos casos el dinero puede ser una baza muy efectiva para lograr información clave de una fuente. - Ideology (ideología): las ideas son conceptos muy poderosos. Ya sean políticas, patrióticas e incluso religiosas, pueden lograr que una fuente quiera colaborar, incluso asumiendo posibles riesgos. - Coercion or compromise (coerción o compromiso): Se trata más bien de saber aprovechar el deseo de imponerse que la fuente tendría sobre el manipulador, no se refiere a la coacción violenta ni al chantaje. Es un tanto complejo, por eso te pongo un ejemplo: en una entrevista o interrogatorio, puedes hacer creer a la fuente que es mucho más inteligente que tú y que se está imponiendo (intelectualmente) sobre ti. Aprovechando esa vanidad, puedes extraer información de forma más fácil sin que la fuente apenas se dé cuenta. Y es que hay gente que siempre quiere quedar por encima de los demás, una debilidad que puedes aprovechar en tu favor. - Ego or excitement (ego o emoción): el reconocimiento y la satisfacción personal también son poderosos motores que llevan a las personas a realizar todo tipo de acciones. Lo mismo sucede con las emociones. En definitiva, se busca identificar la motivación de una fuente poco dispuesta a cooperar. Con ello, será más fácil influirle para poder extraer la información que necesitas.  OSINT El término OSINT (Open Source Intelligence) comenzó a utilizarse en el año 1941 en Estados Unidos, con la organización FBIS (Foreign Broadcast Information Service). Esta organización tenía como objetivo generar inteligencia a partir del rastreo, traducción y análisis de transmisiones extranjeras con fines propagandísticos de guerra. Incluso se cree que llegaron a anticipar la intención de apón de entrar en guerra. La cosa ha ido evolucionando, y ya en nuestros días el término es utilizado sobre todo en el ámbito de la ciberseguridad. Y es que las siglas OSINT hacen referencia hoy al sistema para recopilar información de fuentes abiertas, especialmente en Internet. Se entiende por fuentes abiertas, cualquier vía o repositorio de información de la que podamos obtener datos, con el requisito que ésta información debe ser pública y accesible para todo el mundo. Es decir, puede ser gratuita o tener algún coste, pero que no esté cifrada y sea de dominio público. El análisis OSINT, te permite obtener datos que por otras vías no obtendrías; pero, sobre todo, información fiable. Es decir, vas a poder contrastar la información para comprobar que es válida. Por ello, esta metodología en auge, es empleada en numerosos sectores para la obtención de información, entre los que se destacan: - Fuerzas y Cuerpos de Seguridad y miembros de las Fuerzas Armadas: Permite anticiparse a acontecimientos importantes, atentados terroristas, a la vez que aporta información relevante con la que poder diseñar un plan de actuación táctico, o acelerar el proceso de investigación de un caso. Ej: Elaborar un PPI (Plan Previsión Incidentes) ante la visita de una personalidad vip, Rey, Presidente Gobierno. - Investigadores: para obtener información acerca de una persona, una empresa o un tema en concreto. - Periodistas: al documentarse para un reportaje, especialmente si se trata de destapar una trama política, una estafa o cualquier tipo de acción delictiva. - Detectives: cuando son contratados para obtener información sobre una persona o sobre un tema específico y necesitan realizar un seguimiento exhaustivo. - Escritores: en la línea del periodismo, para documentarse sobre un hecho, un tema o alguien en concreto. - Estudiantes: se están formando en ciberseguridad o en el ámbito de la seguridad privada. - Particulares: quieren encontrar a una persona o mejorar sus ciberdefensas y privacidad. El uso de la metodología OSINT presenta unas grandes ventajas para el investigador, entre las que se destacan: - Implica menos riesgos: puedes recopilar información desde un despacho, oficina o domicilio. - Es más rentable: En la mayoría de los casos es posible obtener la información de forma gratuita o a bajo coste. - Facilidad de acceso: se trata de fuentes abiertas a las que cualquiera puede acceder. - Actualización constante de la información: utilizando este sistema nunca vas a topar con información obsoleta. - Muy útil para cualquier tipo de investigación: sea cuál sea tu objetivo, ese sistema acelerará el proceso de tu investigación. - Ayuda a los profesionales de la seguridad: les permite anticiparse a conflictos y sucesos, y así poder diseñar un plan de acción ajustado a las necesidades de la situación. Sin embargo, existen algunos inconvenientes que se deberán tener en cuenta a la hora de realizar un análisis: - El exceso de información: Debido a la gran cantidad de información que existe en Internet, se debe ser selectivo con las fuentes a consultar y evitar un exceso de información que pueda dilatar demasiado la investigación. - Fiabilidad de las fuentes a consultar: Equivocarnos con la fuente puede provocar que los datos obtenidos sean erróneos, por lo que debemos asegurarnos que la información es correcta. De lo dicho hasta ahora, cuando hablamos de OSINT, no hablamos de obtener inteligencia sin más. Estamos hablando de la obtención de información a través de fuentes abiertas, que una vez recabada, está sujeta a un proceso analítico bajo los estándares de un ciclo de inteligencia, que dota de rigurosidad la investigación: 1. Requisitos: Se establece la base de todo proceso de investigación, defiendo todas aquellas necesidades y cuestiones a las que se pretende dar respuesta. 2. Fuentes de información: Se definen aquellas fuentes de las que se obtendrá la información y aquellas herramientas a utilizar. 3. Adquisición: Etapa en la que se obtiene la información, siendo generalmente la de mayor duración. 4. Procesamiento: Consiste en dar formato a toda la información recopilada, de tal forma que posteriormente pueda ser analizada. 5. Análisis: Fase en la que se genera la inteligencia a partir de los datos obtenidos. 6. Presentación de inteligencia: Consiste en la elaboración del informe final, en el que se plasmará de forma clara y comprensible, toda la información obtenida y útil, para la posterior toma de decisiones.  IMINT La disciplina de inteligencia IMINT (Imagery Intelligence) se basa en la obtención, análisis e interpretación de imágenes o fotografías para recabar datos e información que permitan la toma de decisiones. Para ello, es importante saber que la obtención de estas imágenes puede darse de tres formas diferentes: - Terrestres: imágenes hechas en tierra, pueden ser fotografías. - Aéreas: imágenes tomadas desde cierta altura, a través de drones, helicópteros y aviones. - Satelitales: imágenes tomadas con satélite, como pueden ser las que vemos en Google Maps. Esta disciplina nos puede servir para: - Mejorar el reconocimiento del entorno operativo: Podemos obtener información detallada sobre una ubicación concreta, desde su orografía, hasta su trazado si es una calle. Es muy útil para realizar un reconocimiento de zona previo a la realización de un trabajo de campo, y de esta forma trazar un plan de acción con el que evaluar los riesgos y anticiparnos a cualquier sorpresa. - Facilitar la toma de decisiones: al tener información sobre una ubicación concreta (y elaborar un documento de inteligencia con estos datos) es más fácil tomar una decisión efectiva sobre las acciones a llevar a cabo. - Identificación de lugares: esta disciplina permite la realización de búsquedas y comparativas de imágenes y fotografías, que sumadas a la realización de técnicas de búsqueda inversa, permiten la identificación del lugar de realización de dicha instantánea. - Conocer la fecha de un suceso: A través de la comparativa de imágenes terrestres y otras satelitales del mismo lugar. Al cruzarlas puedes comprobar si edificios, árboles o cualquier otro objeto de interés que salga en la foto terrestre aparece en la satelital, e ir indagando hasta que los patrones coincidan y puedas dar con la fecha en que la imagen terrestre se realizó. 2. Actores de Amenaza En el ámbito de la ciberseguridad, los actores de amenaza son aquellos individuos o grupos que representan un riesgo para la integridad, confidencialidad y disponibilidad de los sistemas informáticos y datos. Estos actores pueden tener diversas motivaciones, capacidades y métodos de ataque. A continuación, se desarrollan en detalle los principales tipos de actores de amenaza: hackers individuales, grupos cibercriminales organizados, estados nacionales, hacktivistas y amenazas internas. 2.1 Hackers Individuales Los hackers individuales son personas que operan de manera independiente y, a menudo, son autodidactas. Estos actores pueden tener una variedad de habilidades técnicas y motivaciones que van desde la curiosidad y el desafío intelectual hasta objetivos maliciosos como el robo de datos o la extorsión. Los hackers individuales pueden ser tanto novatos, conocidos como script kiddies, que utilizan herramientas preexistentes sin comprender completamente cómo funcionan, como expertos altamente capacitados que desarrollan sus propias técnicas y herramientas. Las motivaciones de los hackers individuales pueden ser variadas: - Curiosidad y Aprendizaje: Muchos hackers comienzan sus actividades impulsados por la curiosidad y el deseo de aprender más sobre sistemas informáticos y redes. Para estos individuos, hackear es una forma de explorar y comprender la tecnología. - Desafío y Reconocimiento: Algunos hackers buscan el desafío y el reconocimiento dentro de la comunidad hacker. La fama y el respeto entre sus pares pueden ser poderosos motivadores. - Beneficio Financiero: Otros hackers están motivados por el lucro personal. Estos individuos pueden participar en actividades delictivas como el robo de información financiera, la venta de datos robados o la extorsión mediante ransomware. - Revancha Personal: En algunos casos, los hackers actúan por venganza personal, dirigiéndose contra empleadores anteriores, instituciones académicas o individuos con quienes tienen disputas personales.  Ejemplos Notables - Kevin Mitnick: Conocido como uno de los hackers más famosos de la historia, Mitnick comenzó hackeando sistemas telefónicos por diversión y terminó convirtiéndose en un fugitivo del FBI por sus incursiones en redes de empresas tecnológicas de alto perfil. - Adrian Lamo: Lamo ganó notoriedad por hackear varias empresas, incluyendo Microsoft y The New York Times, motivado en parte por el desafío intelectual y en parte por un deseo de exponer vulnerabilidades de seguridad. 2.2 Grupos Cibercriminales Organizados Los grupos cibercriminales organizados son redes estructuradas de individuos que trabajan juntos con el propósito de cometer delitos cibernéticos a gran escala. Estos grupos operan de manera similar a las organizaciones criminales tradicionales, pero utilizan la tecnología como su principal herramienta de delito. A menudo, tienen recursos significativos y miembros con diversas especialidades, como la creación de malware, la explotación de vulnerabilidades y el lavado de dinero. La principal motivación de los grupos cibercriminales organizados es el beneficio financiero. Estos grupos buscan maximizar sus ganancias mediante una variedad de actividades ilegales, incluyendo: - Fraude Financiero: Robar información de tarjetas de crédito y cuentas bancarias, realizar transacciones fraudulentas y retirar fondos. - Ransomware: Infectar sistemas con ransomware y exigir pagos para restaurar el acceso a los datos. - Venta de Datos Robados: Recopilar y vender información personal, corporativa o gubernamental en mercados clandestinos. - Phishing y Scam: Ejecutar campañas de phishing y otras estafas en línea para engañar a las víctimas y robar su información.  Ejemplos Notables - Grupo Lazarus: Asociado con Corea del Norte, este grupo ha estado implicado en varios ataques importantes, incluyendo el robo de $81 millones del Banco Central de Bangladesh y el ataque de ransomware WannaCry. - Carbanak: Un grupo cibercriminal conocido por sus ataques a instituciones financieras que resultaron en el robo de más de $1 mil millones en un periodo de cinco años. 2.3 Estados/Nación Los estados nación representan una amenaza cibernética muy sofisticada y bien financiada. Estos actores operan bajo la dirección de gobiernos y sus agencias de inteligencia o militares, utilizando ciberataques como una extensión de sus políticas de seguridad nacional y estrategia geopolítica. Los ataques patrocinados por estados nacionales suelen ser muy precisos y están dirigidos a objetivos específicos que tienen un valor estratégico. Las motivaciones de los estados nacionales para llevar a cabo ciberataques son variadas y complejas: - Espionaje: Recopilar inteligencia sobre otros países, incluyendo información militar, política, económica y tecnológica. - Interferencia Política: Influir en procesos políticos extranjeros, como elecciones, para favorecer sus propios intereses geopolíticos. - Sabotaje y Desestabilización: Dañar la infraestructura crítica de un adversario, interrumpir sus operaciones militares o causar inestabilidad económica y social. - Protección de la Seguridad Nacional: Defenderse contra amenazas percibidas y proteger sus propios sistemas críticos contra ataques. Los ciberataques patrocinados por estados nacionales pueden tener consecuencias profundas y duraderas. Pueden comprometer la seguridad nacional, dañar relaciones diplomáticas y causar pérdidas económicas significativas. Además, el uso de ciberataques como herramienta de guerra y espionaje plantea serios desafíos éticos y legales, y puede llevar a una escalada de conflictos cibernéticos entre naciones.  Ejemplos Notables - Stuxnet: Un gusano informático desarrollado conjuntamente por Estados Unidos e Israel, diseñado para sabotear el programa nuclear de Irán. Stuxnet se considera el primer ciberarma conocida que causó daños físicos significativos a una infraestructura crítica. - APT29 (Cozy Bear): Asociado con el gobierno ruso, este grupo ha llevado a cabo múltiples campañas de espionaje, incluyendo el hackeo de los servidores del Comité Nacional Demócrata en 2016. 2.4 Hacktivistas Los hacktivistas son individuos o grupos que utilizan la piratería informática como medio de protesta política o social. A diferencia de los cibercriminales tradicionales, los hacktivistas están motivados por causas ideológicas y buscan atraer la atención hacia temas específicos o causar cambios políticos y sociales mediante sus acciones. Los hacktivistas pueden causar disrupciones significativas a través de sus ataques, afectando la reputación y operaciones de sus objetivos. Aunque no siempre buscan el beneficio financiero, sus acciones pueden tener repercusiones económicas y legales para las organizaciones afectadas. Además, al promover la conciencia sobre ciertos temas, los hacktivistas pueden influir en la opinión pública y las políticas gubernamentales. Las motivaciones de los hacktivistas son principalmente ideológicas y pueden incluir: - Protesta Política: Oponerse a políticas gubernamentales o acciones de corporaciones que consideran injustas o corruptas. - Libertad de Información: Promover la transparencia y el acceso libre a la información, a menudo atacando a entidades que consideran que ocultan datos importantes. - Derechos Humanos: Luchar contra la censura, la vigilancia estatal y las violaciones de los derechos humanos. - Justicia Social: Apoyar movimientos sociales y causas como el medio ambiente, los derechos de los animales y la igualdad de género.  Ejemplos Notables - Anonymous: Un colectivo hacktivista descentralizado conocido por sus ataques contra gobiernos, corporaciones y organizaciones que consideran injustas. Han llevado a cabo operaciones notables como los ataques a la Iglesia de la Cienciología y la operación Payback contra entidades que se oponían a WikiLeaks. - LulzSec: Un grupo derivado de Anonymous, conocido por sus ataques a varias empresas y sitios web gubernamentales, motivados tanto por la diversión como por el deseo de exponer fallas de seguridad. 2.5 Insider Threats (Amenazas Internas) Las amenazas internas se refieren a empleados, contratistas o socios que tienen acceso legítimo a los sistemas y datos de una organización y que utilizan ese acceso para causar daño, ya sea de manera intencional o por negligencia. Las amenazas internas pueden ser extremadamente dañinas debido al nivel de acceso que estos individuos tienen a los sistemas y datos críticos. Los daños pueden incluir la pérdida de propiedad intelectual, la filtración de información confidencial, la interrupción de operaciones y la erosión de la confianza entre la organización y sus empleados. Además, la detección y mitigación de amenazas internas pueden ser particularmente desafiantes, ya que estos actores operan desde dentro del perímetro de seguridad establecido. Las motivaciones de las amenazas internas pueden variar y generalmente se dividen en dos categorías principales: intencionales y no intencionales. - Amenazas Intencionales:  Revancha: Empleados descontentos pueden actuar por venganza contra la organización debido a disputas laborales, despidos o conflictos personales.  Beneficio Financiero: Los insiders pueden robar información valiosa para venderla en el mercado negro o a competidores.  Espionaje Industrial: En algunos casos, los empleados son reclutados por competidores para espiar y robar secretos comerciales o estrategias corporativas. - Amenazas No Intencionales:  Negligencia: Empleados que, sin intención maliciosa, comprometen la seguridad de la organización mediante el mal manejo de la información, el incumplimiento de las políticas de seguridad o errores humanos.  Phishing y Engaños: Empleados que caen en trampas de phishing u otras tácticas de ingeniería social, proporcionando involuntariamente acceso a atacantes externos.  Ejemplos Notables - Edward Snowden: Excontratista de la NSA que filtró información clasificada sobre programas de vigilancia masiva del gobierno estadounidense, motivado por sus preocupaciones sobre la privacidad y las libertades civiles. - Chelsea Manning: Soldado del Ejército de EE. UU. que filtró documentos clasificados a WikiLeaks, revelando información sobre las operaciones militares y diplomáticas de Estados Unidos. 3. CIBERAMENAZAS Y TENDENCIAS EN CIBERSEGURIUDAD 3.1 Amenazas Nacionales en Ciberseguridad 1) Ataques a Infraestructuras Críticas Las infraestructuras críticas en España, como el suministro eléctrico, el agua potable y las telecomunicaciones, son objetivos prioritarios para los atacantes debido a su importancia estratégica. Los ataques a estas infraestructuras pueden causar interrupciones significativas en los servicios básicos y poner en riesgo la seguridad nacional. Estos ataques buscan desestabilizar el funcionamiento normal del país y generar caos. El ataque al Hospital Clínic de Barcelona en marzo de 2023 es un ejemplo claro y reciente de ciberataque a infraestructuras críticas en España. Este ataque de ransomware, llevado a cabo por el grupo RansomHouse1, afectó gravemente los sistemas informáticos del hospital, obligando a cancelar 150 operaciones no urgentes y hasta 3,000 consultas de pacientes. El ataque interrumpió el funcionamiento de laboratorios, la sala de emergencias y las farmacias del hospital, destacando la vulnerabilidad de las infraestructuras críticas sanitarias frente a ciberataques. 2) Amenazas a Instituciones Gubernamentales Las instituciones gubernamentales son frecuentemente atacadas con el objetivo de robar información sensible o comprometer la integridad de los sistemas nacionales. Estos ataques pueden ser llevados a cabo por actores estatales o grupos de cibercrimen con fines políticos o económicos. La 1 RansomHouse es un grupo cibercriminal que surgió a finales de 2021. A diferencia de muchos otros grupos de ransomware, RansomHouse se especializa en la exfiltración de datos y la extorsión en lugar de cifrar los datos de sus víctimas. Explotan vulnerabilidades de seguridad para infiltrarse en las redes de sus objetivos, roban datos sensibles y amenazan con publicarlos en su sitio de filtraciones si no se paga el rescate exigido información obtenida puede ser utilizada para espionaje, manipulación de políticas o chantaje. Un ejemplo reciente ocurrió en marzo de 2023, donde un ciberataque en cadena dejó fuera de servicio varias páginas web de la administración del Estado. En concreto, la página del Ministerio de Hacienda estuvo inactiva durante aproximadamente una hora. También la empresa estatal Navantia, dedicada a la construcción naval y militar, y que trabaja de forma intensa con el Ministerio de Defensa, tuvo su web fuera de servicio. Y lo mismo ocurrió con la de Adif. El modus operandi de los delincuentes fue lanzar ataques de denegación de servicio (DDoS), con el fin de colapsarlas. 3) Amenazas a Empresas y el Sector Privado Las empresas, especialmente aquellas que manejan grandes volúmenes de datos personales o financieros, son objetivos comunes de ciberataques. El robo de información y los ataques de ransomware son particularmente prevalentes en este sector. Las consecuencias incluyen pérdidas financieras, daño a la reputación y posibles sanciones legales. En abril de 2023, la compañía de telefonía y fibra óptica Yoigo comunicó que sufrió un ciberataque a gran escala con acceso a información personal de sus clientes. Yoigo, siguiendo el protocolo que establece la normativa GDPR, avisó a sus usuarios advirtiéndoles de que podrían tener comunicaciones de remitentes desconocidos (phishing) y los animó a denunciar cualquier comunicación sospechosa a la policía. 3.2 Amenazas Internacionales en Ciberseguridad 3.2.1 Actores Estado La actividad de actores estado, particularmente de Rusia, ha sido prominente durante la guerra entre Rusia y Ucrania. Grupos como Sandworm2 y APT283 han participado activamente en operaciones cibernéticas combinadas con acciones militares. Estos actores emplean tácticas avanzadas para atacar infraestructuras críticas y objetivos militares, además de llevar a cabo operaciones de ciberespionaje. En octubre de 2023, Sandworm ejecutó un ataque utilizando técnicas de "vivir de la tierra" (Living off the Land, LotL)4 en un sistema de control MicroSCADA obsoleto, causando un apagón no planificado que coincidió con una serie de ataques con misiles contra infraestructuras críticas en Ucrania. 3.2.2 Cibercrimen El cibercrimen sigue siendo una amenaza significativa a nivel global. Los cibercriminales emplean tácticas avanzadas, técnicas y procedimientos (TTPs) para llevar a cabo ataques de phishing, ransomware y robo de información. Estos ataques no solo afectan a individuos y empresas, sino también a gobiernos y organizaciones internacionales. 2 Sandworm, también conocido como Unit 74455 del GRU (Dirección Principal de Inteligencia de Rusia), es un grupo de amenazas persistentes avanzadas (APT) asociado con el gobierno ruso. Este grupo es conocido por llevar a cabo operaciones cibernéticas de gran escala y alto impacto, a menudo dirigidas a infraestructuras críticas y organizaciones gubernamentales 3 APT28, también conocido como Fancy Bear, Sofacy, STRONTIUM, y otros nombres, es otro grupo de amenazas persistentes avanzadas vinculado al GRU (Unidad 26165). Este grupo es conocido por su sofisticación y persistencia en las operaciones de ciberespionaje, dirigidas principalmente a organizaciones gubernamentales, militares y de seguridad 4 Uso de herramientas y recursos que ya están presentes en el entorno objetivo para llevar a cabo ataques cibernéticos. Estas técnicas son especialmente efectivas porque evaden la detección al no introducir software malicioso externo evidente Un ejemplo reciente de un ciberataque perpetrado por el grupo LAPSUS$ ocurrió en 2023, cuando atacaron la empresa de gestión de identidad Okta. Durante este ataque, LAPSUS$ logró acceder a la computadora de un ingeniero de soporte que trabajaba para un contratista de Okta, Sitel. Utilizando este acceso, el grupo pudo controlar la máquina durante cinco días, obteniendo capturas de pantalla y manipulando la sesión a través de una conexión de escritorio remoto (RDP)5. 3.2.3 Hacktivismo El hacktivismo ha aumentado, con grupos movilizados por causas políticas o sociales llevando a cabo ataques de denegación de servicio (DDoS) y otras formas de ciberprotesta. Estos grupos buscan generar atención y apoyo para sus causas, así como causar disrupción a las entidades que consideran adversarias. Un ejemplo reciente de hacktivismo es el ataque de denegación de servicio distribuido (DDoS) llevado a cabo por el grupo prorruso KillNet en 2023. Este grupo ha dirigido sus esfuerzos principalmente contra organizaciones occidentales en respuesta al apoyo de estos países a Ucrania en el conflicto en curso. Entre sus objetivos más destacados se encuentran las instituciones del sector sanitario en países como Estados Unidos, España, Alemania, Polonia y el Reino Unido. Estos ataques buscan causar disrupciones significativas en los servicios online y llamar la atención sobre su causa. Otro grupo notable es NoName057(16), también prorruso, que ha llevado a cabo ataques DDoS contra más de 50 organizaciones gubernamentales, financieras, de telecomunicaciones y de transporte en España, así como en otros países que consideran adversarios de Rusia. Este grupo se formó en marzo de 2022 y ha sido activo en coordinar ataques masivos a través de campañas en redes sociales y foros de hacktivismo 5 Okta reveals full extent of LAPSUS$ breach as hackers announce hiatus | ITPro 3.3 Tendencias Actuales en Ciberseguridad6 3.3.1 Aumento del Ransomware El ransomware sigue siendo una de las principales amenazas, con un aumento del 42% en 2022. Las versiones más avanzadas, como Lockbit3, han mejorado sus capacidades de propagación y automatización. Los atacantes de ransomware utilizan métodos sofisticados para cifrar los datos de sus víctimas y exigir un rescate a cambio de la clave de descifrado. 3.3.2 Uso de Vulnerabilidades de Día Cero Las vulnerabilidades de día cero siguen siendo explotadas por actores estado y cibercriminales. Estas vulnerabilidades permiten comprometer sistemas sin previo aviso y son particularmente valiosas porque no existen parches disponibles al momento de su explotación. 3.3.3 Inteligencia Artificial en Ciberseguridad La inteligencia artificial está siendo utilizada tanto por defensores como atacantes en el ámbito de la ciberseguridad. Herramientas como ChatGPT y DALL-E están siendo exploradas por sus capacidades ofensivas y defensivas. La IA puede automatizar tareas complejas, mejorar la detección de amenazas y optimizar las respuestas a incidentes de seguridad. Herramientas de IA están siendo empleadas para generar phishing más convincente y para detectar y mitigar ataques más rápidamente. Sin embargo, también existe el riesgo de que los atacantes utilicen IA para desarrollar nuevas formas de ataque y evadir las defensas existentes. 6 https://www.ccn-cert.cni.es/es/informes/informes-ccn-cert-publicos/7188-ccn-cert-ia-35-23- ciberamenazas-y-tendencias-edicion-2023/file.html 3.3.4 Compromiso de la Cadena de Suministro El compromiso de la cadena de suministro ha sido una táctica utilizada por actores maliciosos para infiltrarse en sistemas a través de proveedores de confianza. Al comprometer un proveedor, los atacantes pueden obtener acceso a múltiples objetivos secundarios. 3.3.5 Participación Civil en Conflictos Cibernéticos Se ha observado una mayor participación de personal civil en conflictos cibernéticos, especialmente en el contexto de la guerra entre Rusia y Ucrania. Los civiles han sido movilizados a través de plataformas como Telegram para participar en campañas de hacktivismo y ataques DDoS.

Tema Ciberespacio y Cibercriminales PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue