Tema 1: Desarrollo de planes de prevención y concienciación en ciberseguridad PDF

Summary

Tema 1: Desarrollo de planes de prevención y concienciación en ciberseguridad. Este documento ofrece definiciones y principios generales sobre ciberseguridad. Explica los términos como ciberseguridad, cibercrimen, ciberactivismo, ciberguerra, conceptos y ejemplos.

Full Transcript

# Tema 1. Desarrollo de planes de prevención y concienciación en ciberseguridad

## 1.2. Definiciones y principios generales de ciberseguridad

### Cibertérminos

**Ciberseguridad.** La “Seguridad de las Tecnologías de Información y Comunicaciones” (STIC) o "Ciberseguridad" tiene por objetivo la protección de los sistemas de información y comunicaciones y la información manejada por los mismos a través de la puesta en práctica de las medidas técnicas y organizativas apropiadas. Este tipo de medidas se enmarcan dentro de un marco más general denominado "Seguridad de la Información” (IA) que abarca desde la seguridad física y de personal, hasta STIC. Este contexto es el mostrado en la figura 1.


* **Seguridad del personal:**
* **Seguridad de instalaciones:**
* **Seguridad de la documentación:**
* **Seguridad de las TIC:**

_Figura 1. Seguridad de la información. Fuente: elaboración propia._

El Manual de Seguridad de las Tecnologías de la Información y Comunicaciones, CCN-STIC-400, define Ciberseguridad como un «Conjunto de medidas para proteger la información almacenada, procesada o transmitida por los Sistemas de Información y Comunicaciones, de manera que se aseguren o garanticen la confidencialidad, integridad y disponibilidad de la información y de los propios sistemas».

## Objetivos de la ciberseguridad

Sus objetivos son los siguientes:

* **Confidencialidad:** capacidad de los sistemas de información y comunicaciones para evitar que personas no autorizadas puedan acceder a la información almacenada en él. La protección de la confidencialidad se aplica a los datos almacenados durante su procesamiento, mientras se transmiten y se encuentran en tránsito. Algunos de los mecanismos utilizados para salvaguardar la confidencialidad de los datos son, por ejemplo:
* Técnicas de control de acceso a los sistemas.
* El cifrado de la información o de las comunicaciones.
* **Integridad:** capacidad que garantiza que la información no sea modificada, incluyendo su creación y borrado. Abarca dos aspectos:
* Integridad de datos.
* Integridad del sistema.
* Algunos de los mecanismos utilizados para salvaguardar la integridad son:
* Cifrado.
* Firma digital
* **Disponibilidad:** significa que el sistema, tanto hardware como software, se mantienen funcionando eficientemente y es capaz de recuperarse rápidamente en caso de fallo.

### Ciberespionaje

Ciberataques realizados para obtener secretos de Estado, propiedad industrial, propiedad intelectual, información comercial sensible o datos de carácter personal.

## Su detección se debe basar en técnicas que analicen comportamientos anómalos y que requieren herramientas tecnológicamente muy avanzadas y personales experto en detección y respuesta a estos ataques.

### Cibercrimen

Actividad cuyo entorno del delito son las redes y sistemas del ciberespacio y sus objetivos desde empresas, organismos y personas. Tienen normalmente una motivación económica.

### Ciberactivismo

Son organizaciones y/o personas que utilizan el ciberespacio para promover su ideología, posicionamiento político, social o económico, etc., con el objetivo de influir en la sociedad.

### Ciberguerra

Actividades en el ciberespacio, normalmente dirigidas por un Estado a otro, para desestabilizar, influir política y económicamente, conseguir superioridad en la información, mermar sus capacidades, etc.

## Amenaza, vulnerabilidad y riesgo

### Activo, amenaza y riesgo

* **Activo** es cualquier recurso de la organización necesario para el desempeño de la actividad y cuya no disponibilidad o deterioro supone un agravio o coste.
* **Amenaza o ataque** es cualquier circunstancia desfavorable que puede ocurrir y que deriva en consecuencias negativas para los activos.
* **Impacto o consecuencia** de la materialización de una amenaza sobre un activo aprovechando una vulnerabilidad.
* **Probabilidad** es la posibilidad de ocurrencia de una amenaza.
* **Riesgo** es una estimación de lo que puede ocurrir y se valora en función de la probabilidad de que se materialice una determinada amenaza y el posible impacto/consecuencia de dicha amenaza


_Figura 2. Relación entre conceptos. Fuente: elaboración propia._

### Vulnerabilidades

Una vulnerabilidad es un fallo de programación, configuración o diseño que permite a los atacantes alterar el comportamiento normal de un programa y realizar alguna acción maliciosa tal como alterar información sensible, interrumpir o destruir una aplicación o tomar su control. Las vulnerabilidades pueden venir provocadas por:

* **Fallos de implementación.** Fallos procedentes de la implementación de los diseños del software realizados. Como ejemplos tenemos desbordamientos de búfer, formato, cross-site scripting, inyección SQL, etc.
* **Fallos de diseño.** Los sistemas hardware o software contienen frecuentemente fallos de diseño que pueden ser utilizados para realizar un ataque. Por ejemplo, TELNET no fue diseñado para su uso en entornos hostiles; para eso se creó SSH.
* **Fallos de configuración.** La instalación de software por defecto implica por lo general la instalación de servicios que no se usan, pero que pueden presentar debilidades que comprometan al sistema.


_Figura 3. Tipos de vulnerabilidades del software. Fuente: elaboración propia._

Casi todas las vulnerabilidades de seguridad provenientes de fallos de implementación y diseño son bugs de software. Sin embargo, sólo algunos bugs resultan ser vulnerabilidades de seguridad. Un bug debe tener algún impacto o características relevantes para ser considerado un error de seguridad, es decir, tiene que permitir a los atacantes la posibilidad de realizar un exploit que les permita hacerse con el control de una máquina.

Una vulnerabilidad se define básicamente por cinco factores o parámetros que deben identificarla:

* **Producto.** Productos a los que afecta, versión o conjunto de ellas.
* **Dónde.** Componente o módulo del programa donde se localiza la vulnerabilidad.
* **Causa y consecuencia.** Fallo técnico concreto que cometió el programador a la hora de crear la aplicación que es el origen de la vulnerabilidad.
* **Impacto.** Define la gravedad de la vulnerabilidad; indica lo que puede conseguir un atacante que la explotase.
* **Vector.** Técnica del atacante para aprovechar la vulnerabilidad se le conoce como "vector de ataque".

### Ciclo de vida de una vulnerabilidad

El ciclo de vida de una vulnerabilidad consta de las siguientes fases:

* **Descubrimiento:** detección de un fallo en el software, que puede producirse durante el desarrollo de este o una vez está en producción.
* **Utilización:** Los agentes maliciosos desarrollan el exploit adecuado para poder lanzar ataques
* **Verificación inicial de la vulnerabilidad:** una vez se recibe una notificación de error, ésta será aceptada para tratamiento comprobando la veracidad del error, o bien será rechazada por un responsable en caso de que no se pueda reproducir la vulnerabilidad y se compruebe que la vulnerabilidad no existe.
* **Solución:** los programadores del producto buscan solución en entornos controlados
* **Difusión:** los medios de comunicación dan publicidad al incidente.
* **Medidas:** si es posible, las organizaciones afectadas toman medidas para mitigar las posibles pérdidas.
* **Corrección y nueva verificación:** el proceso de corrección de la vulnerabilidad, llevado a cabo por programadores, será verificado nuevamente de manera iterativa hasta comprobar la resolución del error.
* **Búsqueda.** Los técnicos buscan vulnerabilidades similares (el ciclo vuelve a comenzar).
* **Actualización.** Los sitios no actualizados vuelven a ser víctimas.


_Figura 4. Ciclo de vida de una vulnerabilidad. Fuente: elaboración propia._

## Tipos de ataques y evolución

### Tipos de ataques

* **Malware o código malicioso,** es un software o firmware intencionado con capacidad para llevar a cabo procesos no autorizados que tendrán un impacto negativo en la confidencialidad, integridad o disponibilidad de un sistema. Ejemplos de malware son los virus, troyanos, gusanos, etc.
* **Ransomware** es código dañino con capacidad de cifrar los ficheros y/o dispositivos de la red de un usuario u organización, solicitando un pago, normalmente en criptomonedas. El atacante consigue penetrar en la red manejando malware junto con herramientas ofensivas con la finalidad de establecer persintencia, realizar movimiento lateral, extraer información y finalmente cifrar la información.
* **Phishing.** Es un método de ataque que permite obtener información personal o confidencial de los usuarios por medio de engaño, recurriendo a la suplantación de la identidad digital. El engaño se produce normalmente a través de email y técnicas de ingeniería social.
* **DDoS (Distribuited Denial of Service),** son ataques contra la disponibilidad de un sistema, servicio. El ataque se produce mediante la solicitud masiva y de manera distribuida a ese servicio, provocando la caída de este por no poder atender dichas solicitudes.
* **Criptojaqueo,** el atacante utiliza el ordenador de la víctima para generar hacer minado de criptomoneda. El usuario es engañado para instalar un scripts malicioso que permite al cibercriminal acceder a su ordenador.
* **Desinformación** es un ataque intencionado que consiste en la creación y compartición de noticias falsa para influir en un grupo de personas, en una organización y o estado.
* **Advanced Persistent Threat (APT) o amenaza avanzada persistente** consiste en un ataque que utiliza diferentes técnicas de hackeo avanzadas y que persistente en el tiempo para robar información de una organización.
* **Ataque Botnet,** consiste en infectar con software malicioso un conjunto de equipos informáticos (equipos zombi), sin el conocimiento del usuario, para una vez conseguido su control remoto, lanzar desde ellos ataques de DDoS, propagación de virus, etc.


_Figura 5. Principales ataques en la actualidad. Fuente: Enisa, s. f._

## Ataques en el tiempo

Conforme Internet comenzó a ser un valor para los gobiernos, las sociedades y las economías, se convirtió en un medio de obtener ventaja y por tanto un objetivo valioso. En el presente apartado realiza una revisión de los principales incidentes cibernéticos acaecidos en Internet u otras redes desde al año 2000.

Comenzamos la revisión de estos incidentes en el año 2000 cuando se produjo un ataque de denegación de servicio (DDoS) (ataque de denegación de servicio a un sistema informático o red, consiste en causar que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.) contra los sitios web de la CNN y eBay, realizado por un adolescente canadiense con una red de botnet (red de equipos infectados por un atacante remoto. Los equipos quedan a su merced cuando desee lanzar un ataque masivo, tal como envío de spam o denegación distribuida de servicio.), mediante la emisión de un flujo masivo de mensajes a través de Internet inundándolos con millones de ellos. El resultando fue el bloqueo de su capacidad para asimilar el tráfico normal.

En octubre del año 2002 se realizó un DDoS contra los servidores raíz del servicio de nombres de dominio (DNS), su caída hubiera supuesto la imposibilidad de realizar la conversión de direcciones a nombres de dominio en las conexiones, lo que hubiera supuesto desde el punto de vista del usuario una sensación de no funcionamiento de la red.

Alrededor del año 2003 se implementó un nuevo tipo de amenaza a la que se denominó "Titan Rain" que realizó intrusiones en las redes del Departamento de Defensa de los EEUU, la NASA y empresas de defensa. Este tipo del malware dio origen al nombre que se utiliza comúnmente hoy en día para referirse a APT.

En el año 2007 Estonia sufrió el mayor ataque cibernético de la historia y uno de los precursores de la Ciberdefensa. El Gobierno de Estonia había realizado un proceso de transformación digital a nivel nacional. El ataque basado en DDoS, afectó masivamente a los sistemas de la presidencia, el parlamento, la mayoría de los ministerios, los partidos políticos, periódicos, comercio electrónico y dos de sus grandes bancos. Hoy en día aún no se conoce si fue espontaneo u organizado por algún gobierno.

En el año 2008, a raíz de la invasión de Georgia por parte de Rusia, el gobierno de Georgia afirmó que gran número de ordenadores estatales habían sido comprometidos a través de malware específico, multitud de ataques de DDoS e inundación de correo electrónico spam. Aunque parece que el ataque, a partir de los incidentes ocurridos, fue organizado y dirigido no hubo clara evidencia de la dirección por parte de un estado. A partir de este incidente el ciberespacio pasó a ser llamado el quinto dominio de la guerra, uniéndose a los tradicionales tierra, mar, aire y espacio.

Ese mismo año tuvo lugar el conocido ataque denominado "Buckshot Yankee" tipo APT, diseñado para usar memorias USB como vector de ataque. Tuvo un impacto operacional grande pues consiguió entrar en sistemas clasificados y no se sabe cuanta información consiguió extraer el malware. El DoD americano tardó 14 meses en quitar el gusano de su red.

En el año 2009, Google anunció que había sido atacado por China, en lo que se denominó "Operación Aurora” amenazando con retirarse de China y censurar los resultados de búsqueda. Google fue una de las muchas empresas de alto nivel que pudieron haber sido atacadas para acceder a información sensible y confidencial.

Otros sucesos ocurridos en 2010 fueron realizados por un movimiento internacional de ciberactivistas denominados "Anonymous", formado por un número indeterminado de personas que reciben ese nombre porque no revelan su identidad. Realizaron veinte y un (21) ataques masivos DDoS en España colapsando las webs del PSOE, SGAE, Congreso y Ministerio de Cultura, del Senado Español, del Partido Popular y la de la Academia de Cine.

Otro ataque de gran importancia que ocurría ese mismo año fue el denominado "Stuxnet", sufrido por Irán, siendo uno de los ataques cibernéticos más grandes de la historia. Los sistemas de control SCADA (Supervisory Control and Data Acquisition)de la central nuclear de Bushehr, así como de otras industrias, se vieron afectados por un virus de una potencia sin precedentes. Se trataba de una APT que se componía de un gusano que se propagaba a través de unidades USB, un exploit de Windows, un rootkit para evitar su descubrimiento y un troyano que buscaba específicamente un modelo particular de los sistemas SCADA. Se estima que en su creación han debido intervenir algún estado, pues es muy complejo y el coste económico de su desarrollo se estima en varios millones de dólares. Podría considerarse un ejemplo de guerra cibernética.

En el año 2012 apareció otro tipo similar de APT al que se le llamó "Flame”, diseñado para rastrear de forma secreta redes informáticas de Irán y controlar los ordenadores de los funcionarios iraníes, enviando un flujo constante de información. Fue descubierto por la empresa de seguridad Kaspersky y se le considera uno de los más complejos y dañinos realizados hasta el momento. Sus principales capacidades son las de replicar información de los sistemas infectados y controlar sus funciones enviando la información a un centro de control. Se hace pasar por una rutina de actualización de software de Microsoft, siendo capaz de no ser detectado durante largos periodos de tiempo.

En el año 2014 apareció el malware Careto. También conocido como “The mask”, es una APT con versiones para Mac OS X, Windows y probablemente iOS, Android y Linux, y que incluye entre sus herramientas un rootkit (malware que permite adquirir privilegios de administrador en un sistema y que tiene la particularidad de auto ocultarse a la vista de los administradores del sistema), un bootkit (malware que infecta el Master Boot Record o sistema de arranque, y que permite cargar y ejecutar el sistema operativo con las modificaciones necesarias para impedir ser detectado por los sistemas automáticos).

En el año 2016 apareció PEYTA, un ransomware que infecta los ordenadores, encripta los datos haciendo imposible su uso para el usuario y pide un rescate a cambio. Este virus, que afectaba a los sistemas Windows, accedía a través de un PDF ejecutable que la víctima abría para así dar comienzo a la fatalidad. A continuación, las pantallas de los equipos exhibían una calavera negra en fondo rojo y mostraban el mensaje de rescate.

En el año 2017 apareció WANNACRY, un ransomware infectó a miles de empresas y organizaciones en todo el mundo, encriptando sus archivos y bloqueando los accesos a los sistemas infectados. Probablemente, por alcance a sistemas afectados y pérdidas económicas, ha sido el virus más destructor de la época actual. El malware se coló por una vulnerabilidad de un parche de seguridad instaurado semanas antes que infectó a más de 360.000 equipos. Se calcula que el impacto en pérdidas directas e indirectas alcanzó la suma de 4.000 millones de euros. WannaCry ha supuesto un antes y un después en el mundo de la seguridad cibernética.

En el año 2017, la empresa UBER pagó cien mil dólares a dos hackers para eliminar los datos robados y ocultar el ciberataque, manteniéndolo en secreto. El ataque tuvo lugar en octubre de 2016 -un año antes de su publicación- e incluyó la exposición de nombres, correos electrónicos y números de teléfono de 57 millones de clientes en todo el mundo, así como la información personal de 7 millones de conductores de esa empresa de transporte.

En el año 2018, Cambridge Analytica mostró al mundo cómo el robo de datos puede ser usado en política: en este caso, para influir en las elecciones presidenciales de EE. UU. de 2016. Cambridge Analytica una empresa de análisis de datos que trabajó con el equipo de Donald Trump - utilizó sin consentimiento la información de 50 millones de perfiles de Facebook para identificar los patrones de comportamiento y gustos de los usuarios y utilizarlos en la difusión de propaganda política.

En el año 2019, Facebook se vio involucrado una vez más en un caso de exposición de datos. Cerca de 419 millones de números de teléfono y de identificación de usuario de Facebook fueron almacenados en un servidor online que no estaba protegido por contraseña. Aunque no son tan sensibles como los datos financieros, los números de teléfono pueden ser utilizados por los hackers para spam, phishing o fraudes asociados a la tarjeta SIM.

En el año 2020. SolarWinds, FireEye y otras empresas de ciberseguridad fueron víctimas de ataques donde se sustrajeron herramientas internas empleadas para realizar pruebas de penetración.

Otro de los incidentes de seguridad que más auge están auge están teniendo en la actualidad son los relacionados con la infección de malware en dispositivos móviles. Dado el aumento de usuarios que utilizan este tipo de dispositivos para realizar transacciones bancarias, resulta lógico que los cibercriminales destinen mayores recursos en el desarrollo de códigos maliciosos diseñados para estos equipos.

Como podemos comprobar de la cronología de los ataques expuesta, los ataques cibernéticos son cada vez más frecuentes, más organizados, técnicamente más complejos y costosos en el daño que provocan a las administraciones públicas, empresas, economías, redes de transporte y suministro energético y otras infraestructuras críticas (desde la energía a las finanzas). Pueden incluso llegar ser una amenaza a la prosperidad, la seguridad y la estabilidad de un país. En la Figuera se muestra una evolución de estos ataques.


_Figura 6. Diagrama cualitativo de la evolución de la amenaza cibernética a lo largo de los últimos años. Fuente: elaboración propia._

## Principios de ciberseguridad

Los principios de ciberseguridad han ido evolucionando en función de los nuevos escenarios de uso de las TIC en nuestras sociedades y por ende las nuevas amenazas que aparecen. Así se ha ido evolucionando desde unos conceptos más tradicionales o básicos a nuevos principios que complementan los anteriores.


_Figura 7. Principios de ciberseguridad. Fuente: elaboración propia._

Estos principios los podemos agrupar en las siguientes categorías: seguridad de la infraestructura, identidad y gestión de accesos, protección frente a amenazas, protección de la información y gestión de la seguridad.

### Seguridad de la infraestructura

Una infraestructura segura sobre la que construir es clave para conseguir una arquitectura segura.

Los siguientes principios sobre seguridad de la infraestructura deberán ser aplicados:

* **Seguridad física.** Aunque el cifrado o las capacidades anti-manipulación pueden mitigar hasta cierto punto la falta de seguridad física, estas capacidades no están ubicuamente distribuidas por lo que garantizar la seguridad física de los sistemas continúa siendo importante, y donde no sea posible, medidas alternativas deben ser implementadas.