LEYENDO

Ensayo sobre vulnerabilidad cibernética

Ensayo sobre vulnerabilidad cibernética

Ciberamenazas

Sergio Villaescusa González.

“El próximo Pearl Harbor al que nos enfrentemos podría ser un ataque cibernético que inutilice nuestros sistemas energéticos, nuestra red eléctrica, nuestros sistemas de seguridad o nuestros mecanismos financieros”

Leon Panetta, Secretario de Defensa de los Estados Unidos 2011

1.- INTRODUCCIÓN

En las últimas tres décadas, el concepto tradicional de conflicto bélico ha venido experimentado una metamorfosis que se explica en gran medida por los avances en materia de tecnología y comunicación, los cuales han hecho posible trasladar los enfrentamientos a un nuevo ámbito de hostilidades: el ciberespacio.

Esta nueva amenaza global apunta a la seguridad de los Estados. La amenaza es más sofisticada, más sutil, no usa armas ni municiones ni ejércitos, pero es capaz de someter gobiernos, quebrar economías y desquiciar a grupos sociales.

Y es que el alto nivel de desarrollo de las telecomunicaciones, la electrónica y los programas informáticos, así como el papel de estos últimos en el control y supervisión de la infraestructura más sensible de un país incrementa la probabilidad de ser un blanco de un ataque cibernético.

La seguridad informática ha cobrado una relevancia tal que instrumentos y herramientas que históricamente demostraron su efectividad (como portaviones o carros de combate) han pasado a un segundo término en materia de defensa ante la fuerza destructiva de novedosas herramientas informáticas inteligentes.

A continuación se definirán una serie de conceptos clave para entender el marco conceptual que trataremos en este ensayo.

2.- DEFINICIÓN DE ELEMENTOS CLAVE

– Ciberguerra: La ciberguerra se refiere al desplazamiento de un conflicto, en principio de carácter bélico, que toma el ciberespacio y las tecnologías de la información como escenario principal en lugar de los campos de batalla convencionales. En este campo de batalla se busca interrumpir, denegar, degradar, manipular o destruir información residente en ordenadores y redes de ordenadores, o los propios ordenadores y las redes de otro estado.

El ex subsecretario de Defensa de Estados Unidos, William J. Lynn, precisó en 2010 que la ciberguerra fue reconocida por el Pentágono como un “nuevo escenario de conflicto” en el que las operaciones militares son tan importantes como en los frentes tradicionales: tierra, mar, aire y el espacio.

-Ciberataque: Consiste en el uso del ciberespacio para atacar a los sistemas y servicios presentes en el mismo o alcanzables a través de aquel. El atacante busca acceder sin autorización a información, o alterar o impedir el funcionamiento de los servicios. Es una acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan.

Los blancos de los ataques generalmente enfocan sistemas financieros, bancarios, transportes, industria, comunicaciones y militares, que pueden afectar gravemente la vida de un país.

-Ciberseguridad: Se define como el conjunto de actuaciones orientadas a hacer más seguras las redes y sistemas de información que constituyen el ciberespacio; detectando y enfrentándose a intrusiones; detectando, reaccionando y recuperándose de incidentes; y preservando la confidencialidad, disponibilidad e integridad de la información.

La Estrategia Española de Seguridad señala que “la ciberseguridad no es un mero aspecto técnico de la seguridad sino un eje fundamental de nuestra sociedad y sistema económico”, de ahí el énfasis en la importancia de la misma. En lo concerniente a la cultura de ciberseguridad, es vital concienciar a los ciudadanos, profesionales y empresas de la importancia de la ciberseguridad, del uso responsable de las nuevas tecnologías y de los servicios de la Sociedad de la Información.

– Ciberespionaje industrial: robo de información a empresas con el fin de acceder a su información más valiosa (propiedad intelectual, desarrollos tecnológicos, estrategias de actuación, bases de datos de clientes, etc.).

Por ejemplo, el informe Mandiant descubrió la existencia del grupo organizado APT1 dedicado al ciberespionaje de industrias de habla inglesa claves para la economía de sus respectivos países.

– Ciberespionaje gubernamental: robo de información a organismos gubernamentales como la operación “Octubre Rojo” en la que se infiltraron en las redes de comunicaciones diplomáticas, gubernamentales, de investigación científica y compañías petroquímicas de alrededor de 40 países. El objetivo era obtener información sensible y credenciales de acceso a ordenadores, dispositivos móviles y equipos de red.

– Ciberataques a infraestructuras críticas: como el detectado contra Aramco, la principal compañía petrolera de Arabia Saudí, que se vio sacudida por un troyano instalado en más de 30.000 ordenadores de su red. La compañía necesitó diez días para volver a la normalidad.

– Cibermercenarios o grupos de hackers con conocimientos avanzados, contratados para desarrollar ataques dirigidos contra un objetivo concreto, con el objetivo de conseguir la información deseada.

– Ciberdelincuencia contra servicios financieros, y muy especialmente, los denominados troyanos bancarios, diseñados para el robo de datos de tarjetas de crédito y cada vez más, centrados en los dispositivos móviles.

Por ejemplo, en la “Operación High Roller” se vieron afectadas 60 entidades financieras de todo el mundo, víctimas de un ciberataque en el que se extrajeron 60 millones de euros. El grado de sofisticación del malware indica que fue obra del crimen organizado porque la configuración del ataque requirió inversión para el desarrollo, muchas horas de trabajo y una logística muy importante.

– Ciberdelincuentes aislados que venden la información obtenida al mejor postor. Un ejemplo muy sonado fue el de la cadena estadounidense de grandes almacenes Target que reconoció el robo de información de tarjetas de crédito de alrededor de 70 millones de clientes. Pocos días después, estas tarjetas estaban siendo vendidas en el mercado negro para ser clonadas y realizar compras con ellas.

– Ciberdelincuentes organizados o mafias que han trasladado al mundo “virtual” sus acciones en el mundo “real”. Fraude online, clonación de tarjetas de crédito, extorsión, blanqueo de capitales, etc.

– Infección a través de páginas web. En 2013 se detuvo al autor de Blackole, un exploit-kit (paquete que contiene programas maliciosos) que permitía explotar vulnerabilidades de webs legítimas e infectar a los usuarios que accedían a dichas páginas, millones en todo el mundo.

– Ciberhacktivistas: personas o grupos que, movidos por alguna ideología, intentan socavar la estructura del oponente. El ejemplo de Anonymous es paradigmático y, en estos casos, sus ataques suelen centrarse en ataques DDoS, desfiguración de páginas web o publicación de datos comprometidos.

– Cibersabotaje que busca dañar la reputación de una organización y por ende su funcionamiento. Prueba de ello es la actividad del Ejército Electrónico Sirio, que lleva meses atacando a todos aquellos que, en su opinión, propagan el odio y quieren desestabilizar la seguridad en Siria, incluidas grandes empresas periodísticas de todo el mundo. Llegaron a provocar incluso una caída de 150 puntos en el Dow Jones Industrial Average (índice bursátil de las 30 mayores empresas de la Bolsa de Estados Unidos), ante una noticia falsa de un atentado en la Casa Blanca difundido por Associated Press en Twitter.

Ciberterrorismo. Lo cierto es que en la década transcurrida desde el 11-S ningún grupo terrorista ha tenido mucho éxito en causar serios trastornos a una infraestructura civil o militar; para un grupo como Al Qaeda, los costes de conseguirlo son demasiado altos, al tiempo que no existe garantía alguna de que esa campaña de ciberterrorismo resulte tan espectacular como el hacer estallar una bomba en una concurrida plaza pública.

3.-  LA REACCIÓN DE PAÍSES OCCIDENTALES Y DE ESPAÑA ANTE LA AMENAZA CIBERNÉTICA

¿Qué pueden hacer los países?

La comunicación entre las agencias gubernamentales, empresas, redes y servicios públicos es una primera línea de defensa crítica. Cada uno de estos grupos debe estar al tanto de cuáles son las amenazas inminentes y las posibles defensas. Todos ganamos de la colaboración público-privada en estrategias de ciberguerra. Hoy en día muchos países reconocen que los delitos cibernéticos se están convirtiendo en una amenaza de importancia primordial, lo que les obliga a desarrollar estrategias de defensa para atajar cualquier riesgo de ciberguerra. Pero no hay que confundir delitos o amenazas cibernéticas con ciberguerra. La existencia de una ciberguerra es ya innegable. Los expertos de seguridad vaticinan que el quinto teatro de operaciones será la red y los Estados hacen ya importantes inversiones para bloquear sus bienes digitales. Hay demasiado en juego; bancos y empresas multinacionales vuelcan una ingente cantidad de información sensible cuya fuga puede convertirse en un asunto de Estado.

En la actualidad, todos los países de nuestro entorno están desarrollando estrategias, doctrina y estructuras que les garanticen superioridad en el empleo del ciberespacio en operaciones militares.

Desde la UE, la Comisión ha aprobado recientemente la «Estrategia de Ciberseguridad de la Unión Europea: un ciberespacio abierto, protegido y seguro», en la que propone medidas concretas que «pueden mejorar los resultados generales de la UE en este campo, aunque reconoce que corresponde ante todo a los estados miembros hacerse cargo de los problemas de seguridad del ciberespacio». Incluido en esta estrategia se halla el desarrollo del Centro Avanzado de Ciberdefensa (ACDC, Advanced Cyber Defence Centre, por sus siglas en inglés), en la que participan 14 países, con un total de 28 socios, entre los que se incluyen Interpol, Europol o la Agencia Europea para la Seguridad de la Información (Enisa).

La OTAN está en plena transformación de sus capacidades de ciberdefensa habiendo aprobado durante el año 2011, una nueva política y un plan de acción de ciberdefensa.

En junio de 2009 el secretario de Defensa norteamericano ordenó establecer el Mando de Ciberdefensa estadounidense (USCYBERCOM) con la misión de realizar un uso de técnicas informáticas con el objetivo de velar por los intereses de Estados Unidos o sus aliados. Esto incluye la protección directa de sistemas informáticos, actuaciones de respuesta rápida frente a ataques o incluso ejecutar ataques para proteger sus intereses.

Estamos ante un problema del estado, que implica a las Fuerzas Armadas, a las Fuerzas y Cuerpos de Seguridad del Estado y a los sectores estratégicos. La protección y la defensa del ciberespacio se ha convertido en uno de los retos fundamentales para las Fuerzas Armadas de la mayoría de los países, de ahí la necesidad de disponer de unas Fuerzas Armadas adaptadas a un entorno con continuos avance tecnológicos y dentro de un presupuesto cada vez más restrictivo. El riesgo omnipresente de ataques desde el ciberespacio, hace prever que en los futuros conflictos, las primeras acciones tengan lugar en el ciberespacio.

¿Y España?

España es el tercer país del mundo que más ciberataques recibe, tras EE.UU. y Reino Unido, según datos de febrero de 2015. Recibimos 3.000 ataques en 2012, 54.000 ciberataques durante 2013 y más de 70.000 agresiones cibernéticas en 2014, con cifras que van de los 180.000 a los 200.000 casos diarios, según el Centro Nacional de Protección de Infraestructuras Críticas (Cnpic). Cuatro ministerios españoles han sufrido ataques procedentes de Rusia y China, según fuentes de la ciberseguridad, a lo largo de muy pocos meses entre 2014 y 2015. Los asaltos trataban de interceptar las comunicaciones de altos cargos, incluyendo ministros y secretarios de Estado.

La puesta en marcha de los elementos estructurales de la Ciberseguridad Nacional, entre ellos, el Consejo de Ciberseguridad han emprendido una labor sin precedentes en la mejora de la coordinación, la cooperación y la colaboración entre Administraciones Públicas y el sector privado, así como en la eficacia de las actuaciones que hoy se acometen en éste ámbito. Entre sus logros, sin duda uno de más relevantes ha sido la elaboración del Plan Nacional de Ciberseguridad, aprobado el 31 de octubre de 2014 por el Consejo de Seguridad Nacional. En este Plan se destaca la asignación de responsabilidades para alcanzar los objetivos fijados por la Estrategia de Ciberseguridad Nacional, asignando cometidos específicos a los órganos y organismos representados en el Consejo de Ciberseguridad Nacional. Su contenido se instrumenta a través de la creación de siete Planes Derivados que suponen la aplicación práctica de las medidas recogidas en las líneas de acción de la Estrategia. Este es el punto de partida para el desarrollo de actuaciones concretas en un ámbito definido como prioritario para la Seguridad Nacional.

Desde el punto de vista militar, en España hay un Mando Conjunto de Ciberdefensa en el Ejército (Orden Ministerial 10/2013, de 19 de febrero), que trabaja en la defensa contra ataques informáticos. El valor añadido de este Mando Conjunto descansa no sólo en detectar y reaccionar ante las amenazas cibernéticas al estilo de los centros de respuesta distribuidos por todo el territorio nacional sino en la capacidad de disuasión que le proporcionan las acciones ofensivas propias de ciberguerra. Es decir, explotar las oportunidades que ofrece el ciberespacio de forma proactiva.

En julio de 2012 el JEMAD (Jefe del Estado Mayor de la Defensa) aprobó el «Plan de Acción para la Obtención de la Capacidad de Ciberdefensa Militar». Éste se configuró como un documento vivo para adaptarse a la naturaleza dinámica del ciberespacio y a la evolución de las tecnologías de la información. Para lograr la mayor eficiencia, el plan persigue la sinergia mediante la coordinación de los esfuerzos entre el ámbito conjunto, el ámbito corporativo, y los ámbitos específicos, así como mediante el aprovechamiento de las estructuras existentes.

4.- PRINCIPALES AMENAZAS CIBERNÉTICAS POR PARTE DE ACTORES ESTATALES Y NO ESTATALES

De las amenazas principales que tienen lugar en el ciberespacio señalaremos como las principales el cibercrimen, el ciberterrorismo y la ciberguerra. Estas acciones están experimentando un fuerte apogeo que contrasta con la débil preparación de los Estados y organizaciones para hacerles frente.

Cibercrimen

El cibercrimen comprende un amplio espectro de delitos entre los que cabría citar la piratería de software, juegos, música o películas; estafas, transacciones fraudulentas, acoso y explotación sexual, pornografía infantil, fraudes de telecomunicaciones, amenazas, injurias, calumnias, etc. Como se puede deducir, el cibercrimen persigue fundamentalmente conseguir un beneficio económico, pero también incluye el dominio de internet con fines inmorales (el 90% de las amenazas digitales que se producen en la actualidad son achacables al cibercrimen).

Dentro del cibercrimen, la mayoría de los ataques informáticos provienen del uso del phising, troyanos y los malware. A través de los dos primeros, los delincuentes se pueden hacer con contraseñas que utilizan para obtener información sensible a la que habitualmente no tendrían permiso para acceder. Por su parte, los malware están evolucionando de forma alarmante en los últimos años. Su carta de presentación admite diferentes formas: virus, caballo de Troya, puerta trasera (backdoor), programa espía (spyware), o un gusano. Además, a causa de un malware pueden derivarse otros tipos de ataques como puede ser la denegación de servicio.

El cibercrimen se consolida como un negocio en alza. Los ataques informáticos podrían haber afectado a cerca de  378 millones de víctimas en todo el mundo, siendo los países más afectados: Rusia, China, Sudáfrica y Estados Unidos. Éste último lidera el coste, a escala mundial, del cibercrimen.

Ciberterrorismo

El ciberterrorismo, aunque está muy vinculado con el cibercrimen, se diferencia de ésta en que no persigue principalmente un fin económico sino que se centra más en aquellas acciones en las que se persigue intimidar, coaccionar y causar daños con fines fundamentalmente políticos-religiosos.

El ciberespacio se está consolidando como un santuario de terroristas debido a que está siendo utilizado cada vez más por éstos. Las acciones que llevan a cabo en él pueden ser de financiación, guerra psicológica, reclutamiento, comunicación, adoctrinamiento, propaganda, entre otras.

Teniendo en cuenta que las guerras actuales se libran tanto en el campo de batalla como en la esfera de la información, la superioridad militar de un bando en el campo de batalla convencional, puede provocar que el más débil se focalice en la red con el fin de equilibrar la balanza de poder.

La falta de regulación y el enmascaramiento que ofrece la red hace que los grupos terroristas realicen sus acciones con total impunidad. El cierre de sitios web no supone ningún problema para ellos ante la facilidad con la que encuentran nuevos servidores donde colocar sus páginas y seguir con sus actividades.

Ciberguerra

Hasta la aparición de Internet (1969) y su desarrollo (década de los 90), las guerras se habían llevado a cabo en los espacios terrestre, marítimo, aéreo y en el espacio electromagnético.  Es a partir de la década de los 90 cuando la consolidación del crecimiento de la infraestructura tecnológica y el uso de las redes, hacen que cada vez se vea más al ciberespacio como un nuevo campo de batalla, donde se lleve a cabo la ciberguerra. Esta nueva forma de hacer la guerra no se limita solo a efectos sobre los equipos informáticos sino que sus consecuencias pueden trasladarse al mundo físico.

Ante tal amenaza los Estados se están organizando. Si el dominio de las tres dimensiones tierra, aire y mar supuso la creación de los Ejércitos de Tierra, Aire y Amada respectivamente, hoy los retos y amenazas que presenta el ciberespacio están haciendo que los Estados estén creando “ciberejércitos” (que en el caso de España se trata del Mando Conjunto de Ciberdefensa). Sin embargo no creamos que todos estén compuestos de personas uniformadas frente a un ordenador. La mayoría de los países están contratando a personal experto (muchos de ellos hackers conocidos) para que trabajen en estos cometidos.

5.- CONCLUSIONES

Sin necesidad de enviar un solo soldado, en la actualidad se pueden atacar infraestructuras críticas, como las redes eléctricas, o de suministro de agua, o de comunicaciones de cualquier país. La guerra cibernética dejó de ser una amenaza abstracta, por lo que el tema de seguridad a las redes informáticas se ha transformado en una prioridad fundamental de defensa para los Estados. En cambio,  la opinión pública no tiene aún muy claro qué es eso de la ciberguerra. Estamos empezando a asimilar el cibercrimen, que nos afecta al bolsillo, pero vemos la ciberguerra como si fuera una película, algo ajeno a nosotros. Nada más lejos, sin embargo, de la realidad. La ciberguerra existe, ocurre, y seguirá ocurriendo.

Cuanta más responsabilidad otorgamos a redes y sistemas informáticos en nuestras vidas, necesitaremos medidas de seguridad más efectivas. Éste hecho corresponde tanto al ámbito individual como colectivo; al privado como al público. Muchos países se benefician de la ínfima regulación que existe sobre la ciberguerra, un territorio en el que aún queda mucho por explorar para poder ser comprendido en su totalidad.

Debido a la creciente sofisticación de la ciberamenaza, cada vez en más países se está imponiendo la opinión de que es necesario hacerle frente con medidas más activas, que busquen no sólo prevenir, detectar, reaccionar y recuperarse ante un ataque, sino neutralizar la ciberamenaza desde su origen, desarrollando las capacidades de un ciberejército, así como las reglas de enfrentamiento que permitan a éstos pasar al ataque.



ARTÍCULOS RELACIONADOS