LEYENDO

La amenaza cibernética: ciberguerra y ciberdefensa...

La amenaza cibernética: ciberguerra y ciberdefensa

Amenaza cibernética

Nerea Romeo Matínez.

Introducción

Con el desarrollo y la evolución de la Sociedad a lo largo de los años, viene de la mano el desarrollo de las nuevas tecnologías, y con ellas internet. Podemos definir internet como un conjunto descentralizado de redes de comunicación interconectadas que permiten una conectividad global, o, según la RAE: “Red informática mundial, descentralizada, formada por la conexión directa entre computadoras mediante un protocolo especial de comunicación”. Estos avances de la tecnología dan acceso a más información (transmisión de archivos, correo electrónico o mensajería instantánea, acceso a información general o incluso personal como pueden ser las cuentas bancarias, etc.) pero también a medios de comunicación y divulgación, como son la telefonía o la televisión entre otros, lo que puede facilitar y simplificar la vida del ciudadano tanto a nivel personal como profesional… pero al igual que la facilita, la hace también más vulnerable. Esta vulnerabilidad crea riesgos, que se pueden convertir en amenazas. Por ello, los expertos han decidido ponerse manos a la obra e intentar crear soluciones para poder prevenir, controlar y luchar contra posibles riesgos y amenazas derivadas del ciberespacio.

Como bien menciona la Estrategia de Seguridad Nacional en su introducción, “A los riesgos y amenazas tradicionales se suman otros nuevos de naturaleza generalmente transnacional, que se interconectan y potencian su peligrosidad, a la vez que aparecen nuevos espacios abiertos que facilitan su expansión e impacto. El ciberespacio es hoy el ejemplo más claro de un ámbito accesible, poco regulado y de difícil control”.

Debido a la fácil accesibilidad y a la poca regulación y difícil control, las ciberamenazas constituyen un riesgo y una amenaza para la Seguridad Nacional. Continuando con la ESN, en el capítulo 3 “Los riesgos y amenazas para la Seguridad Nacional”, se puede encontrar el punto de las ciberamenazas. Este punto comienza de la siguiente manera: “El ciberespacio, un nuevo ámbito de relación que ha proporcionado el desarrollo de las nuevas tecnologías de la información y las comunicaciones, ha diluido las fronteras, permitiendo una globalización sin precedentes, que propicia nuevas oportunidades, pero conlleva serios riesgos y amenazas”.

Al igual que se puede atacar en la vida real, se puede atacar en el ciberespacio. A este tipo de agresiones las podemos denominar “ciberataques”. Pero, ¿pueden este tipo de amenazas volverse tan serias hasta llegar al punto de poder denominarse “ciberguerras”?

1. Ciberataque y Ciberguerra

Según la RAE, un ataque es la “acción de atacar, acometer o emprender una ofensiva”, por lo tanto se podría definir un “ciberataque” como la acción de atacar, acometer o emprender una ofensiva en el ciberespacio.

Hoy en día, la red se utiliza para todo tipo de actividad, ya sea personal o profesional. Estas acciones en línea pueden poner en peligro y en jaque tanto a un ciudadano como a un país.

Los ciberataques se pueden presentar de diferentes maneras, dependiendo de la meta o del daño que se desee provocar. Para ello, el ciberdelincuente, va a utilizar una serie de técnicas para poder cumplir su objetivo, entre las cuales se pueden citar:

  • Los virus informáticos: son programas que infectan, o pretenden infectar, a otros archivos con el objetivo de infectar y producir daños en el sistema informático en el que se han introducido. Como un virus en el cuerpo humano, éste se va a transmitir a otros archivos y así se va a ir propagando e infectando nuevos archivos.
  • Los Troyanos: también llamados Caballos de Troya, son una especie de virus que se caracteriza por engañar a los usuarios disfrazándose de programas o archivos habituales, como fotos, archivos de música o de correo entre otros, para de esta forma infectar y causar daño. El principal objetivo es dar acceso al sistema informático infectado para poder robar información personal e incluso confidencial.
  • El envío masivo de correo no deseado o SPAM: se denomina “SPAM” a los mensajes enviados por correo electrónico y que son no deseados, no solicitados o de remitente desconocido, habitualmente con publicidad. Se califica de “envío masivo” ya que generalmente son enviados en grandes cantidades y pueden perjudicar al receptor. En esta mismo línea, también se podría mencionar la saturación de correos, que consiste en enviar correos electrónicos de forma masiva a un servidor o cuenta, de tal forma que éste se sature por la gran cantidad de datos que recibe y que llegan al límite de su capacidad de procesamiento, impidiendo así la recepción de emails e información necesarios.
  • El envío o instalación de virus espías o “Keyloggers” en inglés: es un programa que registra y graba las pulsaciones de las teclas. De esta forma, la persona que haya instalado el programa, podrá utilizar la información recolectada.
  • El uso de Rootkits: es un conjunto de herramientas que consiguen ocultar un acceso ilícito a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema. Al estar diseñados para pasar desapercibidos, no pueden ser detectados.
  • El uso de archivos BOT del IRC (Internet Relay Chat): es un programa que permite que el sistema sea controlado remotamente sin el conocimiento ni el consentimiento del usuario. Se suelen utilizar en webs de conversación online, como los chats o programas IRC.
  • Interferencia electrónica de comunicaciones: la interferencia electromagnética es la perturbación que ocurre en cualquier circuito, componente o sistema electrónico causada por una fuente de radiación electromagnética externa al mismo. Esta perturbación puede interrumpir, degradar o limitar el rendimiento del sistema, causando así interferencias con el propósito expreso de producir una disfunción en los sistemas de comunicaciones.
  • Blind Radars: se trata de una técnica de interferencia electrónica de los radares de las torres de control y de los sistemas de seguimiento de los aviones, con el fin de bloquear el tráfico aéreo y que puede llegar a producir choques en el aire o que un avión se estrelle.

Así, una “ciberguerra”, guerra informática o guerra digital es todo conflicto bélico que se realiza utilizando el ciberespacio y las tecnologías de la información como “campo de batalla” o campo de operaciones.

Richard Clarke, especialista en seguridad del gobierno de Estados Unidos, define la guerra cibernética como “el conjunto de acciones llevadas por un Estado para penetrar en los ordenadores o en las redes de otro país, con la finalidad de causar prejuicio o alteración”.

Sin embargo, Bruce Schneier, especialista en seguridad cibernética, afirma que muchas veces la definición de guerra cibernética no está bien aplicada, pues aún no se sabe cómo es una guerra en el espacio cibernético, cuándo se inicia ni cómo se pone el espacio cibernético cuando ésta termina.

En relación a los ciberataques, existen otros conceptos que se utilizan para hablar de la delincuencia en el ciberespacio:

  • Ciberdelincuencia o delito informático: es toda acción ilegal que se da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet.
  • Cibercrimen o criminalidad informática: de mayor grado que la ciberdelincuencia, se incluyen delitos como el fraude, el robo, el chantaje, la falsificación y la malversación de caudales públicos utilizando ordenadores y redes como medio para realizarlos.
  • Ciberespionaje: según el GITS, “es aquel acto con el cual se obtienen secretos sin el permiso de aquél que es dueño de la información. Los métodos por los cuales se consigue esta información son exclusivamente cibernéticos, es decir, haciendo uso de Internet mediante computadoras que ponen en marcha técnicas de crackeo, hackeo, troyanos, spyware y otras prácticas dedicadas al robo de información usando distintos programas computacionales.”
  • Cibersabotaje: según la RAE, el sabotaje es el “daño o deterioro que se hace en instalaciones, productos, etc., como procedimiento de lucha contra los patronos, contra el Estado o contra las fuerzas de ocupación en conflictos sociales o políticos”. En el ciberespacio, estos daños se pueden hacer mediante el acto de piratería.
  • Ciberterrorismo o terrorismo electrónico: según el GITS, “es el uso de medios de tecnologías de información, comunicación, informática, electrónica o similar con el propósito de generar terror o miedo generalizado en una población, clase dirigente o gobierno, causando con ello una violencia a la libre voluntad de las personas. Los fines pueden ser económicos, políticos o religiosos principalmente”. Por otra parte, la definición oficial del FBI sería “el ataque premeditado y políticamente motivado contra información, sistemas computacionales, programas de computadoras y datos que puedan resultar en violencia contra objetivos no combatientes por parte de grupos subnacionales o agentes clandestinos”.

Tras lo mencionado anteriormente, hoy en día son muchos los países que reconocen que los delitos cibernéticos se están convirtiendo, si no se han convertido ya, en una amenaza primordial debido a la gran utilización de los sistemas informáticos y de información y comunicación. Esto les obliga a desarrollar estrategias de defensa.

2. Ciberseguridad y Ciberdefensa

Como ya se ha visto, el número de ciberataques no cesa de aumentar, causando efectos a diferente escala: afectando desde infraestructuras críticas para el desarrollo de un país, dañando la imagen de una empresa o hasta robos masivos de información a través de infiltraciones en bases de datos. Y sin embargo, no existe una legislación que le pueda hacer frente.

Por ello, son muchos los países que están desarrollando estrategias de defensa, entre los cuales se encuentra España.

En España, existe el Centro Criptológico Nacional. El Centro Criptológico Nacional (CCN) es el Organismo responsable de coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las Tecnologías de la Información en ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo.

El CCN fue creado en el año 2004, a través del Real Decreto 421/2004, adscrito al Centro Nacional de Inteligencia (CNI). De hecho, en la Ley 11/2002, de 6 de mayo, reguladora del CNI, se encomienda a dicho Centro el ejercicio de las funciones relativas a la seguridad de las Tecnologías de la Información y de protección de la información clasificada, a la vez que se confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional. Por ello, el CCN comparte con el CNI medios, procedimientos, normativa y recursos.

Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las tres administraciones públicas existentes en España (general, autonómica y local).

Su misión es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones públicas a responder de forma rápida y eficiente a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestas.

Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los responsables de Tecnologías de la Información de las diferentes administraciones públicas a través de cinco grandes líneas de actuación:

  • Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan la Administración General del Estado, las administraciones de las comunidades autónomas, las entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas. El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las administraciones públicas.
  • Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el ENS y para garantizar la seguridad de los sistemas de Tecnologías de la Información en la Administración.
  • Formación destinada al personal de la Administración especialista en el campo de la seguridad TIC, al objeto de facilitar la actualización de conocimientos y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes.
  • Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias.
  • Impulso de nuevas capacidades de respuesta a incidentes en las AAPP. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad.

Además del CCN, existe el Mando Conjunto de Ciberdefensa (MCCD), órgano de la estructura operativa, subordinado al Jefe de Estado Mayor de la Defensa (JEMAD), responsable del planeamiento y la ejecución de las acciones relativas a la ciberdefensa  en las redes y sistemas de información y telecomunicaciones del Ministerio de Defensa  u otras que pudiera tener encomendadas, así como contribuir a la respuesta adecuada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional. Se creó en 2013, mediante Orden Ministerial 10/2013, tras la Directiva de Defensa Nacional de 2012 que establece que el Ministerio de Defensa debe participar en el impulso de una gestión integral de la ciberseguridad, en el marco de los principios que se establezcan al efecto de la Estrategia de Ciberseguridad Nacional.

El MCCD define la ciberdefensa militar como “el Conjunto de recursos, actividades, tácticas, técnicas y procedimientos para preservar la seguridad de los sistemas de mando y control de las Fuerzas Armadas y la información que manejan, así como permitir la explotación y respuesta sobre los sistemas necesarios, para garantizar el libre acceso al ciberespacio de interés militar y permitir el desarrollo eficaz de las operaciones militares y el uso eficiente de los recursos.”

A nivel internacional, las Naciones Unidas, la Unión Europea así como Organizaciones Internacionales como la OTAN, han desarrollado igualmente una política de ciberdefensa y trabajan en coordinación para tratar las amenazas a la seguridad provenientes del ciberespacio.
Tras los ciberataques a Estonia en el año 2007, la OTAN firmó la Política de Ciberdefensa un año más tarde con el objetivo de mejorar la capacidad de la OTAN para proteger los sistemas de información y comunicaciones de importancia crítica para la Alianza frente a los ciberataques y aceleró el proceso para conseguir una capacidad operativa completa de respuesta ante incidentes informáticos.

La OTAN (NATO Cyber Defence) define la ciberseguridad como “la aplicación de medidas de seguridad para proteger las infraestructuras de los sistemas de información y comunicaciones frente a los ciberataques”.

Podemos definir la ciberdefensa como las acciones y medidas necesarias para garantizar la ciberseguridad.

A continuación, se presentarán las principales amenazas cibernéticas.

3. Las principales amenazas cibernéticas y posible evolución en los próximos años

El CCN ha publicado un informe de “Ciberamenazas 2015/Tendencias 2016” que hace un balance de los principales ciberincidentes que se han registrado en 2015, entre las cuales se citan:

  1. Ciberespionaje / Actores Estatales / Organizaciones privadas
  2. Ciberdelito / Ciberdelincuentes
  3. Ciberterrorismo / Grupos Terroristas
  4. Hacktivismo / Hacktivistas
  5. Ciberyihadismo / Grupos Yihadistas
  6. Cibervandalismo / Vándalos y Script Kiddies
  7. Actores Internos
  8. Ciberinvestigadores

Para ello, las herramientas utilizadas por los atacantes son las siguientes:

  1. Herramientas construidas para otros fines, tales como la monitorización de sistemas o la realización de pruebas de penetración-
  2. Exploits, Exploit-Kids y Exploit Drive-by, que permiten infectar el sistema de la víctima con código dañino cuando accede a una determinada página web, distribuyéndose habitualmente mediante publicidad.
  3. Código dañino / Ransomware / Cryptoware, es una de las herramientas más utilizadas para realizar las infecciones que preceden a los ataques.
  4. Spam (correo basura) y Phishing / Spearphishing
  5. Botnets, utilizadas por los ciberdelincuentes de forma masiva, al objeto de sustraer información, cometer fraude de banca online, atacar a la disponibilidad de los sistemas informáticos o enviar spam.
  6. Ataques DDOS
  7. Ofuscación, es decir, cualquier actividad llevada a cabo por los atacantes para dejar el menos número posible de trazas de sus acciones, con el objeto de dificultar su identificación, la metodología seguida, etc.
  8. Ingeniería Social, constituye uno de los vectores de ataque preferidos por los agentes de las amenazas, que engañan a sus víctimas a través de las redes sociales y suele constituir la primera fase de los ataques dirigidos (tratando de adivinar la contraseña de la víctima, generando confianza, correos electrónicos personalizados o spearphishing).
  9. Watering Hole, suele ser la segunda opción para los atacantes cuando no tiene éxito un ataque mediante spearphishing. Los atacantes, aprovechando una vulnerabilidad conocida, infectan previamente con código dañino una página web que las víctimas visitan frecuentemente.
  10. Librerías Javascript
  11. Las Macros como vector de ataque
  12. Routers inalámbricos
  13. Robo de identidad (usuario, contraseña u otros datos)

En cuanto a las tendencias para los próximos años, se puede considerar lo siguiente:

  • Ciberespionaje:
  • Los Estados seguirán reforzando sus cibercapacidades defensivas y ofensivas buscando una mayor seguridad en sus operaciones. En paralelo, mejorarán la capacidad de obtención de información, perfeccionando sus métodos de tratamientos y ampliando día a día el concepto de ciberguerra.
  • La capacidad de los atacantes para sortear los sistemas de seguridad y evitar ser detectados irá en aumento. Experimentarán con nuevas infecciones que no requieran del uso de un archivo.
  • Seguirán registrándose ataques capaces de permanecer inactivos durante varios meses antes de conseguir sortear los entornos aislados o las infecciones que recopilan datos sigilosamente sin interferir con el usuario.
  • Los atacantes desarrollarán una nueva variante de código dañino diseñado para cumplir con su misión y borrar todas las huellas antes de que las medidas de seguridad puedan detectarles.
  • Mayor intervención de los gobiernos para involucrarse en la legislación de Internet.
    • Ciberdelincuencia:
  • La mayoría de las acciones de los ciberdelincuentes tienen como objetivo obtener dinero. Por ello, el incremento en el valor de los datos personales será determinante y seguirá creciendo.
  • La extorsión será cada vez más común
    • Otras tendencias técnicas:
  • Se prevé la aparición de nuevas técnicas, desarrollando ataques efectivos contra las vulnerabilidades del hardware o firmware. Para poder proteger y prevenir esto, surgirán nuevos mecanismos de protección.
  • Los dispositivos móviles (teléfonos, tabletas, etc.) permiten la extracción de gran cantidad de información, lo que seguirá atrayendo a los ciberdelincuentes.
  • La virtualización y el acceso a la nube tiene sus ventajas y sus inconvenientes ya que aísla y protege los servidores virtuales y las aplicaciones, per dificulta la detección de los desplazamientos laterales.
  • Seguridad y privacidad: el volumen y los datos personales abarcarán todo tipo de información personal, por lo que se impondrá la necesidad de protegerla y controlarla con el fin de evitar que los delincuentes la obtengan y puedan utilizarla o venderla.


Conclusión

Con el avance de las nuevas tecnologías, al igual que ha sucedido en la guerra o conflicto armado “tradicional”, se ha producido un avance y sofisticación de los métodos cibercriminales. No obstante, los ciberataques “clásicos” como son los spam, troyanos, virus, etc., siguen siendo una de las formas más sencillas, económicas y efectivas para los ciberdelincuentes para introducirse en los sistemas e infectarlos. Estas “armas” suelen utilizarse contra los simples usuarios, ya que suelen estar menos protegidos y son más fáciles de atacar. En estos casos, el objetivo es económico y se realizan ataques a gran escala a miles de usuarios. Con la falta de legislación en este ámbito y el poco control que las autoridades tienen en este campo, se hace difícil pensar que algún día haya una “policía de la red” o que se pueda llegar a controlarla y navegar de forma segura.

Por otra parte, debido a estos ciberataques, se puede deducir que el cibercrimen mueve grandes cantidades de dinero, por lo que se puede suponer que también invierte en nuevos desarrollos de ataque para el futuro.

Tras todo esto, uno puede preguntarse hacia dónde se van a dirigir los ataques y si seremos algún día capaces de hacerles frente.


Bibliografía

  • Estrategia de Seguridad Nacional (2013)
  • Ley 36/2015, de 28 de septiembre, de Seguridad Nacional
  • Estado Mayor de la Defensa, www.emad.mde.es/ciberdefensa
  • GITS Ciberseguridad, www.gitsinformatica.com/ciberataques
  • Instituto Español de Estudios Estratégicos, Francisco J. Urueña Centeno, “Ciberataques, la mayor amenaza actual”
  • Organización del Tratado del Atlántico Norte (OTAN), Revista de la OTAN
  • Organización del Tratado del Atlántico Norte (OTAN), NATO Cyberdefence
  • Centro Criptológico Nacional, Informe “CCN-CERT IA-09/16 Ciberamenazas 2015/Tendencias 2016”

ARTÍCULOS RELACIONADOS