Pages - Menu

20/12/2021

Fundamentos de la Ciberguerra y sus variantes. Introducción general a las múltiples amenazas en el ciberespacio.

Adquiere mi libro en Amazon EE. UU. (o en Amazon de otros países): https://www.amazon.com/~/e/B07LDM8V9P

El ciberespacio se ha vuelto, con el pasar de los años, el nuevo terreno para las contiendas armadas, entendiendo a estas armas y a sus usuarios, tal y como su escenario, es decir, digitales. El mundo está cada vez más digitalizado, lo cual es una tendencia absolutamente normal, si concebimos a la evolución humana desde un punto de vista antropológico, ya que al entender el fundamento del Homo Sapiens Sapiens, al entender nuestras raíces y el entorno a ellas, podremos comprender el “¿porqué se caen las hojas del árbol?”, es decir, entender el “¿porqué se desarrollan guerras en la vida real, y cada vez más, guerras en la vida virtual o ciberespacio?


El Hombre desde que ha tenido uso de razón, ha sido un animal evolucionado, pero aunque sea evolucionado, mientras existan amenazas de cualquier índole, las guerras continuarán, y cada vez más en el ciberespacio, y en inversa proporción con las guerras en el mundo físico, es decir, en el real. Las amenazas siempre han sido las mechas encendidas para que explote una -o varias- guerras; hoy en día, una -o varias- ciberguerras. Cuantas más amenazas existan, aumentan las probabilidades de que las personas, infraestructuras edilicias e infraestructuras informáticas, y a todos los niveles; desde una simple red (LAN: Local Área Network) hogareña, hasta la propia Internet (WAN: Wide Área Network) y sus innumerables sitios web de toda índole; sean objeto de ataques físicos y de ciberataques, cada uno de los dos tipos precedentes, munidos con sus diversas variantes. Por lo tanto, para mitigar dichas amenazas, existen las diferentes metodologías de protección, tanto para las amenazas personales como a las del ciberespacio; y este trabajo está especialmente pensado para dar a conocer los diferentes tipos de amenazas, los lugares digitales en donde se desarrollan guerras digitales y la manera de contrarrestarlas, por medio de las variadas contramedidas que existen a disposición, tanto de neófitos como de profesionales en este tema.

Diferentes variantes de guerras en el ciberespacio.

Ciberguerra.

La ciberguerra es un evento bélico totalmente digital, y que se lleva a cabo en las redes informáticas, tanto LAN como WAN, y los escenarios trascienden las fronteras de todo tipo, salvo que una determinada región tenga su propio internet y sus propios servicios y páginas, por lo que dicha región estará cerrada al resto del mundo, y un ejemplo de ello es China. China ha desarrollado sus propios buscadores, redes sociales, sistemas CMS (Content Management Systems), y cualquier otro tipo de servicio, público y/o privado que nos imaginemos, y que muchos de ellos son accesibles también, desde fuera de China, aunque desde dentro de China, no sea posible acceder a múltiples -sino todos- los servicios del resto del planeta. De todos modos, esto no evita que se desarrollen ciberguerras dentro de la soberanía territorial y digital de China, y/o ciberguerras -y siguiendo con el ejemplo de China- entre algunas personas u organizaciones maliciosas desde fuera de China.

Metodologías (armas digitales) que se utilizan en las ciberguerras.

El contexto que encierra todas las armas digitales, tanto para la defensa como para el ataque, son las computadoras personales, en sus diversas variantes (de escritorio y/o servidores), las cuales son potenciales contenedores de “variopintas” armas bélicas digitales, es decir, programas informáticos y numerosas técnicas a nivel de intérprete de comandos destinados a ambos fines bélicos nombrados al comienzo de este párrafo.

Armas digitales más utilizadas para los ciberataques.

  • Virus informáticos:


  • Son algoritmos fundamentalmente programados con un objetivo malicioso, como el de inutilizar algún sistema corriendo dentro de una PC, como inutilizar el propio Sistema Operativo, e incluso, llegar a dañar físicamente el hardware que lo ejecuta, pero, el virus, no daña el hardware directamente, sinó que lo hace a través de infectar, o agregarse a otro código ejecutable, tal como en un driver de disco rígido por ejemplo, y es en este momento en el que el driver de disco comienza a funcionar bajo los “mandos” del virus, y dicho driver, que administra el disco rígido, en su malfuncionamiento bajo la influencia maliciosa del virus, logra que el disco rígido comience con un comportamiento errático constante, de tal manera de aumentar su temperatura, acelerar la velocidad de rotación, cambiar parámetros de movimientos de los cabezales, y un gran etcétera. Por lo tanto, traslademos este comportamiento, basado en el ejemplo precedente, del virus infectando un driver correspondiente a un determinado hardware, a una parte vital de una industria de fabricación de cualquier tipo, o bien, de una planta nuclear, y como las bases del accionar del virus es el mismo que en el ejemplo del disco rígido, una industria podría ser afectada enormemente, y ni hablar una central nuclear. Y no nos olvidemos que los virus informáticos tienen la capacidad de auto-replicación y de propagarse hacia todo lugar informático en donde pueda tener acceso, y allí se adhiere a otro programa, ejecuta su trabajo malicioso, se replica, y continúa, hasta que el sistema informático termine sucumbiendo, si no se toman medidas preventivas (antes de la “infección”), y o de limpieza por medio de antivirus, (luego de la infección).


  • Virus informáticos complejos (para ataques industriales): 


  • Estos tipos de virus, funcionan de la misma manera que lo detallado en el punto anterior, pero son especialmente diseñados para un objetivo específico, alejándose, en cuanto a su concepción, de los virus “convencionales”. Un ejemplo de estos virus, son el Stuxnet y el Flame.


  • Worms informáticos:


  • Estos programas o algoritmos maliciosos, son los llamados Worms o gusanos, un tipo de Malware, los cuales, a diferencia de los virus, no son dañinos, en lo relativo a corromper programas y hasta el hardware, sino que están concebidos para esparcirse por cualquier red LAN y/o WAN, y dedicarse a utilizar tanto ancho de banda como le sea posible, aumentando el tráfico de la red de manera considerable, y por lo tanto, los sistemas que por ella deberían funcionar con un rendimiento acorde al ancho de banda (además de la configuración de los servidores en los que están alojados), terminan degradándose, y en el peor de los casos, dejando de funcionar.


  • BOTs Informáticos: 


  • Estos programas, son muy similares a los Worms o gusanos informáticos. se transmiten por cualquier red infectada y su objetivo es realizar una especie de ingeniería social automatizada, como capturar las pulsaciones del teclado, robar credenciales de acceso a sistemas cliente y/o sitios webs, generar ataques de DDoS (Denegación de Servicios), robar información relativa a las finanzas de una persona física y/o jurídica, generar BackDoors para la entrada de nuevas vulnerabilidades y para la comunicación con la BotNet (Servidores de los Bots con diversas ubicaciones, tanto internas como externas al sistema atacado), encender la cámara web y el micrófono para capturar imágenes faciales, patrones de movimiento y de voz, etc., siendo este tipo de amenaza, muy difícil de rastrear y/o conseguir que sea detectado con mediatez.


  • Adware:


    • Un Adware, o software destinado a la publicidad, son básicamente, algoritmos destinados a hacer diferentes tipos de publicidad dentro de un sistema (de escritorio y/o web). La mayoría de las veces, son publicidades no requeridas y no adaptadas al cliente, pero no contienen software malicioso, pero, en estos días en los que vemos un fuerte aumento de la digitalización de las personas (físicas y/o jurídicas), existe una probabilidad en aumento de que los Adware maliciosos tengan mayor proliferación y actuación dañina en los sistemas en los que se ejecutan. Muchos de los Adware son software dedicados al espionaje, y al cambio sin permiso de las configuraciones de los sistemas de los usuarios. Para evitar el Adware, tal como las demás amenazas, es prioritario el descargar, o bien usar, los programas de escritorio y/o web, desde lugares calificados formalmente como seguros.


  • Ransomware:


  • Este tipo de amenaza está diseñada especialmente para “secuestrar” datos y pedir dinero a cambio de su devolución. El secuestro de los datos, no es el extraerlos del lugar en donde estaban, sino que el encriptarlos mediante una clave fuerte y bits de encriptación muy fuertes. Luego de que los datos se han “sellado” y solamente el dueño del programa Ransomware tiene la llave de apertura para la devolución de los mismos, dicho creador de esta amenaza solicita un pago por el “rescate” de los datos secuestrados. Si el dueño de los datos realiza el pago, el dueño del Ransomware o secuestrador de datos, envía la clave, o bien el procedimiento para desencriptar los datos secuestrados. En este tipo de amenazas, se suelen utilizar monedas no rastreables o criptomonedas.


  • Inyección de SQL:


  • Esta metodología maliciosa de intrusión, se fundamenta en el aprovechamiento de las vulnerabilidades de un determinado software, el cual utiliza bases de datos administradas por motores del lenguaje de 4º generación denominados SQL (Microsoft SQL Server, MySQL, PostgreSQL, etc.), y al tener, un determinado sistema web o de escritorio, algún tipo de vulnerabilidad (como por ejemplo, no controlar, mediante algoritmos para tal fin del mismo sistema, los formatos de los datos ingresados por usuarios en los campos a través de las cajas de textos o TextBox), este procedimiento de inyección de una consulta SQL con objetivos maliciosos de modificación, eliminación y/o robo de información logra ingresar o tener acceso al Sistema SQL subyacente y realizar una Consulta maliciosa, tal como lo haría el sistema comprometido, y es en la vulnerabilidad de los sistemas (de escritorio y/o web) en el lugar y el momento en el que las Inyecciones de SQL tienen éxito, y no así, en los sistemas de SQL propiamente dichos.


  • Inundación de PINGs:


  • Esta metodología de ataque consiste en generar tantas solicitudes del comando “ping” como sea posible, y desde la mayor cantidad de usuarios atacantes que estén en el contexto de una ciberguerra. La inundación de ping, o bien, el aumento exponencial de envíos de paquetes ping, hace que el sistema objetivo realice una Denegación de servicio (DDoS) en el mejor de los casos, como método de autoprotección. En caso de que el DDoS no se dé, ocurre una degradación del servicio que está recibiendo los paquetes ICMP, que son los paquetes generados por el comando “ping”, pero, a la larga, ocurrirá la DDoS. Debo aclarar que los ataques de DDoS, no solo se logran a través del comando ping, sino que también, cualquier otro tipo de petición hacia el sistema objetivo del ataque, como ser escribir su nombre de dominio repetidas veces, por parte de un algoritmo, y por varias miles de personas al mismo tiempo, para que el DDoS se realice, ya que no basta con que una (o 10, o 100) personas que utilicen un software generador de peticiones web, para hacer caer a dicho sitio, sinó que bastan miles de personas realizando el mismo ataque, al mismo dominio (www.midominio.com) cientos de veces por segundo por cada una de esas miles de personas. 100 personas con dicho programa, no pueden hacer caer un sitio web; 5000 personas, quizás sí lo hagan. Pero, de seguro habrá potentes y costosos servidores, los que, a mi juicio, podrían simular “x” cantidad de personas ejecutando dicho software generador de “y” cantidad de “pings” y/o peticiones web, en donde “x” como “y” podrán tener valores de miles a millones, dependiendo de la infraestructura del servidor y de la banda ancha a la que esté conectado.


  • Meta-algoritmos maliciosos, en imágenes GIF y presentaciones autoejecutables:


  • Otro tipo de amenaza es el envío de imágenes GIF (imágenes animadas), presentaciones autoejecutables y/o videos que poseen metadatos, es decir, que poseen “algo más” que los datos propios de la imagen, presentación o video. Dichos metadatos pueden ser porciones de algún algoritmo con propósitos maliciosos, y llegado el momento en el que los motores de ejecución de las imágenes GIF, o de una presentación autoejecutable (Powerpoint .pps, por dar un solo ejemplo), o bien, de los códecs de video, se ponen en funcionamiento, esas porciones de código malintencionados, se ejecutan y podrían realizar variados “trabajos” ocultos (si no son detectados por el antivirus del dispositivo en donde se ejecutan) con intenciones de diversa índole; siempre, en todos los casos, es la de vulnerar y la de violentar el objetivo, y aprovecharse de lo que en el dispositivo objetivo (PC, SmartPhones, Servidores, etc.) sea de gran interés para los atacantes, como para los atacados.


  • Cookies maliciosas:


  • Este tipo de amenazas, si bien son detectadas muy fácilmente por parte de los antivirus, al igual que los precedentes, son pequeños algoritmos que portan algunas páginas web, y que suelen pedir permiso de descarga de Cookies, y si los sitios web que descargan las cookies son de dudosa procedencia, se recomienda no aceptar las cookies, y si por algún motivo estas fueron descargadas sin preguntarle al usuario, sin pedirle permiso de descarga de cookies (o uso de cookies), y a esto se suma que el antivirus no ha podido detectar dicho algoritmo malicioso, se torna urgente el actualizar o cambiar de antivirus, y luego realizar un chequeo completo del dispositivo, por medio del antivirus, para asegurarse de que no existan cookies maliciosas, y solamente queden las cookies de sitios web confiables.


  • Phishing:


  • Esta es una técnica de ingeniería social, en la que, como su nombre en inglés lo indica, “Pescando”, a través de la suplantación de identidad; es decir, el que utiliza el Phishing, se hace pasar por otra persona u entidad, con fines directamente relacionados a la ayuda humanitaria, a la ayuda de personas con problemas oncológicos, a premios que supuestamente se ha ganado, a distinciones que les serán otorgadas, etc., con el objetivo de que el usuario que ha sido persuadido emocionalmente por medio de los mecanismos sociales antedichos (y muchos más), haga clic en algún link, en donde la web a la que acceda parezca realmente alguna web reconocida, y el usuario, confiado, y sin saber que está siendo engañado, ingrese desde sus datos personales, hasta los datos de su cuenta bancaria, contraseñas y nombres de usuarios. Incluso, a estas alturas de la digitalización, millones de personas siguen siendo engañadas de esta forma. La defensa para esto, es saber ver más que lo que indica el proceso del Phishing en acción, como por ejemplo, si la página a la que se accede es idéntica a MercadoLibre, se debe ver siempre que el nombre de dominio diga www.mercadolibre.com.ar, y no, www.mimercadolibre.com.ar por poner un ejemplo de variante sutil de nombres de dominios.


  • Ingeniería social:


  • Esta amenaza se asemeja al espionaje hecho personalmente, ya que, para averiguar los “Talones de Aquiles” de las personas (físicas y/o Jurídicas), es necesario indagar en todo cuanto sea posible, en cuanto al objetivo seleccionado. En este sentido, se suele indagar en la basura, o bien encontrarse con el objetivo y hablar sobre temas propuestos por el atacante, como por ejemplo, alguna oportunidad de negocio, y mientras hablan de este tema, el futuro atacante hace ciertas preguntas al futuro atacado, y obtiene información directa, la que utilizará luego; junto con la información obtenida al revisar, reiteradas veces, lo que el objetivo arroja a la basura; para concretar el ataque o el acto malicioso que sea, o que el atacante tenga en mente.


  • Trashing:


  • Ídem respecto de la Ingeniería Social.


  • Ataques de Denegación de Servicio (DDoS):


  • Los Ataques de esta índole, llamados de Denegación de Servicio (DDoS, por sus siglas en inglés) es similar a la Inundación de Ping’s, ya que se envían miles, y hasta millones, de paquetes HTTP, ICMP, etc., hacia un determinado objetivo, para que este se cierre a si mismo, es decir, Deniegue el Servicio que estaba prestando, como puede ser una determinada web de trámites gubernamentales, quedando no disponible para dar servicio a las personas físicas que desean realizar trámites en dicho sitio web de ejemplo. Cada sitio web posee uno o más Firewalls, o Cortafuegos, con el objetivo de filtrar todo intento de acceso malicioso, lo cual dañaría los sistemas del sitio web y de la red LAN en sí misma, los que se ejecutan detrás de dichos Firewalls; y son estos Firewalls los que determinan cuantos miles o millones de usuarios pueden ingresar de manera concurrente en un determinado intervalo de tiempo; y si el anterior umbral es sobrepasado, el acceso al sitio comienza a degradarse, el acceso se torna más lento, pero si dicho umbral es sobrepasado de una manera abrumadora e inesperada, el mismo Firewall decide “cerrar las puertas”, y se cierra a sí mismo, es decir, deniega el servicio de entrada a la web que se encuentra detrás de él. En esto se fundamentan los ataques de DDoS, en que miles o millones de usuarios, muchos de los cuales pueden ser simulados por medio de programas construidos para tal fin, accedan simultáneamente, por medio de múltiples peticiones HTTP (acceder recurrentemente, por medio de algoritmos, a, por ejemplo, www.misitiodetrasdeunfirewall.com) o a peticiones ICMP (envíos reiterados del comando Ping).


  • Spoofing de DNS:


  • La suplantación de DNS, o bien, como también se lo denomina, “Envenenamiento de DNS”, es una técnica maliciosa de modificar las tablas de DNS, de un servidor DNS (Domain Name Server, o Servidor de Nombres de Dominio, el cual contiene las equivalencias de un nombre de dominio, como por ejemplo, www.midominio.com, con su correspondiente dirección IP). Si dicho servidor es comprometido por un atacante, y se logra modificar la tabla de correspondencias nombre de dominio-IP, dicho atacante puede lograr que, cuando cada usuario que desee ingresar a www.midominio.com, el acceso sea desviado a la nueva IP que el atacante logró alterar en la base de datos de correspondencias de nombres-IP. Con esto, el atacante ha generado una redirección del tráfico a un sitio web seguro, a uno que no lo és, pero que, en cuanto a su apariencia, podría ser idéntica al sitio original, www.midominio.com, y las personas ingresarán sus claves y sus usuarios allí, como si estarían en el sitio original, el sitio no malicioso, y realmente lo que los usuarios, -sin darse cuenta-, están haciendo (aunque en la barra superior del navegador haya cambiado de www.midominio.com a www.miindomino.com, ya que las personas no suelen observar estos cambios sutiles en los nombres de dominio) es entregar sus datos confidenciales de inicio de sesión, -u otro tipo de datos-, a una página maliciosa con nombre y apariencia similar a la no maliciosa, y dichos datos son usados luego para que los atacantes accedan a las páginas originales, y realicen compras y otras operaciones, como si fueran los usuarios originales.


  • Spoofing de IP:


  • Ídem a Spoofing de DNS, y Suplantación de Identidad. En este caso, se aprovecha de las relaciones de confianza que se realizan entre hosts de redes LAN/WAN, las cuales se basan en la autenticación por IP, es decir, una IP conoce a la otra, y por ende, cada una deja que la otra sea accedida y viceversa, pero una de esas IPs es falsa, y ha sido suplantada, y por lo tanto, si esta brecha de seguridad no es detectada a tiempo, un host de confianza de una red corporativa, podría estar accediendo a un host externo a la red, y con los objetivos maliciosos que ya he mencionado anteriormente, en los otros tipos de amenazas.


  • Sembrado de Pendrives:


    • Esta técnica es la que va a terminar con el uso de los pendrives y con los conectores USB en poco tiempo, ya que este tipo de amenaza o ataque, consiste en esparcir varios pendrives alrededor del lugar al que un atacante necesite tener acceso, y pare ello se esparcen varios pendrives cercanos al lugar que va a ser vulnerado digitalmente, con el objetivo de que empleados de dicho lugar los encuentren, y los utilicen, tanto en sus casa, como en la propia oficina o lugar de trabajo, el cual es el objetivo final de los atacantes. Cuanto un pendrive “sembrado” es introducido en una ranura USB, el Sistema Operativo accede a él para detectarlo, y montarlo, es decir, transformarlo en una unidad de disco extraíble; y es en este punto, cuando el programa que está guardado en el pendrive, junto con un sector de arranque automático, entra en acción, se ejecuta, y comúnmente abre una puerta de acceso digital hacia el exterior de la LAN de dicha empresa, para que un atacante ingrese a dicha LAN, de forma remota, a través de la PC en donde está conectado el pendrive. Mientras el pendrive esté conectado y el antivirus no haya detectado dicha vulnerabilidad, el atacante remoto podrá hacer y deshacer dentro de la red objetivo, y realizar múltiples ejecuciones maliciosas que tenga en mente. Para solucionar o prevenir este tipo de vulneraciones, es menester que todo pendrive sea formateado en una notebook o PC que no estén conectadas a internet, y por lo tanto, el atacante no podrá tomar control remoto, y la persona que encontró el pendrive se asegurará de que no será el “portador sano” de una vulnerabilidad para la red en donde se desarrolla su trabajo.


Ciberdefensa 1:


En cuanto a la organización de la ciberdefensa, las CNO (Computer

Network Operations) se subdividen en tres:


  • CND (Computer Network Defence), que incluye las acciones para proteger, monitorizar, analizar, detectar, reaccionar y recuperarse frente a los ataques, intrusiones, perturbaciones u otras acciones no autorizadas que podrían comprometer la información y los sistemas que la manejan.


  • CNE (Computer Network Exploitation), que incluye las acciones de recolección de información para inteligencia acerca de sistemas de información enemigos, así como su explotación.


  • CNA (Computer Network Attack), que incluye las acciones tomadas para

perturbar, denegar, degradar o destruir información que circula por los

sistemas enemigos.


1. Fuente, solo respecto de estos últimos 3 puntos: https://www.ceeag.cl/wp-content/uploads/2020/06/LA-CIBERGUERRA-SUS-IMPACTOS-Y-DESAFIOS.pdf


Por Lic. Nelson J Ressio.


No hay comentarios.:

Publicar un comentario

Muchas gracias por comentar.