Sunteți pe pagina 1din 10

1

Ciberseguridad: un desafío ante nuevas


generaciones de amenazas informáticas
Juan José Zapico
Profesor: Diego Martín Esteve
Fecha Presentación: 16/07/2013

Abstract-- El objetivo de este trabajo es señalar la cibercriminales como por organizaciones asistidas por
importancia que ha cobrado contar con adecuados esquemas de gobiernos, con diversas motivaciones, donde se mezclan los
seguridad en las organizaciones actuales debido a una nueva motivos monetarios y agendas geopolíticas. Esto crea un
generación de sofisticadas amenazas informáticas para las
cuales las soluciones tradicionales resultan insuficientes. Se hace
escenario muy complejo de abordar por las organizaciones
una reseña de la evolución de las ciberamenazas, se describen para proteger sus activos de información.
las características distintivas de las amenazas actuales, se En este trabajo se repasa la evolución de las amenazas a
explica cómo se realizan generalmente los ataques de este estilo, los sistemas informáticos, se describen las características de
la importancia geopolítica que pueden tener en la actualidad y las amenazas actuales y se explica cómo se realizan
finalmente se mencionan los principales aspectos que deben generalmente los ataques de este estilo, los principales puntos
tener en cuenta las organizaciones para protegerse hoy en día. de compromiso, y qué aspectos deben tener en cuenta las
Se concluye que resulta fundamental adoptar un mecanismo de
securización en capas (layered security) y la explotación de empresas privadas y las organizaciones gubernamentales para
fuentes masivas de información (big data security) para ser proteger su información y no ser víctimas en este nuevo
menos vulnerables. contexto delictivo y conflictivo.

Index Terms— advanced persistent threat (APT), big data III. EVOLUCIÓN DE LAS AMENAZAS INFORMÁTICAS
security, ciberamenaza, ciberataque, ciberguerra,
ciberseguridad, hacking, layered security, malware, seguridad En febrero de 1980 James P. Anderson, a pedido de un
informática. organismo del gobierno de Estados Unidos, redactó uno de los
escritos inaugurales respecto de seguridad informática, un
documento de 56 páginas titulado Computer Security Threat
I. NOMENCLATURA Monitoring and Surveillance donde plantea la importancia de
atender este tema de manera formal y organizada. Anderson
Hacker: Existen múltiples definiciones de hacker, algunas
define términos como amenaza, riesgo, vulnerabilidad, ataque
con connotaciones positivas y otras con connotaciones
y penetración, prácticamente en los mismos términos que se
negativas [1]. No forma parte del alcance de este trabajo
utilizan hoy en día.
analizar las diferencias inherentes a cada acepción del
Por ejemplo, define una amenaza informática de la
término. Por simplicidad, cuando hablemos de hacker aquí, lo
siguiente manera [5]:
haremos como sinónimo de intruso o atacante de un sistema
“Amenaza: la posibilidad de un intento deliberado y no
informático, que es la acepción que más se ha popularizado 1.
autorizado de:
Malware: Es un anglicismo que proviene de la conjunción
a) Acceder a información
de parte de las palabras “malicious software” (software
b) Manipular información
malicioso). Se denomina así a cualquier tipo de software
c) Convertir un sistema en no-confiable o inutilizable”
hostil, intrusivo o molesto [2].
A fines de los años ‘60, durante los ‘70 y hasta principios
Sandbox: En inglés significa caja de arena y es un término
de los ‘80 el antecedente del hacking era el phreaking
que se utiliza para referirse a un entorno de pruebas separado
(palabra derivada de la conjunción de phone y hacking). El
del entorno productivo, a un sistema de aislamiento de
objetivo de los phreakers era realizar llamadas telefónicas de
procesos (por ejemplo, como medida de seguridad), o a una
larga distancia de manera gratuita, mediante la manipulación
máquina virtual que emula el comportamiento de una
de los sistemas de switching telefónicos.
computadora completa [3].
Desde principios de los ‘80 hasta mediados de los ‘90 fue
Spam: Son los mensajes de correo electrónico no
el auge de los virus informáticos, que en algunos casos eran
solicitado, no deseado y de remitente desconocido, que
simplemente fastidiosos, porque no generaban otro daño que
perjudican de alguna manera al receptor [4].
mostrar mensajes al usuario bajo ciertas condiciones. Otros
virus eran dañinos y podían provocar pérdidas de datos. En
II. INTRODUCCIÓN
muchos casos la motivación de los autores de virus era

E L objetivo de este trabajo es señalar la importancia que


ha cobrado contar con adecuados esquemas de seguridad
en las organizaciones actuales debido a una nueva generación
intelectual, representaba un desafío a resolver programar las
condiciones de activación, el mecanismo de propagación y
hacerlos funcionar de manera subrepticia 2.
de sofisticadas amenazas informáticas. El término virus informático se acuñó en 1984, aunque ya
Se puede pensar que hoy en día estamos ante una carrera
armamentista virtual, con ciberbatallas libradas tanto por 2
El autor desarrolló dos virus (que no fueron liberados) a mediados de los
‘90, motivado por el desafío intelectual que representaba hacerlo. Las fuentes de
1
Un interesante ensayo vinculado a la visión positiva del hacker es [6]. información usadas en esa época fueron principalmente [13], [14] y [15].
2

existían algunos virus desde hacía una década (el primer virus para denotar el uso de computadoras como medio de protesta
fue el Creeper, que atacaba computadoras IBM 360, en 1972) o de promoción de ideales políticos. La actividad de los
[7]. hacktivistas está asociada usualmente al uso de técnicas de
Con el auge de los virus también surgen los antivirus, hacking para cambiar la información presentada en sitios web
software destinado a detectar y eliminar infecciones. Para las públicos, reemplazando el sitio original con mensajes
primeras generaciones de virus el mecanismo que se utilizaba vinculados a la causa que quieren divulgar. En otras ocasiones
para detectar una infección era la búsqueda, dentro de los su actividad se concentra en redireccionar tráfico fuera del
archivos de programas, de patrones asociados al código de sitio original, o en destruir o robar datos confidenciales de los
cada virus. mismos. Los dos grupos de hacktivismo más conocidos por el
Durante los ‘90, la masificación de internet y de la world público general son LulzSec [10] y Anonymous [11].
wide web provocó la aparición de una nueva generación de
hackers, y se amplió la difusión de muchas técnicas. Entre las V. IMPACTO DE LAS NUEVAS TECNOLOGÍAS EN LA SEGURIDAD
principales motivaciones de los hackers de esa época se INFORMÁTICA
encontraba el interés por romper las protecciones que Muchos analistas de seguridad consideran que debería
imponían al software propietario las grandes empresas. pensarse la red informática de una organización como una
Con el correr del tiempo surgió una motivación económica gran superficie de ataque. Con ese criterio, cuánto más
para el desarrollo de virus. Se empezaron a crear con el amplia y geográficamente dispersa se torna, más fácil sería de
objetivo de obtener información de las máquinas infectadas penetrar.
(cuentas de usuario, números de tarjetas de crédito, números La afirmación precedente cobra mayor importancia en el
de seguridad social, etc.) para venderla o utilizarla de manera contexto actual, ya que hoy en día tenemos diversas
ilegítima para obtener dinero. A medida que esta tendencia se tendencias tecnológicas que hacen que la superficie de ataque
acentuó, se generó un mercado negro que mueve millones de de la red se vuelva más amplia:
dólares cada año. Las redes sociales: El concepto de social media y su
masividad ha impactado en las necesidades de los
IV. PERFIL DE LOS HACKERS MODERNOS departamentos de tecnología, que deben evaluar y mitigar
No todos los atacantes de un sistema informático tienen las nuevos riesgos. En [12] se cita un estudio según el cual los
mismas características o poseen los mismos intereses, lo que dispositivos móviles son usados un 50% más frecuentemente
hace que sea necesario realizar algún tipo de clasificación para acceder a redes sociales que para realizar llamadas
para facilitar el análisis. En el año 2002, en [8] se los dividía telefónicas.
en hackers, espías, terroristas, accionistas activistas Virtualización: Actualmente casi todas las organizaciones
(“corporate raiders”), criminales profesionales, vándalos y confían en la virtualización como un mecanismo de soporte a
voyeurs. aplicaciones de misión crítica en los centros de cómputo, pero
En el presente el enemigo se ha transformado y ello conlleva nuevos riesgos. Puede ser necesario el uso de
evolucionado. Ya no sólo priman la motivación intelectual, el herramientas específicas para monitorear el tráfico de red de
interés en obtener un rédito económico o por usar software las máquinas virtuales, pues las herramientas que ya se
ilegalmente burlando las protecciones de las empresas poseen no tienen la característica de poder inspeccionarlo
desarrolladoras. adecuadamente. Además hay una tendencia a que las
En la actualidad resulta más práctico clasificar a los amenazas se vuelvan virtual aware5, ya que como los
creadores de software malicioso en tres grandes grupos, proveedores de soluciones de seguridad informática utilizan
teniendo en cuenta la motivación de sus actos [9]: máquinas virtuales para aplicaciones, servidores y sanboxing,
Cibercriminales: Su principal motivación es el dinero, el malware ha comenzado a adaptar sus técnicas en
es decir, beneficiarse económicamente con sus actos, que consecuencia.
incluyen el robo de números de tarjetas de crédito (a veces en Cloud computing: El software como servicio (SaaS,
lotes de millones), de credenciales de redes sociales populares Software as a Service), forma en la que se denomina a
o cuentas de e-mail. Esa información les puede reportar un aplicaciones alojadas en una infraestructura de red (“la
beneficio económico de manera directa, o también pueden nube”) y que se acceden como un servicio, genera nuevas
monetizarla vendiendolá en un mercado negro cuyo volumen preocupaciones para las áreas de sistemas, principalmente
se estima en miles de millones de dólares anuales. cuando dicha infraestructura no pertenece a la propia
Hackers financiados por estados: Representan una de compañía, lo cual es frecuente hoy en día por un tema de
las tendencias más notables en la última década 3. Se trata de ahorro de costos.
hackers que son empleados por el gobierno de algún país (no Dispositivos móviles: Otro motivo de preocupación hoy en
necesariamente el propio) para violar sistemas informáticos día para las áreas de tecnología son los dispositivos móviles,
comerciales o gubernamentales de otros estados, para ya que crece día a día el malware específicamente orientado a
alcanzar objetivos políticos. plataformas como iOs y Android, además del avance a nivel
Hacktivistas: Hacktivismo4 es un neologismo usado mundial de ambientes laborales donde se promueve el BYOD
(Bring Your Own Device, “traiga su propio dispositivo”).
3
Se predice en [16] una tendencia creciente en este aspecto, a medida que La superfice de ataque de una organización no sólo es la
más y más países adopten estrategias y tácticas de ciberguerra.
4
Se predice en [17] que los incidentes efectivos de hacktivismo van a
disminuir debido a mejoras en las defensas ante este tipo de ataques, aunque los 5
Es decir, se dan cuenta de que están siendo ejecutadas en una máquina
mismos irán aumentando su sofisticación. virtual.
3

red informática, sino que se consideran otros dos aspectos que de usuarios, contraseñas y números de tarjetas de crédito. El
la definen [18]: la superficie definida por el software y la spyware se suele instalar como un componente oculto de
definida por el factor humano. programas utilitarios descargados de internet. Una vez
instalado, monitorea la actividad del usuario y envía de
manera encubierta esa información recolectada a alguien más.
Un ataque de inyección de SQL (SQL Injection) vulnera
bases de datos a través de alguna aplicación web. El atacante
envía sentencias SQL a través de los campos de un formulario
web intentando que la aplicación los pase a la base de datos
subyacente. Un ataque usando este mecanismo puede revelar
contenido tal como números de tarjetas de crédito o datos
Fig. 1. La superficie de ataque de un sistema está constituída por personales que estén almacenados en la base de datos de la
tres elementos: la superficie de ataque de la red, la superficie de
ataque del software y la superficie de ataque a los seres humanos. aplicación.
Un buffer overflow es un ciberataque en el cual el hacker
La superficie de ataque del software puede reducirse escribe en un buffer de memoria más datos de los que este
mediante testing exhaustivo que verifique la adecuada buffer puede contener. Parte de los datos se filtran a la
implementación de las políticas y normas de seguridad memoria adyacente, provocando que la aplicación ejecute
definidas en la organización. código arbitrario con privilegios escalados o que incluso
La superficie de ataque relacionada con los seres humanos aborte su ejecución.
es blanco de los ataques de ingeniería social que veremos más Un botnet es una colección de computadoras conectadas a
adelante, y se ha visto incrementada debido a la masividad en internet, que han sido comprometidas y en las cuales corre
la utilización de redes sociales, incluso en ambientes malware. A cada equipo que pertenece al botnet se lo llama
corporativos [19], por lo que resulta fundamental una bot o zombie y al individuo que ejerce control sobre el botnet
adecuada capacitación del personal para poder minimizarla. se lo suele llamar bot herder o botmaster.
La operación y control de un botnet se hace típicamente
VI. EL MALWARE MODERNO por intermedio de web servers (llamados command-and-
control servers, o CnC servers). Los bots pueden ser usados
Investigaciones recientes muestran que el malware es la
para almacenar datos robados, como servidores para realizar
causa de casi el 70% de las pérdidas de datos que sufren las
envío de spam o para descargar malware adicional en
empresas. Es por ello que en cualquier organización la
computadoras ya infectadas.
seguridad informática debe estar familiarizada con los tipos
El uso más frecuente de los bots, sin embargo, es para
más comunes de malware que existen en la actualidad, los
realizar ataques de denegación de servicio (DoS, Denial of
cuales describiremos a continuación [20].
Service). Un ataque de este tipo, como su nombre lo indica,
Un gusano (worm) es un programa que se replica a sí
tiene como objetivo que un equipo deje de proveer los
mismo sobre una red, para propagarse. Daña a la red por el
servicios que estaba brindando (según el escenario puede
consumo de ancho de banda, pero también podría provocar
lograrse una degradación del servicio, la interrupción del
ataques laterales que puedan infectar recursos internos o
mismo o hasta una caída total del sistema operativo del host
extraer datos confidenciales. A diferencia de los virus, los
atacado). Estos ataques son fáciles de realizar (existen
gusanos no se copian a sí mismos al final de otros programas
muchas herramientas gratuitas disponibles para realizarlos) y
o archivos.
pueden generar pérdidas económicas importantes por la
Un troyano (trojan o trojan horse) aparenta ser una
interrupción del servicio.
aplicación de software útil para el usuario, pero tiene el
El más común de los tipos de ataques DoS es el llamado
objetivo último de engañarlo para obtener acceso a su
flood6 (inundación), donde se envía información basura al
computadora. Su propagación puede ser por intermedio de
host atacado a la mayor velocidad que permite el ancho de
correos electrónicos con spam, actualizaciones de
banda del atacante, buscando llenar el ancho de banda que
aplicaciones de social media, o disfrazado como un instalador
posee el equipo atacado para atender esos pedidos.
pirata de una aplicación o video juego muy conocidos.
Un virus de computadora es código malicioso que puede
VII. ATAQUES DE INGENIERÍA SOCIAL
variar en su severidad. Se copia sobre otros programas para
diseminarse de una computadora a otra, generando Los ataques de ingeniería social son muy comunes y
infecciones en los sistemas por los que pasa. A diferencia de cuando tienen éxito usualmente dan lugar a ciberataques más
los gusanos, un virus no puede propagarse sin la intervención amplios y sofisticados, son el punto inicial para ataques a
humana. mayor escala. La ingeniería social es la práctica de conseguir
Spyware se llama al software que de manera encubierta información confidencial a través de la manipulación de
recolecta información del usuario a través de una conexión a usuarios legítimos para conseguir que le den al atacante la
internet, sin que el usuario lo sepa. La mayoría de las veces información que éste les pide.
esto se hace con propósitos publicitarios, para entregar Hay diversos tipos de ataque de ingeniería social, lo cual
publicidad creada específicamente a la medida de los gustos y
necesidades del usuario, pero a veces este mismo mecanismo 6
En [28] se describe en detalle este tipo de ataque y se hace una
se usa para robar información confidencial, tal como nombres subclasificación de los mismos (flood, inundación de segmentos SYN, smurf,
nuke y DDoS –DoS distribuídos-).
4

da lugar a la siguiente taxonomía [21] [22] [23]: la vulnerabilidad sea corregida o mitigada.
 Phishing APTs (Advanced Persistent Threats) son ataques muy
o Spear phishing sofisticados que describiremos en la sección siguiente.
o Whaling Las amenazas polimórficas (polymorphic threat) son
o Vishing ciberataques (tales como virus, troyanos, gusanos o spyware)
o Smishing que tienen la característica de ser capaces de alterar su forma,
constantemente cambian. De esta manera se vuelven casi
 Baiting
imposibles de detectar para las soluciones de seguridad
Phishing es el intento de obtener información (e
basadas en la búsqueda de patrones conocidos en el código.
indirectamente dinero) asumiendo la identidad de una
Las amenazas combinadas (blended threats) son ataques
organización confiable en una comunicación de correo
que mezclan elementos de múltiples tipos de malware,
electrónico. Se espera que el usuario haga click en algún link
explotan múltiples vulnerabilidades de aplicaciones y/o
en apariencia legítimo para redirigirlo a un sitio falso pero
sistemas operativos, poseen múltiples medios de propagación
que se percibe igual al verdadero, donde provea sus datos
y múltiples vectores de ataque (distintos objetivos de ataque)
reales. El phishing puede especializarse en cuatro subtipos:
para incrementar la severidad del daño y la velocidad de
spear phishing, whaling, vishing y smishing.
contagio. Algunos ejemplos conocidos de amenazas de este
El spear phishing (“pesca con arpón”) es phishing que está
tipo son Nimda [25], CodeRed [26] y Conficker [27].
dirigido a una o varias personas específicas de una
organización. Usualmente los atacantes han recolectado
IX. APTS
previamente información personal de la víctima para
maximizar las chances de éxito. Los APTs (Advanced Persistent Threats) son las
7

Los ataques denominados whaling (“caza de ballenas”) ciberamenazas más sofisticadas que podemos encontrar hoy
están dirigidos específicamente a altos ejecutivos y otros en día. Un APT tiene como objetivo acceder a información
objetivos de alto nivel en las organizaciones víctimas. sensitiva, altamente confidencial, usando técnicas de
El vishing (voice phishing) es el phishing realizado inteligencia y relevamiento secreto de información, luego de
mediante comunicaciones telefónicas en lugar de utilizar provocar ataques o actividades de espionaje basadas en el uso
correos electrónicos. de internet.
El smishing (SMS phishing) es el mismo concepto de Los APTs son muy díficiles de detectar porque utilizan
phishing pero utilizando comunicaciones basadas en SMS técnicas de tipo low and slow (ataques de bajo perfil y a largo
(short message text), los mensajes de texto usados en plazo), para evitar su detección.
comunicaciones de telefonía celular. Un APT puede variar tanto en sus mecanismos de ataque
La técnica de baiting (“pescar con carnada”) consiste en tanto como el tipo de víctimas que puede alcanzar, pero a lo
dejar tirado un CD-ROM o un pen-drive en un largo del tiempo los expertos en ciberseguridad, luego de
estacionamiento, un café o algún otro lugar público, con el analizar e investigar los casos conocidos, han elaborado un
objetivo de que la potencial víctima lo encuentre y se vea modelo que explica el ciclo de vida de un APT, consistente en
tentada de inspeccionar su contenido (para ello se suelen cinco etapas [29] [30]:
etiquetar con palabras tales como “información confidencial”,  Etapa 1: Intrusión inicial, explotando
de modo de despertar la curiosidad de quien lo encuentre). vulnerabilidades del sistema.
Cuando la víctima acceda a dicho medio, estará instalando  Etapa 2: En el sistema comprometido se realiza la
malware en su computadora. instalación de algún tipo de malware.
 Etapa 3: Se establece una conexión hacia el exterior.
VIII. LA NUEVA GENERACION DE ATAQUES  Etapa 4: El atacante se propaga lateralmente.
Los mecanismos de defensa tradicionales, basados en la  Etapa 5: Se extraen datos comprometidos.
identificación de determinadas cadenas de bytes dentro del Según este modelo, vemos que inicialmente se compromete
código, están diseñados principalmente para detectar la red por intermedio de malware que puede introducirse
amenazas conocidas, pero en la actualidad las mayores utilizando técnicas de ingeniería social. Una vez instalado el
amenazas son las desconocidas. malware, éste intentará hacer un mapeo de la red “desde
Hay una nueva generación de amenazas que tienen un adentro”, para identificar otros hosts potencialmente
grado de sofisticación que las hace difíciles de detectar. Entre vulnerables y establecerá alguna conexión con su centro de
los ciberataques más peligrosos que enfrentan las empresas control. Luego intentará comprometer esos hosts detectados, y
hoy en día se deben mencionar los siguientes [24]: permanecerá largo tiempo capturando información, tratando
Los ataques de día cero (Zero-day threat) se producen de evitar ser detectado. La información recolectada se
explotando una vulnerabilidad de una aplicación o sistema transmitirá hacia afuera de la red, a quiénes estén
operativo que no es conocida públicamente. Se llaman así comandando la operación, usualmente sobre un canal
porque el ataque se lanza en el día cero (o antes) de que la encriptado, a intervalos aleatorios de tiempo, y habiéndola
vulnerabilidad tome conocimiento público, a veces incluso agrupado en pequeños lotes, para dificultar la detección
antes de que sea conocida por la empresa que vende la
aplicación. Este tipo de ataque es muy efectivo porque puede 7
También se habla de ATA (Advanced Targeted Attack) para describir este
permanecer indetectable por largos períodos de tiempo, y una tipo de amenaza. Las diferencias entre APT y ATA suelen ser sutiles y sujetas a
debate, por lo que para simplificar el análisis, en este trabajo sólo hablaremos de
vez producido e identificado, aún pueden pasar días hasta que APTs.
5

mediante el análisis de patrones de tráfico. ciberamenazas de características y peligrosidad similares a


Stuxnet.
X. STUXNET Y OTROS APTS
Stuxnet es el primer malware de tipo APT que se hizo XI. ALGUNOS CASOS IMPORTANTES
conocido públicamente, y sorprendió al mundo por su nivel de Las compañías que se ven expuestas a ciberataques
sofisticación, al punto que ha sido descripto como un enfrentan grandes costos, entre los que se incluyen [43]:
"prototipo de misil lógico". Es un ejemplo concreto del nuevo  Costos asociados a investigación y a actividad
escenario de amenazas al que se enfrentan las organizaciones forense
en todo el mundo.  Costos de comunicación con clientes y proveedores
El análisis forense realizado sobre Stuxnet ha revelado que  Costos en las relaciones públicas
está diseñado para atacar objetivos muy específicos: cierto  Pérdidas debido al daño a la reputación
software del tipo PLC (Programmable Logic Control) de
 Penalizaciones regulatorias
Siemens [31], que desde hace años se ha estado instalando en
numerosas plantas industriales y energéticas en todo el  Costos legales y reclamos civiles
mundo. El análisis realizado no deja margen de duda para Para ilustrar la problemática analizada en este trabajo, se
afirmar que el objetivo de Stuxnet era únicamente la planta de pueden mencionar algunos ejemplos concretos, citados en
enriquecimiento de uranio de Natanz (Irán), específicamente [44] que resultan muy significativos, respecto de la
los dispositivos de centrifugado controlados por sistemas importancia de las organizaciones víctimas y de los costos
SCADA8. derivados del éxito de los ataques:
La explotación de varias vulnerabilidades de día cero, el  Global Payments (Marzo de 2012): Esta empresa
uso de certificados legítimos, el conocimiento requerido sobre que procesa tarjetas de crédito se vio expuesta a un
los sistemas de control industrial afectados y la necesidad de ataque en Enero de 2011, cuando un hacker extrajo
disponer de acceso a ese tipo de sistemas para realizar información de cerca de 7 millones de tarjetas de
pruebas de calidad, hacen pensar que Stuxnet fue desarrollado crédito, con un costo de casi 85 millones de dólares
por un equipo de profesionales altamente calificados, y con y la suspensión temporaria de Visa y Mastercard.
acceso a gran cantidad de recursos técnicos y financieros.  Citigroup (Junio de 2011): Un ciberataque resultó en
Ralph Langner es un consultor alemán en seguridad el robo de más de 360.000 números de tarjetas de
informática que junto con su equipo realizó una tarea de crédito, de las cuales 3.400 fueron usadas para robar
ingeniería inversa sobre el código de Stuxnet que posibilitó más de 2.700.000 dólares.
entender sus mecanismos y objetivo. Realizó una presentación  RSA Security (Marzo de 2011): Ciberatacantes
sobre Stuxnet en una charla TED [32], recomendable para robaron datos relacionados con tokens SecurID 9,
personas no familiarizadas con aspectos técnicos, donde volviéndolos inseguros.
comenta las características generales del ataque y sus  U. S. Environmental Protection Agency (EPA)
implicancias. (Agosto de 2012): Los números de seguridad social
Para un análisis minucioso del código de este malware y y direcciones de más de 5.000 empleados de este
conocer los detalles de la investigación forense sobre el organismo estatal quedaron expuestos luego de que
mismo que llevaron a concluir que estaba dirigido a la planta un empleado abriera un archivo dañiño adjunto en
iraní de Natanz se recomienda ver el video de la presentación un correo electrónico.
”Stuxnet: A Deep Dive” que realizó Langner en la  Irán (Mayo 2012): El malware Flame, del que se
conferencia S4x12 (SCADA Security Scientific Symposium dice que ha sido desarrollado conjuntamente por
2012) [33], el dossier de Symantec sobre Stuxnet [34], el Estados Unidos e Israel, fue liberado para frenar el
artículo de Symantec sobre el proceso de infección [35] y el desarrollo del programa nuclear de Irán. Ya
detallado artículo de Wired [36]. mencionamos también el impacto de Stuxnet sobre
Aunque ante la descripción uno podría pensar que Stuxnet el desarrollo nuclear de este país.
es un caso aislado y que es difícil que ese escenario se repita
frecuentemente, ya se han identificado varias amenazas del XII. CIBERGUERRA Y CIBERTERRORISMO
mismo estilo, en algunos casos incluso más peligrosas.
El caso de Stuxnet que mencionamos previamente,
Otra ciberamenaza del mismo grado de sofisticación que
considerado un misil informático contra la planta de
Stuxnet es Duqu [37] [38] [39]. El análisis forense indica que
centrifugado de uranio de Natanz (Irán), destinado a
el código fuente está basado fuertemente en el código de
entorpecer o detener el desarrollo del programa nuclear iraní,
Stuxnet. Dado que el código de Stuxnet no fue hecho público,
es un claro ejemplo de la utilización de la tecnología con fines
es altamente probable que Stuxnet y Duqu hayan sido
estratégicos militares y geopolíticos. Flame, Duqu y Red
desarrollados por el mismo grupo de gente.
October están en la misma línea: son ciberarmas creadas por
Flame [40] y Red October [41] [42] son otros ejemplos de
una nación (o con fuerte apoyo de una nación) para lograr
objetivos estratégicos respecto de otra.
8
“SCADA viene de las siglas de "Supervisory Control And Data
Adquisition", es decir: adquisición de datos y control de supervisión. Se trata Lo que podría denominarse ciberguerra, ya no es un tema
de una aplicación software especialmente diseñada para funcionar sobre de ficción para utilizar en guiones de películas [46] o en la
ordenadores en el control de producción, proporcionando comunicación con
los dispositivos de campo (controladores autónomos, autómatas 9
Los token SecurID son un dispositivo que se utiliza para realizar
programables, etc.) y controlando el proceso de forma automática” [45] autenticación multi-factor de usuarios, para el acceso a recursos de red.
6

literatura de ficción, sino que llegó con seriedad a las sujetos a investigación, por lo que el tráfico entrante
portadas de los principales periódicos (por ejemplo [47] [48] de los mismos será automáticamente bloqueado.
[49] [50]) y a titular un libro [51] escrito por ex-asesor  Whitelisting: El armado de “listas blancas”
presidencial de Estados Unidos en temas de seguridad representa marcar determinados hosts como
nacional. confiables, de modo que el tráfico proveniente de los
En mayo de 2011 el gobierno de Estados Unidos publicó mismos está pre-aprobado.
un documento titulado “Estrategia Internacional para el  Perfilado basado en el comportamiento: Se intentan
Ciberespacio” [52], en una parte del cual se hace referencia a detectar anomalías respecto de una línea base de
que hoy en día las “redes interconectadas vinculan a las tráfico “normal”.
naciones más estrechamente, de modo que el ataque a las Las características precedentemente enumeradas deben
redes de una nación puede tener impacto más allá de sus estar presentes en una solución de protección, pero al evaluar
fronteras”.10 Esto da idea de la seriedad estratégica que tiene de qué manera protegerse, se deben considerar además los
el tema para las naciones más poderosas del mundo. siguientes aspectos:
Se afirma que Stuxnet fue desarrollado conjuntamente por  Evitar soluciones únicamente de detección.
Estados Unidos e Israel, para detener el programa nuclear  Evitar soluciones únicamente basadas en el concepto
iraní y de este modo evitar recurrir a la intervención militar de sandbox: El malware actual ya ha desarrollado
directa de Israel [53], precisamente como un hecho alineado técnicas para detectar la presencia de un sanbox y
con esa estrategia de Estados Unidos para el ciberespacio. evitar la ejecución de un archivo infectado para no
También se especula que el gobierno de Japón está ser detectados.
desarrollando con la empresa Fujitsu un ciberarma capaz de
 Evitar soluciones de análisis de malware basadas en
rastrear ciberataques “hacia atrás” para anular sus fuentes
la nube (cloud computing). La nube puede usarse
[54], y debemos sumar a la lista de actores que intervienen en
para compartir inteligencia respecto de las
el teatro de operaciones virtual que se ha transformado el
amenazas, pero los archivos confidenciales nunca
mundo con este tipo de ciberamenazas, a la Operación Ababil
deberían abandonar la infraestructura de la empresa.
y a la Unidad 61398.
Operación Ababil [55] es una serie de ciberataques  Adoptar plataformas NGTP11 integradas para la web,
(potentes y efectivos ataques de denegación de servicio) que e-mails e inspección de archivos. Analizarlos por
comenzaron en 2012 contra instituciones financieras de separado no es práctico para hacer diagnósticos en
Estados Unidos, llevado a cabo por un grupo musulmán que la actualidad.
se autodenomina Ciberguerreros de Izz Ad-Din Al Qassam.  Monitorear no sólo el ingreso de tráfico, sino
La Unidad 61398 perteneciente al Ejército de Liberación también el egreso. El tráfico saliente debe ser
Popular de la República China fue expuesta por la empresa monitoreado para determinar si podría estar
Mandiant en un extenso reporte [56] como la causante de transmitiéndose información confidencial a fuentes
diversos ciberataques a empresas de todo el mundo, durante externas.
varios años, destinados a infiltrar información confidencial.  Ser capaces de inspeccionar una gran variedad de
Todas estas referencias dan cuenta de que la ciberguerra y tipos de archivos. El malware puede ser embebido
el ciberterrorismo son conceptos que ya están instalados como en docenas de tipos de archivos diferentes.
hechos concretos en el panorama de seguridad internacional,  Debería minimizarse la tasa de falsos positivos o
y están siendo posibilitados en gran medida por la nueva falsos negativos. Un falso positivo (un archivo
generación de amenazas (APTs) que describimos en este bueno clasificado como malo) puede significar que
trabajo, y también por los nuevos perfiles de los hackers. se bloquee un archivo que afecta una función
importante de negocio, evitando que llegue a destino
XIII. CÓMO PROTEGERSE DE LOS CIBERATAQUES en tiempo y forma, generando pérdidas de tiempo y
La importancia creciente de amenazas cada vez más eventualmente pérdida de ingresos. Con un falso
sofisticadas hace que sea necesario considerar con atención negativo (un archivo malo clasificado como bueno)
las características que poseen los productos que ofrecen se tiene un escenario peor, ya que se permite que
soluciones en este campo, ya que al plantearse escenarios llegue un archivo dañino a destino, sin ningún otro
nuevos, las herramientas deben adecuarse a los mismos. análisis. Las consecuencias de ésto último no hace
Los mecanismos básicos de los productos de seguridad falta que sean descriptas.
diseñados para detectar (y en algunos casos bloquear  Tener soporte para incluir reglas de análisis
amenazas) poseen alguna de las siguientes características (o customizadas.
todas):  Interfaz de usuario intuitiva. Si una herramienta
 Detección basada en firmas: Se explora e posee excelentes mecanismos de detección y control
inspecciona el tráfico de red en busca de patrones de malware pero no es cómoda y resulta difícil de
conocidos de malware. utilizar no será productiva para la organización que
 Blacklisting: El armado de listas negras representa quiera adoptarla.
marcar determinados hosts como bloqueados o También es recomendable que dentro de la planificación de
11
NGTP (Next-Generation Threat Protection) es la denominación con la
10
“(...) interconnected networks link nations more closely, so an attack on que se identifica a las soluciones de protección de activos informáticos orientadas
one nation’s networks may have impact far beyond its border.” a neutralizar este nuevo tipo de amenazas que describimos.
7

acciones tendientes a asegurar la continuidad del negocio, respuesta a incidentes. Ante un ataque el CSIRT intenta
además del BCP (Business Continuity Plan) y el DRP responder cinco preguntas clave [68]: 1)¿quién nos hizo
(Disaster Recovery Plan), se incluya específicamente un CRP esto?; 2)¿cómo lo hicieron?; 3)¿qué sistemas y datos fueron
(Cyber-Incidents Response Plan), que podría ser un apéndice afectados?; 4)¿estamos seguros de que el incidente terminó?;
del BCP. Este plan, según señala [57], está “dirigido a 5)¿estamos seguros de que no pasará nuevamente?
proporcionar estrategias para detectar, responder y limitar Contar con una solución de Big Data Security permite que
las consecuencias de los ciberincidentes maliciosos dirigidos ante un eventual incidente, el CSIRT pueda obtener evidencia
contra los sistemas TIC. Su ámbito se enfoca en las fáctica del ataque con mucha mayor precisión y efectividad
respuestas de seguridad de información a incidentes que que con la información que registran las soluciones clásicas
afectan a los sistemas y redes. Estos procedimientos están de registro y monitoreo.
diseñados para permitir que el personal de seguridad
identifique, atenúe y se recupere de los incidentes XV. LAYERED SECURITY
informáticos maliciosos, como el acceso no autorizado a un Otra forma en la que las empresas pueden mitigar el
sistema.” impacto de las ciberamenazas es aplicando la estrategia
Además de lo ya señalado, hay dos estrategias muy denominada layered security o protección en capas.
importantes para la gestión de la seguridad en una empresa Una estrategia de protección en capas define cinco niveles
que deberían tenerse en cuenta en la actualidad: Big Data de protección, para abordar la gestión de la seguridad de una
Security y Layered Security. Por la importancia que tienen, manera ordenada y sistemática, atendiendo a distintas
describiremos cada una de ellas a continuación, en una necesidades y recursos específicos para cada capa
sección específica. considerada, de manera preventiva y creando un esquema
que vuelve menos atractivos para vulnerar a los datos de la
XIV. BIG DATA SECURITY empresa, ya que un potencial hacker debe invertir mucho más
De manera general, se habla de big data para describir esfuerzo en atravesar todos esos niveles de protección (se dice
colecciones de datos tan masivas y complejas que son díficiles que se incrementa el work factor del hacker).
de manipular con la tecnología tradicional de bases de datos En [69] se define el work factor “como el esfuerzo
relacionales. Los desafíos del concepto de big data incluyen el requerido por un intruso para comprometer una o más
almacenamiento, recuperación, indexado y visualización de medidas de seguridad, que a su vez permitirán que la red sea
grandes conjuntos de datos. Actualmente este concepto está exitosamente vulnerada. Una red con un alto work factor es
entre las tendencias tecnológicas con más presencia en la difícil de vulnerar, mientras que una red con un work factor
industria, en múltiples escenarios, y también ha sido bajo puede ser comprometida con relativa facilidad”.
incorporado en el ámbito de la seguridad informática bajo el Los 5 niveles de este modelo son, desde el más exterior al
nombre de Big Data Security. más interno: defensa del perímetro, defensa de la red, defensa
Big Data Security [58] se denominan a las soluciones (ya de los hosts, defensa de las aplicaciones, y defensa de los
sean basadas en software, hardware o ambos) que capturan y datos.
analizan fuentes de datos masivas con el objetivo de descubrir Esos cinco niveles deben complementarse con políticas y
y mitigar ciberamenazas. Entre esas fuentes masivas de datos procedimientos de la compañía que estén destinados a atender
que se pueden procesar se tienen las siguientes: la necesidad de seguridad de la información, incluyendo
 todo el tráfico IP que circula por la red interna (tráfico además consideraciones vinculadas a la protección física de
generado por navegación en la web, correos los activos.
electrónicos y transferencias de archivos).
 registros de flujo de red de los routers y switches.
 tráfico IP entre máquinas virtuales en una plataforma
de virtualización.
 actividad en directorios de cuentas de usuarios.
 detonaciones y resultados de análisis de
comportamiento de algunos dispositivos de análisis de
malware.
Las fuentes de datos señaladas previamente son internas a
las empresas, pero también es posible alimentar una solución
de Big Data Security con información de fuentes externas,
tales como feeds sobre ciberamenazas y reputación de sitios
(por ejemplo Emerging Threats [59], Google Safe Browsing
[60], Malware Domain List [61], VirusTotal [62], etc.),
servicios de geolocalización (por ejemplo Digital Envoy [63],
Geobytes [64] o Neustar [65]) y servicios de inteligencia sobre
websites (por ejemplo, DomainTools [66] o Robtex [67]).
El CSIRT (Computer Security Incident Response Team) es Fig. 2. Esquema de las cinco capas del modelo Layered Security
un equipo de profesionales expertos en ciberseguridad que
tiene varias responsabilidades, siendo la principal de ellas la
8

En [70] se describe detalladamente el modelo layered ataque (y una defensa) eficaz es el factor humano, por lo que
security y se analizan las medidas que deberían aplicarse una adecuada capacitación de los recursos humanos de la
específicamente en cada capa. organización en los aspectos que hemos analizado en este
trabajo es fundamental.

XVI. CONCLUSIONES XVII. AGRADECIMIENTOS


En la actualidad todas las organizaciones, ya sean El autor agradece a Luis Mariano Bibbó por recomendarle,
empresas privadas o entes pertenecientes a algún estado, se hace más de 10 años, la lectura de [77].
encuentran expuestas a un amplio espectro de amenazas y son A Lydia Skamelka, Tomás José Riva, Gustavo Rossi, Fabio
potenciales víctimas de un ciberataque externo 12. Benavídez y Carlos Peña, destacados y apasionados docentes
Algunos tipos de ataques han logrado un nivel de que han signado su paso por distintos ámbitos educativos.
sofisticación que los hace extremadamente peligrosos, sobre A Diego Esteve, tutor de este trabajo, por la precisa guía
todo por la utilización de grandes recursos para su respecto de los temas investigados.
planificación y desarrollo. Algunos cuentan con el apoyo de Finalmente a Nicolás Shinyashiki, Pedro García y Daniel
gobiernos de algunos países y utilizan los recursos Averbuch por las horas de estudio compartidas.
tecnológicos más avanzados para perseguir objetivos
geopolíticos de interés estratégico, ya sea tanto con fines XVIII. REFERENCIAS
militares como comerciales. Como lo demuestra el ejemplo de
Stuxnet, hoy en día los objetivos no sólo son sistemas [1] AA. VV., Hacker (computer security), Wikipedia.
http://en.wikipedia.org/wiki/Hacker_(computer_security)
informáticos, sino que también se han vuelto objetivos de [2] AA. VV., Malware, Wikipedia.
mucho valor algunos dispositivos de tipo industrial, afectados http://en.wikipedia.org/wiki/Malware
a procesos críticos, que son controlados por software. [3] AA. VV., Sandbox, Wikipedia.
http://en.wikipedia.org/wiki/Sandbox_(computer_security)
Las empresas no deben ignorar la complejidad del [4] AA. VV., Spam, Wikipedia.
escenario actual, ya que ninguna está excenta de ser víctima. http://en.wikipedia.org/wiki/Spam_(electronic)
Independientemente del mercado vertical 13 o la nación a la [5] J. P. Anderson, Computer Security Threat Monitoring and Surveillance,
James P. Anderson Co., Fort Washington (Pennsylvania), Estados Unidos,
que pertenezca la organización, puede ser un blanco directo o Abril 1980.
podría ser un blanco indirecto. Los blancos indirectos son Recuperado de: http://csrc.nist.gov/publications/history/ande80.pdf
aquellas organizaciones que son atacadas porque al tener [6] P. Himanen, La ética del hacker y el espíritu de la era de la información,
Barcelona, España: Ediciones Destino, 2002.
algún tipo de relación con otra empresa (ser, por ejemplo, [7] AA. VV., Virus informático, Wikipedia.
proveedor o cliente), constituyen una posible forma de llegar http://es.wikipedia.org/wiki/Virus_informático
lateralmente a comprometer un objetivo de mayor interés [8] J. D. Howard, P. Meunier, “Using A Common Language For Computer
Security Incident Information”, en Computer Security Handbook (4a ed.),
estratégico: la empresa con la que se vinculan. El ejemplo que Seymour Bosworth & M. E. Kabay (eds.), Estados Unidos: John Wiley &
mencionamos antes -en la sección XI- del ataque a RSA Sons, 2002, p. 3-17 (84).
Security, que comprometió tokens SecurID, era parte de un [9] S. Piper, “Understanding the Enemy”, en Definitive Guide to Next-
Generation Threat Protection: Winning the War Against the New Breed
ataque más amplio. Los tokens comprometidos permitieron of Cyber Attacks, Annapolis (Maryland), Estados Unidos: Cyberedge
hacer efectivo un ataque posterior que vulneró a Lockheed Press, Febrero 2013, pp. 12-14. Recuperado de:
Martin [71] [72] [73], un proveedor de elementos de defensa http://www2.fireeye.com/definitive-guide-next-gen-threats.html
[10] AA. VV., LulzSec, Wikipedia.
del gobierno de Estados Unidos. http://en.wikipedia.org/wiki/LulzSec
Para mitigar los riesgos y minimizar el impacto de un [11] AA. VV., Anonymous (group), Wikipedia.
ataque, hemos visto que hay tres aspectos clave para la http://en.wikipedia.org/wiki/Anonymous_(group)
[12] "Websense 2013 Threat Report", Websense Security Labs, Websense Inc.,
protección de las organizaciones en la actualidad: San Diego (California), Estados Unidos, Abril 2013, p.14. Recuperado de:
 la utilización de múltiples fuentes masivas de datos http://www.websense.com/content/websense-2013-threat-report.aspx
(big data) como elemento de suma importancia para [13] G. Ferreira, Virus en las Computadoras, 2a ed., México: Macrobit
Editores, 1991.
soportar las políticas y soluciones de seguridad [14] AA. VV., Virus Report, vols.1-22, Buenos Aires, Argentina: MP Ediciones
informática (vols. 1-8) y Ediciones Ubik (vols. 9-22), 1993-1995.
[15] M. Ludwig, The Little Black Book of Computer Viruses, Tucson
 la aplicación de técnicas de análisis que contemplen (Arizona), Estados Unidos: American Eagle Publications Inc., 1991.
las características específicas ya identificadas en los [16] "Websense 2013 Security Predictions", Websense Security Labs, Websense
ataques más sofisticados Inc., San Diego (California), Estados Unidos, Noviembre 2012, p. 9.
Recuperado de:
 la utilización de un esquema de protección de http://www.websense.com/assets/white-
múltiples capas (layered security)14 papers/Websense_2013_Security_Predictions_2013.pdf
Por último, resulta necesario recordar que el elemento que [17] Ibíd., p. 10.
[18] S. Northcutt, "The Attack Surface Problem", en Security Laboratory:
en última instancia es necesario para poder llevar a cabo un Defense In Depth Series, SANS Technology Institute, Enero 7, 2011.
Recuperado de:
12
Según [74], en el 98% de los casos los datos son comprometidos por http://www.sans.edu/research/security-laboratory/article/did-attack-surface
agentes externos a las organizaciones, y 81% debido a algún tipo de hacking. [19] A. M. Amaya Calvo, "Superficie de ataque 2.0", en Artículos de la
13
En [75] se plantea que las empresas tecnológicas son las más atacadas, Sociedad de la Información (Fundación Telefónica), Madrid, España,
comparando su proporción con otras industrias. Por otro lado, en [76] se indica Diciembre 1, 2010. Recuperado de:
que los sectores más atacados son la industria aeroespacial y de defensa. http://sociedadinformacion.fundacion.telefonica.com/DYC/SHI/Articulos_
14
El ejemplo del ataque a Lockheed Martin ilustra la importancia de este 423-ARTICULO-TID-
esquema. La empresa al hacerse público el ataque afirmó que no se había Superficie_ataque/seccion=1188&idioma=es_ES&id=2010120117120
comprometido ningún dato crítico debido a la “seguridad robusta, multi-capa,
de los sistemas de información”.
9

[20] S. Piper, “Defining Next-Generation Threats” en Definitive Guide to Next- http://www.securelist.com/en/analysis/204792262/Red_October_Diplomat


Generation Threat Protection: Winning the War Against the New Breed ic_Cyber_Attacks_Investigation
of Cyber Attacks, op. cit., pp. 5-7. [43] S. Piper, “Defining Next-Generation Threats” en Definitive Guide to Next-
[21] Ibíd., pp. 6-7. Generation Threat Protection: Winning the War Against the New Breed
[22] F. Maggi. “Are the Con Artists Back? A Preliminary Analysis of Modern of Cyber Attacks, op. cit., p. 4.
Phone Frauds”, en Proceedings of the International Conference on [44] Ibíd., p. 3.
Computer and Information Technology (CIT), Bradford, Reino Unido, [45] “Sistemas SCADA”, automatas.org (web site), Marzo 2006. Recuperado
Junio 2010. Recuperado de: de: http://automatas.org/redes/scadas.htm
http://home.deib.polimi.it/fmaggi/downloads/publications/2010_maggi_vis [46] L. Wiseman (director), M. Bomback (guionista), “Live Free or Die Hard”
hing.pdf (película), 2007.
[23] AA. VV., SMS phishing, Wikipedia. [47] D. Sanger, “Obama Order Sped Up Wave of Cyberattacks Against Iran”,
http://en.wikipedia.org/wiki/SMS_phishing The New York Times, Junio 1, 2012. Recuperado de:
[24] S. Piper, “Defining Next-Generation Threats” en Definitive Guide to Next- http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-
Generation Threat Protection: Winning the War Against the New Breed wave-of-cyberattacks-against-iran.html?pagewanted=all&_r=0
of Cyber Attacks, op. cit., pp. 8-10. [48] E. Nakashima, “U.S. accelerating cyberweapon research”, The
[25] AA. VV., Nimda, Wikipedia Washington Post, Marzo 2012. Recuperado de:
http://en.wikipedia.org/wiki/Nimda http://www.washingtonpost.com/world/national-security/us-accelerating-
[26] AA. VV., CodeRed, Wikipedia cyberweapon-research/2012/03/13/gIQAMRGVLS_print.html
http://en.wikipedia.org/wiki/Code_Red_(computer_worm) [49] R. Cohen, “The White House Unveils New Cyber-Security Strategy”,
[27] AA. VV., Conficker, Wikipedia Forbes, Mayo 2012. Recuperado de:
http://en.wikipedia.org/wiki/Conficker http://www.forbes.com/sites/reuvencohen/2012/05/30/the-white-house-
[28] J. Areitio, Seguridad de la información: Redes, informática y sistemas unveils-new-cyber-security-strategy/
de información. Madrid, España: Paraninfo, 2008, pp. 164-171. [50] “Cyberwar. The threat from the internet”, The Economist, Julio 3, 2010.
[29] S. Piper, “Anatomy of Advanced Cyber Attacks” en Definitive Guide to [51] R. Clarke, R. Knake, Cyber War: The Next Threat to National Security
Next-Generation Threat Protection: Winning the War Against the New and What to Do About It, Estados Unidos: HarperCollins Publishers, Abril
Breed of Cyber Attacks, op. cit., pp. 23-27. 2010.
[30] "Less Secure Than You Think", FireEye Inc., Milpitas (California), [52] “International Strategy for Cyberspace: Prosperity, Security, and Openness
Estados Unidos, Mayo 2012, p. 3. Recuperado de: in a Networked World”, The White House, Washington, Estados Unidos,
http://www2.fireeye.com/cso-less-secure-than-you-think.html Mayo 2011. Recuperado de:
[31] “Visibility in production: SIMATIC WinCC SCADA system”, Siemens http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strat
AG, Nuremberg, Alemania. Recuperado de: egy_for_cyberspace.pdf
http://www.automation.siemens.com/mcms/human-machine- [53] N. Anderson, “Confirmed: US and Israel created Stuxnet, lost control of
interface/en/visualization-software/scada/pages/default.aspx it”, Ars Technica, Junio 1, 2012. Recuperado de:
[32] R. Langner, "Cracking Stuxnet, a 21st-century cyber weapon" http://arstechnica.com/tech-policy/2012/06/confirmed-us-israel-created-
(presentación), en TED Conference 2011, Long Beach, Estados Unidos, stuxnet-lost-control-of-it/
Marzo 3, 2011. Recuperado de: [54] J. Kennedy, “Japanese government building defensive computer virus;
http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century Skynet incoming?”, Extreme Tech, Enero 4, 2012. Recuperado:
_cyberweapon.html http://www.extremetech.com/computing/111869-japanese-government-
[33] R. Langner, “Stuxnet: A Deep Dive” (presentación), en SCADA Security building-defensive-computer-virus-skynet-incoming
Scientific Symposium 2012, Miami, Estados Unidos, Enero 18, 2012. [55] AA. VV, Operation Ababil, Wikipedia.
Recuperado de: http://en.wikipedia.org/wiki/Operation_Ababil
http://www.digitalbond.com/blog/2012/01/31/langners-stuxnet-deep-dive- [56] "APT1: Exposing One of China's Cyber Espionage Units", Mandiant
s4-video/ Intelligence Center, Mandiant Corporation, Alexandria (Virginia), Estados
[34] N. Falliere, L. Murchu, E. Chien, "W32.Stuxnet Dossier. Version 1.4", Unidos, Febrero 2013. Recuperado de:
Symantec Corporation, Cupertino (California), Estados Unidos, Febrero http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
2011. Recuperado de: [57] J. Areitio, Seguridad de la información: Redes, informática y sistemas
http://www.symantec.com/content/en/us/enterprise/media/security_respons de información, Madrid, España: Paraninfo, 2008, p. 262.
e/whitepapers/w32_stuxnet_dossier.pdf [58] S. Piper, “Meet Big Data Security” en Big Data Security For Dummies
[35] N. Falliere, “Exploring Stuxnet’s PLC Infection Process”, Symantec (Solera Networks Special Edition), Estados Unidos: John Wiley & Sons,
Corporation, Cupertino (California), Estados Unidos, Septiembre 2012. 2013. Recuperado de:
Recuperado de: http://pages.soleranetworks.com/BigDataSecurityforDummies.html
http://www.symantec.com/connect/blogs/exploring-stuxnet-s-plc-infection- [59] Emerging Threats (web site), http://www.emergingthreats.net/
process [60] Google Safe Browsing (web site), https://developers.google.com/safe-
[36] K. Zetter, "How Digital Detectives Deciphered Stuxnet, the Most browsing/
Menacing Malware in History", Wired, Julio 11, 2011. Recuperado de: [61] Malware Domain List (web site), http://www.malwaredomainlist.com/
http://www.wired.com/threatlevel/2011/07/how-digital-detectives- [62] VirusTotal (web site), https://www.virustotal.com/en/
deciphered-stuxnet/all/1 [63] Digital Envoy (web site), http://www.digitalenvoy.com/
[37] "Duqu - Stuxnet 2.0", Websense Security Labs, Websense Inc., San Diego [64] Geobytes (web site), http://www.geobytes.com/
(California), Estados Unidos, Octubre 19, 2011. Recuperado de: [65] Neustar (web site), http://www.neustar.biz/enterprise
http://community.websense.com/blogs/securitylabs/archive/2011/10/19/du [66] DomainTools (web site), http://www.domaintools.com/
qu-stuxnet-2-0.aspx [67] Robtex (web site), http://www.robtex.com/
[38] "W32.Duqu. The precursor to the next Stuxnet (Version 1.4)", Symantec [68] S. Piper, “Use Cases for Big Data Security” en Big Data Security For
Corporation, Cupertino (California), Estados Unidos, Noviembre 23, 2011. Dummies (Solera Networks Special Edition), op. cit., p. 41.
Recuperado de: [69] M. Ashley, "Layered Network Security 2006: A best-practices approach",
http://www.symantec.com/content/en/us/enterprise/media/security_respons StillSecure, Superior (Colorado), Estados Unidos, Enero 2006, p. 2.
e/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf [70] Ibíd., pp. 2-11.
[39] B. Bencsáth, G. Pék, L. Buttyán, M. Félegyházi. "Duqu: A Stuxnet-like [71] C. Drew, “Stolen Data Is Tracked to Hacking at Lockheed”, The New York
malware found in the wild (v0.93)", Laboratory of Cryptography and Times, Junio 3, 2011. Recuperado de:
System Security (CrySyS), Budapest University of Technology and http://www.nytimes.com/2011/06/04/technology/04security.html?_r=1&
Economics, Budapest, Hungría, Octubre 14, 2011. Recuperado de: [72] “Lockheed Martin confirms attack on its IT network”, AFP, Mayo 28,
http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf 2011. Recuperado de:
[40] AA. VV., Flame (malware), Wikipedia http://www.google.com/hostednews/afp/article/ALeqM5hO0TYWRsxt1C
http://en.wikipedia.org/wiki/Flame_(malware) KUUEXKd04BQwsdGQ?
[41] "The Hunt for Red October", Websense Security Labs, Websense Inc., San docId=CNG.377fe057126251044306fe73e1e5ae83.401
Diego (California), Estados Unidos, Enero 21, 2013. Recuperado de: [73] J. Finkle, A. Shalal-Esa, “Exclusive: Hackers breached U.S. defense
http://community.websense.com/blogs/securitylabs/archive/2013/01/21/the contractors”, Reuters, Edition UK, Mayo 28, 2011. Recuperado de:
-hunt-for-red-october.aspx http://uk.reuters.com/article/2011/05/27/us-usa-defense-hackers-
[42] "Red October Diplomatic Cyber Attacks Investigation", Global Research idUKTRE74Q6VY20110527
& Analysis Team (GReAT), Kaspersky Lab, Moscú, Rusia, Enero 14, [74] “2012 Data Breach Investigations Report”, Verizon Communications Inc.,
2013. Recuperado de: New York, Estados Unidos, Marzo 2012. Recuperado de:
10

http://www.verizonenterprise.com/resources/reports/rp_data-breach-
investigations-report-2012_en_xg.pdf
[75] “FireEye Advanced Threat Report – 2H 2012”, FireEye Inc., California,
Estados Unidos, Abril 2013, p. 5. Recuperado de:
http://www2.fireeye.com/rs/fireye/images/fireeye-advanced-threat-report-
2h2012.pdf
[76] “M-Trends 2013: Attack the Security Gap”, Mandiant Corporation,
Alexandria (Virginia), Estados Unidos, Marzo 2013. Recuperado de:
https://www.mandiant.com/resources/m-trends/
[77] U. Eco, Cómo se hace una tesis: técnicas y procedimientos de
investigación, estudio y escritura, L. Baranda, A. Clavería Ibáñez (trads.),
Barcelona, España: Editorial Gedisa, 1998.

XIX. BIOGRAFÍAS

Juan José Zapico nació el 18 de enero de 1972, en


Cañuelas (Argentina). Comenzó sus estudios de
informática en la Universidad Nacional de La Plata y
los completó en la Universidad de Palermo, donde fue
distinguido como el mejor promedio de la Licenciatura
en Informática de los años 2010, 2011 y 2012.
Es miembro de ACM (Association for Computing
Machinery), fue miembro del LIFIA (Laboratorio de
Investigación y Formación en Informática Avanzada)
y posee más de 15 años de experiencia en la industria
de IT, en contextos tan variados como la educación a
distancia, las empresas telefónicas, la banca y el mercado bursátil.
Sus intereses profesionales están vinculados a la adopción de medologías
ágiles para generar ambientes de trabajo sustentables y cambios en la cultura de
las organizaciones. Posee tres certificaciones de la Scrum Alliance: CSM
(Certified Scrum Master), CSD (Certified Scrum Developer) y CSPO
(Certified Scrum Product Owner).
Además de su interés por la informática, es realizador audiovisual
independiente. Su información de contacto está disponible en
http://about.me/zapico