Documente Academic
Documente Profesional
Documente Cultură
Cómo gestionar el
riesgo para su negocio
www.isaca.org/cyber
Personal Copy of: Ing. Alexander J. Osorio
Amenazas persistentes avanzadas: Cómo gestionar el riesgo para su negocio
ISACA®
Con más de 110,000 integrantes en 180 países, ISACA (www.isaca.org) ayuda a los líderes de negocio y
de TI a maximizar el valor y gestionar el riesgo relacionado con la información y la tecnología. Fundada
en 1969, ISACA es una organización independiente, sin ánimo de lucro, que representa los intereses
de los profesionales relacionados con la seguridad de la información, el aseguramiento, la gestión de
riesgos y el gobierno. Estos profesionales confían en ISACA como fuente de confianza del conocimiento
de la información y la tecnología, la comunidad, los estándares y las certificaciones. La asociación, con
200 capítulos en todo el mundo, promueve el avance y valida habilidades y conocimientos críticos para
el negocio, a través de certificaciones globalmente respetadas: Certified Information Systems Auditor®
(CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT®
(CGEIT®) y Certified in Risk and Information Systems ControlTM (CRISCTM). ISACA también desarrolló y
actualiza continuamente COBIT®, un marco de referencia de negocio que ayuda a organizaciones de todas
las industrias y ubicaciones, a gobernar y gestionar su información y tecnología.
Descargo de responsabilidad
ISACA ha diseñado y creado Amenazas persistentes avanzadas: Cómo gestionar el riesgo para su
negocio (el “Trabajo”), principalmente como un recurso educativo para los profesionales de seguridad,
gobierno y aseguramiento. ISACA no confirma que el uso de cualquier componente del “Trabajo” asegure
un resultado exitoso. No debe considerarse que el “Trabajo” contiene toda la información, procedimientos
y pruebas, ni tampoco que excluye otra información, procedimientos y pruebas que se aplican de manera
razonable para obtener los mismos resultados. Para determinar la conveniencia de cualquier información,
procedimiento o prueba específicos, los profesionales de seguridad, gobierno y aseguramiento deben
aplicar su propio criterio profesional a las circunstancias específicas presentadas por los sistemas
particulares o por el entorno de tecnología de la información.
Derechos reservados
© 2013 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada,
copiada, reproducida, modificada, distribuida, expuesta, almacenada en un sistema de recuperación o
transmitida en cualquier forma o por cualquier medio (electrónico, mecánico, fotocopia, grabación u
otros), sin previa autorización por escrito de ISACA. La reproducción y utilización de toda o parte de
esta publicación está permitida únicamente para uso académico, interno y no comercial, y para proyectos
de consultoría o asesoramiento, y deberán incluir la referencia completa de la fuente del material. No se
otorga otra clase de derechos ni permisos en relación con este trabajo.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE. UU.
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: info@isaca.org
Sitio web: www.isaca.org
ISBN: 978-1-60420-625-8
Amenazas persistentes avanzadas: Cómo gestionar el riesgo para su negocio
Agradecimientos
ISACA desea agradecer a:
Autor
David Lacey, CITP, David Lacey Consulting Ltd., Reino Unido
Revisores expertos
Rory Alsop, CISM, C|CISO, M.Inst.ISP., RBS, Escocia
Vilius Benetis, CISA, CRISC, PhD, BAIP, Lituania
Patrick Hanrion, CISM, CISSP, McGladrey LLP, EE. UU.
Ken Hendrie, CISA, CRISC, GCIH, ITIL, PRINCE2, BAE Systems Detica, Australia
Epsilon Ip, CISA, CISM, CRISC, CISSP, ISSMP, ISSAP, Cathay Pacific Airways, Hong Kong
Leonard Ong, CISA, CISM, CRISC, CPP, CFE, CISSP, PMP, Citihub, Singapur
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, BRM Holdich, Australia
Comité de Conocimiento
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grecia, Presidente
Rosemary M. Amato, CISA, CMA, CPA, Deloitte Touche Tohmatsu Ltd., Holanda
Steven A. Babb, CGEIT, CRISC, Betfair, Reino Unido
Thomas E. Borton, CISA, CISM, CRISC, CISSP, Cost Plus, EE. UU.
Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, EE. UU.
Anthony P. Noble, CISA, Viacom, EE.UU.
Jamie Pasfield, CGEIT, ITIL V3, MSP, PRINCE2, Pfizer, Reino Unido
Agradecimientos (continuación)
Comité de Orientación y Prácticas
Phil J. Lageschulte, CGEIT, CPA, KPMG LLP, EE. UU., Presidente
John Jasinski, CISA, CGEIT, ISO20K, ITIL Exp, SSBB, ITSMBP, EE. UU.
Yves Marcel Le Roux, CISM, CISSP, CA Technologies, Francia
Aureo Monteiro Tavares Da Silva, CISM, CGEIT, Brasil
Jotham Nyamari, CISA, Deloitte, EE. UU.
James Seaman, CISM, CRISC, RandomStorm, Reino Unido
Gurvinder Singh, CISA, CISM, CRISC, Australia
Siang Jun Julia Yeo, CISA, CPA (Australia), MasterCard Asia/Pacific Pte. Ltd., Singapur
Nikolaos Zacharopoulos, CISA, CISSP, DeutschePost–DHL, Alemania
Índice
Lista de figuras..............................................................................................................8
Introducción..................................................................................................................9
Referencias................................................................................................................ 125
Índice......................................................................................................................... 129
Lista de figuras
Figura 1: El mayor riesgo para las empresas de un ataque de APT.........................................14
Figura 2: Fuentes de la amenaza APT.......................................................................................29
Figura 3: Objetivos de los ataques de las APT durante 2012...................................................36
Figura 4: Etapas en el ciclo de ataque de las APT....................................................................44
Figura 5: Ciclo de gestión de riesgos de las APT.....................................................................49
Figura 6: Ejemplo de mapa de la evaluación del riesgo de las APT codificado
por colores..................................................................................................................55
Figura 7: Deficiencias típicas en los procesos de gestión existentes........................................61
Figura 8: La “cadena de muerte” de Lockheed Martin.............................................................68
Figura 9: Oportunidades en el ciclo de ataque de las APT.......................................................69
Figura 10: Niveles de las contramedidas de seguridad.............................................................76
Figura 11: Estructura típica de la gestión de crisis...................................................................93
Figura 12: Etapas en la planificación y gestión de incidentes graves.......................................96
Figura 13: Ilustración de un diagrama de Ishikawa................................................................100
Figura 14: Etapas de la realización de una revisión de controles de APT..............................103
Introducción
Este libro explica la naturaleza del fenómeno de seguridad conocido como la amenaza
persistente avanzada (APT). También ofrece consejos útiles sobre cómo evaluar el riesgo
de una APT en la organización y recomienda medidas prácticas que pueden adoptarse para
prevenir, detectar y responder a un ataque de ese tipo. Además, destaca las diferencias clave
entre los controles necesarios para contrarrestar el riesgo de un ataque de una APT y los que
se utilizan normalmente para mitigar el riesgo diario de seguridad de la información.
Este libro está diseñado principalmente para gerentes de seguridad, gerentes de TI, auditores
de TI y estudiantes de informática o que buscan obtener una certificación en seguridad de la
información. Está escrito en lenguaje claro y no técnico, por lo que también es válido para
los gerentes de negocio y los funcionarios de gobierno responsables de valiosos activos de
propiedad intelectual o servicios críticos que podrían ser objetivo de un ataque de una APT.
El capítulo describe ejemplos reales de ataques actuales de APT, así como un análisis paso a
paso de un ataque de ATP típico. También proporciona una visión general de la evolución de
las APT, pasadas, presentes y futuras, y concluye con una lista de puntos de aprendizaje, que
pueden servir de referencia útil para los lectores demasiado impacientes para leer
todo el contenido.
Debe señalarse que no todo el mundo está de acuerdo sobre lo que constituye exactamente
una APT. Muchos expertos consideran que no es nada nuevo. Algunos lo ven simplemente
como la última evolución en las técnicas de ataque que se han venido desarrollando durante
muchos años. Otros afirman que el término es engañoso, señalando que muchos ataques
clasificados como APT no son especialmente inteligentes o innovadores. Unos pocos la
definen en sus propios términos, por ejemplo, como un ataque que está gestionado de manera
profesional, o uno que sigue un modus operandi particular, o uno lanzado por un servicio de
inteligencia extranjero, o tal vez, uno que tiene como objetivo y que ataca sin descanso a una
empresa específica.
De hecho, todas estas descripciones son ciertas. Las características que definen a una APT
son muy sencillas: Una APT es una amenaza que es avanzada y persistente. Es un ataque
específicamente dirigido y sofisticado que persigue a la víctima. A diferencia de muchos
otros tipos de actos criminales, no es fácilmente rechazada por una determinada respuesta
defensiva.
Los ataques de este tipo son muy diferentes a los que las empresas han podido experimentar en
el pasado. La mayoría de las organizaciones se han enfrentado en algún momento a uno o más
ataques oportunistas de criminales de poca monta, intrusos u otras personas problemáticas.
Pero la mayoría de los ataques de APT proceden de fuentes más siniestras. Por lo general,
son el trabajo de equipos profesionales empleados por grupos del crimen organizado,
determinados activistas o gobiernos. Esto significa que normalmente están bien planificados,
son sofisticados, están bien dotados de recursos y son potencialmente más dañinos.
El término “amenaza persistente avanzada” parece haber sido acuñado alrededor de 2005
por analistas de seguridad que trabajaban para la fuerza aérea de los EE. UU. La evidencia
anecdótica sugiere que fue creado con el fin de discutir sobre un conjunto específico de
ataques de espionaje en el dominio público sin identificar las fuentes específicas de amenaza
o mencionar palabras clave clasificadas. Hoy en día, está firmemente asociado con los
ciberataques administrados por profesionales, especialmente los que se aprovechan del
conocimiento no revelado sobre las vulnerabilidades de seguridad en plataformas informáticas
o sistemas de aplicación.
Para una definición más formal, la descripción del Instituto Nacional de Normas y Tecnología
(National Institute of Standards and Technology, NIST) de EE.UU. es tan buena como otra
cualquiera:
También cabe señalar que es bastante posible para un atacante cambiar las metas de un
objetivo a otro. Por ejemplo, es posible que un ataque pueda comenzar con el robo de
propiedad intelectual, continúe explotando esa información de manera competitiva para luego
1
ational Institute of Standards and Technology (NIST), Computer Security Incident Handling Guide, Publicación especial 800-61, EE. UU.,
N
2008, csrc.nist.gov/publications/PubsSPs.html
recurrir a tácticas más agresivas para sabotear la capacidad de la víctima para operar. De
hecho, el objetivo final de un ataque de APT siempre es difícil de determinar, por lo que es
prudente considerar el peor escenario al evaluar el impacto potencial de una intrusión.
Al considerar los motivos de una intrusión de APT vale la pena examinar los objetivos
fundamentales del atacante. Los servicios de inteligencia, por ejemplo, se dedican a la
obtención de información secreta. Las bandas criminales están para ganar dinero. El objetivo
de los activistas es hacerse notar. Las fuerzas militares están para ganar guerras.
Una lección más práctica para las empresas a tener en cuenta de la experiencia previa
de ataques de APT, es que para enfrentarse a un ataque sofisticado de un adversario con
los recursos necesarios, se requiere mucho más que un conjunto de prácticas básicas de
seguridad . Exige habilidades de especialista en seguridad; tecnología de seguridad de última
generación; evaluaciones de riesgos dirigidos por inteligencia; educación astuta del personal;
monitorización de la red las 24 horas; y habilidades de análisis forense de vanguardia.
Estas prácticas no son desconocidas para los profesionales de la seguridad, pero el nivel
de experiencia, habilidad y tecnología necesaria para contrarrestar un ataque de APT
generalmente supera el nivel que se encuentra en la mayoría de las empresas públicas y
privadas. Este libro pretende ayudar a cerrar esta brecha, destacando las medidas mejoradas o
adicionales que cada organización necesita para prevenir, detectar y responder a un ataque de
APT profesional.
Las APT son sin duda una amenaza real y presente para cualquier organización que posea
propiedad intelectual valiosa o que proporcione servicios nacionales críticos. El daño al
negocio de un ataque de APT puede ser lo suficientemente grave como para reducir la
rentabilidad de una línea de negocio o para forzar la dimisión de un alto ejecutivo.
Sin embargo, una investigación independiente realizada por ISACA2 indica que pocas
organizaciones se han enfrentado a la amenaza de APT con la respuesta decidida e integral
que un riesgo así de grave parecería merecer. La encuesta de ISACA de la industria y del
gobierno, publicada en 2013, indicó que:
• Diecinueve de las 20 organizaciones consideran que las APT son una amenaza creíble a la
seguridad nacional y a la estabilidad económica.
• Una de cada cinco empresas ya ha experimentado un ataque de APT.
• Dos tercios de los encuestados piensan que era sólo cuestión de tiempo antes de
experimentar un ataque.
• Más de la mitad de los encuestados no creen que las APT sean diferentes de las
amenazas tradicionales.
• Cuatro de cada cinco encuestados consideran que hay una falta de guía pública sobre las
APT.3
El mayor riesgo para la empresa relacionado con un ataque de APT exitoso, según los
encuestados en la encuesta de ISACA, se ilustra en la figura 1.
01
El mayor riesgo para
Figura
las empresas de un
ataque de APT4
Daño a la reputación
Pérdida de disponibilidad
0 5 10 15 20 25 30
Por ciento
2
l informe del estudio de ISACA Advanced Persistent Threat Awareness Study Results, patrocinado por Trend Micro, se llevó a cabo en el
E
cuarto trimestre de 2012 y se publicó en 2013.
3
Como parte del esfuerzo continuo para satisfacer las necesidades de sus miembros y de otros destinatarios, ISACA está respondiendo a los
resultados de la encuesta mediante la creación de una serie de productos destinados a abordar este desafío.
4
Porcentajes de empresas que juzgan el impacto del riesgo de ATP, de la encuesta ISACA 2013.
Sin embargo, hubo algunas respuestas positivas de la encuesta, como una tendencia en el
aumento de la atención de la dirección, mejores presupuestos de seguridad y aplicación de
políticas más estrictas. Fueron menos prometedoras las indicaciones de los encuestados sobre
que no están aumentando la concienciación de seguridad, ni cambiando la forma en la que
tratan con terceros.
No todas estas variedades de malware se usan en un ataque APT, pero una capacidad clave
del malware usada por muchos es la de autorreplica, una técnica que permite a un ataque
propagarse rápidamente por toda la empresa.
Virus y Gusanos
Un virus informático es un trozo de código que puede replicarse a sí mismo y propagarse
de un ordenador a otro. Una variante de esto es un gusano de red, que es esencialmente
un fragmento de código que se auto replica diseñado para propagarse a través de redes
informáticas.
La idea del software que se auto replica dista mucho de ser nueva, habiendo sido explorada
por primera vez hace más de 60 años por el distinguido matemático John von Neumann. Se
desarrollaron versiones experimentales en laboratorios de investigación en la década de 1970,
aunque el primer virus informático generalizado (un virus pakistaní llamado Brain) no surgió
hasta el año 1986.
Desde entonces, se han creado numerosos virus y gusanos. Al principio, pocos fueron
malintencionados o dirigidos. Algunos de los primeros, como el gusano de Robert Morris,
fueron experimentos que se descontrolaron. Progresivamente se convirtieron en una molestia.
Hoy los frutos de esta investigación se han convertido en un vehículo para la recopilación de
inteligencia, la delincuencia o el sabotaje.
El nivel de sofisticación de los virus también ha crecido, por ejemplo, con la aparición de
características como el polimorfismo, que permite a un virus o a un gusano cambiar su
apariencia para evitar mecanismos de detección que se basan en firmas reconocidas.
Caballos de Troya
Otra categoría de software malicioso (malware) es el caballo de Troya, llamado así por el
famoso incidente en la guerra de Troya cuando soldados griegos se escondieron dentro de un
caballo de madera para acceder dentro de las murallas de la ciudad del enemigo.
• Los Troyanos de acceso remoto permiten a un atacante obtener el control del sistema de la
víctima.
• Los troyanos de inhabilitación del software de seguridad están diseñados para detener o
eliminar programas de seguridad, como el software antivirus.
Los troyanos proxy pueden usarse para aprovechar recursos informáticos adicionales para
apoyar un ataque a gran escala, por ejemplo, para realizar un ataque de denegación de
servicio utilizando un vehículo llamado "botnet".
Botnets
Un botnet (un término derivado de "robot network") es una gran red distribuida de
ordenadores previamente comprometidos que pueden ser controlados simultáneamente para
lanzar ataques a gran escala, como un ataque de denegación de servicio, contra víctimas
seleccionadas.
Las botnets pueden contener cientos de miles (en algunos casos, millones) de equipos
individuales. Se han utilizado ampliamente por criminales para enviar mensajes de spam, por
activistas para atacar empresas y, en algunos casos, en nombre de agencias gubernamentales
para fines militares o políticos.
Descargas drive-by:
Una descarga drive-by es una infección de malware causada por un usuario que visita un sitio
web infectado. El término también puede utilizarse para describir un ataque provocado por
el usuario al hacer clic en una ventana emergente falsa colocada en el dispositivo cliente del
usuario. La mayoría de los ataques APT obtienen acceso a las empresas engañando al usuario
para visitar un sitio web infectado o para hacer clic en un archivo adjunto infectado o una
ventana emergente. La infección por una descarga drive-by es el resultado típico de un ataque
de ingeniería social a un usuario de TI.
Un watering hole es una forma de descarga drive-by que se dirige a un grupo de miembros de
una empresa objetivo. En este escenario, la carga se descarga cuando los miembros del grupo
navegan en sitios legítimos que están infectados.
Las vulnerabilidades de día cero son activos valiosos para quienes las descubren. Tambien
pueden venderse a grupos del crimen organizado o a agencias de inteligencia por cientos
de miles de dólares o utilizarse para organizar ataques de robo de información a víctimas.
La única defensa eficaz contra este ataque es un proceso de detección de malware que sea
capaz de analizar el comportamiento del código entrante (simulación en entorno de pruebas -
sandboxing).
1.5 Una breve historia corta de los ataques de APT
Es instructivo examinar la historia de las APT, ya que es posible obtener muchas lecciones
importantes para defenderse contra ellos en el futuro. El uso más antiguo del término
"amenaza persistente avanzada" surgió en el sector de gobierno de los Estados Unidos en
2005, para describir una nueva forma de ataque que se dirigía a empleados seleccionados y
los engañaba para que descargaran un archivo o accedieran a un sitio web infectado con el
software del caballo de Troya.
Estos primeros ataques pretendían en última instancia robar información de interés para los
servicios de inteligencia extranjeros, por lo que es muy probable que fueran patrocinados por
una agencia de inteligencia rival. Los ataques no empleaban formas nuevas de tecnología o
conocimientos. Simplemente explotaron las debilidades evidentes (en retrospectiva) en las
defensas de seguridad existentes.
La exposición subyacente en cada empresa atacada fue que no existía una protección eficaz
para evitar que un caballo de Troya implantado transmitiera información fuera de la empresa.
Los ataques diseñados para robar grandes cantidades de información a través de malware
automatizado, por lo tanto, fueron siempre una posibilidad, pero en la práctica se habían
encontrado pocos ataques y las organizaciones se sentían relativamente seguras detrás de los
cortafuegos de la empresa.
La falta de atención al riesgo futuro es una vulnerabilidad que existe en muchas disciplinas.
A menudo se dice, por ejemplo, que los ejércitos están diseñados para combatir en la guerra
anterior. Lo mismo sucede con la ciberseguridad. La mayoría, si no todas, de las medidas
de protección se basan en la experiencia pasada en lugar de en las necesidades futuras. Pero
ante un panorama de amenazas rápidamente cambiante, es importante mirar hacia el futuro
y anticiparse a nuevas formas de riesgo potencial en lugar de responder únicamente cuando
ocurren.
Los últimos capítulos de este libro examinarán la cuestión de cómo asegurarse de que las
medidas de seguridad sean adecuadas y necesarias. Por desgracia, no es tan fácil de lograr
en la práctica como podría parecer, en gran parte porque el gasto en medidas para mitigar el
riesgo futuro teórico es difícil de justificar ante los consejos de valoración de inversiones.
Volviendo a la historia de los ataques de APT, cabe destacar que gran parte del aumento en la
sofisticación de los ataques de malware se debe en gran medida a la aparición de los servicios
de inteligencia en el hacking informático y el malware. Estas agencias están mucho mejor
equipadas que los entusiastas individuales o los delincuentes de poca monta para desarrollar
malware ofensivo sofisticado. Su entrada efectivamente abrió la puerta a todos los actores,
incluyendo a criminales, activistas y, potencialmente, terroristas, demostrando que es posible
y exponiendo las vulnerabilidades de las empresas a determinados ataques sostenidos.
No es nuevo el que los servicios de inteligencia nacionales espíen en otros países. Ha estado
sucediendo durante miles de años. Pero, en el pasado, se logró principalmente por agentes
humanos o a través de la interceptación de las comunicaciones. Sin embargo, el crecimiento
de las redes informáticas y las bases de datos en los últimos treinta años ha transformado
el entorno de obtención de inteligencia. Ahora es más fácil reunir inteligencia mediante el
hackeo que a través de espías humanos.
Un relato fascinante de este particular conjunto de ataques se relata en el libro de 1989 The
Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage,5 por Clifford Stoll,
un gerente de informática en el Lawrence Berkeley National Laboratory, que tropezó con
la actividad al investigar una discrepancia menor de contabilidad en las cuentas de uso del
ordenador.
5
Stoll, Clifford; The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, Doubleday, EE. UU., 1989
Stoll descubrió que la intrusión venía de una universidad en Alemania Occidental a través de
un enlace por satélite. Instaló una trampa con detalles atractivos de un contrato ficticio de Star
Wars, que permitió a las autoridades de Alemania Occidental localizar al hacker, un estudiante
llamado Markus Hess, que había estado vendiendo la información robada a la KGB soviética.
Hess fue juzgado y declarado culpable de espionaje en 1990 y enviado a prisión.
Moonlight Maze
A finales del siglo pasado, una amplia serie de ataques contra sitios gubernamentales fue
descubierta por el gobierno de los Estados Unidos. Los ataques, con el nombre clave de
Moonlight Maze, habían pasado desapercibidos durante casi dos años, penetrando los
sistemas del Pentágono, la NASA y el Departamento de energía de los EE. UU., así como
universidades y laboratorios de investigación que realizaban investigación militar. Algunos
expertos señalan que estos ataques fueron tal vez el primer ejemplo importante de una APT,
aunque el término no era de uso común en ese momento.
Titan Rain
Titan Rain fue el nombre en clave dado por el gobierno de los EE. UU. a una serie de ataques
de espionaje cibernético lanzados en 2003 contra los contratistas de defensa de los EE. UU.,
incluyendo a aquellos en Lockheed Martin, Sandia National Laboratories, Redstone Arsenal
y la NASA. Se dice que los ataques fueron de origen chino, aunque el gobierno chino negó
cualquier implicación.
La novedad en los ataques que comenzaron a emerger en este momento era el nivel de
engaño y el uso de múltiples vectores de ataque (canales de ataque), que combinaban
ataques de ingeniería social bien investigados dirigidos a individuos específicos, con ataques
clandestinos de caballos de Troya, utilizando técnicas de malware que permitían eludir las
contramedidas de seguridad actuales.
La naturaleza sensible de los incidentes y los objetivos fomentó un manto de secretismo por
parte del gobierno, que era comprensible pero, en retrospectiva, lamentable, porque ayudó a
los autores a ampliar sus ataques para robar los datos de un espectro más amplio de empresas,
6
n un testimonio a un comité del Senado de los EE. UU. en asuntos de gobierno en marzo de 2000, James Adams, gerente general (CEO) de
E
iDEFENSE, una consultoría de inteligencia de seguridad, afirmó que la información robada, con un valor de decenas o cientos de millones
de dólares, fue enviada por Internet a Moscú para la venta al mejor postor.
Sykipot
Durante varios años, quizás desde 2006, pero no detectado hasta mucho más tarde, un ataque
de APT llamado Sykipot ha estado reuniendo y robando secretos y propiedad intelectual,
incluyendo información de diseño, financiera, producción y planificación estratégica. Los
ataques emplean correos electrónicos phishing que contienen un archivo adjunto malicioso
o un enlace a un sitio web infectado, así como vulnerabilidades de día cero.
Los ataques de Sykipot han sido dirigidos contra muchas compañías en los Estados
Unidos y en el Reino Unido, incluidas las que operan en sectores de defensa, informática,
telecomunicaciones, energía, productos químicos y gubernamentales. Un análisis de estos
ataques realizado en 2011 por AlienVault Labs indicó que la gran mayoría de los servidores
estaban radicados en China.7 Los objetivos y la información obtenida sugieren que una
agencia de inteligencia sería el probable beneficiario.
GhostNet
GhostNet fue una operación de espionaje cibernético a gran escala descubierta en marzo de
2009. Se informó que su infraestructura de mando y control estaba en gran parte en China,
aunque el gobierno chino ha negado cualquier implicación.
Los ataques de GhostNet fueron iniciados por un correo electrónico phishing que contenia
archivos adjuntos maliciosos que cargaron un caballo de Troya en el sistema de la víctima,
permitiendo la ejecución de comandos desde un sistema de mando y control remoto, que
descargó más malware para tomar el control completo del sistema comprometido. El malware
incluía la capacidad de utilizar dispositivos de grabación de audio y video para supervisar las
ubicaciones que alojaban los ordenadores comprometidos.
Algunos investigadores han sugerido que GhostNet podría haber sido una operación dirigida
por ciudadanos de China por razones económicas o patrióticas. Alternativamente, pudo haber
sido creado por agencias de inteligencia de otros países como Rusia o los Estados Unidos.
Un factor que se encuentra consistentemente al intentar identificar el origen de los ataques de
7
lasco, Jaime, “Are the Sykipot’s authors obsessed with next generation US drones?,” AlienVault Labs Blog, EE. UU.,
B
20 de diciembre de 2011, labs.alienvault.com/labs/index.php/2011/are-the-sykipots-authors-obsessed-with-next-
generation-us-drones
APT es la preponderancia de rumores sin fundamento o sesgos relacionados con los ataques.
Cada especialista tiene una opinión diferente sobre quién está detrás de ellos.
Operación Aurora
Operación Aurora (se considera que es el nombre original de la operación) fue una serie
de ataques cibernéticos lanzados en el 2009 que, según se informa, se originó en China. El
ataque utiliza una vulnerabilidad de día cero para instalar un caballo de Troya malicioso
llamado Hydraq diseñado para robar información.
Las primeras víctimas de los ataques de APT generalmente han sido reacias a dar a conocer
su experiencia o a enfrentarse a los presuntos responsables. El temor de contrariar a sus
atacantes o disgustar a sus clientes y accionistas desalentaron los anuncios públicos y las
acciones de represalia, lo que sirvió únicamente para alentar a los atacantes para ir aún más
lejos. Dicho sea en su favor, Google fue una excepción a esta cultura del silencio. En enero
de 2010, Google divulgó los ataques, afirmando que también habían sido atacadas otras 20
compañías, aunque ahora la creencia generalizada es que el número era mucho mayor. Se
sabía que las víctimas incluían a Adobe Systems, Juniper Networks y Rackspace. Muchas
otras compañías que fueron atacadas prefirieron permanecer en el anonimato, aunque
informes indican que incluían a los principales bancos, contratistas de defensa, proveedores
de seguridad, empresas de petróleo y gas, así como una cantidad de otras empresas de
tecnología. Las cuentas de correo electrónico de activistas chinos de derechos humanos
también fueron atacadas.
Los investigadores de McAfee informaron que el objetivo principal del ataque era obtener
acceso y modificar el código fuente de los repositorios de estas compañías de alta tecnología,
seguridad y contratistas de defensa. En ese momento, estos repositorios, en general, no
estaban protegidos con un alto estándar de seguridad.
Dando a conocer sus experiencias, Google ayudó a promover la concienciación del riesgo
y a fomentar la inversión en mejores contramedidas de seguridad. Muchas empresas siguen
reticentes a admitir ser víctimas de ataques similares, aunque los requisitos de cumplimiento
han ido obligando progresivamente a las empresas a ser más abiertas sobre sus incidentes de
seguridad.
Gozi
El virus Gozi, denominado así por los primeros expertos en seguridad que lo descubrieron
en el año 2007, fue un virus de banca que infectó a más de un millón de ordenadores en los
Estados Unidos, Reino Unido, Alemania, Polonia, Francia, Finlandia, Italia, Turquía y en
otros lugares, causando decenas de millones de dólares en daños. Los sistemas de la NASA
también fueron infectados por los ataques. El malware fue alquilado o vendido a bandas
criminales por Nikita Kuzmin, un ciudadano ruso que creó el virus Gozi con el apoyo de
cómplices de países vecinos.
Nikita Kuzmin fue detenido en noviembre de 2010 en los Estados Unidos y se declaró
culpable de los cargos de intrusión en ordenadores y fraude, pero los bancos han seguido
teniendo ataques de Gozi, que ha continuado mejorando. Una nueva variante de Gozi, que
apareció a principios de 2013, infecta el registro maestro de arranque del disco duro, un ataque
que no puede erradicarse fácilmente incluso al formatear y reinstalar el sistema operativo.
Zeus
Descubierto por primera vez en 2007, cuando fue utilizado para robar información del
Departamento de transporte, Zeus es un caballo de Troya utilizado para robar credenciales
utilizadas para pagos bancarios y datos de tarjetas de crédito o para acceder a las redes
sociales. Zeus no es un ataque específico de una sola fuente, sino un kit de herramientas
completo que ofrece una amplia gama de herramientas automáticas y manuales utilizadas por
los delincuentes como parte de un ataque de APT.
Las APT creadas con Zeus se pueden propagar a las víctimas a través de un correo
electrónico fraudulento (phishing) o una visita a un sitio infectado. El Troyano crea entonces
un ataque de “hombre en el navegador” para capturar las pulsaciones del teclado y los
datos del formulario web de los usuarios. Usando esta técnica, se informa que Zeus ha
comprometido a decenas de miles de cuentas de FTP en los sitios web de las empresas e
infectado varios millones de ordenadores de los clientes.
En 2010, más de 100 personas fueron detenidas en los Estados Unidos, Reino Unido y
Ucrania por cargos de conspiración por cometer fraude bancario y blanqueo de dinero
después de utilizar Zeus para robar unos 70 millones de dólares.
SpyEye
En 2009, surgió un nuevo Troyano bancario, conocido como SpyEye, vendido al por menor
por 500 dólares en foros clandestinos rusos. Al igual que Zeus, SpyEye está diseñado para
robar las credenciales del cliente e iniciar transacciones cuando una víctima inicia una sesión
en su cuenta bancaria. Una variante de SpyEye descubierta en 2012 fue capaz de modificar
las pantallas de estados de cuenta bancarios y saldos. Las variantes más nuevas de Zeus y de
SpyEye, generalmente con un aumento de los niveles de sofisticación, siguen apareciendo en
respuesta a la mejora de las defensas de seguridad.8
8
Por ejemplo, ver Eurograbber, cubierto más adelante en este capítulo.
Uno de los servidores de mando y control de SpyEye ubicado en Atlanta (Georgia, EE. UU.)
supuestamente contenía información de 253 instituciones financieras diferentes.
Ataque a RSA
En marzo de 2011, aproximadamente un mes después de ser sede de la conferencia de
ciberseguridad más grande del mundo, RSA (la división de seguridad de EMC) anunció que
había sido víctima de un ataque de APT exitoso. Aunque muchos expertos no pondrían este
ataque en la misma categoría que algunos de los ataques de recopilación de inteligencia más
sofisticados que se han organizado contra los gobiernos y empresas de Fortune 500, esto fue
claramente un ataque profesional, dirigido por un importante actor de APT.
El ataque en sí era relativamente simple, pero eficaz: Fue iniciado por un correo electrónico
fraudulento explotando una vulnerabilidad de Adobe flash incrustada en una hoja de cálculo
adjunta. El resultado de la intrusión fue el robo de información confidencial, incluyendo datos
relativos a las mejores ventas de tecnología de autenticación SecurID de RSA. El ataque
utilizó una pieza de malware llamada PoisonIvy, que en esa época era un troyano de acceso
remoto ampliamente disponible que había sido utilizado para robar información de empresas
de los sectores químicos y del motor, así como de organizaciones de derechos humanos.
Las consecuencias de este ataque fueron potencialmente muy perjudiciales para RSA y
los clientes de su producto de seguridad de autenticación. Afortunadamente, RSA actuó
rápidamente para contener el daño, informando inmediatamente a los clientes y asesorándolos
para tomar medidas para fortalecer sus implementaciones de SecurID. EMC informó que
había gastado por lo menos 66 millones de dólares en remediarlo. Según los ejecutivos de
RSA, las redes de sus clientes no fueron infectadas, aunque el incidente eventualmente afectó
a más de 700 organizaciones y un analista de Gartner estimó que el coste para la industria
bancaria en EE. UU. fue de 50 a 100 millones de dólares en costes de reemplazo de los
tokens nuevos.
El gusano Stuxnet
El gusano Stuxnet, descubierto en junio de 2010, fue la primera pieza de malware encontrada
en el dominio público que está diseñado para espiar y subvertir los sistemas de proceso
industrial. Se afirmó que Stuxnet había sido creado por los Estados Unidos e Israel para
atacar las instalaciones nucleares de Irán.9 Se informó que el malware había causado daños
considerables a las centrifugadoras en el laboratorio de enriquecimiento nuclear de Natanz
en Irán.
Stuxnet fue diseñado para propagarse inicialmente a través de una unidad USB infectada y
luego usar otras vulnerabilidades para infectar o actualizar otros ordenadores. Fue controlado
a través de dos sitios web en Dinamarca y Malasia. El malware contenía cuatro exploits
diferentes de día cero, una inversión considerable para un solo ataque porque esos exploits
pueden venderse por cientos de miles de dólares.
El tamaño y la sofisticación del código indicaron que el coste del desarrollo habría sido
sustancial, requiriendo alrededor de una docena de años o más. Otros derivados de Stuxnet,
llamados Duqu y Flame, fueron descubiertos durante los siguientes dos años, lo que sugiere
que estos ataques eran parte de un programa de desarrollo continuo.
Duqu
Duqu fue descubierto en el 2011 y denominado por el prefijo ~DQ, debido a los nombres
de los archivos que crea. El código se ha encontrado en un número limitado de empresas,
incluyendo aquellas involucradas en la fabricación de sistemas de control industriales.
9
l 1 de junio de 2012, un artículo en The New York Times informó que Stuxnet es parte de una operación de inteligencia de
E
Estados Unidos e Israel denominada "operación Juegos Olímpicos," que comenzó bajo el mandato del Presidente
George Bush W. y se amplió bajo el mandato del Presidente Barack Obama.
El análisis demostró que es muy similar a Stuxnet, sugiriendo que fue creado por los mismos
autores o por una fuente que tenía acceso al código fuente de Stuxnet. Las direcciones de
los servidores estaban dispersas en muchos países, incluyendo Alemania, Bélgica, Filipinas,
India y China, lo que sugiere que algunos sitios fueron seleccionados para ayudar a ocultar la
verdadera fuente de los ataques.
Duqu está diseñado para recopilar información en lugar de causar daño. En particular, captura
la información como las pulsaciones del teclado y la información del sistema, probablemente
con el fin de permitir un futuro ataque de APT contra los sistemas de control industriales.
Los investigadores de Kaspersky Lab han señalado que, a diferencia de muchas otras
piezas de malware, el código comparte semejanzas con el software comercial producido
profesionalmente, lo que sugiere que fue desarrollado por profesionales de software en lugar
de hackers informáticos.
El análisis de Duqu también indicó que el malware fue construido sobre una plataforma
anterior llamada Tilded (debido la ~d al principio de los nombres de archivo que crea), que se
originó desde 2007.
Flame
Flame fue descubierto por el equipo nacional de respuesta a emergencias informáticas de
Irán en 2012. Se utilizó para organizar ataques sofisticados de ciberespionaje en ministerios
gubernamentales, instituciones educativas e individuos en países del Medio Oriente,
infectando a alrededor de 1,000 máquinas en Irán, Israel, Sudán, Siria, Líbano, Arabia
Saudita y Egipto.
El malware Flame era grande y complejo, diseñado para propagarse a través de redes locales
o a través de memorias USB. Podía grabar audio, capturas de pantalla, actividad del teclado y
tráfico de red, incluyendo conversaciones de Skype®. También era capaz de robar información
de contacto de cualquier dispositivo cercano con Bluetooth® habilitado.
El malware fue diseñado para ser eliminado al instante por una instrucción remota desde el
servidor central de mando y control. Los ataques cesaron cuando el malware fue divulgado
públicamente. El Washington Post afirmó que Flame fue desarrollado conjuntamente por
militares de la Agencia de Seguridad Nacional de los Estados Unidos, la CIA y las fuerzas
armadas de Israel por lo menos cinco años antes del descubrimiento, aunque esto fue negado
oficialmente.
Octubre Rojo
Octubre Rojo, un programa de malware diseñado para robar secretos de gobierno y
organizaciones de investigación (incluyendo datos de dispositivos móviles), fue descubierto
en octubre de 2012 por la firma rusa Kaspersky Lab. Se cree que han estado operando en
todo el mundo durante al menos cinco años antes de su descubrimiento, robando una amplia
variedad de información, incluyendo secretos diplomáticos, organizaciones de comercio,
Los ataques de Octubre Rojo fueron diseñados para dirigirse a múltiples plataformas,
incluyendo routers, conmutadores, teléfonos móviles y dispositivos de almacenamiento
externo y adaptar sus acciones a entornos de software diferentes. Entre otras cosas, el
malware dirigido a archivos relacionados con los sistemas criptográficos, incluyendo sistemas
utilizados por los departamentos de la OTAN, la Unión Europea, el Parlamento Europeo y la
Comisión Europea.
El análisis del malware realizado por Kaspersky Lab descubrió un sofisticado marco de
más de 30 categorías diferentes de módulo, cada una diseñada para llevar a cabo una tarea
específica, como identificar el entorno del software, infectar equipos, instalar puertas traseras,
buscar archivos, reunir información, robar credenciales, grabar las pulsaciones de teclado
o subir los archivos obtenidos. También incluye un software especial para permitir que
los equipos infectados resuciten automáticamente al recibir un archivo adjunto de correo
electrónico en caso de que el cuerpo principal del malware haya sido descubierto y eliminado,
o el sistema parcheado.
Existen opiniones contradictorias entre los expertos sobre la fuente, que sigue siendo
desconocida. El análisis del malware indicó que era diferente del código encontrado en
Stuxnet, Duqu y Flame, lo que sugiere que fue creado por una fuente diferente.
Eurograbber
En diciembre de 2012, los proveedores de seguridad Versafe y Checkpoint publicaron detalles
de un sofisticado troyano llamado Eurograbber, que había robado unos 36 millones de euros
de más de 30,000 clientes en más de 30 bancos de toda Europa. Los ataques comenzaron en
Italia y se extendieron rápidamente a España y Holanda.
Este ataque comenzó por infectar los ordenadores de los clientes del banco a través de un
correo electrónico fraudulento (phishing) que descargaba un Troyano (una variante de Zeus)
diseñado para reconocer e inyectar instrucciones en operaciones bancarias, desviando dinero
a una cuenta "mula" propiedad de los criminales.
El ataque fue capaz de burlar el sistema de autenticación basado en SMS utilizado por
los bancos objetivo pidiendo al usuario instalar un nuevo software de seguridad en su
dispositivo móvil.
Otro factor es que las técnicas y código fuente utilizados en ataques anteriores, a menudo
están disponibles a través de la venta o la publicación en Internet. Los ataques se replicarán
o evolucionarán más rápido mientras los atacantes de todos los tipos compiten por explotar
las vulnerabilidades y brechas publicadas antes de que sus víctimas tengan la oportunidad
de eliminar los fallos en su infraestructura. Las herramientas de análisis de vulnerabilidades
también están disponibles para cualquier aspirante a atacante para permitirle buscar
debilidades en los sistemas de red. La descarga de algunas herramientas es gratuita.
Los ataques sofisticados a los sistemas bancarios también pueden afectar a los ciudadanos.
Los consumidores son un objetivo mucho más suave que las instituciones financieras. Los
resultados de un fraude a un cliente individual del banco pueden ser relativamente pequeños,
pero hay muchos millones de ellos y el malware automatizado facilita organizar ataques
a gran escala.
10
trobel, Warren; Deborah Charles; “With troops and techies, U.S. prepares for cyber warfare,” Reuters, 7 junio de 2013,
S
consultado el 22 de agosto de 2013, in.reuters.com/article/2013/06/07/usa-cyberwar-idINL1N0EF0NF20130607
La figura 2 muestra los principales actores detrás de las amenazas de APT. Establece sus
objetivos generales, así como el posible impacto al negocio de sus ataques. Cada fuente de
amenaza se examina con más detalle en los siguientes párrafos.
Parte de este contenido puede parecer un poco dramático y tal vez alarmante para los gerentes
de negocios cotidianos. Podría ser percibido como una amenaza remota para un gerente de
seguridad con los pies en la tierra o un auditor con necesidades inmediatas centrado en los
incidentes cotidianos que son resultado de descuidos del usuario, errores de operación o fallos
del equipo.
Pero los objetivos, el alcance y los impactos de los ataques profesionales se están volviendo
cada vez más amplios, por lo que es importante que todos los gerentes empresariales y los
consumidores individuales comprendan la fuente y los motivos del riesgo de APT y sean
capaces de evaluar la probabilidad y el impacto, sin importar lo remoto que pueda parecer
en el presente.
02
Figura
Fuentes de la
amenaza de APT
Agencias de inteligencia
Al hablar de espionaje con una persona normal, es probable que evoque un modelo mental
del Agente 007, James Bond. Pero el espionaje es ahora una parte fundamental de los
negocios internacionales modernos. El robo de información a compañías patrocinado por el
Estado es una amenaza clara y presente para una empresa que posee o maneja la propiedad
de información valiosa, sin importar qué tan grandes sean o dónde estén ubicados.
Una barrera importante para mitigar esta amenaza para muchas empresas es que hablar de
espionaje puede ser percibido por los gerentes como una idea fantasiosa en lugar de una
realidad de negocios concreta. Los evangelistas de la seguridad enfrentan el duro desafío
de convencer a los gerentes y usuarios de TI para que tomen la amenaza seriamente.
Muchas personas son comprensiblemente reacias a responder al riesgo que está fuera de
su experiencia. Con el tiempo, sin embargo, se llegan a familiarizar con el tema porque un
aumento en los ataques aumentará el nivel de concienciación de los APT.
La amenaza al negocio es que los secretos comerciales son muy vulnerables al robo y copia,
a menudo con impacto sustancial en el negocio. Los beneficios para un país de replicar los
secretos tecnológicos industriales de otra nación han sido claros para los gobiernos con una
apreciación de la historia. Los ejemplos retroceden siglos atrás. En 1712, Francois Xavier
d'Entrecolles, un misionero jesuita francés, robó la técnica china de la fabricación de la
porcelana y la trajo a Europa, conduciendo al desarrollo de la porcelana de Meissen y una
consecuente reducción de las exportaciones de porcelana china.
11
Vea www.intelligence.gov para obtener más detalles.
la ventaja de permitir que cantidades masivas de información sean robadas de manera remota,
barata, subrepticia y con poco riesgo personal para los autores. En los últimos años, las
agencias de seguridad nacional han advertido a sus industrias que muchos estados extranjeros
están ahora equipados y motivados para llevar a cabo ataques sofisticados de ciberespionaje
para robar secretos comerciales. Por ejemplo, la agencia de seguridad nacional británica MI5
advierte a las empresas del Reino Unido que:
Una amplia gama de actores hostiles usan el espacio ciber para dirigirse contra el
Reino Unido. Los estados extranjeros están generalmente equipados para llevar a
cabo el ciberespionaje y los ataques a las redes de ordenadores más perjudiciales.
Los actores hostiles pueden dirigirse al gobierno, los militares, las empresas y
los particulares. Utilizan redes de ordenadores para robar grandes cantidades
de datos sensibles sin ser detectados. Esto podría incluir proyectos de propiedad
intelectual, investigación y desarrollo, datos estratégicos sobre los planes de fusión
y adquisición de la empresa o cualquier otra información que el propietario quiera
proteger.12
No todos los países establecen las mismas prioridades y objetivos para sus servicios de
inteligencia. Las agencias occidentales, por ejemplo, ponen una prioridad alta en inteligencia
para apoyar las iniciativas políticas, de defensa y contraterrorismo. En cambio, muchos
Estados en el hemisferio oriental ponen una prioridad más alta en el robo de secretos
comerciales para apoyar a las industrias propiedad del Estado. Es probable que se dirijan y
exploten una amplia variedad de propiedad intelectual comercial además de los objetivos
más tradicionales de inteligencia política y militar. China y Rusia, en particular, han sido
reiteradamente acusadas de participar en el espionaje a gran escala en empresas comerciales.
Mandiant, una consultora especializada, afirma que su análisis de amenazas de APT lleva a
concluir que es probable que la principal fuente de ataques es la República Popular de China,
específicamente la Segunda Oficina del tercer departamento del departamento de personal
general del ejército de liberación popular, conocido comúnmente por su designación de
cubierta militar de unidad como unidad 61398. Mandiant cree que esta unidad ha robado
sistemáticamente cientos de terabytes de datos de por lo menos 141 organizaciones.
El hecho desafortunado para las empresas de negocios es que los beneficios del
12
Ver los ciberconsejos en el sitio oficial del MI5 en www.mi5.gov.uk.
ciberespionaje son simplemente demasiado grandes para que las agencias de seguridad
nacional se puedan resistir. De hecho, probablemente parecería bastante derrochador para
cualquier servicio de inteligencia omitir los medios modernos más eficaces para reunir de
manera encubierta información secreta sobre los objetivos geográficamente remotos. No hay
ningún indicio de que la amenaza de espionaje comercial disminuirá a corto, medio o largo
plazo. Como el famoso futurista Alvin Toffler dijo: “El siglo 21 estará dominado por las
guerras de la información y el aumento del espionaje económico y financiero.
Bandas criminales
La delincuencia organizada es un negocio muy diferente de espionaje patrocinado por el
Estado, pero hay similitudes en la gama de herramientas y técnicas empleadas y, en algunos
casos, los usos finales de la inteligencia reunida. Una investigación realizada por Verizon, por
ejemplo, ha indicado que el cibercrimen con motivaciones financieras representa el 75% de
las brechas publicadas (el espionaje financiado por el Estado ocupó el segundo lugar).
Sin embargo, no todos los criminales se enfocan en las víctimas de esa manera sostenida.
Muchos crímenes son de naturaleza oportunista debido a que muchas bandas criminales
prefieren buscar y aprovechar los objetivos más suaves que pueda encontrar. Este tipo de
delitos pueden ser comparados con un globo: Presiónalo en un solo lugar y al instante se
infla en algún otro lugar. En efecto, puede ser cambiado, pero no puede ser erradicado. Pero
un objetivo con probabilidades de ser una víctima de extorsión como una empresa de apuestas
en línea, o cualquier fuente rica de secretos comerciales o datos de identidad personal, tiene
una gran probabilidad de convertirse eventualmente en el objetivo de un ataque sostenido de
una banda del crimen organizado.
Es importante tener en cuenta también que las bandas criminales que organizan ataques
de APT no necesariamente roban la información para su propio consumo. La venta de
credenciales de identidad robadas y de inteligencia militar son y seguirán siendo líneas de
negocio exitosas para los grupos del crimen organizado, pero estos grupos también tienen
estrechos contactos con los servicios de inteligencia y los agentes de información,
y a menudo venden los secretos robados al mejor postor.
Es probable que esta tendencia de colaboración entre criminales y espías continúe y sea aún
13
rekel, Bryan, Patton Adams; George Bakos; “Occupying the Information High Ground: Chinese Capabilities for Computer Network
K
Operations and Cyber Espionage,” prepared for the US-China Economic and Security Review Commission by Northrop Grumman
Corporation, EE. UU., 2012, origin.www.uscc.gov/sites/default/files/Research/USCC_Report_Chinese_Capabilities_for_Computer_
Network_Operations_and_Cyber_%20Espionage.pdf
Terroristas
El objetivo del terrorismo es producir terror generalizado a través de la muerte, la destrucción
y la perturbación. Los dos últimos objetivos se logra muy eficientemente a través de la
destrucción o manipulación de los sistemas de procesos industriales que controlan servicios
esenciales para los ciudadanos, como energía y telecomunicaciones.
Tal amenaza representa uno de los riesgos más graves para el negocio y la sociedad porque
muchos sistemas de datos de control de supervisión y adquisición de datos (SCADA) que
controlan los procesos industriales son potencialmente vulnerables a ciberataques bien
planeados y deliberados, que podrían ocasionar la interrupción generalizada de servicios al
consumidor, así como daños a la infraestructura crítica y posible pérdida de vidas.
Evaluar el riesgo potencial de cualquier ataque terrorista es difícil porque la mayoría son
impredecibles por naturaleza, constantemente cambiantes y a menudo dirigidos contra las
comunidades generales con víctimas seleccionadas al azar. Lo único que podemos decir
con certeza es que el riesgo está aumentando continuamente, aunque la percepción general
se mantendrá en gran medida complaciente siempre que haya una ausencia de incidentes
importantes visibles.
Activistas
Cuando se trata de aprovechar la tecnología, los grupos activistas han estado a menudo un
paso adelante en el juego, y esta tendencia va en aumento incluso a pesar de que la naturaleza
de los ataques de los activistas o “hackers activistas” ha cambiado de manera significativa.
Por ejemplo, El Informe de Investigación de Filtraciones de Datos del 2013 de Verizon14
informó que la proporción de los incidentes que involucran a los llamados hackers activistas
se mantenía estable, aunque también señaló que el motivo por el que muchos activistas
habían cambiado notablemente del robo de datos a la interrupción, mediante enfoques como
los ataques distribuidos de denegación de servicio (DDoS) contra los objetivos de su interés.
El término "hacktivismo" describe el uso las vulnerabilidades de los ataques a la red de
14
Verizon, “2013 Data Breach Investigations Report,” EE. UU. 2013, www.verizonenterprise.com/DBIR/2013
ordenadores para promover objetivos políticos o éticos. Está diseñado para servir como una
forma moderna de protesta, publicidad o desobediencia civil. Estos grupos han alterado sitios
web de empresas específicas, realizaron ataques de denegación de servicio o publicaron
información confidencial robada a sus víctimas.
Las actividades de los grupos de hackers activistas como Anonymous han sido bien
documentadas en la prensa. Un punto clave a considerar es que estos grupos responden
rápidamente a los acontecimientos, cambiando al instante los objetivos de una empresa a
otra o tornando de manera inmediata su atención hacia cualquier país que pudiera ofender
sus valores. Las empresas pueden ser el objetivo de un ataque debido a su comportamiento,
imagen, industria, ubicación o asociaciones.
Los ataques de denegación de servicio por grupos de hackers activistas pueden tener
graves consecuencias para las víctimas. Un ataque de nueve días por el grupo de hackers
Anonymous a PayPal en 2012 resultó en una pérdida informada de más de 5.3 millones de
dólares. Eventualmente muchos de los individuos implicados serán atrapados y condenados,
aunque es poco probable desalentar a las futuras generaciones que pretenden transmitir un
ideal político o ético.
Fuerzas armadas
La guerra electrónica, las operaciones de información y la recogida de información de
inteligencia han sido durante mucho tiempo parte integral de las capacidades de las
fuerzas armadas en todo el mundo. Sin embargo, en la última década, las fuerzas militares
han comenzado a desarrollar habilidades más sofisticadas de ciberguerra, esencialmente
ampliando el escenario militar de operaciones al ciberespacio.
Escrito en el The Wall Street Journal en junio de 2013, Anders Fogh Rasmussen, Secretario
General de la OTAN, abogó por un rol de mayor ciberdefensa para la OTAN, basándose
en el trabajo del Centro de excelencia de ciberdefensa cooperativa (CCD COE) en Tallinn,
Estonia, que se creó a raíz del acoso cibernético de cuatro días a Estonia en 2007.15 Él añadió:
"La OTAN protegió a sus miembros durante los años del Muro de Berlín. Debemos estar
preparados para protegerlos durante la era del cortafuegos”.
Alrededor de la misma época, Reuters informó que Estados Unidos ha establecido un cuartel
general de 358 millones de dólares en Fort Meade, Maryland, para el mando cibernético de
las fuerzas armadas y tiene el objetivo de equiparlo con más de 3,000 soldados cibernéticos
para finales de 2015.16 Se prevé que la mayoría de estas tropas deben concentrarse en la
defensa, detectar y detener las intrusiones informáticas a las redes militares y otras redes
importantes de los EE. UU., pero también habrá un creciente interés en las capacidades
ofensivas mientras que los mandos militares refuerzan el plan para ejecutar golpes
15
asmussen, Anders Fogh; “NATO’s Next War—in Cyberspace,” The Wall Street Journal, 2 de junio de 2013, consultado el
R
22 de agosto de 2013, online.wsj.com/article/SB10001424127887323855804578508894129031084.html
16
Rasmussen, Anders Fogh; “NATO’s SIGUIENTE War—in Cyberspace,” The Wall CALLE JOURNAL, 2 de junio de 2013, consultado
22 de agosto de 2013, online.wsj.com/article/SB10001424127887323855804578508894129031084.html
Al hablar en una cumbre de Reuters sobre ciberseguridad en mayo de 2013, el general del
ejército de los EE.UU. Keith Alexander, jefe del mando cibernético, fue citado diciendo:
"Vamos a capacitarlos al más alto nivel posible y no solamente en defensa, sino en ambas
partes. Es necesario tener eso.”17
La República Popular de China es conocida por adoptar con entusiasmo las habilidades de la
ciberguerra. Hace dos décadas el ejército de liberación popular (PLA) identificó la necesidad
de modernizar su doctrina y estructura y se embarcó en una "revolución en asuntos militares".
Desarrollar una fuerte capacidad de alta tecnología es un componente integral de su nueva
doctrina militar. La revista The Economist informa que China tiene planes de “ganar las
guerras de la información en la mitad del siglo XXI”.18 El informe de Northrop Grumman19
preparado para la Comisión de Revisión en Economía y Seguridad EE.UU.-China señala que:
“Se ha informado que el ejército de Liberación Popular de China ha adoptado la idea de que
la manera correcta de luchar en la guerra se basa en la capacidad de ejercer el control sobre la
información y los sistemas de información de un adversario, a menudo de manera preventiva”.
Se afirma ampliamente que China es una fuente importante de ciberataques, pero el gobierno
chino no es el único que acoge la ciberguerra. Además de los Estados Unidos, que se señala
está invirtiendo en el desarrollo de sus habilidades cibernéticas militares, hay indicios de que
Rusia, Israel, Corea del Norte e Irán también construyen capacidades importantes
Los ciberataques pueden utilizarse para alterar o dañar los sistemas de información y su
infraestructura de apoyo. Este tipo de ataques pueden variar desde sencillos ataques de
denegación de servicio hasta sofisticados intentos de manipular los sistemas de control de
procesos industriales. Este es un territorio nuevo para todos los jugadores. El CCD COE de la
OTAN en Tallinn, Estonia, ha publicado un manual sobre el tema, pero hay muy poco sobre
la forma de establecer leyes o acuerdos para guiar las reglas de contratación responsable. A
diferencia de las anteriores extensiones del campo de batalla militar hacia el aire y el espacio,
los principios existentes de disuasión y respuesta proporcional son difíciles de aplicar en
el ciberespacio. Los ataques son mucho más fáciles de ocultar, burlar o negar cuando son
lanzados a través de las redes digitales.
Los ataques militares de APT pueden formar parte de una operación de reconocimiento
17
trobel, Warren; Deborah Charles; “With troops and techies, U.S. prepares for cyber warfare,” Reuters, 7 junio de 2013, consultado el 22 de
S
agosto de 2013, in.reuters.com/article/2013/06/07/usa-cyberwar-idINL1N0EF0NF20130607
18
“Cyberwar: War in the Fifth Domain,” The Economist, 1 de julio de 2010, consultado el 22 de agosto de 2013,
www.economist.com/node/16478792
19
Krekel, Bryan, Patton Adams; George Bakos; “Occupying the Information High Ground: Chinese Capabilities for Computer Network
Operations and Cyber Espionage,” prepared for the US-China Economic and Security Review Commission by Northrop Grumman
Corporation, EE. UU., 2012, origin.www.uscc.gov/sites/default/files/Research/USCC_Report_Chinese_Capabilities_for_Computer_
Network_Operations_and_Cyber_%20Espionage.pdf
para reunir inteligencia o una misión para instalar una puerta trasera o caballo de Troya
para ayudar a futuros ataques. A primera vista, estos ataques parecen perturbadores, aunque
no inmediatamente amenazantes, pero es necesario recordar que el objetivo último de la
ciberguerra es causarle daño a un enemigo. Cualquier intrusión de una red civil por las
fuerzas armadas debe ser reportada a una agencia de seguridad nacional adecuada, sobre todo
porque las consecuencias podrían ser aún más graves para las partes interesadas fuera de la
organización.
03
Objetivos de los
Figura
ataques de APT
durante 2012
■
A Aeroespacial y defensa
■
E Energía, petróleo y gas
O A
■
F Finanzas
■
C Hardware y software
informático
E ■
L Servicios legales y de consultoría
P
■
M Medios y entretenimiento
T ■
T Telecomunicaciones
F ■ Farmacéutica
P
M
L C ■
O Otro
20
Mandiant, “M-Trends® 2013: Attack the Security Gap™,” EE. UU., 2013, www.mandiant.com/resources/m-trends
así como en todas las regiones geográficas que contienen activos de alto valor. El personal de
todos los niveles de antigüedad, desde los auxiliares administrativos hasta los altos ejecutivos,
pueden ser seleccionados como objetivos para un ataque de spear phishing. Es posible que
las pequeñas compañías y los contratistas se vean impactados porque son proveedores de
servicios para la víctima elegida. Las personas pueden ser seleccionadas si se considera que
son un posible puente para obtener acceso al objetivo final.
Ninguna industria con secretos valiosos u otras formas de ventaja comercial que pueda
copiarse o socavarse mediante espionaje está a salvo de un ataque de APT. Ninguna empresa
que controle transferencias de dinero, que procese datos de tarjetas de crédito o almacene
información de identificación personal de personas puede resguardarse de los ataques
criminales. Y ninguna industria que suministre o soporte una infraestructura nacional crítica
es inmune a una intrusión de ciber soldados.
Los ataques de APT a menudo abarcan organizaciones de terceros que proveen servicios a las
empresas objetivo. Los proveedores pueden ser percibidos por un atacante como el talón de
Aquiles de las grandes empresas y departamentos gubernamentales, porque generalmente están
menos protegidos. No importa qué tan eficaz pueda ser la seguridad del perímetro externo de
la empresa, puede ser inútil a menos que se extienda a través de su cadena de suministro.
En mayo de 2013, Australian Broadcasting Corporation informó que los planos para el
edificio de una organización de inteligencia de seguridad australiana de 630 millones de
dólares australianos habían sido robados a través de un ciberataque a un contratista de obras.21
La información robada incluía datos de cableado de comunicaciones, ubicaciones del servidor
y sistemas de seguridad. Se informó que el ataque fue rastreado hasta un servidor chino.
La exposición a ataques de spear phishing se puede extender incluso hasta el personal más
junior de las empresas. Por ejemplo, las estadísticas obtenidas por Symantec indican que más
de la mitad de todos los objetivos de las APT son asistentes personales o personal junior en
funciones de ventas, relaciones públicas o reclutamiento.22 Estas personas son seleccionadas
porque son fáciles de contactar y a menudo tienen acceso a los altos ejecutivos y a áreas
específicas dentro de la organización.
21
“ Hacked!” Four Corners, Australian Broadcasting Corporation, 27 de mayo de 2013,
http://www.abc.net.au/4corners/stories/2013/05/27/3766576.htm
22
Symantec, 2013 Internet Security Threat Report, volumen 18, consultado el 22 de agosto de 2013,
www.symantec.com/security_response/publications/threatreport.jsp
Las intrusiones a largo plazo por las agencias de inteligencia bien podrían dar como
resultado un patrón del creciente daño al negocio. Consideremos, por ejemplo, cómo podría
evolucionar la siguiente secuencia de acontecimientos durante varios años:
• La primera fase de un ataque de APT comienza con una ola de recopilación de información
de inteligencia, sin daños inmediatos al negocio. Esa actividad podría incluso provocar que
cínicamente los gerentes de negocios respondan "¿y qué?”.
• Las fases posteriores de la actividad de APT generan una mayor preocupación hacia los
robos enfocados de información secreta que amenace las negociaciones a corto plazo y que
abra la posibilidad de que un competidor extranjero explote la propiedad intelectual robada.
• La fase final de un ataque de APT es potencialmente la más seria porque la empresa
objetivo se encuentra en competencia con un rival que tiene acceso a sus sistemas de
información y que puede leer correos electrónicos, datos de los clientes y propuestas
comerciales, e incluso dañar las operaciones del negocio si lo desea.
Sin embargo, hay precedentes, investigaciones y técnicas que pueden usarse para ayudar
a calcular los costes a largo plazo de una brecha importante. El instituto Ponemon, un
organismo independiente de investigación, publica una serie de estadísticas para ayudar
a cuantificar el impacto económico de los ciberataques.23 El instituto calcula que el coste
promedio anual del cibercrimen a través de 56 organizaciones en el 2012 fue de 8.9 millones
de dólares, con un rango de 1.4 millones a 46 millones.
23
Ponemon Institute publica informes anuales sobre el coste del cibercrimen; ver www.ponemon.org.
marcadas diferencias en su modus operandi. Una confusión adicional es que los activistas
y grupos terroristas pueden tener objetivos y motivos muy diferentes mientras comparten
semejanzas en la naturaleza de sus ataques.
Una consecuencia de esto es que la posible fuente y motivo de un ataque pueden ser difíciles
de juzgar por las características del incidente mismo. Otro punto es que es posible que las
evaluaciones de riesgo de APT varíen significativamente en cuanto a probabilidad e impacto
de una compañía a otra, aunque las medidas de seguridad requeridas para prevenir, detectar y
responder a éstos pueden ser bastante similares.
La realización de una evaluación del riesgo de APT está cubierta extensamente en el capítulo
2 de este libro. Determinar cómo mitigar el riesgo asociado con APT comienza con un buen
entendimiento de sus características, las mismas que se discuten en los siguientes párrafos.
Buena investigación
Es una suposición segura que la mayoría de las agencias que lanzan una APT investigaron
a profundidad el mercado y determinaron precisamente qué compañías, departamentos
gubernamentales, proveedores o institutos son de mayor interés. Los ataques de APT
profesionales rara vez son oportunistas o aleatorios. Están diseñados para robar activos
intelectuales identificados o para penetrar para una futura explotación, con el fin de robar
datos, extorsionar, lograr una ventaja comercial o, incluso, para la ciberguerra. El objetivo
de una APT puede esperar que el autor habrá estudiado cuidadosamente a la organización.
¿Quién tiene probabilidad de ser un objetivo? Puede ser cualquier usuario con acceso a datos,
sistemas o infraestructuras de interés. Eso podría incluir a ejecutivos, personal administrativo
o directivos seleccionados del negocio en funciones clave de apoyo, como recursos humanos,
TI o legal.
¿Qué más se necesita para organizar un ataque? Un atacante primero buscará obtener un
buen entendimiento de la organización y la infraestructura de la empresa. Esto se puede
extender a las estructuras de los equipos e incluso a los procedimientos para gestionar un
incidente de seguridad (para ayudar a evadir o detectar el descubrimiento). El siguiente paso
será seleccionar los objetivos individuales. La parte final de la investigación será determinar
los intereses actuales del negocio o la persona para cada una de las personas objetivo para
ayudarse a desarrollar un correo electrónico atractivo que pueda animar al destinatario a abrir
un archivo adjunto o conectarse a una página web vinculada.
Sofisticado
Las generaciones progresivas de los ataques de APT han sorprendido e impresionado
a los analistas de malware con su sofisticación. Muchas intrusiones de APT explotan
vulnerabilidades de día cero (aquellas que se desconocen y se explotan antes del primer día
de un lanzamiento público). Incluso algunas intrusiones han aprovechado varias de estas
vulnerabilidades en un solo ataque. Claramente este tipo de ataques no se pueden detener con
mecanismos de detección anti-malware tradicionales que se basan en el reconocimiento de
firmas de ataques conocidos previamente.
También es probable que los ataques de APT exploten una variedad de credenciales falsas,
como contraseñas robadas, códigos de autenticación clonados, direcciones de correo
electrónico falsas o certificados digitales falsificados. Además, emplearán un amplio marco
de módulos de propósito especializado diseñados para ejecutar tareas automatizadas sobre
demanda desde un servidor central de control y mando. Los módulos para realizar tareas
específicas se pueden descargar, ejecutar en la memoria y descartarse inmediatamente.
Muchos ataques de APT también fueron diseñados para dirigirse a múltiples plataformas,
incluyendo routers, conmutadores, teléfonos móviles y dispositivos de almacenamiento
externo y adaptar sus acciones a entornos de software diferentes. Los ataques concebidos
hace casi una década se diseñaron para explotar las instalaciones de grabación de audio y
video para monitorizar el entorno físico de los ordenadores comprometidos. El ataque Flame
se programó para extraer información de contacto de los dispositivos con Bluetooth cercanos.
Furtivo
Un principio fundamental del fraude, el espionaje y otros intentos para robar secretos
o penetrar en los sistemas es que, idealmente, la víctima no debe ser consciente de la brecha.
“Operar de manera silenciosa y profunda” es el lema clásico de los espías exitosos y los
estafadores. Otro término popular es “operar bajo y lento”, refiriéndose a cómo sucede la
exfiltración de información de manera lenta y gradual para evitar la detección.
Los ataques de APT ciertamente son furtivos. Comienzan con correos electrónicos que
genuinamente parecen phishing. Pasan con facilidad a través de los sistemas de detección
de malware basados en firmas. Se almacenan a sí mismos en lugares fuera de alcance. Se
esconden entre el tráfico de la red, manteniéndose invisibles al radar hasta que están listos,
y después se activan para lograr sus objetivos. Se pueden disfrazar usando técnicas de
ofuscación y adaptar su apariencia para evadir los intentos de evitar o detectar su presencia.
Otras formas de ciberataque no son así. Por ejemplo, los ataques de denegación de servicio
causan una interrupción del negocio obvia e inmediata, desencadenando respuestas
operacionales y técnicas reconocidas, mismas que se pueden desplegar rápidamente para
limitar el daño. Pero los APT son diferentes. Los ataques de APT suceden sin previo aviso
y son invisibles, cubriendo sus rastros extremadamente bien.
Los ataques de APT explotan el conocimiento secreto de vulnerabilidades de día cero para
obtener acceso y evitar la detección. Pueden esconder sus cargas profundamente en la
infraestructura de TI en los sectores de arranque, memoria volátil v u otros lugares ocultos
donde las búsquedas rutinarias no las encontrarán.
Los ataques encubiertos presentan una serie de retos importantes para los gerentes de
seguridad.
En particular, realizan las siguientes complicadas preguntas:
• ¿Cómo se puede saber si un ataque ha tenido lugar?
• ¿Cómo se evalúa el daño de una intrusión que lleva mucho tiempo ocurriendo?
• ¿Qué evidencia se puede reunir si los rastros de la auditoría han cambiado?
• ¿Cómo se sabe cuándo se ha erradicado una infección completamente?
Estas preguntas son difíciles de responder e indican la necesidad de un enfoque holístico para
abordar las amenazas de APT. Se requiere de todo un espectro de controles de seguridad para
evitar, detectar y responder efectivamente a los ataques de APT. También se necesitan más
medidas para erradicar la infección y proporcionar seguridad a las partes interesadas sobre
la efectividad de la acción de remedio que se tomó. Las empresas maduras ya contarán con
muchos de los controles necesarios, pero es probable que se requieran algunos procesos y
controles nuevos, y que muchos de los existentes se deban extender o fortalecer para mitigar
el riesgo efectivamente.
Persistente
Cuando los ladrones, hackers o estafadores son detectados, generalmente se rinden, huyen
y mantienen un bajo perfil, pero este no es el caso de un APT. La mayoría de los autores de
24
Mandiant, “M-Trends® 2013: Attack the Security Gap™,” EE. UU., 2013, www.mandiant.com/resources/m-trends
ataques de APT operan sin miedo a las retribuciones, y algunos incluso se pueden considerar
inmunes o por encima de la ley. Se ha dicho que ser víctima de una APT se parece más a
ser acechado por un acosador que ser asaltado por un ladrón: Puede no ser tan doloroso
inmediatamente, pero el efecto es de largo plazo y potencialmente puede cambiar la vida.
Se ha dicho que no todos los ataques de criminales organizados son persistentes. Muchas
bandas prefieren ir tras de objetivos débiles. Pero uno de los principales bancos comerciales25
o incluso uno de sus clientes comprometidos podría bien considerarse como un objetivo a
largo plazo prometedor para el robo de dinero y datos de identidad. Estar familiarizado con
los procesos, infraestructura y sistemas internos de la víctima también es de mucha ayuda
para los ciberataques futuros.
Muchas APT son proyectos a largo plazo. Una buena porción de la actividad se enfocará en
hacer un reconocimiento o en medidas para ayudar en futuras intrusiones, como la inserción
de caballos de Troya y procesos de monitorización. De esa manera, si se cierra una vía de
ataque, otra se puede abrir, tal vez por una puerta trasera insertada durante un ataque anterior,
o intentando un nuevo vector de ataque. Una vigilancia constante es el precio que debe pagar
para estar tranquila una empresa que pueda volverse el objetivo del APT.
Excepciones
Siempre hay excepciones. No todos los ataques de una fuente de APT o que explotan las
técnicas de APT presentan todas las características anteriores. Hay varias razones para esto
y vale la pena mencionarlas porque pueden ayudar a arrojar luz sobre algunas de las
anomalías que serán encontradas en cualquier análisis de incidentes de APT.
25
n término que se origina en el Reino Unido para referirse a grandes bancos comerciales que tienen muchas sucursales. El término “high
U
street” está destinado a indicar que estos bancos son las instituciones principales más extendidas, como las que se encontrarían en el sector
comercial principal de un pueblo o ciudad. High street es más o menos un sinónimo del término americano “Main Street.”
El ciclo de ataque más comúnmente encontrado consiste en seis etapas de la actividad, como
se ilustran en la figura 4 y se describen con más detalle en los siguientes párrafos.
04
Figura
Etapas en el ciclo
APTde
Riskataque de APT
Management
Selección de
objetivos
Explotación de Investigación
la información del objetivo
Diseminación Penetración
de inteligencia del objetivo
Exfiltración Comando
de datos y control
Descubrimiento
del objetivo
Selección de objetivos
Las actividades ofensivas necesitan ser priorizadas y programadas para aumentar al
máximo el valor de la inteligencia reunida así como el uso de los recursos disponibles. Los
objetivos se seleccionan sobre la base de los requerimientos del cliente y las prioridades
estratégicas, o tal vez las necesidades a corto plazo para apoyar otros ataques en progreso.
Los planes podrían ser ajustados cuando se presentan nuevas oportunidades, por ejemplo, el
descubrimiento de una nueva vulnerabilidad, la violación de un mecanismo de seguridad,
o quizás como resultado de la nueva inteligencia obtenida de un objetivo anterior.
Las fuentes de información, como los informes de la compañía y los sitios web, son
estudiadas cuidadosamente. El atacante recopila material útil, tal como direcciones IP,
direcciones de correo electrónico y datos personales de los empleados, para apoyar el ataque.
Las redes sociales, como LinkedIn y Facebook, son una excelente fuente de información
sobre las personas objetivo para ayudar a preparar ataques personalizados.
Entrar en el objetivo
El atacante tiene como objetivo realizar una intrusión inicial en la infraestructura de la
empresa a través de un ataque de ingeniería social simple, referido a menudo como spear
phishing. Normalmente, se envía a la persona objetivo un correo electrónico, que aparenta
venir de un colega de confianza y con un tema de interés directo para la víctima.26 El
atacante invita a abrir un archivo adjunto o hacer clic en la URL de un sitio web, instalando
inconscientemente la carga para la primera etapa del ataque.
Este compromiso inicial se basa en malware que aprovecha las vulnerabilidades conocidas
que pueden pasar a través de filtros antimalware, como explotaciones de día cero que todavía
no han sido publicadas. Entonces, la carga inicial pretende crear una o varias puertas traseras,
permitiendo a la infraestructura de red ser penetrada fácilmente por el atacante en cualquier
momento futuro.
Mando y control
El siguiente paso es establecer una capacidad de mando y control con informes periódicos de
progreso hacia atrás al sistema de control del atacante.
Por lo general, el primer objetivo es establecer comunicación con el sistema de control central
del atacante. En esta etapa, se pueden descargar módulos adicionales y la configuración
inicial ajustada o actualizada para apoyar más ataques.
26
l ataque spear phishing / phishing de ingeniería social de Red October empleó un correo electrónico que promocionaba la venta de un
E
automóvil diplomático para atraer a las oficinas del servicio diplomático para desencadenar la infección.
Se instalan más puertas traseras para asegurarse de que el atacante puede regresar a la red en
caso de que el compromiso inicial sea detectado. Los ataques sofisticados también podrían
tratar de monitorizar los sistemas de informes de incidentes para garantizar la detección
temprana de cualquier detección.
Exfiltración de datos
Cuando se han establecido los privilegios adecuados, los datos objetivo son reunidos
y canalizados a un servidor interno donde son comprimidos y cifrados para ser transmitidos
más adelante a la ubicación externa elegida por el atacante.
Para cubrir sus huellas, los atacantes a menudo remiten datos a la ubicación del atacante
a través de sitios de proxy intermediarios. Los ataques que parecen originarse en un país
pueden, de hecho, ser puestos en marcha y controlarse desde un lugar totalmente diferente.
Diseminación de inteligencia
La diseminación de la inteligencia no es tan sencilla como uno podría imaginar. Los datos
tienen que mantenerse seguros porque cualquier fuga podría comprometer las fuentes y
métodos de ataque, o crear un grave incidente diplomático.
Los clientes que reciben los datos deben ser confiables y validados, y los sistemas de
almacenamiento de los datos deben asegurarse a un nivel alto. Esto no es fácil para una
empresa comercial, sobre todo una que no acostumbra operar bajo las normas de seguridad
del gobierno ni emplear una fuerza de trabajo mundial.
Explotación de la información
Algunos datos robados, como la licitación de las ofertas, pueden explotarse inmediatamente.
Los proveedores que ofertan a los mayores contratos tienen probabilidades de estar en
grave desventaja frente a un competidor con conocimientos internos de los precios y
especificaciones.
Otros secretos robados, como los secretos comerciales, resultados de investigaciones o nuevos
diseños de productos, pueden tardar tiempo, quizá años, en ser aprovechados. Tendrían que
crearse nuevas empresas, construirse fábricas y competir con productos diseñados. Es posible
que el impacto no se sienta durante la mayor parte de una década.
No todos los datos son explotados en detrimento de la víctima. Es posible que estén
disponibles habilidades locales para desarrollar productos o servicios de la misma calidad.
Productos rivales podrían ser dirigidos a un mercado completamente diferente o podrían
alejarse demasiado de los originales como para causar un impacto. De hecho, gran parte
de la ventaja competitiva en productos exitosos puede mentir sobre las habilidades de la
fabricación o comercialización.
Los atacantes han progresado desde inicios pequeños hasta la producción a escala industrial
y la posesión de malware sofisticado. Por otra parte, el número de actores desarrollando
capacidades de APT ha crecido de un puñado de agencias de inteligencia con visión a futuro
hasta los gobiernos de la mayoría de los principales países.
Los objetivos se han extendido desde los ministerios de gobierno hasta las empresas con
secretos comerciales y las cadenas de suministros que dan soporte a los servicios nacionales
críticos. Las fuerzas armadas consideran ahora que el malware es una eficaz arma de guerra.
La doctrina de la ciberguerra y las reglas de combate están siendo elaboradas. Se debate la
necesidad de nuevas leyes y tratados internacionales.
El malware de APT se está volviendo cada vez más sofisticado y las organizaciones que lo
aprovechan son cada vez tienen mejores recursos. Muchos de los ataques descubiertos en
los últimos años fueron los resultados del desarrollo concebido hace aproximadamente una
década, y no fueron detectados durante varios años. Con base en estos antecedentes, debemos
suponer que hay una nueva generación de ataques sofisticados y furtivos en la operación.
Durante la próxima década también podemos esperar ver ciberconflictos reales entre las
naciones o las comunidades, así como la aparición de terroristas con capacidades de APT.
Los objetivos también suelen extender más abajo en la cadena de suministro para abarcar
a contratistas y proveedores de software más pequeños. Además, los ataques se volverán
mejor planificados porque sus autores construyen sobre conocimientos adquiridos de ataques
anteriores y aprovechan la inteligencia obtenida del creciente uso de las redes sociales por los
clientes y personal de la empresa.
Sin embargo, todas las empresas seguirán siendo vulnerables al error humano y a los ataques
de ingeniería social que pueden permitir que un atacante obtenga un punto de apoyo en la
infraestructura. Los seres humanos nunca serán perfectos en su disciplina o comportamiento.
A menos que se puedan construir sistemas que no queden inmediatamente comprometidos
por un simple error humano, siempre habrá el riesgo de un ataque de APT.
La gestión de riesgos ayuda a mitigar lo primero y a prevenir lo segundo. Una vez que el
mayor riesgo para el negocio es reconocido y evaluado, se puede tomar la decisión de evitar,
mitigar o aceptar el riesgo. El criterio para esa decisión es una función de la probabilidad y el
impacto potencial al negocio.
05
Figura
Ciclo de gestión
de riesgos de APT
Identificación
de riesgos de
APT
Monitoreo de Evaluación
riesgos de APT de riesgos
de APT
Gestión de
riesgos de APT
Activos físicos
Los activos físicos son el tipo de activo más fácil de reconocer y valorar, pero puede ser
difícil evaluar la factibilidad de un ataque de ATP dañino sobre la infraestructura física
o medir el impacto potencial completo sobre las operaciones de negocios.
Los ataques en sistemas industriales de control que podrían llevar a una planta de
procesamiento a un estado de peligro son posibles, pero los precedentes son muy pocos y
espaciados, haciendo que sea muy difícil cuantificar la probabilidad o el impacto durante la
evaluación del riesgo.
El riesgo teórico, sin embargo, es real y no puede ser ignorado. Se ha informado de varios
ejemplos de tales daños:
• El más conocido es el ataque del gusano Stuxnet , descubierto por primera vez en 2010, el cual
se cree que dañó hasta 1,000 centrifugadoras iranís usadas para el enriquecimiento de uranio,
alternando aumentos y disminuciones de las velocidades de operación por breves períodos.
• El ejemplo más antiguo que se ha atribuido a un ataque cibernético dañino fue el informe de
la destrucción de un oleoducto siberiano en 1982, supuestamente mediante una bomba lógica
implantada por la CIA en software SCADA que fue robado de una compañía canadiense por el
KGB. Se cree que la explosión resultante tuvo el poder de tres kilotones de dinamita.
• En 2007, investigadores de los Laboratorios Nacionales de Idaho del departamento de energía
de EE. UU. demostraron en un video públicamente presentado por el departamento de
Seguridad Nacional, la destrucción de un generador eléctrico de la red Aurora con un valor de
1 millón de dólares, manipulando los controles SCADA.
Los grandes equipos pueden ser sorprendentemente fáciles de dañar. A menudo, son
vulnerables a ataques inerciales que aceleran partes móviles más allá de sus límites de
seguridad o ataques de resonancia que crean dañinas ondas estacionarias. Las plantas también
son vulnerables a un ataque en oleadas si las válvulas de control pueden ser manipuladas para
concentrar fluidos hasta un punto vulnerable, resultando en un shock hidráulico conocido
como martillo de agua.
Debe asumirse que las fuerzas armadas y las agencias de inteligencia de muchos países
estarían interesadas en edificar la capacidad de organizar esos ataques en contra de la
infraestructura nacional crítica de los países enemigos. También es posible que los grupos
terroristas intenten desarrollar esa capacidad, aunque la perspectiva parezca ser ambiciosa
en la actualidad.
El punto de partida para desarrollar cualquier ataque de ese tipo, sería un ejercicio de
acopio de inteligencia sobre el diseño de la instalación. Obtener acceso a la escalera lógica
de software usada para programar controladores, a menudo puede proveer la información
necesaria sobre cómo poner a una planta en un estado de peligro.
Activos financieros
Los activos financieros son más líquidos que los activos físicos, lo que los hace vulnerables
al robo o a la manipulación encubierta. Son regularmente atacados por el crimen organizado
para obtener ganancias personales y ocasionalmente, por activistas o terroristas, por motivos
políticos.
En abril de 2013, por ejemplo, el Promedio Industrial Dow Jones se desplomó 150 puntos
en un período de siete minutos, destruyendo temporalmente billones de dólares en valores
accionarios. La pérdida fue provocada por un tweet falso de la cuenta de Twitter de
Associated Press, que afirmaba que dos explosiones habían sacudido la casa blanca. Un
grupo que se denominó a sí mismo el Ejército Electrónico Sirio se atribuyó el crédito por
hackear la cuenta. El índice Dow se recuperó de inmediato, demostrando dos grandes puntos
de aprendizaje: 1) Un solo mensaje fraudulento puede causear un cambio mayor en el valor
percibido de los activos intelectuales y 2) esa fluctuación puede corregirse rápidamente.
Los activos financieros en riesgo de ataques de ATP son amplios y variados. Pueden incluir
cualquiera de los siguientes:
• Cuentas de sistemas para pagos en línea.
• Información de tarjetas de crédito y sus valores de verificación.
• Cuentas de redes sociales comprometidas.
• Lavado de dinero u oportunidades bancarias en paraísos fiscales.
• Manipulación de la información de los precios de las acciones o del momento de las
transacciones.
• Manipulación de los derechos contractuales para la recepción de dinero o activos.
• Contratos de derivados que podrían resolverse en beneficio del atacante, a través de la
manipulación de valores de mercado o registros financieros.
Activos intelectuales
Muchos programas de seguridad de la información se enfocan en salvaguardar la información o
los activos de TI, como el hardware, el software y los contenidos, pero también son importantes
otras formas de activos intelectuales para proveer una ventaja competitiva en los negocios.
Los activos intelectuales clave a los que se les debe prestar atención, porque pueden estar
expuestos a un ataque de ATP, incluyen los siguientes:
• Información
• Conocimiento
• Relaciones
• Reputación
• Valor de la marca
El valor de los activos intangibles es siempre difícil de evaluar porque los estándares de
contabilidad contemporáneos no reconocen su valor. El precio de las acciones puede reflejar
el valor comercial ganado por esos activos, pero los contadores y las juntas de valoración
de inversiones raramente reconocen el valor que reside en la información, las redes y los
sistemas de aplicación.
Para muchas organizaciones, evaluar el valor de los activos intelectuales será un nuevo
ejercicio, pero una evaluación significativa del riesgo de una APT no puede llevarse a cabo
sin una idea clara de cuáles activos podría tratar de robar un intruso en nombre de una
compañía rival.
Información
La información es el enfoque principal de los ataques de ciberseguridad. Los datos que
permiten el liderazgo u otras ventajas comerciales son buscados por los servicios de
inteligencia en apoyo de sus industrias, o por grupos del crimen organizado que buscan
vender la información a clientes interesados. Los objetivos específicos podrían incluir los
siguientes:
• Información de ventas que contenga los requerimientos de los clientes, las órdenes y los
precios de productos de interés directo para los competidores.
• Registros de recursos humanos que contienen información personal de identidad o de
interés directo para grupos del crimen organizado, correos y archivos de oficina que
revelan estrategias de negocios, detalles de ofertas competitivas o detalles personales de los
individuos, para facilitar futuros ataques de ingeniería social.
• Secretos comerciales, que pueden incluir recetas propietarias, algoritmos, resultados de
investigación o diseño de nuevos productos.
Conocimiento
Para muchas empresas, el conocimiento que su personal clave posee es la fuente principal de
ventaja competitiva para conseguir contratos.
Es posible que las investigaciones o los secretos de producto, robados sin el conocimiento
profundo de cómo funcionan o cómo pueden aprovecharse en la práctica, sean prácticamente
inútiles. En algunos casos, puede ser claramente peligroso, como se muestra en el ejemplo de
la explosión del oleoducto de Siberia.
Relaciones
Un contribuidor de valor intelectual que a menudo es ignorado por los contadores es el valor
potencial que se esconde en las relaciones. Este aspecto de las redes fue notado por vez
primera por Robert Metcalfe, coinventor de Ethernet, que descubrió que el valor potencial
de una red es proporcional al cuadrado del número de usuarios del sistema.
Lo que esto realmente significa, es que el número de relaciones dentro de una red crece
mucho más rápido que cualquier crecimiento de tamaño de la red. El valor comercial extraído
de las relaciones en las redes sociales de rápido crecimiento ofrece un enorme potencial
de crecimiento.
Cuando las redes son relativamente pequeñas, rara vez notamos este efecto. Pero cuando
contemplamos las modernas redes sociales como Facebook, el potencial de negocios es
enorme. Pero la privacidad y la confianza en las redes es básica para una explotación exitosa.
Una sola pérdida de datos puede robar detalles de las relaciones y dañar permanentemente
la confianza en el proveedor del servicio de la red.
Las relaciones también pueden ser aprovechadas por los atacantes, especialmente a través
de las redes sociales. Se han llevado a cabo experimentos exitosos para obtener inteligencia
militar sensible usando perfiles de usuario falsos diseñados para atraer víctimas.27
En la práctica, este es un ejercicio difícil y subjetivo. Los ataques ATP generalmente sino
tienen precedentes, son inesperados e inciertos. Los directivos de negocios (que entiende el
impacto potencial al negocio) no están familiarizados con la amenaza y pueden inclinarse
a descartarlas sin evidencia concreta. Los comités de valoración de inversiones también son
propensos a cuestionar el gasto en medidas que abordan un riesgo teórico cuando no existen
precedentes.
27
Ver www.darkreading.com/privacy/robin-sage-profile-duped-military-intell/225702468.
Es importante, por tanto, garantizar que los gerentes sénior e influyentes y los directivos
estén completamente informados e involucrados en el proceso de evaluación, porque es fácil
minimizar las amenazas reales como imposibles o improbables.
Al mismo tiempo, es importante mantener las amenazas en perspectiva, porque algunas que
podrían parecer alarmantes a primera vista, tal como el robo de secretos comerciales, pueden
resultar relativamente inocuas, por ejemplo, si el atacante no tiene una capacidad significativa
para aprovechar el material robado.
Lo opuesto también puede ser cierto, por ejemplo, una amenaza que puede parecer inofensiva
para un director de negocios, como que un atacante obtenga acceso a una librería de código
fuente, puede ser dañino (incluso fatal) si no se comprueba.
Estas son siempre preguntas difíciles de responder para los gerentes de negocio ordinarios,
debido al desconocimiento y la incertidumbre. Es importante informar a los directivos por
completo y darles el tiempo y la oportunidad de reflexionar sobre las implicaciones totales
para las operaciones cotidianas del negocio.
El riesgo puede ser identificado para procesos del negocio específicos, pero es más fácil
gestionar un catálogo de riesgos en toda la empresa, porque el riesgo de varios procesos de
negocios, a menudo, comparte una acción mitigante en común. El proceso de identificación
del riesgo debe considerar a los activos más críticos, sensibles y valiosos, como se describió
en los capítulos previos.
Un mapa de calor del riesgo, como se ilustra en la figura 6, es una herramienta útil para
ayudar a evaluar, priorizar y registrar el riesgo. Este enfoque es recomendable porque la
experiencia nos ha enseñado que es mucho más rápido, fácil y preciso para los gerentes
evaluar tipos de riesgo en relación con los demás, en vez de intentar calificarlos aisladamente.
06
Ejemplo de mapa de
Figura
calor de la evaluación
del riesgo de APT
1 2 3 4 5
Filtración
de datos
importante de 4
registros de clientes
Pérdida
permanente Robo de
de la secretos
base de datos ERP comerciales
Impacto 3
Compromiso
Ataque de una
Fallo importante de DDoS licitación importante
en la
infraestructura Pérdida
de TI de personal 2
clave a una
empresa rival
Bajo
1
El riesgo que se muestra en la esquina superior derecha del mapa de calor representa los
desafíos más graves y justifica a acción correctiva inmediata. El riesgo en la esquina inferior
izquierda puede ser ignorado en su mayoría. El riesgo más difícil de atender está en el centro
del mapa, el cual requiere de mayor consideración y debate.
La escala en cada eje del mapa de calor puede usarse para generar calificaciones numéricas
para el riesgo, lo que permite el desarrollo de una clasificación del riesgo (registro de
riesgo). La ventaja de esa clasificación es que puede expandirse fácilmente para registrar
las dimensiones adicionales del riesgo, como la propiedad, acciones de mitigación, fechas
objetivo y otros detalles.
Este es un problema bien conocido denominado “riesgo moral” y es difícil de abordar porque
muchos gerentes de negocio responsables de procesos peligrosos pueden considerarse a sí
mismos aislados de las consecuencias totales de un incidente mayor. Es importante, por
lo tanto, asegurarse de que las evaluaciones de riesgo consideren el impacto total de una
amenaza, ya sea para los consumidores, socios de negocios u otras partes interesadas. De lo
contrario, existe una posibilidad de que los impactos evaluados serán subestimados.
Las acciones para mitigar el riesgo pueden incluir cualquiera de las siguientes:
• Aplicación de controles apropiados.
• Aceptación del riesgo, a sabiendas y objetivamente, siempre que realmente satisfaga las
políticas y criterios para la aceptación del riesgo de la organización (ver más abajo).
• Evitar el riesgo.
• Transferir el riesgo de negocios relacionado a otra parte, por ejemplo, a un asegurador
o proveedor.
La mayoría del gasto cotidiano en seguridad puede justificarse con base en requerimientos
de cumplimiento regulatorios o legalmente obligatorio. Los ataques de ATP son diferentes.
El tipo de acción requerida va mucho más allá de las medidas necesarias para satisfacer
las demandas de cumplimiento. Debe, por lo tanto, ser aprobado sobre la base que es una
inversión de negocios razonable.
Al presentar los hechos acerca de los ataques de ATP, cualquier consejo ejecutivo
seguramente exigirá acción. El problema es que, sin una comprensión detallada de la materia
en cuestión, el consejo no podrá juzgar cuánto gasto en seguridad es suficiente. Obtener el
apoyo de la junta ejecutiva y la gerencia de negocios para las mejoras en seguridad, requiere
una convincente presentación de costes y beneficios. Las buenas presentaciones y habilidades
de relaciones administrativas son importantes. Obviamente, es de ayuda presentar un retorno
de inversión financiero, pero ahorrar no es la única forma de demostrar valor.
Es muy poco probable que las contramedidas de seguridad existentes que se encuentran
en la empresa contemporánea típica sean suficientes para prevenir o siquiera detectar un
ataque sofisticado y bien planeado. Existen investigaciones que confirman esta aseveración.
Un estudio independiente realizado por el Instituto Ponemon reveló que dos tercios de
las organizaciones admiten que sus defensas fueron insuficientes para detener un ataque
dirigido.28 Según una investigación realizada por Verizon, aproximadamente el 70% de las
brechas fueron descubiertas por un agente externo, no por las propias víctimas.29
Esto no es una sorpresa para los profesionales de seguridad experimentados, muchos de los
cuales han luchado durante largo tiempo para vender buenas prácticas de seguridad a los
desinteresados desarrolladores de sistemas y gerentes de negocios, que generalmente ven la
seguridad como una distracción innecesaria, costosa y que consume mucho tiempo. Dentro
de este contexto, las intrusiones de APT han venido a cambiar el juego al incrementar las
preocupaciones corporativas por un orden de magnitud, y demandan un cambio de postura de
seguridad similar y procesos de respuesta.
Este capítulo brinda un panorama general de las mejoras en la gestión de seguridad necesarias
para responder al reto de una APT. Desafortunadamente, no existe una única contramedida
adicional, técnica u operacional, que pueda garantizar la prevención, detección o erradicación
de una infección por APT. La solución se encuentra en un enfoque holístico que combine
medidas físicas, técnicas, educacionales y operacionales más estrictas, coordinadas a través
de un sistema efectivo de gestión de la seguridad.
28
Ponemon Institute, “2012 Cost of Cyber Crime Study,” EE. UU., 2012, www.ponemon.org
29
Verizon, “2013 Data Breach Investigations Report,” EE. UU., 2013, www.verizonenterprise.com/DBIR/2013
30
Ver www.sans.org/critical-security-controls.
07
Figura
Deficiencias típicas
en los procesos de
gestión existentes
07
Figura
Deficiencias típicas en
los procesos de gestión
existentes (continuación)
07
Figura Deficiencias típicas en
los procesos de gestión
existentes (continuación)
La prevención y detección exitosa de los ataques de APT requiere de una gran cantidad de
medidas de seguridad individuales. Los siguientes principios y medidas de seguridad son
particularmente importantes y deben incluirse en cualquier programa de reducción del riesgo
de APT.
Gestión de activos
Los activos de hardware y software son artículos valiosos y necesitan ser identificados,
registrados y gestionados para propósitos contables. Los inventarios de activos son una
herramienta esencial para gestionar la seguridad, especialmente cuando han sido enriquecidos
con detalles de propiedad y estado de configuración. En la mayoría de las organizaciones, los
directorios empresariales están siendo progresivamente expandidos para dar seguimiento y
controlar el estado de la seguridad de las plataformas y los dispositivos de los clientes. Esta
es una pieza esencial en el desarrollo de la infraestructura de una empresa que se encuentra
libre de vulnerabilidades o por lo menos, que comprende la postura de seguridad de sus
plataformas y dispositivos.
Los ataques de APT buscan conseguir privilegios de administración para obtener el control
completo de las plataformas y aplicaciones, para así enterrar su software malintencionado
dentro de los núcleos de los sistemas operativos. Otorgar accesos administrativos a grandes
poblaciones de usuarios incrementa sustancialmente el riesgo general y, en particular, el
posible impacto en el negocio de una intrusión de APT exitosa.
Eliminar los privilegios de administrador a los dispositivos de los clientes reduce en gran
medida el posible impacto de una infección de APT, aunque no eliminará por completo el
riesgo. Los dispositivos de los clientes pueden aún verse comprometidos, por ejemplo, a
través de una descarga dirigida, pero el atacante tendrá mayor dificultad para esconder el
software malintencionado y extender el alcance del ataque.
Segregación de redes
Cualquier red que contenga datos sensibles, valiosos o críticos para el negocio necesita
ser segregada del riesgo que conllevan las conexiones de redes abiertas. Las grandes redes
empresariales deben ser divididas en dominios de red lógica separados, cada uno de ellos
protegido por un perímetro de seguridad definido. Las fronteras entre los dominios de red
pueden ser vigiladas por accesos seguros, como cortafuegos, para filtrar y dirigir el tráfico
entre dominios.
La segregación de redes es un control, por encima de todos los demás, que necesita
ser atendido adecuadamente para mitigar el riesgo de los ataques de APT. Este es un
requerimiento básico de seguridad para cualquier empresa, sin embargo, la experiencia
obtenida de ataques previos ha demostrado que muchas redes empresariales no tienen la
segregación suficiente para proteger los datos y procesos críticos.
Gestión de vulnerabilidades
La gestión de vulnerabilidades es el proceso de identificar, priorizar y mitigar las debilidades
de seguridad conocidas en los sistemas y plataformas de información. En su forma más
simple, se trata de mantenerse al día con los parches críticos de seguridad para los sistemas
de software, así como los últimos lanzamientos presentados de software y definiciones
de antivirus. Este no es un ejercicio trivial para las plataformas que controlan sistemas de
producción críticos que necesitan estar disponibles continuamente 24 horas al día, 7 días a la
semana.
Aunque los ataques avanzados de APT pueden incorporar explotaciones de día cero,
muchos se basan en vulnerabilidades conocidas para infectar los sistemas, por lo que es
vital garantizar que todas las plataformas reciban el parche tan rápido como sea posible.
Desafortunadamente, la experiencia nos enseña que muchas empresas tardan demasiado
en implementar los parches críticos, a menudo por días, semanas e incluso, meses. Los
sistemas que tienen vulnerabilidades conocidas necesitan ser protegidos (por ejemplo, por un
cortafuegos) del riesgo relacionado con conexiones externas.
Es probable que el caso de negocio para la provisión de muchas de estas tecnologías, así
como los recursos calificados necesarios para administrarlas, sea un desafío para los procesos
de autorización de inversión tradicionales. Este costo debe ser cuidadosamente sopesado
contra el posible impacto al negocio de un ataque de APT dañino.
El capítulo 4 describe las tecnologías relevantes y los procesos técnicos que son más útiles
para mitigar un ataque APT.
Los expertos de Lockheed Martin señalan acertadamente que una respuesta efectiva a una
intrusión de APT demanda una mayor evolución en análisis, procesos y tecnología. También
creen que es posible anticipar y mitigar intrusiones futuras con base en un conocimiento
sólido de los métodos del atacante.
Este concepto se puede aplicar al ciclo de ataque de APT descrito en el capítulo 1, para
identificar oportunidades para prevenir, detectar o interrumpir el ataque. La figura 9 establece
cómo puede funcionar este enfoque. Se pretende que las entradas sean ilustrativas, más que
definitivas y completas.
08
La “cadena de
Figura
muerte” de
Lockheed Martin
Reconocimiento Armamento
Investigación, identificación Acoplamiento de un troyano
y selección de objetivos, p. de acceso remoto con un
ej., rastreando sitios web exploit en una carga útil
de internet entregable
Entrega Explotación
Transmisión al entorno Después de la entrega, el
objetivo, usualmente, a accionamiento del código
través de archivos adjuntos de los intrusos
de correo electrónico, sitios
web o medios USB extraíbles
09
Figura
Oportunidades en el
ciclo de ataque de APT
Instalar un sistema de
prevención de intrusiones
(IPS).
09
Oportunidades en el
Figura
Establecer un honeypot
para atraer al atacante.
Exfiltración de datos Configurar la red para Investigar las Bloquear transferencias
prevenir la exfiltración de transferencias de datos de datos no autorizadas a
datos de los servidores sospechosas (por locaciones desconocidas.
críticos. ejemplo, fuera de horarios
regulares).
Instalar un sistema de
prevención de fugas de
datos (DLP).
Diseminación y Garantizar que los Buscar signos de Consultar a las agencias
explotación de secretos comerciales explotación, tales como de seguridad nacional por
inteligencia. tengan protección legal. fallas inesperadas al ayuda.
conseguir contratos o
anuncios de productos
rivales con similitudes
a los diseños de la
compañía.
Las capacidades clave para detectar un ataque de APT pueden resumirse de la siguiente manera:
•Comprender qué se está buscando.
•Saber dónde (y cuándo) buscar.
•Tener la capacidad de diferenciar la actividad de APT del comportamiento normal.
•Tener acceso a las habilidades y herramientas necesarias para detectar y aislar software de
APT malintencionado.
Estos requerimientos se examinan a detalle en el resto de este capítulo. Al igual que en los
capítulos anteriores, habrá un útil resumen de los puntos de aprendizaje al final.
El concepto de cadena de muerte es elegante y provee un enfoque útil estructurado para buscar
indicios de un ataque de APT y comprender dónde buscar signos de actividad adicionales.
Es probable que un ataque de APT profesional investigue las debilidades y reúna información
a través de una cantidad de canales de comunicación, incluyendo llamadas telefónicas
y correos fraudulentos, así como cualquier plataforma y dispositivo de cara al exterior.
Aunque son diseñados para ser indetectables, siempre existen posibles signos de un intento o
intromisión actual.
De la misma forma que alguien en casa podría descubrir la presencia de una plaga a través
de restos delatores de desechos o artículos perdidos, dañados o afectados, así las empresas
pueden desarrollar la capacidad de ubicar un ataque de APT a través de los indicadores de
compromiso en el comportamiento, el desempeño o la configuración de los sistemas, procesos
e infraestructura circundante.
En algunos casos, esto puede hacerse a través de indicadores físicos, tales como comunicaciones
sospechosas. En otros casos, puede lograrse a través de chequeos automatizados, por ejemplo,
en el tráfico de redes entrante y saliente. Pero para estar absolutamente seguros, será necesario
llevar a cabo un nivel de análisis experto en los registros de auditoría, información almacenada,
comunicaciones y actividad de memoria de los ordenadores.
Debe establecerse un procedimiento claramente identificado para informar sobre todos estos
incidentes, y es recomendable que la empresa adopte una política de “sobreinformación
prudente”, alentando al personal a informar sobre cualquier evento que levante sospechas.
Comportamiento sospechoso
A continuación, algunos ejemplos de comportamiento sospechoso o actividad de redes que
vale la pena investigar.
Comportamiento humano
Los indicadores de alerta temprana de posibles ataques de APT pueden incluir:
• Llamadas telefónicas poco usuales a asistentes personales o personal de ventas,
especialmente peticiones de detalles de contacto no publicados, tales como direcciones de
correo electrónico.
• Correos electrónicos de fuentes desconocidas que contienen archivos adjuntos o vínculos.
• Correo electrónico que no parece ser genuinamente de conocidos.
Actividad de la red
Algunos factores relacionados con los ataques de APT incluyen los siguientes cambios:
• Aumentos repentinos del tráfico de redes, especialmente transferencias fuera de límites.
• Patrones inusuales de actividad, tales como grandes transferencias de datos fuera de horarios
normales de oficina o hacia ubicaciones desconocidas.
• Consultas repetidas a nombres DNS dinámicos.
• Búsquedas inusuales de directorios y archivos de interés para un atacante, por ejemplo,
búsquedas de repositorios de códigos fuente.
• Grandes archivos no reconocidos destinados hacia el exterior que han sido comprimidos,
cifrados o protegidos con contraseñas.
• Detección de comunicaciones de/hacia direcciones IP falsas.
• Presencia de software con características contra el desmontaje o la depuración.
• Accesos externos que no utilizan los proxys locales.
• Solicitudes externas que contienen llamadas de interfaz de programación de aplicaciones
(API).
• Cambios inexplicados en la configuración de plataformas, routers o cortafuegos.
• Aumento del volumen de eventos/alertas IDS.
Los ataques APT generalmente intentan no dejar ninguna señal identificable. Existen,
sin embargo, patrones de actividad que son difíciles de variar para el atacante, como los
protocolos programados previamente que usa el software malintencionado para conectarse
con un servidor remoto de mando y control.
Después de la publicidad
Cualquier publicidad acerca de un invento o desarrollo de producto innovador en, por
ejemplo, un periódico o revista de negocios, tiene probabilidades de llamar la atención de
ministerios de gobierno responsables de promover la competitividad de sus industrias, quizás
alentando a un ejercicio de acopio de inteligencia para robar secretos comerciales.
como cuando se lanza en algunos países una variedad nueva de productos que compiten
directamente con una empresa propiedad del estado.
4. Medidas de la tecnología de
seguridad para mitigar los
ataques de APT
4.1 Visión general
Este capítulo aborda la amplia variedad de tecnologías de seguridad o procesos técnicos
que pueden emplear las empresas para ayudar a la prevención y detección de ataques de
APT. Cubre las medidas básicas, como los sistemas antivirus y cortafuegos, así como las
tecnologías y técnicas de seguridad más avanzadas, como informática confiable y el ciclo
de vida de desarrollo de seguridad, que se encuentran solo en un pequeño número de las
principales empresas. Sin embargo, se espera que con el tiempo cada vez más organizaciones
adopten estas medidas avanzadas.
Para poner esto en un contexto más práctico, ayuda considerar las medidas de seguridad en
niveles de efectividad en aumento que correspondan con el riesgo percibido y las capacidades
de protección. Desafortunadamente, es un hecho ineludible que hay una correlación clara
entre el nivel de seguridad provista y el coste, la dificultad y el tiempo que se requiere para
alcanzarlo. En las palabras del profesor Fred Piper, un respetado experto en ciberseguridad,
“si no es difícil, entonces no es seguro”.
Aquí es donde la gestión de riesgos puede ayudar, aunque es importante realizar una
evaluación de riesgos de APT coordinada en toda la empresa para asegurar que se pueda
apreciar completamente el impacto colectivo para el negocio de una intrusión y la respuesta
coordinada necesaria como un solo programa de mitigación.
La figura 10 ilustra los distintos niveles de medidas de seguridad que se pueden considerar,
abarcando desde las medidas de seguridad básica que se pueden encontrar en cualquier
empresa prudente, hasta las soluciones más avanzadas a largo plazo, todas las cuales son
practicables y están demostradas, aunque rara vez se encuentran, incluso en los departamentos
del gobierno y en compañías de Fortune 500.
10
Niveles de las
Figura
contramedidas de
seguridad
Cada uno de estos niveles se explican con más detalle en los siguientes párrafos: Se pretende
que los cuatro niveles sean indicativos, no absolutos. Por ejemplo, es posible encontrar
pequeñas empresas con mucha lucidez que aplican el ciclo de vida de desarrollo de seguridad
y grandes empresas que no implementan una gestión de vulnerabilidades efectiva.
Sistemas antivirus
Los sistemas antivirus requieren poca presentación; todos los usuarios de ordenadores
deberían conocerlos. Lo que tiene más importancia es apreciar las distintas estrategias y
técnicas empleadas por estos sistemas y reconocer sus fortalezas y debilidades respectivas.
Los sistemas antivirus generalmente son defensas de software usadas ampliamente para
prevenir, detectar y eliminar muchas categorías de malware, incluyendo virus informáticos,
gusanos, troyanos, keyloggers, plug-ins maliciosos de los exploradores, adware y spyware. Se
pueden utilizar varios enfoques. Particularmente, una o ambas de las siguientes estrategias se
usan generalmente.
• La detección basada en firmas se basa en el escaneo de los archivos entrantes o salientes
para detectar patrones maliciosos conocidos de datos con código ejecutable. La limitación
es clara: Las nuevas formas de malware no se pueden detectar con este enfoque. Otro
factor limitante es el crecimiento continuo de nuevos patrones de malware, lo que exige un
mayor nivel de esfuerzo para identificar las firmas.
• Una estrategia alternativa es emplear un enfoque heurístico (basado en la experiencia),
como inspeccionar las características y el comportamiento de un archivo ejecutable con
señales reconocidas que lo asocian con malware. Este enfoque tiene la ventaja de poder
detectar nuevas formas de ataque, pero también es probable que arroje reportes espurios de
falsos positivos.
El factor más importante para administrar los sistemas antivirus (así como cualquier otro
sistema de detección o prevención basado en firmas) es asegurarse de que se implementen las
versiones y firmas más recientes tan pronto como estén disponibles.
Cortafuegos (firewalls)
Los cortafuegos los utilizan todos los usuarios prudentes de ordenadores. Un cortafuegos
es una tecnología basada en software o hardware que busca controlar el tráfico entrante y
saliente en la red analizando los encabezados de los paquetes de datos en transmisión, y
determinando si deben ser aceptados o rechazados de acuerdo con un conjunto de reglas y
políticas de seguridad programado.
Las empresas suelen usar cortafuegos de estados, que pueden llevar un registro del estado
de una conexión de red y hacer un escrutinio del tráfico de la red dentro de ese contexto.
Los cortafuegos de estado pueden filtrar paquetes de datos de acuerdo con sus direcciones de
origen y destino, números de puerto y protocolos, así como la etapa actual que ha alcanzado
la conexión (por ejemplo, inicio, transferencia de datos o finalización).
Pruebas de intrusión
Una prueba de intrusión es un proceso para evaluar la efectividad de las medidas de
seguridad que protegen la infraestructura de una red mediante una combinación de pruebas
diseñada para simular un ataque de un atacante externo que busca tener acceso o un atacante
interno que pretende escalar sus derechos de acceso permitidos.
Cabe señalar que estas pruebas no mejoran la seguridad por sí mismas. De hecho, es
posible que incluso hayan aumentado el riesgo, ya que han resaltado las vulnerabilidades
identificadas a una comunidad más amplia. Sin embargo, sí ofrecen una hoja de ruta de las
mejoras de seguridad necesarias, lo que debe considerarse como una parte fundamental de
una gestión de vulnerabilidades robusta.
Autenticación fuerte
La autenticación fuerte ahora es una práctica estándar de la industria para la mayoría de
las comunicaciones comerciales remotas, aunque aún debe reemplazar completamente la
seguridad basada en contraseñas para las conexiones internas a los sistemas de información.
Sin embargo, la mayoría de las empresas grandes están progresivamente reemplazando los
mecanismos tradicionales basados en contraseñas por mecanismos de inicio de sesión único
(SSO) basados en tarjetas inteligentes o autenticación basada en token.
El principio fundamental detrás de la autenticación fuerte es que se basa en más aspectos que
solo un secreto compartido, como una contraseña. Es un control de autenticación multifactor
que emplea un mecanismo adicional, como un token físico, tarjeta inteligente o atributo
biométrico (como una huella dactilar).
Cualquiera que sea la solución empleada, el punto importante es que una medida de
autenticación basada en software no es suficiente por sí misma para evitar un ataque APT.
Los mecanismos basados en hardware que se basan en una criptografía fuerte y en un
almacenaje resistente a manipulaciones, ahora son un requerimiento obligatorio para
empresas con riesgo de sufrir un ataque APT.
Prevención de intrusiones
Los sistemas de prevención de intrusiones (IPS) tienen un concepto similar a los sistemas de
detección de intrusiones, pero van un paso adelante, ya que buscan supervisar las actividades
del sistema así como el tráfico en la red para detectar actividades maliciosas. La tecnología
IPS puede colocarse dentro de la red o instalarse en una máquina host. También está diseñado
para bloquear a cualquier intrusión que se detecte, aunque existe el riesgo de que se bloquee
el tráfico del negocio legítimo si se identifica erróneamente como una coincidencia de falso
positivo.
Los productos IPS pueden operar basándose en firmas reconocidas de tráfico malicioso
mediante un análisis estadístico o de comportamiento del tráfico y los protocolos de
comunicaciones.
La prevención de fuga de datos (DLP) es una tecnología de seguridad diseñada para detectar
y bloquear potenciales brechas de datos, tales como las transmisiones salientes de datos
confidenciales. Los dispositivos de DLP usan una variedad de técnicas para identificar
la información confidencial o sensible, incluyendo búsquedas de contenido previamente
registradas o palabras clave, así como un análisis estadístico del tráfico saliente.
El DLP no es una tecnología que sea trivial implementar, ya que implica una planificación y
administración significativas. Sin embargo, es muy efectivo cuando se usa selectivamente, por
ejemplo, en el sector financiero para ayudar a mantener una separación entre operadores con
conflictos de interés o aquellos que operan en distintas jurisdicciones.
Escaneo de vulnerabilidades
Un escáner de vulnerabilidades es un sistema de software diseñado para evaluar los
ordenadores conectados a la red, redes o aplicaciones para determinar las debilidades de
seguridad basadas en bases de datos actualizadas de fallas conocidas.
Los dispositivos de seguridad suelen combinar esta función con otras tecnologías de escaneo de
seguridad, como la inspección profunda de paquetes y la detección o prevención de intrusiones.
Aunque es una buena práctica, puede ser vencida por un malware avanzado que contenga
código para la detección de entornos de prueba que pueda ocultar al malware en un análisis.
Los sistemas DAM emplean una serie de métodos para detectar la actividad de la base
de datos, incluyendo una supervisión de la red de la actividad de SQL y el análisis de las
tablas, registros y la memoria de la base de datos. Pueden generar alertas basadas en reglas
predefinidas o comparando la actividad del usuario con perfiles de comportamiento normal.
Las pruebas de seguridad de las aplicaciones se llevan a cabo de una mejor manera con una
combinación de herramientas de escaneo automatizado con pruebas manuales e inspecciones
del código fuente. Progresivamente, se está volviendo la norma para los sistemas con
conexión a Internet, pero aún está lejos de convertirse en un proceso habitual para el negocio
para los desarrolladores de sistemas que, a menudo, están bajo la presión de alcanzar
objetivos ambiciosos para la implementación de sistemas.
Los cortafuegos no pueden por sí mismos lograr esto porque generalmente solo son capaces
de examinar el encabezado de los paquetes de datos transmitidos. Muchos dispositivos de
DPI combinan la funcionalidad de un sistema de detección y prevención de intrusiones
con un cortafuegos tradicional. Pueden desplegarse de manera no intrusiva, realizando
una inspección de solo lectura del tráfico de la red, correlacionando eventos de interés de
seguridad y reportando anomalías según reglas programadas previamente.
Como muchos archivos maliciosos están comprimidos o cifrados para evitar la detección, es
importante emplear tecnología que tenga la capacidad de decodificar tales comunicaciones.
Aunque los ataques APT emplean una variedad de servidores remotos diferentes,
generalmente se comunican usando protocolos consistentes, direcciones destino y
encabezados, los cuales pueden detectarse rápidamente con un escaneo simple una vez
que el malware ha sido analizado profesionalmente y se han identificado los métodos de
comunicación. El troyano de acceso remoto usado en los ataques de GhostNet, por ejemplo,
produjo un tráfico identificable en la red, comenzando con un encabezado “Gh0st”.
El malware frecuentemente usa direcciones IP falsas (a las que se les conoce como “bogons”
o “marcianos”) que se pueden identificar comparándolos con listas publicadas por la Internet
Assigned Numbers Authority (IANA).
Otra ayuda para la detección es el hecho de que el malware no considerará los proxy locales
que se usan para tener acceso a sitios externos. Cualquier intento de tener acceso a sitios
web sin usar el proxy correcto son indicadores potenciales de la presencia de malware APT.
Tal tráfico puede dirigirse a través de un router de “agujero negro” usado como punto de
recolección para el tráfico de la red rechazado.
El malware está diseñado para resistir el análisis usando una amplia variedad de técnicas para
evitar la depuración, el desensamblado y la ingeniería inversa. El software genuino rara vez
emplea estas medidas, así que puede emplearse un escaneo simple para detectar indicaciones
de tales medidas para detectar ataques APT con una tasa de éxito relativamente alta.
Muchos troyanos de acceso remoto usados en ataques APT usan puertos HTTP o HTTPS
para la comunicación remota porque, generalmente, estos puertos están abiertos en la mayoría
de los cortafuegos. Monitorizar el tráfico que no usa HTTP en estos puertos, especialmente
las solicitudes remotas que usan llamadas mediante una interfaz de programación de
aplicaciones (API), también pueden ayudar a identificar un potencial ataque de ATP, aunque
es probable que filtrar con estos criterios generales genere alertas para una gran cantidad de
tráfico empresarial legítimo.
Una comparación de los certificados digitales SSL con certificados sospechosos o maliciosos
conocidos también puede ser efectiva para identificar ataques APT. Comparar el certificado
digital con los que se sabe que han sido utilizados en ataques anteriores es un buen punto de
inicio porque frecuentemente éstos se reutilizan en ataques futuros contra nuevas víctimas.
Otros certificados SSL pueden marcarse como sospechosos, permitiendo así una investigación
adicional, si parecen usar ajustes predeterminados y valores aleatorios o vacíos en los campos
del certificado.
El análisis del tráfico saliente para identificar una fuga no autorizada de datos de la empresa
es una actividad útil, aunque consume mucho tiempo. Las comunicaciones obvias que se
deben buscar son aquellas que contienen archivos grandes comprimidos y encriptados, como
archivos .RAR, aunque algunos ataques APT han usado transferencias pequeñas de datos para
evitar la detección.
La clave para una detección exitosa de ataques de APT mediante la supervisión de la red es
adoptar una estrategia de “información excesiva prudente”, reconociendo que habrá muchas
alertas de falsos positivos e investigaciones no concluyentes antes de que se detecte un ataque
genuino. La paciencia, vigilancia y voluntad para invertir recursos en una supervisión basada
en inteligencia son las claves para una detección efectiva APT, apoyándose en una tecnología
eficiente y administradores capacitados.
Idealmente, todos los servidores, bases de datos y dispositivos cliente, así como los sistemas
de respaldo y recuperación deben monitorizarse continuamente para identificar cambios
no autorizados. La gestión de la configuración de seguridad es un proceso más amplio de
extremo a extremo que busca asegurar la integridad de las configuraciones de seguridad de la
plataforma y de los sistemas de información a los que soportan.
Están surgiendo tecnologías de seguridad que pueden escanear continuamente las plataformas
de la empresa, analizando los cambios en miles de atributos e informando sobre cualquier
cambio que parezca indicar la presencia de un ataque APT. Es probable que estas tecnologías
generen una serie de informes de falsos positivos, pero aumentarán significativamente la
probabilidad de detectar y responder a una intrusión en tiempo real.
Se espera que la necesidad de esta tecnología crezca en importancia con el tiempo conforme
las amenazas APT se vuelvan más dañinas para los procesos de negocio diarios.
Además de los SIEM, hay una creciente familia de herramientas de código abierto que está
surgiendo de la comunidad formada por los equipos de respuesta ante emergencias para
ayudar a analizar y responder a posibles indicadores de un ataque APT. Por ejemplo, la
plataforma AbuseHelper ayuda a rastrear, eliminar duplicados y automatizar la respuesta a
un ataque. El marco de inteligencia colectiva es un sistema de gestión de inteligencia para
ciberamenazas que permite que los equipos de respuesta a incidentes de seguridad informática
(CSIRT) combinen y almacenen información de amenazas maliciosas de varias fuentes, y que
la usen para identificar, detectar y mitigar posibles ataques.
Informática confiable
La informática confiable (TC) es una tecnología basada en un conjunto de estándares
abiertos desarrollados por el Grupo para la Informática Fiable, una alianza de los principales
vendedores que incluye a HP, IBM, Microsoft e Intel. La tecnología explota un monitor
de referencia seguro incrustado en un chip a prueba de manipulaciones llamado módulo
de plataforma confiable (TPM), que se instala previamente en prácticamente todos los
ordenadores portátiles y servidores profesionales.
El TPM sirve como una “raíz de confianza” segura para una autenticación fuerte y el
almacenamiento de claves de cifrado. Éste ofrece un mecanismo de autenticación a prueba de
manipulaciones para identificar los dispositivos cliente remotos que inician sesión en redes y
sistemas. El TPM también puede almacenar claves y medidas para verificar la integridad del
firmware y el software cada vez que una plataforma se pone en marcha inicialmente.
De hecho, esto permite que sólo dispositivos conocidos que ejecutan aplicaciones conocidas
se conecten a las empresas, reduciendo considerablemente el riesgo de un acceso no
autorizado o malware. El TC también permite firmar de forma segura los informes de
configuración de dispositivos para la administración de activos y las comprobaciones de
estado. También puede usarse para verificar la integridad del firmware y el software cuando
se enciende una plataforma, eliminando la amenaza de troyanos de raíz profunda o en el
sector del arranque, y ofreciendo protección contra ataques de evil maid que buscan insertar
un código troyano en el gestor de arranque en ordenadores portátiles para capturar las
contraseñas que se introducen cuando los usuarios encienden sus máquinas.
Inspecciones forenses
Las inspecciones forenses periódicas de las máquinas que puedan ser objeto de un ataque
APT son un medio efectivo para identificar los ataques APT o para dar seguridad de que las
plataformas que contienen datos críticos o sensibles no están comprometidos.
Muchos ataques APT no dejan un rastro obvio en los discos duros de los ordenadores. Buscan
residir solamente en la memoria o esconderse usando un rootkit. Encontrarlos requiere
habilidades en análisis forense, conocimientos actualizados de los métodos de ataque APT
actuales y una tecnología apropiada para realizar inspecciones forenses independientes de la
memoria física.
Hay herramientas de código abierto disponibles para apoyar los análisis forenses de la
memoria, así como hay productos patentados, algunos de los cuales pueden clasificar y
evaluar automáticamente la severidad de la amenaza potencial de los módulos de software
que residen en la memoria.
El concepto es simple. En lugar de intentar bloquear el malware en la lista negra, las listas
blancas de aplicaciones solo permiten que se ejecuten los archivos permitidos. Esto puede
lograrse creando una revisión de integridad, como un código hash seguro o una firma digital
para cada aplicación aprobada. Solo se permite la ejecución de software que tiene un código
conocido. A un entorno que mantiene un control estricto de las aplicaciones que pueden
ejecutarse en ocasiones se le llama “jardín vallado”.
El principal desafío para adoptar este enfoque es la resistencia de los usuarios a perder la
capacidad de cargar y ejecutar el software de su elección sin restricciones. Hacer listas
blancas requiere identificar, autorizar y registrar todo el software con anticipación. El
concepto es robusto desde el punto de vista de seguridad, y es técnicamente practicable
implementarlo. Ciertamente debe considerarse para entornos de alta seguridad.
Honeypots
Un honeypot es una trampa diseñada para atraer a los intrusos. Un ejemplo es un servidor
adicional que contiene información que puede parecer muy valiosa para un atacante pero que,
de hecho, es artificial y no tiene valor. Los honeypots pueden ayudar a detectar, supervisar
y recolectar evidencias de un ataque APT. También sirve como una distracción útil para
aumentar la carga de trabajo del atacante y distraer su atención de posibles objetivos más
valiosos.
• Los sistemas de escaneo de malware basados en firmas no pueden detectar nuevas formas
de malware. Por otra parte, es probable que los sistemas basados en comportamiento
generen informes con falsos positivos. Sin embargo, con el tiempo, es probable que los
métodos heurísticos mejoren, mientras que los sistemas basados en firma tendrán problemas
para mantener el ritmo con los nuevos patrones de virus.
• Se necesitan medidas de seguridad más avanzadas, como sistemas de prevención de
intrusiones, prevención de fugas de datos, escaneo de vulnerabilidades, simulación en
entorno de pruebas, supervisión de la actividad de bases de datos y pruebas de seguridad de
aplicaciones para mitigar la amenaza APT de forma efectiva.
• Algunas contramedidas específicas para prevenir o detectar un APT incluyen la inspección
profunda de paquetes, correspondencias de patrones de comunicaciones, supervisión de
la integridad de archivos, gestión de la configuración de seguridad, de la información de
seguridad y la gestión de eventos. Cualquier empresa que se enfrente a una amenaza APT
identificada debe considerar estas tecnologías.
• Las mejores prácticas de seguridad disponibles, como la informática confiable, inspecciones
forenses, listas blancas de aplicaciones, honeypots y la implementación del SDL rara vez
se encuentran porque son iniciativas caras, a largo plazo y, frecuentemente, disruptivas. Sin
embargo, son muy recomendadas para organizaciones que han experimentado una brecha
grave y que están dedicidas a evitar otra.
También se incluye orientación sobre cómo aprender de los incidentes mediante un análisis
de causa raíz para identificar cualquier control adicional necesario para prevenir, detectar y
mitigar ataques futuros. Incluye consejos para preparar un informe post mortem para la alta
dirección, y concluye con una lista de puntos de aprendizaje generales.
El concepto de un CSIRT dedicado surgió inmediatamente después del brote del gusano
de Internet creado en 1988 por Robert Morris, estudiante de la Universidad Cornell
(Nueva York, EE. UU.). El gusano de Morris fue la primera gran infección de software
malintencionado de Internet y fue necesaria una respuesta coordinada a gran escala para
contener y reparar el daño.
Es probable que la mayoría de las empresas de tamaño medio o grande tengan un equipo
profesional de gestión de incidentes de TI, así como un catálogo de procedimientos de
respuesta a emergencias, planes de continuidad del negocio y equipos de gestión de crisis. El
CSIRT no pretende duplicar, reinventar o competir con estas estructuras, sino fortalecerlas y
apoyarlas poniendo sobre la mesa habilidades, conocimientos y capacidades especializadas.
Las organizaciones más grandes deberían además considerar establecer un SOC dedicado
para ayudar a la detección de incidentes y proveer la respuesta especializada requerida.
El uso de un servicio de gestión de seguridad de un proveedor externo puede ser una solución
práctica para muchas pequeñas o medianas empresas, aunque este es un tipo de servicio
relativamente nuevo y aún falta por verse qué tan exitosamente puede un proveedor de servicio
entender el perfil de riesgo, las políticas de seguridad y los patrones de comportamiento
normales de un cliente y luego, interpretar los eventos cibernéticos dentro de ese contexto.
Es una verdad universalmente reconocida que si la actividad en la red no puede ser vista, se
encuentra esencialmente fuera del control de su propietario o administrador. Sin embrago,
el número de eventos observables dentro de una infraestructura moderna es enorme,
más que suficiente para generar falsas alarmas (falsos positivos) frecuentes que podrían
desencadenarse por eventos que si bien no son ordinarios, tampoco son siniestros ni ilegales.
La gestión de falsos positivos es un reto importante para los SOC. Comprender el contexto
de un evento reportado es vital, porque eso ayuda a determinar su verdadero significado y
legalidad. Lograr este reconocimiento no es trivial, ya que requiere una fusión de datos de
eventos con otra información de contexto y soporte para proveer un contexto histórico o del
entorno de las acciones en cuestión.
Como mínimo, el SOC necesita un entorno seguro y dedicado. Más allá de eso, existe una
gama de herramientas muy aconsejables, que van desde tecnología sencilla de oficina hasta
tecnología muy sofisticada para minería, combinación y visualización de datos para permitir
el análisis veloz de alimentación de datos y una rápida identificación de anomalías que
podrían indicar la presencia de un ataque APT.
El SOC debe servir como un sistema de alerta temprana para resaltar la necesidad de
estados de alerta más avanzados, así como la necesidad de acción inmediata para mitigar
riesgos identificados que podrían permitir el éxito de un ataque APT. Determinar el nivel de
alerta requiere de inteligencia actualizada sobre amenazas, perfiles de riesgo y datos sobre
incidentes.
La meta real de todo SOC debe ser expandir continuamente el horizonte visible de amenazas,
exposiciones y datos de eventos, recurriendo a cualquier fuente útil de información disponible
que pueda ayudar arrojar luz sobre el contexto de los incidentes de seguridad detectados e
informados. La combinación de información de otras fuentes con los datos de los eventos puede
proveer una mejor comprensión del contexto. Los perfiles de riesgo, por ejemplo, permiten que
los datos sobre vulnerabilidad sean filtrados según su relevancia y el nivel de riesgo percibido y
las políticas de seguridad relacionadas con un sistema de información o plataforma.
La tecnología para conseguir todo esto se encuentra disponible, aunque su potencial para la
explotación creativa aún no ha sido completamente detonado.
No todos los eventos importantes pueden ser detectados por la tecnología por sí sola.
El personal debe monitorizar las fuentes de la información para buscar indicaciones de
exposiciones o ataques. Sin embargo, es esencial presentar los datos a los administradores de
una forma que permita que las anomalías sean rápidamente detectadas a través de múltiples
flujos cambiantes de información.
Los factores claves a considerar al diseñar una estructura de equipo de respuesta eficiente
y eficaz son el tamaño de la empresa, la estructura y geografía de sus unidades de negocio
y las funciones de servicio de TI. Una consideración adicional importante es la naturaleza
de la cadena de suministro, como el grado de externalización y los acuerdos de crisis de
proveedores de servicios externos.
La figura 11 ilustra una estructura genérica de un equipo de crisis para una empresa típica
de mediano o gran tamaño. Es una simplificación excesiva, porque muchas organizaciones
también tienen regiones geográficas, funciones descentralizadas de soporte, múltiples cadenas
de suministros y estructuras de reporte matriciales. Además, es probable que haya más de
un nivel de equipo de respuesta, que refleja la necesidad de respuestas coordinadas, pero
descentradas estratégica, táctica y operacionalmente.
11
Figura
Estructura típica de
la gestión de crisis
Equipo de
crisis
empresarial
CSIRT
Además, puede haber equipos de respuesta con funciones y composiciones específicas tales
como:
• Equipos locales de respuestas a emergencias para gestión de fuegos u otros riesgos
importantes. Podría ser necesario poner en marcha uno de estos equipos si un sistema
SCADA se encuentra en riesgo.
• Equipos delegados de continuidad de negocio para invocar acuerdos de contingencia
y gestionar las relaciones con los clientes y proveedores clave en caso de una pérdida
importante de un servicio o instalación de negocios. Tales equipos pueden ser útiles para
evaluar el daño al negocio y determinar las prioridades para la recuperación.
• Equipos de soporte dedicados, por ejemplo, para asuntos de recursos humanos (salud y
seguridad), relaciones con los medios de comunicación y otras actividades especializadas.
Una complejidad adicional es que la naturaleza de la respuesta a la crisis se vuelve cada vez
más sofisticada con la gravedad del impacto:
• Los incidentes menores a menudo pueden ser gestionados con mediante acciones locales.
El impacto es generalmente limitado y la acción requerida es rutinaria. Por lo general, tales
respuestas pueden ser definidas y preparadas por adelantado.
• Los incidentes mayores presentan un conjunto más complejo de problemas, que a menudo
resultan en un impacto en los activos más abstractos e intelectuales de la organización,
como la ventaja competitiva, los secretos comerciales, la satisfacción del cliente, el estatus
legal y la reputación corporativa.
Los incidentes mayores demandan una respuesta que sea flexible, creativa y empoderada.
Además, necesitan el apoyo de asesores expertos en el negocio, TI, asuntos legales, medios
de comunicación y seguridad. El CSIRT es un componente esencial de esa respuesta. Una
crisis mayor requiere un tratamiento diferente al de un incidente cotidiano. A medida que
aumente el potencial impacto en el negocio de un incidente, así se incrementará el nivel y
el alcance de la respuesta necesaria, exigiendo la implicación de un grupo más amplio de
gestores y personal de soporte especializado en toda la empresa.
El ritmo de desarrollo de los incidentes también puede ser muy diferente. Por ejemplo, los
ataques de negación de servicio son rápidos e interactivos exigiendo decisiones instantáneas
y reporte inmediato de eventos. En contraste, un ataque de espionaje de raíz profunda puede
desarrollarse a un ritmo mucho más lento, y requiere un nivel de análisis más profundo y una
perspectiva a mucho más largo plazo.
¿Cuántos equipos?
Una buena pregunta qué hacerse es “¿cuántos equipos necesita la empresa para gestionar
una crisis?” La respuesta no es obvia. Un único equipo es insuficiente para proveer todas las
habilidades necesarias para abordar todos los problemas surgidos de una crisis grave en la
empresa. Cien equipos son, por mucho, demasiados para coordinar. Por un lado, es bueno ver
que todas las partes de la organización se involucran, pero por el otro, es importante lograr un
enfoque claro para las decisiones, acciones y comunicaciones.
Las grandes organizaciones por lo general tienen como objetivo gestionar estas demandas
cambiantes estableciendo una jerarquía estricta de los equipos de respuesta, comúnmente
llamados equipos oro, plata o bronce, para atender los diferentes niveles de respuestas
estratégicas, tácticas y operacionales. A medida que la crisis aumenta, los equipos junior
o locales serán remplazados por los equipos senior y responsabilidad de mayor alcance.
El rol del CSIRT, sin embargo, deberá permanecer sin cambios: es un equipo de soporte
especializado con visión de la compañía y alcance global. Puede potencialmente apoyarse
en el consejo y soporte de los equipos CSIRT que operan en industrias similares o en roles
nacionales e internacionales. EL CSIRT deberá estar listo para conectarse a todos los niveles
y adaptarse a las líneas cambiantes de reporte según evoluciona la situación.
La gestión de crisis se vuelve más fácil con la práctica. Como lo dijo alguna vez el presidente
Richard Nixon de los EE. UU.: “La habilidad de permanecer sereno, confiado y decidido
ante la crisis no es una característica heredada, sino el resultado directo de cómo de bien un
individuo se ha preparado para la batalla”.31
Los simulacros periódicos de crisis son medios excelentes para preparar al equipo de
respuesta para incidentes reales y ayudar a identificar las herramientas, equipos y datos
útiles de soporte que puedan mejorar o acelerar la toma de decisiones cuando se trate de un
incidente real.
31
Leonard Roy Frank, Quotationary, Random House, EE. UU., 1998), p. 641
A mayor análisis requerido mientras se lidia con los eventos, más lento será el despliegue de
la respuesta correcta. En una crisis rápidamente cambiante, es un gran reto el considerar todas
las opciones alternativas, valorar sus consecuencias probables y luego, seleccionar el curso de
acción más adecuado. La alternativa a esto es considerar escenarios comunes por adelantado
y desarrollar acciones predefinidas y bien consideradas.
Una buena analogía para ayudar a comprender el valor de las respuestas predeterminadas es
considerar la forma en que un conductor responde al ver una luz roja de freno encenderse
en el automóvil al frente. La reacción instintiva, sin pensamiento lógico, es pisar el freno
inmediatamente. Es una decisión automática que salva vidas.
Existe un límite en el alcance del desarrollo de las respuestas preparadas con anticipación.
En la práctica, es necesaria una buena cantidad de improvisación creativa al responder a
una amenaza. Sin embargo, sin importar la singularidad de la situación, es mucho lo que
puede ser determinado o preparado anticipadamente para conseguir una toma de decisiones
más rápida y mejor. Ayuda tener los hechos y los números esenciales a mano, ejemplos de
textos para comunicados acordados previamente y la autorización aprobada previamente para
cualquiera de las respuestas posibles que sean consideradas más allá de la competencia o el
presupuesto de las funciones de seguridad.
Un CSIRT requiere de un gran nivel de autoridad delegada para poder operar de manera
decisiva de cara a un ataque grave. El equipo puede necesitar tomar decisiones inmediatas
con riesgo significativo para la empresa, como poner fuera de línea un servidor de
producción, cerrar una red local, interceptar las comunicaciones internas o tal vez, incluso
enfrentarse con un atacante. Idealmente, esos escenarios deben ser identificados y discutidos,
y los procesos de permisos o autorizaciones acordados por adelantado con la alta gerencia.
12
Etapas en la gestión
Figura
y planificación de
incidentes mayores
Identificación de
incidentes Evaluación de daños Gestión de crisis
Detección y notificación Evaluación inicial y Gestión de la
de incidentes contención respuesta
Esta situación puede mejorarse sustancialmente con buenos procesos de supervisión de redes
y plataformas, así como iniciativas educativas para animar al personal a reportar correos
electrónicos o contactos externos sospechosos. También es necesario que los puntos de
notificación centrales reúnan, analicen y respondan a los reportes de presuntas intrusiones o
ejercicios de ingeniería social.
32
Verizon, “2013 Data Breach Investigations Report,” EE. UU., 2013, www.verizonenterprise.com/DBIR/2013
• Si es posible, trate de determinar por cuánto tiempo ha estado presente la infección, porque
esto puede influir en la estrategia de recuperación (por ejemplo, las copias de seguridad
también pueden estar dañadas).
• Estimar las habilidades y el nivel de los recursos requeridos para contener y reparar el daño.
• Preparar un informe breve para el equipo de CSIRT.
El poder de la gestión de crisis eficaz es irrefutable. Las investigaciones han demostrado que las
compañías que logran un buen resultado durante una crisis pueden disparar su valor de mercado.
Hay buenas razones para esto. Una crisis genera publicidad que puede ser para bien o para
mal. La empresa que se desempeña bien durante una crisis, impresiona a clientes y accionistas
por igual. La respuesta a crisis de RSA es un buen ejemplo de ello. Las empresas que se
desempeñan mal ven hundirse el valor de sus acciones. Además, el clima creado por una crisis
puede permitir a los gerentes gestionar cambios difíciles para resolver debilidades existentes
desde hace mucho tiempo. Esto presenta una oportunidad para que la función de seguridad logre
las mejoras necesarias para prevenir y responder a mejor a futuros ataques APT.
5.9 Contención
La contención del daño debe ocurrir en paralelo, pero bajo la dirección del esfuerzo general
de la gestión de crisis. Es poco probable que sea un proceso rápido. Investigaciones realizadas
por Verizon indican que se tarda una semana o más en contener el 60 por ciento de las
violaciones, menos de una de cada 10 es contenida en un día.33 Los pasos clave a seguir son:
• Identificar los sistemas que han sido comprometidos y los archivos que han sido accedidos.
• Aislar los sistemas infectados tanto como sea posible.
• Determinar cómo parece propagarse la infección y cerrar los posibles canales de más
ataques o infecciones.
• Preservar la integridad de toda la evidencia reunida.
• Revisar los registros de cortafuegos e IDS para detectar indicadores de intrusión.
• Examinar los sistemas para detectar procesos o aplicaciones no autorizadas. Buscar
exhaustivamente las máquinas afectadas para detectar software malintencionado plantado.
• Buscar señales de datos comprometidos en otras máquinas.
5.10 Recuperación
La remediación eficaz requiere una buena comprensión de los cambios realizados a las
aplicaciones y plataformas por el software malintencionado. Las acciones claves que serán
necesarias incluyen:
• Eliminar el malware y cualquier puerta trasera relacionada.
• Cerrar los puertos que hayan sido abiertos por el malware.
• Cambiar los ajustes de configuración modificados a sus valores correctos.
• Restaurar archivos borrados o dañados.
• Reparar los cambios hechos a las entradas en el registro.
En muchos casos, será necesario restaurar los sistemas operativos de las plataformas, aunque
existen herramientas automáticas que afirman ser capaces de reparar daños APT sin la
necesidad de un reinicio.
33
Verizon, “2013 Data Breach Investigations Report,” EE. UU., 2013, www.verizonenterprise.com/DBIR/2013
5.11 Investigación
El siguiente paso importante es una investigación detallada para identificar al atacante,
investigar los motivos del ataque y, con base en este conocimiento, evaluar el daño probable
consecuente y el futuro riesgo al negocio. Las preguntas clave que se deben considerar son:
• ¿Cuál es el origen del ataque? ¿Es una fuente conocida de ataques APT?
• ¿Alguna otra organización ha sido atacada por esta fuente o con este método?
• ¿Cuál parece ser el motivo del ataque? ¿Es para robar información, causar daño o recopilar
inteligencia para ser usada en un ataque futuro?
• ¿Cuál es la naturaleza de los datos que puede haber sido comprometidos, secretos de
negocios, datos financieros, registros de clientes, detalles de ofertas comerciales o planos
de productos?
Ningún análisis técnico puede indicar el probable daño al negocio de una intrusión. Depende
de una cuidadosa consideración sobre el atacante, el motivo del ataque, la capacidad del
atacante para aprovechar la información robada o el daño causado, y las opciones para
mitigar el daño hecho por el ataque.
Existe una cantidad de herramientas de gestión para ayudar a llevar a cabo dicho ejercicio.
Una de las técnicas más simples y rápidas es el diagrama “de espina de pescado” de
Ishikawa,34 que puede ser utilizado para la lluvia de ideas y registro de las posibles causas
de un problema, estructuradas de acuerdo a las categorías y subcategorías de fallos más
probables. Un ejemplo de ese diagrama se encuentra en la figura 13. Puede verse que este
enfoque proporciona un medio simple y rápido para identificar y estructurar las causas que
contribuyen a un incidente.
34
Se nombra por Kaoru Ishikawa, el profesor japonés que inventó la técnica.
13
Figura
Ilustración de un
diagrama de Ishikawa
Entorno
Gerencia Gente
Incidente
5.13 Informe post mortem mayor
La etapa final al gestionar un incidente mayor es elaborar un reporte post mortem y presentar
los hallazgos principales y recomendaciones a la gerencia. Las consideraciones claves para
realizar esta tarea son:
• Explicar la fuente, el cronograma y el estatus actual del incidente.
• Identificar las acciones y decisiones clave, así como quién las tomó y por qué.
• Calcular el coste aproximado del incidente, incluyendo el coste directo como daño físico,
tiempo perdido de producción, costes de recuperación e investigación, y costes legales así
como costes indirectos, como ventas perdidas y posible daño a la reputación.
• Señalar las fortalezas y debilidades en el proceso de respuesta.
• Hacer una lista de los puntos de aprendizaje a partir del análisis de causa raíz.
• Hacer recomendaciones firmes para cambios y mejoras de seguridad.
• Los factores clave a considerar al diseñar una estructura de equipo de respuesta eficaz son el
tamaño de la empresa y la estructura y geografía de sus unidades de negocio y funciones de
servicio de TI.
• La buena preparación para las crisis y los simulacros periódicos son esenciales para
garantizar una respuesta rápida y óptima a un incidente grave.
• Todos los incidentes siguen un camino general de detección inicial al cierre final, el cuál
puede ser utilizado para ayudar a estructurar la estrategia general de crisis.
• Es importante aprender de incidentes anteriores. Debe llevarse a cabo un ejercicio de
análisis de causa raíz después de cualquier incidente mayor.
6.2 Metodología
La efectividad de una revisión es determinada en gran medida por el grado de planificación
y preparación. Los pasos clave del proceso se ilustran en la figura 14 y se describen con más
detalle en los siguientes párrafos.
14
Etapas de la realización
Figura
de una revisión de
controles APT
El principal resultado de esta etapa es un conjunto de activos o procesos clave que se revisará
y una lista de propietarios responsables o los que toman las decisiones.
Los resultados clave de esta etapa deben ser un mapa de riesgos de alto nivel para los riesgos
de seguridad y una lista de sistemas sensibles o críticos y su infraestructura.
El resultado de esta etapa debe ser un mapa de alto nivel de las redes de la empresa, con una
indicación de la efectividad de las medidas tomadas para proteger o segregar los sistemas
críticos o sensibles y sus usuarios.
Apéndice A:
Cuestionario/lista de tareas APT
Este apéndice incluye un simple cuestionario/lista de tareas para ayudar a los gerentes a
considerar y evaluar el riesgo asociado con un APT, aprovechando la guía que se encuentra
en este libro.
Busca servir como una guía de referencia útil para los gerentes del negocio, de TI o de
seguridad para revisar y abordar el riesgo de APT.
• ¿Se aseguró de que las plataformas informáticas y las aplicaciones estén libres de las
vulnerabilidades conocidas?
• ¿Invirtió en tecnología de supervisión para detectar intrusiones no autorizadas?
Organizaciones
Nombre del Posible fuente o Innovador objetivo o Impactos o
ataque beneficiario Características afectadas Resultados
Moonlight Maze Se rastreó a un Un sofisticado El Pentágono, Decenas de
1998-2000 ordenador en la ataque de la NASA y el miles de archivos
antigua Unión ciberespionaje a Departamento de robados,
Soviética, aunque gran escala Energía los Estados incluyendo mapas
el gobierno Ruso Unidos, así como de instalaciones
lo negó. Es posible universidades y militares,
que la información laboratorios de configuración de
robada se haya investigación tropas y diseños
vendido al mejor involucrados en de hardware
postor investigaciones militar, dando como
militares resultado daños
que por muchos
millones de dólares.
Titan Rain Se dijo que Se explotaron Los contratistas No fue revelado Es
2003-2005 fue de origen ataques de de defensa de EE. probable que sea
chino, aunque el ingeniería social UU., incluyendo a similar a Moonlight
gobierno chino en individuos Lockheed Martin, Maze
negó cualquier seleccionados Sandia National
implicación. Labs, Redstone
Arsenal y la NASA
Sykipot No se conoce. Los Vulnerabilidades Compañías Se robaron secretos
2007-2012 objetivos sugieren explotadas de día occidentales de comerciales,
que un servicio cero. una variedad incluyendo
de inteligencia de sectores, información de
es el probable incluyendo defensa, diseño, finanzas,
beneficiario. Un informática, fabricación y
análisis de los telecomunicaciones, planificación
ataques a Sykipot energía y productos estratégica de
en 2011 indicó químicos, así como compañías en
que la mayoría de organizaciones EE. UU. y el
servidores estaban gubernamentales Reino Unido, lo
en China. que ocasionó
una pérdida de
competitividad
Organizaciones
Nombre del Posible fuente o Innovador objetivo o Impactos o
ataque beneficiario Características afectadas Resultados
GhostNet Se reportó que Fue posible usar Objetivos políticos, Se comprometieron
2008-2009 tuvo su origen en dispositivos de económicos y de los datos políticos
China, aunque el grabación de medios en más y económicos en
gobierno chino audio y video para de 100 países, más de 1,000
negó cualquier monitorizar el incluyendo muchas ordenadores en más
implicación ambiente físico de embajadas y los de 100 países
los ordenadores centros de exilio del
infectados Dalai Lama
Operación Aurora Fue reportado que Repositorios de Muchas compañías Se robó gran
2009-2010 se originó en China código fuente de tecnología, cantidad de
atacados y incluyendo Google, propiedad
modificados Adobe Systems, intelectual, lo que
Juniper Networks ocasionó pérdidas
y Rackspace, así significativas de
como bancos, competitividad
contratistas
de defensa,
proveedores
de seguridad y
compañías de
energía
Gozi Creado por una Un servicio de Su objetivo fueron Infectó a más
Desde 2007 persona de hosting a prueba de instituciones de un millón de
nacionalidad rusa balas para preservar financieras en ordenadores en
con la ayuda de el anonimato de los Estados Unidos, todo el mundo,
cómplices de países usuarios criminales. Reino Unido, ocasionando
vecinos, y vendido La versión de 2013 Alemania, Polonia, decenas de millones
posteriormente a infectó el registro de Francia, Finlandia, de dólares en daños
grupos criminales arranque principal Italia, Turquía y en
del disco duro. cualquier otra parte
Zeus Usado por varios Un kit de Se usó inicialmente Se comprometieron
Desde 2007 criminales en EE. herramientas de para robar decenas de miles
UU., Reino Unido APT completo, información del de cuentas de
y Ucrania para incluyendo módulos Departamento de FTP en sitios de
cometer fraudes para capturar las Transporte de EE. compañías y varios
bancarios y lavado pulsciones de teclas UU., pero después millones de usuarios
de dinero del usuario y datos se usó para robar de bancos, lo que
de formularios web credenciales resultó en el robo de
con un ataque de bancarias y cientos de millones
hombre-en-el- pagos con de dólares
navegador tarjetas de crédito
o credenciales
utilizadas para
iniciar sesión en
redes sociales.
Organizaciones
Nombre del Posible fuente o Innovador objetivo o Impactos o
ataque beneficiario Características afectadas Resultados
SpyEye Similar a Zeus y es Variaciones Diseñado para robar Se han robado
Desde 2009 utilizado por una posteriores pueden las credenciales millones de dólares
amplia variedad de modificar la de los clientes de de las cuentas de
bandas criminales. visualización de bancos en EE. UU. clientes en varios
Se ha vendido en saldos y estados de y el Reino Unido, cientos de bancos
500 dólares en cuenta y después iniciar en todo el mundo
foros clandestinos transacciones
rusos cuando la víctima
inicia sesión en su
cuenta bancaria
Stuxnet Se afirmó que había El primer malware Dirigido Se informó que
2010 sido creado por los en sabotear específicamente el malware había
Estados Unidos e los sistemas para el equipo causado daños
Israel para atacar de procesos y el software considerables a las
las instalaciones industriales. industrial de centrifugadoras en
nucleares de Irán Contenía cuatro Siemens, y contiene el laboratorio de
explotaciones de protecciones enriquecimiento
día cero diferentes. para limitar la nuclear de Natanz
Programado para propagación de la en Irán.
borrarse a sí mismo infección
en una fecha
específica
Duqu Las similitudes con Similar a Stuxnet El código se ha Capturó información
2011 Stuxnet sugieren en cuanto a su encontrado en un que podría permitir
una fuente con sofisticación, pero número limitado un futuro ataque
acceso al código. con un propósito de empresas, de APT contra los
Los servidores diferente incluyendo aquellas sistemas de control
se encontraban involucradas en industriales.
en varios países, la fabricación de
incluyendo sistemas de control
Alemania, Bélgica, industriales.
Filipinas, India y
China.
Flame El Washington Puede grabar Se utilizó para Robó información
2012 Post afirmó que audio, capturas de organizar ataques de alrededor de
fue desarrollado pantalla, tecleo, de espionaje 1,000 máquinas
conjuntamente tráfico en la red, en ministerios en Irán, Israel,
por la Agencia de conversaciones en gubernamentales, Sudán, Siria, Líbano,
Seguridad Nacional Skype e información instituciones Arabia Saudita
de los Estados de contacto de educativas e y Egipto. Los
Unidos, la CIA y las los dispositivos individuos en países ataques cesaron
fuerzas armadas de cercanos con del Medio Oriente cuando se divulgó
Israel por lo menos Bluetooth. Puede públicamente.
cinco años antes eliminarse
del descubrimiento, instantáneamente
aunque esto fue con una instrucción
negado oficialmente remota de un
servidor central
Organizaciones
Nombre del Posible fuente o Innovador objetivo o Impactos o
ataque beneficiario Características afectadas Resultados
Red October No se conoce. Se adapta Diseñado para Se informó que robó
2007-2012 Existen opiniones a múltiples robar secretos cientos de terabytes
contradictorias plataformas, del gobierno y de de organizaciones
sobre la fuente. El incluyendo routers, organizaciones de diplomáticas, de
análisis del malware conmutadores, investigación en comercio, militares,
indica que el código teléfonos móviles varios países aeroespaciales,
era muy diferente y dispositivos de de energía y de
al de Stuxnet, Duqu almacenamiento investigación en
y Flame, lo que externo. Se puede Rusia, Irán, Estados
sugiere una fuente resucitar al recibir Unidos y otros
diferente. un adjunto de países.
correo electrónico
Eurograbber Basado en una Capaz de burlar Se enfocó en Se robó una
2012 variante de Zeus. el sistema de bancos en Europa, estimacioń de 36
autenticación comenzando millones de euros
basado en SMS en Italia y de más de 30,000
pidiendo al usuario extendiéndose clientes en más de
instalar un nuevo rápidamente a 30 bancos en toda
software de España y Holanda Europa.
seguridad en su
dispositivo móvil.
Hacer un mal uso de las instalaciones de TI, por ejemplo, cargar software
no autorizado en las máquinas del negocio, también puede presentar una
exposición a ataques de APT. Por lo tanto, se deben tener controles estrictos
para evitar que los activos del negocio se usen con fines no aprobados.
BAI010 Recomendaciones:
Gestionar la configuración Un estricto control de las configuraciones de la plataforma es esencial
para prevenir y detectar las intrusiones de APT. Estos ataques introducen
cambios a las configuraciones de la plataforma. Revisar y probar los cambios
al sistema operativo puede ayudar a detectar cualquier modificación no
autorizada hecha por malware de APT.
Ataque de fuerza bruta: un ataque basado en repetidos intentos de adivinar las contraseñas o
claves de cifrado, pasando a través de una variedad de combinaciones posibles hasta que una
es exitosa.
Autenticación fuerte: un sistema de autenticación que se basa en algo más que un secreto
compartido, como una contraseña (password), empleando un mecanismo adicional, como un
token físico, tarjeta inteligente o atributo biométrico.
Bogon:un falso paquete de IP que utiliza una dirección que aún no ha sido asignada o
delegada por Internet Assigned Numbers Authority (IANA) o un registro de Internet regional
delegado (RIR).
Botnet: una gran red distribuida de ordenadores previamente comprometidos que pueden
usarse para organizar ataques de denegación de servicio a gran escala a los servicios objetivo.
Certificado digital: un registro electrónico firmado por una autoridad de certificación utilizado
para autenticar a un usuario o una transacción.
Director de Seguridad de Información (CISO, por sus siglas en inglés: Chief information
security officer): la persona a cargo de la seguridad de la información dentro de la empresa.
Las unidades de negocios individuales también pueden contratar a su propio CISO.
Enrutador de agujero negro: un enrutador configurado para recoger el tráfico que no puede
ser entregado, por ejemplo, porque es inesperado, está mal configurado o es potencialmente
malicioso.
Falso positivo: un resultado que ha sido erróneamente identificado como un problema cuando,
en realidad, la situación es normal.
Guerra cibernética: un ataque informático por motivos políticos cuyo fin es obtener
superioridad sobre un adversario al comprometer la confidencialidad, integridad o
disponibilidad de la infraestructura o los sistemas de información del objetivo.
Hacker activista: un hacker que interrumpe o roba información de los sistemas de las
empresas objetivo por razones ideológicas o políticas.
Lista blanca: la práctica de controlar el acceso o la ejecución de derechos a través de una lista
de usuarios, dispositivos o programas aprobados.
Marciano: un falso paquete de IP que utiliza una dirección IP que está reservada para el uso
exclusivo de la Internet Assigned Numbers Authority (IANA).
Phishing: tipo de ataque por correo electrónico que trata de convencer a un usuario de que el
originador es auténtico, pero con la intención de obtener información para uso en ingeniería
social.
Prevención de fuga de datos (DLP): es una tecnología diseñada para detectar y bloquear
posibles brechas de datos, como las transmisiones salientes de datos confidenciales.
Prueba de intrusión: una prueba en vivo de la eficacia de las defensas de seguridad mediante
la imitación de acciones que llevan a cabo atacantes en la vida real.
Servidor de mando y control: Un servidor central de control diseñado para emitir comandos
remotos al malware en un sistema comprometido.
Sistema de prevención de intrusos (IPS): una tecnología que monitoriza las actividades del
sistema y el tráfico de la red para detectar actividades maliciosas y bloquea cualquier intrusión
que se detecta.
Spear phishing: un ataque de correo electrónico fraudulento (phishing) dirigido contra una
víctima cuidadosamente seleccionada, aprovechando el conocimiento sobre los intereses
personales o de negocios de la víctima.
Supervisar la actividad de la base de datos (DAM): una tecnología que permite controlar,
monitorizar y registrar el acceso a las bases de datos, independientemente del software de
gestión de la base de datos.
Referencias
Beechey, Jim; “Application Whitelisting: Panacea or Propaganda?,” The SANS Institute,
EE. UU., 2011, www.sans.org/reading_room/whitepapers/application/application-
whitelisting-panacea-propaganda_33599
Blasco, Jaime; “Are the Sykipot’s authors obsessed with next generation US drones?,”
AlienVault Labs Blog, EE. UU., 20 de diciembre 2011, labs.alienvault.com/labs/index.
php/2011/are-the-sykipots-authors-obsessed-with-next-generation-us-drones
Brown, Moira West; Don Stikvoort; Klaus-Peter Kossakowski; Georgia Killcrece; Robin
Ruefle; Mark Zajicek; Handbook for Computer Security Incident Response Teams (CSIRTs),
2a edición, Carnegie Mellon University, EE. UU., abril de 2003,
www.sei.cmu.edu/library/abstracts/reports/03hb002.cfm
Command Five Pty Ltd, “Advanced Persistent Threats: A Decade in Review,” Australia,
2011, www.commandfive.com/papers/C5_APT_ADecadeInReview.pdf
Context Response, “Network Monitoring,” Context Information Security, Reino Unido, 2013,
www.contextis.co.uk/files/Network_Monitoring_April_2013_3.pdf
“Cyberwar: War in the Fifth Domain,” The Economist, 1 de julio de 2010, consultado el
22 de agosto de 2013, www.economist.com/node/16478792
Europol, “2013 Serious and Organised Crime Threat Assessment (SOCTA),” Los países
bajos, 2013, www.europol.europa.eu/content/eu-serious-and-organised-
crime-threat-assessment-socta
Franklin, Andrew; et al.; “IBM X-Force® 2012 Trend and Risk Report,”
IBM Security Solutions, EE. UU., 2013, www-01.ibm.com/common/ssi/
cgi-bin/ssialias?subtype=WH&infotype=SA&appname=SWGE_WG_WG_
USEN&htmlfid=WGL03027USEN&attachment=WGL03027USEN.PDF
Kalige, Eran; Darrell Burkey; “A Case Study of Eurograbber: How 36 Million Euros was
Stolen via Malware,” Check Point Software Technologies and Versafe, 2012,
www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf
Krekel, Bryan; Patton Adams; George Bakos; “Occupying the Information High Ground:
Chinese Capabilities for Computer Network Operations and Cyber Espionage,” preparado
por Northrop Grumman Corporation para la US-China Economic and Security Review
Commission, EE. UU., 2012, origin.www.uscc.gov/sites/default/files/Research/USCC_Report_
Chinese_Capabilities_for_Computer_Network_Operations_and_Cyber_%20Espionage.pdf
Lacey, David; Managing the Human Factor in Information Security: How to Win Over Staff
and Influence Business Managers, John Wiley & Sons, EE. UU., 2009
Mandiant, “M-Trends® 2013: Attack the Security Gap™,” EE. UU., 2013,
www.mandiant.com/resources/m-trends
National Institute of Standards and Technology (NIST), Computer Security Incident Handling
Guide, Publicación especial 800-61, 2008,
csrc.nist.gov/publications/PubsSPs.html
NIST, Security and Privacy Controls for Federal Information Systems and Organizations,
Publicación esepcial 800-53, Revisión 4, 2013,
nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
Ponemon Institute, “2012 Cost of Cyber Crime Study,” EE. UU., 2012,
www.ponemon.org
Rasmussen, Anders Fogh; “NATO’s Next War—in Cyberspace,” The Wall Street
Journal, 2 de junio de 2013, consultado el 22 de agosto de 2013, online.wsj.com/article/
SB10001424127887323855804578508894129031084.html
Stamos, Alex; “Aurora Response Recommendations,” iSEC Partners, EE. UU., 2010, www.
isecpartners.com/research/white-papers/aurora-response-recommendations.aspx
Stoll, Clifford; The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer
Espionage, Doubleday, EE. UU., 1989
Strobel, Warren; Deborah Charles; “With troops and techies, U.S. prepares for
cyber warfare,” Reuters, 7 de junio de 2013, consultado el 22 de agosto de 2013,
in.reuters.com/article/2013/06/07/usa-cyberwar-idINL1N0EF0NF20130607
Symantec, “2013 Internet Security Threat Report,” volumen 18, consultado el 22 de agosto
de 2013, www.symantec.com/security_response/publications/threatreport.jsp
Villeneuve, Nart; James Bennett; “Detecting APT Activity with Network Traffic Analysis,”
Trend Micro Incorporated, EE. UU., 2012, www.trendmicro.com/cloud-content/us/pdfs/
security-intelligence/white-papers/wp-detecting-apt-activity-with-network-traffic-analysis.pdf
Walter, Jim; “Flame Attacks: Briefing and Indicators of Compromise,” McAfee Labs, 2012,
www.mcafee.com/us/resources/white-papers/wp-mcafee-skywiper-brief-v-1-6.pdf
Índice
A Ciclo de vida del desarrollo de la seguridad,
86
Actividad de la red que indica un ataque de COBIT 60, 113-120
APT, 72 Coincidencia de patrones de comunicaciones,
Activista, 33-34 81-83
Activos financieros en riesgo, 51 Comportamiento sospechoso, ejemplos de,
Activos físicos en riesgo, 50-51 71-72
Activos intelectuales en riesgo, 53 Conexión única [Single-sign on] (SSO), 78
Adobe Systems, 22, 110 Conocimiento en riesgo, 52
Adware, 15 Contención de daños, 98
Agencias de inteligencia, 29, 43, 50 Control de acceso, 121-124
AlienVault Labs, 21 Cortafuegos (firewall) de estado, 77-78
Análisis de la causa raíz, 99 Cortafuegos (firewall), 65, 77-78, 81
Anónimos, 34 Cuckoo’s Egg, 19-20
Aprendizaje a partir de incidentes, 99 Cumplimiento, 22, 57, 60, 75, 78
Aprovechamiento de la información, 46
Ataque de denegación de servicio D
distribuido, 33
Ataque de denegación de servicio, 17, 41, 94 Datos de tarjeta de crédito y valores de
Ataque RSA, 24-25 verificación de tarjeta, 51
Autenticación fuerte, 78 Definición de amenaza persistente vanzada
Auto replicación, 15 12
Derechos contractuales (manipulación de), 51
B Descarga drive-by, 17
Descubrimiento del objetivo, 45-46
Bandas criminales, 32-33 Detección basada en firma, 77
Bendelladj, Hamza, 23 Diagrama de Ishikawa, 99-100
Bogon, 82 Diagramas de espina de pescado, 99
Botnet, 17 Duqu, 25-26
C E
Caballo de Troya, 16-17 Educación del usuario, 65-66
Cadena de muerte, 67-68, 71, 73 Ejercicios de crisis, 94
Características de un ataque de APT38, 38-43 Ejército electrónico sirio, 51
Carnegie Mellon University, 89 Embajadas, ataques a, 21
Caso de negocio para contramedidas, 57 Enfoque heurístico (basado en la
Centro de operaciones de seguridad (SOC), experiencia), 77-78
90-91 Enrutador agujero negro, 82
Certificado digital, 40, 82 Entrar en el objetivo, 45
Certificados digitales SSL, 82 Equipo de respuesta a emergencias
Ciclo de la gestión de riesgos, 49 informáticas (CERT), 89-90
P T
PayPal, 34 Tecnología de la seguridad para mitigar los
Persistencia de los ataques de APT, 41-42 ataques de APT, 66-67
Polimorfismo, 16 Terroristas, 33
Principio de menor privilegio, 64 Titan Rain, 20-21
Pruebas de intrusión, 78 Troyano de acceso remoto, 17, 82
Pruebas de seguridad de las aplicaciones, 81 Troyano de denegación de servicio, 16
Troyano de envío de datos, 16
R Troyano de hombre en el navegador, 16, 23
Troyano de hombre en el teléfono móvil, 16
Ransomware, 15
Troyano de inhabilitación del software de
Recuperación de un incidente, 98
seguridad, 17
Redes sociales, 44, 53
Troyano FTP, 16
Registro de arranque maestro, 23
Troyano proxy, 16-17
Registro de riesgos, 56
Registros de recursos humanos en riesgo, 52
República Popular de China, 35
V
Reputación corporativa, 53, 58, 93 Valor de la marca, 53
Riesgo Moral, 56 Valoración de daños, 96-97
Rootkit, 15 Ventor de ataque, 20
Virus, 16
S Visualización de datos, 92
SCADA, 33
SecurID, 24 Z
Segregación de redes, 65 Zeus, 23
Seguridad de la información y de gestión de
eventos (SIEM), 84
Selección del objetivo, 44
Servicios de inteligencia, 13, 19, 30-32, 52
Servidor de mando y control, 40, 72, 81-82
Signos que delatan un ataque de APT, 70-72
Simulación en entorno de pruebas, 80
Sistema de detección de intrusos (IDS), 77
Sistema de prevención de intrusos (IPS), 79
Sofisticación de los ataques de APT, 39-40
Spear phishing, 37, 45
SpyEye, 23-24
Spyware, 15
Stuxnet, 25, 38, 50