Ciberguerra. El conflicto en Ucrania en el plano digital y el papel de la Ciberseguridad en estos escenarios

Fuente: https://www.lavanguardia.com/tecnologia/20220126/8013768/ucrania-rusia-peligro-ciberguerra-malware-nbs.html

El concepto de “guerra tecnológica” se ha posicionado como una de las grandes tendencias de la era digital. La tecnología y la hiperconectividad global han facilitado el traslado de los conflictos armados tradicionales a este nuevo escenario, sirviendo como apoyo ilimitado en el escalado de contiendas bélicas.

Así, el histórico enfrentamiento cuerpo a cuerpo evoluciona en ataques informáticos que buscan debilitar y desestabilizar un país o gobierno concreto, teniendo como principal objetivo aquellos sistemas, servicios e infraestructuras que resultan esenciales para la continuidad y operatividad de una zona geográfica entera.

La ciberguerra se convierte en un potente aliado para los conflictos internacionales y juegos geopolíticos entre gobiernos y Estados. Y esta realidad la sentimos más cerca que nunca con la situación de contienda que se dispersa en estos momentos por las calles de las ciudades estratégicamente más importantes de Ucrania.

Que la Ciberguerra es una constante entre Rusia y Ucrania no es algo nuevo, pues ambos países han optado desde hace años por utilizar estrategias de guerra cibernética con el objetivo de impactar en sus respectivos gobiernos y personalidades clave, pero el reciente escalado de la contienda en el propio terreno ucraniano ha supuesto no solo un aumento considerable de estas técnicas de ciberguerra, sino en la propia internacionalización de este conflicto en el espacio digital.

En cuestión de pocos días, varios ciberataques han paralizado tanto sistemas informáticos de instituciones y organizaciones de alta importancia en Kiev, como páginas webs del propio gobierno y entidades bancarias. A todo esto se suma la revuelta que ha creado la intervención del grupo hacktivista Anonymous, declarando en sus propias redes sociales la guerra cibernética a Vladimir Putin. Así, el propio grupo ha compartido la consecución con éxito de varios ciberataques perpetrados contra el Kremlin, como el ataque a la televisión estatal o el hackeo de la base de datos web del Ministerio de Defensa ruso.

¿Cómo impacta esta guerra online en un conflicto con un escalado tan notable en la comunidad internacional? Esta internacionalización supone un enorme reto en materia de Ciberseguridad, con la aparición de especialistas en Ciberdefensa en diferentes puntos del mundo dedicados por completo a esta contienda cibernética y con una creciente necesidad de acudir a expertos en Ciberseguridad y Ciberguerra.

Sin ir más lejos, tanto la UE como la OTAN han auxiliado al gobierno ucraniano con equipos de apoyo especializados en Ciberseguridad y Ciberdefensa.

Si la Ciberseguridad para Estados y gobiernos ya era crucial, en un conflicto armado con una alta incidencia y aplicación de técnicas cibernéticas resulta altamente necesaria. Tantos actores clave conectados y dependiendo de Internet supone una creciente amenaza para los activos digitales de todo el planeta. Lo que ocurre en Ucrania puede afectar no solo a Europa, sino también a Estados Unidos y las potencias americanas o asiáticas.

Extremar la precaución en el ciberespacio siempre es necesario, pero ante la situación actual que presenta este conflicto, esto debe ir más allá. Aquí, la Ciberseguridad jugará un papel clave. Se debe crear conciencia en la necesidad de aplicar medidas técnicas y organizativas, pues la aparición de nuevas amenazas es constante. Por ejemplo, grandes firmas de Ciberseguridad han alertado de la aparición de nuevos y potentes malwares en sistemas informáticos ucranianos, que fácilmente pueden ser explotados por otros grupos para atacar tanto instituciones internacionales como al sector privado en cualquier parte del mundo.

Un antivirus y un sistema operativo actualizado ya no son suficientes, es de vital importancia contar con perfiles expertos y herramientas enfocadas en Ciberinteligencia, Ciberdefensa y Seguridad Informática. Además, la concienciación será siempre una herramienta fundamental que tendrá un gran efecto en la prevención de los ataques informáticos, pues el factor humano siempre supondrá una vulnerabilidad muy jugosa para los señores de la guerra cibernética.

Omnium contra Omnes (II): Hacia el realismo político

En el anterior artículo comentábamos el impacto que ha tenido la posibilidad de anonimato en el ciberespacio. En este post vamos a indagar en esta cuestión y exponer los detalles que explican la existencia del anonimato, así como las consecuencias en el contexto geopolítico.

Anonimato

Los cinco factores imposibilitan la atribución directa de una acción de ciberguerra a una nación son los siguientes:

1. Que el medio virtual esté conformado por información permite a todo tipo de usuarios disponer de la posibilidad de la creación y modificación de artefactos, únicamente limitado por los permisos. Esto conduce a que no exista una traslación completa del elemento físico al virtual y, por tanto, no se dispone del control total del mismo. En consecuencia, no es posible garantizar la inmutabilidad de los elementos del entorno, es decir, qué acciones se han realizado o quién las realiza.

2. Existe la imposibilidad fáctica de la asignación de un perfil virtual de una nación. Los problemas vinculados a la atribución, fundamentados en el punto anterior, imposibilitan la relación de dos campañas separadas en el tiempo solo a partir de sus tácticas, técnicas y procedimientos. Incluso a pesar de contar con un indicador como el hash, no existe garantía al 100% de que se trata exactamente del mismo actor, pues el código podría haber sido robado o manipulado con anterioridad.

[Read more…]

Omnium contra omnes (I): Foucault en la ciberguerra

No cabe duda de que, durante los últimos años, el número de operaciones en el ciberespacio con una motivación política ha ido en aumento. Bajo el análisis del contexto geopolítico, podemos encontrar una de las causas del auge de este nuevo modelo de guerra.

Desde la II Guerra Mundial no ha habido un conflicto bélico entre dos naciones del primer mundo. Esto evidencia cómo las grandes naciones han trasladado el choque de intereses a metodologías menos clásicas, como puede ser la utilización de guerras subsidiarias, la guerra comercial y, desde hace algunos años, la ciberguerra.

Sin embargo, es la utilización de la ciberguerra lo que permite interpretar el contexto geopolítico actual, pues ofrece una serie de particularidades como conflicto que permiten adecuarse de manera acorde a las relaciones internaciones contemporáneas.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (IX). Conclusiones.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

¿Qué podemos hacer?

A lo largo de este ficticio (pero lejos de ser imposible) ensayo se ha pretendido demostrar lo intrincadas que están las TIC en el desarrollo de nuestras vidas. El tan famoso como manido “fallo informático” que afecta a veces nuestros quehaceres diarios no es más que un fallo de seguridad, afortunadamente no intencionado en la mayoría de los casos.

La ciberseguridad es un componente fundamental de las TIC. Y dado que, como hemos hablado, las TIC son una parte instrumental de nuestras vidas, es lógico (nunca mejor dicho) asociar transitivamente la ciberseguridad con nuestras vidas.

Esta serie de artículos se escribió antes de WannaCry, pero este incidente ejemplifica a la perfección el objetivo pretendido. Si el malware hubiera usado además del 445 (SMB) el puerto 3389 (Escritorio Remoto), la tasa de infección se habría incrementado en un orden de magnitud. Pero si el fallo explotado correspondiera al conjunto de parches de Mayo, que había salido el Martes por la noche (y que nadie tenía aplicado)… prácticamente todo el mundo habría sido víctima del ataque. Un verdadero armageddon para Internet.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (VIII). De vuelta al mundo real.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

(Después del fin de semana movidito que hemos tenido, volvemos con el penúltimo post de la serie de Antonio Sanz sobre un potencial escenario de ciberguerra en la ciudad de Zaragoza. En breve, las conclusiones finales).

0. De vuelta al mundo real

A primera vista, podría parecer que el relato anterior sería más que adecuado como  argumento de una película de Tom Clancy. Sin embargo, vamos a volver a repasar todos los puntos de la investigación del relato ficticio, pero desde otra óptica: la del mundo real.

Fallo del suministro eléctrico

Las redes eléctricas podrían ser sin muchas dudas la infraestructura crítica más importante de un país: la dependencia de otros muchos sistemas de la electricidad lo hace indispensable para la sociedad moderna.

Es por ello por lo que estas redes son objetivos claros de acciones de ciberguerra: un ejemplo claro es el ataque sobre la red eléctrica Ucraniana en 2015 y 2016, que dejó sin energía eléctrica a más de 200.000 personas durante varias horas.  Otro ejemplo, aunque sin confirmar, sería el apagón de prácticamente todo el sudeste de Turquía en 2015, que dejó a 40 millones de turcos sin suministro eléctrico durante 12h.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (VII). Lo que sabemos que no sabemos.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Fake news & Social Media

La campaña masiva de noticias falsas sobre el atentado fue fácilmente desmontada gracias a la colaboración tanto de Facebook como de Twitter: cientos de cuentas falsas elaboraron una estrategia coordinada, emitiendo y promoviendo docenas de noticias falsas, apoyadas en algunos casos de pantallazos falsificados de sitios de noticias e incluso de artículos de blogs generados de forma previa al ataque.

Destaca la participación involuntaria en el ataque de agencias de noticias tan prestigiosas como EFE o Reuters. La investigación indica que fueron víctimas de ataques de ingeniería social, ya que recibieron varias llamadas anónimas que se hicieron pasar tanto como por mandos de la OTAN como de altos cargos del gobierno español.  Haciendo uso de toda la información falsificada (IGN, AEMET, etc…) lograron engañarlos por completo.

Ataque militar marruelí  

Esta parte de la investigación la realiza el gobierno marruelí en colaboración con España. Los resultados indican que el gobierno marruelí fue convenientemente desinformado por “fuentes de confianza”, que indicaban que España iba a realizar un ataque nuclear contra Marruelia desde el “Juan Carlos I” en represalia por el atentado de Zaragoza. De ahí la carrera desesperada de la flota marruelí por evitar ese ataque que afortunadamente nunca se produjo.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (VI). La verdad está ahí fuera.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

(Recordamos que esta historia se basa en el género literario de la ucronía, una reconstrucción de la historia basada en datos y hechos hipotéticos. Es por tanto ficción, y debe ser considerada como tal en todos los aspectos excepto en aquellos relacionados con la ciberseguridad. Toda la información empleada para realizar este ensayo ha sido obtenida a través de fuentes abiertas, e interpretada por el (mejor o peor) criterio del autor. Esta anotación debe aplicarse especialmente a todos los protocolos de respuesta a situaciones de crisis,  que pueden diferir sensiblemente de la realidad.

Aunque quede claro que es una ficción, se estima necesario recordar que en ningún caso se pretende desmerecer la innegable labor de todos los actores (FFCCSE, fuerzas armadas, servicios de inteligencias, servicios de emergencia, etc…) que velan por la seguridad de los españoles. Nuestro objetivo es claro y común: la seguridad de todos).

La investigación dura varios meses, y engloba a equipos de investigación de multitud de organismos: Policía Nacional, Guardia Civil, CNI y CNPIC en primera instancia dejan lugar a los técnicos de CCN-CERT y CERTSI, dada la obvia vertiente que va teniendo el incidente a medida que la investigación sigue su curso.

A continuación se muestra buena parte de las conclusiones a las que llegaron el más de un centenar de investigadores partícipes de la investigación. Por desgracia, estas conclusiones no constituyen toda la verdad, no siendo capaces de explicar todo lo sucedido.

Fallo del suministro eléctrico

Dos meses antes del incidente, varios empleados de REE recibieron un correo electrónico con una encuesta del Grupo de Trabajo de la UE de Smart Grids. O eso parecía a primera vista. El correo era en realidad un ataque de spear-phishing muy elaborado, que contenía un adjunto de Excel con una macro maliciosa que lanzaba a su vez un Powershell. Este malware se ejecutaba únicamente en memoria (lo que se denomina un fileless attack), lo que dificultaba en buena parte su detección.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (V). Daños colaterales.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Zaragoza, 20 de Marzo de 2017 – 19:30h

La Presidenta de España aparece minutos después en todas las cadenas de televisión españolas con un informe breve de la situación: no se ha producido un ataque nuclear en España y Zaragoza continúa sin suministro eléctrico y de comunicaciones (por lo que se declara el estado de emergencia en toda la provincia). Se mantiene el nivel de alerta antiterrorista en 5, y se están tomando todas las medidas necesarias para que Zaragoza vuelva a la normalidad lo antes posible.

A los pocos minutos de la emisión del comunicado, la Academia Militar de San Gregorio entra en contacto con Defensa, informando de su plena capacidad operativa.  De la misma forma, se empieza a poder contactar de forma paulatina vía radio con la UME y otras unidades de las FFCCSSE, logrando establecer una primera (aunque frágil) red de comunicaciones. La Policía Nacional se persona en la vivienda del consejero de Presidencia del Gobierno de Aragón (el presidente de la comunidad está volviendo de Jaca en estos momentos), y éste ordena la activación de PLATEAR (Plan Territorial de Protección Civil de Aragón), declarando una emergencia de nivel 3 (la más alta posible).

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (IV). La hora de la verdad.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Sin ojos en el cielo

Madrid, 20 de Marzo de 2017 – 19:18h

El CES continúa su búsqueda de información, elevando en este caso sus ojos al cielo. España posee una cierta cantidad de satélites tanto civiles como militares, algunos de ellos con capacidades de toma de imágenes de alta resolución.

Los satélites militares, SpainSat y Xtar-EUR, tienen capacidades únicamente de comunicaciones (son los empleados para las comunicaciones militares seguras en las operaciones del Ejército en todo el mundo), por lo que se debe recurrir a los satélites civiles, PAZ e Ingenio. Sin embargo, la fortuna sigue sin sonreírnos: PAZ tiene una avería en su radar de apertura sintética, y la órbita síncrona solar de Ingenio no pasará por España hasta dentro de 45 minutos.

[Read more…]

Corea del Norte: la Unidad 121

Corea del Norte ha sido, desde 1953, un país conocido por su hermetismo. Se ha sabido que ni los ciudadanos que pueden acceder a la electricidad tienen acceso a Internet. Podemos suponer bastante acertadamente el porqué de esta prohibición. En el país norteño de la península se dispone de una intranet llamada “Kwangmyong”, que, obviamente, es monitorizada por el gobierno. Hace no mucho, incluso, se supo por una filtración del DNS del dominio .kp que éste sólo disponía de 28 sitios web. Se supone, además, que sólo 3 millones de los 25 que hay de habitantes usan smartphones.

Sin embargo, a pesar del aparente “retraso tecnológico” que se percibe, se conoce que el gobierno invierte una tercera parte de sus presupuestos en el ejército, y de esa cantidad, un 10-20% va a la unidad de informática.

El gobierno hace una buena tarea de “ojeador”, atrayendo a los mejores informáticos de la universidad de Pyeongyang y añadiéndolos entre sus filas. Es un trabajo privilegiado cargado de honor que, además, les asegura una vida de comodidad a cambio.

[Read more…]