Constantemente escuchamos acerca de los riesgos a los que estamos expuestos hoy en día en el ciberespacio y de la relevancia que está tomando la ciberseguridad, esto reforzado por diversas noticias sobre incidentes (hackeo, fugas de información, robos de identidad y otros ataques).

El perfil de los atacantes ha cambiado y por consecuencia el panorama de amenazas. La pregunta es si este nuevo contexto en realidad implica un escenario de mayor riesgo para nuestras organizaciones. En este breve artículo pretendo explicar y ejemplificar por qué la respuesta, desde mi punto de vista, es un rotundo SÍ.

Iniciemos recordando que la seguridad informática tiene que ver con la administración de riesgos, y que riesgo se define como la probabilidad de que una amenaza explote una vulnerabilidad ocasionando un impacto en la organización. De esta definición, podemos identificar los tres elementos clave del riesgo: amenaza, vulnerabilidad e impacto.

Si no hay amenaza no hay riesgo; si no hay vulnerabilidades, aunque haya amenaza tampoco hay riesgo; y aunque haya amenazas y vulnerabilidades, si no hay impacto tampoco hay riesgo.

Ahora revisemos cada uno de los tres elementos con más detalle:

.

Análisis de las amenazas
El nivel de amenaza al que una organización está expuesta tiene que ver con las capacidades e intenciones de los ciberactores de perpetrar un ataque. Es muy importante entender quiénes son los atacantes relevantes para una organización específica, de acuerdo a su presencia geográfica, al sector al que se dedica y a los activos que maneja (transacciones financieras, sistemas de control industrial, infraestructura crítica para una nación, estrategias de seguridad nacional, propiedad intelectual, etc.).

Al ser sobre todo grupos organizados de delincuentes o financiados por los gobiernos, e incluso los propios gobiernos, los que están detrás de la mayor parte de los incidentes recientes, es claro que los recursos con los que cuentan son abundantes, por lo tanto podemos decir que la capacidad de los atacantes es mayor ahora.

En relación a su capacidad técnica, sabemos que hoy están empleando métodos mucho más complejos y nuevos vectores para lograr su objetivo. Dicha capacidad técnica se determina principalmente por:

  • Los métodos que utilizan, es decir, las técnicas de evasión, infraestructura, tecnología y codificación de los artefactos o arsenal cibernético.
  • Los recursos empleados, tales como gente experta, herramientas tecnológicas y entrenamiento.

A continuación menciono algunos ejemplos que demuestran cómo la capacidad de los atacantes se ha incrementado:

  • Dragonfly es una campaña dirigida a comprometer sistemas de control industrial. Utiliza tres componentes de malware conocidos como remote access tools (RAT) en tres vectores de ataques: 1) Spearphishing, 2) Water Hole attack, es decir, la infección de sitios de interés para las víctimas, de tal forma que redirecciona a los visitantes a otro sitio que contiene el kit de explotación, el cual posteriormente instala el RAT y 3) Trojanized software, modificación del software oficial de los sitios de actualización de las plataformas de sistemas de control con RAT para que cuando los sistemas realicen la descarga de dichas actualizaciones también se contaminen con el malware.
  • En noviembre de 2014 Symantec dio a conocer su reporte acerca de un malware denominado Regin, software que está diseñado para múltiples propósitos de obtención de inteligencia de largo plazo, manteniéndose indetectable. Está dirigido a gobiernos, operadores de infraestructura crítica (energía, telecomunicaciones, salud y aerolíneas), pequeñas empresas, investigadores y personas.
    El nivel de complejidad de este malware es muy alto, ya que es modular y permite la carga de funciones y objetivos específicos «sobre la marcha» dependiendo de la víctima, lo que sugiere que la cantidad de recursos utilizados para su desarrollo fue muy grande. México representa 9% del total de infecciones detectadas hasta el momento.

 

Como muchas cosas en la vida, sin motivación no hay resultados, y en este caso entre mayor sea la motivación, mayor es la intención de atacar. Debemos analizar dos preguntas clave:

  • ¿Qué motivación puede tener un ciberactor? Puede ser fama, reconocimiento, «clamar justicia», o buscar algún tipo de ganancia ya sea política, financiera, militar, estratégica, operativa, etcétera.
  • ¿Qué es lo que el atacante quiere extraer? Información personal, propiedad intelectual, información sobre planes estratégicos, base de datos de clientes, datos de tarjetas de crédito, acceso a sistemas de control industrial (ICS), etcétera.

La venta de información sensible robada a organizaciones es un negocio muy lucrativo para los grupos delincuenciales, de igual forma, el ciberespionaje para recolectar información de inteligencia y secretos militares es muy atractivo pues permite, finalmente, tener capacidades para realizar operativos de ciberataque.

A continuación describo algunos ejemplos que muestran cómo la intención de los atacantes ha cambiado:

  • El Syrian Electronic Army (SEA), grupo hacktivista supuestamente ligado con el régimen sirio, en 2013 atacó sitios Web externos y cuentas de redes sociales de diversas organizaciones con el propósito principal de elevar la conciencia sobre su causa política. Utilizó dos tácticas para obtener acceso a las organizaciones víctima: la primera fue enviar correos tipo phishing desde cuentas internas y el segundo fue comprometer organizaciones de proveedores de servicio para utilizarlas como vehículo para llegar a la organización víctima.
  • La campaña Dragonfly, descrita anteriormente, tenía como víctimas potenciales diversas empresas del sector farmacéutico y el objetivo era robar propiedad intelectual, planes de producción, capacidades y volúmenes de producción de las plantas de manufactura.
  • APT28 es el nombre dado por Mandiant a un grupo de ciberespionaje ruso, aparentemente patrocinado por el propio gobierno de Rusia que está recolectando información sobre temas de defensa y aspectos geopolíticos. Se han identificado tres temas alrededor de este grupo: El Cáucaso, en específico el gobierno de Georgia; gobiernos y entidades militares del este de Europa y organizaciones específicas de seguridad como la OTAN. Dentro de la lista de posibles objetivos de este grupo de espionaje se encuentran diversos gobiernos, entre ellos el de México.

.

Análisis del impacto
El impacto tiene que ver con los efectos que el incidente puede ocasionar en la organización y estos pueden ser vistos desde dos grandes ópticas: operativos y estratégicos. El primero tiene que ver con las actividades del día a día de la organización, debe ser preferentemente expresado en términos monetarios, pueden ser directos debido a la indisponibilidad o inaccesibilidad de los servicios del negocio (hacia usuarios internos/clientes), o a la contención, remediación y erradicación del mismo. También pueden ser indirectos, tales como la improductividad de la fuerza laboral durante el suceso; los efectos secundarios con las entidades relacionadas en la cadena de valor y de suministro, o a los accionistas.

A continuación menciono algunos ejemplos que muestran cómo el impacto operativo de algunos de los incidentes recientes ha sido muy alto:

  • Stuxnet es un malware especializado en sistemas SCADA (supervisory control and data acquisition) que utilizan ciertas versiones de Siemens, el cual, para realizar la infección y propagación, explotó diversas vulnerabilidades del sistema operativo Windows bajo el cual corren estos sistemas. Permite tomar el control remoto de los equipos infectados; el vector de infección fue por medio de un USB, aprovechando una vulnerabilidad del «autorun» y directorios compartidos sin protección. Se identificó que los objetivos fueron plantas de energía y gas, principalmente en Irán, con la probable intención de sabotearlas reprogramando los controladores (PLC), de tal forma que se modificara la frecuencia de unos convertidores que controlan la velocidad de los motores, ocasionando fallas en cerca de 1,000 centrifugadoras de una planta de enriquecimiento de combustible en Natanz.
  • Ataque a JP Morgan que afectó 76 millones de cuentas personales y 7 millones de cuentas de pequeños negocios, además de JP Morgan se identificó a más de una decena de instituciones financieras de los Estados Unidos con el mismo problema.
  • La cadena Home Depot sufrió un ataque a través del cual se extrajeron 53 millones de direcciones de correo y 56 millones de tarjetas de crédito. Inició en la parte perimetral al obtener el usuario y contraseña de un proveedor y luego obtuvo mayores privilegios para moverse en el resto de los sistemas de la empresa. El malware utilizado no había sido visto antes.

El otro tipo de impacto es aquel que afecta los intereses estratégicos de una organización, esto se refiere a la pérdida de ventajas competitivas por robo de información relativa a planes estratégicos, planes de fusiones y adquisiciones, información sobre personal clave o directivos, información sobre clientes, etcétera. También considera los impactos no tangibles como afectación a la reputación, la cultura organizacional, aspectos geopolíticos, presencia en el mercado, por mencionar algunos.

A continuación expongo ejemplos que demuestran el alto impacto de los incidentes recientes:

  • Más de 100 millones de datos de tarjetas de crédito fueron robadas de las tiendas departamentales Target, lo que implicó un costo de millones de dólares y la renuncia del director general (CEO) y el director de sistemas (CIO).
  • Para el caso de Home Depot expuesto anteriormente, aun cuando todavía no se tiene el monto del costo del incidente, este podrá incluir reembolsos por los fraudes a las tarjetas, costos por reemisión de los plásticos, demandas civiles, investigaciones gubernamentales, servicios legales, de investigación y consultoría, gastos adicionales e inversiones de capital para actividades de remediación. Estos costos podrán tener un impacto adverso en los resultados financieros de la empresa.

.

Análisis de las vulnerabilidades
En cuanto a las vulnerabilidades, los elementos a considerar son la gente, procesos y tecnología. Como siempre, el eslabón más débil somos las personas. Tanto las amenazas tradicionales como las nuevas tocan en algún punto a la gente, y en la medida que sigamos siendo vulnerables seguirán teniendo éxito.

Un ejemplo que cómo los atacantes buscan tomar ventaja del factor humano es el siguiente: en la campaña de Dragonfly, el primer vector de ataque fue el envío de una serie de correos apócrifos (técnicamente conocidos como spearphishing) que contenía un anexo en formato XDP (Adobe XML Data Package) con malware. Estos correos fueron diseñados específicamente y dirigidos a 37 personas (altos ejecutivos y personal experimento) de 7 organizaciones objetivo, y el asunto de dichos correos era sobre aspectos administrativos de las empresas.

Por otro lado, las vulnerabilidades de los sistemas siguen teniendo la misma dinámica, es decir, no son ni más ni menos seguros, lo que sucede es que ahora la superficie de exposición es mayor. Esto significa, por un lado, que ahora los empleados tienen presencia online en las redes sociales, lo cual puede ayudar a los hackers a obtener información para atacar de forma dirigida o para utilizarlo como parte de un vector de ataque. Y por el otro, las organizaciones cada vez tienen más infraestructura expuesta al ciberespacio, nuevas aplicaciones Web y en la nube, mayor cantidad de servicios basados en Web, servicios de hospedaje, BYOD, mayor interacción con terceras partes vía aplicaciones Web, etcétera.

.

Conclusiones
Grupos organizados con capacidades y recursos (económicos, tecnológicos y humanos) están generando ataques dirigidos, más complejos y muy difíciles de descubrir por medio de los mecanismos tradicionales. Sus principales motivaciones son económicas y políticas, por lo que sus blancos primarios son instituciones financieras y entidades gubernamentales. Es decir, los atacantes tienen mayor capacidad e intención para realizar ataques.

El impacto de los incidentes ahora es mucho más significativo por el tipo de objetivos que se persiguen. Anteriormente poco hacíamos respecto a los riesgos que representaban un alto impacto ya que su probabilidad de ocurrencia era muy baja, ahora estos suceden con mucha mayor frecuencia.

En resumen, hay amenazas más sofisticadas, por lo tanto mayor probabilidad de ocurrencia, esto sumado a que los impactos son más significativos da como resultado un escenario de mayor riesgo. Este contexto nos obliga a implementar estrategias específicas complementarias a las actuales para su mitigación.

[email protected]

.

Fuentes:

  • Mandiant 2014 Threat Report.
  • FireEye Special Report APT28: A window into Russias´s cyber espionage operations?
  • Symantec Security Response. Regin: Top-Tier espionage tool enables stealthy survillance.
  • Belden White Paper Defending Against the Dragonfly Cyber Security Attacks.
    https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf
  • Symantec Security Report W32. Stuxnet Dossier.
    http://www.scmagazine.com/the-chase-breach-lasted-for-two-months-and-impacted-76-million-household-accounts-and-seven-million-business-accounts/article/375377/
  • Implementation Framework – Cyber Threat Prioritization. Software Engineering Institute. Carnegie Mellon University
  • ISACA NOW. A simple definition of cybersecurity.
  • Scitum White Paper: ¿Qué es la Ciberseguridad?