Un escenario de ciberguerra nos puede afectar seriamente

Aunque los estados contendientes estén en el hemisferio norte, muy lejos de nosotros, nos puede impactar con serias consecuencias.

En la actualidad, la sociedad enfrenta amenazas múltiples y difusas. Los avances tecnológicos del siglo XXI, y con ello nuestra dependencia a la interconectividad, nos hace vulnerables a peligros como las ciberamenazas, clasificadas como: ciberguerra, ciberataque, ciberterrorismo, hacktivismo, cibercrimen, etc.. Debido a la existencia de estas amenazas reales, el ciberespacio ha sido añadido a la lista de factores sensibles que pueden desestabilizar la seguridad mundial.

El ciberespacio, Internet, el web es un dominio bélico, es un campo de operaciones, como lo son la tierra, el mar, el aire o el espacio, en el que también se desarrollan maniobras defensivas y ofensivas, pero cibernéticas. La ciberguerra (cyberwar) es la principal ciberamenaza a nivel global.

A los antecedentes, entre otros, de Estonia y Georgia en la década pasada, en la presente década se vienen sumando con fuerza una serie de denuncias y advertencias acerca de ciberataques centrados en la manipulación de información con objetivos políticos, incluso con el propósito de intervenir en procesos electorales de otros países.

Por éstos días nuevamente se advierte la posibilidad de una confrontación entre EE.UU. y Rusia. Se ha señalado que "Rusia quiere resurgir como imperio con la ciberguerra como herramienta de política exterior". Se dice que el aparato ruso está explotando las vulnerabilidades detectadas en las democracias y que EE.UU. y sus aliados estarían preparando un contra golpe.

"En 2008, se logró hackear la Secret Internet Protocolo Router Network (SIPRNet), la red interna de comunicación del ejército estadounidense; y, en 2010, el virus malicioso Stuxnet dañó las centrifugadoras de uranio en la planta nuclear iraní de Natanz, siendo el primer ciberataque con un propósito bélico capaz de inhabilitar una infraestructura física".

Las consecuencias de una ciberguerra pueden ser tan destructivas como las de una guerra convencional, señalan los expertos. El caos provocado, por ejemplo, del colapso de los transportes, la parada de las centrales eléctricas y de los mercados financieros producirían victimas humanas y perdidas económicas.

La seguridad de los conectores USB comprometida por fallo de alto riesgo

El portal Wired, en su sección Threat Level, ha publicado un artículo debelando el importante problema de seguridad que se ha descubierto a partir de un trabajo de los investigadores Karsten Nohl y Jakob Lell.

Los investigadores de seguridad, utilizando técnicas de ingeniería inversa, han conseguido acceder al firmware que controla las funciones básicas de comunicaciones de USB para comprometerlo, y han encontrado un grave agujero que permite instalar un malware denominado BadUSB, que es invisible e indetectable, y permite tomar el control del ordenador donde esté conectado.

El grave fallo de seguridad, aprovechado por estos investigadores, hace que no sea necesario guardar el malware en la memoria flash del dispositivo USB, sino que se lo puede esconder en el mismo firmware dentro del chip que controla el envío y recepción de la información cuando lo conectamos a un ordenador.

Karsten Nohl y Jakob Lell han explicado que se trata de un fallo de diseño del USB, una vez inserto el malware en el firmware dentro del chip, se puede escanear la memoria y borrarla, considerarla que “está limpia”, pero el problema persistirá porque el malware no puede ser detectado.

El efecto contagio es tremendo, el malware es “bidireccional”, no sólo afecta a memorias USB, también a todo tipo de dispositivos que utilizan este conector. Todo, teclados, ratones y hasta cables para cargar móviles. El malware puede "viajar" de USB a ordenador y viceversa, infectando otros USB conectados en el momento de la infección.

Puede crear puertas traseras en el software instalado, simular un teclado con el que introducir comandos, es gravísimo, el acceso es casi total, monitorizando el tráfico de Internet del equipo, cambiar las DNS; e incluso, en el caso que el código infecte un teléfono móvil, podría conseguir acceso a las comunicaciones con un ataque man-in-the-middle.

Los investigadores de seguridad han advertido que por ahora no hay una solución sencilla, las firmas de seguridad deberán esperar a que se expongan los detalles de este grave problema que no puede ser parcheado. Indicaron que es casi imposible saber si el firmware de un dispositivo ha sido alterado desde fuera.

Para los usuarios no hay medidas técnicas que podamos tomar, lo que sí podemos hacer es cambiar nuestra forma de tratar con este tipo de dispositivos. La seguridad de nuestros equipos estará directamente relacionada con lo que conectemos en los puertos USB.

¿por ésto que me recuerda al Stuxnet?

Símbolo del Universal Serial Bus USB. Visto en Wikipedia.

Nota relacionada:

• Why the Security of USB Is Fundamentally Broken. Wired: Threat Level.

Tiempos peligrosos

Sobre el fin de la semana pasada nos informábamos a través de BBC Mundo que "el gobierno de Estados Unidos está desarrollando un "modelo a escala" de internet para llevar a cabo juegos de guerra cibernética y reforzar así sus defensas contra los ataques generados por computadoras".

Por éstos días los ciberactivistas o "hacktivistas" se han dado el "lujo" no sólo de amenazar, si no que también de llevar adelante sus amenazas, atacando websites de gobiernos y empresas en buena parte del mundo. Empresas como Sony y el Citigroup, organizaciones como el FMI han sido blancos resonantes de actividades de crackers (aunque la prensa los llama hackers) en éstos últimos tiempos. Ayer el website de MasterCard sufrió un ataque DDoS.

La situación es de cuidado, hay países que están "activando" sus sistemas de defensas en materia de seguridad informática y hay expertos que directamente proponen criterios militares para enfrentar ciberataques. Desde hace tiempo califican a los ataques a redes informáticas como una de las amenazas más serias que enfrentan.

Ésta situación no es nueva, en 2009 se sentía ya un rumor a conflictos y se señalaba que "países como Israel, Rusia, EEUU, China y Francia encabezan esta particular carrera 'armamentística', enfocada sobre todo a defenderse en casos de ataques electrónicos" (elmundo.es).

Son tiempos peligrosos, en especial para el usuario común, que gratuitamente está en el medio de todo. Me da por pensar que no nos deberíamos extrañar si se compromete hasta la tan señalada "neutralidad de la red internacional" detrás de intereses o de la seguridad de intereses.

Hace unos días, ante la noticia que señalaba que el 90% de las empresas en EE.UU. dice haber sido hackeada, un buen amigo se consultaba: "Curiosamente esto se produce en el país que, seguramente, más dinero invierte en seguridad informática. Y entonces... empiezas a pensar y te acabas preguntando ¿es un riesgo real o se trata de "crear mercado" provocando un problema que no es tal?".

Muy buen punto, es realmente para pensarlo ¿si?. Tengo la impresión que pasan las dos cosas, existe un riesgo real, y se trata de "crear mercado".

Hay que entender un par de puntos, no son muchos los Países que han generado conciencia de ciberseguridad en el ámbito empresarial. Muy seguramente Estados Unidos probablemente tenga el liderazgo en ésta materia.

El otro punto a considerar es el nivel de conectividad y el valor económico de la información que manejan las empresas conectadas a Internet. Estados Unidos, Japón, Corea del Sur y varios Países Europeos son los que lideran en cuanto al nivel de conectividad empresarial. Por ello es entendible que la mayoría de los ataques se den en esos Países.

Pensando en todo ésto me vienen a la mente algunas frases: "Son tiempos de crisis".... "a río revuelto, ganancia de pescadores".... "el costo de producción lo paga el usuario, téngalo en cuenta, no se olvide".... "Siempre hubo conejillos de indias para probar vacunas".

El único consejo que se me ocurre, es que tenga cuidado, trate de estar informado, desarrolle su política de seguridad, actualice permanentemente su SO y su sistema de seguridad. Acuérdese siempre del famoso Caballo de Troya, navegue seguro, no explore sin protección, y nunca abra los archivos adjuntos no solicitados que le llegan por correo-e.

Post relacionados

• Advierten sobre terrorismo nuclear. 23/06/2011
• EE.UU. responderá al sabotaje informático con la fuerza militar. 31/05/2011
• Siguen los problemas con los sistemas SCADA. 28/03/2011
• Vulnerabilidades en sistemas SCADA. 23/03/2011
• No sólo se necesita un terremoto para que se entre en riesgo nuclear. 15/03/2011
• Stuxnet el arma. 15/02/2011
• The cyberwar - un tema que gana prioridad en las agendas. 18/10/2010
• Se siente un background a conflictos. 17/11/2009
• Atribuyen a un ciberataque el apagón en Brasil y Paraguay. 16/11/2009
• Centro de Excelencia en Ciberdefensa. 19/05/2008
• ¿Estamos preparados?. 05/09/2007
• Cyberwar on Estonia. 17/05/2007

Más información en Cyberwar y Seguridad Informática.

(CC)Creative Commons

EE.UU. responderá al sabotaje informático con la fuerza militar

Cyberwar significa sencillamente guerra. The Wall Street Journal ha informado que "el Pentágono ha concluido que el sabotaje informático procedente de otro país puede constituir un acto de guerra".

Cyber Combat: Act of War.- "The Pentagon's first formal cyber strategy, unclassified portions of which are expected to become public next month, represents an early attempt to grapple with a changing world in which a hacker could pose as significant a threat to U.S. nuclear reactors, subways or pipelines as a hostile country's military". By Siobhan Gorman and Julian E. Barnes - The Wall Street Journal

En relación a ésto la frase del momento es: “Si cierras nuestra red eléctrica, tal vez pongamos un misil en tu chimenea”, cita el WSJ a un oficial del ejército.

La situación no es sencilla, las acciones en el campo de lo cibernético desde hace rato que viene tomando un color cada vez más oscuro. Recientemente se han descubierto acciones contra sistemas SCADA en infraestructura crítica, algo realmente muy peligroso. El suceso más destacado fue la acción contra la planta nuclear iraní.

El responder con la fuerza militar al sabotaje en infraestructura crítica por parte de otra nación, es considerado en todas las estrategias de defensa. Este tipo de sabotaje siempre fue considerado un acto de guerra, si uno analiza la historia de los conflictos.

Notas Relacionadas:

• Analysis: Lockheed hack highlights cyber-blame snags. Reuters, 30/05/2011
• Exclusive: Hackers breached U.S. defense contractors. Reuters, 27/05/2011

Post relacionados:

• Vulnerabilidades en sistemas SCADA. JSK_SDE 23/03/2011
• Stuxnet el arma. JSK_SDE 15/02/2011
• The cyberwar - un tema que gana prioridad en las agendas. JSK_SDE 18/10/2010

Más notas y post relacionados en Cyberwar y Seguridad Informática.

(CC)Creative Commons

Rusia incorpora unidad de ciberguerra como una nueva rama de la defensa

Rusia incorpora unidad de ciberguerra a sus fuerzas armadas

Publicado por DiarioTi.

El gobierno ruso considera que Internet podría convertirse en una nueva arena bélica, por lo que formalmente ha creado una nueva rama de la defensa.

Rusia ha creado una unidad militar especializada en guerra digital. La información ha sido confirmada por Andrei Grigoryev, portavoz de las fuerzas armadas rusas a la agencia Rusia de noticias RIA Novosti.

El funcionario es citado por la agencia de noticias en el sentido que “Internet podría convertirse en el futuro próximo en un nuevo teatro de operaciones bélicas”.

Durante varios años ha habido indicios de que Rusia ya cuenta con una alta capacidad cibernética ofensiva y defensiva. Según expertos, los estados llevan utilizando con éxito ciberarmas desde hace varios años.

Sin embargo, el anuncio es relevante debido a que, por primera vez, la guerra digital se convierte formalmente en parte de las fuerzas armadas rusas. Así, el país se suma a similares capacidades desarrolladas por Estados Unidos, China, Israel, Alemania y la OTAN. Hasta ahora, uno de los mejores ejemplos conocidos de ciberguerra es “Stuxnet” (ver artículos relacionados, al fin de esta nota – mayor información mediante nuestro buscador interno).

“El ciberespacio será nuestra prioridad. La decisión de crear una nueva unidad de comando de seguridad cibernética, y una nueva rama de las fuerzas armadas, ya ha sido adoptada oficialmente por el gobierno”, declaró Grigoryev, quien según RIA Novosti está a cargo de la recientemente establecida agencia “Fundación de Investigaciones Militares Avanzadas”. La agencia de noticias describe a la nueva fundación como la contraparte de la estadounidense Defence Advanced Research Projects Agency (DARPA).

El funcionario explicó que la agencia se concentrará en tres áreas principales de actividad: investigaciones de “armas del futuro”, “equipos para el soldado del futuro”, y “ciberguerra”.

“Por ahora hemos considerado 700 proyectos innovadores. Para 2013, tenemos un presupuesto de 2,3 mil millones de rublos (EUR 52 millones / USD 69 millones), concluyó Grigoryev.

DiarioTi / Ria Novosti (información en inglés) e Infowars.

Nota relacionada:

• Rusia quiere tener el mismo acceso a la información de Internet que la estadounidense NSA.- "Planea requerir a Google, Facebook y Microsoft el mismo acceso que estas empresas otorgan a los servicios de inteligencia estadounidenses". Por DiarioTi 16/07/2013.

El tremendo peligro de los pendrives y puertos USB

¿Por qué los USB son tan inseguros?
Por BBC Mundo - Tecnología.

Cuando la humanidad estaba luchando con los discos compactos y diskettes,la llegada de la unidad USB fue un alivio para el mundo digital. Gracias a ésta, se podían almacenar y transferir datos de manera rápida y sencilla.

La unidad USB (Universal Serial Bus, en inglés) es un dispositivo de almacenamiento que se utiliza para guardar información una memoria tipo flash, una memoria no volátil y reescribible. Se conoce también, entre otros nombres, como pendrive o memoria externa.

Pero como toda moneda tiene dos caras, estos pequeños dispositivos, además de ser altamente útiles, también son potenciales portadores del llamado malware o software infeccioso, generalmente utilizados para interrumpir el funcionamiento de la computadora, robar información sensible, o tener acceso a los sistemas informáticos privados. Y la vulnerabilidad va más allá, según un estudio que acaba de ver la luz. "Un USB puede contener malware incluso cuando está formateado", acaban de concluir Karsten Nohl y Jakob Lell, dos expertos en seguridad cibernética con base en Berlín. Por tanto, incluso si los datos almacenados en él han sido borrados.

La resolución es tajante. Según el dúo de investigadores, dicha tecnología es "críticamente deficiente" y, por lo tanto, "no hay forma práctica de defenderse contra esa vulnerabilidad".

Sabotaje internacional

Los USBs se han empleado en casos de sabotaje internacional. El ejemplo más notable es el de Irán. Este país mantuvo sus instalaciones de enriquecimiento de uranio aisladas por espacio de aire, pero en 2010 el virus Stuxnet fue capaz de paralizar las centrifugadoras principales después de unos trabajadores distraídos conectaran dispositivos USB infectados que habían sido desechados por espías. El investigador que identificó el virus, Ralph Langer, especuló publicamente sobre el origen israelí del software infectado, en septiembre de ese año.

Menos de un año después, en febrero de 2011, en una conferencia ofrecida para TED Talk dijo: "Mi opinión es que el Mossad estuvo involucrado, pero la fuerza líder de la operación no fue Israel. Esa fuerza líder es la superpotencia cibernética, la única que existe: Estados Unidos".

Pero esa amenaza también afecta a otros usuarios, los de a pie. Quien no lo sufrió en carne propia conoce a alguien que infectó su computadora con un virus al usar un pendrive con software "malicioso".

En una demostración llevada a cabo las pasada semana en la conferencia de hackers Black Hat, de Las Vegas (EE.UU.), Nohl y Lell mostraron lo que puede ocurrir cuando un USB con software infectado se inserta en una computadora.

Amenaza del día a día

El código "maligno" implantado en la máquina hizo a ésta pensar que se le había enchufado un teclado. En pocos minutos el teclado fantasma comenzó a escribir comandos y ordenó a la computadora descargar un programa de Internet. Nohl conectó un teléfono inteligente a una computadora, para que éste se cargara. Lo hizo por medio de una conexión USB. Con ello, consiguió engañar a la máquina y le hizo pensar que lo que le fue insertado era una tarjeta en red.

Así, cuando el usuario accedió a Internet, su navegación fue "secretamente secuestrada", explicó el investigador a Dave Lee, reportero de tecnología de BBC. Y como consecuencia, pudo crear una copia falsa de la página web de PayPal, una compañía de comercio electrónico internacional que permite pagar y transferir dinero a través de Internet. Gracias a ello, robó las claves de acceso del usuario a ese sistema, dejando así patente la facilidad con la que podría robarle dinero de su cuenta en PayPal y hacer trasferencias en su nombre.

"Básicamente, no se puede confiar en una computadora una vez que se haya conectado a ella una memoria USB", concluyó Nohl.

Consejos para aumentar la seguridad

Mike McLaughlin, un investigador de seguridad de First Base Technologies consultado por BBC, dijo que la amenaza debe ser tomada en serio. "Y es que el USB es ubicuo en todos los dispositivos", señaló. "Cualquier empresa siempre debe tener políticas establecidas respecto a los dispositivos USB y unidades USB. Y si fuera necesario, deberían dejar de usarlos", cree McLaughlin.

Amichai Shulman, experto en protección de datos de Imperva, está de acuerdo. Sin embargo, explicó a BBC Mundo que el usuario común poco puede hacer ante esa vulnerabilidad. "Uno no puede andar pensando que todos los dispositivos USB, cada memoria externa que se compra, contienen software infeccioso", dijo por teléfono desde Israel. Y aconseja lo obvio: "Si encuentra un USB en la calle, no lo inserte en su computadora".

Rajib Singha, bloguero experto en seguridad tecnológica, matiza esa sugerencia: "Incluso si va a usar el pendrive de un amigo, verifique antes que no tiene un virus". Además, amplía la lista de consejos para hacer un uso lo más seguro posible de las unidades USB en el blog de Quick Heal Technologies. Alguno es tan evidente como el de no usar un USB encontrado en la calle: "No almacene en esos dispositivos información como el número de la seguridad social, la clave de la tarjeta de crédito ni otros datos similares".

Y termina con otra recomendación sencilla: "Nunca utilice la misma memoria USB para el trabajo y en casa", apunta Singha.

En manos de fabricantes

El grupo responsable del estándar USB, USB Working Party, se negó a comentar sobre la seriedad de la amenaza vertida por los investigadores. Pero en términos generales, dijo a BBC: "Las especificaciones de USB son compatibles con capacidades adicionales para la seguridad, pero los fabricantes de los equipos originales deben decidir implementar o no estas capacidades en sus productos".

La primera consecuencia de hacer que estos dispositivos fueran más seguros sería, según USB Working Party, el aumento del precio de los mismos. Y frente a ello, quien tiene la última palabra es el usuario: "Los consumidores decidirán en el día a día cuánto quieren pagar por ese beneficio (de la seguridad añadida)".

"En el caso de que exista una demanda de mayor seguridad, esperamos que los fabricantes le den respuesta", añadió.

Mientras eso ocurra, los expertos en seguridad lo tienen claro: "El único consejo posible es ser muy cuidadosos al conectar dispositivos USB a nuestras máquinas". Por lo tanto, "hay que cambiar costumbres", dijeron a BBC. / Por BBC Mundo - Tecnología.--

---.---

Símbolo del Universal Serial Bus USB. Visto en Wikipedia.

Post relacionado:

• La seguridad de los conectores USB comprometida por fallo de alto riesgo. 31/07/2014.

Nota relacionada:

• Why the Security of USB Is Fundamentally Broken. Wired: Threat Level.

Shamoon: Detectan múltiples ataques en computadoras del sector energético en Países del Medio Oriente

Los otros días nos enteramos del malware Gauss, un virus de espionaje bancario, aparentemente apuntado a entidades bancarias en el Líbano. Un verdadero dolor de cabeza para los investigadores de seguridad de Kaspersky Lab, que se han visto en la necesidad de salir a pedir ayuda para descifrar el código del malware, especal la “ojiva” encriptada del mismo.

Hoy se informa de un nuevo malware, Shamoon. Según las noticias los investigadores de seguridad están investigando una pieza de malware destructivo que tiene la capacidad de sobrescribir el registro de inicio maestro de un ordenador, y que sospechan que está siendo utilizado en los ataques dirigidos contra compañías específicas.

Shamoon, el malware que amenaza al sector energético.- "Desde hace algún tiempo se repiten en los medios de comunicación noticias relacionadas con los distintos ataques de malware que han sufrido las instalaciones nucleares de Irán (el último con un interesante gusto musical). Malware como Stuxnet o Flame se han manifestado como unas potentes armas con las que espiar o sabotear y que apuntan a países como Estados Unidos o Israel como “desarrolladores” principales. Sin embargo, esta demostración de fuerza cibernética comienza a ser cada vez más patente puesto que se han detectado múltiples ataques de malware en computadoras no sólo de Irán sino en Egipto, Siria, Israel, Sudán, Líbano o Arabia Saudí y todas con un nexo común: son computadoras vinculadas al sector energético y, según la actividad de los últimos días, hay un nuevo malware dispuesto a hacer estragos en el sector: Shamoon". Por JJ Velasco para ALT1040.

Shamoon malware infects computers, steals data, then wipes them.- "Security companies have detected a piece of malware that steals files from infected machines, then renders the computers useless by overwriting their master boot record". By Jack Clark - ZDNent.

Post relacionado:

• Gauss, un virus de espionaje bancario, un verdadero dolor de cabeza. 15/08/2012.

Ciberguerreros se necesitan

La escasez de ciberguerreros afecta a la lucha antipiratería

Publicado por Reuters.

LONDRES (Reuters) - Para los gobiernos y las empresas que afrontan cada vez más ataques informáticos, el principal desafío es encontrar los "ciberguerreros" adecuados para responder a las amenazas.

La actividad informática hostil, desde espías a saboteadores, competidores y delincuentes, ha dado lugar a una industria creciente de protección corporativa que puede atraer el mejor talento de las unidades cibergubernamentales.

Se espera que el tamaño del Cibermando militar de Estados Unidos se cuadruplique para 2015, con 4.000 trabajadores más, mientras que Reino Unido anunció una ciberreserva conjunta el mes pasado. Se han creado unidades similares en todo el mundo, de Brasil a Indonesia.

Pero la demanda de especialistas ha superado con creces el número de personas preparadas para ese trabajo, llevando a una escasez de personal ya que los competidores están siendo muy agresivos ofreciendo abultados salarios.

"Como con todo, todo depende del capital humano y no hay lo suficientemente bueno", dice Chris Finan, director de ciberseguridad de la Casa Blanca entre 2011-12, que es hoy miembro veterano del Proyecto Truman para Seguridad Nacional y trabaja para una 'start-up' en Silicon Valley.

"Elegirán dónde trabajan basándose en salario, estilo de vida y la falta de una burocracia que interfiera y eso hace particularmente difícil retenerlos en el Gobierno".

Los ciberataques pueden ser caros: una compañía cotizada en Londres incurrió en pérdidas de 800 millones de libras (951 millones de euros) en un ciberataque hace varios años, según los servicios de seguridad británicos.

Las pérdidas globales están en el rango de entre los 80.000 millones de dólares y los 400.000 millones, según una investigación del Centro para Estudios Estratégicos e Internacionales con sede en Washington que estuvo patrocinado por la división antivirus McAfee de Intel.

Hay todo un rango de ataques. Algunos implican simplemente transferir dinero, pero la mayoría se dan con el robo de los datos de las tarjetas de crédito de los clientes. Hay también robo de propiedad intelectual o robo de información comercialmente delicada para cobrar ventaja empresarialmente.

Las víctimas pueden sufrir también un ataque de "hacktivismo", como una negación de servicio para hacer caer una página, lo que puede costar mucho dinero arreglar.

Cuantificar el daño exacto es casi imposible, especialmente cuando los secretos y el dinero no son los únicos objetivos.

Aunque ningún gobierno ha asumido la responsabilidad del virus Stuxnet que destruyó las centrifugadoras en las instalaciones de enriquecimiento de uranio de Natanz, en Irán, se piensa de forma bastante generalizada que fue un proyecto israeloestadounidense.

Reino Unido dice que ha bloqueado 400.000 ciberataques avanzados a una intranet del Gobierno el año pasado, mientras que un virus contra el grupo energético saudí Aramco, que probablemente sea la compañía con más valor del mundo, destruyó miles de ordenadores y colocó una imagen de una bandera estadounidense en llamas en las pantallas.

¿VIRALES?

La mayoría de los ciberexpertos permanecen en el sector privado, donde las compañías están registrando un abrupto incremento en gasto en productos y servicios de seguridad.

Dependiendo de la ciberamenaza, una amplia variedad de firmas están pujando por el cibertalento. Google tiene en la actualidad 129 puestos de seguridad informática, mientras que firmas de defensa como Lockheed Martin y BAE Systems están buscando contratar en este área.

El fabricante de antivirus Symantec también está haciendo negocio. "El ambiente de amenaza está estallando", dijo el consejero delegado, Steve Bennett, a Reuters en una entrevista en julio.

La percepción de una mayor amenaza ha llevado también a una demanda explosiva de talento.

La Oficina de Estadísticas Laborales de Estados Unidos dice que el número de puestos en seguridad informática en Estados Unidos se incrementará en un 22 por ciento en la década hasta 2020, creando 65.700 nuevos puestos. Los expertos dicen que existe una situación similar a nivel mundial, y que los sueldos crecen a menudo un 5-7 por ciento al año. / Publicado por Reuters.

Post relacionado:

• Las nuevas amenazas exigen nuevos combatientes. 22/10/2013.

Ciberseguridad - Muy peligrosa tendencia

Los ciberataques como arma política: cuatro ejemplos
Por Manuela Astasio, publicado por PCWorld es.

Los procesos electorales se han convertido en temporada alta de ciberataques internacionales. Aunque muchos rechacen hablar de ciberguerra, hay guerras que se libran con ciberarmas.

Imagen de Archivo: ataques cibernéticos en curso en todo el mundo
Captura de pantalla del mapa de NORSE

La palabra ciberguerra todavía provoca un rechazo que, casi siempre, va unido a la incredulidad. Sin embargo, aunque no exista una ciberguerra mundial explícitamente declarada, sí hay guerras entre determinados países que ya se libran con ciberarmas, en las que está en juego el control de información y objetivos muy concretos.

Trump y Rusia

La evidencia está en titulares tan recientes como los que todavía persiguen al flamante presidente de Estados Unidos, Donald Trump, que lo relacionan con ciberataques a los archivos del rival Partido Demócrata perpetrados por cibermercenarios rusos. Más allá de la guerra sucia entre Trump y Hillary Clinton, en la que la filtración de correos electrónicos privados ha desempeñado un papel crucial, medios como The Washington Post y The New York Times han sugerido en varias ocasiones a lo largo de los últimos meses que el gobierno de Putin podría haber ‘ayudado’ al republicano en su carrera hacia la Casa Blanca mediante el hackeo de correos electrónicos del Partido Demócrata. Pese a que no ha habido resultados concluyentes, las investigaciones señalan que los emails y documentos filtrados pasaron por ordenadores ubicados en Rusia, donde también se sitúan ataques a la Casa Blanca y el Departamento de Estado perpetrados durante la última legislatura de Obama.

Holanda, en analógico por precaución

Fue precisamente esa noticia la que hizo que las autoridades holandesas se decidieran por el recuento manual en lugar del electrónico en las últimas elecciones legislativas, celebradas en el país el pasado 15 de marzo. La presencia entre los candidatos del ultraderechista Geert Wilders, empatado en las encuestas previas a los comicios con el partido gobernante y  la alargada sombra que Putin proyecta últimamente sobre la política internacional llevaron a Holanda a renunciar a la tecnología por miedo a un ciberataque que torciera el curso de los acontecimientos. Finalmente, los votos, contados a mano, dieron la continuidad en el gobierno al liberal de derechas Mark Rutte.

Erdogan y Occidente

Casi en la misma fecha, miles de cuentas de Twitter sufrieron un ciberataque con mensajes en apoyo del presidente turco, Recep Tayyip Erdogan, muy cuestionado en algunos sectores occidentales por, entre otros motivos, sus restricciones a la libertad de expresión. Entre los perfiles atacados se encuentra el de medios de comunicación como Forbes y BBC América, y organizaciones como Amnistía Internacional, muchos de ellos con decenas de followers. En España, el periódico La Razón fue uno de los afectados. Un pequeño golpe de efecto con muchísimo impacto en un momento en el que está próximo el referéndum en el que los ciudadanos turcos tendrán que decidir si se cambia la constitución para que Erdogan pueda mantenerse en el poder hasta 2029.

Corea del Norte y Sony Pictures

Pero quizá haya que remontarse un poco más en el tiempo para recuperar el incidente que hizo que la palabra ciberguerra empezase a sonar con la fuerza actual. Un poco antes de Navidad de 2014 la compañía Sony Pictures denunció un ciberataque masivo en el que le fueron sustraídos todo tipo de archivos de carácter confidencial, desde películas sin estrenar hasta emails de empleados con observaciones sobre figuras del star system, pasando por tablas de Excel con salarios. Los atacantes fueron desvelando poco a poco el contenido de su botín mientras indicaban a la empresa cuál era el precio del rescate: que se cancelase el estreno de La entrevista, una comedia en la que dos periodistas viajan a Corea del Norte con la misión de asesinar al líder Kim Jong-Un. Corea del Norte negó toda participación en el incidente, pero éste se convirtió en un asunto de seguridad nacional para la Casa Blanca, que incluso estuvo planteándose devolver al país asiático a su listado de estados terroristas. Pese a que el entonces presidente Obama trató de apaciguar los ánimos negándose a calificar de ciberguerra lo que definía como “un acto vandálico”, cierto pánico cundió cuando los ciberatacantes extendieron sus amenazas a las salas que iban a proyectar la película en su estreno. Finalmente, La entrevista se proyectó en un número reducido de cines y se estrenó también en streaming, obteniendo una repercusión mucho mayor de la que sus creadores jamás hubieran soñado.

Una táctica que no es nueva

El uso geoestratégico de las ciberarmas puede remontarse todavía varios años más. En 2010, por ejemplo, fue descubierto el gusano Stuxnet, un prototipo de malware que fue rápidamente catalogado como un arma cibernética. Su especial incidencia en ordenadores ubicados en Irán llevó muy pronto a la conclusión de que se trataba de un gusano diseñado para espiar y reprogramar sistemas industriales. Fue en el mismo año cuando saltó a la luz pública la conocida como Operación Aurora, en la que un exploit oculto en archivos PDF consiguió robar toneladas de información de grandes compañías como Google, una de las pocas que se decidió a denunciar públicamente el problema. El gigante de Internet siempre señaló que el origen del ataque se encontraba en China, y varios expertos en seguridad aseguraron que, además de robar información de propiedad intelectual, el móvil del crimen fue el de sustraer cuentas de Gmail a activistas que luchan por los derechos humanos en China. / Por Manuela Astasio, publicado por PCWorld es.--

Consulta: Me parece que es más que una "sensación" el que las democracias están en riesgo.

Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas

___________________ Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

Interesantes reflexiones sobre el ciberarma The Flame

TheFlame: reflexiones sobre otra "ciberarma" descubierta demasiado tarde.- "TheFlame es la nueva pieza de software descubierta y propuesta como modelo de ciberarma. Tal como ocurrió con Stuxnet y Duqu, TheFlame resulta muy interesante por su sofisticación técnica, a la vez que alimenta la imaginación de muchos sobre las posibilidades de una guerra cibernética. Veamos en qué consiste este malware y qué conclusiones se pueden sacar de su descubrimiento". Por Sergio de los Santos para Hispasec - Una al día.

Otras Notas:

Cyber-attack concerns raised over Boeing 787 chip's 'back door'. The Guardian. 29/05/2012.
ONU advertirá del riesgo del virus informático "Flame". Reuters. 29/05/2012.

Post relacionados:

• Preocupa la posibilidad de ciber-ataques a aviones Boeing 787. 29/05/2012.
• Encuentran una potente arma cibernética llamada "Flame". 28/05/2012

2010 ¿el año de la ciberguerra?

Hoy, entre las notas que más llamaron mi atención está un post de un blog dentro de BBC Mundo. Allí David Cuen destaca "2010: el año de la ciberguerra", donde señala que "el año que termina trajo consigo las primeras ciberguerras", y realiza una reseña de los sonados casos como el virus Stuxnet y WikiLeaks, "la lucha por la regulación de internet entre los "hacktivistas", los "hackers patrióticos" y las empresas de la red".

No coincido, no son las primeras ciberguerras. Hay que recordar el caso de Estonia, entre abril y mayo de 2007, cuando un feroz ataque puso en jaque diversos sitios y sistemas útiles a la economía de Estonia, a tal punto que se vio en la necesidad de solicitar ayuda a la OTAN.

Por mencionar algunos otros casos, recordemos el ataque a sitios oficiales de Georgia, como la Caucasus Network Tbilisi, los servidores de Internet comerciales más importantes de Georgia, en Agosto de 2008.

Los combates por Gaza, en Internet, en Enero de 2009, cuando se desató una guerra propagandística en Internet entre quienes apoyaban a Israel y quienes se solidarizaban con los palestinos en el conflicto en la Franja de Gaza en esa oportunidad. Algunos activistas han accionado desfigurado sitios web, tomado el control de computadoras y han cerrado grupos de la red social Facebook.

Otro caso, en Agosto de 2009 fueron atacados los sistemas sociales, Blogger, Twitter, Facebook y LiveJournal, fueron puestos fuera de servicio. El ataque trataba de poner fuera de línea la opinión de un blogger de Georgia, en todos los sitios donde tuviera una cuenta.

Y podemos seguir mencionando casos, en base a información publicada en medios especializados y blogs. En este blog hemos realizado un seguimiento del tema, pueden leer los post señalados con la etiqueta Cyberwar.

Me inclino a señalar el caso del ataque a Estonia como el primer conflicto a gran escala que se puede considerar como un "conflicto cibernético" entre dos países.

Imagen vista en PROSECURE.

La otra pandemia, los ciberataques a los sistemas médicos y teletrabajadores

Desde fines de febrero se vienen informando sobre ciberataques a sistemas informáticos de los hospitales, entre lo más habitual en esos ataques está el uso de malware tipo ransomware (secuestrador de datos). Un problema mundial, en general todo comienza con un engaño, un envío de información adjunta en correos electrónicos.

Visto en Una al día / Hispasec. 

Un caso resonante fue el ataque a hospitales españoles en el mes de marzo próximo pasado, fue detectado por la Policía Nacional "tratando de colarse como información adjunta en correos electrónicos de sanitarios. Disfrazado de “información sobre la Covid-19”, pretendía “romper” el sistema informático de los centros médicos en plena crisis sanitaria". En estos casos se utilizó el Netwalker que introduce un código malicioso en el explorador del sistema informático para que los antivirus sean incapaces de detectarlo y eliminarlo.

El nombre del documento adjunto en los correos que se enviaban era CORONAVIRUS_COVID-19.vbs. Cuando algún receptor hacía clic en el documento, se ejecutaba, y el malware encriptaba los archivos. Luego se leía un anuncio como “Hey! Tus documentos han sido encriptados por Netwalker”. Y surgían las instrucciones para realizar el pago del rescate en la dark web con alguna criptomoneda.

El 12 de marzo hubo un ataque contra una organización sanitaria en Illinois (Estados Unidos), Champaign Urbana Public Health District, que les bloqueó la página web y debieron crear una alternativa. Este ransomware fue encontrado también en febrero en un ciberataque contra Toll Group, una empresa australiana de logística.

Los investigadores de seguridad advierten que el paso de millones de personas al teletrabajo ha desatado una cantidad sin precedente de ataques que buscan engañar a la gente para que entregue sus contraseñas:

"Nunca habíamos visto algo parecido", dijo Sherrod DeGrippo, jefa de investigación de amenazas para la firma de seguridad Proofpoint.

"Estamos viendo campañas con volúmenes de hasta cientos de miles de mensajes que se están aprovechando del coronavirus".

La pandemia ha creado la tormenta perfecta para los ciberataques, con millones de personas trabajando en circunstancias poco conocidas y menos seguras, que a la vez están ansiosas por información sobre el virus y las nuevas políticas organizacionales que están siendo implementadas.

Esto abre una nueva vía para actores maliciosos que usan correos electrónicos fraudulentos (phishing) u otras estrategias para obtener acceso a información sensible. nicos

"Cuando alguien está trabajando desde casa tiene un perfil de amenaza similar a si lo hace desde un aeropuerto o un Starbucks, simplemente no tienes la misma protección que podrías tener en el lugar de trabajo", dijo DeGrippo. (AFP).

Tom Pendergast, de la firma de seguridad y privacidad MediaPRO, dijo que muchos de los millones de personas que se adaptan al nuevo escenario están poco preparadas para el teletrabajo.

"Una cosa es que la gente esté trabajando remotamente con equipo que no ha sido configurado apropiadamente", dijo Pendergast. "Es diferente para la gente que no ha tenido esa experiencia" anteriormente. (AFP).

Se informó de "varias campañas de Phishing que intentan suplantar la imagen de la OMS (Organización Mundial de la Salud) y otras instituciones, buscando engañar a usuarios para robarles sus datos haciéndoles creer por ejemplo que iban a someterse a un test rápido del Covid-19. O que el estado iba a darles una ayuda de 350 - 700 euros".

El potencial que ocurran ciberataques que produzcan graves daños y pérdidas de información valiosa ha multiplicado las advertencias a reforzar la vigilancia.

El Departamento de Seguridad Nacional de Estados Unidos (DHS) también emitió una alerta, en marzo de éste año, advirtiendo que la pandemia de coronavirus ha incrementado las amenazas y que los ciberatacantes "podrían enviar correos electrónicos con mensajes adjuntos maliciosos o enlaces a páginas web fraudulentas para hacer que sus víctimas revelen información sensible".

En los últimos meses el ciberespionaje a médicos y técnicos relacionados con la vigilancia epidemiológica y el desarrollo de tratamientos, procedimientos, medicamentos y vacunas se ha incrementado, según han informado en foros que tratan temas de ciberseguridad. Advierten que gobiernos, servicios y el cibercrimen pueden estar detrás de éstas actividades de espionaje.

El teletrabajo ha provocado una oleada de videollamadas. Muchas de las apps que se utilizan son un magnífico campo de ataque para los ciberdelincuentes si no se toman una serie de medidas. Los equipos de respuestas a incidentes publican recomendaciones de ciberseguridad.

Visto en Youtube, vía DW Español

En éstos días se ha informado sobre Ramsay: el malware que se aprovecha de las redes aisladas para realizar labores de ciberespionaje, "fue descubierto por los investigadores de ESET, es un malware utilizado para extraer y recolectar documentos con información confidencial y es capaz de operar aprovechándose de las redes aisladas".

Las redes aisladas son sistemas informáticos físicamente aislados de redes que no sean seguras. Es una medida clásica en entornos críticos, de alta seguridad. Las redes se aislan de cualquier otra red como podría ser la Internet pública o una red local no segura.

Los ordenadores, los equipos que se encuentran dentro de estos espacios se encuentran aislados de las redes. Están aislados físicamente, no solo evitando las conexiones a la Internet pública, lo cual implica que solo se le pueden transferir datos si se tiene acceso físico al equipo (vía USB, por ejemplo).

Ésto es muy utilizado en centros y equipos de investigación avanzada, que desarrolla información altamente valiosa.

Pero éstas redes aisladas no son inviolables, basta que un usuario confiable utilice mal un pendrive. Hay varios antecedentes, el caso más sonado fue el de Stuxnet (descubierto en 2010), una amenaza persistente avanzada en forma de troyano financiada y desarrollada conjuntamente por Estados Unidos e Israel, con el fin de atacar centrales nucleares iraníes y retrasar su programa nuclear.

Hay que recordar siempre la fortaleza de la seguridad depende del eslabón más débil, y en ciberseguridad el eslabón más débil es el factor humano.-

Post relacionado:

• Los pecados de Zoom y el Zoombombing. 22/05/2020.

___________________

NOTA: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

IMPORTANTE: Todas las publicaciones son sin fines comerciales ni económicos. Todos los textos de mi autoría tienen ©todos los derechos reservados. Los contenidos en los link (vínculos) de las notas replicadas (reproducidas) y/o citadas son de exclusiva responsabilidad de sus autores. Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.

Nueva tendencia: Los ciberataques a grandes buques mercantes

El peligro de los barcos ‘zombis’

Por Alexis Rodríguez-Rata, publicado por La Vanguardia.

Hace apenas siete años, un profesor de Ingeniería Aeroespacial y Mecánica de la Universidad de Texas pirateó un superyate en el Mediterráneo hasta modificar su rumbo. Hace apenas dos, los expertos ya hablaban del riesgo real de pirateo que corrían más de 50.000 barcos. Hoy pueden ser más. Y más grandes. Y con consecuencias más graves. Porque mientras Barcelona ve atracar en su puerto el segundo portacontenedores más grande del mundo y hay quien ya prevé la llegada de buques totalmente automatizados, el peligro de que sean controlados por hackers y naveguen como ‘zombis’ en el mar ha llegado para quedarse. Y el problema es que todos están conectados a Internet.

Así es que si en el pasado el marinero temía las galernas y huracanes, los hielos, las colisiones y abordajes, remolinos, las olas asesinas y quién sabe si incluso al mítico kraken, hoy la navegación marítima se enfrenta a una nueva y emergente amenaza: los ciberataques.

Visto en Youtube, vía La Vanguardia

“Hasta cierto punto sin darnos cuenta, nos hemos vuelto totalmente dependientes de las comunicaciones digitales. Los coches se han vuelto ordenadores. También las centrales eléctricas. O los barcos. Hay muchos más ejemplos. Y si alguien puede tomar el control de estos sistemas informáticos, entonces tenemos un problema real porque podría, en teoría, atacar desde cualquier parte del mundo”, alerta en conversación con La Vanguardia Keith Martin, catedrático de Seguridad de la Información en el Royal Holloway de la Universidad de Londres.

Pero es que, además, el comercio marítimo es el corazón de la globalización. Está en la base del 90% del transporte mundial de mercancías. Y el ciberespacio es el terreno, diario, en el que se mueve. De manera que si la red es vulnerable, también lo son los barcos.

Es así que el miedo crece. Sobre todo respecto a los buques mercantes. Porque los graneleros, petroleros, gaseros, portacontenedores, frigoríficos, ro-ro o cocheros –los hay de todo tipo…–, impresionan. Los más extensos tienen un tamaño que llega a los cuatro campos de fútbol. Valen millones. Mueven millones. Y ahora surge la posibilidad de piratearlos a distancia y guiarlos a un destino diferente al original, tanto como para bloquear puertos, estrechos y pasos clave por los que transitan, como pueda ser el del canal de Suez u otras rutas de un mundo globalizado, que quedarían, en consecuencia, colapsadas.

La gran vulnerabilidad marítima

En 2009 los piratas somalíes ocuparon las portadas en España tras el secuestro físico del atunero vasco Alakrana. Fue liberado tras el pago de un rescate a las pocas semanas, pero su caso puso sobre la mesa el tracking y targeting digital que los corsarios del siglo XXI hacen de buques susceptibles de ser atacados en su paso por el cuerno de África, una vía obligada en su camino a Europa desde la fábrica del mundo, China. Desde entonces muchos apagan su geolocalización al pasar por la zona.

Internet es el "campo de batalla"

Internet es el campo de batalla clave, dicen oficiales chinos

Por Chris Buckley para Reuters

PEKIN (Reuters) - China debe dominar la ciberguerra a medida que internet surge como campo de batalla crucial para opiniones e inteligencia, dijeron dos militares el viernes, dos días después de que Google dijera que había sufrido ataques que aseguró procedían de China.

Los investigadores de la Academia de Ciencias Militares del Ejército de Liberación del Pueblo (ELP) no mencionaron el comunicado de Google según el cual piratas informáticos afincados supuestamente en China habían intentado robar datos de las cuentas de Gmail de cientos de usuarios, entre ellos altos cargos estadounidenses, activistas de derechos humanos en China y periodistas.

El ensayo de dos profesores del ELP, el coronel Ye Zheng y su colega Zhao Baoxian, en el China Youth Daily, subrayó que Pekín está concentrado en mejorar su capacidad para la ciberguerra, y ve que un internet sin restricciones es una amenaza para el estado comunista.

"Igual que la guerra nuclear fue la guerra estratégica de la era industrial, la ciberguerra se ha convertido en la guerra estratégica de la era de la información, y se ha convertido en una forma de batalla que es muy destructiva y concierne a la vida y la muerte de las naciones", escribieron en el diario dirigido por el partido.

Google dijo el miércoles que los ataques de piratas informáticos parecían proceder de Jinan, que es la capital de la provincia oriental china de Shandong, y sede de la unidad de inteligencia del Ejército de Liberación del Pueblo.

El Ministerio de Exteriores chino calificó de infundadas las acusaciones de Google.

El Ejército chino ha llevado a cabo recientemente ciberbatallas simuladas que se enfrentan a una unidad del "ejército azul" que usa virus y spam contra "equipos rojos", en un esfuerzo por reforzar la preparación de las tropas para los ataques online, dijo el Liberation Army Daily el mes pasado.

"Supongo que todo ministerio de defensa del mundo se ha enfrentado a ataques de piratas informáticos, y también nosotros los afrontaremos. Es por eso por lo que hemos formado un ejército azul para entrenar a nuestro ejército", dijo Xu Guangyu, investigador de la Asociación China de Control de Armas y Desarme y general retirado del ELP, a Reuters.

"Hay amenazas de piratas informáticos, y otras unidades con capacidad digital y de internet que tienen que frenarlos. Usan virus y otros medios para intentar entrar en tu web, y tienen que impedirlo", dijo.

El año pasado, la contención sobre políticas de internet se volvió un tema espinoso entre Pekín y Washington después de que la Administración Obama incorporara las quejas de Google sobre hackers y censura de China. Google se retiró parcialmente de China, el mayor mercado de internet por número de usuario, tras la disputa.

Hasta ahora, ni Google ni Washington han responsabilizado directamente a China por los ataques. Ambos gobiernos han buscado evitar el enfrentamiento después de las turbulencias del año pasado.

Sin embargo, la secretaria de Estado de Estados Unidos, Hillary Clinton, dijo el jueves que las "acusaciones eran muy graves".

(Traducido por la Redacción de Madrid; Editado por Ricardo Figueroa). Thomson Reuters.

---.---

Post relacionados:

• EE.UU. responderá al sabotaje informático con la fuerza militar. JSK_SDE 31/05/2011
• Vulnerabilidades en sistemas SCADA. JSK_SDE 23/03/2011
• Stuxnet el arma. JSK_SDE 15/02/2011
• The cyberwar - un tema que gana prioridad en las agendas. JSK_SDE 18/10/2010
• Se siente un background a conflictos. JSK_SDE 17/11/2009

Más notas y post relacionados en Cyberwar y Seguridad Informática.

(CC)Creative Commons

Algo "nuevo" sobre Stuxnet y Ciberguerra

Visto en Vimeo, vía Denken Über.

Ciberguerra, de negaciones, afirmaciones y noticias.- `Hace más de un año hablé de la Estrategia Internacional para el Ciberespacio de USA y como USA ya anunciaba que podía considerar un “acto de guerra, actos hostiles conducidos en el ciberespacio” que en la práctica implica el derecho a aplicar doctrina de guerra a hechos digitales… “me hackeás y te bombardeo”´. Por Mariano Amartino para Denken Über.

Rumor de ciberguerra

Imagen vista en "National Cyber Range: "Ciberguerra" al estilo Matrix" en FayerWayer

En algunos ámbitos ya no se duda que por éstos momentos hay miles de crackers que están infiltrándose en páginas de organismos clave, para venderse al mejor postor y realizar, simplemente desde un dispositivo conectado, el mejor ataque cibernético, con el objeto de explotar la posibilidad de cobrar una jugosa cantidad, se trata del cibercrimen como servicio, donde los enemigos ya no son conocidos, no existen en un mapa, no son naciones, son individuos involucrados en oscuros propósitos que en algunos casos podrían estar relacionados con esquemas gubernamentales.

Por otro lado hay un sinnúmero de hackers comprometidos con la defensa de países intentando parar semejante ofensiva. Ésta realidad ha obligado a los gobiernos desarrollar desde equipos especializados, con el desarrollo de sofisticados programas de vigilancia como Prism y X-Keyscore, hasta una nueva rama de la defensa con unidades militares especializadas en la ciberguerra, y de hecho, dentro de éste contexto los estados llevan utilizando con éxito ciberarmas desde hace varios años”.

"La guerra cibernética está declarada", afirmó recientemente Hamadoun Touré, secretario general de la Unión Internacional de Telecomunicaciones (UIT), durante una conferencia.

Se habla de cibrguerra, un evento que puede ser tan peligroso como una guerra armada y que tiene antecedentes desde 1999, cuando "durante la intervención de los aliados en la Guerra de Kosovo, más de 450 expertos informáticos, al mando del Capitán Dragan, se enfrentaron a los ordenadores militares de los aliados. Este grupo, integrado por voluntarios de diferentes nacionalidades, fue capaz de penetrar los ordenadores estratégicos de la OTAN, la Casa Blanca y del portaaviones norteamericano Nimitz, sólo como una demostración de fuerza, pues éste no era su objetivo principal. Además de ser una fuente alternativa de información en Internet, sirvió como grupo coordinador de actividades contra la guerra fuera de Yugoslavia" (Wikipedia).

El antecedente que más me impresionó fue el tremendo ataque que sufrió Estonia entre abril y mayo de 2007. Tdos se inició el 27 de abril de 2007 el gobierno estonio retiró una estatua erigida en los tiempos de la dominación soviética en homenaje a los soldados que lucharon contra la invasión alemana en la Segunda Guerra Mundial. Ese día hubo protestas y graves desórdenes públicos, y al caer la tarde se inició el ciberataque las webs de los principales periódicos, radios y televisiones sufrieron espectaculares incrementos de tráfico que colapsaron la capacidad de respuesta de los servidores y el ancho de banda disponible. Ese ataque fue seguido por otro mucho más sofisticado apuntado contra los enrutadores por los que circula el tráfico de internet.

Múltiples websites gubernamentales cayeron, como también las de dos grandes bancos, incluso los cajeros automáticos fueron atacados. Los técnicos que enfrentaron el ataque advirtieron que las conexiones responsables del colapso provenían de lugares tan exóticos como Egipto, Perú o Vietnam, y se optó por la solución rápida de cortar el acceso al tráfico internacional, con lo que Estonia se desconectó del mundo.

El problema recrudeció con nuevos raids hostiles la víspera del 9 de mayo, día en que Rusia celebra su victoria en la Segunda Guerra Mundial. Ese día, el presidente Putin criticó a las autoridades estonias por la retirada del monumento; más tarde se sugirió que los servicios secretos rusos pudieron haber amparado el ataque, que cesó totalmente el 18 de mayo.

Para poder defenderse y recuperar el control Estonia recurrió a la colaboración de equipos internacionales de respuesta a emergencias en internet, y de servicios de seguridad de otros gobiernos expertos en ciberdelincuencia y ciberterrorismo. Inclusive recurrió a la OTAN, aunque lamentablemente en ese momento la Unión Europea no consideraban los ciberataques como una acción militar, por el que Estonia no ha podido solicitar la aplicación del Artículo 5 del Tratado Atlántico.

Antes del ataque el país era ya un lugar de interés por la penetración que han tenido las nuevas tecnologías de información y comunicación en su sociedad pero especialmente en el gobierno. "La Meca electrónica", donde el 60% de la población tenía una tarjeta de identidad electrónica, el 90% de las transacciones bancarias y declaraciones de impuestos se realizaban a través de internet, tenía ya el voto online, los legisladores publicaban sus decisiones en la red y el acceso a Internet se consideraba un derecho constitucional.

Desde entonces se han desarrollado una importante variedad de "herramientas" que han llegado a servir como armas para explotar vulnerabilidades en simples equipos personales hasta complejos sistemas SCADA, diseñados para funcionar sobre computadores en el control de la infraestructura de producción, supervisión, control calidad, almacenamiento de datos, etc., en plantas de producción y/o conducción de energía, filtración y distribución de agua, trenes y subterráneos, gas natural, oleoductos, y prácticamente todo tipo de fabricación industrial. Lo que se considera "infraestructura crítica".

Redes zombi, spyware, troyanos y otros malware son usados para la ciberguerra cada día, y se pone en peligro el mundo digital. Pero todo en éste campo evoluciona vertiginosamente, en años recientes fuimos testigos de verdaderas armas cibernéticas como Stuxnet, un poderoso gusano malicioso que atacó repetidamente cinco instalaciones industriales en Irán a lo largo de 10 meses y y se distribuyo inicialmente a través de pendrives a equipos no conectados, y Flame catalogado por muchos como “una de las mayores amenazas jamás creadas” que tiene como objetivo el ciberespionaje, está apuntado a robar información sensible de infraestructuras críticas de un País, lo que lo hace muy peligroso por que se podría combinar con otras armas cibernéticas para afectarlas.

En éste contexto los ciberataques ya no buscan simplemente robar números de tarjetas de crédito y/o "engancharse" en una transacción electrónica para obtener un "beneficio" económico, están dirigidos a influir en la vida política del país o países objetos del ataque.

En éstos días mucho de lo que pasa está relacionado al tenso clima alrededor de una posible acción armada de Estados Unidos contra la estructura de defensa de Siria, que se está desangrando en una terrible guerra civil y que fue acusada de usar armas químicas contra su propia población.

Es un escenario terrible que cuenta con varios actores, uno de ellos el Syrian Electronic Army SEA, al se le atribuye los recientes ataques a las páginas web del New York Times, Huffington Post y Twitter.

La lista de ataques que el SEA reclama incluye la responsabilidad de desfigurar o comprometer, por ello cientos de sitios web, alegando la difusión de noticias hostiles al gobierno sirio. Los ataques incluyen sitios web de noticias como BBC News, la Associated Press, la National Public Radio, Al Jazeera, Financial Times, The Daily Telegraph, The Washington Post, la emisora ​​Orient TV, y con sede en Dubai al-Arabia TV, así como las organizaciones de derechos humanos, como Human Rights Watch.

El 27 de agosto próximo pasado, el SEA mediante un simple correo electrónico el SEA tumbó el website del New York Times. Entre el 2 y 3 de Septiembre 2013, hackers pro-sirios irrumpieron en el website de reclutamiento de la Infantería de Marina de EE.UU., publicado un mensaje que insta a los soldados estadounidenses a rechazar las órdenes de Washington si decide atacar Siria.

El conflicto de Siria es un tema en desarrollo que iré ampliando. Más sobre el tema Cyberwar (Ciberguerra) en éste blog.

Post relacionados:

• Asegurar las armas químicas de Siria no sera fácil ¿bluff estratégico?. 11/09/2013.
• Correos con información falsa de un bombardeo por parte de Estados Unidos a Siria, distribuyen malware. 10/09/2013.
• EEUU estaría reconsiderando su decisión de bombardear Siria. 10/09/2013.
• Sobre el ataque a Siria - Opinión de Manuel Castells. 07/09/2013.
• Buque ruso de guerra electrónica SSV-201 "Priazovié" rumbo a Siria. 06/09/2013.
• Rumor de ciberguerra. 05/09/2013.

El malware Regin una herramienta de ciberespionaje apuntada a la Unión Europea

Tras descubrirse ésta avanzada aplicación de ciberespionaje "que fue utilizada desde el 2008 para espiar a compañías privadas, gobiernos, institutos de investigación y personas de 10 países", nuevas fuentes, como The Intercept, están publicado los resultados de las investigaciones, que apuntan a Estados Unidos y el Reino Unido como los gobiernos involucrados en su desarrollo, con el objetivo de espiar a países de la Unión Europea.

El malware Regin, cuya existencia fue reportado por primera vez por la empresa de seguridad Symantec el domingo, está señalado como uno de los más sofisticados jamás descubierto por los investigadores. Los especialistas de Symantec han comparado Regin a Stuxnet, una famosa arma cibernética y lo califican como "altamente preciso".

Desde Symantec se ha informado que "Regin es un troyano de tipo puerta trasera, personalizable, con una amplia gama de capacidades en función de la meta". El malware es una amenaza de múltiples etapas, con cada etapa oculto y encriptado, a excepción de la primera etapa, la ejecución de lo que inicia una cadena de descifrado dominó y cargas de cada etapa posterior.

Fuente: Symantec

Sian John, estratega de seguridad de Symantec, informó a la BBC: "Parece ser que se trata (de una herramienta para) recolectar inteligencia, parece haber sido desarrollada por una agencia de inteligencia para recolectar información".

"Sian John le explicó a la BBC que las personas detrás de Regin pueden ejecutar diferentes módulos en función de lo que requieran, capaces de espiar diferentes aspectos de la computadora infectada.
Ese enfoque modular es semejante a otro software maligno, como Flame y Weevil, explica la empresa de ciberseguridad" (BBC).

Según The Intercept, Regin es la herramienta empleada por la Agencia de Seguridad Nacional (NSA) de Estados Unidos y el Cuartel General de Comunicaciones del Gobierno (GCHQ) de Reino Unido para vigilar a la Unión Europea.

Se ha informado que Regin lleva poco más de una década siendo desarrollado, y se han mostrado piezas de código que datan del año 2003.

The Intercept realizó un estudio sobre el código que da forma a Regin, y se "descubrió" que para infiltrarlo en los equipos belgas fue necesario engañar a los empleados de la empresa Belgacom para hacerlos caer en un website falso, que imitaba el portal de LinkedIn. El falso website conseguía infectar al equipo objetivo.

La fuente informa que en una misión de hacking con nombre en código "Operation Socialist", el GCHQ tuvo acceso a los sistemas internos de Belgacom en 2010, al dirigirse a ingenieros de la empresa. La agencia secretamente había instalado los llamados "implantes" de malware en los ordenadores de los empleados mediante el envío de su conexión a Internet a un website falso de LinkedIn . Éste website malicioso lanzó un ataque de malware, infectando los ordenadores de los empleados y dio a los espías de control total de sus sistemas, lo que permitió ahondar en las redes de Belgacom para robar datos.

En una entrevista concedida a la revista belga MondiaalNiews, Fabrice Clément, jefe de seguridad de Belgacom, dijo que la compañía identificó por primera vez el ataque el 21 de junio de 2013.

Según nuevas publicaciones el Equipo Global de Investigación y Análisis de Kaspersky Lab ha publicado su investigación sobre Regin, donde se indica que es "la primera plataforma de ataque cibernético conocida para penetrar y controlar las redes GSM, además de otras tareas “estándar” de ciberespionaje. Los atacantes detrás de esta plataforma han puesto en peligro las redes informáticas en al menos 14 países alrededor del mundo, incluyendo Brasil".

Post relacionados

• El malware llamado "Regin", o Backdoor.Regin espía con características "invisibles". 24/11/2014.

Ciberataque masivo contra empresas energéticas europeas y estadounidenses

Ciberataque masivo contra empresas energéticas de Europa y EEUU: España es el país más afectado
Por D. Page para expansión.com.

El grupo estadounidense de seguridad online Symantec denuncia que la sofisticada acción cuenta con el respaldo de algún Gobierno. Algunas fuentes vinculan la acción con Rusia. España concentra más de una cuarta parte de los equipos infectados por un 'virus informático espía'.

Más de un millar de instalaciones energéticas de Europa y Estados Unidos han sufrido un ciberataque masivo que podría tener su origen en Rusia. España es el país más afectado por la acción, concentrando un 27% del total de equipos infectados por un sofisticado virus informático, pero no se ha hecho público qué compañías y qué instalaciones concretas son las que han visto comprometidas su seguridad.

Los sistemas de control de instalaciones (plantas de generación eléctrica, gasoductos, aerogeneradores, los contadores de consumo en tiempo real...) de centenares de compañías europeas y estadounidenses se han visto afectados por un ciberataque que parece sólo ha servido para realizar espionaje industrial, pero que por sus características permitiría el sabotaje de su funcionamiento, según ha desvelado el gigante de seguridad informatica norteamericano Symantec.

Sólo espionaje, pero con capacidad de sabotaje

Symantec, que anoche desveló el ciberataque mediante un comunicado, subraya que la operación es tan compleja, tan sofisticada y tiene tanto alcance que parece que cuenta con el respaldo de algún Gobierno. Financial Times y The New York Times señalan directamente los lazos de la operación con Rusia, citando a diferentes fuentes vinculadas con la investigación de la acción.

Los hackers han comprometido la seguridad de "compañías estratégicamente importantes" con "objetivos de espionaje", señala Symanec, pero subraya que si los atacantes "hubieran utilizado la capacidad de sabotaje de que disponían [gracias al malware utilizado] podrían haber causado daños o interrrupciones de,l sunministro de energía en los países afectados".

Las compañías energéticas españolas son las más afectadas por un ciberataque que se ha desarrollado hasta en 84 países durante aproximadamente un año y medio. España concentra el 27% del total de equipos informáticos infectados por el malware espía, frente al 24% de Estados Unidos, el 9% de Francia, el 8% de Italia o el 7% de Alemania, según los datos facilitados por Symantec.

Virus similar al utilizado por EEUU contra Irán

El grupo de hackers que ha diseñado la acción es conocido desde hace tiempo como 'Energetic Bear' (Oso energético, en inglés), pero Symantec lo ha rebautizado como 'Dragonfly' (Libélula). "El grupo cuenta con cuantiosos recursos, tiene a su disposición una amplia serie de herramientas de malware y es capaz de lanzar ataques a través de diferentes vectores", indica Symantec.

"La campaña más ambiciosa de ataques comprometió a varios sistemas de control industrial de diferentes compañías, infectando sus equipos con un virus de acceso remoto del tipo troyano (...) Estas acciones no sólo dieron a los atacantes acceso a las redes de sus objetivos, sino que también les facilitaron los medios para organizar acciones de sabotaje", explica el grupo estadounidense de seguridad informática.

Los hackers han conseguido infectar el software de las compañías y de las instalaciones energéticas mediante un virus de tipo troyano que les permite el control remoto de los equipos. El malware utilizado es muy similar al virus informático Stuxnet, que fue diseñado por Estados Unidos e Israel para infectar los equipos y sabotear las isntalaciones del programa nuclear de Irán.

"Entre los objetivos de Dragonfly están operadores de redes energéticas, grandes grupos de generación eléctrica, operadores de oleoductos y proveedores de equipos industriales para el sector de la energía", explica Symantec. "La mayoría de las víctimas están localizadas en Estados Unidos, España, Francia, italia, Alemania, Turquía y Polonia". / Por D. Page para expansión.com.--