Czytaj książkę: «Nuevos espacios de seguridad nacional»
NUEVOS ESPACIOS DE SEGURIDAD NACIONAL.
Cómo proteger la información en el ciberespacio
Dr. Cristian Barría Huidobro
Primera edición: Julio de 2020
©2020, Cristian Barría Huidobro
©2020, Ediciones Mayor SpA
San Pío X 2422, Providencia, Santiago de Chile
Teléfono: 6003281000
ISBN EDICIÓN DIGITAL: 978-956-6086-01-7
RPI: 2020-A-2599
Dirección editorial: Andrea Viu S.
Diseño y diagramación: Pablo García C.
Diagramación digital: ebooks Patagonia
www.ebookspatagonia.com info@ebookspatagonia.com
Introducción
En el transcurso de menos de un siglo, durante las pasadas décadas, los diferentes organismos responsables de defensa, en distintas partes del mundo, se han visto en la necesidad de llevar a cabo una rearticulación de sus procedimientos y prioridades, al enfrentarse ya no solo a la protección y vigilancia de los dominios tradicionales de tierra, mar y aire. Hoy en día se ha vuelto necesario enfrentarse además a un dominio de tipo global y artificial: el del ciberespacio. Actualmente, frente al vertiginoso avance de las tecnologías constatamos que, en la convivencia de tiempos digitales v/s tiempos analógicos, resulta cada vez más urgente la oportuna toma de decisiones. Por otro lado, el incremento en los volúmenes de información que administran las organizaciones genera un nuevo tipo de problemática (División Doctrina del Ejécito de Chile, 2014). En lo que se refiere a la tasa de duplicación del conocimiento (tdc), Ray Kurzweil, uno de los principales especialistas en ciencias de la computación e ingeniería artificial, calcula que durante el siglo xx acontecieron cambios de paradigmas cada diez años en promedio y, afirma, que durante el siglo xxi, el cambio será mil veces más acelerado que en el anterior (Kurzweil, 1999). En otras palabras, la Ley de Moore (la cual expresa que aproximadamente cada dos años se duplica el número de transistores en un microprocesador) parece encogerse frente a esta realidad y es precisamente este fabuloso incremento en las capacidades del hardware, el responsable de la revolución tecnológica de los últimos cincuenta años, el cual permite (y obliga también a) afrontar desafíos de una magnitud hasta hace muy poco tiempo, impensables (Navarro, 2009).
De esta manera, el ciberespacio, al caracterizarse por ser un sistema en permanente evolución, es denso y variado. Esto implica, entre otras cosas, que está poblado no solo de información, sino también de entornos de infraestructura de redes interdependientes, los cuales incluyen otros sistemas: el internet mismo, las telecomunicaciones, la electrónica, los sistemas informáticos corporativos, los servidores, los procesadores y los controladores.
Así entonces, es necesario tener en cuenta que el ciberespacio es un entorno generado por los seres humanos, que nos aporta enormes beneficios, pero, en contrapartida, también posibilita riesgos aún desconocidos (Mishra, 2013). El ciberespacio opera en el espectro electromagnético y sus nodos físicos se establecen en los dominios tradicionales, los cuales, al estar interrelacionados, conllevan implicancias asociadas a los riesgos que pudiesen traspasarse entre ellos del mismo modo que una enfermedad –o en el peor de los casos– como una epidemia. Estos nodos podrían ser administrados u operados por organizaciones privadas o gubernamentales (Carr, 2010).
Resulta innegable que la revolución digital ha aportado beneficios tanto en innovación como en crecimiento a distintos modelos de negocios desarrollados a través de internet, pero también ha generado una dependencia del ciberespacio, la cual expone estos modelos a amenazas. Los activos que anteriormente fueron protegidos físicamente, ahora están expuestos dentro de la red. Del mismo modo, canales pertenecientes a clientes devienen vulnerables a la interrupción de operaciones y, en consecuencia, los delincuentes tienen nuevas oportunidades para robar y cometer fraudes. Como las barreras con las que se cuenta para la protección contra delitos informáticos comúnmente son débiles, en tanto que los métodos de ataque son crecientemente más sofisticados, esta combinación trae consigo que los riesgos que se detectan o que efectivamente son eliminados, son mínimos (Deloitte, 2013).
Las operaciones de los diferentes organismos vinculados al área de defensa en el ciberespacio han venido sucediendo desde antes de la llegada de internet (Caton, 2015). Es sabido que las agresiones entre Estados, empleando programas o códigos informáticos maliciosos, comúnmente denominados malware, en la actualidad son sumamente sofisticados, ocasionando en algunos casos efectos devastadores. Estas agresiones se han incrementado con especial intensidad desde el año 2007. En el contexto de los países que pertenecen a la otan, no existe interdependencia entre los gobiernos con respecto a los protocolos de Infraestructura Crítica de Información (ici). Por el contrario, el desarrollo y la implementación de medidas de seguridad para la información y la investigación en sistemas y redes de computación, solo son algoritmos y heurísticas particulares, basados en una autarquía tecnológica (independencia tecnológica) que no se transfiere a terceros y que constituye un activo vital que debe ser protegido ante incidentes estratégicos que pudiesen afectar a otras naciones (Moore, 2010). Debido a la presencia de este tipo de ataques y amenazas, provenientes de malware de alta sofisticación destinados a dañar la ici, servicios esenciales o los denominados servidores de mando y control, el poder ejecutivo del país afectado puede, eventualmente, disponer la neutralización de los servidores emisores de la agresión (Naciones Unidas, s.f.).
Por los factores expuestos anteriormente, y considerando el contexto global actual, en esta investigación se expone una clasificación y actualización del análisis del código malicioso basado en ofuscación, para aportar, de este modo, en el proceso mediante el cual diferentes instituciones puedan generar sus instancias pertinentes para fortalecer los Sistemas de Gestión de Seguridad de la Información (sgsi), a través de la mitigación, mantención y respuesta a los sistemas protegidos.
De esta manera, adquiriendo la capacidad de anticipar y reaccionar a tiempo, las consecuencias serán mínimas. Si, por el contrario, no se elabora una organización preventiva, tarde o temprano se sufrirán las consecuencias que la improvisación y la falta de procedimientos defensivos ante una intervención dejan a la vista, sin contar ya, probablemente, con la posibilidad de identificar el verdadero daño o la profundidad del mismo (División Doctrina del Ejército de Chile, 2014).
El reconocimiento del ciberespacio como un nuevo dominio dentro del campo de batalla tradicional (León, 2017), conlleva la necesidad de crear un organismo responsable del mismo, tal como lo son los ejércitos, las armadas y las fuerzas aéreas respecto del espacio terrestre, marítimo y aéreo, respectivamente. Es decir, es fundamental la existencia de una entidad que preserve la seguridad de la información, considerando los aspectos de confidencialidad, integridad y disponibilidad de la misma (Centro Superior de Estudios de la Defensa Nacional, 2012). Esta necesidad surge debido a la proliferación de sujetos que, de manera individual (hackers, crackers, script kiddies, entre otros) o agrupados (movimientos hacktivistas) han pasado a formar parte de las amenazas que afectan de manera fundamental la protección de datos (Peaget, 2011).
No obstante, es posible identificar un denominador común a la hora de definir las herramientas a través de las cuales las vulnerabilidades están siendo explotadas por estos individuos o grupos hacktivistas: el denominado malware o códigos maliciosos (Department of Defense us, 2015). Dentro de los malware es posible categorizar diferentes clases, entre las que destacan virus, gusanos, botnet y troyanos. Estos, generalmente, se emplean como mecanismos para obtener información, dada su tecnología invasiva que, tal como las armas físicas, pueden causar daño a los distintos sistemas informáticos (Milošević, s.f.).
Dadas estas vulnerabilidades, cada vez se hace más necesario el fortalecimiento de los sgsi, específicamente, en lo que se refiere a la clasificación y actualización de malware basado en ofuscación y, a su vez, en el desarrollo de un mecanismo que automatice dicho procedimiento, para mitigar, mantener y dar respuesta a la protección de sistemas que son parte de la ici (Valencia, 2017).
1.1. Información
Uno de los activos más preciados en el ciberespacio es el que denominamos “dato”. Este, en su conjunto, genera información, que incluso una doctrina geopolítica como la rusa, en relación a la ciberguerra, clasifica como un arma de alta peligrosidad porque es de bajo costo, acceso universal y traspasa todas las fronteras, sin restricciones (Darczewska, 2014).
1.2. Ciberespacio
El concepto “ciber”, que parece ser muy moderno, no lo es en absoluto. Lo tomamos de la palabra cibernética, que etimológicamente nos llega del francés (cibernétique) el cual, a su vez, la toma del inglés (cybernetics). No obstante, originalmente viene del griego kybernêtikê, en referencia al arte de gobernar una nave. Cabe señalar que el término presenta divergencias en el ámbito internacional y su definición depende de los intereses de quien lo emplee. Su uso se masifica a partir de los años 80, cuando el escritor estadounidense William Gibson, establece el término ciberespacio en su premiada novela Neuromante, para describir una red ficticia de computadoras que contenía una enorme cantidad de información, la cual podría explotarse, con el fin de adquirir riquezas y poder (Gibson, 1984). Sin embargo, el ciberespacio se entiende, en términos generales, como un ambiente compuesto por las infraestructuras tecnológicas, los componentes lógicos de la información y las interacciones sociales que se verifican en su interior. En lo particular, se refiere conceptualmente a la dimensión generada durante el tiempo de interconexión e interoperabilidad de redes, sistemas, equipos, personas relacionadas con los sistemas informáticos y las telecomunicaciones, que surge de la evolución tecnológica de las redes para el transporte de datos, las tecnologías para su procesamiento y los sistemas necesarios para su representación y empleo. Dichos datos, a su vez, son la representación de algún hecho en el mundo físico (Ministerio de Defensa Nacional, 2016). El ciberespacio, en definitiva, comprende un espectro complejo: es transaccional, combina amenazas que han sido vinculadas a actores estatales y no estatales, afecta a vulnerabilidades civiles y militares, permite soslayar o vulnerar la legislación, las políticas y la doctrina. Es, sin duda, uno de los puntos cruciales más frágiles de las sociedades modernas. En este sentido, es posible reconcer las siguientes características como propias del ciberespacio: discreto, dinámico, extraterritorial, desregulado, anónimo y privado (Darczewska, 2014). Debido a esta complejidad de factores, la ciberseguridad es dinámica, flexible, ágil y capaz de anticiparse a las amenazas emergentes. Al mismo tiempo, necesita ser capaz de identificar nuevas capacidades para el desarrollo de soluciones de seguridad, las cuales, acompañadas de personal idóneo, serán una fuerza perdurable para enfrentar los riegos presentes (Department of Defense eeuu, 2015).
1.3. Ciberseguridad
El concepto de ciberseguridad, como ya se ha dicho, se refiere directamente a las acciones tendientes a preservar la confidencialidad de los datos que circulan y se almacenan en el dominio virtual. Esto con el propósito de, por un lado, mantener el funcionamiento de la infraestructura física que le da soporte y, por otro, de impedir que acciones en el ciberespacio tengan manifestaciones nocivas, tanto para las personas como para las organizaciones civiles o del Estado. La ciberseguridad, de este modo, preserva datos, sistemas y servicios que circulan por las redes (Ministerio de Defensa Nacional, 2016), es decir, apunta al objetivo de enfrentar desde un mínimo de riesgo y amenazas en el ciberespacio y se refiere conceptualmente también al conjunto de políticas y técnicas destinadas a lograr dicha condición.
1.4. Ciberataque
Se define como aquel incidente de seguridad que evidencia la ejecución intencional de acciones que afectan redes, sistemas o datos de organizaciones públicas, privadas y, especialmente, del sector defensa. El incidente puede estar compuesto por una o por múltiples acciones, las cuales se relacionan por su origen, por la técnica empleada o por el objeto afectado (Ministerio de Defensa Nacional, 2016).
1.5. Ciberarmas
Resulta importante destacar que el concepto de ciberarmas es similar al de las armas físicas, en el sentido de que ambas son capaces de destruir sistemas de infraestructura crítica y de información, de deshabilitar redes eléctricas, desactivar sistemas aéreos, conectividad a internet, alterar transacciones bancarias y obstruir los sistemas de radares, entre otros.
Sin embargo, los instrumentos tradicionales de control de armas y desarme no resultan en la práctica aplicables al ciberespacio. Todavía no es posible verificar exhaustivamente la actividad cibernética, en buena parte, porque no se ha llegado a una definición consensuada de “arma cibernética”. Las actividades llevadas a cabo en el ciberespacio no pueden seguir siendo diferenciadas del modo que se ha hecho tradicionalmente, solo entre civiles y militares. Asimismo, tampoco pueden ser fácilmente limitadas ni pueden imponerse restricciones de capacidades técnicas a los Estados para el desarrollo de mecanismos de defensa de este tipo. Es necesario tener en consideración que hay países que trabajan durante años y gastan altas cantidades de dinero en construir elaboradas instalaciones que les permitan unirse al exclusivo club de naciones que han poseído o poseen armas nucleares. Frente a esa realidad, entrar en el club cyberweapon es más fácil, más barato y está al alcance de casi cualquier persona con dinero y un computador (Harari, 2016).
1.6. Ingeniería social
Este concepto se refiere a un conjunto de técnicas psicológicas y habilidades sociales (como la influencia, la persuasión y la sugestión) dirigidas directa o indirectamente, hacia un usuario con el objetivo de lograr que revele información sensible o datos útiles sin ser consciente del acto malicioso. Estas técnicas se pueden realizar mediante el empleo de tecnología o del trato personal (Hadnagy, 2010).
1.7. Sistema de Gestión de Seguridad de la
Información (SGSI)
El sgsi comprende un conjunto de elementos que surgen de los distintos dominios que propone la norma iso 27.000, específicamente los números 1 y 2, que fijan los estándares en materias de seguridad de la información y cuyo “objetivo es preservar la confidencialidad, integridad y disponibilidad” de la misma, incorporando un proceso de gestión de riesgo para proporcionar confianza a las partes interesadas (Instituto Nacional de Normalización, 2013). El sgsi, por tanto, cobra pleno sentido en el denominado ciberespacio y en lo que respecta a todos los componentes asociados al riesgo informático (ciberarmas, ciberataques, entre otros).
1.8. Antivirus
Aplicación para la evaluación de riesgo y medidas de mitigación ante códigos maliciosos. Una de las características que deben tener los fabricantes de antivirus para poder enfrentar con éxito los distintos malware en el ciberespacio, es la capacidad de intercambiar información efectiva entre ellas, con el fin de detectar la aparición de nuevas amenazas (Bailey et al., 2007).
1.9. Malware
Es una abreviación de software malicioso en inglés (malicious software), que si bien en términos generales se refiere a cambios de comportamiento en el estado de un sistema, ha sido concebido para conseguir acceso a los medios tecnológicos y recursos de la red, perturbar las operaciones de computadores y recopilar información personal u organizacional sin tener el consentimiento de los administradores, generando así una amenaza para la disponibilidad de internet, la integridad de sus anfitriones y la privacidad de los usuarios (Islam, 2012). En las tres últimas décadas el concepto ha cambiado, desde aquel desarrollado para efectuar pruebas de seguridad hasta aquellos creados para sabotear infraestructuras críticas y de la información (Zagreb Consultora Limitada, 2008).
1.10. Análisis de Malware
El análisis de malware es un proceso que contribuye a la gestión de incidentes, a través del cual se trata de otorgar respuestas precisas a una serie de interrogantes entre las que podemos encontrar comúnmente las siguientes:
¿Qué? –denegación de servicios– intermitencia en la red, eliminación de datos, entre otros.
¿Cómo? –adjunto de correo– dispositivo de almacenamiento externo contaminado, sitio web malicioso, entre otros.
¿Cuándo? –durante el horario laboral– en la noche, fines de semana, entre otros.
¿Impacto? –datos expuestos– robo de datos comerciales, penalidad legal, entre otros.
Grado de diseminación –solo un equipo, departamento, red completa, entre otros.
El grado de certidumbre en las respuestas será proporcional al análisis del malware, por lo cual entre más detallado sea este, con mayor precisión se responderá a los eventos propios de la existencia de malware en la organización analizada. Para el proceso de análisis, en tanto, existen diversas técnicas, procedimientos y herramientas, las que se pueden clasificar bajo tres aspectos: análisis preliminar o triage, análisis estático y análisis dinámico (Li et al., 2009).
1.11. Triage
Este tipo de análisis se basa en una técnica utilizada en medicina, la cual permite la selección y clasificación de pacientes en escenarios complejos, tales como guerras, desastres o accidentes. En un escenario digital, este tipo de análisis busca determinar ciertas acciones ante la ejecución de malware en la organización. Si el usuario está entrenado para este tipo de situaciones, podrá evidenciar rápidamente la existencia del código malicioso por medio de una evaluación ágil del sistema; por ejemplo, a través del comportamiento errático de programas, la lentitud en los procesos normales de trabajo, los problemas de conexión y la eventual aparición de carpetas y archivos, por mencionar algunos. La respuesta ante los eventos descritos deben estar definidos en la politíca organizacional, y reflejarse en algún plan que permita activar un proceso y minimizar un eventual impacto en la organización (Ministerio de Defensa Nacional, 2016).
1.12. Análisis estático
El análisis del software malicioso sin ejecutarse se denomina estático. Por lo general, este tipo de análisis se realiza mediante la disección de los diferentes recursos del archivo binario y el estudio de cada componente. El archivo binario también se puede desagregar (ingeniería inversa), utilizando un desensamblador, es decir, el lenguaje de máquina se traduce a un código ensamblador que puede ser leído y entendido por un analista de malware, quien entonces así da sentido a las instrucciones, comprende y obtiene una imagen de lo que el programa realizaría. El analista, mediante este proceso, es capaz de generar indicadores técnicos que permiten el desarrollo de firmas simples, antecedentes y características del archivo (nombre, tamaño, tipo), sumas de comprobación md5 o hashes y reconocimiento, que ejecutan las herramientas de detección de antivirus. Por otra parte, los patrones de protección utilizados en el análisis estático incluyen la firma de la cadena, secuencia de bits, llamadas a librería sintáctica, gráfica del flujo de control y código de operación, distribución de frecuencias, entre otros (Gandotra et al., 2014)
1.13. Análisis dinámico
Se denomina de esta manera al tipo de análisis que examina el comportamiento de un código malicioso mientras está siendo ejecutado en un ambiente controlado (máquina virtual, simulador, emulador, caja de arena, entre otros) y se están registrando indicadores técnicos. Entre los indicadores se pueden mencionar nombres de dominios asociados a la conexión, direcciones IP, rutas de archivos, claves de registro, programas adicionales instalados en la red y fuera de ella. Este tipo de análisis es bastante más eficiente que el análisis estático, principalmente porque da visibilidad a la funcionalidad del malware, dependiendo de las características de este, pues en algunos casos puede estar preparado para evitar su detección en ambientes de análisis dinámico.
1.14. Infraestructura Crítica de la Información (ICI)
Un estudio de la Organización para la Cooperación y el Desarrollo Económico (ocde), correspondiente a un análisis comparativo del desarrollo de las políticas para la protección de la infraestructura crítica y de la información en Australia, Canadá, Corea del Sur, Japón, Holanda, Inglaterra y Estados Unidos indica que la ici es una infraestructura de información que, si no se encuentra disponible, puede ocasionar pérdidas de vidas y un grave impacto en la salud, seguridad o economía de sus ciudadanos. Para evitar esto, los países deben ser capaces de desarrollar una estrategia de seguridad después de haber jerarquizado la criticidad de los eventos (Zagreb Consultora Limitada, 2008).
1.15. Ciberdefensa
Se refiere al conjunto de sistemas, infraestructura, personas, medios de apoyo y procedimientos doctrinales, que permiten defender el ciberespacio (Centro Superior de Estudios de la Defensa Nacional, 2012). Estos son capaces de detectar, neutralizar, identificar, contener daños y eventualmente responder a los ciberataques, generando las condiciones para mantener o restablecer en el menor tiempo posible las capacidades de ciberdefensa, contempladas en el marco de una política de ciberseguridad, con el fin de asegurar la integridad, confidencialidad y disponibilidad de los datos, sistemas y redes de servicios de información (Ministerio de Defensa Nacional, 2016).
1.16. Ofuscación
Se define como una transformación de programas. Generalmente se utiliza en el malware para evadir la detección por parte de software antimalware (Li et al., 2009), mediante la aplicación de transformaciones en el código (fuente o binario), que cambia la apariencia del mismo a través de un procedimiento que permite mantener su funcionalidad (Balakrishnan et al., 2005).
1.17. Hacktivista / Hacktivismo
El neologismo hacktivista proviene de la unión de la palabra hacker con activismo. Por ende, las actividades de hacktivismo corresponden a las acciones políticas de resistencia y lucha por una sociedad alternativa, relacionada con la libertad de información, con las luchas por la democracia y por una sociedad abierta. Estos activistas emplean herramientas de hacking para protestar en internet, incitando a la desobediencia civil electrónica (dce), cuyo propósito es ofender y bloquear.
1.18. Ciberconflicto
Se refiere a la expresión de intereses contrapuestos, entre dos o más partes, en relación a temas, intereses o valores que se manifiestan en el ciberespacio (Ministerio de Defensa Nacional, 2016).
Darmowy fragment się skończył.