En el quinto episodio del Pódcast Código LISA «Los mayores ciberataques en la historia de la Ciberseguridad», la analista de LISA News, Soraya Aybar, entrevista a Agnese Carlini, Profesora del Máster Profesional de Analista de Inteligencia y Exoficial de Inteligencia de Cibercrimen en Interpol.
¿Cuál es la diferencia principal entre la ciberseguridad, la ciberinteligencia y la Inteligencia de Amenazas o Threath Intelligence en inglés?
Agnese Carlini – La ciberseguridad hace referencia a todos los procesos y herramientas necesarias para proteger los activos digitales. Básicamente, se ocupa de proteger los sistemas informáticos, las redes y los datos de acceso no autorizados de infracciones, ataques o daños. Se centra principalmente en la aplicación de medidas defensivas para prevenir, detectar y responder a las amenazas a la seguridad.
Sobre la ciberinteligencia es el conocimiento que permite prevenir o mitigar los ciberataques a través del estudio de los datos sobre amenazas y el suministro de información sobre los adversarios. La ciberinteligencia ayuda a identificar, reparar y prevenir ataques proporcionando información sobre los atacantes, sus motivos y sus capacidades.
La Threath Intelligence o Inteligencia sobre Amenazas prepara a las organizaciones para ser proactivas, con capacidades predictivas en lugar de reactivas ante futuros ataques. Si no se conocen las vulnerabilidades de seguridad, los indicadores de amenazas o cómo se llevan a cabo estas amenazas, es imposible combatir eficazmente los ciberataques.
➡️ Te puede interesar: Curso de Experto en Ciberinteligencia
¿De qué forma podemos utilizar estas disciplinas como usuarios normales? Hablamos de ciberseguridad en el marco de grandes instituciones y de empresas privadas, en esos casos de éxito y también, en el filtraciones o ciberataques. Pero, para un usuario normal, ¿cómo puede poner la ciberseguridad a su favor?
Agnese Carlini – Las personas, y no la tecnología, son el eslabón más débil de la cadena cuando se trata de proteger a las organizaciones de ataques perpetrados por hackers informativos. No atender a los protocolos de seguridad mínimos tales como la instalación de antivirus o la actualización de sistemas, en muchas ocasiones, incrementa el riesgo de sufrir un ciberataque en las empresas.
Por lo que, es necesario concienciar a las personas trabajadoras para que sean conscientes de los riesgos que se derivan de determinadas conductas y que ponen en peligro la seguridad de las organizaciones. Algunos ciberconsejos que los usuarios deberían aplicar son, por ejemplo: mantener actualizado su software, utilizar protección antivirus o cortafuegos, utilizar autenticación de dos o más factores, informarse sobre las estafas de phishing que vemos a diario, desconfiar de los correos electrónico o llamadas telefónicas, proteger la información personal confidencial, utilizar los dispositivos móviles de forma segura, no conectarse a las redes de wifi públicas, revisar periódicamente las cuentas en línea e informes para comprobar si se han producido cambios… Esto son todo consejos que un usuario debería tomar en consideración para estar ciberseguro.
➡️ Te puede interesar: Masterclass | Ciberinteligencia al servicio de empresas e instituciones | LISA Institute
A principios de este milenio, alrededor de 60 millones de equipos se infectaron a través de la apertura de un correo electrónico spam con asunto LoveLetter4You. En el interior, una única frase: “I Hate Going to School”, que se traduce al español como, “odio ir al colegio”. Una campaña de phishing en toda regla que se posiciona como una de las más efectivas por la desinformación que había en aquel entonces sobre temas de ciberseguridad. El gusano escrito en VBScript se instalaba en el ordenador y borraba todos los ficheros con extensiones JPG, JPEG y MP3 y los sustituía por un troyano que intentaba recabar información confidencial. Pero, ¿qué es un gusano informático, Agnese?
Agnese Carlini – Un gusano informático es un tipo de malware que puede propagarse o autorreplicarse automáticamente sin interacción humana, lo que permite su propagación a otros ordenadores a través de una red. Un gusano suele utilizar la conexión a Internet o una red de área local. Además, aprovechan las vulnerabilidades de los sistemas operativos para instalarse en las redes.
Pueden acceder de varias formas: a través de puertas traseras integradas en el software o por ejemplo, a través de memorias USB. Una vez instalados, los ciberdelincuentes pueden utilizar los gusanos para realizar una serie de acciones maliciosas como por ejemplo un ataque de ransomware, el robo de datos confidenciales, lanzamiento de otros programas maliciosos, consumo de ancho de banda, entre otros.
Alguna de las formas más comunes de propagación de los gusanos informáticos puede ser a través de correo electrónico como por ejemplo mediante los archivos adjuntos, un escondite prioritario para los gusanos. Algunos gusanos incluso se codifican específicamente para aprovechar las vulnerabilidades del sistema operativo y del software. Los gusanos también pueden propagarse a través de plataformas, por ejemplo, de mensajería instantánea como el Internet Relay Check.
➡️ Te puede interesar: Masterclass | Autoprotección digital para ciberinvestigar de forma segura | LISA Institute
En el marco internacional, ¿cómo se rigen los ciberataques hoy, Agnese? ¿Hay un marco compartido y un protocolo base?
Agnese Carlini – Las leyes y estándares en materia de ciberseguridad son abundantes y a menudo varían dentro de los países. Los acuerdos y marcos internacionales pueden brindar a una orientación sobre el cumplimiento, qué países tienen más probabilidades de colaborar cuando ocurre un delito cibernético, cómo colaborar y cuándo la colaboración pública y privada puede ser la mejor elección.
El Convenio de Budapest de 2001 es el primer tratado internacional destinado a armonizar las normas internacionales para cumplimiento de la ciberseguridad. Cuenta con 68 partes y 21 países observadores signatarios. Abarca la mejor manera de abordar, de forma integral, las cuestiones relacionadas con los ciberdelitos, el grado con los consentimientos necesarios y la transparencia con la que se protegen los Derechos Humanos de los sujetos y las entidades y la medida en que están representadas las distintas regulaciones y ordenamientos jurídicos.
Por otro parte, se cuenta con la cooperación internacional a través de tratados de asistencia jurídica mutua u organizaciones como Interpol, Afripol, Europol, Asianpol, el Banco Mundial, Naciones Unidas y, sobre todo, la Organización Internacional de Normalización (ISO). Idealmente, lograr que las organizaciones se incorporen a los tratados y convenciones internacionales sobre delitos cibernéticos haría que las cuestiones, disputas, la doctrinas jurídicas y otras vinculaciones internacionales relacionadas con los delitos cibernéticos se armonizaran de manera fluida y oportuna con las sanciones, las penas y los castigos que acompañan al delito cibernético relacionado.
Aun así, la realidad es que es probable que ciertos países y jurisdicciones sean refugios seguros para los ciberdelincuentes. Los instrumentos como el Convenio de Budapest solo pueden llegar hasta cierto punto. Lo que falta todavía son sanciones potenciales para aquellos que no opten por participar o que den refugio a los cibercriminales.
➡️ Te puede interesar: ¿Puede la comunidad internacional sancionar los ciberataques?
Saltamos al verano de 2010. Stuxnet fue el primer gusano informático conocido que espió y reprogramó sistemas industriales. ¿Qué nos puedes contar sobre esta peculiaridad, Agnese?
Agnese Carlini – Cuando el presidente iraní, Mahmoud Ahmadinejad asumió el poder en 2005 hizo alarde públicamente de su intención de desarrollar la capacidad nuclear del país. Esto incluía entonces el recrecimiento de uranio hasta un grado que pudiera utilizarse para la energía nuclear. Por supuesto, esto conmocionó a la comunidad internacional.
Stuxnet se ha convertido en sinónimo de ciberataques y de ciberguerra. A día de hoy, se sigue preguntando quién creó Stuxnet aunque hay muchas especulaciones que lo atribuyen a Estados Unidos e Israel a través de la Operación Olympic Games. Es un gusano informático muy sofisticado que se hizo altamente conocido en 2010. Aprovechaba vulnerabilidades de acero de Windows, desconocidas hasta entonces, para infectar sistemas y propagarse a otros. Estaba dirigido principalmente a las centrifugadoras de las instalaciones de recrecimiento de uranio de Irán con la intención de desbaratar de forma encubierta el programa nuclear.
Sin embargo, Stuxnet se modificó con el tiempo para poder atacar otras infraestructuras como por ejemplo tuberías de gas, centrales eléctricas y plantas de tratamiento de agua. A día de hoy, sigue siendo uno de los ataques de malware más avanzados de la historia y fue importante por varias razones. Se considera como la primera arma digital del mundo. En lugar de limitarse a secuestrar ordenadores, a robarles información, Stuxnet salió del ámbito digital para causar la destrucción física de los equipos controlados por los ordenadores.
➡️ Te puede interesar: Masterclass | Kit de Herramientas de OSINT y Ciberinvestigación
Se asentó el precedente de que era posible atacar la infraestructura de otro país mediante un malware. Fue probablemente también creado por otro Estado o Estados, aunque no fue el primer ataque de ciberguerra de la historia. En su momento se consideró el más sofisticado. Fue muy eficaz, había arruinado casi una quinta parte de las centrifugadoras nucleares iraníes.
El gusano infectó más de 200.000 ordenadores y provocó la degradación física de mil máquinas. Utilizó cuatro vulnerabilidades de acero diferentes para propagarse, lo que era muy inusual en 2010 y que hoy sigue siendo poco común. Entre esos exploids, había uno tan peligroso que únicamente requería tener un icono visible en la pantalla y no era necesaria ninguna interacción. Aunque Stuxnet no fue considerado como el 11-S cibernético, ha desencadenado otra forma de carga armamentística con consecuencias graves e imprevisibles.
En este caso Agnese, vemos una relación directa entre geopolítica y las relaciones internacionales y la ciberseguridad y los ciberataques, ¿no?
Agnese Carlini – El ciberespacio se está convirtiendo en un nuevo campo de batalla y en un área de competencia geoestratégica. La creciente sofisticación y frecuencia de los ciberataques plantean importantes riesgos y amenazas tanto a gobiernos como empresas y particulares. Vivimos en un mundo de rápida evolución y la intersección entre geopolítica y ciberseguridad presenta un terreno muy complejo, que exige una mezcla única de conocimientos especializados.
La era digital ha dado paso a una nueva era de guerra en la que las batallas virtuales se libran junto a las físicas y el dominio de las tecnologías es tan crucial como la comprensión de la política mundial. La geopolítica del siglo XXI se caracteriza por una implicada dinámica de poder, interdependencias económicas e interconectividad digital. La rivalidades tradicionales entre Estados se ha extendido al ámbito cibernético, donde se aprovechan de las vulnerabilidades para poner en peligro infraestructuras críticas y en algunas ocasiones, sembrar la discordia.
A medida que se amplía el campo de batalla digital, el impacto de los ciberataques puede ser de gran alcance, eclipsando potencialmente los daños causados por el armamento convencional. Las armas cibernéticas se han convertido en una fuerza formidable en la arena geopolítica, capaz de perturbar las economías, influir en las elecciones y comprometer la seguridad nacional.
Las potenciales consecuencias de un ciberataque con éxito son enormes, hasta la paralización de sistemas financieros. Además, a diferencia de las armas convencionales, cabe destacar que los ciberataques pueden lanzarse a distancia, de forma anónima, y con una negación plausible, lo que complica aún más la atribución y las represalias.
➡️ Te puede interesar: Masterclass | Ciberinteligencia al servicio de empresas e instituciones | LISA Institute
6 años después, en 2016, aparece un ransomware que infecta los ordenadores, encripta los datos y pide un rescate a cambio. Estamos hablando de Petya, el virus que infectó a los sistemas Windows a través de un PDF ejecutable y que le costó a la naviera danesa Maersk alrededor de unos 250 millones de euros. Pero no todo quedo ahí. Un año después, aparece una nueva versión de este virus. Ahora, con otro nombre: NotPetya. Vemos que hay una mutación, aparentemente similar, pero mucho más potente. Por mucho que se paginase por el rescate, los archivos no se recuperaban. El virus actuaba por su cuenta y no necesitaba la gestión humana. ¿Estos casos son frecuentes, Agnese?
Agnese Carlini – NotPetya no era un ransomware real porque no se podía descifrar, más bien lo definieron como un limpiador de disco. Los atacantes se escudaban en una falsa petición de rescate de 300 dólares para encubrir lo que resultó ser su verdadero propósito destructivo.
NotPetya surgió cinco semanas después de otro peligroso ransomware que también afecto a muchísimos países a nivel mundial. Se considera como una verdadera ciberarma. Todo lo que necesitó para propagarse fue un ordenador con Windows 10 sin parchear o una versión más antigua de Windows. Junto con el Eternal Blue, había otra poderosa herramienta, Mimicat, que podía extraer contraseñas de la memoria, y juntas conseguían que el ataque se moviera de una máquina a otra.
Digamos que después del NotPetya ransomware, pasó de ser algo utilizado oportunistamente por los ciberdelincuentes hasta casi un arma de guerra. Los actores del Estado-Nación utilizarían esta como una herramienta para evitar que otras organizaciones y países puedan trabajar de forma eficiente.
➡️ Te puede interesar: Masterclass | Ciberdefensa y el papel de las Fuerzas Armadas
En la actualidad, y con el desarrollo de las tecnologías, es más sencillo para los ciberdelincuentes entrar en los sistemas operativos de grandes empresas e instituciones públicas. Pero también hay más ciberconciencia, más información, más cursos, sesiones informativos y programas que protegen nuestros datos, o al menos eso parece, de los ciberataques. ¿En qué punto estamos y cuál es el papel actual de la ciberseguridad, la ciberinteligencia y la Inteligencia de Amenazas? ¿Estamos mejor preparados a pesar de que hay más herramientas digitales disponibles?
Agnese Carlini – Buena pregunta. Desde luego estamos mejor preparados que hace unos años, pero, aun así, nos queda mucho camino por recorrer. Hay que fomentar y aumentar el nivel de conocimiento entre las personas, las empresas y tanto en el sector público como en el privado. Sobre todo, hago hincapié en las pequeñas y medianas empresas. Nadie está exento de sufrir un ciberataque. No tomarse en serio los inconvenientes y pérdidas que estos pueden causar hace que todavía haya pérdidas por millones de euros cada año.
➡️ Te puede interesar: Sonia Fernández: «Si solo los ciberexpertos supiéramos de Ciberseguridad, estaríamos demasiado expuestos»
Es primordial crear un área especializada dentro de las organizaciones especializadas en Ciberseguridad, encargadas de la implementación de las medidas preventivas en seguridad, de la información y de los usos informáticos. Además, que trabaje de la mano de unidades de Ciberinteligencia e Inteligencia de las Amenazas, que se fomente el conocimiento de la Ciberseguridad entre los empleados y usuarios. Lo que se necesita es implementar política proactivas para prevenir posibles incidentes, analizar lo que pasa en nuestro entorno para saber cuáles son las medidas a adoptar, tanto a nivel nacional como internacional. Es necesario que el individuo también participe activamente en este proceso. Este conocimiento empieza desde los colegios.
🎧 Si quieres aprender más de Agnese Carlini, Profesora del Máster Profesional de Analista de Inteligencia, Certificada como Experta en Análisis de Inteligencia y en el Curso de Director de Ciberseguridad de LISA Institute, escucha el quinto episodio del Pódcast Código LISA «Los mayores ciberataques en la historia de la Ciberseguridad:
🎧 También disponible en Spotify, Ivoox y Apple Podcast 🎧
