sábado, 22 de enero de 2011

Escenario de ciberterrorismo: Ataques terroristas de Bombay 2.0



El 26 de Noviembre de 2008 extremistas islámicos realizaron un ataque terrorista en la ciudad de Bombay, India. Bombay es la capital comercial y financiera de la India, con una población cercana a 19 millones. Diez hombres armados consiguieron paralizar la ciudad durante 60 horas dejando tras de sí al menos 164 muertos y mas de 300 heridos. En esta entrada veremos como un ataque de estas características puede amplificarse mediante el uso de técnicas de ciberterrorismo para aumentar la letalidad y el aspecto critico de ciertas infraestructuras de comunicaciones durante ataques terroristas.

El grupo que ataco Bombay lo hizo con un plan cuidadosamente estudiado y ensayado, llegaron a la ciudad desde una embarcación cargados con mochilas que contenían fusiles de asalto, granadas de mano, explosivos y alimentos así como GPS y Blackberries (según detalla un informe del NYPD). Su misión era un ataque suicida, disparar indiscriminadamente contra turistas extranjeros y población india en lugares masificados, moverse hasta nuevos objetivos y finalmente cuando se vieran rodeados por la policía hacerles frente luchando hasta su propia muerte. Durante los primeros momentos atacaron un café frecuentado por occidentales, una estación de tren abarrotada o un hospital, para finalmente atrincherarse en los lujosos hoteles Taj Mahal, Trident-Oberoi y un centro social judío.


Solo uno de los terroristas pudo ser capturado con vida, interrogado posteriormente explico que pertenecía a un grupo terrorista islámico, Lashkar-e-Taiba, con base en Pakistan. Entre otros detalles revelo que se habían familiarizado con la zona objetivo mediante información pública como Google Earth, o que durante el ataque habían estado en contacto con un controlador que por teléfono móvil al tiempo que seguía las noticias en directo les indicaba en tiempo real que estrategia seguir.

Este hecho junto con ataques por perturbados mentales armados en EEUU han cambiado la doctrina policial tradicional, donde usualmente la respuesta policial a incidentes terroristas o con criminales profesionales era la de establecer un perímetro de seguridad y esperar a la llegada de los grupos de intervención especial (GEOS, UEI, SWAT, etc.). En este nuevo escenario nos enfrentamos a lo que se llama tiradores activos, individuos cuya intención es producir el máximo número de muertes en zonas densamente ocupadas, cualquier retraso en la respuesta puede suponer un aumento de víctimas mortales. Por ello el entrenamiento actual tiende a que los primeros efectivos en llegar a la zona deben de neutralizar lo más rápidamente posible a los atacantes. En Estados Unidos por ejemplo es cada vez más común que las patrullas policiales de seguridad ciudadana, las que patrullan la calle día a día, cuenten con elementos como armas largas automáticas o protección balística.

Es evidente que en una situación de este tipo tanto el aviso temprano como la coordinación de las fuerzas policiales puede reducir el número de víctimas. Y es aquí donde un grupo terrorista sofisticado podría emplazar cibertacticas para aumentar el poder de su ataque.

En un primer momento el aviso a las fuerzas policiales posiblemente provendría de transeúntes cercanos al lugar que efectuarían llamadas desde sus teléfonos móviles. Los terroristas podrían emplear perturbadores de GSM, bien transportados por ellos mismos o colocados previamente para retrasar lo más posible la llegada de la respuesta policial. De forma similar podrían usar técnicas como las recientemente publicadas por investigadores de seguridad informática han demostrado vulnerabilidades en el sistema GSM que permiten mediante el uso de un teléfono móvil modificado el dejar sin servicio una célula telefónica o incluso la red completa de un operador. Otra posibilidad bastante sencilla desde el punto de vista técnico podría ser el uso de un sistema tipo Dialer, un marcador telefónico automático, para saturar los centros de coordinación de emergencias tipo 112, y evitar la entrada de llamadas en los momentos clave del ataque. Sería el equivalente a un ataque DDoS sobre la red telefónica básica. Un grupo suficientemente avanzado podría incluso comprometer previamente los sistemas CTI (Computer Telephony Integration) y centralitas de los centros de emergencias para deshabilitar o degradar el funcionamiento de estos servicios. En estos dos últimos supuestos los ataques podrían ser llevados a cabo por un equipo de apoyo terrorista, que ni siquiera necesita estar en el mismo país donde se produce el ataque.



Otro punto crítico serian las comunicaciones de radio de los servicios de emergencia, las diversas unidades policiales que lleguen a los lugares de los hechos necesitan coordinarse adecuadamente. Es aquí donde de nuevo los terroristas podrían atacar, así por ejemplo las comunicaciones analógicas por radio, del tipo usado todavía por la mayoría de policías locales en nuestro país, son susceptibles de ser interferidas mediante el uso de equipos de radioaficionado modificados, y que podrían ser automatizados mediante su conexión a ordenadores o microcontroladores para trabajar en modo desatendido. Una mejora considerable son las redes de radio digitales como la española SIRDEE, que cuentan tanto con autenticación como cifrado. Si bien son un avance este tipo de protocolos como TETRA o TETRAPOL no han sufrido una revisión de seguridad abierta por parte de expertos en seguridad, por lo que se desconoce que vulnerabilidades podrían tener. Aunque esto puede cambiar en un futuro próximo, según informo un reconocido experto.



En todos los escenarios anteriores debemos tener presente que el ataque informático o electrónico no tiene por qué tener como objetivo de interrumpir indefinidamente las comunicaciones, en una situación en la que cada minuto cuenta simplemente degradar o producir retrasos en los momentos críticos puede aumentar el número de víctimas civiles. En futuras entradas posiblemente comentaremos de los detalles técnicos de cada supuesto.

En otro orden de cosas, durante algunos eventos catastróficos recientes se ha hecho patente la utilidad de modernos medios de comunicación en tiempo real como Twitter. Si esta tendencia se afianza, tampoco se podría descartar el uso por parte de los terroristas de estos medios como canal de desinformación durante los ataques terroristas, para dividir la reacción por parte de las fuerzas de seguridad o amplificar la cobertura por parte de los medios.

En conclusión, estamos ante un versión terrorista de unos de los puntos que comentaba el reciente informe de ciberguerra de la OCDE, la posibilidad de un uso combinado de ataques tradicionales con ciberataques, sirviendo estos últimos en lo que se conoce en términos militares como un multiplicador de fuerza, una baza que permite que otros elementos aumenten su efectividad. Este escenario también pone de manifestó la importancia de asegurar las infraestructuras criticas de comunicaciones de emergencias, que cada vez tienden más a la digitalización o la integración con las nuevas tecnologías, lo que si bien potencia su operatividad también puede constituir una fuente de nuevas e inesperadas vulnerabilidades.

1 comentario:

  1. Recordad que en el desdichado 11M la red GSM se cayo ella solita por saturación, sin embargo la red Tetra de emergecias prestó servicio perfectamente. Y eso en un entorno sin elementos multiplicadores como comentas.
    Hay cosas de las que nunca aprendemos, primero montamos el 'chiringuito' y luego despues ya nos preocupamos, cuando lo hacemos, por la seguridad de éste.

    ResponderEliminar