viernes, 29 de diciembre de 2017

Resumen Ciberdefensa 2017





Siguiendo la tradición, al llegar a estas fechas desde Areopago21 echamos un vistazo al año que acaba con un breve resumen de los hechos,  noticias y tendencias más relevantes del 2017.

Si tuviéramos que seleccionar un solo tema para ilustrar lo acontecido este año sin duda seria el de “injerencia rusa”:  el uso de las llamadas “fake news”, el robo y filtrado selectivo de información, las redes de bots y campañas de publicidad en redes sociales destinadas a manipular la opinión del público, especialmente durante periodos electorales.

Estas actividades rusas si bien difícilmente podrían modificar resultados electorales mediante hacking si pueden arrojar dudas en cuanto a la legitimidad de las elecciones, lo que de por si ya seria un resultado suficiente a ojos del Kremlin. Un ejemplo claro son las diversas sombras arrojadas sobre la campaña y la posterior victoria electoral de Donald Trump. También es curioso que el conceder una excesiva importancia sobre esta amenaza, en lo que en algunos casos ha llegado a limites de paranoia sobre las capacidades de alterar resultados electorales juega en el propio favor de los rusos. Algo que han sabido aprovechar muy bien desde medios cercanos a fuentes oficiales rusas ridiculizando estos temores, en España por ejemplo la Ministra de Defensa fue victima de una broma telefónica sobre el tema.

El referendum de secesión ilegal en Cataluña también marco la agenda ciber de nuestro país, por ejemplo con la batalla entablada y ganada desde las FCSE para prevenir el uso de sistemas informáticos necesarios para el desarrollo del 1-O , las noticias de las omnipresentes del riesgo de injerencias rusas en las elecciones del 21-D o el hack a la página web del Centro Nacional de Inteligencia.



El que sin duda fue el mayor ataque informático del año, al menos en repercusión mediática, Wannacry tuvo una importante imbricación con la Ciberdefensa, ya que por un lado hacia uso de un exploit zero-day sustraído previamente a la NSA y filtrado por el enigmático grupo Shadow Brokers. Y por otro al atribuir Estados Unidos a Corea del Norte la autoría de este malware. Otros malware relevantes del año fueron la polémica creada por la supuesta conexión entre Petya, NotPetya y BadRabbit, así como el descubrimiento de Triton/Trisis un malware que ataca PLC de control industrial Schneider Electric que estaría al nivel de sofisticación de Stuxnet o Industroyer.

Un actor APT que destaco de forma importante fue Corea del Norte, este país como ha ocurrido con otros desarrollos militares como armas nucleares o misiles balísticos ha conseguido desarrollar unas capacidades ciber-ofensivas muy por encima de las que se podrían esperar de un país aislado y empobrecido. Entre otras actividades se les responsabiliza de robo sistemático de criptomonedas, ataques continuos sobre su vecino Corea del Sur, la autoría del citado Wannacry, así como diversas campañas de robo de información de contratistas de defensa de todo el mundo, lo que ha incluido victimas en el sector industrial de nuestro país.

Como años anteriores estos doce meses nos han deparado una buena cantidad de nuevas amenazas APT o hemos conocido mejor algunas de las ya existentes. Entre otros se publicaron informes y nuevos datos sobre Lazarus, APT10, Hidden Cobra, Cobalt Kitty, CopyKittens, Gaza Cybergang, MuddyWater, Sowbug o APT33.

Un protagonista involuntario de la actualidad ciber a lo largo de todo el año fue Karspesky , el fabricante del famoso producto antivirus. Se vio envuelto en diversas noticias dignas de una película de espías que incluyeron la detención por parte de las autoridades rusas de algunos de sus trabajadores, el veto de sus productos en EEUU , la confirmación por parte de Eugene Karspesky de que su antivirus había extraído información confidencial de la NSA de la estación de trabajo personal de un contratista de defensa, y las acusaciones de que esa información habría acabado en manos de los servicios de inteligencia rusos. Algunos ya han empezado a comentar que la pérdida de confianza en las empresas de seguridad en un mundo globalizado puede llevar a una balcanización en la que cada país, ya sea en el sector privado, publico o de defensa solo confié en los fabricantes nacionales.

La guerra contra el Estado Islámico marco también este año, determinando una tendencia interesante tendencia iniciada por EEUU que ha sido pasar de los ataques destinados a obtener inteligencia e infiltrarse en las redes yihadistas a ataques de disrupción de sus comunicaciones y actividades de propaganda, por ejemplo, en la operación Glowing Symphony o la unidad Joint Task force ARES.

En España desde medios cercanos al gobierno y al propio Mando Conjunto de Ciberdefensa se empezó a plantear la creación de una “ciber-reserva” de expertos civiles voluntarios que prestarían sus servicios gratuitamente. La propuesta lejos de recibir apoyos fue acogida con bastante ironía, escepticismo e incluso indignación en diversos foros del sector de la seguridad informática española. Desde Areopago21 por nuestra parte no entendemos por que no es posible reutilizar o actualizar figuras ya existentes como la del Reservista Voluntario (figura que por ejemplo ha sido muy útil para transvasar conocimientos del sector médico civil incluso en zona de operaciones). En nuestra opinión lo deseable sería un modelo de reserva que fuera solo un pequeño elemento de un plan estrategico mucho más grande.Un desarrollo a largo plazo de la relación cívico-militar con medidas como fomentar organismos de investigación formados por personal civil pero dependientes del Ministerio de Defensa (tenemos las actividades ciber ya existentes en el ITM Marañosa) o apoyar la creación de empresas start-up de seguridad informática.

Otra tendencia que ha quedado patente este año es la “democratización del espionaje”, un proceso en el que las capacidades de inteligencia de empresas, grupos o incluso individuos se acerca cada vez al de los servicios de inteligencia estatales. Dos ejemplos de ello: el informe SIGINT for Anyone - The Growing Availability of Signals Intelligence in the Public Domain del think-tank RAND y los documentos del proceso judicial contra la empresa Uber que habría usado agentes infiltrados tanto físicos como en redes sociales, pinchazos telefónicos, micrófonos ocultos, ingeniería inversa sobre aplicaciones o técnicas OSINT para obtener ventajas competitivas sobre otras empresas e incluso organismos reguladores.

En definitiva, otro agitado año en el mundo de la Ciberdefensa donde se ha puesto de manifiesto que los ataques masivos contra una nación pueden exceder los sistemas puramente militares o gubernamentales, requiriendo una estrategia y desarrollo de capacidades de defensa que deben ir mas allá de la simple prevención de intrusiones y robo de información.