Amenazas reales en un mundo virtual: ¿Cómo enfrentarlas y mitigarlas?

Este 17 de Julio en el Centro Citibanamex se realizó el taller “Amenazas reales en un mundo virtual: Cómo enfrentarlas y mitigarlas” en el Desayuno ALAS México con la participación del Ing. David Pereira, CEO de Secpro Security Professionals, especialista en diseño de estrategias de ciberseguridad, ciberdefensa y computación forense; ha desarrollado labores de Ethical Hacking, Pruebas de Penetración y Análisis Forense para diversas Entidades Nacionales como Internacionales de múltiples ámbitos como el Financiero, Energético, Militar, Diplomático, Minero, entre otros.

En tiempos de ataques virtuales cada vez más sofisticados y frecuentes, todos necesitan aprender a protegerse. Conocer las amenazas más comunes es el primer paso para reforzar la seguridad contra invasores y criminales cibernéticos.

Una infraestructura de seguridad debe estar preparada para incluir las tecnologías, procesos y usuarios involucrados, además de ofrecer protección de red, control y gestión de tecnología sin comprometer el desempeño del sistema o la productividad de los usuarios.

El ideal en el combate a los ciberataques consiste en combinar tecnologías con la responsabilidad de las personas, educando y concientizándonos sobre las situaciones de peligro existentes.

¿Qué es el ciberespacio?

El ciberespacio, es un término utilizado ampliamente en la cotidianidad, se ha convertido en una palabra presente en gran parte de las interacciones sociales, en las instituciones educativas, en ambientes sociales y políticos, en el hogar, y en infinidad de circunstancias de las cuales la mayoría hemos sido participes.

Pero en términos básicos y concretos, podemos definir el ciberespacio como un entorno esencialmente virtual, es decir, no físico e intangible, que se desarrolla gracias a la unión de los equipos de cómputo en redes informáticas que permiten a los usuarios interactuar con otros individuos con acceso a estas tecnologías.

Esta interacción permite a los usuarios, disfrutar de grandes ventajas al poder compartir información a manera de datos representados en textos, imágenes, sonidos y/o videos en tiempo real o diferido.

¿Qué es “tu huella digital“?

Nuestra huella digital está formada por los rastros que dejamos al utilizar el ciberespacio. Comentarios en redes sociales, llamadas de Skype, el uso de aplicaciones, registros de correo electrónico, búsquedas en la web motores y consultas – todo esto forma parte de nuestro historial en línea y, potencialmente, puede ser visto por otras personas o almacenado en una base de datos.

¿Qué es lo que hace el ciberdelicuente? ¿Cómo nos ataca?

La cadena Cyber Kill fue es una metodología aceptada por la industria para comprender cómo un atacante llevará a cabo las actividades necesarias para causar daño a su objetivo. Una comprensión efectiva de la cadena de ciberataques ayudará en gran medida al profesional de la seguridad de la información a establecer controles y contramedidas sólidos, que servirán para proteger los activos de su organización.

• Reconocimiento: aprender sobre el objetivo utilizando diversas técnicas.
• Creación del arma: adecuación del código malicioso o malware al medio sobre el que se buscará la infección.
• Entrega: transmitir el código malware a través de algún medio (correo, sitio web, apps, USB, etc.).
• Explotación: aprovechar alguna vulnerabilidad en el software o error humano para ejecutar el software malicioso.
• Instalación: el software malicioso se asegura de poder ejecutarse de forma permanente en el equipo infectado.
• Comando & Control (C2): el malware se comunica con su central, proporcionando a los atacantes control remoto.
• Acciones sobre los objetivos: se procede al robo o a la ejecución de lo que se plantea hacer, tal como si el atacante estuviera sentado frente a la pantalla, teclado y mouse del equipo infectado.

Algunos tipos de ataques

• Servicios (IP Stresser/Booter): es un servicio que permite a un cliente simular un ataque DDoS contra un sitio que controla. Es una herramienta para probar la solidez de la protección de una red frente a un ataque coordinado diseñado para desconectar al objetivo de Internet.
• Ransomware: es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos.
• Amenazas avanzadas y persistentes (APT): conjunto de procesos informáticos sigilosos y continuos de piratería informática, a menudo orquestada por humanos, dirigido a una entidad específica
• Ataques DDoS: ataque de denegación de servicio distribuido (por sus siglas en inglés, Distributed Denial of Service) el cual se lleva a cabo generando un gran flujo de información desde varios puntos de conexión hacia un mismo punto de destino.
• Ingeniería Social (Phishing, Doxing, Spamming, etc.): utilizadas por los delincuentes para obtener información confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima.
• Exploits: un programa o código que se aprovecha de un agujero de seguridad (vulnerabilidad) en una aplicación o sistema, de forma que un atacante podría usarla en su beneficio.
• Botnets: es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática.​ El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota.
• Entre otros.

¿Cuáles son los impactos?

• Perdidas financieras
• Pérdida/daño de información confidencial, propiedad intelectual
• Continuidad del negocio
• Daño de reputación
• Incidentes de estado
• Ciberguerras (Grupos radicales o estados completos)
• Violencia
• Afectaciones mentales (cyberbulling, cyberstalking)

Es importante conocer que es el ciberespacio, entender que tipo de ciberamenazas existen en tu contra en este espacio de interacción, los ataques ocurren las 24 horas del día, detectar a los posibles ciberdelincuentes, nadie ataque sin haber estudiado a su objetivo, incrementar la ciberseguridad, rebusteciendo los mecanismos de ciberdefensa y ciberinteligencia de manera proactiva y poder tomar decisiones asertivas.

¿Qué es ciberseguridad?

La ciberseguridad es la práctica de proteger sistemas, redes y programas de ataques digitales, combinando estrategias, políticas y tecnologías orientadas a tus operaciones dentro del ciberespacio. Estos ataques cibernéticos generalmente tienen como objetivo acceder, cambiar o destruir información confidencial; extorsionando dinero de los usuarios; o interrumpir los procesos de negocio normales.

• Reducir Amenazas
• Asegurar Información
• Aumentar Resiliencia
• Reducir la Vulnerabilidad

La identidad del usuario es la primera línea de ciberdefensa.

¿Qué es la ciberdefensa?

En los casos más extremos los ataques cibernéticos pueden ir más allá y poner en riesgo la integridad de una persona, compañía o un país y sus ciudadanos. Entonces, el enemigo virtual solo se puede combatir con ciberdefensa. La ciberdefensa, además de prevenir los ataques como hace la ciberseguridad, da respuesta a los mismos con nuevos ataques con fin de salvaguardar la seguridad y neutralizar al adversario. 

¿Qué es ciberinteligencia?

Se refiere a las actividades de inteligencia en los procesos de la ciberseguridad que se ocupan de analizar (Intenciones-oportunidades de los ciberactores) y prevenir, identificar, localizar y atribuir ataques o amenazas a través del ciberespacio.

Casos históricos:

Stuxnet (2009) 

Stuxnet es un gusano informático que afecta a equipos con Windows. Es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares.

Este malware tuvo un papel central en lo que se considera el ciberataque más sofisticado de la historia: una operación contra el programa nuclear de Irán. A pesar de algunos escollos en el ataque y unos pocos errores en el propio Stuxnet, se logró ralentizar el proceso de enriquecimiento de uranio en Natanz, una instalación nuclear iraní, y eventualmente demorar el proceso de creación de armas nucleares por parte del país.

Citrix (2019)

La famosa compañía de software Citrix, reveló que el pasado 6 de marzo sufrió una brecha de seguridad ocasionada por cibercriminales Iraníes que ha permitido a los atacantes revelar 6TB de información sensible de distintos clientes. El reporte llegó a Citrix por parte del FBI.

Walmart (2015-2016)

Desde finales de 2015 hasta principios de 2016, los empleados de Compucom asignados a la mesa de ayuda de Walmart usaron su acceso para monitorear cuentas de correo electrónico específicas  y supuestamente usaron esa información para obtener una ventaja sobre los competidores.

SPEI (2018)

Al menos 300 millones de pesos o más son el saldo, hasta, ahora de el ciberataque al software que usan las instituciones financieras en el país para conectarse al Sistema de Pagos Electrónicos Interbancarios del Banco de México (Banxico). Se habla de que piratas informáticos robaron unos 300 millones de pesos al crear órdenes fantasmas para transferir fondos a cuentas falsas para luego retirarlos.  Tres bancos, una casa de bolsa y una institución de ahorro popular fueron las afectadas por las transferencias no autorizadas.

¿Qué hacer? ¿Cómo enfrentar o mitigar las amenazas?

Las personas y las organizaciones ya no pueden pensar en la seguridad de la información y el riesgo operacional como dos cosas separadas.

La resistencia cibernética debe integrarse en el proceso empresarial para garantizar que los mares de sensores y actuadores coordinen sus respuestas a medida que cambian las situaciones. No se debe permitir que parchar un sistema o incluso un solo sensor cree una falla en cascada; de lo contrario, la empresa corre el riesgo de perder la cosecha completa y los ingresos asociados con ella. La línea entre el riesgo de información y el riesgo operacional se ha desvanecido hasta el punto en que apenas existe.