Como prevenirse y combatir una amenaza ciberterrorista @Uliman73



La primera vez que me expuse sobre el tema fue en el año 2003, y pasaron 5 años hasta que me animé a escribir sobre el Ciberterrorismo, hoy a poco mas de 15 años de estar tratando con el tema veo que pese al desarrollo y evolución que el mismo a tomado es poco lo que desde las áreas legislativas se trabaja, particularmente en los países de la región, esto dado a que tienen la falsa premisa que el Ciberterrorismo es solo Islamista y que su único enemigo es Estados Unidos de Norteamérica (USA) y Europa.

Sin perjuicio de ello, y como siempre digo, uno tiene la obligación de evangelizar, y en este sentido es que retomo el tema. Como si se tratase de cualquier otra amenaza que atenta contra la Seguridad Pública o lo que algunos entienden como la Seguridad Nacional (sacándose de encima todo tapujo ideológico), vamos a tratar de ver cómo se puede combatir al Ciberterrorismo.

En primer lugar, hay que tomarlo como una amenaza a la Seguridad, por la particularidad del tipo de amenaza primero trataremos de respondernos estos interrogantes:

1.    ¿Qué prevemos que los terroristas quieran hacer en el ciberespacio?
2.    ¿Cómo podemos prevenir estas acciones?
3.    ¿Cómo podemos ser proactivos contra estas acciones?

Al primer interrogante ya lo he tratado en varios de mis artículos anteriores y ponencias, pero para hacerlo breve, esto se refiere a: 
  • El ciberataque en sí.
  • Planificación y Coordinación de ciberataques.
  • Propaganda y Reclutamiento.

En cuanto al segundo interrogante, nos lleva inexorablemente a tratar de conocer cuáles son esas acciones, conocer al enemigo y sus técnicas y tácticas para poder prevenir. En ese sentido veamos algunos casos desde los inicios:

Los Tigres de Tamil
El primer acto caracterizado de ciberterroristas, identificado por las autoridades de inteligencia, fue llevado adelante por los Tigres de Tamil, terroristas guerrilleros en Sri Lanka en 1998. Las embajadas de Sri Lanka recibieron 800 correos electrónicos por día durante más de dos semanas con un mensaje que decía "Somos los Tigres Negros de Internet y estamos haciendo esto para interrumpir tus comunicaciones ".

Aum Shinrokiyo
En 2000, una investigación descubrió que el gobierno japonés había estado usando software desarrollado por una compañía asociada con Aum Shinrokyo (Akhgar, Staniforth, & Bosco, 2014). Se informó que Aum había recopilado datos confidenciales sobre armas nucleares, a lo que previamente habían discutido las compras con Rusia en 1993 (RAND Corporation, 2005).

Prueba del generador Aurora
En 2007, un ataque cibernético experimental titulado "Prueba del generador Aurora". Los investigadores descubrieron que al alterar remotamente el software de un generador de energía podían provocar que las turbinas prendieran fuego y, por lo tanto, eventualmente causen daños graves al generador. Este es un ejemplo de una amenaza relevante de los ciberterroristas en los Sistemas de Control Industrial (ICS) dentro del sector industrial. En un informe sobre la infraestructura de estos sistemas de control y su amenaza potencial por terroristas, Dana Shea (2003) cita: "Las tecnologías de sistemas de control industrial a menudo se emplean en industrias de infraestructura crítica para permitir que un único centro de control administre múltiples sitios. Los sistemas de control industrial se implementaron originalmente como redes aisladas y separadas. Fueron vistos como sistemas seguros que protegían ubicaciones remotas de ser físicamente violadas y maltratadas. Por ejemplo, se creía que el establecimiento de sistemas de control remoto en presas protegía contra la liberación ilegal del agua represada, ya que no se podía acceder a válvulas ni interruptores accionables manualmente”.

Al-Shahab
En 2011, el medio de comunicación de Al-Qaeda, Al-Shahab, publicó un informe en el que pedía que los "Ciber Jihadistas" atacaran a compañías y gobiernos que se oponen a sus creencias. El columnista del medio decía: "Aconsejamos a los expertos en este campo que se dirijan a los sitios web y las redes de las grandes empresas y los gobiernos de los países que atacan a los musulmanes. Deben enfocarse en sitios web de redes administradas por centros de medios que luchan contra el Islam, la Jihad y los muyahidines ".  Además, el informe del medio detallaba la negación distribuida de los ataques al Servicio realizados por el pirata informático Michael Calce en febrero de 2000 y cómo funcionan los ataques DDoS.

En 2012, un informe publicado por el Comité del Senado de USA sobre Seguridad Nacional y Asuntos Gubernamentales detalló un video del grupo terrorista Al-Qaeda, en el que se pedía ataques cibernéticos contra la infraestructura crítica de USA, incluida la red eléctrica y el suministro de agua (Clohery, 2012). Se supone que estos ataques cibernéticos están destinados a explotar vulnerabilidades en ICS, similares a las descubiertas en la "Prueba del Generador Aurora". Al comentar sobre el video de Al Qaueda, el senador estadounidense Joseph Lieberman afirmó que "el Congreso debe actuar ahora para proteger al público estadounidense de un posible ataque devastador a nuestra red eléctrica, sistema de suministro de agua o redes financieras" (Freeman, 2014). Aunque esta no es la única amenaza potencial que vemos del terrorismo cibernético, es evidente que los ataques potenciales como este representan una gran amenaza para la sociedad.

Nightmare
En 2012, un grupo de hackers pro-palestinos titulado "Nightmare" implementó un ataque de Denegación de Servicio Distribuido en los sitios web de la Bolsa de Tel Aviv, Tel Al Airlines y First International Bank of Israel.

Terrorismo telefónico
Entre el 11 y el 14 de septiembre de 2017 cientos de amenazas de bomba falsas realizadas por personas que llamaron anónimamente se hicieron contra los principales edificios públicos de toda Rusia. Los perpetradores realizaron llamadas falsas en más de 30 ciudades, lo que llevó a la evacuación de escuelas, hoteles, hospitales, aeropuertos, estaciones de tren, universidades y centros comerciales. El Kremlin llamó a las amenazas 'terrorismo telefónico'. Hasta la fecha, no se han encontrado dispositivos explosivos, lo que deja en claro que el motivo era propagar el miedo y la interrupción.



Fake News
A fines de 2017, un ejemplo cercano de la variante de Ciberterrorismo patrocinado por un Estado, esta es la situación hostil entre Qatar y sus vecinos. No es simplemente un caso de realismo hiper ofensivo o diplomacia de poder, sino que los lados opuestos se están atacando mutuamente a través de la red. Un ejemplo reciente de esto es el pirateo de los sitios / ministerios de medios del gobierno de Qatar para difundir noticias falsas e intentos de derribar sitios web rivales. Es una nueva forma de guerra de información motivada políticamente.

Obviamente lo visto no es excluyente, hay multiplicidad de ataques y herramientas, por ejemplo: 
  • Phishing,
  • Watering Hole,
  • Ransomware,
  • Escaneo,
  • Spear-Phishing,
  • Denegación de servicio distribuida,
  • Ataque a cadena de suministro,
  • Explotación de Día Cero, Etc.
 ¡¡SEGUNDOS FUERA!!
(expresión pugilística que usa el árbitro para que los segundos abandonen el cuadrilátero e inicie la pelea)

Debemos ser razonables al asumir que las amenazas potenciales discutidas hasta ahora en este artículo pueden ser implementadas en cualquier momento, sin previo aviso. La mayor parte de nuestra infraestructura digital ya cuenta con una gran cantidad de defensa. Tales tecnologías actuales incluyen: firewalls, sistemas de protección con contraseña, cifrado de clave (por ejemplo, 3DES, RSA), estenografía, sistemas de detección de intrusos, Secure Socket Layer (SSL), IPsec, listas de control de acceso, etc. Cuando se discuten actos de terrorismo en general, la responsabilidad de la prevención normalmente recae en los gobiernos y las organizaciones nacionales.

En los últimos años, las vulnerabilidades en los softwares y las nuevas tecnologías han demostrado que la seguridad no suele estar a la vanguardia de la prioridad durante su desarrollo. Un claro ejemplo de ello lo verán en el artículo que publique Avataresde una Flota del Siglo XXI: Proteger la flota de ciberataques.

También, varios expertos han referido que es un mito patrocinado por el gobierno que el cifrado es la única barrera para combatir con éxito el terrorismo en línea. El empleo ó realización de tests de penetración, comprobación de códigos de las plataformas existentes y por supuesto el empelo de Equipos Rojos es vital para prevenir, pero y ¿cómo lo combatimos además? Es la sumatoria de múltiples herramientas, algunas tecnológicas y otras humanas, que a través de Inteligencia y Ciberantiterrorismo lograremos combatir y obtener resultados positivos, algunas de ellas son:

Uso de OSINT
El uso masivo de la internet inexorablemente sirve para la recopilación de información e inteligencia en preparación para actividades delictivas, terroristas o de otro tipo, de igual forma sirve para quienes combaten esas actividades. La cultura actual de intercambio de información, en particular por aquellos que no son bastante de mediana edad, proporciona una gran cantidad de datos que pueden ser aprovechados por delincuentes, terroristas y por supuesto por quienes combaten a ambos.

Francamente, todo y todo lo relacionado con la vida de algunas personas ahora se publica para que todos lo vean. De hecho, se podría decir que es más difícil encontrar a alguien que no tenga un perfil en lugar de uno que sí. La inteligencia basada en fuentes abiertas se ha convertido ahora en un arte especializado (o ciencia), ayudado principalmente por la estupidez de muchas personas.

El sitio web "Please Rob Me" extrajo el perfil y la información de ubicación de usuarios y generó una alerta cuando esos usuarios no estaban en casa, principalmente porque "tuitearon" que estaban en otro lugar. Este nivel de recopilación de inteligencia de código abierto ha sido ampliado por otros en un servicio de mapas para que cuando los usuarios envíen un Tweet y su GPS registre su posición, estos datos se envíen a un sitio de asignación y su ubicación se muestre para que todos los vean.

La gran cantidad de webcams disponibles en Internet permite realizar un reconocimiento de objetivos desde la comodidad de la oficina. Es cierto que muchas "cámaras de tráfico" oficiales han acumulado retrasos de unos minutos, sin duda para reducir su utilidad en tiempo real para los delincuentes y permitir a las autoridades cortar la alimentación si es necesario, pero hay una gran cantidad de otras webcams disponibles para ver. Muchos de ellos se difunden vía web intencionalmente con fines de marketing en hoteles, restaurantes y zonas turísticas, pero otros son cámaras de seguridad locales que no han sido protegidas y pueden ser utilizadas por cualquier persona.


Uso de BA
El "Business Analytics" tiene muchas aplicaciones comerciales, especialmente en el campo de la investigación de mercado y la capacidad de respuesta del cliente a nuevos productos y servicios. Pero créanlo o no, también tiene aplicaciones en el mundo de la ciberseguridad.

Esta es la ciencia de analizar conjuntos de datos de seguridad extremadamente grandes en tiempo real, lo que permite la revelación muy rápida y extremadamente precisa de las tendencias ocultas que residen en ellos. Con la capacidad ahora de llevar a cabo este tipo de investigaciones muy sofisticadas, se puede predecir futuras amenazas basadas en estas variables:
  • El momento de un ataque basado en el Ciberespacio;
  • Las secuencias específicas de tales instancias y ocurrencias;
  • Cualquier diferencia discernible que se haya obtenido de los conjuntos de datos de seguridad;
  • Trazar las tendencias de riesgo y el comportamiento del ciberataque en tiempo real.
Plataformas como la de “Security Analytics” pueden ser empeladas para encontrar incluso la causa raíz de cualquier tipo o clase de violación de seguridad que pueda ocurrir. 
Además, se pueden crear modelos predictivos para construir los perfiles de futuros vectores de ciberataque y compararlos con los valores de referencia del comportamiento normal a fin de establecer el nivel de riesgo apropiado.

Un método que se utiliza actualmente es el de Machine Learning. Este es un proceso en el que la construcción de modelos predictivos es totalmente automática, y se utilizan algoritmos matemáticos especializados para analizar literalmente todos los conjuntos de datos de seguridad con el fin de "aprender" iterativamente de ellos. Desde aquí, se puede descubrir cualquier idea oculta, ya que estos algoritmos no se han programado para mirar un período de tiempo específico, sino que se ven en el marco de tiempo completo.

Sun Tzu y la Ciberinteligencia

Parafraseando al reconocido maestro del Arte de la Guerra, quien decía “si conoces al enemigo y te conoces a ti mismo, no debes tener miedo del resultado de 100 batallas”, en este sentido y con ello en mente sumando algunas operaciones de Ciberinteligencia y claro está algo de lo que ya vimos y con un buen análisis podremos conocer a nuestro enemigo. Para ello nada mejor que utilizar las propias plataformas de los Ciberterroristas, investigando o haciendo operaciones de ciberinteligencia por ejemplo sobre los sitios web terroristas, los que pueden revelar las condiciones subyacentes de conflictos específicos, incluyendo los factores que conducen para atacar a adversarios particulares, hasta inclusive determinar el uso de armas particulares para determinados objetivos. Este estudio de marco conceptual, desarrollado por Marc Sageman, se basa en seis pasos secuenciales:

1 El primero se basa en la necesidad de identificar a la insurgencia terrorista en su manifestación física. Esto implica un amplio espectro de actividades en las tácticas que se aplican, ya sea por ejemplo uso de armas portátiles de bajo impacto, uso de dispositivos explosivos de medio o alto impacto o el empleo de dispositivos químicos bacteriológicos y/o nucleares.

2 En segundo lugar, es necesario identificar las conductas ideológicas de los grupos insurgentes, especialmente aquellas que son radicales que van acompañadas de un alto contenido cultural, étnico y/o religioso.

3 En tercer lugar, es crucial examinar las condiciones Pre-estructurales que son la base de una insurgencia y/o actividad terrorista; es decir centrarse en las condiciones sociales, los accesos a los servicios básicos, a los derechos igualitarios, a las protecciones civiles, a la libertad y a la calidad de vida en general. Según esta teoría la injusticia social, el descontento popular, la enajenación en general y el sentido de la crisis social son ingredientes dominantes para una erupción del terrorismo en esta sociedad.

4 En el cuarto paso es importante estudiar la aparición de los tipos de líderes que se movilizan en estas subculturas de los individuos que son susceptibles o influenciables por este tipo de conductores. Los rasgos más característicos y necesarios para un liderazgo eficaz son la de aquellos con personalidades carismáticas que pueden transformar los agravios y frustraciones en una agenda política para la acción violenta, para la radicalización de sus partidarios, para reclutar y movilizar a personas que hasta sacrificarían sus vidas para la causa; asimismo tienen la habilidad para atraer a otros sub-grupos que lo ayuden a cumplir con sus objetivos e imponer una disciplina terminante sobre el resto del grupo.

Las relaciones entre los grupos terroristas, sus simpatizantes y el apoyo que reciben de la comunidad pueden verse como una estructura piramidal, donde el grupo terrorista se encuentra ubicado en el ápice de la pirámide y los simpatizantes junto con el apoyo comunitario serian la base de la misma.

5 El quinto paso está relacionado con los factores externos que influyen en la decisión de llevar adelante un ataque terrorista, generalmente de carácter precipitado. Vale decir, esto surge como una reacción a un acto realizado por un actor externo y no deseado, como puede ser el caso de las reuniones mantenidas por el presidente de USA junto con su par Israelí en Camp David, usando esta negociación como pretexto para incrementar los ataques Palestinos en territorio Israelí; otro ejemplo ha sido el de la publicación de dibujos animados controversiales que satirizaban la conducta del Islamismo.

6 Los insurgentes como los terroristas persisten o perduran en un cierto plazo. El sexto paso, es por lo tanto crucial examinar los factores que sostienen tales brotes en un cierto plazo. Estos factores incluyen las causas originales sin resolver que continúan conduciendo las acciones primarias de los grupos terroristas, tales como los ciclos de venganza, la necesidad de un grupo de proporcionar una razón de ser, la aparición de actividades criminales provechosas y finalmente una sensación de no poseer ninguna opción cierta mas que continuar con su lucha armada porque ofrece la única alternativa al encarcelamiento o la muerte por las autoridades.

Es gracias al estudio realizado por Marc Sageman que se cuenta con una metodología para que los analistas antiterroristas, a través de la penetración en sus sitios web, puedan desmembrar los factores subyacentes que conducen a las acciones terroristas y/o insurgentes.

PR0B4BL3 3V0LUC10N D3L C1B3RRT3RR0R1SM0

Lamentablemente hay que tener presente que la seguridad fue una idea de último momento en la creación de las computadoras, por lo que tanto los gobiernos como la esfera privada solo recientemente reconocen el daño potencial inherente a Internet.

Es dable esperar que la delincuencia y el Crimen Organizado como así todas las redes asociadas continúen explotando los rincones ocultos de Internet, como Darknet, o Internet normal para llegar a las víctimas.

Al mismo tiempo, es probable que haya un crecimiento significativo en las amenazas planteadas por el Ciberterrorismo, particularmente dado que las empresas y los gobiernos aún deben proporcionar un marco integral para mitigar los ataques. Al mismo tiempo, los legisladores deberán asumir su rol y tratar de introducir leyes que prohíban los actos terroristas en línea y obligar a las empresas a cumplir con ciertos protocolos de seguridad.

Lugares donde convergen nuestros mundos físicos y virtuales serán posibles zonas de ataque cibernético. Como tal, Internet of Things está proporcionando los vectores de ataque perfectos para los ciberterroristas, donde la infraestructura civil y gubernamental está cada vez más informatizada. Estos incluyen desde dispositivos inteligentes, como las luces y hornos hogareños, hasta objetivos a gran escala, es decir, infraestructura energética, sistemas de control del tráfico aéreo y bases de datos gubernamentales. Estos pueden no solo servir para difundir el miedo y la destrucción, sino que pueden resultar en la adquisición de información altamente secreta.

Al pensar en el concepto futuro de una 'ciudad inteligente' (integración de las tecnologías de información y comunicación [TIC] e Internet de las cosas [IoT] para gestionar los activos de una ciudad), si sufriera un ciberataque masivo, el daño sería de una magnitud nunca antes visto, aunque ya hubo insipientes casos como el de Atlanta (ver SmartCities bajo cibertaque @Uliman73). Como así también pude suceder con Fuerzas Armadas, y claro esta los Ciberterroristas son conscientes de ello.

El terrorismo cibernético dirigido por un estado nacional será una gran amenaza para 2020, y toda organización debería prepararse.

Esa es la palabra del informe Threat Horizon 2020 del Information Security Forum (ISF), que postula que grupos terroristas, organizaciones criminales, hacktivistas y hackers trabajan en diversas colaboraciones y configuraciones para convertir cada vez más el dominio cibernético, lanzando ataques contra infraestructuras críticas nacionales. que causa destrucción generalizada y caos. Además, sus actividades no tomarán en cuenta las barreras terrestres o la legislación.

"En los próximos dos años, los líderes empresariales enfrentarán decisiones regulares y complejas sobre la protección de su información y sistemas críticos. Las soluciones existentes que se han utilizado durante años serán expuestas como inadecuadas ", dijo Steve Durbin, director general de ISF. "Solo las organizaciones que entienden este entorno complejo y que cambia rápidamente se mantendrán firmes e inquebrantables. Aquellos que no están preparados y son incapaces de responder rápidamente se desmoronarán mientras se defienden de una avalancha de ataques cibernéticos poderosos día a día ".

Además de la predicción del fin del mundo, el informe también predice que la tecnología superará a los controles. Las capacidades que parecían imposibles hace poco tiempo se desarrollarán extremadamente rápido, ayudando a quienes las ven venir y obstaculizando a quienes no lo hacen. Los desarrollos en tecnología inteligente crearán nuevas posibilidades para organizaciones de todo tipo, pero también crearán oportunidades para atacantes y adversarios al reducir la efectividad de los controles existentes. La información previamente bien protegida se volverá vulnerable.

Además, según la ISF, la presión sesgará el juicio. Los controles y métodos existentes para gestionar el riesgo de la información se verán sometidos a una gran tensión por una avalancha de nuevas tecnologías, regulaciones y presiones sobre los empleados. Las organizaciones que tienen un buen historial de obtención de información estarán en riesgo de complacencia, ya que consideran que la forma en que siempre han hecho las cosas continuará funcionando en el futuro, una actitud peligrosa que tomar.

"En los próximos años, los cimientos del mundo digital de hoy temblarán violentamente", dijo Durbin. Los atacantes innovadores y decididos, junto con los cambios sísmicos en la forma en que las organizaciones llevan a cabo sus operaciones, se combinarán para amenazar incluso a los establecimientos más fuertes. Solo aquellos con preparaciones robustas se mantendrán altos ".

C3RR4ND0 1D34S

Es notable que una gran parte de nuestro ciberespacio se construye sin tener en cuenta la seguridad y las organizaciones pueden no ser plenamente conscientes de los riesgos de las tecnologías que están utilizando. Por lo tanto, un método valioso para desarrollar la prevención contra las amenazas Ciberterroristas, antes que puedan materializarse, es trabajar fuertemente en Ciberinteligencia, Inteligencia, Operaciones de Ciberinteligencia y Cibercontrainteligencia.

A menudo los terroristas no tienen legislación a seguir, a lo sumo algunas buenas prácticas para causar mayor daño e impacto, y no están preocupados por las consecuencias de la identificación antes o durante un ataque. Concluir que es de vital importancia para el reconocimiento preliminar, la defensa y la acción para identificar a los atacantes se realiza en la naturaleza más rápida. La detección de intrusiones es una de las áreas más activas de investigación dentro del Ciberterrorismo en los últimos 20 años (SANS Institute, 2003). Crear barreras seguras, tanto dentro de nuestros sistemas como físicamente, es necesario para identificar los ataques que ocurren con el fin de implementar el método correcto de mitigación. Muchas de estas técnicas, como se discutió anteriormente, incluyen los gustos del cifrado. El empleo de contraseñas, podría ser visto como uno de los métodos más antiguos de detección de intrusos. A medida que estos métodos se utilizan más ampliamente, las vulnerabilidades se vuelven más comunes.


Si bien es cierto que una gran parte de la capacidad cibernética global recae en actores Estatales, eso podría significar buenas noticias, malas noticias o ambas para aquellos que buscan prevenir el surgimiento de un ciberterrorismo verdaderamente destructivo. El casi monopolio de los Estados en las capacidades cibernéticas podría ayudar a comprar suficiente tiempo y espacio para prevenir ataques ciberterroristas exitosos mientras se lleva a cabo una estrategia integral para reducir las causas subyacentes regionales y locales del terrorismo. Alternativa o concurrentemente, como refería la Evaluación de Amenazas de la Comunidad de Inteligencia de USA, los Estados que ya disfrutan de cierto éxito en la búsqueda de actividades cibernéticas inescrupulosas podrían ver el patrocinio de ciberterroristas como una forma conveniente de avanzar en sus propias agendas.


1 comentario:

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.