Inteligencia Cibernética y su intersección con la Ciberseguridad

Abstract:

Cuando realicé mi primer paper sobre inteligencia de amenazas en 2018, abordé la necesidad de enfocar el nombre de Cyber Threat Intelligence por Inteligencia Cibernética por la combinación que existe frente al ciberespacio y la Ciberseguridad; hoy me encuentro con la posibilidad de establecer como foco de acción la inteligencia desde el punto de vista general más profundo y profesional para establecer un verdadero estado del arte en este sentido.

Perspectiva desde la investigación:

La inteligencia cibernética y las habilidades de un investigador en ciberseguridad y de inteligencia de amenazas, están estructurados en el conocimiento de su entorno, por ende, es importante el contexto de la organización, y para la función que desempeña dentro del equipo técnico de seguridad, la necesidad de poder desarrollar estrategias, técnicas, y procedimientos para emplear actividades en pro de determinar, identificar y establecer el origen de una amenaza, riesgo y vulnerabilidad cibernética, por ello es importante tener una metodologéa que le permita garantizar esos lineamientos futuros como especialista en seguridad informática y de la información.

Palabras Clave: Seguridad en la Información, Cibercrimen, inteligencia de amenazas, Gestión de Riesgos, Amenazas Cibernéticas, Seguridad Nacional.

Antecedentes

Los hechos por medio del tiempo han sido evidentemente complejos en materia de Ciberseguridad; algunos de ellos los señala (Ortiz Ruiz, 2019) en los orígenes del Cibercrimen, sin embargo es importante elevar estas connotaciones y divisiones a través de los avances tecnológicos de la humanidad; si bien es cierto este fenómeno hace parte de un título grande y contextualizado en un todo, estas afectaciones a la ciberseguridad y Seguridad Digital tuvieron nacimiento mucho más antes de lo que imaginamos, por ende la importancia y lugar de relevancia que tiene para muchos sectores de la Economía. Uno de ellos, es brindar unos aspectos centrales y estandarizados para poder focalizar los puntos de acción e instrumentalizar todos los elementos de investigación que la industria exige en esta materia.

Para comprender la funcionalidad de la inteligencia de amenazas cibernéticas y su enfoque estructurado en la ciberseguridad; debe partir de un punto de vista académico, y se puede iniciar a partir de conocer la participación del ciberespacio como eje temático fundamental y posterior a ello, entender la forma como el cibercrimen puede afectar la ciberseguridad a partir de lo que conocemos actualmente como ciberamenazas y los riesgos cibernéticos. Como se determinó anteriormente el “Ciberespacio” interactua fielmente sobre este desarrollo conceptual y practico de la ciberseguridad.

En ese orden de ideas, es importante definir las causas históricas desde hace 3 años el ciberataque ocasionado en Ucrania y los eventos más recientes ocurridos, aquellos hechos fueron relacionados con una serie esquemas de vulnerabilidades que empezaron a visibilizarse el 27 de junio de 2017, empleando el malware Petya, el cual afectó varios sitios web de instituciones y empresas ucranianas, incluyendo bancos, ministerios, diarios y empresas de electricidad (Wikipedia, 2020). Se recibieron reportes de infecciones similares de Francia, Alemania, Italia, Polonia, Rusia, Reino Unido, los Estados Unidos y Australia.

Del mismo modo, ESET indicó que el 80% de todas las infecciones procedían de Ucrania, siguiéndole Alemania con aproximadamente un 9% de las infecciones. El 28 de junio de 2017, el gobierno ucraniano declaró que el ataque fue frenado. El 30 de junio de 2017, la Associated Press informó que los expertos concluyeron que Petya había dado su aviso tiempo atrás frente a diferentes vulnerabilidades aprovechadas por los ciberdelincuentes.

Los diferentes sistemas de defensa, entre ellos los relacionados con ciberseguridad mundial también fueron advertidos y alertados frente a las diferentes consecuencias que pudo materializar en los diferentes sectores, asi como se pudo evidenciar posteriormente su carencia de recuperación activa de los sistemas o plataformas afectadas.

La actualización de sistemas operativos, infraestructuras que puedan ser afectadas mediante un camino más corto para el ciber terrorista o cibercriminal, es vital entender la problemática que se extiende y en el cual se personalizan estos ataques, estos fenomenos no esperan que el sistema se encuentre en construcción, desarrollo o se desplieguen mejoras en el mismo. En virtud de esto se concibe la importancia de anticipar mediante inteligencia cibernética, y en este caso de ciberseguridad y riesgos, debe conducir a realizar análisis sobre esas amenazas que pueden afectar los tres pilares de la información y su custodia.

Petya: Es un malware de tipo ransomware reportado por la empresa Heise Security. Petya se esparce como troyano usando el popular sistema de archivos en la nube Dropbox.

Mientras la mayoría de los malware de secuestro de computadoras selecciona los archivos a encriptar, Petya aumenta el daño potencial al impedir el arranque de la computadora .Tomado de: https://es.wikipedia.org/wiki/Petya_(malware)

Figura ilustrativa tomada: Google Update

Mientras se realizan actividades de defensa y de protección en las infraestructuras críticas de un país, se debe conocer y anticipar a su posible contexto, asimismo lo ha indicado el marco de trabajo NIST, por medio de su versión (Instituto Nacional, 2020) en la cual establece la importancia de los (ICS) que en inglés se traduce, Sistemas de Control Industrial, los (CPS) Cyber -Physical Systems y los dispositivos conectados en general como, Internet de las Cosas (IoT). En ese panorama el marco del Instituto de Estandares Tecnológicos de los Estados Unidos: El Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology), llamada entre 1901 y 1988 Oficina Nacional de Normas (NBS por sus siglas del inglés National Bureau of Standards), es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida. https://es.wikipedia.org/wiki/Instituto_Nacional_de_Est%C3%A1ndares_y_Tecnolog%C3%ADa

Este trabajo define 5 prácticas esenciales para la creación de escenarios de Ciberseguridad para las organizaciones, así:

1. Describir la postura actual de su Ciberseguridad
2. Definir su estado objetivo de Ciberseguridad
3. Identificar las oportunidades priorizadas para mejorar dentro un proceso continuo y
4. repetible
5. Evaluar hacia el estado” objetivo”
6. Comunicarse entre los interesados internos y externos sobre el riesgo de Ciberseguridad.

Bajo este mismo esquema se plantea el marco de trabajo NIST, un panorama que pretende describir su marco actual de ciberseguridad, definir el alcance. Identificar esas oportunidades priorizadas para mejorar mediante un proceso continuo, enfocado en la estrategia principal y con una continua evaluación para identificar realmente el riesgo de la organización.

En la coyuntura de algún riesgo, siempre es importante examinar su contexto, en lo que tiene que ver con el panorama o tendencia hacia detectar nuevas oportunidades para adelantar inteligencia cibernética, por ejemplo: Covid19, situación mundial que ha marcado la pauta frente a nuevas amenazas emergentes y lo relacionado con transformación digital que hoy por hoy viene tomando fuerza.

Como lo describe actualmente NIST, una amenaza avanzada persistente consta de lo siguiente:

Es un adversario que posee niveles sofisticados de experiencia e importantes recursos que le permiten crear oportunidades para lograr sus objetivos utilizando multtiples vectores de ataques (por ejemplo, cibernéticos, físicos y engaños). Estos objetivos, normalmente, incluyen establecer y extender las bases dentro de la infraestructura de TI de las organizaciones objetivo, con el propósito de extraer información, perjudicar o dificultar los aspectos críticos de una misión, programa u organización; o posicionarse para llevar a cabo estos objetivos en el futuro. La amenaza persistente avanzada:

• persigue sus objetivos reiteradamente durante un período prolongado de tiempo;
• se adapta a los esfuerzos realizados por el defensor para resistir el ataque; y
• está decidida a mantener el nivel de interacción necesario para conseguir sus objetivos.

La COVID-19 (acrónimo del inglés coronavirus disease 2019),también conocida como enfermedad por coronavirus, e incorrectamente como neumonia por coronavirus, es una enfermedad infecciosa causada por el virus SARS-CoV-2

Figura elaborada por el autor

Como se observa en la anterior gráfica las amenazas avanzadas persistentes llamadas asi, en complemento en lo manifestado por NIST, se miden por su impacto y posibilidad de ataque son muchas veces subestimadas, las cuales pueden impactar un sector en particular (Gobierno, salud industrial, retail, comercio o financiero), particularmente cuando se habla de las APT ́s, las cuales cumplen con varios factores que permiten estrictamente asociar nuevos escenarios tecnológicos. En ese orden de ideas muchos de los factores que generan un riesgo o una posible amenaza pueden estar vinculados entre sí.

Para el caso en particular, CiberCovid19 como se ha definido en el argot popular, ha desarrollado un sin número de escenarios que facilitan la interacción de las APT ́s, que particularmente están contagiando de manera apresurada y sobre todo, enfocado en diferentes escenarios que tienen presencia política, económica y sobre todo tecnológica; a pesar de todo ello, estos grupos cibercriminales poseen un método de transferencia único, anónimo y expuesto frente a diferentes riesgos.

APT: Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos orquestados por un tercero (organización, grupo delictivo, una empresa, un estado,…) con la intención y la capacidad de atacar de forma avanzada (a través de múltiples vectores de ataque) y continuada en el tiempo, un objetivo determinado (empresa competidora, estado,…). Este malware es instalado usando exploits que aprovechan vulnerabilidades de la máquina objetivo. Para realizar la infección es habitual aprovechar vulnerabilidades de día cero y/o ataques de abrevadero.

La relación con estos esquemas de organizaciones, Europol mediante (EC3, 2019) informe ha expuesto 5 metodologíaas en las cuales el cibercrimen puede afectar a los ciber ciudadanos o victimas hiperconectadas

• Phishing/smishing/vishing
• Business email compromise
• Bulletproof hosting
• Herramientas de anonimización
• Abuso del uso de las Criptodivisas
• Estos escenarios frente a la pandemia Covid19 se han estructurado frente a la anterior gráfica en cuatro escenarios fundamentales:

Grupos Cibercriminales enfocados en Amenazas Avanzadas Persistentes Ej: 5Fin7, Carbanak y TA505: los grupos cibercriminales conocidos por medio d ela pandemia han aprovechado por abastecerse de nuevas y sofisticadas herramientas, algunas ya conocidas y otras descubiertas recientemente en el mundo de la web oscura o Darkweb.

Amenazas frente a dispositivos conectados o hiperconectados (IoT y dispositivos móviles): El complejo mundo de la tecnología hiperconectada, es el escenario perfecto para que atacantes de diferentes partes del planeta , estén estrictamente relacionados con la compra de productos y Crime as a Sevice, el cual denota un creciente mercado relacionado con el incremento de la compra de software maliciosos, sus siglas en inglés “Malware” que contiene capacidades para afectar tecnología conectada a dispositivos en el hogar o en el trabajo.

Carbanak es una campaña de estilo APT dirigida (pero no limitada a) instituciones financieras que se afirmó que fue descubierta en 2014 por la compañia de ciberdelincuencia rusa / británica Kaspersky Lab, quien dijo que habia sido utilizada para robar dinero de los bancos. Se dijo que el malware Microsoft Windows se introdujo en sus objetivos a través de correos electrónicos de phishing. Se decía que el grupo de hackers había robado más de 900 millones de dólares, no solo de los bancos sino de más de mil clientes privados.

Internet de las Cosas: El internet de las cosas (en inglés, Internet of Things, abreviado IoT; IdC, por sus siglas en español es un concepto que se refiere a una interconexión digital de objetos cotidianos con internet. Es, en definitiva, la conexión de internet más con objetos que con personas.También se suele conocer como internet de todas las cosas o internet en las cosas. Si los objetos de la vida cotidiana tuvieran incorporadas etiquetas de radio, podrián ser identificados y gestionados por otros equipos de la misma manera que si lo fuesen por seres humanos.

Aprovechamiento de vulnerabilidades día cero: Estos escenarios están también ligados a la busqueda constante de herramientas, como: Exploits que se trata de un software que permita atacar infraestructura relacionada con aquellas plataformas de uso cotidiano o masivo.

Campañas masivas de Spam y Spearphishing: Ante este escenario, es importante destacar el uso de técnicas ya existentes y sobre todo con mucha actividad frecuente, sin embargo, son elementos que las organizaciones delincuenciales, no directamente asociado con organizaciones cibercriminales pueden afectar la imagen, reputación y buen nombre pequeñas, medias y grandes empresas. Por medio de Covid19 ha tenido un creciente incremento en lo que tiene que ver con la cantidad de señuelos dedicados a estas acciones.

Ahora bien, dentro del enfoque de la inteligencia cibernética es importante delimita ese contexto, situación política, económica y social de un sistema, estado, nación, gobierno, organizaciones y sobre todo las ventajas comerciales que esto radica constantemente.

En la siguiente gráfica se indica el panorama global en ciberseguridad con diferentes tópicos y reflejos que tienen que ver con la evolución que ha tenido diferentes ataques relacionados con el el Cibercrimen, y lo conveniente de examinar cuales han sido los aspectos claves en estos escenarios de aplicabilidad de herramientas técnicas, operativas y estratégicas frente a estos escenarios. Por ello la importancia de vincular a las organizaciones diferentes mecanismos que permitan orientar la búsqueda directa de la prevención y la anticipación. Esto ajustado a los estándares conocidos y reflejados en este articulo:

Fuente: Elaborada por el Autor

En ese orden de ideas, es importante destacar la importancia en lo concerniente a determinar cuál es el objetivo de las diferentes Amenazas Persistentes bajo un panorama de riesgo; si bien es cierto, los diferentes ciberataques o ataques cibernéticos han podido trascender frente al uso de diferentes tecnologías y el abuso de estas; los diferentes adversarios se han transformado, en el 2016 los componentes eran los objetivos de alto valor, como: Sector financiero y Gubernamental, pero poco a poco fue cambiando la dinámica de infección y permanencia de estas amenazas. Hacia el 2018 las organizaciones criminales fijaron unos objetivos estratégicos formales, como lo fue el ataque al Banco de Chile y Banco de México. A partir de 2019 se ha venido transformando paulatinamente estas amenazas, considerándose hoy por hoy las consecuencias de no anticipar de manera activa frente a este tipo de riesgos. En la amenaza actualizada durante el Covid19 se realiza paulatinamente una transición obligada a la transformación digital, propiamente hablando y se promulga diferentes actividades que remarcan nuevas amenazas emergentes; en ese sentido la pregunta abierta a desarrollar sería: ¿Se requiere de la inteligencia de cibernética para poder aproximarnos a esos riesgos y como mitigarlos?

En esta primera parte de este artículo revisamos la importancia de la aplicabilidad de la #InteligenciaCibernética y de sus áreas complementarias como, la #InteligenciadeAmenazas, desde una revisión científica apropiada.

En la segunda parte resolveré la pregunta del Cómo poder utilizar la inteligencia cibernética para realizar investigación y análisis en Ciberseguridad.