Agnese Carlini: «El ciberespacio se
está convirtiendo en un área de competencia geoestratégica»
En el quinto episodio del Pódcast Código LISA «Los mayores ciberataques en la
historia de la Ciberseguridad», la analista de LISA News, Soraya
Aybar, entrevista a Agnese Carlini, Profesora del Máster Profesional de Analista de
Inteligencia y Exoficial de Inteligencia de Cibercrimen en Interpol.
¿Cuál es la diferencia principal entre la ciberseguridad, la
ciberinteligencia y la Inteligencia de Amenazas o Threath Intelligence
en inglés?
Agnese
Carlini – La ciberseguridad
hace referencia a todos los procesos y herramientas necesarias para proteger los
activos digitales. Básicamente, se ocupa de proteger los sistemas informáticos,
las redes y los datos de acceso no autorizados de infracciones, ataques o
daños. Se centra principalmente en la aplicación de medidas defensivas para
prevenir, detectar y responder a las amenazas a la seguridad.
Sobre la ciberinteligencia es el conocimiento
que permite prevenir o mitigar los ciberataques a través del estudio de los
datos sobre amenazas y el suministro de información sobre los adversarios. La
ciberinteligencia ayuda a identificar, reparar y prevenir ataques
proporcionando información sobre los atacantes, sus motivos y sus capacidades.
La Threath Intelligence o Inteligencia sobre Amenazas prepara
a las organizaciones para ser proactivas, con capacidades predictivas en lugar
de reactivas ante futuros ataques. Si no se conocen las vulnerabilidades de
seguridad, los indicadores de amenazas o cómo se llevan a cabo estas amenazas,
es imposible combatir eficazmente los ciberataques.
➡️ Te puede interesar: Curso de Experto en Ciberinteligencia
¿De qué forma podemos utilizar estas disciplinas como
usuarios normales? Hablamos de ciberseguridad en el marco de grandes instituciones
y de empresas privadas, en esos casos de éxito y también, en el filtraciones o
ciberataques. Pero, para un usuario normal, ¿cómo puede poner la ciberseguridad
a su favor?
Agnese
Carlini – Las personas, y no la
tecnología, son el eslabón más débil de la cadena cuando se trata de
proteger a las organizaciones de ataques perpetrados por hackers informativos.
No atender a los protocolos de seguridad mínimos tales como la instalación de
antivirus o la actualización de sistemas, en muchas ocasiones, incrementa el
riesgo de sufrir un ciberataque en las empresas.
Por lo que, es
necesario concienciar a las personas trabajadoras para que sean conscientes de
los riesgos que se derivan de determinadas conductas y que ponen en peligro la
seguridad de las organizaciones. Algunos ciberconsejos que los usuarios deberían aplicar son, por ejemplo:
mantener actualizado su software, utilizar protección antivirus o cortafuegos,
utilizar autenticación de dos o más factores, informarse sobre las estafas de
phishing que vemos a diario, desconfiar de los correos electrónico o llamadas
telefónicas, proteger la información personal confidencial, utilizar los
dispositivos móviles de forma segura, no conectarse a las redes de wifi
públicas, revisar periódicamente las cuentas en línea e informes para comprobar
si se han producido cambios… Esto son todo consejos que un usuario debería
tomar en consideración para estar ciberseguro.
➡️ Te puede interesar: Masterclass | Ciberinteligencia al servicio de empresas e
instituciones | LISA Institute
A principios de este milenio, alrededor de 60 millones de
equipos se infectaron a través de la apertura de un correo electrónico spam con
asunto LoveLetter4You. En el interior, una única frase: “I Hate Going to
School”, que se traduce al español como, “odio ir al colegio”. Una campaña de
phishing en toda regla que se posiciona como una de las más efectivas por la
desinformación que había en aquel entonces sobre temas de ciberseguridad. El
gusano escrito en VBScript se instalaba en el ordenador y borraba todos los
ficheros con extensiones JPG, JPEG y MP3 y los sustituía por un troyano que
intentaba recabar información confidencial. Pero, ¿qué es un gusano
informático, Agnese?
Agnese
Carlini – Un gusano informático es
un tipo de malware que puede propagarse o autorreplicarse automáticamente sin
interacción humana, lo que permite su propagación a otros ordenadores a través
de una red. Un gusano suele utilizar la conexión a Internet o una red de
área local. Además, aprovechan las vulnerabilidades de los sistemas operativos
para instalarse en las redes.
Pueden acceder
de varias formas: a través de puertas
traseras integradas en el software o por ejemplo, a través de memorias USB. Una
vez instalados, los ciberdelincuentes pueden utilizar los gusanos para realizar
una serie de acciones maliciosas como por ejemplo un ataque de ransomware, el
robo de datos confidenciales, lanzamiento de otros programas maliciosos,
consumo de ancho de banda, entre otros.
Alguna de las
formas más comunes de propagación de los gusanos informáticos puede ser a
través de correo electrónico
como por ejemplo mediante los archivos adjuntos, un escondite prioritario para
los gusanos. Algunos gusanos incluso se
codifican específicamente para aprovechar las vulnerabilidades del sistema
operativo y del software. Los gusanos también pueden propagarse a través
de plataformas, por ejemplo, de mensajería instantánea como el Internet Relay
Check.
➡️ Te puede interesar: Masterclass | Autoprotección
digital para ciberinvestigar de forma segura | LISA Institute
En el marco internacional, ¿cómo se rigen los ciberataques
hoy, Agnese? ¿Hay un marco compartido y un protocolo base?
Agnese
Carlini – Las leyes y estándares en materia de ciberseguridad son
abundantes y a menudo varían dentro de los países. Los acuerdos y marcos
internacionales pueden brindar a una orientación sobre el cumplimiento, qué
países tienen más probabilidades de colaborar cuando ocurre un delito
cibernético, cómo colaborar y cuándo la colaboración pública y privada puede
ser la mejor elección.
El Convenio de Budapest de 2001 es el
primer tratado internacional destinado a armonizar las normas internacionales
para cumplimiento de la ciberseguridad. Cuenta con 68 partes y 21 países
observadores signatarios. Abarca la mejor manera de abordar, de forma integral,
las cuestiones relacionadas con los ciberdelitos, el grado con los
consentimientos necesarios y la transparencia con la que se protegen los
Derechos Humanos de los sujetos y las entidades y la medida en que están
representadas las distintas regulaciones y ordenamientos jurídicos.
Por otro parte,
se cuenta con la cooperación internacional a través de tratados de asistencia
jurídica mutua u organizaciones como Interpol,
Afripol, Europol, Asianpol, el Banco Mundial, Naciones Unidas y, sobre todo, la
Organización Internacional de Normalización (ISO). Idealmente, lograr
que las organizaciones se incorporen a los tratados y convenciones
internacionales sobre delitos cibernéticos haría que las cuestiones, disputas,
la doctrinas jurídicas y otras vinculaciones internacionales relacionadas con
los delitos cibernéticos se armonizaran de manera fluida y oportuna con las
sanciones, las penas y los castigos que acompañan al delito cibernético
relacionado.
Aun así, la
realidad es que es probable que ciertos países y jurisdicciones sean refugios
seguros para los ciberdelincuentes. Los instrumentos como el Convenio de
Budapest solo pueden llegar hasta cierto punto. Lo que falta todavía son
sanciones potenciales para aquellos que no opten por participar o que den
refugio a los cibercriminales.
➡️ Te puede interesar: ¿Puede la comunidad internacional
sancionar los ciberataques?
Saltamos al verano de 2010. Stuxnet fue el primer gusano
informático conocido que espió y reprogramó sistemas industriales. ¿Qué nos
puedes contar sobre esta peculiaridad, Agnese?
Agnese
Carlini – Cuando el presidente iraní, Mahmoud Ahmadinejad asumió el poder
en 2005 hizo alarde públicamente de su intención de desarrollar la capacidad
nuclear del país. Esto incluía entonces el recrecimiento de uranio hasta un
grado que pudiera utilizarse para la energía nuclear. Por supuesto, esto conmocionó
a la comunidad internacional.
Stuxnet se ha convertido en sinónimo de ciberataques
y de ciberguerra. A día de hoy, se
sigue preguntando quién creó Stuxnet aunque hay muchas especulaciones que lo
atribuyen a Estados Unidos e Israel a través de la Operación Olympic Games. Es un gusano informático muy sofisticado que
se hizo altamente conocido en 2010. Aprovechaba vulnerabilidades de
acero de Windows, desconocidas hasta entonces, para infectar sistemas y
propagarse a otros. Estaba dirigido principalmente a las centrifugadoras de las
instalaciones de recrecimiento de uranio de Irán con la intención de desbaratar
de forma encubierta el programa nuclear.
Sin embargo, Stuxnet se modificó con el tiempo para poder
atacar otras infraestructuras como por ejemplo tuberías de gas, centrales
eléctricas y plantas de tratamiento de agua. A día de hoy, sigue siendo
uno de los ataques de malware más avanzados de la historia y fue importante por
varias razones. Se considera como la
primera arma digital del mundo. En lugar de limitarse a secuestrar
ordenadores, a robarles información, Stuxnet salió del ámbito digital para
causar la destrucción física de los equipos controlados por los ordenadores.
➡️ Te puede interesar: Masterclass | Kit de Herramientas de
OSINT y Ciberinvestigación
Se asentó el
precedente de que era posible atacar la infraestructura de otro país mediante
un malware. Fue probablemente también creado por otro Estado o Estados, aunque
no fue el primer ataque de ciberguerra de la historia. En su momento se
consideró el más sofisticado. Fue muy
eficaz, había arruinado casi una quinta parte de las centrifugadoras nucleares
iraníes.
El gusano
infectó más de 200.000 ordenadores y provocó la degradación física de mil
máquinas. Utilizó cuatro vulnerabilidades de acero diferentes para propagarse,
lo que era muy inusual en 2010 y que hoy sigue siendo poco común. Entre esos
exploids, había uno tan peligroso que únicamente requería tener un icono
visible en la pantalla y no era necesaria ninguna interacción. Aunque Stuxnet no fue considerado como el
11-S cibernético, ha desencadenado otra forma de carga armamentística con
consecuencias graves e imprevisibles.
En este caso Agnese, vemos una relación directa entre
geopolítica y las relaciones internacionales y la ciberseguridad y los
ciberataques, ¿no?
Agnese
Carlini – El ciberespacio se está
convirtiendo en un nuevo campo de batalla y en un área de competencia
geoestratégica. La creciente sofisticación y frecuencia de los
ciberataques plantean importantes riesgos y amenazas tanto a gobiernos como
empresas y particulares. Vivimos en un mundo de rápida evolución y la
intersección entre geopolítica y ciberseguridad presenta un terreno muy
complejo, que exige una mezcla única de conocimientos especializados.
La era digital
ha dado paso a una nueva era de guerra en la que las batallas virtuales se
libran junto a las físicas y el dominio de las tecnologías es tan crucial como
la comprensión de la política mundial. La
geopolítica del siglo XXI se caracteriza por una implicada dinámica de poder,
interdependencias económicas e interconectividad digital. La rivalidades
tradicionales entre Estados se ha extendido al ámbito cibernético, donde se
aprovechan de las vulnerabilidades para poner en peligro infraestructuras
críticas y en algunas ocasiones, sembrar la discordia.
A medida que se
amplía el campo de batalla digital, el impacto de los ciberataques puede ser de
gran alcance, eclipsando potencialmente los daños causados por el armamento
convencional. Las armas cibernéticas se
han convertido en una fuerza formidable en la arena geopolítica, capaz
de perturbar las economías, influir en las elecciones y comprometer la
seguridad nacional.
Las potenciales
consecuencias de un ciberataque con éxito son enormes, hasta la paralización de
sistemas financieros. Además, a diferencia de las armas convencionales, cabe
destacar que los ciberataques pueden
lanzarse a distancia, de forma anónima, y con una negación plausible, lo que
complica aún más la atribución y las represalias.
➡️ Te puede interesar: Masterclass | Ciberinteligencia al
servicio de empresas e instituciones | LISA Institute
6 años después, en 2016, aparece un ransomware que infecta
los ordenadores, encripta los datos y pide un rescate a cambio. Estamos
hablando de Petya, el virus que infectó a los sistemas Windows a través de un
PDF ejecutable y que le costó a la naviera danesa Maersk alrededor de unos 250
millones de euros. Pero no todo quedo ahí. Un año después, aparece una nueva
versión de este virus. Ahora, con otro nombre: NotPetya. Vemos que hay una
mutación, aparentemente similar, pero mucho más potente. Por mucho que se
paginase por el rescate, los archivos no se recuperaban. El virus actuaba por
su cuenta y no necesitaba la gestión humana. ¿Estos casos son frecuentes,
Agnese?
Agnese
Carlini – NotPetya no era un ransomware real porque no se podía descifrar,
más bien lo definieron como un
limpiador de disco. Los atacantes se escudaban en una falsa petición de
rescate de 300 dólares para encubrir lo que resultó ser su verdadero propósito
destructivo.
NotPetya surgió
cinco semanas después de otro peligroso ransomware que también afecto a
muchísimos países a nivel mundial. Se
considera como una verdadera ciberarma. Todo lo que necesitó para
propagarse fue un ordenador con Windows 10 sin parchear o una versión más
antigua de Windows. Junto con el Eternal Blue, había otra poderosa herramienta,
Mimicat, que podía extraer contraseñas de la memoria, y juntas conseguían que
el ataque se moviera de una máquina a otra.
Digamos que
después del NotPetya ransomware, pasó de ser algo utilizado oportunistamente
por los ciberdelincuentes hasta casi un arma de guerra. Los actores del
Estado-Nación utilizarían esta como una herramienta para evitar que otras
organizaciones y países puedan trabajar de forma eficiente.
➡️ Te puede interesar: Masterclass |
Ciberdefensa y el papel de las Fuerzas Armadas
En la actualidad, y con el desarrollo de las tecnologías, es
más sencillo para los ciberdelincuentes entrar en los sistemas operativos de
grandes empresas e instituciones públicas. Pero también hay más
ciberconciencia, más información, más cursos, sesiones informativos y programas
que protegen nuestros datos, o al menos eso parece, de los ciberataques. ¿En
qué punto estamos y cuál es el papel actual de la ciberseguridad, la
ciberinteligencia y la Inteligencia de Amenazas? ¿Estamos mejor preparados a
pesar de que hay más herramientas digitales disponibles?
Agnese
Carlini – Buena pregunta. Desde luego estamos mejor preparados que hace
unos años, pero, aun así, nos queda
mucho camino por recorrer. Hay que fomentar y aumentar el nivel de
conocimiento entre las personas, las empresas y tanto en el sector público como
en el privado. Sobre todo, hago hincapié en las pequeñas y medianas empresas. Nadie está exento de sufrir un ciberataque.
No tomarse en serio los inconvenientes y pérdidas que estos pueden causar hace
que todavía haya pérdidas por millones de euros cada año.
➡️ Te puede interesar: Sonia Fernández: «Si solo los
ciberexpertos supiéramos de Ciberseguridad, estaríamos demasiado expuestos»
Es primordial crear un área especializada dentro de
las organizaciones especializadas en Ciberseguridad, encargadas de la implementación de las medidas preventivas en
seguridad, de la información y de los usos informáticos. Además, que trabaje de
la mano de unidades de Ciberinteligencia e Inteligencia de las Amenazas, que se
fomente el conocimiento de la Ciberseguridad entre los empleados y usuarios. Lo
que se necesita es implementar política proactivas para prevenir posibles
incidentes, analizar lo que pasa en nuestro entorno para saber cuáles son las
medidas a adoptar, tanto a nivel nacional como internacional. Es necesario que
el individuo también participe activamente en este proceso. Este conocimiento
empieza desde los colegios.
🎧
Si quieres aprender más de Agnese
Carlini, Profesora del Máster Profesional de Analista de
Inteligencia, Certificada como Experta en Análisis de Inteligencia y
en el Curso de Director de
Ciberseguridad de LISA Institute, escucha el quinto episodio del Pódcast
Código LISA «Los mayores ciberataques
en la historia de la Ciberseguridad:
🎧
También disponible en Spotify, Ivoox y Apple Podcast 🎧