• No se han encontrado resultados

1. SOBRE CCN-CERT

N/A
N/A
Info
Descargar
Protected

Academic year: 2023

Share "1. SOBRE CCN-CERT "

Copied!
86
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 86 página )

Texto completo

En ningún caso el Centro Criptológico Nacional podrá ser considerado responsable por daños directos, indirectos, incidentales o extraordinarios derivados del uso de la información y software indicados, incluso cuando se haya advertido de tal posibilidad. El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es).

SOBRE EL PRESENTE INFORME

Contenido / Ámbito

Este servicio fue creado en 2006 como CERT Gobierno/Nacional y sus funciones están recogidas en la Ley 11/2002, reguladora del Centro Nacional de Inteligencia, el RD 421/2004, regulador del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015, de 23 de octubre. Según esta normativa, el CCN-CERT es el responsable de gestionar los ciberincidentes que afecten a los sistemas del sector público, empresas y organizaciones de interés estratégico para el país y cualquier sistema clasificado.

Base documental

Su misión es, por tanto, contribuir a la mejora de la ciberseguridad española, siendo el centro nacional de alerta y respuesta que coopera y ayuda a responder con rapidez y eficacia a los ciberataques y a afrontar activamente las ciberamenazas. (organizaciones privadas) y, finalmente, estudios y trabajos de profesionales del sector privado y miembros de la Academia.

Clasificación y periodo de aplicación

RESUMEN EJECUTIVO

De manera análoga a lo ocurrido en los últimos años, en 2016 las principales amenazas a la ciberseguridad provinieron de estados y organizaciones criminales5. Explosión de los precios de la energía, fracaso de la gobernanza nacional, burbuja de riqueza.

LOS CIBERINCIDENTES DE 2016

  • Ciberespionaje
  • La delincuencia en el ciberespacio
  • Disrupción de sistemas
  • Los costes de los ciberincidentes y de su gestión

Finalmente, la siguiente figura muestra la distribución por país de origen de los ataques DDoS durante 2016165. Respecto a los dispositivos móviles utilizados por los ciudadanos, la siguiente figura muestra la distribución de las diferentes versiones de Android199.

AGENTES DE LAS AMENAZAS

Los Estados como agentes de las amenazas

Un ejemplo: en el verano de 2015, un grupo conocido como APT29, sospechoso de trabajar para el gobierno ruso, logró penetrar en la red del Partido Demócrata en Estados Unidos. Por otro lado, los Estados siguen invirtiendo en el desarrollo de capacidades ciberofensivas, generalmente llevadas a cabo a través de los servicios de inteligencia.

Organizaciones delincuenciales

La siguiente figura, basada en los datos revelados por Verizon, muestra el tiempo típico necesario para comprometer los sistemas atacados y filtrar datos57. El aumento del número de ataques ha sido posible en algunos casos gracias a que se han hecho públicos ejemplos del código malicioso, facilitando su modificación y adaptación a los objetivos a atacar. Como en años anteriores, el nivel de conocimiento de los ciberdelincuentes es muy variado, abarcando desde especialistas (caracterizados por un alto nivel de profesionalidad e innovación) hasta grupos de bajo nivel.

Todo esto, unido al anonimato derivado del uso de criptomonedas, dificulta el rastreo e identificación de los autores. Además, en algunos casos, se ha observado un comportamiento comercial por parte de proveedores que alientan a los clientes a pagar sólo cuando tienen éxito en sus acciones68 o cuando el código malicioso se instala correctamente (por ejemplo, el kit de explotación Angler69), contratan una suscripción o realizan el malware. código disponible durante un cierto período de tiempo (por ejemplo, en el caso del kit de explotación Sweet Orange70).

El terrorismo en el ciberespacio

Finalmente, se ha observado un crecimiento significativo de la cooperación (incluso personal) entre diferentes grupos criminales, que unen fuerzas en la planificación y desarrollo de acciones conjuntas65. La fiabilidad de dichos proveedores ha aumentado con el paso de los años, incluyendo, recientemente, la posibilidad de contratar soporte de asistencia al usuario67. En otros casos, se cumplieron condiciones por parte del proveedor de servicios para utilizar el código malicioso, como utilizar la herramienta sólo en ataques dirigidos o en determinados países, incluida en algunos casos la participación de los beneficios obtenidos.

Si bien en 2016 determinados grupos terroristas pudieron declarar que habían llevado a cabo acciones que condujeron a la adquisición de información confidencial, lo cierto es que en la mayoría de los casos investigados se pudo detectar que la información supuestamente robada estaba disponible públicamente en Internet. , para lo cual sólo era necesario disponer de capacidad y recursos limitados75 76. Pese a todo, cabe señalar que los grupos yihadistas cuentan con los medios económicos para llevar a cabo ciberataques a mayor escala.

El ciberactivismo

Asimismo, durante 2016 aparecieron en el ciberespacio nuevos foros yihadistas73 con el objetivo de difundir sus mensajes, realizar propaganda y reclutar nuevos elementos terroristas74. 82 Ver: http://www.rcfp.org/browse-media-law-resources/news/online-attacks-against-media-websites-are-increasing-and-costly https://www.hackread.com/ sitio-web-anónimo-ddos-zimbabwe-herald/. 84 Tal es el caso, por ejemplo, de la revelación hecha por un grupo hacktivista sobre las confesiones de miembros del Ku Klux Klan (ver: http://www.ibtimes.co.uk/anonymous-hackers-threaten-reveal-identities- 1000-ku-klux-klan-brasas-opkkk-1525758.

85 Como ocurrió con la divulgación de nombres y credenciales de miembros de ciertas organizaciones de defensa israelíes (ver: https://ent.siteintelgroup.com/Dark-Web-and-Cyber-Security/anonsec-allegedly-hacks-israel-missile- defence-association.html,.87 Quizás el más significativo fue el incidente de febrero de 2016, en el que se anunció que un grupo de personas había atacado un dron de la NASA con la intención de estrellarlo en el océano.

Cibervándalos y script kiddies

Actores internos y ciberinvestigadores

Esta intersección entre el ciberactivismo y los ciberdelincuentes convencionales (distribución de malware) se considera ocasional y no representa un patrón en el modus operandi hacktivista. Por su parte, los ciberinvestigadores son individuos que persiguen el descubrimiento de vulnerabilidades en los sistemas de información con el fin de mostrar públicamente un nivel de seguridad inadecuado. En los últimos años, la práctica de la llamada Divulgación Responsable se ha configurado como un mecanismo para satisfacer los intereses de los investigadores cibernéticos sin poner en riesgo la seguridad de las organizaciones.

En línea con esta cuestión, se ha extendido la tendencia a establecer un mecanismo de recompensa para las vulnerabilidades (Bugs), en el que los investigadores se comprometen a no divulgarlas a cambio de "recompensas"95.

Organizaciones privadas

VULNERABILIDADES

El software: su industria, desarrollo y aplicación

Seguridad en la formación de desarrolladores: Gran parte de los programas de formación general dirigidos a estudiantes de programación ponen poco o ningún énfasis en la seguridad, dejando esta disciplina, la mayoría de las veces, reservada. Actualización de software: La experiencia nos ha demostrado que muchos de los agujeros de seguridad se deben a la existencia de vulnerabilidades conocidas por la comunidad desde hace algún tiempo104. La efectividad de las medidas antiamenazas: Aunque las grandes organizaciones generalmente cuentan con medidas de seguridad de la información que incluyen el uso de una variedad de recursos, todavía hay muchas empresas e instituciones públicas cuya única medida de seguridad es el software antivirus, muchas veces obsoleto.

En un mundo interconectado, las fallas de seguridad en un elemento pueden afectar seriamente la seguridad de quienes están conectados a él. Publicidad de vulnerabilidades: En 2016 continuó la tendencia de los últimos años en cuanto a la publicidad de campañas relacionadas con vulnerabilidades de carácter técnico106.

Hallazgos en el lado del usuario

La siguiente figura muestra la ruta de daño más común seguida por los actores de amenazas. A su vez, el riesgo del Internet de las Cosas, con el crecimiento de los dispositivos conectados a Internet, sigue creciendo. 117 Muchos de los sitios web más populares (como Facebook y YouTube) han cambiado a HTML5 para reproducir vídeos.

La siguiente figura muestra la frecuencia de las vulnerabilidades utilizadas por los kits de exploits dirigidos a Flash119 en el primer trimestre de 2016. La siguiente imagen muestra la cadena de ataque de NEODYMIUM y cómo se aprovechó la vulnerabilidad CVE-2016-4117 para infectar las computadoras víctimas124.

MÉTODOS DE ATAQUE

  • Código dañino
  • Herramientas de los ataques
  • Ataques de Denegación de Servicio (DoS) y Aplicaciones Web
  • La ocultación del atacante y el abuso de servicios de buena fe
  • La publicidad dañina

130 http://www.computerworld.com/article/3044728/security/cyberespionage-groups-are-stealing-digital-certificates-to-sign-malware.html. 149 https://www.secureworks.com/resources/rp-2016-underground-hacker-marketplace-report 150 Fuente: TrendMicro: Underground North America. 156 https://www.stateoftheinternet.com/downloads/pdfs/2016-state-of-the-internet-threat-advisory-dnssec-ddos-amplification-attacks.pdf 157 http://researchrepository.napier.ac.uk /8746/.

En otros casos, el código malicioso opta por borrar completamente el disco duro una vez que se ha desarrollado el ataque, eliminando toda evidencia (ver: http://blogs.cisco.com/security/talos/rombertik. De manera similar, existen dos familias de códigos maliciosos para Android (OpFake y Marry) utilizaron Facebook como infraestructura C&C (ver: http://news.softpedia.com/news/two-mobile-banking-trojans-used-facebook-parse-as -c-c-server-497597.shtml .

Medidas

  • El factor tecnológico
  • El factor económico y metodológico
  • Iniciativas internacionales
  • Iniciativas nacionales: el Esquema Nacional de Seguridad

Por otro lado, muchas instituciones destacan la actual falta de profesionales (técnicos y jurídicos) en el campo de la seguridad de la información como una amenaza real181. Finalmente, cabe señalar que, pese a todo, la mayoría de las amenazas no provienen de la acción directa de los actores internos. Por último, 2016 ha situado a la llamada Defensa Activa en el panorama global de la lucha contra las ciberamenazas.

Estas actividades pueden cruzar los límites de la propia red de la víctima y causar efectos (negativos) en la red de otra persona. El objetivo del GCI es ser un punto de referencia para que los países identifiquen áreas de oportunidad en ciberseguridad.

TENDENCIAS PARA 2017

Sin embargo, pocos actores de amenazas perfilados regularmente por los medios son verdaderamente "avanzados". Finalmente, no se puede confiar en ninguno de los mecanismos de seguridad y protecciones basados ​​en el software del sistema porque suponen que el hardware no ha sido comprometido. Dado que los dispositivos móviles suelen tener una copia de seguridad en la nube, el éxito de los pagos directos de rescate para desbloquear dispositivos suele ser limitado.

Ataques a instituciones financieras: Los ataques contra la red SWIFT en 2016 han vuelto a centrar a los agentes de amenazas en las instituciones financieras, en lugar de en sus usuarios, como víctimas finales de sus acciones228. A principios de este año, los investigadores de Google encontraron una grave vulnerabilidad de ejecución remota de código en los dispositivos FireEye y en la mayoría de los principales proveedores de antimalware.

Referencias

Descargar ahora ( PDF - 86 página - 3.84 MB )

Outline

El software: su industria, desarrollo y aplicación Hallazgos en el lado del usuario Código dañino Ataques de Denegación de Servicio (DoS) y Aplicaciones Web El factor tecnológico Iniciativas internacionales TENDENCIAS PARA 2017

Documento similar

El régimen de seguridad en la religión y en la cultura, a propósito de un artículo de Aranguren

Existen, en cam- bio, católicos, edesiástlcos y s,eglar,es, persuadidos de que .,e de- be suministrar auténtica formación cristiana a la juv,entud, me- diante