III Simposio Internacional de Ciberdefensa, Ciberseguridad,

Ciberinteligencia, Retos y Amenazas del Ciberespacio 2015

Ahora los ataques son desarrollados por profesionales del delito que no buscan reconocimiento,
sino dinero e informacin. Lo que antes fue una actividad solitaria ahora es una tarea
encomendada a verdaderos ejrcitos cibernticos.
Ahora los puntos de ataque son empresas y estados, y lo que supone una intrusin puede llegar a
convertirse en daos considerables a la infraestructura vital de un pas; es decir, el equivalente a
lanzar un bombardeo, pero sin explosiones.
SIC3RAC fue el Simposio que se desarroll el pasado 17 de junio y que trat precisamente sobre
estos temas. Conferencistas de diversos pases ofrecieron sus conocimientos ante un auditorio
conformado por los profesionales de TI de las instituciones que deberan involucrarse en el tema,
incluyendo, por supuesto, a las fuerzas armadas.
A continuacin, un recuento de la informacin que se ofreci aquel da del simposio.

Los temas a tomar en cuenta

SIC3RAC significa Ciberdefensa, Ciberseguridad, Ciberinteligencia: Retos y Amenazas del

Ciberespacio; un Simposio que ya lleva un par de aos y que se realiz en las instalaciones del
Cuartel General del Ejrcito.
Luego de las palabras iniciales de Ronald Hurtado, general del Ejrcito; y de Arthur Huaman,
capitn de la misma institucin; se realiz la primera presentacin de la maana.
sta estuvo a cargo de Claudio Caracciolo, chief security ambassador de Eleven Paths, quien trat
el tema Ciberinteligencia y Ciberdescuidos. Caracciolo ofreci una amplia perspectiva sobre todos
los tipos de amenazas a las que las organizaciones se tienen que enfrentar en la actualidad.
As sostuvo que uno de los puntos que se tienen que cuidar en la actualidad son las
organizaciones que utilizan los sistemas Scada. Estos sistemas se encargan precisamente de las
empresas e instituciones que tienen que ver con servicios pblicos, y es por ello que pueden
representar un objetivo para un atacante que desee causar dao a la infraestructura bsica de un
pas.
Pero no solo uno se debe preocupar por los ataques que pueden provenir del exterior. Si algo ha
mostrado el caso de Edward Snowden es que la fuga de informacin no solo se puede dar debido
a un ataque desde el exterior, sino tambin desde el interior; y esto no pasa por los controles de
seguridad sino por la gestin del riesgo. sta es la que debe determinar cules son los puntos
dbiles y riesgosos que tiene una organizacin, puntos que en ocasiones pueden encontrarse entre
los miembros de la misma.

El expositor sostuvo que para encontrar a los posibles atacantes se requieren de nuevos enfoques.
Si antes bastaba con escudriar el ciberespacio para determinar quin ha realizado acciones
de defacement en un sitio web -algo relativamente fcil de hacer pues este tipo de ataques son
publicitados en lugares como Zone-H por los mismos atacantes-, ahora es necesario buscar ms
profundo, ya que los ciberataques no son logros que se muestren. De hecho, cuando se
encuentran malware en empresas, estos pueden haber estado trabajando durante aos antes de
haber sido encontrados, una muestra de la discrecin con la que trabajan ahora los atacantes.
Y ciertamente hay poco presupuesto y pocas personas para defender a las organizaciones,
adems son ms las puertas que hay que vigilar. Una forma en que los ciberatacantes renen
informacin es mediante la open source intelligence o inteligencia de cdigo abierto, algo que en
buena cuenta significa recopilar informacin de diversas fuentes para preparar un ataque a una
persona. Y esas fuentes pueden ser los datos que la propia persona ha publicado en redes
sociales, o incluso lo que otras personas han publicado sobre l o ella en las redes. Por supuesto,
tambin se pueden encontrar en el ciberespacio, en sitios como Pastebin, bases de datos robadas
con informacin personal.

Un punto que Caracciolo enfatiz fue el uso de los metadatos. stos se encuentran adheridos a
los archivos que circulan libremente en la Red, y a los cuales no consideramos como amenaza a la
seguridad. La verdad es que la informacin que llevan amarrada a travs de los metadatos se
puede utilizar para preparar ataques dirigidos hacia un objetivo de perfil alto. Por ello, por ejemplo,
en Estados Unidos se tiene establecido que las instituciones pblicas no publiquen documentos
que contengan metadatos, una prctica que tambin se debera imponer en las instituciones de
otros pases.
Incluso dispositivos tan aparentemente inofensivos como los televisores pueden jugar en contra de
la seguridad. Si un desprevenido usuario conecta un USB a un televisor inteligente, puede correr el
riesgo de que adems del video o foto que desee ver en pantalla, el televisor tenga acceso a los
otros documentos que contiene el USB.

El dao al negocio

Una de las formas en que la empresa puede tomar conciencia de la necesidad de tomar medidas
de seguridad, es mostrndole los daos que podra sufrir y su equivalencia en dinero.
Eso es precisamente lo que hicieron Jack Hakim y Peter DiPrete, CEO y director de seguridad de
EC Wise, respectivamente, durante su presentacin. Hakim fue el primero en tomar la palabra y
mostr interesantes datos sobre lo que cuesta la inseguridad.

En primer lugar estableci que el costo de las violaciones a la seguridad se puede traducir en la
interrupcin de servicios, el costo del servicio de restauracin, las multas a las que puede quedar
expuesta la firma, y el dao a la marca que puede significar prdida de clientes y adquisicin de
nuevos clientes reducida.
Hakim explic tambin que las amenazas son cada vez ms especficas y se encuentran en
crecimiento. Los atacantes se encuentran cada vez ms equipados a travs de herramientas como
Kali (distribucin Linux para auditora y seguridad informtica); mejor educados, gracias a
reuniones como Black Hat; y mejor financiados gracias al dinero proveniente del crimen organizado
y de estados que adquieren sus servicios.

Y a esto se suman las vulnerabilidades. Un tema en el que DiPrete tom la posta en la exposicin.
El ejecutivo sostuvo que las vulnerabilidades se pueden encontrar en diversos lugares, uno de ellos
es la capa fsica de la infraestructura. Aqu se puede llegar a comprometer la fibra, se puede utilizar
incluso ms fcilmente el cobre y la radiofrecuencia es la ms dbil de las tres vas y la ms
sencilla de interceptar. Incluso en los enlaces de datos se puede hacer uso de exploits como el
Covert Channel Video para uso en Ethernet. En las redes se pueden utilizar tcnicas como
el spoofing, mientras que en las aplicaciones se puede hacer uso de la inyeccin SQL.

Y por supuesto no hay que olvidar al factor humano. DiPrete record a los asistentes que el
enemigo puede ser un infiltrado en la organizacin, actualmente en trabajo o ya fuera de ella, pero
an con acceso a los sistemas. Los atacantes tambin pueden ser externos y pueden utilizar
tcnicas muy conocidas pero an tiles como el phishing. Mientras, en los dispositivos mviles un
dao a la seguridad lo puede causar algo tan comn como el simple olvido del dispositivo en un
taxi.
Ante ello, DiPrete propuso un conjunto de actividades. Primero se debe tener una poltica y
procedimiento en ejecucin, adems se debe identificar las capas de seguridad, abordar las
vulnerabilidades en todos los niveles, capacitar al equipo, monitorear continuamente e incrementar
siempre las defensas.
Por otro lado, se debe tener conciencia y conocimiento de las capacidades, amenazas y ataques
externos, adems de las fortalezas, defensas y defensores internos de la propia organizacin.

Qu implica la cibercriminalidad
Luego del break fue el turno de Alberto Gmez, doctor en criminologa y ciencias de la seguridad,
quien ofreci la exposicin Inteligencia tecnolgica en la lucha contra el ciberdelito y el
cibercrimen.

As el expositor mostr los conceptos que se manejan sobre crimen organizado, delito grave,
bienes, embargos e incautaciones, entrega vigilada, y similares.
Quizs uno de los conceptos ms visibles sobre el tema fue el que lanz el expositor al sealar que
en la actualidad el crimen organizado se trata de una delincuencia de mbito global y
transnacional, que se ha transformado en una organizacin especializada y altamente organizada y
jerarquizada. Lo ms importante ahora es que utiliza las tecnologas de la informacin para
cometer sus delitos.

Gmez tambin defini los cibercrmenes que en la actualidad se tiene que enfrentar en la
sociedad. Al primer grupo de ellos los denomin cibercrmenes econmicos mediales y entre ellos
se encuentran el hacking, el malware, los ataques de denegacin de servicio y el spam.
Pero adicionalmente tambin existe otro grupo, al que denomin cibercrmenes econmicos
finales, y entre ellos se encuentran el ciberblanqueo de capitales, el ciberfraude, el ciberespionaje y
la ciberpiratera.
Otra categora es la de los cibercrmenes polticos como el hatespeech (divulgacin de doctrinas de
odio), la ciberguerra, los ataques de denegacin de servicio nuevamente- y el ciberterrorismo.
Adems, defini tambin los cibercrmenes sociales como el grooming (acoso ciberntico a
menores), online
harrassment (similar
el grooming),ciberstalking (acoso
ciberntico)
y
el ciberbullying. Por supuesto, tambin se encuentra en esta categora el sexting, es decir, el envo
de contenidos erticos o pornogrficos a travs de medios mviles.
Un aspecto significativo de la exposicin de Gmez es que sostuvo que la conducta de la persona
determina enormemente el que se convierta o no en una vctima de alguno de estos ciberdelitos.
Lamentablemente, mientras mayor exposicin en Internet, crecen las probabilidades de ser vctima.
De acuerdo a un cuadro mostrado por el expositor, un acto tan simple como el uso del correo
electrnico genera una probabilidad de casi 77% de convertirse en vctima de un cibercrimen,
aunque claro, la mayor de las probabilidades es aquella que se produce cuando una persona
contacta con extraos a travs de la Red. En este caso la probabilidad sube a ms de 80%.

Lo que publicamos en la Red

Snchez Cordero inici su presentacin mostrando el estado actual de la seguridad. De ella seal
que se ha pasado de una poca en la que los ataques eran realizados por jvenes entusiastas por
demostrar sus habilidades, a un momento en el que los ataques provienen del crimen organizado e
incluso de empresas legtimas. Ahora los medios de proliferacin son los sitios web multimedio
legtimos pero que se encuentran comprometidos, los dispositivos extrables -como los USB-, las
redes P2P, el phishing, los adjuntos del correo spam, los dispositivos mviles, las redes Wi-Fi y, por
supuesto, las redes sociales.

Pero ahora nos atacan en fases. Una primera fase es la de inteligencia. En ella lo que se hace es
recopilar datos de la persona que se podra atacar; es decir, de los objetivos, pero tambin de los
colaboradores, amigos, empleados, y perfiles en redes sociales.
La siguiente etapa es la que se denomina Pivoting, en la que se comienza la utilizacin de
herramientas para poder llegar a la informacin a la que se desea llegar. Y ese fue el momento en
el que su exposicin capt el mayor de los intereses del pblico asistente.
Snchez mostr cmo se poda fcilmente acceder a la informacin pblica de cualquier personaje.
Para ello mostr, mediante un video de la pantalla de su laptop, lo que haba hecho durante la
maana: recopilar informacin sobre un general de un pas vecino.
Con herramientas propias de un investigador se accedi a mucha informacin como nmeros de
telfono, contactos y otros tems que, con seguridad, un general no deseara que fuesen tan
pblicos, pero lo son. En realidad, Snchez no hizo sino recopilar con herramientas especializadas
toda la informacin que el propio general o sus allegados haba publicado de alguna manera en
Internet. Y por supuesto, no solo se trataba de fotos o videos, tambin se encontr documentos recuerda los metadatos de los que se habl lneas arriba?- de Word o PDF.
Obviamente, Snchez hizo esto con informacin pblica por dos motivos. Uno, para demostrar
cun fcil es recopilar esta informacin y, dos, para mostrar toda la informacin que
inadvertidamente podemos publicar nosotros o nuestros amigos en Internet sobre nuestra vida.
Todos lo hacemos, incluso los generales.
Por supuesto, al ser informacin pblica Snchez no viol ninguna ley ni realiz acto de espionaje
alguno durante su presentacin. Todo lo que mostr fue lo que alguien hizo pblico en la Red.
Estas fueron solo algunas de las exposiciones que se realizaron durante el evento. Ciertamente, el
SIC3RACfue una reunin multitudinaria que ofreci valiosa informacin sobre lo que se est
logrando con la toma de conciencia en las organizaciones directamente involucradas con la
infraestructura vital de nuestro pas.