Header Ads

ARMAS CIBERNÉTICAS: Sistemas fuera de linea o Bajas en el campo de batalla? @uliman73


Cuando hablamos de Ciberguerra, pareciera que estamos tratando un tema del algún comic o libro de ciencia ficción, al menos así parece cuando se ve las acciones que toman algunos Estados de la Región en la materia, sin embargo, dada la escala y el alcance de los ataques cibernéticos en los últimos 10 años, muchos argumentarían que hay una ciberguerra mundial en marcha.

Sin embargo, definir el problema es importante para llegar a soluciones significativas y este ha sido uno de los primeros escollos, ya que los Estados son reacios a desarrollar leyes y normas internacionales para gobernar el ciberespacio y lo que allí sucede. Todavía no está claro hasta qué punto un ataque cibernético puede clasificarse como un acto de guerra, pero cómo debemos gobernar la guerra librada en el dominio cibernético ya está siendo considerado por los diferentes Cibercomandos de Defensa y sus respectivos Ministerios de Defensa.

La noción de ciberguerra ha cuestionado si el derecho internacional para el ataque armado también debería aplicarse al ciberespacio. El Manual de Tallin, redactado por la OTAN, es una guía no vinculante para aplicación del derecho internacional a los ciberconflictos. Esta guía aún no es universalmente aceptada, pero representa un enfoque posible para gobernar los ciberataques a nivel internacional.

Peter W. Singer, autor de la novela "Flota fantasma: una novela de la próxima guerra mundial", y miembro senior de New America, dijo que las filtraciones de datos, las investigaciones cibernéticas y los apagones en otros países " no han recibido la atención que realmente necesitan. Y el enemigo está mirando esa falta de respuesta. Veremos ataques cinéticos en el Internet de las cosas que romperán las cosas y matarán a las personas", dijo Singer.

Desde una perspectiva militar, la Fuerza Aérea de los Estados Unidos de Norteamérica (USAF) está en guerra todo el tiempo dado que los adversarios están tratando de afectar deliberadamente sus misiones, según manifestó Frank Konieczny, Director de Tecnología de la USAF, en la conferencia CyberCon en Arlington organizada por Federal Times.

La USAF, ha ido más allá del punto de tratar de defender la red porque defender toda la red no es factible, por lo que de momento intenta defender misiones en lugar de "la red". Los adversarios buscan interrumpir las misiones haciendo cosas tan simples como la interrupción de los datos de los sensores, haciendo que los líderes cuestionen la validez de los datos que obtienen. Algo tan simple como alterar los datos de presión de aire en un neumático, de un tanque, podría llevar a los funcionarios a sacar ese activo de la batalla.

Los ataques cibernéticos van in crecendo, pronto destruirán la infraestructura y matarán a las personas. Y eso podría ser lo que se necesita para que los líderes políticos se preparen para lo que viene.

Al mismo tiempo, los ataques cibernéticos podrían tener consecuencias reales para las tropas en el campo de batalla. El software que se utiliza tanto en los laboratorios de investigación como en la industria de la pornografía puede alterar el rostro de una persona en un cuerpo diferente o incluso usar grabaciones y datos físicos de videos en línea para crear un discurso que nunca sucedió. Singer lo llamó la fusión de lo falso y real.



Durante una demostración en el Simposio AUSA Global Force en Huntsville, Alabama, el 27 de marzo, Leidos dio a conocer cómo las fuerzas locales pueden usar capacidades avanzadas a través de una cápsula de interferencia montada en un gran dron MQ-1C Grey Eagle. Esto permitiría a las fuerzas explotar direcciones IP, interceptar comunicaciones e incluso manipular mensajes enemigos.

La demostración mostró cómo, una vez dentro de la red, los mensajes de un enemigo al otro pueden ser interceptados e incluso manipulados. Por ejemplo, un mensaje enemigo buscaba coordinar un punto de encuentro. Mientras que el operador de los Estados Unidos permitió que los mensajes iniciales fluyeran inalterados hacia adelante y hacia atrás, eventualmente, comenzaron a cambiar la ubicación y la hora, lo que resultó en el envío de fuerzas a la ubicación incorrecta. 

Esta capacidad es similar a las utilizadas tanto durante la Guerra de Irak como en los pods de inteligencia de señales que actualmente están montados en grandes plataformas de drones y que podrían interceptar llamadas de voz desde teléfonos celulares a continuación.

La operación cibernética ofensiva más conocida sigue siendo el ataque de Stuxnet contra la instalación nuclear de Irán en Natanz en 2009. El ataque fue inteligente y sofisticado. Hizo que las centrífugas de uranio fallaran lentamente al modular su velocidad, todo mientras ocultaba los efectos de los ingenieros iraníes. El problema, sin embargo, fue que el gusano Stuxnet no murió en Natanz. En cambio, se extendió rápidamente fuera de Irán, infectando finalmente más de 100.000 computadoras en India, Indonesia y otros lugares. Ese Stuxnet, un arma cibernética cuidadosamente diseñada que apuntaba a un sistema de control industrial específico en una planta, se extendió muy rápido, tan rápido que hace que las operaciones cibernéticas ofensivas son difíciles, si no imposibles, de controlar



En agosto de 2017, una empresa petroquímica privada de Arabia Saudita fue atacada por un ciberataque diseñado, según los investigadores, para sabotear el equipo de la empresa y desencadenar una explosión en toda la planta. Esto no fue de ninguna manera una brecha cibernética corriente. En cambio, fue uno de los pocos casos en que un arma cibernética, conocida como Triton, había sido diseñada específicamente para sabotear los Sistemas de Control Industrial (ICS). Tal vez el ejemplo más conocido de este tipo de ataque fue el virus Stuxnet.

Para Arabia Saudita, un ataque cibernético contra la industria petroquímica no tiene precedentes. En enero de 2017, los piratas informáticos que utilizaron el virus "Shamoon" borraron los discos duros de varias compañías petroquímicas sauditas, reemplazándolas con la imagen del refugiado sirio Alan Kurdi, de 3 años, cuya foto circuló ampliamente después de que se ahogó en 2015. Adam Meyers, vicepresidente de la firma de seguridad cibernética CrowdStrike, afirmó que el gobierno iraní probablemente estaba detrás del incidente, ya que probablemente fue en 2012 cuando ocurrió un ataque similar.

Entonces, si los ciberataques no son nada nuevo para Arabia Saudita, ¿por qué este último es el más importante?

1. Este es uno de los primeros ciberataques dirigidos contra los sistemas de control industrial.

Los sistemas de control industrial son responsables de supervisar y proteger tanto la infraestructura como las personas que la administran. Como descubrieron los investigadores de seguridad, el malware Triton encontrado en las computadoras de Arabia Saudita fue diseñado para destruir esta tecnología, en este caso, los "controladores" Triconex producidos por Schneider Electric, utilizados para todo, desde el monitoreo del sistema hasta la gestión de emergencias. Entonces, al usar bibliotecas de códigos personalizadas para obtener control remoto sobre estos dispositivos, los hackers pudieron emitir comandos desde cualquier parte del mundo, causando estragos sin el conocimiento de la planta. Desde la manipulación de datos hasta el cierre total de la planta, había una amplia gama de opciones sobre la mesa.

Las armas cibernéticas utilizadas contra los sistemas de control industrial son pocas y distantes entre sí, por lo que cualquier ejemplo de este tipo es un caso de estudio importante: podemos aprender sobre técnicas de ataque, vulnerabilidades de software y hardware, incentivos para atacantes y más. En el caso de Triton, el uso del control remoto de Internet es crítico. Stuxnet controló las centrífugas iraníes automáticamente una vez dentro de sus sistemas, lo que significaba que el arma cibernética tenía que estar bien pensada de antemano.

Sin embargo, con el control remoto de Internet, los hackers no tienen que planificar su mudanza; pueden reaccionar en tiempo real y cambiar sus intenciones a medida que avanzan. Además, esta es una evidencia de que las armas cibernéticas pueden ocultarse fácilmente dentro de los sistemas durante largos períodos de tiempo, esperando.

2. El ataque estaba destinado a causar bajas.

Cuando los mecanismos de seguridad de ICS no funcionan, las vidas están en juego. Esto se hizo más claro que nunca cuando los piratas informáticos intentaron volar toda la instalación petroquímica de Arabia Saudita. En lugar de enviar comandos de detención que apagarían el sistema, intentaron cargar sus propias "cargas útiles" destructivas en los controladores mismos. Fue, en palabras de los investigadores de seguridad de FireEye, un intento de "ataque de alto impacto con consecuencias físicas".

Las armas cibernéticas se han utilizado anteriormente (aunque rara vez) para causar daños físicos a los sistemas industriales y de TI. Sin embargo, nunca han sido utilizados para causar daños corporales, es decir, hasta ahora. Este ataque es, por lo tanto, una clara advertencia para todos nosotros: las armas cibernéticas, a pesar de ser digitales, pueden tener un impacto directo en la seguridad humana. Teniendo en cuenta este hecho junto con las capacidades de control remoto de Triton, esto debería preocupar a los estrategas de seguridad nacional de todo el mundo. Debemos preguntarnos: ¿qué sucede cuando puedes volar una planta desde cualquier lugar del mundo, con solo un clic de un botón? ¿Y qué sucede cuando tal ataque es extremadamente difícil de atribuir?



3. Hay más de 18,000 sistemas de seguridad exactamente como el afectado, en más de 80 países en todo el mundo.

El sistema de seguridad Triconex, construido por Schneider Electric, es uno de los sistemas de seguridad más populares del mundo. Este ciberataque ejemplificó las principales vulnerabilidades de seguridad que existen dentro de los sistemas Triconex, y nos obligan a pensar en cuántas plantas industriales alrededor del mundo podrían ser dirigidas exactamente de la misma manera. Dado que Triconex se emplea en un amplio espectro de la industria, desde fábricas de papel y petroquímicas hasta plantas de energía nuclear, ninguna industria en particular es inexpugnable.

Además, vale la pena señalar que Schneider Electric es una compañía multinacional con ingresos anuales de casi u$s 30 mil millones. Triton demuestra que, una vez más, la dependencia de una sola compañía para los mismos servicios en todo el mundo conlleva riesgos extraordinarios de ciberseguridad.

4. La infraestructura civil fue objetivo, como parte de una campaña más amplia para impedir el mercado del petróleo de Arabia Saudita.

El mercado del petróleo de Arabia Saudita está dominado por la compañía petrolera nacional Saudi Aramco; por esta razón, es de particular interés que esta instalación civil específica haya sido el objetivo. Cualquiera que sea la relación entre esta planta petroquímica y Saudi Aramco, está claro que este ataque es parte de una campaña más amplia para interrumpir y dañar la industria más importante de Arabia Saudita, una que está inextricablemente ligada al gobierno de Arabia Saudita. De hecho, la OPEP estima que el sector del petróleo y el gas representa alrededor del 50 por ciento del producto interno bruto de Arabia.


Según Kaspersky Labs, en 2017, más del 60% de las instituciones de Arabia Saudita fueron atacadas con ataques de malware. Estos datos surgieron de un Taller Kaspersky organizado por el Centro Nacional de Seguridad Cibernética del Ministerio del Interior de Arabia Saudita en Riad. Con tantos ataques cibernéticos en redes sauditas tanto públicas como privadas, tiene sentido que el gobierno esté preocupado.

Cerrando Ideas

Son varias las aristas que se develan cuando se trata el tema de la Ciberguerra o Ciberdefensa, para algunos no se trata más que un tema de guerra asimétrica en el que el componente informático sería el medio, esto sinceramente y a modo personal es desconocer seriamente que estamos ante el 5º dominio o 5º campo de batalla, es mucho mas que simplemente el concepto de guerra asimétrica, aunque también la contiene.

Después de la Crisis de los Misiles Cubanos, un momento en que los observadores intencionales se preguntaban en voz alta si los Estados podrían controlar sus propias tecnologías, o si su capacidad de invención conduciría al desastre. ¿Las armas diseñadas para garantizar la seguridad nacional se convirtieron en un riesgo para el bien mundial?

Hoy, los críticos están haciendo la misma pregunta sobre el ciberespacio. En las últimas dos décadas, los estados han desarrollado herramientas cada vez más sofisticadas para realizar espionaje y sabotaje en línea. El espionaje cibernético permite a las agencias de inteligencia obtener información sin poner en peligro las fuentes humanas. Las operaciones cibernéticas ofensivas van más allá, ofreciendo la esperanza de destruir las capacidades enemigas sin la necesidad de una fuerza militar. Es fácil ver por qué estas herramientas son tan seductoras.

Por otra parte, es difícil desconocer todas las amenazas a las que estamos expuestos en el ciberespacio, pese a este conocimiento generalizado es sorprendente encontramos que los efectos de los ataques de alto perfil han sido bastante limitados. Después de las revelaciones de Stuxnet, Snowden, Wannacry y Triton entre otros, los usuarios continuaron ingresando en números récord, y la mayoría no parece haber tomado medidas adicionales para reducir su exposición. Si bien los datos aún son un poco irregulares, parece que una pequeña minoría redujo el alcance de sus actividades en línea y se autocensuraron. Mientras tanto, la gran mayoría continuó comunicándose, compartiendo fotos y videos, comprando regalos de Navidad, y más. Las empresas actuaron de manera similar, a pesar de que los líderes empresariales fueron algunos de los críticos más feroces. Sus respuestas no han sido uniformes, pero la tendencia general ha sido un compromiso continuo en línea con una mayor inversión en ciberdefensas. 

Armas cibernéticas como Triton, utilizada para atacar la infraestructura crítica y dañar tanto a la economía de Arabia Saudita como a los individuos de la planta, es un momento decisivo. Ahora vemos cómo la dependencia global en piezas únicas de tecnología puede socavar la seguridad de las máquinas físicas, las corporaciones multinacionales y los sistemas económicos globales. Las vulnerabilidades son a gran escala y multidimensionales en sus efectos. Si esto no sirve como una llamada de atención para prácticas y protocolos de ciberseguridad más robustos en la industria, ¿qué lo hará?



En el ámbito de la Ciberguerra, se hace necesario contar con un cuerpo de ciberguerreros (civiles y militares en todos los niveles) que formen parte integrante del esfuerzo de guerra y hagan su carrera profesional en ese ámbito. Contar con PON estandarizados tanto internamente como para la industria y contratistas, ya sea que vendan o provean hardware o software o brinden servicios. Es vital extender la cadena de seguridad a todos los niveles, capacitar, capacitar y capacitar a todos los niveles, desde usuarios finales hasta programadores. Trabajar en tiempo real ya no es una moda, es una necesidad. Hacer test de penetración ya no es suficiente.

La agenda en Ciberguerra o Ciberdefensa, es una agenda atrasada y en deuda, deuda que en el corto plazo empezará a cobrarse con daños físicos.

No dejen de visitar mi web donde encontrarán todos mis artículos y en breve mas. www.uliseskandiko.com





No hay comentarios.

Copyright 2008 - 2016: CXO Community - Todos los derechos reservados. Imágenes del tema de enot-poloskun. Con tecnología de Blogger.