La Protección Del CiberEspacio
El pasado mes de Noviembre tuve la oportunidad y el honor de impartir una conferencia en el Centro Superior de Estudios de la Defensa Nacional (CESEDEN), en Madrid, ante más de 40 altos mandos del ejército Español y responsables del Centro Nacional de Inteligencia (CNI).
Mi exposición estaba enmarcada dentro de las “X Jornadas De Seguridad de la Información en Defensa”. He de confesar que, a pesar de los nervios por hablar ante “tantos galones”, fueron unas jornadas muy divertidas y amenas, en las que todos enseñamos y aprendimos, a la vez. Y tuve igualmente el privilegio de impartir el curso con colegas ya consagrados en mi profesión, como por ejemplo, D. Pedro Sánchez Cordero, D. Lorenzo Martínez, D. Cecilio Sanz , D. Miguel Ángel Ramos…
En concreto, el tema de mi charla fue dedicado íntegramente a la Ciberguerra. Ni que decir tiene que me pasé no sé cuantos meses estudiando cómo funcionaban los sistemas SCADA (Supervisory Control And Data Acquisition, o Supervisión, Control y Adquisición de Datos), los últimos virus cibernéticos, los HoneyWalls, HoneyNets y HoneyPots, Los diferentes Sistemas de Detección de Intrusos –también llamados IDS-, y un sinfín más de términos indescifrables relacionados con la Ciberseguridad, el Ciberespacio y la Ciberguerra.
A lo largo de mi charla fui desarrollando los diferentes apartados en los que la había desglosado. Entre otros hablaba de “El enemigo invisible”, o “La Des/Información es Poder”, etc. Además alertaba sobre la necesidad de comprender que los términos Ciberguerra y ciberseguridad no pertenecen en exclusividad al ejército. Es más, estos términos han sido adoptados tras años de ataques perpetrados por comunidades de usuarios civiles que, hasta ser llamados, nada tenían que ver con el ejército. La ciberguerra ha sido bautizada ya como “el quinto campo de batalla”. La ciberguerra no consiste sólo en atacar bases neuronales militares, o centros de inteligencia de la defensa. Esto es algo de lo que todos hemos de ser conscientes. Los atacantes –y aquí hemos de hacer hincapié en que un gran porcentaje de éstos pertenecen al mundo civil, y no al militar-, tienen su punto de mira en los sistemas periféricos que alimentan estos centros de inteligencia o logística militar, tales como compañías telefónicas, eléctricas, infraestructuras de transporte y comunicación, etc. Y todas estas infraestructuras críticas pertenecen, en muchos casos, a empresas privadas, ajenas totalmente al ejército, que las contrata para cubrir sus necesidades de logística y funcionamiento. Por tanto, su seguridad es crucial, pues del buen funcionamiento y la fortaleza de sus sistemas informáticos depende buena parte de la defensa y logística militares Españolas. En consecuencia queda claro que la ciberseguridad, la ciberguerra y la protección del ciberespacio, no son campo exclusivo de investigación y/o protección militares. Para que una construcción resista, deben resistir todos y cada uno de sus bloques.
En este punto me viene a la memoria la ya manida frase “La robustez de una cadena viene dada por la robustez de su eslabón más débil”; y en este caso el eslabón más débil suelen ser las personas. Cierto es que se está invirtiendo mucho en ciberseguridad, pero también lo es el hecho de que, cada día y sin respiro, aparecen nuevos virus, o variantes de los ya existentes. En 2008, por ejemplo, se detectaron 35.000 virus diarios, a nivel global. Y la cifra de 2010 asusta aún más: 95.000 virus diarios. Ya en España, según el informe anual del año 2012 elaborado por la casa Kaspersky, (ver el Informe aquí), el 44.7% de los equipos de nuestro parque informático estaba expuesto a una infección proveniente de internet. Nuestro país ocupa el puesto Nº 20 del ranking.
Estados Unidos ha conseguido bajar del tercer puesto en que se encontraba en el año 2011, al puesto número 19. Un descenso notable de la exposición a ataques informáticos, acorde sin duda a la inversión y el interés que este país ha mostrado por la seguridad informática. Este dato, en principio, podría hacernos pensar “que no estamos mal del todo”; ¡Justo al lado de Estados Unidos!. Pero debemos caer en la cuenta de que Estados Unidos “es mucho más interesante que nosotros, en la actualidad”. Debemos estar protegidos, por si acaso algún día llegamos a ser realmente interesantes para la comunidad Hacker.
Y este dato corresponde tan sólo a nuestros equipos de sobremesa y portátiles. No quiero entrar en el estudio de los llamados “teléfonos inteligentes” que, como todos sabemos, acaparan casi la totalidad de nuestro parque de móviles, entre sistemas con Android, Apple, o symbian, entre otros. Podemos pensar que nuestros móviles pueden no tener interés para nadie. Nada más lejos de la realidad. En nuestros móviles llevamos, casi de forma generalizada, nuestras agendas, cuando no claves archivadas o documentos que, aunque sea de forma momentánea, son transportados en la memoria de estos dispositivos. Y no quiero entrar tampoco en el debate sobre el uso que se hace con nuestros terminales. ¿Qué ejecutivo, militar de alta graduación o responsable de un sistema de seguridad, no ha caído en la tentación de conectarse con su móvil para consultar el correo electrónico de la empresa?. Ya tenemos una posible vía de penetración a los sistemas. Por tanto, si tenemos controlado el móvil de nuestra víctima será sólo cuestión de tiempo adivinar sus claves.
El estudio de los laboratorios Kaspersky desvela claramente una conclusión que tiene que ser de obligado cumplimiento: “Si la seguridad informática es un problema global, también la solución tiene que ser, necesariamente, global”.
Según el informe de INTECO (ver informe aquí), elaborado en mayo de 2013, deja claro que “…La introducción de las tecnologías en los ámbitos de espionaje, delincuencia o terrorismo ha demostrado ser una peligrosa herramienta puesta en manos de organizaciones dispuestas a invertir en estos nuevos vectores de ataque que les permitan una consecución más efectiva y eficaz de los objetivos que persiguen..”
Como dato particular puedo decirles que, aun no siendo experto en hacking, puedo soliviantar una clave en cualquier sistema Windows, desde Xp hasta Windows 7, pasando por los Sistemas Operativos de Servidor de los desarrolladores del software de la ventanita. Tan sólo necesito estar 5 minutos con un ordenador, para dejar “per secula”, descerrajada la seguridad del sistema. Y tampoco se libran sistemas operativos Unix o Linux. El modus operandi es casi un juego de niños.
Tras esta exposición, les dejo una serie de preguntas para su razonamiento/debate:
- ¿Cuántos miles de equipos basados en sistemas operativos estándar están siendo usados, no sólo ya por nuestros militares de base, sino por nuestros mandos?.
- ¿Podemos confiarnos en que, a pesar de tener el código fuente de los sistemas operativos con los que trabaja nuestro sistema de defensa –según el CNI-, nuestros sistemas son seguros ante un ciberataque?
- ¿Tenemos control sobre todos los modos y puertas de acceso seguro a los sistemas informáticos críticos?
- ¿Debemos tener un sistema operativo propio para nuestros sistemas de defensa?
- La ciberseguridad, el Ciberespacio, las infraestructuras críticas, la Des/información; estos elementos son cruciales a la hora de proteger nuestros sistemas cibernéticos. ¿Debemos por tanto incrementar la inversión en nuestro patrimonio más valioso actualmente?
Como dijo Bob Dylan en su dia: “La respuesta, amigo mío, está flotando en el viento”.
José Aurelio García
Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense
Vp. Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE
Informático Forense – El Blog de Auditores y Peritos Informáticos
No hay comentarios