{"id":10126,"date":"2022-04-28T15:10:46","date_gmt":"2022-04-28T18:10:46","guid":{"rendered":"https:\/\/www.netqual.com.ar\/netqual\/?p=10126"},"modified":"2022-04-28T17:25:09","modified_gmt":"2022-04-28T20:25:09","slug":"guerra-de-ucrania-y-seguridad-informatica","status":"publish","type":"post","link":"https:\/\/www.netqual.com.ar\/netqual\/guerra-de-ucrania-y-seguridad-informatica\/","title":{"rendered":"Guerra de Ucrania y Seguridad Inform\u00e1tica"},"content":{"rendered":"
Informaci\u00f3n suministrada por ESET \u00ae a partners Abril 2022<\/em><\/h6>\n

En nuestro d\u00eda a d\u00eda gestionamos redes y sistemas de empresas, muchas de ellas Pymes y es impactante ver en las consolas de gesti\u00f3n de seguridad el incremento de ataques de distintos tipos y colores.<\/p>\n

Es un hecho que cualquier acci\u00f3n de \u00edndole b\u00e9lica entre pa\u00edses, como es el caso actual de Rusia y Ucrania, se utilice la ciberguerra como una herramienta m\u00e1s de la contienda.<\/p>\n

Estas acciones est\u00e1n dirigidas contra la infraestructura cr\u00edtica de los pa\u00edses y adem\u00e1s estos tipos de ataques suelen no quedar confinados estrictamente a los objetivos que se plantearon sus creadores.<\/p>\n

\u00bfQu\u00e9 buscan estos tipos de ataques?<\/b><\/h2>\n

\"\"<\/a>Seg\u00fan la empresa ESET \u00ae, ataques a esta escala buscan debilitar el sistema nervioso de los pa\u00edses y sus empresas; la econom\u00eda, las finanzas, los sistemas de salud, los sistemas de energ\u00eda, las comunicaciones etc.<\/p>\n

Se trata de acciones masivas, no dirigidas contra una empresa en particular como podr\u00eda ser un espionaje industrial, sino contra un conjunto de instituciones, organizaciones y empresas consideradas estrat\u00e9gicas y tambi\u00e9n por extensi\u00f3n a sus proveedores, clientes etc. Es decir todos podemos vernos afectados directa o indirectamente.<\/p>\n

No hay que perder de vista que en situaciones de guerra inform\u00e1tica el objetivo es espiar, bloquear, impedir, inutilizar, destruir, introducir informaci\u00f3n falsa, controlar\u2026 no se trata solamente del hecho de pedir un \u201crescate\u201d por los datos secuestrados.<\/p>\n

Secuencia de Principales Ataques entre Pa\u00edses<\/b><\/h2>\n

Haremos un breve an\u00e1lisis de secuencia y evoluci\u00f3n de este tipo de ataques, hay abundante informaci\u00f3n en la web al respecto, lo que nos interesa es mostrar la secuencia. Tampoco nombraremos a los \u201csupuestos autores\u201d dado que a ciencia cierta, se desconoce su origen real (aunque se puede intuir a quienes podr\u00edan responder si observamos los objetivos atacados).<\/p>\n

2010 – <\/b>Stu<\/b>xnet<\/b>. Uno de los m\u00e1s antiguos mediante un gusano, aparentemente dirigido a mezcladoras de Uranio y Centrales nucleares que pose\u00edan una tecnolog\u00eda en com\u00fan (Siemens \u00ae ), pensado contra Ir\u00e1n; si bien no tuvo un \u00e9xito rotundo se sospecha que hubo atrasos en la puesta en marcha de algunas centrales nucleares debido a este malware no s\u00f3lo en Ir\u00e1n sino tambi\u00e9n en India.<\/p>\n

2011 \u2013 <\/b>Havex.<\/b> Un RAT (Troyano de Acceso Remoto), cuyo objetivo es el espionaje, tomar screenshots, transferir archivos, robar credenciales de acceso etc. Dirigido a un vasto universo de empresas, petroqu\u00edmicas, farmaceuticas, energ\u00eda, defensa y cuando hablamos de empresas dedicadas a\u2026 tambi\u00e9n incluye a proveedores y clientes de las mismas sean del tama\u00f1o que sean. Golpe\u00f3 en regiones de Canad\u00e1 y USA.<\/p>\n

2012 \u2013 <\/b>Shamoon.<\/b> Un virus contra Windows \u00ae de car\u00e1cter destructivo (sobre escrib\u00eda el master boot record del sistema infectado) dirigido contra Arabia Saudita y Qatar, espec\u00edficamente contra la empresa Aramco \u00ae.<\/p>\n

2015 \u2013 <\/b>BlackEnergy.<\/b> Usado contra dispositivos Cisco \u00ae buscando denegaci\u00f3n de servicio y toma de control por backdoor, espec\u00edficamente contra Ucrania.<\/p>\n

2016 \u2013 Industroyer.<\/b> Un malware contra sistemas de control, que \u201capag\u00f3\u201d, literalmente hablando, a gran parte de Kiev, durante m\u00e1s de una hora.<\/p>\n

2017 \u2013 Tryton.<\/b> Un malware que aprovechando deficiencias en Windows \u00ae para atacar sistemas de seguridad y control, fue usado contra petroqu\u00edmicas en Arabia Saudita.<\/p>\n

2017 Llegan los ransomwares…<\/h3>\n

2017<\/b> \u2013 WanaCry.<\/b> Gusano que ataca una vulnerabilidad de Windows \u00ae empleando un \u201cexploit\u201d denominado \u201cEternalBlue\u201d; hablamos en su momento sobre \u00e9l (ver https:\/\/www.netqual.com.ar\/netqual\/seguridad-informatica-sobre-mitos-y-verdades\/<\/a>)<\/p>\n

Los m\u00e1s afectados fueron Rusia, Ucrania, India y Taiw\u00e1n, as\u00ed como partes del servicio nacional de salud de Gran Breta\u00f1a (NHS), Telef\u00f3nica de Espa\u00f1a, FedEx, Deutsche Bahn, y las aerol\u00edneas LATAM; junto con muchos otros a nivel mundial.<\/p>\n

Como dato, en nuestro pa\u00eds pegaron m\u00e1s fuerte sus \u201cvariantes\u201d como Locky<\/b> y Wallet<\/b>, que llegaron a afectar a un 15 a 20% de Pymes. Todos solicitaban \u201crescate\u201d con la modalidad de Ransomware y encripci\u00f3n de archivos.<\/p>\n

2017 – <\/b>Petya<\/b>. Ransomware que se distribuy\u00f3 aprovechando DropBox y afect\u00f3 a Francia, Alemania, Italia, Polonia, Reino Unido y Estados Unidos, pero que la mayor\u00eda de las infecciones actuaron en Rusia y Ucrania.<\/p>\n

2020 \u2013 <\/b>ColdLock. <\/b>Un ransomware que se introduc\u00eda como un ejecutale \u201c.net\u201d que atac\u00f3 en Taiwan. Entre ellas CPC Corp (petrolera estatal) a empresas afines y a sectores de telecomunicaciones y empresas de producci\u00f3n de semiconductores.<\/p>\n

2021 \u2013 DarkSide. <\/b>Un ransomware que adem\u00e1s de robar informaci\u00f3n de cientos de servidores, detuvo todas las operaciones del Oleducto Colonial Pipe de USA.<\/p>\n

2022 \u2013 Herm<\/b>e<\/b>tic Wiper<\/b>. Un ransomware que aprovecha los elevados privilegios en el host comprometido anulando los registros y configuraciones de arranque, borrar las configuraciones del dispositivo y eliminar las copias de seguridad. Este malware mantiene el dominio en ejecuci\u00f3n y permite que el ransomware use credenciales v\u00e1lidas para autenticarse en los servidores y cifrarlos. Dirigido espec\u00edficamente a Ucrania, s\u00f3lo con fines de control y destrucci\u00f3n de informaci\u00f3n.<\/p>\n

Ataques Combinados y Wipers<\/b><\/h2>\n

\"\"<\/a>Un ataque combinado, re\u00fane un conjunto de las amenazas m\u00e1s conocidas<\/p>\n

Adem\u00e1s est\u00e1n proliferando los denominados \u201cWipers\u201d que no son otra cosa que modificaciones a los ransomware cl\u00e1sicos para que la informaci\u00f3n sea destruida \u00f3 inutilizada. Como dijimos al principio, hay casos donde el objetivo no es pedir rescate, es destruir.<\/p>\n

Las amenazas ya conocidas, que adem\u00e1s se usan en ataques combinados son:<\/p>\n

    \n
  1. APT (Advanced Persistance Threat). Persigue mantener el control por mucho tiempo, incluso a\u00f1os, evitando dar indicios de su presencia. El sigilo es la principal caracter\u00edstica.<\/li>\n
  2. DDoS (Denegaci\u00f3n de Servicios Distribuido). Apunta a bloquear una operaci\u00f3n, desde voltear un equipo hasta congestionar tr\u00e1fico, donde el ataque se produce en simult\u00e1neo desde muchos or\u00edgenes. Suelen usarse redes de \u201cbots\u201d al efecto.<\/li>\n
  3. Phishing. El conjunto de t\u00e9cnicas y \u201cartima\u00f1as\u201d para ganar la confianza de la v\u00edctima y guiarla a realizar acciones que no deber\u00eda hacer.<\/li>\n
  4. Gusano inform\u00e1tico (worms). Se propagan usando generalmente fallas de los sistemas, infectando la mayor cantidad de equipos posibles, antes de la acci\u00f3n espec\u00edfica. Usan principalmente el email como medio.<\/li>\n
  5. Troyanos. Se presentan como un elemento inofensivo. Buscan principalmente acceder empleando backdoors en los sistemas y apuntan a robar informaci\u00f3n (credenciales de acceso)<\/li>\n
  6. Exploits de d\u00eda cero. Es un c\u00f3digo malicioso que buscan una falla desconocida no s\u00f3lo para el usuario, sino tambi\u00e9n por el fabricante. Lo de d\u00eda cero, hace referencia a que muchas veces esta informaci\u00f3n se obten\u00eda pirateando la PC de los desarrolladores del software en cuesti\u00f3n, antes de que este saliera al mercado.<\/li>\n
  7. Botnets. Es generalmente un conjunto de robots inform\u00e1ticos que se ejecutan coordinadamente buscando, vulnerabilidades, errores o fallos de seguridad, prueba de fuerza bruta contra passwords poco robustas.<\/li>\n<\/ol>\n

    Conclusiones<\/b><\/h2>\n

    La guerra inform\u00e1tica est\u00e1 plenamente activa y l\u00f3gicamente los conflictos se reflejan en el ciberespacio.<\/p>\n

    Si observamos la secuencia de los principales ataques inform\u00e1ticos, y en particular del caso en cuesti\u00f3n \u201cRusia\/Ucrania\u201d muchas acciones en el ciberespacio precedieron o se aplicaron en simult\u00e1neo con las acciones b\u00e9licas en el territorio.<\/p>\n

    Los diversos ataques que d\u00eda a d\u00eda se crean, pueden generar da\u00f1os colaterales a todos quienes se conecten en la Red. De hecho, muchas variantes de los malwares creados con fines estrat\u00e9gicos entre naciones, luego son usados para esparcirlos y atacar a un enorme universo de objetivos, con diversos fines.<\/p>\n

    Ante esta situaci\u00f3n ya no basta simplemente con contar con alg\u00fan sistema de seguridad b\u00e1sico.<\/p>\n

    La sugerencia de ESET \u00ae que compartimos previamente, es que la seguridad va m\u00e1s all\u00e1 de un antivirus.<\/p>\n

    Si analizar la seguridad como un compartimiento estanco en una red de datos, era un error, dado que se debe analizar la seguridad integralmente con todo el conjunto de red y sistemas, hoy en d\u00eda tambi\u00e9n es un error pensar solamente en la tecnolog\u00eda\u2026 es fundamental incluir la Gesti\u00f3n, en la Visi\u00f3n.<\/p>\n

    Seguridad Tecnol\u00f3gica<\/h3>\n

    A todo el universo conocido de seguridad tecnol\u00f3gica que venimos planteando en muchas entradas anteriores, a modo de s\u00edntesis hablamos de:<\/p>\n