Los ciberataques desde China: algunas conclusiones
Por Fernando Acero
Cuando no nos habíamos recuperado del problema de Estonia con Rusia, con aquellos ciberataques que provocaron la intervención de expertos de la OTAN, parece que el problema de los ciberataques chinos va en aumento y por desgracia, está afectando a sistemas muy sensibles.
Es de todos conocido que China es fuente de malware de todo tipo, en especial troyanos y también origen de ataques de phishing, cuyas víctimas preferentes suelen ser bancos españoles (pensarán que somos más fáciles de engañar), pero ahora se habla de ciberataques con origen gubernamental y de alta sofisticación tecnológica. Incluso hay sospechas de que la reciente contaminación de discos duros fabricados en China mediante troyanos, tuviera algo que ver con todo este feo asunto...
Ya alertaron los expertos sobre la adquisición de capacidades de guerra cibernética por parte de las unidades del Ejército de Liberación del Pueblo, pero equivocaron el posible objetivo de dichas capacidades. En lugar de atacar Taiwan, foco de conflicto regional con China, los ataques se han dirigido a Alemania, Nueva Zelanda, India, Francia, Reino Unido y Estados Unidos. Los objetivos de estos ataques han sido variados, desde empresas tecnológicas, o relacionadas con materias primas y energía, a sistemas gubernamentales relacionados con defensa o la energía. Nos podemos hacer una mejor idea de todo lo anterior, mediante este interesante informe de McAfee. En ocasiones, el posible éxito de los ataques ha obligado a la desconexión de ordenadores de la Red, como ocurrió el pasado mes de junio, con la desconexión de 1.500 ordenadores del Departamento de Defensa de los Estados Unidos.
Tal es la preocupación por los ciberataques y sus posibles consecuencias para los intereses nacionales, la seguridad o la economía, que los EEUU incluso se plantea la posibilidad de bombardear físicamente el origen de los mismos, si se da el caso. Mientras, parece que algunas demostraciones militares en el Pacífico van por ese camino, con las consiguiente respuesta por parte de China. El pesimismo es tal, que se está hablando de una nueva “ciberguerra fría”, con opiniones para todos los gustos. No deja de ser curioso que cuando alguien roba las contraseñas de las embajadas sea China una de las naciones que pone el grito en el cielo.
Pero hay un toque de atención procedente de analistas de la OTAN que me preocupa y mucho:
Muchas oficinas estatales ni siquiera saben aún que tienen filtraciones de información. Probablemente, no se conoce todavía el 99% de los casos. Los atacantes utilizan troyanos dirigidos a oficinas estatales concretas. Como éstos se han creado a la medida, la detección de firmas no puede identificarlos y engañan a las tecnologías de detección, por lo que el problema es grave. Los fabricantes de malware tienen capacidades de aseguramiento de calidad especializadas que aplican a todo su software malintencionado para asegurarse de que éste no sea detectado.
Recordemos que a diferencia de los virus, cuya carga de pago se acababa manifestando de un modo u otro, el objetivo del malware actual es que el usuario no se entere que lo tiene y obtener de él toda la información que se pueda, en especial, la que tiene valor económico o de inteligencia. Podemos hacernos otra pregunta ¿cuántas instituciones, empresas o usuarios están preparados para darse cuenta de que les han entrado hasta la cocina y les han robado hasta el papel de la mantequilla?.
Estos mismos analistas de la OTAN, también sostienen que el 90%-95% de las amenazas a los sistemas de información, pueden evitarse con herramientas ordinarias y buenas prácticas de TI, lo que yo pongo en duda en base a los resultados recientes. Aunque también es cierto, que estos expertos avisan de que los últimos ataques procedentes de China, han sido muy sofisticados y deberían llamar la atención de los gobiernos y de las principales empresas de todo el mundo.
Protegerse adecuadamente ante esta situación puede ser muy caro, extremadamente caro, e inútil en algunos casos. No hay que perder de vista, que gran parte del problema tiene como origen el actual monocultura informática que afecta a la sociedad, empresas e instituciones, como ya denunció en su momento Bruce Schneier. No debemos perder de vista tampoco, que nuevas tecnologías también abren nuevas vulnerabilidades, como bien descubrieron los estonios hace unos meses. Ellos tienen el e-dni antes que los españoles y lo usan para casi todo, hasta para las votaciones, pero sufrieron una denegación de servicio en sus instituciones y no lo pudieron usar. Pero como veremos más adelante, el e-dni, lejos de ser una forma de mejorar la seguridad, puede ser fuente de nuevos problemas, si firmamos lo que no debemos mediante engaño.
Lo más lamentable de todo lo anterior, es que a pesar de que estamos sobre aviso, todavía se produzcan accesos a sistemas de alta seguridad y en países altamente desarrollados tecnológicamente. Un caso reciente, que también atribuyen a China, ha afectado a instalaciones nucleares de los Estados Unidos. Esto me provoca cierto pesimismo sobre nuestra capacidad real a la hora de evitar ataques se este tipo. ¿No decían los expertos de la OTAN que bastaban las herramientas ordinarias y buenas prácticas de TI para evitar el 95% del los problemas?, parece que no, a la vista de los resultados. Nos miramos el ombligo y discutimos si el software propietario es mejor que el libre y viceversa y mientras, se los cuelan hasta la cocina gracias a un 95,6% de los sistemas que usan un mismo software propietario, eso sí, cuentan con todas las certificaciones y bendiciones de seguridad habidas y por haber. Dicho de otro modo, que tu airbag esté certificado, no evita que te mates con tu coche.
Pues señores algo falla y estoy con lo que dice Bruce Schneier, tenemos lo que nos merecemos. El problema es fruto de un monocultivo informático inasumible y de nuestra dependencia tecnológica, que se focaliza en determinadas empresas que son monopolios de facto. En este saco también entra algunas empresas de hardware de comunicaciones, cuyos fallos de seguridad están teniendo el mismo efecto negativo por su presencia global y su elevada cuota del mercado.
Mal nos podemos defender si una determinada vulnerabilidad afecta al 95,6% de los ordenadores instalados y para defendernos, hace falta software y hardware adicional en tiempo y en lugar, que siempre tendrá un elevado coste, por el impresionante factor de escala en el que nos movemos. Un euro por ordenador son muchos, pero que muchos euros, lo malo es que no es un euro por ordenador. La naturaleza es muy sabia y creo que no hubiera sobrevivido en la Tierra ninguna especie cuya presencia fuera el 95,6% de la población global y que fuera vulnerable a un determinado virus o bacteria, la extinción habría sido masiva a pesar del factor de seguridad que impone la reproducción sexual ¿no creen ustedes?. De hecho, las infecciones actuales se producen de forma masiva y afectan casi al 100% de los ordenadores a las que se dirigen, sin que se puedan defender por la elevada capacidad de infección, mutación y adaptación del malware de última generación. Eso es así, lo estamos viendo a diario, afectando incluso a sistemas de alta seguridad, sin que parezca que se pueda poner remedio al problema. Yo estoy convencido de que este problema no se soluciona mediante las recetas tradicionales de antivirus y cortafuegos, pero expertos hay que dicen lo contrario.
Si seguimos por el mismo camino, que ya vemos que no es bueno, puede que esta batalla esté perdida de antemano. Natalya Kaspersky, CEO de Kaspersky Lab, admite en unas declaraciones a la revista ComputerWorld, que no tienen soluciones para el ciberdelito:
Pensamos que era posible realizar antivirus y que eran una protección adecuada. Ya no es así." Además asegura que Kaspersky tiene "a 50 ingenieros analizando el nuevo malware y buscando formas de bloquearlo, pero con 200 nuevas muestras por día, y en aumento, el trabajo se hace arduo". "Ninguna compañía antivirus puede venir y decirte que puede manejarlo todo. Consideramos responsable hacerlo saber a la gente de forma clara.
Desde mi punto de vista, una forma de protegerse "naturalmente" sería aumentando la competencia en el mercado del software, evitando los monocultivos informáticos y generando una mayor diversificación en las plataformas mediante el fomento de las alternativas a todos los niveles. Tenemos que evitar el paso transparente del malware a través de todas los sistemas de una organización, que es lo que parece que no podemos evitar con los bálsamos de Fierabrás "tradicionales".
Pero como están las cosas, ese objetivo de diversificación tecnológica parece inviable y aunque les estamos viendo las orejas al lobo y en ocasiones, incluso estamos sintiendo sus terribles dentelladas en el trasero, todavía no percibo una voluntad clara y decidida para solucionar el problema, ni en las instituciones, ni en la sociedad, ni en las empresas.
También estoy convencido de que que hay que mejorar la cultura de seguridad a todos los niveles de la sociedad. Creo que la conferencia impartida durante el DISI 2007 por Sergio de los Santos, de Hispasec, sobre la Evolución del Malware [PDF], es más que esclarecedora y muestra el elevado nivel de conocimientos que es necesario tener, si no se quiere tener problemas. En el escenario presentado, bastaba hacer clic sobre un banner para ser infectado y de nada valían los certificados digitales, el e-dni, o las comunicaciones cifradas, el problema estaba a nivel de usuario y en su navegador, aterrador y desconocido por el gran público sin duda.
También nos debe abrir los ojos un informe del SANS Institute [PDF] sobre los 20 riesgos más importantes a la seguridad en Internet, "los usuarios que son fácilmente engañados y las aplicaciones creadas a medida”, se encuentran en los dos primeros puestos y se conforman de este modo, como los principales objetivos para los atacantes. Hispasec reconoció en un estudio reciente y a pesar de como están las cosas por el mundo, que "la seguridad no es una prioridad para los usuarios", o quizás, podemos decir que "la seguridad sigue sin ser una prioridad para los usuarios". Puede que esta postura de los usuarios sea el fruto no deseado de la cultura lanzada por algunas empresas de software, de que la "informática es apta para todo el mundo" y de que "todo es sencillo y automático", convirtiendo el "user friendly software" en "red hot chili suicidial challenge". Gracias a ello, los usuarios solamente se acuerdan de la seguridad de sus sistemas cuando les limpian la cuenta y desgraciadamente, estos afectados son cada día más numerosos.
Mientras, las noticias más o menos alarmantes sobre ciberataques se suceden en la prensa e Internet y las soluciones que nos vienen del poder legislativo, casi siempre pasan por el recorte de las libertades públicas y ejemplos de ello, los tenemos variados en los últimos tiempos, lo que evidentemente no soluciona el problema, e incluso, puede que empeore la situación.
Copyleft 2007 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
- 2072 lecturas
Twitter
Mal vamos, Kriptopolis
Entre éste y los últimos comentarios aparecidos en esta web, estoy detectando un cierto nivel de paranoia. En este artículo concretamente profetizáis que se cierne el apocalipsis informático (¡guerra fría nada menos!) pero no dais muchas bases para secundarlo.
Sobre la noticia de la filtración en dos centrales nuecleares de EEUU, simplemente leyendo el link que ofrecéis o éste otro, és fácil darse cuenta de que el problema yace en un desconocimiento descomunal por parte de los usuarios sobre seguridad informática y buenas prácticas de TI. Aparte de que ningún sistema realmente crítico (teniendo en cuenta que hablamos de centrales atómicas) se puso en peligro, sólo bases de datos de empleados, algo que por desgracia pasa casi a diario en empresas de todo el mundo pero debido precisamente a una cultura de seguridad de sistemas pésima. Que casualmente coincide con lo que predican los analistas de la OTAN. A los que también publicáis pero a la vez desmerecéis porque los "ponéis en duda" basandoos en reciente estudios que no indicais.
Por cierto, creo que el link al primer PDF (Evolución del Malware) está mal, ya que ahí no se menciona nada de elevado nivel de conocimientos, más bien se dicen 4 frases bonitas sin aportar realmente nada.
Y el resto de links solo refuerzan, una vez más, el discurso de la OTAN con el que coincido plenamente. No es ninguna novedad que hay miles de empleados usando sistemas informáticos que no tienen la más remota idea de seguridad. Tampoco es ninguna sorpresa que el SO más extendido del mundo no es un punto de referencia en seguridad (y en otras áreas pero no es el caso). ¿Hace falta clamar a los cielos por esto? ¿Ha cambiado algo respecto a hace, pongamos, 6 años? ¿Cuál es el sentido de este artículo?
En serio, estoy confuso respecto al tono que están tomando algunos de los últimos artículos publicados en esta página. ¿Os habéis planteado relajaros un poco y tomaros unas vacaciones? No lo digo con sarcasmo ni mala intención: desconectar de vez en cuando hace milagros.
Mejor no se puede ir, kriptopolis
A mi me parece todo un lujo poder contar en este sitio con la version de un alto mando del Ejército del Aire, como es el Sr. Acero, si no me equivoco.
Estimado amigo, flaco favor haces..
Ante todo quiero decir que mis comentarios en este foro y en otros, y en especial los relacionados con la seguridad informática o el software libre, siempre los he hecho a título personal, nunca institucional. De hecho, mi trabajo no está relacionado con ninguno de estos temas y creo que es importante aclararlo.
Desgraciadamente soy consciente de que este comentario lejos de favorecer, tal como están las cosas, lo único que hará es alimentar a más de un troll que comenzará a descalificar a las Fuerzas Armadas y a los que a ellas pertenecen. Aunque estas personas se descalifican solos ante muchos de los que asistimos a este foro, no deja de ser un espectáculo desagradable para muchos y sobre todo, hay que tener en cuenta que no hay que contestarles, recuerda, "don't feed the troll" por mucho que quieras.
Desagradable situación que sin duda, se verá facilitado por el hecho no banal de que en este foro se permitan los posts anónimos. Es evidente que hay más de uno que entiende muy mal lo que significa la libertad, la libertad de expresión y el respeto. Ocasiones de comprobarlo he tenido muchas desgraciadamente y creo que esta no será la excepción de la regla.
Por otro lado, si a partir de ahora cualquier post que yo ponga en este foro se deriva, como se está derivando este, a temas que nada que tienen que ver con la seguridad, criptografía o el software libre, que son mis pasiones en mi tiempo libre y a las que aporto mi granito de arena.
Pero yo no he venido aquí para que cuatro anónimos me insulten y descalifiquen con las garantías que les proporciona el anonimato, por lo que sintiéndolo mucho, si las cosas siguen así no tendré más remedio que dejar de participar en él puesto que tampoco soy nadie para solicitar al administrador que reconsidere algunas cosas y yo soy lo que soy, con mucho orgullo y no lo puedo evitar.
Una cosa es discrepar en opiniones, con mayor o menor vehemencia y otra cosa muy distinta es lo que veo que llegará en breve.
Un saludo, Fernando Acero
Yo te apoyo
Te apoyo plenamente en lo que has escrito, y soy anónimo...
Me parece que es la primera vez que escribo por aquí. Espero que no te desanimes por el voceras cantamañanas de turno, que como de costumbre no se entera ni de en que mundo vive.
Así que aunque no soy un profundo seguidor de Kriptópolis, y solo leo lo que me interesa, ojalá te siga leyendo por aquí.
Un saludo.
Muchas gracias
Muchas gracias por tus palabras de apoyo. Esta mañana recordé que había un interesante artículo sobre este asunto aquí en Kriptópolis que sería bueno volver a leer:
http://www.kriptopolis.org/potencia-internet-la-mala-educacion
El caso es que en ocasiones esto te cansa, ya no es el escribir y contestar algún comentario, es un desgaste físico y mental considerable. Al final, te lo planteas, si tu no vives de esto y si al fin y al cabo no te lo agradecen, puede que sea mejor dejarlo ¿no?.
No es la primera vez que lo veo, algunos han logrado que listas concurridas y animadas acabasen tan desiertas como una chapa orbitando la Luna, pero es lo que hay y es complicado de evitar. Opinar es gratis y si encima lo puedes hacer anónimamente para que nadie sepa el nombre del que ha metido la pata, o el origen de las descalificaciones, mejor que mejor.
Un saludo, Fernando Acero
Vaya, pues yo como anónimo
Vaya, pues yo como anónimo no apoyo que dejes de escribir ni mucho menos, pero sí que tengas en cuenta que el hecho de escribir en primera página(que desconozco si es derecho de todos) te pone en situación de diana humana. Y es obvio y completamente natural. CUALQUIER opinión es válida y aceptable a la vez que criticable. Entonces, sigue escribiendo si quieres pero no te quejes de que te están dando mucha guerra porque sencillamente 'es lo que hay'.
Algo en contra tengo que decir yo ahora sobre su comentario: Me parece que quién no tiene muy claro lo que es la libertad de expresión es usted mismo si lo que inquiere es que sólo porque los comentarios no vayan a su favor o algunos sean desmerecedores de ser publicados deberían ser censurados...
Ahí queda eso
Creo que no te has leído todos los comentarios
Opinar es gratis y muy loable, lo que no puede ser es que de la crítica o discrepancia educada, se pase al insulto o la descalificación, que creo que por ese lado van los tiros de la queja. Hay comentarios, que se pueden considerar cláramente ofensivos, en especial, dirigidos hacia la profesión del Sr. Acero, algo que siento que haya pasado el filtro del administrador.
También hay que decir, que hace cierto tiempo eso no era muy normal en este foro, pero por lo que veo, se está convirtiendo en moneda de cambio, sin duda una pena y es para pensárselo dos veces si vale la pena escribir algo en este foro.
Sería bueno que antes de opinar te leyeras todos los comentarios y no hicieras juicios de valor sobre el que no tiene claro lo que es la libertad de expresión, que parece que tu también haces mal uso de ella.
Ahí queda eso.
Estoy contigo
Independientemente de la formacion, ideas y trabajo que realizamos cada uno de nosotros, esto no debe ser una traba para que se puedan exponer temas y opiniones personales.
Personalmente los comentarios de Fernando, me parecen de un nivel excepcional y lamentaria que disminuyeran.
Un saludo
(Agur eta ondo ibili)
Mon el del Ibiza
Un saludo
(Agur eta ondo ibili)
Mon el del Ibiza
Veamos, veamos estimado anónimo.
Desde que se permiten los comentarios anónimos lo que ha bajado es la calidad de los mismos, sobre todo, cuando son destructivos y no aportan nada al debate.
a) En relación con la "ciberguerra fría" lo que digo es "El pesimismo es tal, que se está hablando de una nueva “ciberguerra fría”, con opiniones para todos los gustos". Ya veo la opinión suya aunque no la justifica en absoluto. El enlace que pongo es a lo que muestra Google por la búsqueda "ciberguerra fría", ni más ni menos, algunos lo justifican otros no, el amarillismo periodístico hace también lo suyo, pero ahí está el término. Le repito que a pesar de su reproche, usted tampoco justifica lo contrario con su comentario.
b) En mi artículo no digo que se hayan colado en ninguna central nuclear, lo afectado son "instalaciones nucleares", que no es lo mismo, el que habla de "centrales atómicas" es usted. Por otra parte, aunque se haya afectado solamente a la red de propósito general de dichas instalaciones, no se sabe con seguridad el alcance del ataque y la información que ha podido obtenerse y que estaba almacenada en esos ordenadores. Precisamente ese desconocimiento de los usuarios de los riesgos y amenazas hace que en esos ordenadores pueda haber información que no debería estar. La seguridad es incómoda y eso hace que en ocasiones no se recurra a ella cuando se debería recurrir generando grandes brechas de seguridad. Respecto a lo que usted comenta del problema del desconocimiento de las TI y los problemas que ello supone para la seguridad, creo que queda bien justificado en mi artículo. Hay algunos estudios muy interesantes sobre ello.
c) El pdf no está mal es el resumen de la conferencia, desgraciadamente todavía no está colgada en la red la presentación completa. En esas 4 frases "bonitas" se encierra un gran problema de seguridad para los usuarios, si usted no quiere verlo así, es su problema. En especial "El malware actualmente ha llegado a un punto de sofisticación tal que ha conseguido plantar cara a la industria antivirus. Los usuarios, si bien no perciben peligros epidémicos como hace algunos años, sufren de importantes niveles de infección que afectan directamente a sus bolsillos."
d) Seguramente el problema es que las cosas no hayan cambiado en 6 años que usted menciona y mientras, que el riesgo se ha hecho mucho mayor, con una mayor dependencia de las redes y de los sistemas informáticos. La especialización en el malware es una realidad, sin embargo, es algo que creo que no se está atajando convenientemente.
Mal vamos, Acero.
Si antes estaba algo confuso, ahora ya lo estoy del todo. No me esperaba encontrarme una entrada como la que nos ocupa en esta página, pero lo que esperaba menos todavía es esta respuesta por su parte y de este calibre. Pero vayamos por partes.
Tiene gracia que tache mi mensaje de no aportar nada, cuando eso es precisamente lo que yo le reprocho al suyo (que por cierto, su respuesta sigue sin hacerlo). Le recuerdo que para probar nada hace falta aprobar pruebas, que es lo que le pido. ¿Y usted me las pide a mí? Yo no tengo nada que demostrar, mi base es el status quo: el mayor problema en cuanto a seguridad informática es el desconocimiento de ésta. ¿Acaso me pide que le demuestre que el sol sale por el este y se pone por el oeste? No creo que fuera difícil encontrar algún estudio que lo demuestre pero, ¿hace falta?. Y le agradecería que no desviara el tema. ¿Dónde están esos resultados según los cuales usted cree que "sólo" con buenas prácticas de seguridad no se podrían evitar el 90-95% de las brechas de seguridad?
En cuanto a los términos empleados, no se ande por las ramas: usted está haciendo lo mismo que a los medios que critica, esto es recurrir al amarillismo. Deja caer términos como "instalaciones nucleares" o "ciberguerra fría", no los apoya pero tampoco los rebate (que hubiera sido fácil y esa suele ser la tónica en los artículos de esta página y que tanto me gustan) y por tanto dejando que el trueno que las sigue haga el resto. No me negará que el empleo de esta técnica es cuanto menos sospechoso.
En cuanto al PDF que le mencionaba, no demuestra nada . Puede que la conferencia que le acompañe esté muy bien o lo que dice sea muy cierto e importante, no lo niego. Pero ese documento por sí solo no aporta nada que es lo que yo le reprocho. Y su respuesta se basa simplemente en que "no quiero verlo" (¿?).
Para acabar, estoy totalmente de acuerdo con el último apunte. Que el malware se especializa no sólo es una realidad, sino que es evidente (si se está al corriente de la situación claro).
Considero el texto original desproporcionado y más todavía su respuesta. Parece como si se hubiera tomado usted mi entrada anterior como un ataque personal o algo por el estilo. Que conste que esa no era mi intención.