Consejos para Prevenir, Detectar y Responder A Los Ciberataques
Consejos para Prevenir, Detectar y Responder A Los Ciberataques
Consejos para Prevenir, Detectar y Responder A Los Ciberataques
insight
Este documento es una copia autorizada para uso particular del Sr. Freire Cobo, 20/07/2017
¿Q
ué tienen en común un débil, por lo que es sumamente vulnerable a un
ordenador portátil, un te- ciberataque.
léfono móvil, un rúter, un Casi todos conocemos las herramientas
sistema de control indus- habituales de los ciberataques –programas ma-
trial, un coche, un Mars ró- lignos, botnets y suplantación de la identidad– y
ver y un sistema armamentístico? Todos ellos adoptamos las medidas preventivas habituales:
integran el firmware: el software que controla instalamos firewalls, filtros de correo no desea-
los circuitos electrónicos de los dispositivos do y software antivirus; evitamos hacer clic en
para ejecutar correctamente las instrucciones los vínculos, descargar archivos adjuntos o di-
que manejan físicamente el hardware. vulgar datos personales en emails no solicitados
A diferencia de lo que ocurre con el siste- enviados por desconocidos. En gran medida,
ma operativo de un ordenador o el software esto impide los ataques de los hackers que bus-
de una aplicación, la seguridad del firmware es can robar datos o extorsionar a sus víctimas.
Pero están produciéndose nuevos tipos de los funcionarios alemanes para prevenir inci-
ciberataques para los cuales apenas existen so- dentes parecidos en el futuro: separar la red de
luciones comerciales. Y las consecuencias de negocio de la de producción. Como advirtió un
una agresión a un sistema de control industrial, artículo de la revista Wired, “para impedir que
un coche, un róver o un sistema armamentísti- los hackers salten de una red a otra y accedan de
co son muchísimo más graves que el cuelgue de forma remota a sistemas críticos por Internet”
tu ordenador o tu móvil. Las molestias que im- hay que tener en cuenta que “una red solo puede
plica, por ejemplo, tener que cancelar tu tarjeta considerarse verdaderamente segura si no está
Este documento es una copia autorizada para uso particular del Sr. Freire Cobo, 20/07/2017
de crédito o perder las fotos de tus vacaciones conectada a Internet ni a ningún otro sistema
(de las que deberías haber hecho una copia de que a su vez esté conectado a Internet”.
seguridad en la nube) no son equiparables a un Y ahí yace el gran reto de la era del Inter-
accidente nuclear o la explosión de unos altos net industrial o el Internet de las cosas, pues
hornos. la tendencia es hacia una digitalización y una
Pensemos en estos dos casos reales. En conexión en red de los dispositivos físicos cada
2010, funcionarios iraníes notaron que las cen- vez mayores. Las empresas suelen ensalzar la
trifugadoras utilizadas para enriquecer uranio ganancia en eficiencia, el ahorro en costes y
fallaban sin razón aparente. Además, otros la flexibilidad que brinda la industria 4.0. En
ordenadores se colgaban y reiniciaban miste- concreto, las alemanas prevén invertir en ella
riosamente. Por casualidad, descubrieron que 40.000 millones de euros anuales y que más del
un virus malicioso conocido como Stuxnet, 80% de su cadena de valor esté muy digitaliza-
programado específicamente para sabotear da en 2020, según una encuesta de Pricewater-
máquinas, había entrado en sus sistemas. houseCoopers. Pero los dispositivos industria-
Cuatro años después, una planta siderúr- les interconectados son un blanco demasiado
gica alemana no pudo parar sus altos hornos fácil. Y, como decía antes, hay muchísimo en
porque un malware había comprometido el juego cuando se produce un ciberataque in-
sistema que los controlaba. Hubo “daños ma- dustrial.
sivos”, según un informe gubernamental sobre En este artículo explico cuándo y cómo el
el incidente, aunque jamás se hizo público ni su firmware industrial puede sufrir un ciberataque
verdadero alcance ni el nombre de la empresa, y qué puedes hacer para defender tu empresa.
todo un indicativo de la gravedad con que las Todo ello basándome en los últimos estudios
autoridades trataron este caso de sabotaje in- dirigidos por Fraunhofer, un consorcio de cen-
dustrial. tros de investigación europeos especializados
Estos fueron los primeros ataques de la his- en los aspectos legales, organizacionales y téc-
toria a equipos industriales con la intención nicos de la seguridad de las TI, entre muchas
de causar daños físicos (a diferencia de los que otras cuestiones relevantes para la industria y
se dirigen a los ordenadores de una empresa o las empresas en general. Los directivos ilusio-
una persona para robar datos o dinero). Pero nados con las posibilidades de la industria 4.0
aún más inquietante es el consejo que dieron deben comprender el alcance de las amenazas
que plantea la manipulación del firmware y to-
mar medidas para proteger su empresa.
RESUMEN EJECUTIVO
Maneras en que puede infectarse
Basándose en las últimas y evitar un ciberataque de el firmware
investigaciones del Instituto consecuencias devastadoras? Empecemos analizando cuándo y cómo puede
Fraunhofer, el autor explica ¿Está preparada para infectarse el firmware de los dispositivos.
cuándo y cómo el firmware afrontarlo si se produce? Los
industrial puede sufrir un directivos ilusionados con las CUÁNDO. LA RUPTURA DE LA CADENA
DE CONFIANZA
ataque y qué pueden hacer las posibilidades de la industria
empresas para defenderse. 4.0 deben comprender el A menudo, los encargados de proteger una red
¿Son conscientes las alcance de las amenazas que sostienen que sus dispositivos funcionan en un
empresas de lo mucho que se plantea la manipulación del entorno cerrado al que solo tiene acceso el per-
juegan? ¿Qué está haciendo la firmware y tomar medidas sonal autorizado, por lo que el sistema es se-
alta dirección para protegerse para salvaguardar su empresa. guro. Sin embargo, un examen de las distintas
fases del ciclo de vida de un dispositivo revela infectar el firmware a través de las actualiza-
los fallos de este argumento. ciones, alguna vulnerabilidad técnica o el uso
de credenciales válidas, un método apto para
DISEÑO Y DESARROLLO. Es la primera fase en la ataques tanto dirigidos como no dirigidos.
que los hackers pueden comprometer un dispo- De todos modos, el acceso remoto es más
sitivo a través de, por ejemplo, la introducción fácil que el físico y es el más probable en un
de una vulnerabilidad o una puerta trasera en ataque dirigido dado que, además del esfuerzo
el diseño. Sin embargo, comportaría que todos adicional que supone acceder físicamente a los
los usuarios de un mismo firmware estarían dispositivos, los hackers corren un mayor riesgo
expuestos a la misma vulnerabilidad. Eso au- de ser atrapados.
mentaría la probabilidad de que cualquiera la Retomando el argumento de antes –que un
detectara y corrigiera, por lo que es poco indi- sistema es seguro porque funciona en un entor-
cado para un ataque dirigido, es decir, con un no cerrado y solo el personal autorizado tiene
objetivo concreto. Además, exige un alto gra- acceso a los dispositivos–, vemos que ambas
do de conocimiento y acceso interno. Así, aun precauciones solo afectan a la fase de opera-
siendo posible en teoría, esta opción es compa- ción. E incluso así, no descartan completamen-
rativamente onerosa para los hackers. te los ataques internos.
Ante esta realidad, las medidas de ciberse-
PRODUCCIÓN. La manipulación del firmware en guridad de una empresa se han de acompañar
esta fase implica alterarlo antes o después de de otras adicionales, más especializadas téc-
su integración en el dispositivo. Puede darse en nicamente, que cubran los ataques internos y
una única pieza del firmware o en toda una cate- los producidos en las demás fases. Es la única
goría. Es una acción apta para un ataque tanto manera de dotar a los sistemas críticos de un
dirigido como no dirigido, pero, como ocurre nivel de protección aceptable.
en la fase anterior, precisa conocimiento inter-
no, sobre todo del proceso de introducción del CÓMO. MÉTODOS PARA INFECTAR
DISPOSITIVOS MANIPULANDO EL FIRMWARE
firmware en los dispositivos, así como acceso a
dicho proceso. La siguiente lista, aunque no exhaustiva, resu-
me los principales métodos de ataque emplea-
TRANSPORTE. Es decir, interceptar el hard- dos y el nivel actual de seguridad de la mayoría
ware durante su envío al cliente e introducir el de dispositivos. Puedes cotejar con ella la segu-
firmware manipulado antes de seguir hacia su ridad de los sistemas de tu empresa.
destino. Como esta acción exige acceso físico,
resulta más apta para un ataque dirigido que ACTUALIZACIÓN DEL FIRMWARE. Muchos
para uno no dirigido. También precisa de co- dispositivos ofrecen la posibilidad de
nocimiento interno, en especial qué hardware actualizar su firmware. Por desgracia, este
ha pedido la empresa objeto del ataque y los proceso no suele ser lo bastante seguro.
detalles sobre su entrega. Dos de los errores típicos son la falta de una
autentificación obligatoria de toda persona
OPERACIÓN. Una vez que el dispositivo empie- que intente instalar nuevo firmware y la falta de
za a funcionar, se puede infectar el firmware de verificación de las firmas. El primero permite
dos maneras: de forma remota o en las insta- que cualquier persona instale el programa,
laciones. En el primer caso, alguien sin acceso mientras que el segundo permite la instalación
físico al dispositivo es capaz de manipular o de cualquier programa.
APROVECHAR UNA VULNERABILIDAD. Los hackers se desplaza por Internet y bombardea los servi-
han de saber no solo qué vulnerabilidad existe dores con ataques distribuidos de denegación
sino cómo aprovecharla. de servicio (DDoS). En octubre del año pa-
Herramientas online como Metasploit y sado, un ataque Mirai hizo caer gran parte de
Routerpwn permiten a las empresas realizar Internet en Estados Unidos y Europa. Lo más
tests de diagnóstico de los sistemas para dar preocupante de Mirai es que se aprovecha del
con posibles fallos o vulnerabilidades de segu- Internet de las cosas, lo que permite a los hac-
ridad. Sin embargo, utilizar estas herramien- kers no solo infectar dispositivos conectados a
tas no exime a tu empresa de tener sus propias Internet sino controlarlos.
medidas de seguridad, ya que, al ser de código El hecho de que los dispositivos indus-
abierto, cualquiera puede realizar los mismos triales suelen usarse durante mucho tiempo
tests. Hacer público un fallo de diseño puede complica las cosas. Llega un momento en que
ayudar a las empresas a corregirlo, pero tam- dejan de desarrollarse actualizaciones para el
bién a los hackers a aprovecharlo para atacarlas. firmware, por lo que las vulnerabilidades des-
Aunque fue de software y no de firmware, cubiertas tras el periodo de asistencia posventa
el ataque del ransomware WannaCry de mayo pueden quedarse sin corregir.
de 2017 ilustra lo que puede pasar cuando no Además, el firmware suele incorporar soft-
se corrige debidamente una vulnerabilidad. El ware de terceras partes. Si se encontrara una
Servicio Nacional de Salud británico, Telefóni- vulnerabilidad en ese software, podrían verse
ca, FedEx y Deutsche Bahn fueron algunas de afectados una gran cantidad de dispositivos.
las organizaciones cuyos servicios se vieron Un caso muy conocido es el error Heartbleed
afectados. Si hubieran revisado y corregido sus en OpenSSL, una herramienta criptográfica
sistemas antes de que los atacantes aprovecha- de código abierto. Pese a la detección del error
ran esa vulnerabilidad, unos 200.000 ordena- y los intentos de corregirlo hace tres años, se
dores ubicados en 150 países podrían haberse cree que muchos fabricantes cuyos dispositi-
salvado del ataque. vos incorporan OpenSSL siguen siendo vulne-
En un contexto industrial, Mirai es poten- rables a ataques remotos.
cialmente más peligroso. Este código maligno
CREDENCIALES ESTÁNDAR. La mayoría de fabri-
cantes envían sus dispositivos con credencia-
EL AUTOR les estándar. Así, todos los dispositivos de un
mismo tipo tienen las mismas credenciales
Elmar Padilla es jefe del la Seguridad de las Tecno- preinstaladas, por lo que los hackers pueden
departamento de Ciberanálisis logías de la Información de acceder a través de ellas.
y ciberdefensa del Instituto Alemania y diversas fuerzas y
Fraunhofer de Comunicación, cuerpos de seguridad– sobre MEMORIA COMPARTIDA. En ocasiones el fir-
procesamiento de información cuestiones de ciberseguridad, mware se almacena en el mismo sistema de
y ergonomía en Alemania. como el cibercrimen y el ciber- archivos, como los datos del programa, o
Junto con su grupo de inves- espionaje. Ha publicado más comparte memoria con otros componentes.
tigación, asesora a organis- de 50 artículos en congresos Si los hackers logran acceder con permiso de
mos públicos nacionales e internacionales y en revistas escritura al sistema de archivos o a la memo-
internacionales –entre ellos el especializadas. Es doctor en ria compartida, pueden manipular el firmware
Ministerio Federal de Defensa Ciencia Informática por la aprovechando una vulnerabilidad del sistema
alemán, la Oficina Federal para Universidad de Bonn. operativo o el acceso directo a la memoria.
cómo ocurrieron. De ese modo, podrá aumen- VERIFICACIÓN DE LA INTEGRIDAD. Mientras las
tar sus defensas y protegerse mejor frente a firmas criptográficas verifican la integridad
futuras ofensivas. del firmware antes de introducirlo en un dis-
positivo, aquí el objetivo es detectar cambios
ESCÁNERES PARA EL MALWARE. Suelen basarse en el programa durante su ejecución en un dis-
en la firma y buscan código maligno y amena- positivo. Una manera de hacerlo es sumar la
zas conocidas, de forma parecida a los progra- verificación de las partes fijas de la memoria
mas antivirus de los PC. Se pueden emplear que se usan durante la ejecución y comparar-
Este documento es una copia autorizada para uso particular del Sr. Freire Cobo, 20/07/2017
para escanear el firmware o sus actualizacio- la con la de las partes que realmente deberían
nes durante su ejecución. Una advertencia: usarse.
suelen detectar solo los patrones de ataque
conocidos. RESPUESTA A LOS CIBERATAQUES
EQUIPO DE RESPUESTA. La seguridad al 100% no corregir las vulnerabilidades que pueda haber
existe. Puede darse un ciberataque en cual- y, por encima de todo, detectar otras.
quier momento. Cuando suceda, el tiempo lo Seguida de la investigación, la conciencia-
es todo. Es crucial poder restaurar la normali- ción sobre estos problemas es el otro gran fac-
dad en las operaciones puesto que si, por ejem- tor necesario para mejorar la seguridad. ¿Hasta
plo, la producción se ve afectada, los costes su- qué punto lo está tu empresa? ¿Qué medidas
birán rápidamente. Asegúrate de contar con las debería adoptar la alta dirección para evitar un
herramientas, las tácticas y los procedimientos ciberataque de consecuencias devastadoras?
necesarios para afrontar este tipo de inciden- ¿Están preparadas las empresas para afrontar-
tes. En este sentido, sale a cuenta montar un lo si se produce? Ahora que la industria 4.0 se
equipo de respuesta y tenerlo listo para cual- extiende por todo el mundo empresarial, debe-
quier contingencia. mos asegurarnos de que pisamos terreno firme
en este tema.
HERRAMIENTAS FORENSES PARA LAS TI. Para ha-
cer su trabajo como es debido, el equipo ne-
cesitará herramientas de apoyo. En concreto,
herramientas forenses de las TI para analizar
el tráfico, los discos duros, la memoria y otros
elementos.