Desde Rusia con amor

EnriqueFojonChamorro
Enrique Fojón Chamorro
Sub-director de THIBER, the cyber security think tank y miembro del Spanish Cyber Security Institute de ISMS Forum Spain. 

Cuando la Unión Soviética dejó de representar una amenaza existencial para Estados Unidos a raíz de la caída del Telón de Acero, Washington empezó a construir un discurso simplista acerca de la nueva amenaza china, un peligro que también se cernía sobre el ciberespacio. Este discurso funcionó hasta que a mediados del pasado año Edward Snowden filtró miles de documentos en los que se evidenciaba como la Agencia Nacional de Seguridad (NSA) espiaba a sus propios ciudadanos, aliados, socios y enemigos.

Hasta 2013, Estados Unidos y China parecían vivir cómodos en este escenario maniqueo donde ninguna otra potencia mundial parecía hacerles sombra en lo que a ciberdisuasión se refiere. Pero nada más lejos de la realidad: aunque China siempre fue y será un problema, para Estados Unidos y otras muchas naciones la principal amenaza cibernética proviene de Moscú.

Rusia, bien como la principal república de la extinta Unión Soviética o como estado independiente, siempre ha tenido un papel protagonista en los eventos más relevantes acontecidos en los sesenta años de historia del ciberespacio. La puesta en órbita del Sputnik no solo supuso una victoria incuestionable en la carrera espacial; sino que además propició el comienzo de la guerra por el ciberespacio que todavía se libra en la actualidad. Y es que fue precisamente el éxito del Sputnik lo que provocó que el presidente Eisenhower autorizase la creación del Defence Advanced Research Projects Agency (DARPA) y que una década después ARPANET, el precursor de Internet, fuese una realidad.

En Junio de 1982, se producía una enorme explosión en un gasoducto soviético en Siberia, se habla de una potencia de 3 kilotones, que lo destruyó completamente. Supuestamente, ésta se debió a un ciberataque contra los sistemas SCADA del gasoducto por parte de alguna agencia de inteligencia estadounidense. Este episodio no ha sido confirmado ni por el atacante ni la victima pero forma parte ya de la historia del ciberespacio al ser  considerado por muchos como el primer ciberataque contra una infraestructura critica estatal.

En abril y mayo de 2007 Estonia fue víctima de un ciberataque masivo y coordinado. Muchos de los servicios online proporcionados por actores públicos y privados estonios quedaron parcial o totalmente interrumpidos debido a un conjunto de ciberataques supuestamente respaldados por el Kremlin. Este ataque no solo fue el primer ciberataque masivo contra un país sino que además encendió todas las luces de alarma en la OTAN y abrió el debate acerca de si un ataque cibernético entraba en el supuesto contemplado por el Artículo 5 del Tratado de Washington, aquel por el que en caso de un ataque armado contra el territorio de uno de los miembros de la OTAN, el resto de los miembros debería responder de forma colectiva.

En agosto de 2008, Rusia invadía Georgia. Este episodio esclarecía todas las dudas sobre  el modo en el que las tecnologías del ciberespacio se integran y emplean, según las circunstancias operativas de cada momento, en las operaciones militares. Durante la invasión de Georgia, el ejército ruso llevo a cabo un conjunto de ciberoperaciones para conservar la libertad de acción en la dimensión del campo de batalla que constituye el ciberespacio y el espectro electromagnético y, al mismo tiempo, negó  tal libertad al ejército georgiano en el momento y espacio oportunos para permitir diferentes acciones operativas en las otras dimensiones del campo de batalla (mar, tierra y aire).

En octubre de 2010, el FBI detecto que el NASDAQ estaba siendo ciberatacado. Este ataque, dirigido al corazón económico del país, hizo saltar todas las alarmas de la  administración estadounidense, en alerta ante la creciente actividad del cibercrimen de origen ruso. El National Cybersecurity and Communications Intergration Center estadounidense (NCCIC) coordinó la investigación del incidente en la que participaron activamente el FBI y la NSA. El análisis final evidencio que las tecnologías y técnicas utilizadas eran muy similares a las empleadas por la FSB – servicio secreto ruso – en otras ocasiones. Además, la investigación determino que el objetivo del ataque era conocer el funcionamiento de NASDAQ y no, a priori, su inutilización.

Además, los APT´s conocidos más sofisticados son de origen ruso. Entre ellos se encuentra Uroburos, clasificado por el Centro Criptológico Nacional (CCN) como el malware más sofisticado de los conocidos hasta la actualidad, por delante incluso del archiconocido Stuxnet.

En definitiva, no cabe duda de que las capacidades cibernéticas rusas se encuentran entre las principales preocupaciones de los departamentos de seguridad nacional y agencias de inteligencia de muchas naciones del globo.

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.

Aventuras de un CISO en Rooted

Roberto Baratta
Roberto Baratta
CISO en Novagalicia Banco.

Tengo que reconocer que, tras dos experiencias en Rooted, no solo le he cogido cariño si no que me siento como en casa. Quién lo iba a decir hace un año, cuando me convencieron para dar una ponencia…., ¡y repetir este año!

Desde la posición de un CISO de una “gran empresa”, Rooted no deja de suponer una mezcla de desconfianza, curiosidad y excitación. El talento por metro cuadrado es deslumbrante, la juventud (bueno, hay de todo ya…) insultante y el desparpajo arrebatador. En definitiva, un cóctel explosivo para los que nos dedicamos más a la gestión que a la técnica y el “counterfeiting”.

En mi reciente segunda experiencia he constatado para mi deleite que el nivel nacional del ramo es excelente, por ser comedido. Uno ya ha pateado mundo en esto y siempre tenemos ese deje de que lo de fuera…, yo que sé…  Y lo que más me ha gustado, y le da una perspectiva y futuro a la profesión (y a Rooted), es que la orientación empresarial es muy relevante. Sin dejar la investigación y el “pure hacking”, nuestros profesionales (y los que están en ciernes) ya van mostrando una buena vocación empresarial, orientación al servicio y al cliente, que me hubiera costado creer de no haberlo constatado con estas, mis orejas. A ver si somos capaces de dar cabida a este talento en la piel de toro, sin proselitismos ni demagogias, que por ahí fuera también se está muy bien, se aprende mucho y ellos vienen aquí también, ¡qué caray!

Dicho esto, la fase de transformación del I+D+i en seguridad a productos y servicios aún tiene camino por delante. Supongo que el emprendimiento es una buena vía, a pesares de los pesares, de lo tremendamente complejo que es iniciar un negocio o una empresa en esta querida tierra nuestra. Esta transformación también requiere de normalización en la cualificación y formación. Tenemos un guirigay de títulos, nombres, cursos, masters que poco ayudan a dejar claro al mercado quiénes somos, qué hacemos y de qué sabemos. Condición sine-qua-non para ser reconocidos como sector y que el regulador ampare las competencias y funciones que otros, como la seguridad física o seguridad privada, si tienen. Iniciativas hay, talento y ganas también, ¿qué falta? Quizás sentido común…

De lo más relevante, bajo mi punto de vista, la proliferación de canales de exflitracion en APT’s avanzados utilizando técnicas muy novedosas. Incluso diseñando protocolos propietarios para aprovechar WiFi, por ejemplo, como canal. APT’s por cierto que están cobrando un nuevo protagonismo al pasar del mercado más “tradicional” del ciberdelito y fraude, a formar parte de un hipotético arsenal para la ciberguerra. Cabría pensar en un futuro que crear, disponer o estar en disposición de utilizar uno de estos artefactos, pudiera ser un delito de posesión de “armas de guerra” como hoy en día ya constituye prueba en los casos más relevantes de hacktivismo o ciberdelito.

Divertido también encontrar a mis colegas del mundo más “serio”; permitidme la expresión, de consultoras, operadoras, partners, bancos “camuflados” tras dejar el traje de diario y aparecerme en camiseta negra y vaqueros…, vamos que estábamos todos. Que satisfacción, además, me resultó comprobar que entiendo la mayor parte de las ponencias…, ¡no hay como esforzarse!!

Larga vida y salud a Rooted, tenéis un incondicional en mí, ya lo sabéis.