Ataque cibernetico - Cyberattack

Un ciberataque es cualquier maniobra ofensiva que tenga como objetivo sistemas de información , redes , infraestructuras o dispositivos informáticos personales. Un atacante es una persona o proceso que intenta acceder a datos, funciones u otras áreas restringidas del sistema sin autorización, potencialmente con intenciones maliciosas. Dependiendo del contexto, los ciberataques pueden ser parte de una guerra cibernética o un ciberterrorismo . Un ciberataque puede ser empleado por estados soberanos , individuos, grupos, sociedad u organizaciones, y puede tener su origen en una fuente anónima. Un producto que facilita un ciberataque a veces se denomina arma cibernética .

Un ciberataque puede robar, alterar o destruir un objetivo específico pirateando un sistema susceptible. Los ciberataques pueden ir desde la instalación de software espía en una computadora personal hasta el intento de destruir la infraestructura de naciones enteras. Los expertos legales buscan limitar el uso del término a los incidentes que causan daños físicos, distinguiéndolo de las violaciones de datos más rutinarias y las actividades de piratería más amplias .

Los ciberataques se han vuelto cada vez más sofisticados y peligrosos.

Se pueden utilizar análisis de comportamiento del usuario y SIEM para ayudar a prevenir estos ataques.

Definiciones

Desde finales de la década de 1980, los ciberataques han evolucionado varias veces para utilizar las innovaciones en la tecnología de la información como vectores para cometer delitos cibernéticos . En los últimos años, la escala y la solidez de los ciberataques ha aumentado rápidamente, como lo observó el Foro Económico Mundial en su informe de 2018: "Las capacidades cibernéticas ofensivas se están desarrollando más rápidamente que nuestra capacidad para lidiar con incidentes hostiles".

En mayo de 2000, el Grupo de trabajo de ingeniería de Internet definió el ataque en RFC 2828 como:

un asalto a la seguridad del sistema que deriva de una amenaza inteligente , es decir, un acto inteligente que es un intento deliberado (especialmente en el sentido de un método o técnica) de evadir los servicios de seguridad y violar la política de seguridad de un sistema.

La Instrucción CNSS No. 4009 del 26 de abril de 2010 del Comité de Sistemas de Seguridad Nacional de los Estados Unidos de América define un ataque como:

Cualquier tipo de actividad maliciosa que intente recopilar, interrumpir, denegar, degradar o destruir los recursos del sistema de información o la información en sí.

La creciente dependencia de la sociedad moderna de la información y las redes informáticas (tanto en el sector público como en el privado, incluido el ejército) ha dado lugar a nuevos términos como ciberataque y ciberguerra .

La Instrucción CNSS No. 4009 define un ataque cibernético como:

Un ataque, a través del ciberespacio, dirigido al uso del ciberespacio por parte de una empresa con el propósito de interrumpir, deshabilitar, destruir o controlar maliciosamente un entorno / infraestructura informática; o destruir la integridad de los datos o robar información controlada.

A medida que los automóviles comienzan a adoptar más tecnología, los ataques cibernéticos se están convirtiendo en una amenaza para la seguridad de los automóviles.

Predominio

En los primeros seis meses de 2017, dos mil millones de registros de datos fueron robados o afectados por ataques cibernéticos, y los pagos de ransomware alcanzaron los US $ 2 mil millones , el doble que en 2016. En 2020, con el aumento del trabajo remoto como efecto del COVID-19 pandemia global, las estadísticas de ciberseguridad revelan un enorme aumento de datos pirateados y violados. Se prevé que el mercado mundial de seguridad de la información alcance los 170.400 millones de dólares en 2022.

Guerra cibernética y terrorismo cibernético

La guerra cibernética utiliza técnicas de defensa y ataque a las redes informáticas y de información que habitan el ciberespacio, a menudo mediante una campaña cibernética prolongada o una serie de campañas relacionadas. Niega la capacidad de un oponente para hacer lo mismo, mientras emplea instrumentos tecnológicos de guerra para atacar los sistemas informáticos críticos de un oponente. El ciberterrorismo, por otro lado, es "el uso de herramientas de redes informáticas para cerrar infraestructuras nacionales críticas (como energía, transporte, operaciones gubernamentales) o para coaccionar o intimidar a un gobierno o una población civil". Eso significa que el resultado final de la guerra cibernética y el ciberterrorismo es el mismo, dañar las infraestructuras críticas y los sistemas informáticos conectados entre sí dentro de los confines del ciberespacio.

El experto en delitos financieros Veit Buetterlin explicó que las organizaciones, incluidos los actores estatales, que no pueden financiarse mediante el comercio debido a las sanciones impuestas, realizan ciberataques a los bancos para generar fondos.

Factores

Tres factores contribuyen a por qué se lanzan los ciberataques contra un estado o un individuo: el factor miedo, el factor de espectacularidad y el factor de vulnerabilidad.

Factor de espectacularidad

El factor de espectacularidad es una medida del daño real logrado por un ataque, lo que significa que el ataque crea pérdidas directas (generalmente pérdida de disponibilidad o pérdida de ingresos) y genera publicidad negativa. El 8 de febrero de 2000, un ataque de denegación de servicio redujo gravemente el tráfico a muchos sitios importantes, incluidos Amazon, Buy.com, CNN y eBay (el ataque siguió afectando a otros sitios al día siguiente). Según se informa, Amazon estimó la pérdida de negocios en $ 600,000.

Factor de vulnerabilidad

El factor de vulnerabilidad aprovecha la vulnerabilidad de una organización o establecimiento gubernamental a los ciberataques. Es posible que las organizaciones sin sistemas de mantenimiento se estén ejecutando en servidores antiguos que son más vulnerables que los sistemas actualizados. Una organización puede ser vulnerable a un ataque de denegación de servicio y un establecimiento gubernamental puede ser desfigurado en una página web. Un ataque a la red informática interrumpe la integridad o autenticidad de los datos, generalmente a través de un código malicioso que altera la lógica del programa que controla los datos, lo que genera errores en la salida.

Hackers profesionales a ciberterroristas.

Los piratas informáticos profesionales, ya sea que trabajen por su cuenta o sean empleados de agencias gubernamentales o militares, pueden encontrar sistemas informáticos con vulnerabilidades que carecen del software de seguridad adecuado. Una vez que se encuentran esas vulnerabilidades, pueden infectar sistemas con código malicioso y luego controlar de forma remota el sistema o la computadora enviando comandos para ver el contenido o interrumpir otras computadoras. Es necesario que haya una falla del sistema preexistente dentro de la computadora, como que no haya protección antivirus o una configuración defectuosa del sistema para que funcione el código viral.

Muchos piratas informáticos profesionales se promocionarán a sí mismos como ciberterroristas, para obtener beneficios económicos u otras razones. Esto significa que un nuevo conjunto de reglas gobiernan sus acciones. Los ciberterroristas tienen planes premeditados y sus ataques no nacen de la rabia. Necesitan desarrollar sus planes paso a paso y adquirir el software adecuado para llevar a cabo un ataque. Suelen tener agendas políticas dirigidas a estructuras políticas. Los ciberterroristas son piratas informáticos con una motivación política, sus ataques pueden afectar la estructura política a través de esta corrupción y destrucción. También tienen como objetivo a civiles, intereses civiles e instalaciones civiles. Como se dijo anteriormente, los ciberterroristas atacan a personas o propiedades y causan suficiente daño como para generar miedo.

Tipos de ataque

Un ataque puede ser activo o pasivo .

Un "ataque activo" intenta alterar los recursos del sistema o afectar su funcionamiento.
Un " ataque pasivo " intenta aprender o utilizar información del sistema, pero no afecta los recursos del sistema (por ejemplo, escuchas telefónicas ).

Un ataque puede ser perpetrado por una persona interna o externa a la organización;

Un "ataque interno" es un ataque iniciado por una entidad dentro del perímetro de seguridad (un "interno"), es decir, una entidad que está autorizada para acceder a los recursos del sistema pero los usa de una manera no aprobada por quienes otorgaron la autorización.
Un "ataque externo" se inicia desde fuera del perímetro, por un usuario no autorizado o ilegítimo del sistema (un "extraño"). En Internet, los posibles atacantes externos van desde bromistas aficionados hasta delincuentes organizados, terroristas internacionales y gobiernos hostiles.
Ataque pasivo vs activo

Un recurso (tanto físico como lógico), llamado activo , puede tener una o más vulnerabilidades que un agente de amenaza puede aprovechar en una acción de amenaza. Como resultado, la confidencialidad , la integridad o la disponibilidad de los recursos pueden verse comprometidas. Potencialmente, el daño puede extenderse a recursos además del inicialmente identificado como vulnerable, incluidos los recursos adicionales de la organización y los recursos de otras partes involucradas (clientes, proveedores).

La llamada tríada de la CIA es la base de la seguridad de la información .

El ataque puede estar activo cuando intenta alterar los recursos del sistema o afectar su funcionamiento: por lo que compromete la integridad o la disponibilidad. Un " ataque pasivo " intenta aprender o hacer uso de la información del sistema, pero no afecta los recursos del sistema, por lo que compromete la confidencialidad.

Una amenaza es un potencial de violación de la seguridad, que existe cuando existe una circunstancia, capacidad, acción o evento que podría violar la seguridad y causar daño. Es decir, una amenaza es un posible peligro que podría aprovechar una vulnerabilidad. Una amenaza puede ser "intencional" (es decir, inteligente; p. Ej., Un pirata informático individual o una organización criminal) o "accidental" (p. Ej., La posibilidad de que una computadora no funcione correctamente o la posibilidad de un "acto de Dios", como un terremoto, incendio o tornado).

Se ha desarrollado un conjunto de políticas relacionadas con la gestión de la seguridad de la información, los sistemas de gestión de la seguridad de la información (SGSI), para gestionar, de acuerdo con los principios de gestión de riesgos , las contramedidas con el fin de cumplir con una estrategia de seguridad configurada siguiendo las reglas y regulaciones aplicables en un país.

Un ataque debe dar lugar a un incidente de seguridad, es decir, un evento de seguridad que implique una violación de la seguridad . En otras palabras, un evento del sistema relevante para la seguridad en el que la política de seguridad del sistema es desobedecida o violada.

El panorama general representa los factores de riesgo del escenario de riesgo.

Una organización debe tomar medidas para detectar, clasificar y gestionar los incidentes de seguridad. El primer paso lógico es establecer un plan de respuesta a incidentes y, finalmente, un equipo de respuesta a emergencias informáticas .

Para detectar ataques, se pueden establecer una serie de contramedidas a nivel organizativo, de procedimiento y técnico. El equipo de respuesta a emergencias informáticas , la auditoría de seguridad de la tecnología de la información y el sistema de detección de intrusos son ejemplos de estos.

Un ataque suele ser perpetrado por alguien con malas intenciones: los ataques de sombrero negro entran en esta categoría, mientras que otros realizan pruebas de penetración en el sistema de información de una organización para averiguar si todos los controles previstos están en su lugar.

Los ataques se pueden clasificar según su origen: es decir, si se realiza utilizando uno o más equipos: en el último caso se denomina ataque distribuido. Las botnets se utilizan para realizar ataques distribuidos.

Otras clasificaciones son según los procedimientos utilizados o el tipo de vulnerabilidades explotadas: los ataques pueden concentrarse en los mecanismos de red o en las características del host.

Algunos ataques son físicos: es decir, robo o daño de computadoras y otros equipos. Otros son intentos de forzar cambios en la lógica utilizada por las computadoras o los protocolos de red para lograr un resultado imprevisto (por el diseñador original) pero útil para el atacante. El software que se usa para ataques lógicos en computadoras se llama malware .

La siguiente es una breve lista parcial de ataques:

Cadena de eliminación de intrusiones para la seguridad de la información

En detalle, hay una serie de técnicas para utilizar en los ciberataques y una variedad de formas de administrarlas a individuos o establecimientos en una escala más amplia. Los ataques se dividen en dos categorías: ataques sintácticos y ataques semánticos. Los ataques sintácticos son sencillos; se considera software malintencionado que incluye virus, gusanos y caballos de Troya.

Ataques sintácticos

Virus

Un virus es un programa de autorreplicación que puede adjuntarse a otro programa o archivo para reproducirse. El virus puede esconderse en lugares poco probables de la memoria de un sistema informático y adjuntarse a cualquier archivo que considere adecuado para ejecutar su código. También puede cambiar su huella digital cada vez que se replica, lo que dificulta su localización en la computadora.

Gusanos

Un gusano no necesita otro archivo o programa para copiarse; es un programa de ejecución autosuficiente. Los gusanos se replican en una red utilizando protocolos. La última encarnación de gusanos hace uso de vulnerabilidades conocidas en los sistemas para penetrar, ejecutar su código y replicarse en otros sistemas como el gusano Code Red II que infectó más de 259 000 sistemas en menos de 14 horas. A una escala mucho mayor, los gusanos pueden diseñarse para el espionaje industrial para monitorear y recopilar las actividades del servidor y el tráfico y luego transmitirlo a su creador.

caballos de Troya

Un caballo de Troya está diseñado para realizar tareas legítimas, pero también realiza actividades desconocidas y no deseadas. Puede ser la base de muchos virus y gusanos que se instalan en la computadora como registradores de teclado y software de puerta trasera. En un sentido comercial, los troyanos pueden integrarse en versiones de prueba de software y pueden recopilar inteligencia adicional sobre el objetivo sin que la persona se dé cuenta. Es probable que los tres ataquen a un individuo y a un establecimiento a través de correos electrónicos, navegadores web, clientes de chat, software remoto y actualizaciones.

Ataques semánticos

El ataque semántico es la modificación y difusión de información correcta e incorrecta. La información modificada podría haberse realizado sin el uso de computadoras, aunque se pueden encontrar nuevas oportunidades usándolas. Para poner a alguien en la dirección equivocada o para cubrir su rastro, se puede utilizar la diseminación de información incorrecta.

Ciberataques por y contra países

Dentro de la guerra cibernética, el individuo debe reconocer a los actores estatales involucrados en cometer estos ataques cibernéticos entre sí. Los dos jugadores predominantes que se discutirán es la antigua comparación de las capacidades cibernéticas de Oriente y Occidente , las capacidades cibernéticas de China en comparación con las capacidades de los Estados Unidos. Hay muchos otros actores estatales y no estatales involucrados en la guerra cibernética, como Rusia, Irán, Irak y Al Qaeda; Dado que China y los EE. UU. están liderando el primer plano en capacidades de guerra cibernética, serán los únicos dos actores estatales discutidos.

Pero en el segundo trimestre de 2013, Akamai Technologies informó que Indonesia derrocó a China con una porción del 38 por ciento de los ataques cibernéticos, un gran aumento con respecto al 21 por ciento del trimestre anterior. China fijó el 33 por ciento y Estados Unidos el 6,9 por ciento. El 79 por ciento de los ataques provino de la región de Asia Pacífico. Indonesia dominó los ataques a los puertos 80 y 443 en aproximadamente un 90 por ciento.

Azerbaiyán

Los piratas informáticos de Azerbaiyán y Armenia han participado activamente en la guerra cibernética como parte del conflicto de Nagorno-Karabaj sobre la región en disputa de Nagorno-Karabaj , con piratas informáticos azerbaiyanos dirigidos a sitios web armenios y publicando las declaraciones de Ilham Aliyev .

porcelana

El Ejército Popular de Liberación de China (EPL) ha desarrollado una estrategia llamada "Guerra Electrónica de Red Integrada" que guía las operaciones de la red informática y las herramientas de guerra cibernética . Esta estrategia ayuda a vincular las herramientas de guerra en red y las armas de guerra electrónica contra los sistemas de información de un oponente durante el conflicto. Creen que los fundamentos para lograr el éxito son tomar el control del flujo de información de un oponente y establecer el dominio de la información. La ciencia de las fuerzas armadas y la ciencia de las campañas identifican las redes de sistemas logísticos enemigos como la máxima prioridad para los ciberataques y establece que la guerra cibernética debe marcar el comienzo si una campaña, utilizada correctamente, puede permitir el éxito operativo general. Centrándose en atacar la infraestructura del oponente para interrumpir las transmisiones y los procesos de información que dictan las operaciones de toma de decisiones, el PLA aseguraría el dominio cibernético sobre su adversario. Las técnicas predominantes que se utilizarían durante un conflicto para ganar ventaja son las siguientes: el EPL atacaría con interferencias electrónicas, técnicas de engaño y supresión electrónicas para interrumpir los procesos de transferencia de información. Lanzarían ataques de virus o técnicas de piratería para sabotear los procesos de información, todo con la esperanza de destruir las plataformas e instalaciones de información del enemigo. Science of Campaigns del EPL señaló que una función de la guerra cibernética es crear ventanas de oportunidad para que otras fuerzas operen sin ser detectadas o con un menor riesgo de contraataque al explotar los períodos de "ceguera", "sordera" o "parálisis" del enemigo creados por Ataques ciberneticos. Ese es uno de los principales puntos focales del cyberwarefare, poder debilitar al máximo a tu enemigo para que tu ofensiva física tenga un mayor porcentaje de éxito.

El EPL lleva a cabo ejercicios de entrenamiento regulares en una variedad de entornos enfatizando el uso de tácticas y técnicas de guerra cibernética para contrarrestar tales tácticas si se emplean en su contra. La investigación de la facultad se ha centrado en diseños para el uso y detección de rootkit para su sistema operativo Kylin, lo que ayuda a capacitar aún más las técnicas de guerra cibernética de estas personas. China percibe la guerra cibernética como un impedimento para las armas nucleares, posee la capacidad de una mayor precisión, deja menos víctimas y permite ataques de largo alcance.

El 2 de marzo de 2021, Microsoft publicó una actualización de seguridad de emergencia para parchear cuatro vulnerabilidades de seguridad que habían sido utilizadas por Hafnium, un grupo de piratería patrocinado por un estado nacional chino que había comprometido al menos 30,000 servidores de intercambio de Microsoft públicos y privados.

Estonia

Los ciberataques de 2007 contra Estonia fueron una serie de ciberataques que comenzaron el 27 de abril de 2007 y tenían como objetivo sitios web de organizaciones estonias , incluido el parlamento , bancos, ministerios, periódicos y emisoras de Estonia , en medio del desacuerdo del país con Rusia sobre la reubicación del Soldado de Bronce de Tallin. , una elaborada lápida de la era soviética, así como tumbas de guerra en Tallin . Los ataques provocaron que varias organizaciones militares de todo el mundo reconsideraran la importancia de la seguridad de la red para la doctrina militar moderna. El resultado directo de los ciberataques fue la creación del Centro de Excelencia de Ciberdefensa Cooperativa de la OTAN en Tallin.

Etiopía

En una extensión de una disputa bilateral entre Etiopía y Egipto por la Gran Represa del Renacimiento de Etiopía, los sitios web del gobierno etíope fueron pirateados por piratas informáticos con sede en Egipto en junio de 2020.

India y Pakistán

Hubo dos casos de este tipo entre India y Pakistán que involucraron conflictos en el ciberespacio, iniciados en la década de 1990. Los primeros ciberataques se conocieron ya en 1999. Desde entonces, India y Pakistán se vieron envueltos en una disputa a largo plazo sobre Cachemira que se trasladó al ciberespacio . Los relatos históricos indicaron que los piratas informáticos de cada país se han involucrado repetidamente en atacar el sistema de bases de datos informáticos de los demás. El número de ataques ha crecido anualmente: 45 en 1999, 133 en 2000, 275 a fines de agosto de 2001. En 2010, piratas informáticos indios realizaron un ciberataque en al menos 36 sitios web de bases de datos gubernamentales con el nombre de "Ejército cibernético indio". En 2013, piratas informáticos indios piratearon el sitio web oficial de la Comisión Electoral de Pakistán en un intento de recuperar información confidencial de la base de datos. En represalia, los piratas informáticos paquistaníes, que se autodenominan "Verdadero Ejército Cibernético", piratearon y desfiguraron ~ 1.059 sitios web de organismos electorales indios.

En 2013, la India 's Ministerio de Electrónica y Tecnología de la Información (MeitY), que entonces era conocido como Departamento de Electrónica y Tecnología de la Información (deidad), dio a conocer un ciberseguridad marco de política llamada Política de Seguridad Cibernética Nacional 2013 , que entró oficialmente en vigor el 1 de julio, 2013.

Según los medios de comunicación, Pakistán ha estado trabajando en un sistema de seguridad cibernético eficaz , en un programa llamado "Cyber ​​Secure Pakistan" (CSP). El programa fue lanzado en abril de 2013 por la Asociación de Seguridad de la Información de Pakistán y el programa se ha expandido a las universidades del país.

En 2020, según los informes de los medios, el ejército de Pakistán confirma la serie de ataques cibernéticos que ha sido identificada en el gobierno pakistaní y sitios web privados por la inteligencia india. ISPR también aconsejó al gobierno y a las instituciones privadas que mejoren las medidas de seguridad cibernética.

Iran

El 8 de febrero de 2020, la red de telecomunicaciones de Irán fue testigo de importantes interrupciones a las 11:44 a.m., hora local, que duraron aproximadamente una hora. El Ministerio de Tecnología de la Información y las Comunicaciones de Irán lo confirmó como un ataque de Denegación de Servicio Distribuido (DDoS) . Las autoridades iraníes activaron el mecanismo de defensa cibernética "Fortaleza Digital" para repeler. También conocido como DZHAFA, provocó una caída del 75 por ciento en la conectividad nacional a Internet.

Israel

En abril de 2020, Irán intentó piratear la infraestructura de agua de Israel en la región central de Sharon , lo que fue frustrado por las defensas cibernéticas israelíes. El ciberataque tenía la intención de introducir niveles peligrosos de cloro en el suministro de agua israelí.

Corea del Norte

Noruega

En agosto de 2020, el parlamento noruego Stortinget sufrió un ciberataque al sistema de correo electrónico de varios funcionarios. En diciembre de 2020, el Servicio de Seguridad de la Policía de Noruega dijo que los posibles perpetradores eran el grupo de ciberespionaje ruso Fancy Bear .

Rusia

Durante la Copa Mundial de la FIFA 2018 , Rusia respondió y detuvo alrededor de 25 millones de ciberataques a la infraestructura de TI.

En junio de 2019, Rusia admitió que es "posible" que su red eléctrica esté bajo ciberataque por parte de Estados Unidos . The New York Times informó que los piratas informáticos estadounidenses del Cyber ​​Command de Estados Unidos plantaron malware potencialmente capaz de interrumpir la red eléctrica rusa.

El 19 de octubre de 2020, el departamento de justicia de EE. UU. Acusó a seis oficiales militares rusos de una campaña de piratería mundial, que atacó objetivos como las elecciones francesas, la ceremonia de apertura de los Juegos Olímpicos de Invierno de 2018 , empresas estadounidenses y la red eléctrica de Ucrania. Se creía que la campaña había costado miles de millones de dólares por la interrupción masiva que causó.

Ucrania

El 27 de junio de 2017 comenzó una serie de poderosos ataques cibernéticos que inundaron los sitios web de organizaciones ucranianas, incluidos bancos, ministerios, periódicos y empresas de electricidad.

Emiratos Árabes Unidos

En 2019, Reuters informó que los Emiratos Árabes Unidos lanzaron una serie de ataques cibernéticos contra sus oponentes políticos, periodistas y activistas de derechos humanos en el marco del Proyecto Raven , en una plataforma de espionaje llamada Karma. El equipo incluía ex agentes de inteligencia estadounidenses. El Proyecto Raven comenzó en 2009 y se planeó continuar durante los próximos diez años.

Estados Unidos

En Occidente, Estados Unidos ofrece un "tono de voz" diferente cuando la guerra cibernética está en la punta de la lengua de todos. Estados Unidos proporciona planes de seguridad estrictamente en respuesta a la guerra cibernética, básicamente a la defensiva cuando están siendo atacados por métodos cibernéticos tortuosos. En los EE. UU., La responsabilidad de la seguridad cibernética se divide entre el Departamento de Seguridad Nacional, la Oficina Federal de Investigaciones y el Departamento de Defensa. En los últimos años se creó un nuevo departamento para atender específicamente a las ciberamenazas, este departamento se conoce como Cyber ​​Command. Cyber ​​Command es un subcomando militar bajo el Comando Estratégico de EE. UU. Y es responsable de hacer frente a las amenazas a la infraestructura cibernética militar. Los elementos de servicio del Cyber ​​Command incluyen el Cyber ​​Command de las Fuerzas Armadas, la Vigésima Cuarta Fuerza Aérea, el Cyber ​​Command de la Flota y el Cyber ​​Command de las Fuerzas Marinas. Asegura que el presidente pueda navegar y controlar los sistemas de información y que también tenga opciones militares disponibles cuando la defensa de la nación deba ser promulgada en el ciberespacio. Las personas en Cyber ​​Command deben prestar atención a los actores estatales y no estatales que están desarrollando capacidades de guerra cibernética para llevar a cabo el ciberespionaje y otros ciberataques contra la nación y sus aliados. Cyber ​​Command busca ser un factor de disuasión para disuadir a los adversarios potenciales de atacar a los EE. UU., Al mismo tiempo que es un departamento multifacético que realiza sus propias operaciones cibernéticas.

Tuvieron lugar tres eventos destacados que pueden haber sido catalizadores en la creación de la idea de Cyber ​​Command. Hubo una falla en la infraestructura crítica reportada por la CIA donde las actividades maliciosas contra los sistemas de tecnología de la información interrumpieron las capacidades de energía eléctrica en el extranjero. Esto resultó en cortes de energía en varias ciudades en varias regiones. El segundo evento fue la explotación de los servicios financieros globales. En noviembre de 2008, un banco internacional tenía un procesador de pagos comprometido que permitía realizar transacciones fraudulentas en más de 130 cajeros automáticos en 49 ciudades en un período de 30 minutos. El último evento fue la pérdida sistémica del valor económico de EE. UU. Cuando una industria en 2008 estimó $ 1 billón en pérdidas de propiedad intelectual por robo de datos. Aunque todos estos eventos fueron catástrofes internas, fueron de naturaleza muy real, lo que significa que nada puede impedir que los actores estatales o no estatales hagan lo mismo en una escala aún mayor. Otras iniciativas como el Consejo Asesor de Capacitación Cibernética se crearon para mejorar la calidad, la eficiencia y la suficiencia de la capacitación para la defensa, el ataque y la explotación de redes informáticas de las operaciones cibernéticas del enemigo.

En ambos extremos del espectro, las naciones del Este y del Oeste muestran un contraste de ideales de "espada y escudo". Los chinos tienen una idea más ofensiva para la guerra cibernética, tratando de obtener el ataque preventivo en las primeras etapas del conflicto para ganar ventaja. En los Estados Unidos se están tomando más medidas reaccionarias para crear sistemas con barreras impenetrables para proteger a la nación y sus civiles de los ciberataques.

Según Homeland Preparedness News , muchas empresas estadounidenses de tamaño medio tienen dificultades para defender sus sistemas contra los ataques cibernéticos. Alrededor del 80 por ciento de los activos vulnerables a un ciberataque pertenecen a empresas y organizaciones privadas. El ex subsecretario de Seguridad Pública del estado de Nueva York, Michael Balboni, dijo que las entidades privadas "no tienen el tipo de capacidad, ancho de banda, interés o experiencia para desarrollar un análisis cibernético proactivo".

En respuesta a los ciberataques del 1 de abril de 2015, el presidente Obama emitió una Orden Ejecutiva que establece las primeras sanciones económicas. La Orden Ejecutiva afectará a las personas y entidades ("designadas") responsables de ataques cibernéticos que amenacen la seguridad nacional, la política exterior, la salud económica o la estabilidad financiera de los EE. UU. Específicamente, la Orden Ejecutiva autoriza al Departamento del Tesoro a congelar los activos de las personas designadas.

Según el libro de Ted Koppel , en 2008, Estados Unidos, en colaboración con Israel, realizó un ciberataque al programa nuclear de Irán, convirtiéndose en "el primero en utilizar un arma digital como instrumento de política".

Consecuencia de un posible ataque

Las consecuencias pueden incluir una multitud de efectos directos e indirectos. En septiembre de 2020, los medios informaron de lo que podría ser el primer caso confirmado públicamente de una muerte civil como consecuencia casi directa de un ciberataque, después de que un ransomware interrumpiera un hospital en Alemania.

Toda una industria y otras están trabajando para minimizar la probabilidad y las consecuencias de un ciberataque.

Para obtener una lista parcial, consulte: Empresas de software de seguridad informática .

Las actividades, que a menudo se ofrecen como productos y servicios, pueden estar dirigidas a:

  • estudiar todas las categorías de posibles ataques
  • publicar libros y artículos sobre el tema
  • descubriendo vulnerabilidades
  • evaluando los riesgos
  • arreglando vulnerabilidades
  • inventar, diseñar e implementar contramedidas
  • establecer un plan de contingencia para estar listo para responder

Muchas organizaciones están tratando de clasificar la vulnerabilidad y sus consecuencias. La base de datos de vulnerabilidades más popular es Common Vulnerabilities and Exposures .

Los equipos de respuesta a emergencias informáticas son establecidos por el gobierno y una gran organización para manejar los incidentes de seguridad informática.

Infraestructuras como objetivos

Una vez que se ha iniciado un ciberataque, hay ciertos objetivos que deben ser atacados para paralizar al oponente. Ciertas infraestructuras como objetivos se han destacado como infraestructuras críticas en tiempos de conflicto que pueden paralizar gravemente a una nación. Los sistemas de control, los recursos energéticos, las finanzas, las telecomunicaciones, el transporte y las instalaciones de agua se consideran objetivos de infraestructura críticos durante los conflictos. Un nuevo informe sobre los problemas de ciberseguridad industrial, elaborado por el Instituto de Tecnología de Columbia Británica y el Grupo de Consultoría de PA, utilizando datos desde 1981, supuestamente ha encontrado un aumento de 10 veces en el número de ataques cibernéticos exitosos en la supervisión de infraestructura. Sistemas de control y adquisición de datos (SCADA) desde 2000. Los ciberataques que tienen un efecto físico adverso se conocen como ataques ciberfísicos.

Sistemas de control

Los sistemas de control son los encargados de activar y monitorear los controles industriales o mecánicos. Muchos dispositivos están integrados con plataformas informáticas para controlar válvulas y puertas de determinadas infraestructuras físicas. Los sistemas de control generalmente están diseñados como dispositivos de telemetría remota que se conectan a otros dispositivos físicos a través del acceso a Internet o módems. Se puede ofrecer poca seguridad al tratar con estos dispositivos, lo que permite a muchos piratas informáticos o ciberterroristas buscar vulnerabilidades sistemáticas. Paul Blomgren, gerente de ingeniería de ventas de la firma de ciberseguridad, explicó cómo su gente condujo hasta una subestación remota, vio una antena de red inalámbrica e inmediatamente enchufó sus tarjetas LAN inalámbricas. Sacaron sus computadoras portátiles y se conectaron al sistema porque no usaba contraseñas. "En 10 minutos, habían mapeado cada pieza de equipo en la instalación", dijo Blomgren. "En 15 minutos, mapearon cada pieza de equipo en la red de control operativo. En 20 minutos, estaban hablando con la red comercial y habían realizado varios informes comerciales. Ni siquiera dejaron el vehículo".

Energía

La energía se considera la segunda infraestructura que podría ser atacada. Se divide en dos categorías, electricidad y gas natural. La electricidad, también conocida como redes eléctricas, alimenta ciudades, regiones y hogares; impulsa las máquinas y otros mecanismos que se utilizan en la vida cotidiana. Usando EE. UU. Como ejemplo, en un conflicto, los ciberterroristas pueden acceder a los datos a través del Informe diario del estado del sistema que muestra los flujos de energía en todo el sistema y puede identificar las secciones más ocupadas de la red. Al cerrar esas redes, pueden causar histeria masiva, atrasos y confusión; también pudiendo ubicar áreas críticas de operación para futuros ataques en un método más directo. Los ciberterroristas pueden acceder a instrucciones sobre cómo conectarse a la Administración de energía de Bonneville, lo que les ayuda a saber cómo no fallar el sistema en el proceso. Esta es una ventaja importante que se puede utilizar cuando se realizan ataques cibernéticos porque los atacantes extranjeros sin conocimiento previo del sistema pueden atacar con la mayor precisión sin inconvenientes. Los ciberataques a las instalaciones de gas natural van de la misma manera que con los ataques a las redes eléctricas. Los ciberterroristas pueden cerrar estas instalaciones deteniendo el flujo o incluso pueden desviar los flujos de gas a otra sección que pueda ser ocupada por uno de sus aliados. Hubo un caso en Rusia con un proveedor de gas conocido como Gazprom, perdieron el control de su tablero de distribución central que enruta el flujo de gas, después de que un operador interno y un programa de caballo de Troya pasaron por alto la seguridad.

El ciberataque del Colonial Pipeline de 2021 provocó un cierre repentino del oleoducto que transportaba el 45% de la gasolina, diésel y combustible para aviones consumidos en la costa este de los Estados Unidos .

Finanzas

Las infraestructuras financieras podrían verse muy afectadas por los ciberataques, ya que el sistema financiero está conectado por sistemas informáticos. El dinero se intercambia constantemente en estas instituciones y si los ciberterroristas atacaran y si las transacciones fueran desviadas y grandes cantidades de dinero robadas, las industrias financieras colapsarían y los civiles se quedarían sin trabajo ni seguridad. Las operaciones se estancarían de una región a otra, lo que provocaría una degradación económica en todo el país. Solo en los EE. UU., El volumen promedio diario de transacciones alcanzó los $ 3 billones y el 99% no es flujo de efectivo. Poder interrumpir esa cantidad de dinero por un día o por un período de días puede causar un daño duradero que haga que los inversores se retiren de la financiación y erosione la confianza del público.

Un ciberataque a una institución financiera o transacciones puede denominarse ciberataque . Estos ataques pueden comenzar con suplantación de identidad dirigida a los empleados, utilizando la ingeniería social para obtener información de ellos. Pueden permitir a los atacantes piratear la red y colocar keyloggers en los sistemas de contabilidad . Con el tiempo, los ciberdelincuentes pueden obtener información sobre claves y contraseñas. Luego, se puede acceder a las cuentas bancarias de una organización a través de la información que han robado utilizando los registradores de teclas. En mayo de 2013, una pandilla llevó a cabo un ciber-atraco de 40 millones de dólares del Bank of Muscat .

Telecomunicaciones

Los ciberataques a las infraestructuras de telecomunicaciones tienen resultados sencillos. La integración de las telecomunicaciones se está convirtiendo en una práctica común, los sistemas como las redes de voz e IP se están fusionando. Todo se ejecuta a través de Internet porque las velocidades y las capacidades de almacenamiento son infinitas. Los ataques de denegación de servicio se pueden administrar como se mencionó anteriormente, pero se pueden realizar ataques más complejos en los protocolos de enrutamiento BGP o en las infraestructuras de DNS. Es menos probable que un ataque tenga como objetivo o comprometa la red de telefonía tradicional de conmutadores SS7, o un intento de ataque a dispositivos físicos como estaciones de microondas o instalaciones satelitales. La capacidad todavía estaría ahí para cerrar esas instalaciones físicas para interrumpir las redes de telefonía. La idea de estos ciberataques es aislar a las personas entre sí, interrumpir la comunicación y, al hacerlo, impedir que se envíe y reciba información crítica. En la guerra cibernética, esta es una forma fundamental de ganar ventaja en un conflicto. Al controlar el flujo de información y comunicación, una nación puede planificar ataques más precisos y adoptar mejores medidas de contraataque contra sus enemigos.

Transporte

La infraestructura de transporte refleja las instalaciones de telecomunicaciones; al impedir el transporte de personas en una ciudad o región, la economía se degradará levemente con el tiempo. Los ciberataques exitosos pueden afectar la programación y la accesibilidad, creando una disrupción en la cadena económica. Los métodos de transporte se verán afectados, lo que dificultará el envío de la carga de un lugar a otro. En enero de 2003, durante el virus "slammer", Continental Airlines se vio obligada a cerrar vuelos debido a problemas informáticos. Los ciberterroristas pueden apuntar a los ferrocarriles interrumpiendo los interruptores, apuntar al software de vuelo para obstaculizar los aviones y apuntar al uso de las carreteras para impedir los métodos de transporte más convencionales. En mayo de 2015, un hombre, Chris Roberts, que era un ciberconsultor, reveló al FBI que había logrado en repetidas ocasiones, de 2011 a 2014, hackear los controles de los vuelos de Boeing y Airbus a través del sistema de entretenimiento a bordo, supuestamente, y tenía en al menos una vez ordenó un vuelo para subir. El FBI, después de detenerlo en abril de 2015 en Siracusa, lo entrevistó sobre las acusaciones.

Agua

El agua como infraestructura podría ser una de las más críticas para ser atacadas. Se considera uno de los mayores peligros de seguridad entre todos los sistemas controlados por computadora. Existe la posibilidad de que se liberen cantidades masivas de agua en un área que podría estar desprotegida y causar la pérdida de vidas y daños a la propiedad. Ni siquiera los suministros de agua pueden ser atacados; Los sistemas de alcantarillado también pueden verse comprometidos. No se calculó el costo de los daños, pero el costo estimado para reemplazar los sistemas críticos de agua podría ascender a cientos de miles de millones de dólares. La mayoría de estas infraestructuras de agua están bien desarrolladas, lo que dificulta que los ciberataques causen daños significativos, como máximo, pueden producirse fallas en los equipos y provocar la interrupción de las tomas de corriente durante un breve período de tiempo.

Hospitales

El hospital como infraestructura es uno de los principales activos que se ha visto afectado por los ciberataques. Estos ataques podrían "conducir directamente a la muerte". Los ciberataques están diseñados para negar a los trabajadores del hospital el acceso a los sistemas de cuidados críticos. Recientemente, ha habido un aumento importante de ataques cibernéticos contra hospitales en medio de la pandemia de COVID-19 . Los piratas informáticos bloquean una red y exigen un rescate para devolver el acceso a estos sistemas. El CICR y otros grupos de derechos humanos han instado a las fuerzas del orden a tomar "medidas inmediatas y decisivas" para castigar a esos ciberataques.

Ver también

Referencias

Otras lecturas

enlaces externos