you-books.com
Book menu
  1. Deepak Daswani
  2. La amenaza hacker
  3. cap04.xhtml
Prev Next

4

Exploits Zero Day, el mercado de las ciberarmas y la respuesta a incidentes

A la hora de plantear los posibles escenarios cuando un investigador descubre una vulnerabilidad, aún queda la posibilidad de que el investigador no la reporte al fabricante (con o sin programa Bug Bounty) y que tampoco publique los detalles de la misma. Si nadie salvo el investigador y quizá un selecto círculo de confianza conoce la vulnerabilidad, es como si esta no existiera ante los ojos del mundo. Quien la conozca y disponga del exploit podrá utilizarla libremente para comprometer los sistemas afectados sin que los usuarios puedan hacer nada al respecto. Ya no solo protegerse, sino tampoco saber cómo han sido comprometidos, ni cuál es el origen del ataque, porque nadie puede protegerse de aquello que no conoce. Y, por supuesto, el fabricante no puede proveer a los usuarios de un parche que remedie la vulnerabilidad, pues ni siquiera es consciente de su existencia.

Esto es algo realmente inquietante, sobre todo cuando se trata de vulnerabilidades críticas que pueden ser explotadas en remoto. Lo es más cuando afectan a productos distribuidos masivamente en el mercado, como por ejemplo Microsoft Office o Adobe Reader, o si las vulnerabilidades afectasen a los propios sistemas operativos (Windows, iOS, Android, Linux…). El caos que podría sembrar alguien con la capacidad de atacar masivamente a cualquiera de estas plataformas sería inimaginable, pues todos estaríamos indefensos ante tal amenaza. Estos exploits, que se aprovechan de vulnerabilidades que no son publicadas ni conocidas por el propio fabricante, se denominan exploits Zero Day. Este apelativo hace referencia al tiempo del que se dispondría para generar un parche, contramedida o defensa para un exploit de este tipo: cero días.

Es algo a lo que todos estaremos siempre expuestos y con lo que tenemos que convivir. De hecho, es algo que perturba enormemente a todos aquellos que conocemos los entresijos de este mundo o trabajamos en el sector de la ciberseguridad: saber que siempre existirá la posibilidad de ser comprometidos por el descubrimiento de una nueva vulnerabilidad. Forma parte del espectro de amenazas ante las que, en teoría, no tenemos posibilidad de protegernos.

Agencias de inteligencia, gobiernos y cibercriminales en la puja por Zero Days

Como puedes imaginar, los exploits Zero Day son altamente codiciados, y su valor económico en el mercado es considerablemente elevado. Varía en función de la criticidad de la vulnerabilidad, así como del producto, sistema o tecnología a la que afecte, pero por lo general los Zero Day no están al alcance de cualquiera.

Son, por tanto, grupos y organizaciones que cuentan con grandes recursos económicos los que invierten para adquirir o pujar por estos Zero Day, dependiendo de las diferentes motivaciones que tengan. Organizaciones cibercriminales de cierta entidad los ansían para poder lucrarse económicamente, explotando masivamente a usuarios y empresas de todo el mundo. Otros grandes compradores de exploits Zero Day se encuentran en las agencias de inteligencia y espionaje de gobiernos de todos los países. La motivación es evidente: disponer de un arsenal de ciberarmas capaz de proteger la seguridad nacional, sea para controlar las comunicaciones de sus ciudadanos e identificar amenazas terroristas o bien para intervenir dispositivos de sospechosos que puedan revelar información importante para investigaciones determinadas, o incluso para recabar inteligencia acerca de otras naciones.

Las filtraciones de Edward Snowden sobre los programas de espionaje de la NSA y otras agencias, pusieron en conocimiento del mundo la capacidad ofensiva que tienen los Estados gracias al uso de la tecnología y su motivación para disponer de Zero Days.

Las cosas han cambiado mucho desde los tiempos de la guerra fría. Hoy día, el espionaje a otros países pasa por la explotación de activos tecnológicos, como vemos en infinidad de películas o series de ficción. En prácticamente cualquier capítulo de la popular serie Homeland, los agentes de la CIA recurren a su equipo de hackers de élite para superar obstáculos que ayuden en sus batallas contra otros Estados u organizaciones terroristas. ¿Y qué mejor manera de hacerlo que comprometiendo dispositivos móviles de sospechosos o servidores de otras agencias? Curiosamente, en un capítulo de la trama, aparecía el concepto Zero Day. Un hacker había encontrado una vulnerabilidad no conocida en los sistemas de la CIA y lo aprovechó para acceder a información clasificada.

Ya sabemos que en el mundo de la ficción todo parece más sencillo. Las cosas van más rápido y se pierde cierto rigor, pero lo cierto es que los guionistas de Homeland utilizaron el concepto Zero Day para precisar cómo el hacker había conseguido vulnerar los sistemas de la CIA. Probablemente la gran mayoría de espectadores no reparó en el concepto o en su significado. No deja de ser llamativo que llegaran a ese nivel de detalle, más propio de una serie como Mr. Robot, dirigida a una audiencia que sí puede esperar ciertos tecnicismos para explicar los ataques que se van sucediendo en la trama.

Por otra parte, sobre las capacidades ofensivas de las naciones y sus agencias de inteligencia también hemos podido conocer más gracias a las revelaciones que Edward Snowden hizo al mundo en 2013 acerca de los programas de espionaje de la NSA. Durante semanas, asistimos perplejos a las filtraciones que se iban sucediendo sobre las poderosas herramientas de las que disponía la agencia de seguridad estadounidense. Teniendo en cuenta este arsenal, podían acceder prácticamente a cualquier dato o comunicación de todos y cada uno de los ciudadanos del mundo. Además de la todopoderosa NSA, las filtraciones de Snowden pusieron en conocimiento del mundo incidentes de espionaje que implicaban también a otras agencias de inteligencia, como la alemana o el popular GHCQ británico.

Muchas de las capacidades ofensivas de las que disponen todas estas agencias son posibles gracias al uso de exploits Zero Day. Algunos son encontrados por grupos de hackers que trabajan para las propias agencias. Tanto la NSA como el GHCQ, por citar algunos, cuentan en sus filas con especialistas dedicados exclusivamente a la búsqueda de vulnerabilidades y exploits Zero Day, debido al incalculable valor que tienen para el trabajo de sus contratantes.

El mercado de las vulnerabilidades

Existe un mercado lícito y legal en el que investigadores, agencias y organizaciones de todo tipo comercializan con Zero Days. Algunas empresas del sector de la ciberseguridad se especializan también en la búsqueda y descubrimiento de este tipo de vulnerabilidades para proveer de herramientas ofensivas a los actores mencionados. Un ejemplo de este tipo de empresas con considerable relevancia en el sector puede ser Vupen. De hecho, su fundador es también conocido por crear Zerodium, una plataforma en línea que pone en contacto a investigadores independientes y compradores de Zero Days. Al igual que en otros mercados, en el de las vulnerabilidades también hay espacio para brókers independientes dedicados a mediar entre las partes interesadas a cambio de una comisión.

Dependiendo de la popularidad de la plataforma en la que se descubra un exploit Zero Day, su coste será uno u otro. Es evidente que un exploit para sistemas Windows, desplegados en equipos por todo el mundo, tendrá un coste mucho más elevado que su homólogo para sistemas Mac OSX. Si bien estos últimos están ganando popularidad entre muchos usuarios e incluso empiezan a usarse en el ámbito corporativo, no se acercan ni por asomo a la cuota de penetración en el mercado de los sistemas Windows. La frecuencia con la que puedan descubrirse exploits para la plataforma o producto atacado, directamente ligada a la dificultad que entraña su obtención, influye en su valor y precio. En este sentido, un exploit para comprometer sistemas iOS será muchísimo más valioso que uno para Android, pues tradicionalmente ha sido difícil romper las estrictas barreras de seguridad que Apple implementa para sus dispositivos.

Principalmente en función de estas dos variables, cuota de mercado de la plataforma tecnológica y dificultad para encontrar amenazas potenciales, es posible estimar a priori el precio que podrá tener un exploit. Estos precios suelen anunciarse en plataformas como Zerodium, donde se dan cifras orientativas. Pese a que van variando en función del tiempo y la demanda, un Zero Day para Microsoft Office podría estar entre los 50 000 y 100 000 dólares, mientras que uno para Windows estaría entre 60 000 y 120 000. Un exploit Zero Day para iOS podría superar el millón de dólares.

El precio que se puede pagar por un exploit Zero Day para iOS supera el millón de dólares.

Como es de esperar, pese a que existe un mercado lícito en el que se pueden obtener estimaciones de precios, también existe un mercado más underground, donde agencias y otros compradores se mueven entre círculos de confianza para la compraventa de Zero Days. En dicho mercado, el precio final también presenta variaciones respecto al precio inicial estimado. Nadie sabe a ciencia cierta si el exploit se descubrirá o no. El valor más importante de los Zero Days es que nadie conozca su existencia.

Lo que hoy es seguro, mañana puede no serlo

Con todo lo expuesto hasta ahora, queda claro que en este mundo es imposible determinar o garantizar nada con total seguridad. Cualquier día un investigador puede encontrar un error en un sistema, dispositivo o programa que lo convierta en vulnerable y, por tanto, inseguro. Es por eso que debemos asumir que lo que hoy es seguro, mañana podría no serlo y ser conscientes de ello para actuar en consecuencia.

Esto no quiere decir que debamos bajar los brazos y encomendarnos a nuestra buena suerte a la hora de utilizar la tecnología. Afortunadamente, son muchas las posibilidades que tenemos para llegar a disponer de sistemas confiables y no permanecer indefensos a la hora de navegar por la red. Los exploits Zero Day constituyen solo una pequeña parte del espectro de amenazas. Es cierto que, ante estos, en teoría poco podemos hacer, pero en la práctica la mayoría de los ataques que se suceden lo hacen exitosamente sin la necesidad de este tipo de exploits. Muchos de ellos sí que se podrían evitar, o al menos contenerlos siguiendo las buenas prácticas de seguridad que vamos desmenuzando a lo largo del libro.

Esta última matización acerca de la contención de ataques es más importante de lo que parece. Aunque hace unos años se trabajaba en la ciberseguridad con el objetivo de evitar que los ataques se produjeran, a día de hoy esta aproximación ha cambiado. Evidentemente, se intenta alcanzar un escenario ideal en el que la organización o el usuario jamás fuera comprometido, pero los años y la práctica han corroborado que se trata de un ideal utópico.

La respuesta a incidentes en el ámbito empresarial

Hoy en día se asume que, dada la frecuencia de intentos de ataque y nuestro grado de exposición a los mismos, en algún momento podemos sufrir vulneraciones. Por ello, a la hora de abordar la ciberseguridad, sobre todo a nivel de una organización, se trabaja haciendo hincapié en lo que se conoce como la «respuesta a incidentes», esto es, en la preparación para responder adecuadamente en caso de que un intento de ataque derive en un incidente de seguridad. Incluye un protocolo de actuación que ayuda a minimizar el impacto ocasionado sobre nuestra organización, y evitar que los servicios críticos puedan verse afectados, que se sustraiga información crítica o sensible que pueda afectar al negocio o recuperar la operatividad lo antes posible. En definitiva, se trata de prevenir el caos y contener el incidente sin que genere un daño irreparable. Son muchas las organizaciones que por no disponer de un adecuado plan de respuesta a incidentes han sucumbido a los devastadores efectos de un ciberataque, en algunos casos hasta el punto de verse abocadas a la quiebra y la desaparición.

Un ejemplo de las medidas que forman parte de un plan de respuesta a incidentes lo encontramos en la gestión de Telefónica de la crisis de WannaCry en mayo de 2017, el incidente de dimensión mundial que abordaremos con más detalle. Debido a la trascendencia que la multinacional tiene en nuestro país, todo el mundo se hizo eco de una medida que en otros casos nadie tendría por qué conocer. Desde la organización, a través de los servicios centrales de megafonía, se ordenó a todos los empleados que apagaran sus equipos, igual que en una película hollywoodiense. Era esencial aislar los equipos afectados, contener el incidente y evitar que el ataque se pudiese propagar afectando a servicios críticos o a infraestructuras de los clientes.

Pese a la agitación y el revuelo mediático que se generó, en la práctica se consiguió solventar la situación sin perder la operatividad; ni tan siquiera una caída del servicio. Ningún cliente sufrió las consecuencias del ataque, ni una línea afectada, ninguna incidencia en infraestructuras de comunicaciones, en instalaciones corporativas, líneas ADSL… Es más, tras el incidente de WannaCry, la imagen de Telefónica ante sus clientes y la sociedad quedó reforzada. Una gestión impecable de la crisis, tanto en términos de contención y resolución del incidente, como en el ámbito de la comunicación y la transparencia, que en estos casos es igual de importante. En esto se basa la respuesta a incidentes.

A la hora de hablar de medidas que forman parte de la respuesta a incidentes, hemos de diferenciar entre medidas reactivas, como en el ejemplo de Telefónica, y medidas preventivas, que son las que se adoptan para intentar evitar que los ataques se produzcan o al menos para reducir su impacto en caso de que se materialicen.

Si tienes como objetivo gestionar la seguridad de una empresa, ten en cuenta los siguientes aspectos:

  • Es indispensable la elaboración de un plan de respuesta ante incidentes en la organización para hacer frente con garantías a cualquier situación que se nos presente en materia de ciberataques.
  • No solo las grandes organizaciones cuentan con un plan de respuesta ante incidentes.
  • Se debe definir un plan acorde a las dimensiones de la organización. Si tu empresa es una pyme, es evidente que la complejidad del mismo, así como la dotación en recursos, será menor que en el caso de una empresa de mayor envergadura.
  • La ciberseguridad es un área que requiere de un alto grado de conocimiento, dedicación continua y especialización. Normalmente, las pymes no cuentan con profesionales expertos en esta materia. Un administrador de sistemas o responsable de TI no tiene por qué disponer de conocimientos de seguridad.
  • Por ello, es muy habitual y recomendable externalizar la gestión de la seguridad, delegando esta tarea en empresas y profesionales especializados en la materia que apoyen y asesoren a los responsables de la organización.

En lo que respecta a protegernos de las diferentes vulnerabilidades que se van descubriendo, ya hemos comentado que:

  • Es esencial mantener siempre actualizado nuestro sistema operativo con todos los parches de seguridad publicados por el fabricante.
  • Lo mismo sucede con todos los programas que tengamos instalados en el equipo.
  • Esto aplica también a la hora de hablar de dispositivos móviles.
  • Actualizar nuestro dispositivo es fundamental, pues es lo que nos mantendrá siempre protegidos de las vulnerabilidades que se vayan identificando por parte de los investigadores y evitará que nuestro equipo sea comprometido.

Ante un escenario tan complejo, no existen recetas milagrosas ni medidas que por sí solas nos eximan de todo lo que pueda suceder, pero aplicándolas en conjunto sí que pueden conseguir sistemas relativamente confiables. Conforme nos adentremos en el detalle de las diferentes amenazas y los escenarios de ataques más habituales, podremos ver las medidas que se han de aplicar de manera específica para cada uno de ellos.

Ahora que ya hemos introducido los conceptos de vulnerabilidad y exploit relativos a los errores desde el punto de vista técnico, toca incidir en otro tipo de errores: los humanos. Más allá de vulnerabilidades o exploits Zero Day, gran parte de los complejos ataques que se materializan comienzan comprometiendo al eslabón más débil de la cadena: el usuario final. Por ello es indispensable conocer las diferentes técnicas que los ciberdelincuentes utilizan para este fin. Solo así podremos estar preparados para hacerles frente. Las abordamos en el próximo capítulo, dedicado a la ingeniería social.

Prev Next
La amenaza hacker
cubierta.xhtml
sinopsis.xhtml
titulo.xhtml
info.xhtml
dedicatoria.xhtml
prologo.xhtml
intro.xhtml
cap01.xhtml
cap02.xhtml
cap03.xhtml
cap04.xhtml
cap05.xhtml
cap06.xhtml
cap07.xhtml
cap08.xhtml
cap09.xhtml
cap10.xhtml
cap11.xhtml
cap12.xhtml
cap13.xhtml
epilogo.xhtml
decalogo.xhtml
agradece.xhtml
autor.xhtml