THIBER DIGESTInforme mensual de ciberseguridad

Nº 19 MAYO 2020

CIBERATAQUES ABRIL 2020

COMENTARIO THIBER:

La OTAN se prepara para el futuro

Análisis de la actualidad internacionalPEPP-PT vs DP-3T: Privacidad en la gestión de la crisis del COVID-19

Desarrollado por

THIBER DIGESTInforme mensual de ciberseguridadÍNDICE

Comentario THIBERLa OTAN se prepara para el futuro

03

Análisis de actualidadCiberataques abril 2020

06

Informes y análisis sobre ciberseguridad publicados en abril de 2020

05

Análisis de la actualidad internacional PEPP-PT vs DP-3T: Privacidad en la gestión de la crisis del COVID-19

11

Libro recomendadoContra el rebaño digital: un manifiesto

15

Nº 19 MAYO 2020

3

Com

enta

rio

THIB

ER: L

a O

TAN

se

prep

ara

para

el f

utur

o

Comentario THIBER:

La OTAN se prepara para el futuro AUTOR: Enrique Fojón Chamorro,

sub-director de THIBER

En 2019, la Alianza Atlántica reconocía al Espacio como nue-vo dominio del entorno operativo. Este reconocimiento venia acompañado de una política ambiciosa que resaltaba la impor-tancia estratégica del dominio espacial para la disuasión y de-fensa de la OTAN. En este sentido, los aliados están trabajando en la creación del futuro Centro Tecnológico Espacial, con el objetivo de garantizar el apoyo adecuado a las operaciones y misiones de la OTAN en áreas como comunicaciones, navega-ción e inteligencia. En la actualidad, más del 60% de los saté-lites pertenecen a naciones de la Alianza, por lo que la ventaja estratégica parece evidente. El espacio resulta esencial para la guerra moderna, convirtiéndose en un habilitador y multiplica-dor de la fuerza que sin una inversión y capacitación adecuada puede resultar en una perdida de vemtaja competitive.

Además, la Alianza reconoce el carácter estratégico de los datos y, por ello, está trabajando en la construcción del Centro de Data Science. La Inteligencia Artificial deberá convertirse en unos de los pilares de la Alianza para seguir manteniendo su ventaja competitiva con respecto a otras potencias como China o Rusia, que están en pleno proce-so de construcción de sus sistemas nacionales de IA a los que se están destinando importantes recursos humanos y económicos. En el corto plazo, la superioridad informativa es uno de los principales objetivos de la Alianza, aunque la realidad es que la maquinaria china o rusa en este ámbi-to se encuentran por delante de los aliados, tal y como se está poniendo de manifiesto en la gestión de la crisis del COVID-19.

4

Del mismo modo, OTAN necesita desarrollar capacidades cibernéticas de última generación que permitan contrarres-tar la amenaza ciber que los principales adversarios –esta-tales y no estatales- están contruyendo. En este sentido, OTAN está trabajando en potenciar la formación de cientos de civiles y militares en la NCI Academy, recientemente in-augurada en Portugal. La formación en materia ciber se ha convertido en una de las prioridades para muchos de los Estado Miembro que, además, disponen de sus propios pla-nes de inversión. El ámbito ciber sigue siendo de los ámbi-tos donde las capacidades de los aliados es más desigual.

En todas y cada una de estas iniciativas, el papel de la NATO Communications and Information Agency (NCIA) resultará determinante.

En la actualidad, más del 60% de los satélites

pertenecen a naciones de la Alianza, por lo que la

ventaja estratégica parece evidente.

Com

enta

rio

THIB

ER: L

a O

TAN

se

prep

ara

para

el f

utur

o

5

Info

rmes

Informes

Informe Annual de hacktivismo y ciberyihadismo (CCN) Italian National CyberSecurity

Organizations (NATO CCDCOE)

Encrypted Traffic Analisis (ENISA)

Advancing Software Security in the EU (ENISA)

The future of cybersecurity across the Asia-Pacific (HBR)

DoD Cyber Hygiene (U.S GAO)

5G Cyber Security. A Risk-Management Approach

(RUSI)

Recomendaciones de seguridad para situaciones de

teletrabajo (CCN)

6

Aná

lisis

de

actu

alid

ad: C

iber

ataq

ues

abri

l 202

0

Análisis de actualidad:

Ciberataques abril 2020

El contexto actual, en el que la demanda de material de pro-tección y ciertos equipos médicos supera con creces el su-ministro, es un caldo de cultivo idóneo para fraudes y scams. En una advertencia publicada en la web del FBI, confirmaba estar al tanto de “múltiples incidentes” en los que las agen-cias gubernamentales y estatales fueron engañadas para en-viar una anticipación de fondos a intermediarios y vendedores fraudulentos nacionales y extranjeros, a fin de adquirir ele-mentos como máscaras FFP2, EPIs y respiradores.

Estos esquemas de fraude llamados “fraude de tarifas anticipadas” se encuentran entre los más comunes en la

actualidad junto con los Business Email Compromise, se-gún el FBI. La temática común es que todos usan correos electrónicos que, mediante ingeniería social, intentan en-gañar a los usuarios para que transfieran fondos a lo que creen que son entidades legítimas. En un caso registrado el mes pasado, un comprador gubernamental norteameri-cano, contactó con un individuo que afirmaba representar a una entidad con la que dicha agencia tenía una relación comercial preexistente. Para cuando la agencia comenzó a sospechar, gran parte de los fondos se habían ya transfe-rido fuera del alcance de las LEA estadounidenses, siendo irrecuperables.

Cibercrimen

7

En un comunicado emitido por la NASA el pasado 6 de abril, la entidad reveló haber visto una actividad maliciosa “signif-icativamente mayor” por parte de actores estatales y ciber-delincuentes, atacando sistemas y dispositivo electrónicos del personal de la agencia que trabajaba desde su hogar du-rante el confinamiento por COVID-19. Algunos de sus obje-tivos incluyen acceder a información confidencial, nombres

de usuario y contraseñas, realizar ataques de denegación de servicio, difundir información falsa y llevar a cabo estafas. El Centro de Operaciones de Seguridad (SOC) de la NASA han reportado el doble de casos de phishing que un mes normal, un aumento exponencial de ataques de malware y el doble de navegaciones a web maliciosas.

Ciberespionaje

Ilustración 1. Nota publicada por el CIO de la NASA respecto al aumento de ataques identificados

En un informe publicado en abril, investigadores de la firma Qihoo 360 han informado de que atacantes con potencial vinculación estatal habrían estado ejecutando una ope-ración de ciberespionaje masivo dirigida contra agencias gubernamentales chinas y sus empleados, explotando una vulnerabilidad 0-day en servidores VPN SSL de Sangfor. La primera actividad asociada a esta campaña se remonta al comienzo del confinamiento en marzo, por lo existen indi-

cios de haber aprovechado el uso masivo de tecnologías de acceso remoto debido al teletrabajo como vector de ataque.

El equipo de analistas afirma haber detectado más de 200 servidores VPN atacados en esta campaña, perteneciendo a agencias gubernamentales en Beijing y Shanghai, y a mi-siones diplomáticas chinas que operan en el extranjero, en países como Italia, UK o Israel. La primera fase del vector

Aná

lisis

de

actu

alid

ad: C

iber

ataq

ues

abri

l 202

0

8

de ataque consistía en la obtención de acceso privilegiado en el servidor VPN mediante el mencionado 0-day. Los ata-cantes, posteriormente, reemplazaron un archivo llamado SangforUD.exe con una versión del implant bobobytrapped. Este archivo se mostraba como una actualización de la apli-cación de escritorio Sangfor, que los empleados instalan en sus PCs para conectarse a los servidores Sangfor VPN.

El mismo equipo de analistas relacionan la actividad detectada con los TTPs atribuibles al grupo DarkHotel, siendo esta una de las actividades más sofisticadas en la actualidad. Es importante destacar que algunos analistas afirman que DarkHotel es el ac-tor de amenazas que más vulnerabilidades 0-day usó en 2019, siendo la vulnerabilidad de Sangfor el tercer 0-day empleado por el grupo tan sólo en lo que llevamos de 2020.

Los componentes del grupo conocido como Ghost Squad Hackers (GSH), una facción vinculada a Anonymous, ha es-tado activo durante este período de confinamiento COVID-19 tras permanecer inactivos varios meses. GSH ha reclamado la autoría de varios ataques de en webs y servidores afilia-dos al gobierno en un intento de socavar la confianza pú-blica en el gobierno en un momento de malestar universal debido a la pandemia de COVID-19 . Bajo el liderazgo de su coordinador de facto conocido como “s1ege”, el grupo con motivación política, en las últimas tres semanas ha realizado ataques contra los servidores y webs oficiales del gobierno australiano, de India, Pakistán, Tailandia y Zimbabue.

Hacktivismo, guerra electrónica y operaciones de información

Aná

lisis

de

actu

alid

ad: C

iber

ataq

ues

abri

l 202

0

9

Si bien la mayoría de los incidentes son defacements, una táctica hacktivista común, hubo casos en los que GSH apa-rentemente consiguió acceso privilegiado un servidor del gobierno indio y filtró cuentas administrativas del gobierno australiano.

Por otra parte, investigadores de Graphika, una startup con sede en Nueva York que analiza redes sociales, afirman que el equipo, denominado Unión Internacional de Medi-os Virtuales (IUVM), ha estado activo en esas plataformas propiedad de Facebook y Twitter mientras intentan difundir propaganda y noticias falsas sobre el coronavirus. El modus

operandi de IUVM generalmente implica la creación o copia de noticias, dibujos animados o videos que amplifican las narrativas del gobierno iraní y las difunden en las redes so-ciales haciéndose pasar por periodistas o fuentes oficiales.

Entre las últimas narrativas de IUVM hay sugerencias de que COVID-19 era un arma biológica creada por EEUU, con una caricatura que imita el clásico juego móvil Angry Birds, con las aves como células de virus frente a una bandera es-tadounidense lista para ser lanzada contra su enemigo Chi-na. Esa imagen apareció a finales de febrero en una página de Facebook simplemente titulada “Daily News”.

Ilustración 2. Un grupo de desinformación vinculado a Irán ha perpetuado la afirmación de que el gobierno de Trump creó COVID-19, según investigadores de Graphika. GRAPHIKA

Como viene siendo habitual en estas fechas, a lo largo de los úl-timos años, se ha detectado un repunte de acciones de protesta en el contexto de la #OP4March y #OP25Abril, asociadas con las revueltas por el encarcelamiento de Rui Pinto, responsable de la divulgación de Football Leaks, así como por el aniversario de la denominada “revolución de los claveles”, una revuelta armada contra el gobierno del país que tuvo lugar en 1974.

El grupo portugués CyberTeam, bajo la campaña #Op25A-bril ha actuado sistemáticamente perpetrando defacements en webs como la biblioteca del Ministerio de Salud, la Pla-taforma Digital de Ayuntamientos de Portugal o el Centro de Investigación de Tecnologías Interactivas de la Universidad

Aná

lisis

de

actu

alid

ad: C

iber

ataq

ues

abri

l 202

0

10

de Lisboa; complementados con ataques de denegación de servicio contra Altice, y Energias de Portugal y filtraciones de datos contra numerosos objetivos.

Entre los objetivos se encontraban también varios organismos públicos y entidades privadas portuguesas (como instituciones financieras - Caixa Agrícola , Portal das Finanças ).

Listado de objetivos

Adicionalmente, los objetivos en Cabo Verde ( Sistemas de la Dirección de Extranjeros y Fronteras de la Policía Nacional ), Corea del Sur (sitios web .kr y KRD-NS) y Panamá ( Policía Nacional ) fueron atacados como parte de las acciones hacktivistas.

Aná

lisis

de

actu

alid

ad: C

iber

ataq

ues

abri

l 202

0

11

Aná

lisis

de

la a

ctua

lidad

inte

rnac

iona

l: PE

PP-P

T vs

DP-

3T: P

riva

cida

d en

la g

esti

ón d

e la

cri

sis

del C

OV

ID-1

9

Análisis de la actualidad internacional

PEPP-PT vs DP-3T: Privacidad en la gestión de la crisis del COVID-19 AUTORA: Cristina Marzal

El el diseño de métodos y planes para retomar la actividad y aumentar el control de la crisis del CO-VID-19, en el que se encuentran inmersas las instituciones, pasa necesariamente por la búsqueda de una solución para controlar o frenar los contagios, posiblemente siguiendo el modelo de países que han conseguido controlarlo en fase temprana como Corea del Sur. Una de las herramientas que han permitido un control tan férreo de los contagios en este país ha sido la implantación de un programa de control social estricto, cuya intromisión en la privacidad de los ciudadanos hace que resulte difícilmente compatible con los principios de privacidad que busca promover la Unión Europea en el ciberespacio.

Por ello, a nivel comunitario vienen desarrollándose diversas iniciativas por parte de grupos de expertos e investigadores para armonizar ambas necesidades. Podría decirse que, a ni-vel general, el objetivo principal de todas las soluciones que se proponen es la definición de modelos que permitan alertar a un ciudadano de que ha estado en contacto con una per-sona en fase infecciosa de COVID-19, así como permitir que esta persona, al dar positivo en un test, consiga notificarlo a las autoridades sanitarias. Además, cualquier solución debe cumplir con los requisitos del Reglamento General de Protec-ción de Datos y la directiva ePrivacy. Si bien estas normas no prohíben el tratamiento de datos personales con fines justi-ficados, pero sí indican que dicho tratamiento, como el de todos los datos personales, deberá ser el mínimo posible que permita la consecución de dicho objetivo.

Modelo centralizado vs descentralizadoEn este sentido, actualmente asistimos a un duro debate de de privacidad entre las dos principales propuestas que se va-loran: el modelo PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) y el modelo DP-3T (Decentralized Priva-cy-Preserving Proximity Tracing). Ambos se basan en el em-pleo de la tecnología bluetooth y los dispositivos móviles para que, a través de lo que se conoce como “bluetooth handsha-ke” (protocolo de comunicación en el cual un dispositivo en-vía una señal a otro, y el receptor le responde) para, en base a la información intercambiada, poder detectar si una persona ha estado en contacto con otra que haya dado positivo y pue-da, por tanto, haber contraído también la enfermedad.

12

Las diferencias entre estos grupos se basan en su enfoque, que se está catalogando como “centralizado” en el caso del PEPP-PT y “descentralizado” en el caso de DP-3T. En ambos el proceso clave es el cruce entre una serie de combinacio-nes de números y letras que emiten los dispositivos, llama-das “IDs efímeras” o EphIDs en inglés, con las IDs que ha generado anteriormente una persona infectada por corona-virus. Cuanto mayor sea el tiempo y menor la distancia a la que se han producido estos cruces, mayor será el cálculo de riesgo que realizará el programa. A partir de un determinado nivel de riesgo, emitirá una alerta al usuario informándole de que puede haber contraído la enfermedad debido a dicho

contacto. La principal diferencia entre ambos modelos es que en el “centralizado” este cálculo de riesgo se realiza en un servidor, mientras que en el modelo “descentralizado” lo realiza el propio dispositivo en local. Así, en DP-3T, el único momento en el que un usuario comparte alguna información con un servidor es si él mismo da positivo en un test y de-sea comunicarlo a las autoridades. En ese caso, autoriza un envío únicamente de las IDs que ha ido generando durante los últimos 15 días a dicho servidor, el cual a su vez realiza, periódicamente, reportes a los demás dispositivos móviles con un “listado” de todas estas IDs para que cada uno, en local, pueda realizar su correspondiente cálculo de riesgo.

Modelo descentralizado. Fuente: DP-3T

Por su parte, el modelo PEPP-PT no depende del envío vol-untario de la información por parte del usuario a las auto-ridades, permitiendo un seguimiento más fluido por parte de las autoridades sanitarias acerca de aquellos cálculos de riesgo y alertas emitidas por el sistema a los diferentes usuarios, algo que no resulta posible en DP-3T, en el cual solamente el usuario puede visualizar la alerta y, en caso de realizarse el test y dar positivo, informar a las autoridades si así lo desea. Este es, posiblemente, el principal argumento que sostiene el enfoque centralizado, debido a la mayor di-sponibilidad de información para las autoridades sanitarias y su previsible efecto positivo en la gestión de la epidemia.

Sin embargo, los desarrolladores de DP-3T inciden en que la centralización de la información en un servidor controlado por las autoridades hace que resulte posible cruzar los da-tos y extraer metadatos o tendencias a través de los cuales se puedan identificar y rastrear a las personas infectadas por la enfermedad. Concretamente, en el whitepaper donde describen sus avances, estos expertos inciden en la impor-tancia de la “privacidad por diseño”, es decir, en la impor-tancia de desarrollar la privacidad como parte inherente a estas soluciones. En caso de no respetarse esta privacidad por diseño, la aplicación comparte más datos de los que se necesitarían para gestionar la pandemia, dependiendo

Aná

lisis

de

la a

ctua

lidad

inte

rnac

iona

l: PE

PP-P

T vs

DP-

3T: P

riva

cida

d en

la g

esti

ón d

e la

cri

sis

del C

OV

ID-1

9

13

únicamente del buen hacer de quien la gestiona para que dichos datos no fueran utilizados de forma contraria a los intereses del ciudadano.

Modelo centralizado. Fuente: PEPP-PT

¿Hacia qué modelo avanzamos?En la resolución 2020/2616(RSP) de 17 de abril, el Par-lamento Europeo se posicionó claramente a favor de un modelo descentralizado. Concretamente, requiere que “los datos generados no se almacenen en bases de datos cen-tralizadas, las cuales son vulnerables a posibles riesgos de abuso y pérdida de confianza”, requiriendo además que el código y las especificaciones sean transparentes para per-mitir la revisión de terceros y el testeo de sus capacidades1. Sin embargo, en el toolkit desarrollado por la Comisión

1 https://www.europarl.europa.eu/doceo/document/TA-9-2020-0054_EN.pdf

Europea en el que se incluyen los avances técnicos y se valoran las opciones, se contemplan tanto las iniciativas de-scentralizadas como las centralizadas.2

Esta ausencia de consenso ha hecho que los países tam-poco adopten por el momento un enfoque común. Concre-tamente, España, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, ha anunciado su ad-hesión al consorcio que desarrolla PEPP-PT. Sin embargo, de forma contraria a esta tendencia, la iniciativa presentada por Apple y Google el pasado mes guarda mucha similitud con DP-3T, adoptando un enfoque descentralizado. Esto se complica más todavía si consideramos que Apple y Goo-

2 https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf p. 14

Aná

lisis

de

la a

ctua

lidad

inte

rnac

iona

l: PE

PP-P

T vs

DP-

3T: P

riva

cida

d en

la g

esti

ón d

e la

cri

sis

del C

OV

ID-1

9

14

gle son capaces, como vienen anunciando, de implementar esta solución como una actualización en el sistema opera-tivo de los dispositivos móviles, mientras que, hasta el mo-mento, si no la apoyan estas empresas, cualquier solución de tipo PEPP-PT tendrá que venir implementada a través de una app que, según afirman Apple y Google, obligará a que el teléfono se encuentre siempre desbloqueado para poder funcionar correctamente.

Los resultados del proyecto alemán, así como las especifi-caciones que presente el proyecto conjunto de Apple y Goo-gle en mayo3, serán clave para guiar a los Estados europeos hacia la adopción de una solución u otra y, quien sabe, tal vez hacia el desarrollo de la solución común que promueve la Comisión Europea.

3 https://www.apple.com/covid19/contacttracing/

Aná

lisis

de

la a

ctua

lidad

inte

rnac

iona

l: PE

PP-P

T vs

DP-

3T: P

riva

cida

d en

la g

esti

ón d

e la

cri

sis

del C

OV

ID-1

9

15

Libr

o re

com

enda

do: S

uper

pote

ncia

s de

la in

telig

enci

a ar

tific

ial

Libro recomendado:

Superpotencias de la inteligencia artificial

Los grandes avances teóricos en inteligencia artificial han producido prácticas aplicaciones que están a punto de cambiar nuestra vida. Ya impulsa muchos de nuestros sitios web favoritos pero en los próximos años también conduci-rá nuestros coches, gestionará nuestras carteras, fabricará gran parte de lo que compramos y sus consecuencias po-drían dejarnos sin trabajo.

En los últimos años China se ha convertido en una verdade-ra superpotencia de la IA y el único verdadero contrapeso nacional a Estados Unidos en esta tecnología emergente. Por ello, la forma en que estos dos países decidan competir y cooperar podría llegar a tener consecuencias dramáticas para la economía y la gobernabilidad mundial.

En este libro, Kai-Fu Lee, uno de los expertos más respe-tados en China en inteligencia artificial, les pide a ambos países que acepten la gran responsabilidad que conlleva un poder tecnológico tan significativo y nos advierte que, debi-do a estos progresos sin precedentes, tendrán lugar gran-des cambios mucho antes de lo que todos pensábamos.

La mayoría de los expertos ya dicen que la IA tendrá efectos devastadores para los trabajos manuales, pero Lee predice que los trabajos de oficina también sufrirán un fuerte im-pacto. Superpotencias de la Inteligencia Artificial nos ofre-ce una clara descripción de qué trabajos serán afectados y cuándo, cuáles pueden mejorar gracias a la IA y, lo más importante, cómo podemos aportar soluciones a algunos de los cambios más profundos de la historia de la humanidad, que están a punto de llegar.

Autor: : Kai-Fu Lee

Editorial: Deusto

Año: 2020

Páginas: 385

Precio: 18,00 Euros

Sinopsis

COMPRAR

Copyright y derechos:

THIBER, the Cyber Security Think Tank

Todos los derechos de esta Obra están reservados a THIBER, the Cyber Security Think Tank.

El titular reconoce el derecho a utilizar la Obra en el ámbito de la propia actividad profesional con las siguientes condiciones:

a. Que se reconozca la propiedad de la Obra indicando expresamente el titular del Copyright.

b. No se creen obras derivadas por alteración, trasformación y/o desarrollo de esta Obra.

El titular del Copyright no garantiza que la Obra esté ausente de errores. En los límites de lo posible se procederá a corregir en las ediciones sucesivas los errores señalados. Eventuales denominacio-nes de productos y/o empresas y/o marcas y/o signos distintivos citados en la Obra son de propie-dad exclusiva de los titulares correspondientes.

Informe editado en Madrid.

Más información:

THIBER, The Cyber Security Think Tank.