Tiempo de lectura aproximado: 9 minutos. Exposición en vídeo de la entrada aquí.
Como se ha mencionado en múltiples oportunidades, el capital humano es causante de muchos de los incidentes que se producen en los sistemas informáticos. La idea de este artículo no es analizar los problemas en la actuación que generan los impactos, sino aportar claridad sobre los problemas que con mayor frecuencia se producen y que deben ser informados los órganos que atienden los problemas de ciberseguridad en las instituciones y el país.
El hecho de que un incidente no se mencione, no lo saca del listado de las anomalías a informar a través de los canales establecidos. Es importante recordar, que todos los problemas que se detecten deben ser comunicados a los directivos y a los encargados de la seguridad informática en las áreas no sin antes preservar la evidencia y hacer la anotación de todos los detalles en el libro de incidencias del área, tal como establece el artículo 22 de la resolución 105/2021 del Ministerio de Comunicaciones de la República de Cuba.
Para comprender mejor el tema es necesario partir del concepto de incidente de ciberseguridad, para lo que se utiliza la definición aportada por la propia resolución 105/2021 del MINCOM en su artículo 7.
En la mencionada norma se expone como “cualquier evento que se produzca de forma accidental o intencional, que afecte o ponga en peligro las tecnologías de la información y la comunicación o los procesos que con ellas se realizan”. (res. 105/21. MINCOM)
El referido texto jurídico expone los incidentes a atender de forma prioritaria en diecisiete (17) categorías clasificadas según su peligrosidad como muy alta o alta. En cada una de ellas, se expone que acciones se engloban en ella. Estas pueden conocerse de manera más amplia al consultar el anexo II de la norma legal.
La primera categoría se denomina: “Daños ético morales” que incluye el eco mediático de noticias falsas, el bloqueo masivo de cuentas en redes sociales y la difusión dañina. Esta categoría se enfoca hacia las noticias falsas que se divulgan para ofender o difamar, los mensajes que se difunden con la finalidad de provocar revueltas, movilizaciones o actos que incitan incluso a la violencia y la afectación a cuentas en las redes sociales.
La segunda categoría se enfoca a los “desastres naturales”, donde están incluidos los terremotos, huracanes, derrumbes, descargas eléctricas, inundaciones, aludes y otras que puedan poner en peligro no solo a las TIC, sino también a los usuarios de estas.
La tercera categoría esta enfilada a los “incidentes agresivos”, que incluyen el ciberterrorismo, la ciberguerra y la subversión social, con acciones que a través de mensajes con las TIC promueven a la alteración del orden y funcionamiento en el país, junto al desarrollo de una guerra no convencional que se sustenta en acciones sobre infraestructuras críticas como la transmisión y distribución de electricidad y el agua para provocar impactos en el acontecer político, social y económico del país.
La categoría cuarta es: “contenido dañino” que se sustenta en el fraude, con acciones que lesionan a personas, instituciones y al propio Estado.
En quinto lugar aparecen los “incidentes contra la dignidad y la individualidad” donde destacan la pornografía, el ciberacoso y el engaño pederasta (grooming).
En el lugar seis destacan los “daños físicos” que están relacionados en primer lugar con el robo de equipamiento informático o sus partes y con las afectaciones en el sistema de comunicaciones por fuego, escapes de gas o agua, polución, corrosión, roturas de cables accidentes automovilístico, o aéreo, entre otras causas.
La categoría séptima se refiere a las “acciones no autorizadas” que incluyen el uso no autorizado de recursos, donde el escalado de privilegios tiene un lugar importante, instalación de software no autorizado que cambie el escenario establecido para las TIC en la institución y sus áreas, el acceso no autorizado a la administración de sitios web y servicios ilegales a través de las TIC.
Las cuestiones plasmadas en la octava categoría se refieren a “fallas de la infraestructura”. En este rubro se incluyen los fallos en la climatización y la electricidad.
En noveno lugar se establecen como categoría las “fallas técnicas” que incluyen las fallas en el equipamiento por problemas de hardware. También, en este grupo se encuentran los fallos de aplicaciones y servicios y las plataformas desactualizadas, cuestiones estas que hacen peligrar la estabilidad del sistema informático.
El décimo puesto lo ocupan las “interferencias” como resultado de radiaciones, pulsos electromagnéticos, entre otras y los cambios en las características de aplicaciones, equipos o componentes y servicios, como resultado del borrado o modificación no autorizada.
La categoría que ocupa el undécimo lugar se refiere a la “información comprometida”. Esto está relacionado directamente con la afectación a la confidencialidad, la disponibilidad y la integridad de la información. En esta categoría es esencial la atención al phishing, que es muy utilizado en los ataques a la red de la universidad.
Además se destacan la publicación o pérdida de información oficial clasificada, la pérdida de datos e información, robo de información, sniffers (usado en la captura de tráfico de red no cifrado para detectar vulnerabilidades), hombre en el medio (man in the middle) que se refiere a la intercepción de mensajes por un atacante que luego simula ser uno de los extremos de la conexión. También destaca la ingeniería social, cuyo uso es muy frecuente en los ataques en la actualidad, además de ser de peligrosidad alta y las pruebas de penetración ilegales en busca de vulnerabilidades del sistema informático.
La categoría doce se refiere a la comercialización ilegal de productos de software o hardware y servicios de redes.
Por su parte, la décimotercera categoría está referida a los “correos no deseados”, que si bien, su nivel de peligrosidad es bajo, es una de las acciones que con mas frecuencia se observa en el tráfico en la red UONet. En este grupo están las conocidas cadenas, los hoax con contenidos falsos y de alarma que intentan confundir al receptor y el spam que se envía de forma masiva a gran número de usuarios sin que estos se interesen en su recepción.
El lugar catorce lo ocupa la “desfiguración de sitios web” que se sustenta en dos acciones: la inclusión local o remota de archivos como resultado de errores de configuración y la inyección de código, que genera errores en la recepción de la información que se solicita.
La categoría quince es el “compromiso de las funciones” que engloba la violación de los derechos de autor, el robo de credenciales de usuario y la suplantación de identidad, que han sido analizadas en otras oportunidades en el Blog de Ciberseguridad de la UO. Estas tienen una peligrosidad alta por su utilización en la comisión de delitos.
En el lugar décimosexto lo ocupa la categoría: “programas malignos”, que a pesar de tener una peligrosidad alta o muy alta, según el vector utilizado, no es atendida su enfrentamiento y prevención como se debe por los usuarios.
En este grupo se incluyen la amenaza persistente avanzada (APT) que es orquestada por piratas informáticos de forma sigilosa, también están los robots informáticos (botnet, también vista como red de equipos zombies controlados de forma remota). También se incluyen el ransomware, los gusanos y los troyanos, los ataques de mando y control, los virus informáticos, los programas espías (spyware), dailers para marcaciones de números telefónicos sin consentimiento y los rootkits que permite el acceso privilegiado a áreas de un ordenador mientras oculta algún proceso corruptivo.
Finalmente en el lugar diecisiete se encuentran los “ataques técnicos o intrusión”. Estos se enfocan en agredir, a partir de diversas técnicas, que provocan problemas operacionales de servicios o recurso. Son conocidos como ataques de denegación de servicios: DoS (desde un punto) y DDoS (desde varias ubicaciones).
El conocimiento de estas categorías y los vectores de ataque de los incidentes, es un imperativo ante la necesidad de detenerlos para evitar la pérdida de información y sobre todo, para aprender como operan los ciberdelincuentes para caer en sus fauces.