El Coronel Fernando Acero, CISO del grupo Oesía, ha hablado en directo con Philippe Lhardy, responsable de @OpenExpoEurope sobre Ciberseguridad en el podcast de "Más allá de la Innovación"·. Entre los temas que se han tratado figuranlos últimos ataques que se están sufriendo en España, por qué han sido tan efectivos;También se han abordado las sospechas que apuntan a Rusia como posible responsable del ataque del SEPE, entre otros muchos asuntos relacionados con la ciber defensa y ciberseguridad.
Al ser preguntado sobre el enorme número de ciberataques que ha recibido España ha manifestado que "son muy violentos, se están produciendo una enorme cantidad de ciberataques que afectan tanto a organismos públicos como empresas. Desde marzo del año pasado cuando empezó la pandemia comenzaron los ataques a aumentar en cantidad y en calidad. Esto ha ido a peor, , y en los últimos meses han sido críticos. En granparte se debe a una transformación digital posiblemente apresurada en la cual la ciberseguridad no estaba por defecto ni por diseño. Y eso tenemos que evitarlo en la medida de lo posible".
"Si no tienes cortafuegos, prácticamente estás muerto"
Estos ataques, ha incidido Philippe Lhardy, parecen efectivos, y a primera vista resulta muy difícil defenderse de ellos. Fernando Acero, que hasta su paso a la reserva fue Director de Ciberdefensa del Ejército del Aire, ha manifestado que "están usando una gran cantidad de dominios maliciosos. Para hacernos una idea de lo que es Ryuk, hay que decir que implica más de 600 dominios diferentes que están usando los atacantes, porque tienen muchísimos recursos. Y eso implica tener que estar tapando muchos recursos en los recursos de las organizaciones si es que tienes cortafuegos. Si no tienes cortafuegos prácticamente estás muerto". Y añade: "El hecho de que un ataque de Ryuk suponga entre unos 4.000 y 7.000 eventos diarios complica todo mucho, si no eres capaz de filtrarlos, está claro que tarde o temprano vas a caer".
Por supuesto, Lhardy no evitó una pregunta delicada, si Rusia estaba o no detrás del ataque al SEPE. Está fue la respuesta del Coronel Fernando Acero: "Esto es un tema complicado, por una sencilla razón. Se sabe que el grupo que opera Ryuk, la amenaza que ha afectado al SEPE es de origen ruso. El hecho de que haya sido un grupo interpuesto o haya sido de motu propio, y que según ha publicado la prensa, no hayan pedido rescate, algo que no es habitual, parece hacer pensar que ha sido una venganza o un intento de asesinato de datos a un organismo.Ha hecho mucho daño por la cantidad de personas que se han visto afectadas, como hemos podido leer en la prensa. Está claro que el origen del ataque al SEPE es ruso, otra cosa es difícil de afirmar".
Lhardy también apuntó la posibilidad de la "falsa bandera", que un tercer país se hubiera hecho pasar por Rusia. Fernando Acero no lo cree así: "Y no lo creo por una razón muy sencilla, una cosa puede ser la carga de pago, el malware Ryuk que parece ser que compiló en el día anterior al ataque y otra muy distinta toda la estructura que se necesita para un ataque de este tipo. Se podría falsificar la carga de pago final. Si tengo acceso al código fuente la puedo recompilar en otras condiciones, y puedo lanzarla, pero si en los Indicadores de compromiso, que son esas IPs, esos dominios no hay cambios, por otros ataques que se hayan recibido en otras organizaciones, es dificilísimo. Es imposible falsificar el origen del ataque, no sabremos quién es, pero sabemos que es el mismo grupo de ciberdelincuentes, el mismo grupo gubernamental el que está detrás de ese ataque".
"Lo único que no va a cambiar es lo que dijo Putin en su momento, que cambiaría la intensidad de los ataques, no el hecho de que no se produzcan"
En la charla Acero hizo alusión a la "guerra híbrida, a esa zona gris donde estamos a caballo de lo legal o ilegal en el ámbito del derecho internacional", y es algo que no nos debe de sorprender. Y añadió "de hecho Rusia tiene una estrategia en este tema. Lo que tenemos que tener claro es que las acciones en el ciberespacio se van a producir en cualquier momento, en cualquier etapa de una escalada y puede ir desde tiempos de paz, como estamos viendo, acrisis, conflicto o guerra declarada. Lo único que no va a cambiar es lo que dijo Putin en su momento: ' Lo que si va a cambiar es la intensidad de esos ataques, pero no el hecho de que no se produzcan', esas fueron sus palabras ".
El gran reto de la ciberseguridad, el reciente ataque a Phone House, la doble coacción y la historia de Ashley Madison
Con respecto al gran reto de la ciberseguridad Lhardy se preguntaba si vamos remando en la dirección adecuada, o si por el contrario estamos empeorando. La impresión de Fernando Acero es que "vamos empeorando porque faltan muchas cosas por hacer,y evidentemente con un incremento de ataques, y con los recursos que tienen los atacantes, es evidente que esto va a peor y lo vemos en la prensa todos los días". El hecho de que el ransomware se ha quedado entre nosotros y esté muy lejos de ser una moda pasajera es alarmante, pero mucho más que "hayan empeorado estos ataques con la amenaza de publicar los datos, porque primero te los roban, eso se llama doble coacción... Primero te los roban y si no pagas te amenazan con publicarlos, y pueden ser datos sensibles, datos de Investigación y desarrollo, de los clientes... algo que puede hacer mucho daño a las organizaciones, tanto públicas como privadas".
También se ha aludido al tema del ataque a Phone House: "Se han filtrado un montón de datos y no se tenían que haber filtrado datos de hacía tanto tiempo. También es responsabilidad de las empresas limpiar sus bases de datos y no mantener datos de mucho, mucho tiempo atrás, y sobre todo, no mantener esas bases de datos que son críticas para las organizaciones tan expuestas en Internet. Es algo que se lleva hablando desde hace tiempo. El tema de cifrado de datos, tanto datos en reposo, como en proceso, como en tránsito. Y es la manera de luchar contra este tipo de filtraciones. En el caso de Ashley Madison fue muy impactante, y una recomendación clara es que no se use el correo corporativo para temas que no sean prfesionales, porque pueden intentar conseguir información de las empresas extorsionando a esas personas".Y es que en el caso de la agencia de contactos para infieles casados "había de todo, como correos corporativos que indicaban dónde trabajaba esa persona. Luego ibas a Facebook y podías ver con quien estaba casada esta persona, y decirle, si no me pagas, tú mujer se va a enterar de lo que estabas haciendo con menganita".
Consejos para empresas, administraciones y países
Fernando Acero echa en falta poder disponer de "los IOC con contexto, porque cuando atacan una organización como el SEPE, haber podido tener ocasión de acceder a esos IOC hubiera sido útil,porque son indicadores recientes, son locales, son los que se están usando en nuestro entorno cercano, porque estarán usando VPNs, estarán usando una infraestructura cercana a nosotros. Y eso ya lo he visto en otros ataque por Ryuk, que intentan buscar dominios que se parezcan al dominio de la organización que van a atacar, intentan buscar VPNs más cercanas en Europa, y eso hace falta tenerlo". También hecha en falta "que nos digan claramente cuando se ha producido un ataque y cuando es seguro conectarnos a esa organización", como en el caso del SEPE o una entidad de seguros. Añade que así "podemos cortar todas las comunicaciones y poder evitar una infección de la nuestra a través de un correo electrónico o una conexión que tengamos con esa organización. Muchas veces se corta más tiempo del necesario por la falta de transparencia y comunicación ". Y es que esas compañías tienen redes sociales en las que dicen que han sido ciberatacados, pero deberían decir "hemos solventado todos los problemas aunque no estén todos los datos volcados y tal, y por lo menos ya es seguro comunicarse con nosotros, o dar unos medios alternativos de comunicación, etc, etc..., y eso no se está haciendo".
"Muchas veces nos encontramos con que se divulgan IOCs, y cuando van orientados a archivos maliciosos, nos encontramos con que uno está en MD5, otro SHA2, otro SHA1 y no todos los cortafuegos aceptan todos los formatos de Hash. Entonces es muy difícil cortar la amenaza y termina afectándote, que es lo que está ocurriendo".
Incide en que es preciso que los Indicadores de Compromiso deberían estar públicamente disponibles con su contexto y la fecha de la organización que ha sido atacada "para que todos podamos usarlo, y no de forma sectorial, por CERT, porque tenemos al CCN por un lado, por otro lado al INCIBE, y debería haber una página web nacional donde todo el mundo en un formato interoperable, y en varios formatos. Porque muchas veces nos encontramos con que se divulgan IOCs, y cuando van orientados a archivos maliciosos, nos encontramos con que uno está en MD5, otro SHA2, otro SHA1 y no todos los cortafuegos aceptan todos los formatos de Hash. Entonces es muy difícil cortar la amenaza y termina afectándote, que es lo que está ocurriendo".
El recurso de crear un gueto digital
Otro tema que es de mucha importancia es "ser proactivo contra la amenaza". Otro asunto que está viendo Fernando Acero en relación con Ryuk, es IOCs de Ryuk en ataques recientesque se conocen desde el 10 de diciembre del 2020: "Esto no puede ser. Recientemente ha habido una noticia de que la Interpol había desmantelado la infraestructura de EMOTET y yo creo que en el caso de Ryuk había que adoptar una actitud similar". Explica que no podemos estar cortando continuamente, porque además, "los atacantes tienen una tasa de renovación de dominios cercana al 5% semanal. Van cambiando los IOCs, y en un momento determinado no puedo protegerme y me afectará la amenaza. Sin embargo, si nosotros le vamos haciendo daño al atacante y le vamos desmantelando la infraestructura, la amenaza va a ser más ligera y no le va a resultar tan rentable atacar a ciertos sitios porque va a haber una respuesta de desmantelamiento".
Es consciente que hay gente que piensa que desmantelar una infraestructura implicaun ciberataque mayor. No tiene por qué. ser así. A Fernando Acero durante la pandemia le daban dominios que se estaban usando para atacar hospitales "y yo lo que hacía era mandar tres o cuatro correos, básicamente era mandar un correo al hosting, otro al que había registrado el dominio, y si había un certificado digital asociado a la página también me ponía en contacto con la empresa o la organización que había otorgado ese certificado digital a ese dominio. Si era legítimo me ponía en contacto con el responsable del dominio. He de decir que con dominio o incluso con hosting en Rusia, en China y en Japón, el porcentaje por éxito de esos correos ha sido del 85%. Esos dominios han dejado de estar disponibles. Y esos ataques que venían por ahí no los ha tenido que filtrar nadie más, porque ese dominio ha quedado sin contenido y no accesible a través de DNS, con lo cual todos ganamos con esta postura".
Y es que los ciber atacantes también tienen un presupuesto, y se les hace daño de esta manera, inutilizándoles dominios "y si les atacamos donde más les duele, dañando su infraestructura, vamos a ganar".
Este tipo de acciones afirma, generan un "gueto digital", porque si no pueden acudir a instituciones legítimas, acudirán a otras menos legítimas más fáciles de filtrar. "Si hubiera un hosting malicioso que fuera un nido de piratas sería tan fácil como filtrar todas las IP de ese hosting y ya nos quitamos el problema de encima". Es lo que se llama la pirámide del dolor: "intentar hacer cada vez más daño al atacante para reducir las posibilidades de ataque y su ventaja clara ahora mismo porque ellos e mueven como Pedro por su casa por todos los sitios. No podemos seguir trabajando de esta manera ".
Tener una conformidad con el Esquema Nacional de Seguridad es una buena herramienta, pero no es un tema definitivo, afirma Fernando Acero
Philippe ha incidido en el tema del SEPE: "Se ha dicho que no cumplía con del ENS y había obsolescencia", y le ha preguntado a Fernando Acero. No tiene constancia sobre ello Fernando Acero más allá de los datos publicados en la prensa, pero "evidentemente la A de la ciberseguridad es la A de actualización, si no tenemos actualizados nuestros sistemas, tenemos un serio problema, habrá vulnerabilidades no parcheadas porque no tendrá soporte del fabricante y eso es un problema". En cuanto al ENS ha recordado que otras organizaciones han caído por Ryuk teniéndolo recién obtenido. Admite que "tener una conformidad con el Esquema Nacional de Seguridad es una buena herramienta, pero no es un tema definitivo... El ENS está muy bien pero yo lo considero en muchos casos una política de mínimos, igual que una ISO 27001, como tantas cosas. La ventaja de la ENS frente a la ISO 27001 es que está muy desarrollado, tienes vías de bastionado de sistemas, mucha información muy útil y yo recomiendo que cuando alguna empresa quiera hacer algo con la ciberseguridad vaya al ENS, porque es lo mejorcito que tenemos en Ciberseguridad y con la garantía del Estado ". En cuanto al tema de la obsolescencia, las circunstanciasno ayudan, sostiene: "Si hay una crisis económica en organizaciones, en empresas, si falta gente porque están de teletrabajo ylos sistemas no se parchean ni actualizan, tenemos un serio problema".
Han sido muchos los temas tratados, desde la obsolescencia programada del Windows LTSC a cinco años, las nueva amenazas que vienen,la elección de las tecnologías; o incluso, a nivel de usuario de los peligros de coger un pen drive por la calle, meterlo por curiosidad en nuestro ordenador e infectarlo. Recomendamos escuchar el vídeo en su integridad.