ciberamenaza - sie.fer.es entrega... · capacidades de productos de cifra para manejar información...
TRANSCRIPT
![Page 1: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/1.jpg)
© 2016 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
CIBERAMENAZA
![Page 2: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/2.jpg)
El cambio es exponencial
4000 a.C. ~ 1763
1971 ~ 2014
Consumo medio de
electricidad
per cápita
Consumo medio de
información per cápita
Penetración de internet
Consumo
medio de proteínas
per cápita
Sociedad
agraria
Sociedad industrial
Sociedad de Internet
Sociedad de
los datos
1764 ~1970
Después de 2015
![Page 3: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/3.jpg)
Toda esta TECNOLOGÍA está ahora en un smartphone
1991
El ordenador en tu
MANO es más
POTENTE que el que
cargaban
estos 13 hombres en
1957
![Page 4: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/4.jpg)
Las
REDES
SOCIALES tienen
un
IMPACTO instantáneo
y masivo
1 2 3 4 5
6
7
8
9
10
1,360
832
800
380
200
1,490
316
300
320
500
OCT 2015
![Page 5: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/5.jpg)
La disrupción en servicios es cada vez más rápida
1878 2015 1898 1918 1938 1998 1958 1978
1878
1979
1990
2003
2004
2009
2010
2008
2012
Año de lanzamiento
1 año 3 meses
2 años 4 meses
3 años 4 meses
2 años 2 meses
4 años 6 meses
6 años 5 meses
7 años
16 años
75 años
Tiempo necesario para alcanzar 100
millones de usuarios
![Page 6: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/6.jpg)
Ser disruptivos o no ser
6 años
Nueva York, 2015
Uber ha crecido más rápido en sus
primeros
5 años que Facebook en los suyos El mayor proveedor de
alojamientos,
no posee ninguna
propiedad
El mayor dueño de
contenidos del mundo, no
los genera
La mayor compañía
de taxis del mundo,
no tiene ningún coche
El minorista más
valorado, no tiene
inventarios
![Page 7: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/7.jpg)
Vemos problemas de seguridad a diario
3.635.281 diariamente
151.470 por hora
2.525 por minuto
42 por segundo
Puedes cambiar tu contraseña pero no tus datos personales
Ficheros de datos perdidos o robados desde 2013
![Page 8: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/8.jpg)
Si no estás pagando por el producto,
TU eres el producto
La “huella digital” de nuestra vida, consciente o desapercibida, tendrá un enorme
valor económico en el futuro, y se podrá vender e intercambiar por efectivo, descuentos, productos o servicios que cada vez están más personalizados y
adaptados al cliente.
Huella Digital
![Page 9: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/9.jpg)
9
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
![Page 10: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/10.jpg)
10
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
![Page 11: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/11.jpg)
11
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
![Page 12: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/12.jpg)
12
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
![Page 13: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/13.jpg)
13
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
![Page 14: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/14.jpg)
14
www.ccn-cert.cni.es
Riesgos asociados a las redes sociales
![Page 15: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/15.jpg)
ÍNDICE
1. CCN / CCN-CERT • Marco Legal
2. ESTADO DE LA AMENAZA • PARTE OFENSIVA
• PARTE DEFENSIVA
3. Concienciación en Ciberseguridad
![Page 16: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/16.jpg)
![Page 17: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/17.jpg)
El CCN actúa según el siguiente marco legal:
Real Decreto 421/2004, 12 de marzo, que regula
y define el ámbito y funciones del CCN.
Ley 11/2002, 6 de mayo, reguladora del Centro
Nacional de Inteligencia (CNI), que incluye al
Centro Criptológico Nacional (CCN)
Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el ámbito
de la Administración Electrónica
RD 951/2015, 4 de Noviembre. Actualización
Orden Ministerio Presidencia PRE/2740/2007, de 19 de
septiembre, que regula el Esquema Nacional de
Evaluación y Certificación de la Seguridad de las
Tecnologías de la Información
![Page 18: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/18.jpg)
Sobre el CCN … • Ley 11/2002 reguladora del Centro Nacional de
Inteligencia,
• Real Decreto 421/2004, 12 de Marzo, que regula y
define el ámbito y funciones del CCN.
Real Decreto 3/2010, 8 de Enero, que define el
Esquema Nacional de Seguridad para la
Administración Electrónica, modificado por el RD
951/2015 de 23 de octubre.
Establece al CCN-CERT como CERT Gubernamental/Nacional
HISTORIA
• 2006 Constitución en el seno del CCN
• 2007 Reconocimiento internacional
• 2008 Sistema Alerta Temprana SAT SARA
• 2009 EGC (CERT Gubernamentales Europeos)
• 2010 ENS y SAT Internet
• 2011 Acuerdos con CCAA
• 2012 CARMEN
• 2013 Relación con empresas
• 2014 LUCÍA e INES
• 2015 Ampliación SAT Internet
• 2016 REYES
MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el
centro de alerta y respuesta nacional que coopere y ayude a
responder de forma rápida y eficiente a las Administraciones
Públicas y a las empresas estratégicas, y afrontar de forma activa
las nuevas ciberamenazas.
COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados
y sobre sistemas de la Administración y de empresas
pertenecientes a sectores designados como estratégicos.
Centro Criptológico Nacional
![Page 19: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/19.jpg)
Actividades del CCN
Normativa Art 2. Apdo.2a RD 421/2004: Elaborar y difundir
normas, instrucciones, guías y recomendaciones
para garantizar la seguridad de las TIC
Formación
Art 2. Apdo.2b RD 421/2004: Formar al personal
de la Administración especialista en el campo
de la seguridad de las TIC
Velar
Art 2. Apdo.2f RD 421/2004: Velar por el
cumplimiento normativa relativa a la protección
de la información clasificada en Sistemas TIC
Desarrollo normas,
procedimientos, instrucciones
y guías: Serie CCN-STIC
Concienciación
Cursos STIC
Inspecciones técnicas STIC
Análisis vulnerabilidades
Auditorías de seguridad
![Page 20: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/20.jpg)
…
Actividades del CCN
Desarrollo
Art 2. Apdo.2e RD 421/2004: Coordinar la
promoción, desarrollo, obtención, adquisición,
explotación y uso de tecnologías de seguridad
Evaluación
Art 2. Apdo.2d RD 421/2004: Valorar y acreditar
capacidades de productos de cifra para
manejar información de forma segura
Certificación
Art 2. Apdo.2c RD 421/2004: Constituir el organismo
de certificación del Esquema Nacional de
Evaluación y Certificación del ámbito STIC
APROBACIÓN DE USO
Equipos para proteger
información clasificada
Difusión Limitada
Routers IPSec
APROBADO
De acuerdo con al configuración segura
y el documento:
- CCN-PE-2009-02 Configuración de
seguridad routers IPSec
- CCN-IT-2009-01 Implementación
segura VPN con IPSec
Conocimiento amenazas
Necesidades operativas
Estado tecnología seguridad
Conocimiento industria sector
Seguridad funcional
Criptológica
TEMPEST
Seguridad funcional
Criptológica
TEMPEST
![Page 21: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/21.jpg)
Actividades del CCN
Gestión de Incidentes
Detección de la
Amenaza
Real Decreto 3/2010, 8 de Enero, que define el Esquema
Nacional de Seguridad para la Administración Electrónica.
RD 951/2015, 23 de octubre. Actualización
Diversidad de fuentes de
información
Sistemas de Alerta
Ingeniería Inversa
Análisis forense
Sistemas de gestión de
incidentes
Sistemas de intercambio de
información
Ley 11/2007 y Real Decreto 3/2010, 8 de Enero, que define
el Esquema Nacional de Seguridad para la Administración
Electrónica. RD 951/2015, 23 de octubre. Actualización
![Page 22: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/22.jpg)
AMENAZAS 2015
TENDENCIAS 2016
![Page 23: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/23.jpg)
Año
Concepto
Seguridad Amenaza Cambios Tecnológicos
1980-90
Compusec
Netsec
Transec Naturales
Telecomunicaciones
Sistemas Clasificados
1990-2004 Infosec
Info. Assurance Intencionadas
Redes corporativas
Sist. Control industrial
Infraestructuras Criticas
2005-2010 Ciberseguridad
Ciberdefensa
Ciberespionaje
Ciberterrorismo
Telefonía móvil
Redes sociales
Servicios en Cloud
2010-2015 Ciberresiliencia
Seg. Transparente
Defensa activa
Ciberguerra
APT
Hacktivismo
BYOD
Shadow IT
…//…
![Page 24: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/24.jpg)
Access: Usuarios
Equipos
Power: Controladores de
dominio
Data: Servidores
Aplicaciones
Tomando el control
1. Objetivos en masa / definidos
2. Usuarios con altos privilegios son el principal objetivo
3. Buscan credenciales “de lo que sea”
4. Búsqueda de credenciales cacheadas, cuentas de acceso a dominio, correo electrónico, etc..
5. Si logran acceder a toda la red, la empresa está perdida
![Page 25: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/25.jpg)
Definiciones. Agentes de la amenaza
25
CIBERSEGURIDAD
La habilidad de proteger y defender las redes o sistemas de los ciberataques.
Estos según su motivación pueden ser:
CIBERESPIONAJE
Ciberataques realizados para obtener secretos de estado, propiedad industrial,
propiedad intelectual, información comercial sensible o datos de carácter personal.
CIBERDELITO / CIBERCRIMEN
Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito.
HACKTIVISMO
Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas
(sitios web) para promover su causa o defender su posicionamiento político o social.
CIBERTERRORISMO
Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas
o utilizando éstas como medio.
CIBERCONFLICTO / CIBERGUERRA
CIBERATAQUE
Uso de redes y comunicaciones para acceder a información y servicios sin
autorización con el ánimo de robar, abusar o destruir.
![Page 26: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/26.jpg)
El 90% de los incidentes aprovechan un defecto del software ya conocido (No son zero-day)
El análisis de 45 aplicaciones de negocio mostró que cerca del 70% de los defectos de seguridad eran
defectos de diseño
Existe una demostrada incapacidad de los fabricantes para desarrollar aplicaciones carentes de vulnerabilidades
Un millón de líneas de código tiene una media de entre 1000 y 5000 defectos software en producción
Vulnerabilidad Tecnología
![Page 27: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/27.jpg)
La ciberamenaza es una de las amenazas más importantes del siglo XXI.
La tecnología forma parte ya de nuestras vidas, la ciberseguridad va irremediablemente unida a ella.
No se es consciente de hasta qué punto el día a día de los ciudadanos depende de
un adecuado nivel de ciberseguridad
Los dos retos más importantes a los que nos enfrentamos en relación con la
ciberseguridad son:
La complejidad y sofisticación de los ciberataques
La falta de formación y concienciación en profesionales y directivos
En el actual escenario mundial, las ADMINISTRACIONES PÚBLICAS y EMPRESAS
son objetivos de primera línea de los ciberataques. Ya no sólo las atacan los
empleados descontentos, los hackers, los ciberdelincuentes o los grupos
criminales, también los Estados.
Ciberamenaza
![Page 28: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/28.jpg)
2015
Incidentes 2015
![Page 29: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/29.jpg)
Atacantes - Motivación
ROBO DE INFORMACIÓN
BENEFICIO ECONÓMICO
PROVOCACIÓN DE DAÑOS
REIVINDICACIÓN SOCIAL O POLÍTICA
SUPERIORIDAD EN EL CIBERESPACIO
Ciberespionaje
Ciberdelito
Ciberterrorismo
Hacktivismo
Ciberdefensa
Ciberataque. Motivación
![Page 30: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/30.jpg)
Ciberamenaza. Agentes
![Page 31: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/31.jpg)
2. Ciberdelito/Cibercrimen
Hackers y Crimen Organizado
3. Ciberactivismo
ANONYMOUS y otros grupos
1. Ciberespionaje/Robo patrimonio tecnológico, propiedad intelectual
China, Rusia, Irán, otros… Servicios de Inteligencia/Fuerzas Armadas/Otras empresas
5. Ciberterrorismo
Ataque a Infraestructuras críticas y otros servicios -
+
+
=
4.Uso de INTERNET por terroristas
Objetivo : Comunicaciones , obtención de información, propaganda, radicalización o financiación
+
+
Usuarios Internos
Ciberamenaza. Agentes
![Page 32: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/32.jpg)
Estados / Industrias / Empresas
Ataques Dirigidos (APT)
Dificultad de atribución. Contra los Sectores Privado y Público.
Ventajas políticas, económicas, sociales…
RUSIA Utilización de herramientas diseñadas específicamente contra el objetivo
Conocimiento técnico muy elevado
Evitar atribución
Esfuerzo HUMINT
AA.PP.
CHINA Programa activo desde 2011. Interés en Propiedad intelectual EMPRESAS
Aeroespacial / Energía / Defensa / Gubernamental / Farmacéutico / Químico / Tecnologías de información / Financiero / Transporte
Uso de herramientas comerciales Diferentes grupos con nivel técnico diverso
OTROS PAÍSES ?
Ciberamenaza. APT
![Page 33: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/33.jpg)
Clasificación por capacidades
Nivel 1 Profesionales que emplean desarrollos de código dañino y mecanismos de infección
de terceros (usan exploits conocidos).
Nivel 2 Profesionales de gran experiencia que desarrollan herramientas propias a partir de vulnerabilidades conocidas.
Nivel 3 Profesionales que se focalizan en el empleo de código dañino desconocido. Usan Rootkits en modo usuario y kernel. Usan herramientas de minería de datos. Atacan personal clave en las organizaciones para robar datos personales / corporativos para su venta a otros criminales.
Nivel 4 Grupos Criminales / esponsorizados por Estados organizados, con capacidades técnicas y financiados para descubrir nuevas vulnerabilidades y desarrollar exploits.
Nivel 5 Grupos esponsorizados por Estados que crean vulnerabilidades mediante programas de influencia en productos y servicios comerciales durante su diseño, desarrollo o comercialización o con la habilidad de atacar la cadena de suministro para explotar redes / sistemas de interés.
Nivel 6 Estados con la capacidad de ejecutar operaciones conjuntas (ciber, de inteligencia y militares) para conseguir sus objetivos políticos, económicos, militares…
Agentes de la Amenaza. Niveles
![Page 34: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/34.jpg)
![Page 35: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/35.jpg)
Ciberataque. Factores de la Amenaza
![Page 36: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/36.jpg)
C&C Atacante
Entorno estándar de red informática
SUBSIDIARIA
DIVISIÓN A
INTERNET
DIVISIÓN B
PROVEEDOR
Intrusión inicial
CLOUD
Servidores
repositorio
atacante
DIVISIÓN C
SUBSIDIARIA
RED INTERCONEXIÓN CORPORATIVA
Establecimiento de puerta trasera (backdoor)
Credenciales, incremento de privilegios
¿Contraseña?
¿Admin?
Keylogger
¿Contraseña?
¿Admin?
Keylogger
¿Contraseña?
¿Admin?
Keylogger
Propagación
Instalación utilidades
Fuga de datos (exfiltration)
Mantener persistencia y… ¿quién sabe?
Ciberataque. Fases
![Page 37: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/37.jpg)
Infraestructura
Siempre Varios saltos para dificultar la geolocalización del ataque,
Se utilizan diferentes infraestructuras para realizar los ciberataques:
Infraestructura propia
Compra de VPS (Virtual Private Server) en empresas que ofrecen estos servicios, utilizando datos ficticios.
Uso de servicios de DNS dinámico.
Infraestructura “prestada”
Comprometimiento de servidores web legítimos.
Comprometimiento de servidores web del objetivo.
Varios saltos para evitarla geolocalización del ataque.
Se puede obtener el código fuente del servidor de mando y control.
Dificulta la detección de la infección.
Ciberamenaza. Infraestructura
![Page 38: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/38.jpg)
Comunicaciones Externas/Internas
Comunicaciones externas
Básico. Protocolo HTTP. Puerto 80 / 443. Comunicación periódica contra el servidor de Mando y Control
Medio. Uso de cifrado simétrico
Avanzado. Uso de cifrado asimétrico (PGP / GPG). Comunicación distribuida contra varios servidores de Mando y Control
Comunicaciones internas
Protocolo SMB
Uso de tuberías nombradas (named pipes)
Conexiones a IPC$
Utilización de credenciales de administración
Ciberamenaza. Comunicaciones
![Page 39: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/39.jpg)
Comunicaciones Externas. Exfiltración.
Diferentes formas de enviar la información robada:
Básico. Dentro de peticiones POST hacia el servidor de Mando y Control
Medio. Subida a un FTP externo hackeado
Avanzado
Uso de redes sociales: Twitter, Facebook, …
Uso de correo electrónico: GMail, Yahoo!, …
Uso de servicios de almacenamiento en la nube:
DropBox, Amazon AWS, Google Drive, …
Uso de Google Docs
Tratamiento de la información robada
B/M Compresión de ficheros con contraseña utilizando el compresor rar.
Almacenamiento información robada en papelera de reciclaje del
equipo
A. Contenedores cifrados NO Visibles.
Ciberamenaza. Comunicaciones
![Page 40: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/40.jpg)
Malware
Dependiendo de los recursos disponibles se utiliza malware
comercial o desarrollado a medida.
¿Por qué malware comercial?
No hay que invertir recursos adicionales.
Se puede modificar para que sea invisible ante los antivirus.
Porque FUNCIONA.
EJEMPLOS:
WebC2
Para comunicarse con su servidor de mando y control introduce
comentarios dentro del código HTML
Poison Ivy
Del tipo RAT (Remote Administrator Tool).
Altamente configurable
Cifrado de las comunicaciones
Ciberamenaza. Herramientas
![Page 41: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/41.jpg)
En el 75 % de los casos se utilizan ataques de Spear Phishing para
conseguir la infección de la red objetivo.
Correo electrónico especialmente diseñado para engañar al receptor y
obtener datos sensibles de éste. Se centra únicamente en objetivos
concretos
Analizar:
• Cabeceras del correo electrónico • Cuerpo
• Anexos / enlaces
Vector de infección. Correo electrónico
Ciberamenaza. Vectores de Infección
![Page 42: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/42.jpg)
Este ataque está relacionado con Drive-by Download Attack: cualquier tipo de
descarga e instalación de software no deseado desde Internet (programas,
ActiveX., Java Applets…) típicamente a través de e-mail, ventanas de pop-up
o una web
Ataque a un grupo concreto de usuarios con un interés común donde se
compromete un sitio “confiable” para todos ellos de manera que, al visitarlo,
queden infectadas o se descarguen aplicaciones maliciosas.
Vector de infección. Watering Hole
Ciberamenaza. Vectores de Infección
![Page 43: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/43.jpg)
Colonización / Persistencia
Acciones realizadas por el atacante dentro de nuestra red:
Robo de credenciales
mimikatz, gsecdump
Fuerza bruta contra controladores de dominio
Instalación de puertas traseras
Instalación de shell remotas en servidores
Infección de equipos con otro tipo de malware
Otras acciones que suelen realizarse por parte de los atacantes:
Si son descubiertos, lanzan un ataque DDoS como distracción.
Mayor resistencia a la Ingeniería Inversa.
Mayor Seguridad de Operaciones.
• Cese de actividad en un período de tiempo
• Maniobras distracción, mayor relación con otros grupos
• Menor actividad en países de habla inglesa
• Empleo de nuevas técnicas… Watering Hole
Ciberamenaza. Colonización/Persistencia
![Page 44: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/44.jpg)
Infraestructuras Sistemas C&C
Nodos
Saltos
IP,s / Dominios
…//…
Capacidades Exploits propios
Vectores infección
Cifrado / RAT
Persistencia
…//…
Atacantes Actores
Motivación
Financiación
Formación
Modus Operandi
…//…
Víctimas
Sectores afectados
Métodos detección
…//…
The Diamond Model of Intrusion Analysis
www.activeresponse.org
- Socio-Política, que vincula al
Adversario con su Víctima
- Tecnológica, que vincula la
Infraestructura con la Capacidad
Ciberataque. Taxonomía
![Page 45: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/45.jpg)
Factores facilitadores de los Ciberataques (INSUFICIENTE PROTECCIÓN)
- Falta de concienciación = Éxito de la Ingeniería Social
• Infecciones rápidas y masivas
- Existencia de vulnerabilidades día cero
- Sistemas de Seguridad Reactivos
• No se quieren falsos positivos
• Actualizaciones lentas o sin ejecutar en algunas tecnologías
- Poco personal dedicado a seguridad
• Escasa vigilancia. Solo el perímetro
• Fácil progresión por las redes internas de las organizaciones
- Mayor superficie de exposición: redes sociales, telefonía móvil y servicios
en la nube
- Organizaciones poco proclives a comunicar incidentes
- La atribución es MUY DIFÍCIL.
Ciberamenaza. Factores
![Page 46: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/46.jpg)
¿Qué hemos aprendido todos este tiempo
sobre las APT?
Ciberamenaza. APT
![Page 47: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/47.jpg)
Ataque Dirigido Ciber Ataque “a medida” contra un objetivo concreto (administración,
empresa, red, sistema).
Threat El atacante tiene la intención y capacidades para ganar el acceso a
información sensible almacenada electrónicamente.
Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante un
largo periodo de tiempo
Muy difícil de eliminar
Advanced Habilidad de evitar la detección
Se adapta al objetivo
Disponibilidad de recursos tecnológicos, económicos, humanos
Advanced Persistent Threat
Ciberamenaza. APT
![Page 48: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/48.jpg)
Ciberamenaza. APT
![Page 49: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/49.jpg)
TIEMPOS DE RESPUESTA EN UN APT
VERIZON rp_data-breach-investigations 2012
Ciberamenaza. Tiempos Actuación
![Page 50: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/50.jpg)
CAMPAÑAS MÁS CONOCIDAS
• Agent BTZ (2003-2015)
• Snake / Uroburos / Turla (2006)
• USBLink/Zawadi (2010/2013/2015)
• Red October (2013)
• WebDav (2014)
• Energetic Bear / Dragonfly (2014)
• Crounching Yeti
• Duke (APT29) (2007-2015)
• TeamSpy (2010)
• Sofacy/APT 28 (2015)
Ciberamenaza. APT
![Page 51: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/51.jpg)
Respecto de… Es de esperar…
El número de atacantes (estados o delincuentes profesionales) con
capacidad para desarrollar ciberataques…
… aumentará.
Debido al número limitado de desarrolladores de software de
calidad…
… el denominado “Cybercrime-As-A-Service” aumentará,
reduciendo las barreras de entrada para los ciberdelincuentes.
La sofisticación de los adversarios… … se incrementará, por lo que la detección y la respuesta serán
más difíciles.
El spear-phishing… … seguirá siendo muy utilizado por los atacantes, así como es
previsible el aumento de las infecciones por Watering Hole.
El Ransomware/Cryptoware… … seguirá siendo una amenaza de las de mayor importancia.
Los adversarios con altas capacidades de destrucción
(ciberterrorismo)…
… aumentarán en número, así como el volumen de incidentes. No
se prevé incremento sustancial en las capacidades técnicas
Las desfiguraciones de páginas web y secuestro de medios de
comunicación social…
… aumentará.
Ciberamenaza. Tendencias 2016
![Page 52: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/52.jpg)
¿Me puede pasar a mí?
![Page 53: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/53.jpg)
IMPACTO EN ORGANIZACIONES
![Page 54: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/54.jpg)
Debilidades de Nuestros Sistemas de Protección
Falta de concienciación y desconocimiento del riesgo
Sistemas con Vulnerabilidades, escasas configuraciones de
seguridad y Seguridad Reactiva. (OBJETIVOS BLANDOS)
Poco personal de seguridad y escasa vigilancia
Ausencia herramientas faciliten investigación
Mayor superficie de exposición (Redes sociales, Telefonía móvil
(BYOD) y Servicios en nube)
Afectados NO comparten información. NO comunican incidentes
![Page 55: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/55.jpg)
Informe ransomware
2015-2016
![Page 56: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/56.jpg)
Ciberamenaza. Tendencias 2016
Familia y versión de ransomware:
https://id-ransomware.malwarehunterteam.com/
![Page 57: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/57.jpg)
¿Qué es el ransomware?
57
Ransom = Rescate
Ware = Software
![Page 58: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/58.jpg)
Historia del ransomware I
58
1989 - AIDS ransomware
Dr. Joseph Popp diseña aplicación sobre el virus del SIDA
Aplicación de pago, pide renovación licencia
Cuando el equipo es arrancado 90 veces Cifrado simétrico
![Page 59: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/59.jpg)
Historia del ransomware II
59
1996 – Primera PoC de ransomware usando RSA
2006 – Reaparición usando RSA y claves de 660 bits
2011 – Virus de la Policía
2013 – Aparición de CryptoLocker
![Page 60: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/60.jpg)
Tipos Ransomware
60
Locker (Virus Policía)
CriptoVirus
![Page 61: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/61.jpg)
Evolución histórica
61
![Page 62: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/62.jpg)
Víctimas
62
Home users
Empresas
Instituciones públicas
![Page 63: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/63.jpg)
Tendencias actuales
63
Windows
Teslacrypt
Locky
Torrentlocker
[…]
OSX
KeRanger
Linux
Linux.Encoder
![Page 64: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/64.jpg)
Nuevas tendencias
64
Web Servers
Móviles
SmartWatch
TV’s
[IoT]
![Page 65: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/65.jpg)
Ciberamenaza. Tendencias 2016
![Page 66: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/66.jpg)
Malware diseñado para robar datos bancarios.
Las víctimas reciben un correo electrónico que simula ser una factura o el envío de un
paquete con un albarán adjunto.
Los equipos se infectan al descargar el archivo adjunto de Microsoft Word que
contiene macros.
Este malware cifra los archivos del ordenador y exige un pago a quien quiera recuperar el control del equipo infectado.
Locky
66
![Page 67: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/67.jpg)
Ransomware que se dirige a 185 extensiones de archivos relacionados
con 40 juegos diferentes, cifrando dichos archivos.
Las últimas versiones también infectan equipos sin juegos instalados, buscando extensiones típicas de archivos Word o
pdf.
Este malware aprovecha una vulnerabilidad de Adobe Reader para
infectar los equipos.
Teslacrypt
67
![Page 68: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/68.jpg)
Petya
Tipo de ransomware que está empezando
a detectarse durante este mes.
Cifra la MFT y modifica el MBR.
¡Ya existe descifrador!
Nuevas tendencias - Abril 2016
68
![Page 69: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/69.jpg)
Campaña de Correos
Se recibe un email indicando que se intentó
entregar un paquete sin éxito. Se adjunta una url
donde acceder para ver los datos del envío, esta url
lleva una redirección para la descarga del
ransomware.
Esta campaña utiliza una variante de torrentlocker
conocida como crypt0l0cker, se han detectado 7
oleadas hasta la fecha, reportándose 151 incidentes
en lo que va de 2016.
Nuevas tendencias - Abril 2016
69
![Page 70: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/70.jpg)
Mantener copias de seguridad periódicas de los datos importantes
Mantener el sistema actualizado con los últimos parches de seguridad
Mantener un antivirus actualizado con las últimas firmas de código dañino, así como una correcta configuración de los firewalls.
Disponer de sistemas antispam a nivel de correo electrónico
Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware
Bloquear el tráfico relacionado con dominios y servidores C&C mediante un IDS/IPS
Establecer una defensa en profundidad empleando herramientas como EMET
No utilizar cuentas con privilegios de administrador.
Medidas preventivas
70
![Page 71: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/71.jpg)
Deshabilitar JS en Acrobat Reader
71
![Page 72: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/72.jpg)
Deshabilitar Flash y PDF en Chrome
72
Chrome://plugins
![Page 73: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/73.jpg)
Desinstalar QuickTime
73
• Sin soporte de Apple
• 2 vulnerabilidades críticas descubiertas 14/04/2016
![Page 74: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/74.jpg)
Desconectar las unidades de red.
Comprobar si el proceso dañino aún sigue ejecutándose.
Finalizar la ejecución del proceso dañino.
Arrancar el equipo en Modo Seguro.
Realizar una copia de seguridad del equipo.
Comunicar el incidente de seguridad al equipo/persona competente.
Medidas reactivas
74
![Page 75: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/75.jpg)
Estadísticas 2015
75
Cryptolocker 21%
Torrentlocker 20%
Teslacrypt 17%
Cryptowall 25%
Otros 17%
Tipo Nº incidentes
Cryptolocker 93
Torrentlocker 89
Teslacrypt 73
Cryptowall 109
Otros 73
![Page 76: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/76.jpg)
Estadísticas 2016
76
Tipo Nº incidentes
Locky 231
Teslacrypt 132
Torrentlocker* 151
Otros 37
Locky 42%
Teslacrypt 24%
Torrentlocker 27%
Otros 7%
* Incluye Crypt0l0cker
![Page 77: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/77.jpg)
¿Solución general?
77
![Page 78: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/78.jpg)
Ciberamenaza. Tendencias 2016
El día de mañana…
o Windows, Linux, OS X, Android, iOS... uno no sabe ya donde
esconderse o qué medidas tomar.
o Puedes desactivar Java, Flash e incluso reducir el uso de
Javascript, usar un navegador seguro y actualizado e incluso no
andar por ahí con una cuenta privilegiada o analizar los adjuntos
del correo.
o Ya no te infectas navegando o te hacen llegar un archivo con
"las nóminas de todo el personal.xls.exe".
o Se aprovechan de nuestra confianza en qué aquello que
estamos descargando es "está limpio" porque viene de un sitio
conocido o controlado.
o Ni eso… al final, el malware encontrará un resquicio por donde
pasar.
![Page 79: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/79.jpg)
Prevención
La Prevención abarca todas las actividades de:
• Concienciación
• Formación
• Elaboración de políticas, procedimientos y requisitos de seguridad
• Desarrollo, evaluación y certificación de la seguridad de productos y
sistemas
• Implementación de medidas técnicas, configuraciones y arquitecturas
de seguridad
• Valoración, inspección, acreditación y auditoría de la seguridad
Prevención
![Page 80: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/80.jpg)
Usuarios Portal CCN-CERT
Formación - Cursos STIC
67%
14%
12%
2%
5%
Usuarios registrados por origen
general
autonómica
local
universidades
empresas
Prevención
![Page 81: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/81.jpg)
Detección
La Detección abarca todas las actividades de:
• Despliegue de detectores y sistemas de alerta
• Recolección de logs, monitorización de tráfico y vigilancia de la red
• Análisis de malware, ingeniería inversa y análisis forense
• Caracterización técnica de la amenaza y elaboración de inteligencia
técnica sobre la misma
Detección
![Page 82: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/82.jpg)
RED SARA [SAT- SARA]
• Servicio para la Intranet Administrativa
• Coordinado con MINHAP-SEAP
• 49/54 Áreas de Conexión
SALIDAS DE INTERNET [SAT INET]
• Servicio por suscripción
• Basado en despliegue de sondas.
• 96 Organismos / 115 sondas
Sistemas de Alerta Temprana (SAT)
Detección
![Page 83: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/83.jpg)
Sistema Alerta Temprana
AGE
57% Ad.
Autonómica
13%
Empresas
12%
Entidades
Locales
11%
Universidades
7%
Detección
![Page 84: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/84.jpg)
Respuesta
La Respuesta abarca:
Por una parte, todas las actividades para:
• Neutralizar técnicamente la amenaza
• Limpiar y desinfectar los sistemas
• Mitigar el impacto
• Elaborar inteligencia sobre la amenaza, su impacto y sobre el agente
de la amenaza
Por otra parte, también puede suponer llevar a cabo acciones de
respuesta de carácter
• Político / Diplomático
• Contrainteligencia/operaciones de información
• Militar/Information Warfare
• Legal, judicial y/o policial.
Respuesta
![Page 85: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/85.jpg)
HERRAMIENTAS
DETECCIÓN ANÁLISIS AUDITORÍA INTERCAMBIO
Ciberseguridad. Herramientas
![Page 86: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/86.jpg)
RETOS DE LA CIBERSEGURIDAD
Ser menos vulnerable
Equilibrio entre Privacidad y Seguridad
Desplegar y Coordinar Sistemas de Alerta
Colaboración Pública-Privada
Concienciación y Formación
Capacitación Técnica e Inteligencia
Capacitación Legal
Estímulo de la Economía vs Ciberseguridad
Ciberseguridad. Retos
![Page 87: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/87.jpg)
1. Aumentar la capacidad de Vigilancia.
2. Herramientas de Gestión Centralizada.
3. Política de seguridad.
4. Aplicar configuraciones de seguridad.
5. Empleo de productos confiables y certificados.
6. Concienciación de usuarios.
7. Compromiso de dirección (Aceptación Riesgo)
8. Legislación y Buenas Prácticas.
9. Intercambio de Información.
10.Trabajar como si se estuviera comprometido.
Ciberseguridad. Decálogo
![Page 88: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/88.jpg)
¿Qué puedo hacer yo?
![Page 89: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/89.jpg)
En el 95% de los casos se utilizan ataques de spear phishing para
conseguir la infección de la red objetivo.
¿En qué consiste el spear phishing?
Correo electrónico especialmente diseñado para engañar al receptor y
obtener datos sensibles de éste.
¿En qué se diferencia del phishing?
El phishing está pensado para engañar a un elevado número de víctimas,
mientras que el spear phishing se centra únicamente en
objetivos concretos.
Vector de entrada - Ingeniería Social
![Page 90: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/90.jpg)
¿Cómo cazar un bicho? Cuidado con los adjuntos
Ejecutable
¿Realmente alguien sigue ejecutando ficheros .exe desde el correo hoy
en día? Solución: RTLO, salvapantallas (.scr)
Word, Excel, PowerPoint
Se debe evitar la apertura de estos ficheros si no estamos seguros
completamente del remitente.
Macros!!
Se debe evitar la apertura de estos ficheros si no estamos seguros
completamente del remitente.
¡¡Uso de herramientas corporativas!!
SIN CLASIFICAR
Vector de entrada - Ingeniería social
![Page 91: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/91.jpg)
Telefonía móvil. De diversificación a oligopolio en sistemas operativos
1T09 1T10 1T11 1T12 1T13 1T14 4T14
Other
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Cuota de ventas I Unidades
+ 96% 2014
+ Un riesgo potencial adicional
Posición dominante en
• Preferencias del consumidor
• Plataformas de servicios
• Servicios y aplicaciones
• Dispositivos
![Page 92: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/92.jpg)
Teléfonos móviles. Código dañino
- Código dañino
Llamadas entrantes y salientes
Mensajes SMS,
Ficheros descargados
Las coordenadas GPS
Mensajeria (Whatsup…)
Lista de contactos
CCN-STIC 450/53/54/55/57
CCN-STIC 827
![Page 93: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/93.jpg)
Cómo de seguro es tu PIN. ¿Dónde lo almacenas?
Ignorancia de buenas prácticas de
seguridad y a la falta de concienciación
por parte de los usuarios del Sistema
80% Comienzan desde una
esquina
45% Comienzan desde esquina
superior izda.
De media usan sólo 5 puntos =
7.152 combs.
MÁS SIMPLE QUE UN PIN DE
4 DÍGITOS
![Page 94: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/94.jpg)
94
¿A qué acceden?
1. Revisa los permisos de las aplicaciones que instalas
2. Restringe al máximo los privilegios de las apps
3. El mejor antivirus es el sentido común
4. La política de seguridad debe ser equivalente a la
aplicada a los portátiles corporativos
Teléfonos móviles. Seguridad en las aplicaciones
![Page 95: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/95.jpg)
95
Soportes de Información
Número de tarjeta de crédito
Copias en legibles de los documentos cifrados
Los registros temporales con datos de clientes
Claves de acceso a sitios seguros
En los discos duros de los ordenadores
hay enormes cantidades de datos ocultos
para los usuarios, pero fácilmente
accesibles. Entre estos datos se
encuentran archivos que ingenuamente
creemos que hemos borrado, claves de
acceso, versiones descifradas de archivos
confidenciales y todo tipo de rastros sobre
la actividad del equipo.
¡Cuidado con las copias sin cifrar!
Usar unidades de red
![Page 96: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/96.jpg)
CONCLUSIONES
• Incremento constante del número, sofisticación y complejidad de los
ciberataques
• El ciberespionaje sobre las administraciones públicas y las empresas
estratégicas es la amenaza más importante para los intereses nacionales y
la seguridad nacional
• La dificultad de atribución es el factor que caracteriza esta amenaza en
relación con otras.
• La amenaza procede tanto de países con intereses encontrados como de
países amigos.
• Es preciso reforzar la capacidad de prevención y protección en todas las
instancias del Estado (ciudadanos, empresas y administraciones públicas)
• Es preciso reforzar las capacidades de INTELIGENCIA para la identificación
de atacantes, determinación de sus objetivos y difusión de Inteligencia al
respecto.
Ciberamenaza. Conclusiones
![Page 97: CIBERAMENAZA - sie.fer.es ENTREGA... · capacidades de productos de cifra para manejar información de forma segura Certificación Art 2. Apdo.2c RD 421/2004: Constituir el organismo](https://reader030.vdocumento.com/reader030/viewer/2022021805/5bab035f09d3f2b2778d4bc9/html5/thumbnails/97.jpg)
Gracias
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es