Publicado por: Juande Meseguer

May 13

mayo 13, 2017

Ransomware y su empleo como ciberataque

A raíz de los ciberataques sufridos en mayo de 2017, se precisa a modo de INDICE analizar el estado de la cuestión:

1º.-Antecedentes del Ransomware:

2º.-Definición y posible tipificación penal en España.

3º.-Funcionamiento general y consecuencias de su afectación. 

4º.-Modo de protegerse y/o de normalizar el dispositivo informático en caso de contaminación.

1º.-Antecedentes del RANSONWARE:

Ha estado más o menos presente desde finales de los años 80, ha sido en los últimos años cuando ha representado un serio problema para las empresas y particulares debido a la aparición de diferentes variantes. Sin embargo, el ransomware es la amenaza cibernética más generalizada desde 2005 (ransomware criptográfico, ransomware de bloqueo, etc).

Uno de los Ransomware más famosos es el Virus de la Policía, que tras bloquear el ordenador infectado lanza un mensaje simulando ser la Policía Nacional y advirtiendo que desde ese equipo se ha detectado actividad ilegal.

En mayo de 2016: Kaspersky Lab descubrió el ransomware Petya que: a)  cifra los datos almacenados en un ordenador; b) sobrescribe el registro de arranque maestro (MBR) de la unidad de disco duro, imposibilitando a los ordenadores infectados arrancar el sistema operativo.

Este malware es un ejemplo destacado del modelo Ransomware-as-a-Service. Sus creadores ofrecen su producto malicioso ‘on demand’ a través de múltiples distribuidores y cobran una cantidad (bitcoins como moneda virtual o en otra moneda).

(más…)

Publicado por Ciberseguridad. | Por

Abr 21

abril 21, 2017

EVOLUCIÓN HASTA EL RPAS, Y EL ENTORNO DE LA CIBERSEGURIDAD Y CIBERDEFENSA

En poco tiempo la sociedad internacional ha experimentado una evolución desde el DRON, DRONE, UAV, UAS, RPA y hasta el RPAS…

I. Definición:

Dron / drone:  adaptación válida al español del sustantivo inglés drone (literalmente abeja macho o zángano), con el que se designa en aeronáutica para denominar los vehículos aéreos no tripulados, la mayoría de uso militar. Sin embargo, este término no figura aún en el diccionario de la Real Academia de la Lengua por lo que no existe como tal.

UAV (Unmanned Aerial Vehicle): Vehículo aéreo no tripulado.

UAS (Unmanned Aerial System): Sistema aéreo no tripulado.

UCAV (Unmanned Combat Aerial Vehicle): Vehículo aéreo no tripulado de combate, para referirse a los aparatos que son capaces de portar armamento para interceptar objetivos.

RPA (Remotely Piloted Aircraft): Aviones controlados de forma remota. Se trata de un concepto que surgió con fuerza en EEUU para evitar que la gente se atemorice por el uso de estos ingenios en medios urbanos pensando que no hay ninguna persona que se haga cargo de evitar un desastre en caso de avería en vuelo.

RPAS (Remotely Piloted Aircraft System): Sistema aéreo tripulado de forma remota. Este término ha ido introduciéndose en todo tipo de documentos, sobre todo de la UE que llama con este nombre a los aparatos de uso civil.

II.-Ciberespacio:

Todos estos sistemas quedan afectados por el ciberespacio por cuanto pueden ser interferidos y por ende geolocalizados al disponer de dispositivos GPS para su navegación y control.

III.-Funcionalidades:

Seguimiento e interceptación de todo tipo de personas y bienes.

IV.-Derechos fundamentales afectados:

La intimidad puede verse vulnerada si se usa con una finalidad ajena al salvamento, protección, detención y otras tareas legalmente administradas y autorizadas. Por el contrario, el espionaje y la injerencia en la vida privada, puede ser la razón de que una persona quede expuesta o desprotegida frente a la intimidad que garantiza la constitución.

Publicado por Ciberseguridad. | Por

Ene 9

enero 9, 2017

CIBERSEGURIDAD Y SEGURIDAD NUCLEAR

El Consejo de Seguridad Nuclear, al igual que pudiera hacer cualquier otra institución, empresa o infraestructura crítica, al objeto de reducir en lo posible el riesgo de ataques procedentes del ciberespacio, considera que debe establecer unas normas específicas para garantizar que se cumplen los protocolos que tiendan al buen funcionamiento sobre los sistemas informáticos y de comunicaciones. Esto es lo que llamaríamos premisas que garanticen la seguridad nuclear y física de las instalaciones nucleares. En este sentido:

  • ¿Quién será responsable de las TIC en una instalación nuclear? El titular de la instalación nuclear tendrá la obligación de proteger las TIC de ataques cibernéticos teniendo en cuenta los distintos riesgos y amenazas.

En base a los anterior, para una mejor comprensión de lo aseverado, conviene que para una evaluación precisa de los riesgos y amenazas, mostraremos procedente de nuestra elaboración, fruto de la experiencia y actuación particular sobre la materia, parte del siguiente estudio, que se titula:  Propuestas de actuaciones en la aplicación de procedimientos de control como medidas de prevención y contramedidas contra las amenazas terroristas a la Seguridad Físicas de los Sistemas ABQ.

(más…)

Publicado por Ciberdefensa | Por

Ene 1

enero 1, 2017

TENDENCIAS DE LOS RIESGOS Y AMENAZAS PARA LA CIBERSEGURIDAD EN 2017

La fenomenología asociada a los nuevos riesgos y amenazas se expresan por medio de las consecuencias derivadas de otros fenómenos relativos a la globalización con los efectos amplios del mismo por cuanto Internet no está sujeto o se circunscribe a fronteras ni depende ni entiende de espacios tasados que caracterizan los conceptos de jurisdicción y competencia como en el ámbito jurisdiccional de un País y sobre el que los Jueces y Tribunales pueden controlar.ma

Internet como resultado de una revolución de las tecnologías de la información que nos permite el intercambio de información en forma instantánea sin distinción de la distancia entre las personas que interactúan. Esto es posible por la existencia de la información electrónica que es gestionada (generada, almacenada, modificada y distribuida) en forma virtual a través del ciberespacio.

(más…)

Publicado por Ciberdefensa, Ciberseguridad. | Por

Ago 15

agosto 15, 2016

CICLO DE VIDA DE LAS EVIDENCIAS DIGITALES

A.-Razón de ser:

Durante la investigación y análisis forense realizado por expertos en informática, se precisa tener en cuenta los distintos ciclos de vida de la evidencia, lo que afectará al procedimiento jurisdiccional correspondiente y de cara a utilizar la investigación como prueba de cargo.

B.-El Auditor:

La intervención del auditor (tanto interno como externo) en el ciclo de vida de los sistemas de información, es un procedimiento valioso para la evaluación indicada en el párrafo anterior. En este sentido:

• los datos e información contenidos en soportes electrónicos, informáticos y telemáticos: representan la versión intangible de muchas pistas visibles de transacciones que son rastreadas por los auditores, de modo que no se dispone en algunos casos de documentos físicos para visualizar, comprobar firmas, tildar, fotocopiar. Se destacan del resto de la evidencia documental por su característica de ilegibilidad. Comprende tanto los documentos que contienen información de texto y numérica, como los que contienen imágenes, sonido, u otros.

• Se considera conveniente analizar las particularidades de las evidencias de auditoría digitales en cuanto a su obtención, procesamiento, conservación, y oposición, considerando además la perdurabilidad de la fuente como una dificultad particular asociada a ellas.

(más…)

Publicado por Ciberseguridad. | Por

Ago 14

agosto 14, 2016

La importancia de la Ciberdefensa en la Defensa Nacional.

En un mundo plenamente dependiente de las nuevas tecnologías, se desarrollan a través del ciberespacio, actividades que el ciudadano de a pie no percibe directamente o con la gravedad con la que se ha producido. Por ejemplo:

1º.-Si una página web ha sido atacada, notará que no puede acceder a la misma o que va más lenta de lo habitual.

2º.-Si se ha producido una contaminación de alimentos, creerá que ha sido un producto en mal estado.

3º.-Si existe una epidemia de diarreas, fiebre y de intoxicación general, creerá que es típico de la época, el calor, etc.

Admitiendo que el Derecho y los sistemas judiciales no podrán enfrentarse a ataques que atenten a nuestra Seguridad Nacional, será preciso concienciar a la sociedad del papel de las Unidades Militares especializadas en Ciberdefensa, así como los centros civiles y militares dedicados a la protección de las infraestructuras críticas. No se trata de perseguir a un delincuente que ha creado un troyano y ha infectado a miles de ordenadores, sino hablamos de estados que puedan afectar a millones de personas y para lo que se requiere una alerta preventiva y continuada, para lo que sólo vale la monotorización constante de la red informática y que no entiende de de jurisdicciones ni de competencias.

(más…)

Publicado por Ciberdefensa | Por

Ago 13

agosto 13, 2016

ARP Spoofing

A.-Definición:

Consiste en un tipo de ataque en el que un actor (sujeto persona física o software) con intenciones malintencionadas,  envía mensajes falsificados ARP (Address Resolution Protocol) a través de una red de área local. Esto da como resultado la vinculación de la dirección MAC de un atacante con la dirección IP de un equipo legítimo o servidor en la red. Una vez que la dirección MAC del atacante se conecta a una dirección IP auténtica, el atacante comenzará a recibir cualquier dato que está destinado a esa dirección IP.

B.-CONSECUENCIAS TÉCNICAS Y PERSONALES:

ARP Spoofing puede permitir a los atacantes para interceptar, modificar o incluso detener los datos en tránsito. Los ataques de suplantación ARP sólo pueden ocurrir en las redes de área local que utilizan el protocolo de resolución de direcciones.

Los efectos de los ataques de suplantación ARP pueden tener graves consecuencias para las empresas. En su aplicación más básica, los ataques de suplantación ARP se utilizan para robar información sensible. Más allá de esto, los ataques de suplantación de ARP se utilizan a menudo para facilitar otros ataques tales como:

1º.-Ataques de denegación de servicio: los ataques DoS a menudo destacan la suplantación ARP para enlazar varias direcciones IP con la dirección MAC de un solo objetivo. Como resultado, el tráfico que se destina para muchas direcciones IP diferentes será redirigido a la dirección MAC del destino, la sobrecarga de la diana con el tráfico.

2º.-Secuestro de sesión: ataques de secuestro de sesión pueden utilizar ARP Spoofing para robar los identificadores de sesión, la concesión de acceso a los atacantes y los sistemas privados de datos.

3º.-Man-in-the-middle ataques: ataques MITM pueden confiar en ARP Spoofing para interceptar y modificar el tráfico entre las víctimas.

C.-SOLUCIONES TECNOLÓGICO-LEGALES:

Los siguientes métodos son medidas recomendadas para la detección, prevención y protección contra ataques de suplantación ARP:

1º.-Se requiere un análisis previo por Abogado Especializado en Nuevas Tecnologías que sea Perito informático:

El profesional emitirá informe de viabilidad del Estado de la cuestión, tras un análisis previo de los datos suministrados por el cliente y en contraste con las pruebas tecnológicas. Las soluciones recomendadas son la práctica de una pericial informática forense, ante notario quien emitirá Acta notarial para luego iniciar acciones legales que deberán ser consultadas al profesional y que este mostrará en su hoja de encargo.

2º.-Desde un punto de vista tecnológico. Medidas:

2.1.-El filtrado de paquetes: Los filtros de paquetes inspeccionan los paquetes que se transmiten a través de una red. Los filtros de paquetes son útiles en la prevención ARP Spoofing, ya que son capaces de filtrar y bloquear los paquetes con información de la dirección fuente de conflicto (paquetes desde fuera de la red que muestran las direcciones de origen desde el interior de la red y viceversa).

2.2.-Evitar las relaciones de confianza: Las organizaciones deben desarrollar protocolos que se basan en relaciones de confianza lo menos posible. Las relaciones de confianza se basan únicamente en las direcciones IP para la autenticación, por lo que es mucho más fácil para los atacantes para ejecutar ataques de suplantación ARP cuando están en su lugar.

2.3.-Utilice software de detección de ARP Spoofing: Hay muchos programas disponibles que ayudan a las organizaciones detectar ataques de suplantación ARP. Estos programas de trabajo mediante la inspección y la certificación de los datos antes de su transmisión y el bloqueo de los datos que parece ser falsa.

2.4.-Utilizar protocolos de red criptográficos: Transport Layer Security (TLS), Secure Shell (SSH), HTTP seguro (HTTPS) y otros protocolos de comunicaciones seguras refuerzan ARP Spoofing prevención de ataques mediante el cifrado de los datos antes de la transmisión de datos y la autenticación cuando se recibe.

D.-RESUMEN:

Este tipo de ataques precisan un examen forense inmediato de los dispositivos informáticos afectados. El volcado y clonado de los datos obteniendo imagen fiel de todo, supone el paso previo para cualquier intervención legal posterior. Del examen forense, pudieran únicamente extraerse evidencias de las consecuencias que han facilitado o producido los ataques, sin poder obtener la autoría del atacante. Ahora bien, todo depende del origen del ataque: a) Ataque interno por conocimiento del estado de la red local de la víctima: se puede conocer los accesos y el ataque empleado. Hay que distinguirlo de un ataque con fines legítimos; b) Ataque externo: con Arpwatch que es un programa Unix que escucha respuestas ARP en la red, y envía una notificación vía correo electrónico al administrador de la red, cuando una entrada ARP cambia, se pueden detectar las intrusiones. Asimismo, comprobar la existencia de direcciones MAC clonadas (correspondientes a distintas direcciones IP) puede ser también un indicio de la presencia de ARP Spoofing, aunque hay que tener en cuenta, que hay usos legítimos de la clonación de direcciones MAC. Finalmente, con RARP (“Reverse ARP”, o ARP inverso) es el protocolo usado para consultar, a partir de una dirección MAC, su dirección IP correspondiente. Si ante una consulta, RARP devuelve más de una dirección IP, significa que esa dirección MAC ha sido clonada.

 

Publicado por Bienvenidos | Por

Jul 27

julio 27, 2016

Dificultades en el descubrimiento de la cibercriminalidad

Los Derechos fundamentales deben ser respetados en los procesos de la Geolocalización de los sujetos y/o programas que producen injerencia en nuestras vidas y actividades profesionales. Esto es así, por cuanto, las pruebas empleadas, según la LOPJ deben ser obtenidas de buena fe.

Elementos a tener en cuenta:

1º.-La autoría no siempre se corresponde con un sujeto persona física, sino también con un software que permite realizar las pretensiones de aquel, pero que será difícil o imposible su conexión entre el sujeto y el programa del mismo.

2º.-Influyen en esta Geolocalización, el estado de actualización de los servidores, webs, redes informáticas o dispositivos, así como de sus vulnerabilidades: puertos abiertos, hardware, programación, etc. A veces, simplemente, los supuestos ataques que puede sufrir una persona a través de su dispositivo informático, se originan como consecuencia de un mal uso de la informática y en realidad no son verdaderos ataques, sino producto de una mala gestión como decimos, de la ciberseguridad que nos compete a todos.

3º.-Jurisdicción y competencia de los Juzgados y Tribunales. El ciberespacio, como campo de actuación de la cibercriminalidad no entiende de jurisdicciones ni de competencias. El principal responsable de los posibles ataques, es la imprudencia desconocida que la propia víctima sufre al no disponer en beneficio de su seguridad, de los elementos recomendados por los expertos informáticos sobre: actualización del sistema operativo, antivirus de software, firewall de software y de hardware, etc.

4º.-Lo ideal es iniciar por Abogado especializado, Diligencias previas de investigación, para que se oficie por el Juzgado a la Brigada de Información Tecnológica de la Policía correspondiente (mandamiento judicial), informe que estos recabarán de los Proveedores telefónicos sobre las conexiones IPs. Hay que tener en cuenta, que una IP no identifica a un sujeto sino a una conexión que usa un dispositivo informático. Pero, en todo caso, la información así obtenida, será externa y debiera completarse con la información interna que supone intervenir los equipos informáticos, analizando la MAC, conectividad y otros aspectos.

Finalmente, insistir, en las recomendaciones sobre todo lo referente a las medidas a adoptar, por cuanto, la protección del ciudadano y de sus datos es lo primero, frente a la obtención de la titularidad de los ataques, que como hemos dicho, pueden ser verdaderos ataques o bien, fruto de una mala gestión de las actualizaciones que nos corresponde garantizar.

Publicado por Bienvenidos | Por

Abr 16

abril 16, 2016

PROTOCOLO DE TRATAMIENTO DE LA TIPOLOGIA DE LAS CIBERFIGURAS ACTUANTES EN INTERNET

Por medio de nuestro libro, hemos pretendido un acercamiento y comprensión a todos los usuarios, tanto sin conocimientos como profesionales de todas las procedencias: usuarios domésticos, juristas, policías y militares, adentrándolos en la  problemática que se viene desarrollando en Internet. Los temas fundamentales que se describen y frente a los que se proponen soluciones tecnológicas y jurídicas han sido:

1º.-Concienciación de la fenomenología, su crecimiento y extensión con nuevas formas que afectan a la ciberseguridad, lo que se convierte en un problema de toda la sociedad y no solo de los Estados.

2º.-Descripción de las figuras, tratadas con sus nombres reales, proponiendo soluciones y planteando los problemas típicos: a) Jurisdicción y competencia; b) Límites de investigación respecto de nuestro ordenamiento jurídico.

3º.-Modus operandi, que permita identificar, conocer y reaccionar frente al nuevo cibercriminal.

4º.-Análisis nacional e internacional de la problemática asociada a la ciberseguridad.

(más…)

Publicado por Ciberseguridad. | Por

Mar 27

marzo 27, 2016

FORMAS DE INJERENCIA EN NUESTRO DERECHO FUNDAMENTAL A LA INTIMIDAD PERSONAL Y PROFESIONAL: CONEXIONES INALÁMBRICAS

sello_v16

Hoy en día tanto para usos personales como profesionales, las conexiones inalámbricas se han convertido en una forma de extender nuestras posibilidades de conectividad entre dispositivos e Internet, incluso en aquellos espacios difícil de acceso o que implicaban una configuración de cableado, costosa y no libre de problemas de instalación. No obstante, las redes inalámbricas, adolecen de cierta seguridad y por ende, de cierta complejidad para nuestros datos personales.

El deseo de todo ciudadano, es navegar sin que le molesten. Algunos lo hacen usando perfiles anónimos e incluso a través de lo que yo denomino “navegación silenciosa”, como solución para que determinados usuarios puedan sentirse más seguros, aunque esta solución, no queda ajena a determinados destinatarios como los proveedores telefónicos, policía, redes sociales, etc. En cualquier caso, vamos a ver los pros y contras de las redes Ehernet e Inalámbricas, para finalizar, con una pequeña introducción a las formas, métodos y programas para craquear estas conocidas conexiones inalámbricas.

(más…)

Publicado por Ciberseguridad. | Por

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies