Facultad de Ciencias Sociales

Abel Lozoya de Diego

Master Universitario en Seguridad y Defensa
Mundo Cibernético, Seguridad y Defensa

Máster Universitario en Seguridad y Defensa

Mundo Cibernético, Seguridad y Defensa
Sesión 2: Caracterización de la Amenaza Cibernética
 Mundo Cibernético, Seguridad y Defensa
Sesión 2 – Caracterización de la Amenaza
Cibernética

“Si conoces a los demás y te conoces a ti mismo, ni en

cien batallas correrás peligro; si no conoces a los demás,
pero te conoces a ti mismo, perderás una batalla y
ganarás otra; si no conoces a los demás ni te conoces a ti
mismo, correrás peligro en cada batalla.”

SUN TZU (544 a.C. – 496 a.C.)

Ciberdefensa. [2] Marzo 2018

Índice
1 Introducción .................................................................................................................................... 7
2 Según su origen ............................................................................................................................. 13
2.1 Ciberactivismo ....................................................................................................................... 13
2.1.1 Hacktivismo ................................................................................................................... 17
2.2 Cibercrimen ........................................................................................................................... 18
2.3 Ciberespionaje ....................................................................................................................... 24
2.4 Ciberterrorismo ..................................................................................................................... 27
2.5 Ciberguerra ............................................................................................................................ 29
3 Tipos de malware .......................................................................................................................... 31
3.1 Malware Sencillos: Ransomware .......................................................................................... 36
3.1.1 CRYPTOLOCKER ............................................................................................................. 39
3.1.2 CRYPTOWALL ................................................................................................................. 40
3.1.3 CRYPTODEFENSE............................................................................................................ 41
3.1.4 TORRENTLOCKER ........................................................................................................... 42
3.1.5 CARTA CERTIFICADA ...................................................................................................... 42
3.1.6 CRYPTOGRAPHIC LOCKER .............................................................................................. 43
3.1.7 COINVAULT .................................................................................................................... 44
3.1.8 BAT_CRYPTOR ............................................................................................................... 44
3.1.9 CBT-LOCKER ................................................................................................................... 44
3.1.10 ZEROLOCKER .................................................................................................................. 45
3.1.11 CRYPTOFORTRESS .......................................................................................................... 46
3.1.12 LOCKER Y TESLACRYPT................................................................................................... 47
3.1.13 ESTADÍSTICAS Y MEDIDAS DE PREVENCIÓN .................................................................. 48
3.2 Malware Complejos: Botnets ................................................................................................ 51
3.2.1 CONFICKER .................................................................................................................... 56
3.2.2 STORM ........................................................................................................................... 60
3.2.3 TDSS o Alureon o TDL4 .................................................................................................. 61
3.2.4 Windigo ......................................................................................................................... 62
3.2.5 Koobface ........................................................................................................................ 63
3.2.6 Simda ............................................................................................................................. 64
3.2.7 Beebone......................................................................................................................... 66

Ciberdefensa. [3] Marzo 2018

 3.2.8 Shuabang ....................................................................................................................... 68
3.2.9 AndBots ......................................................................................................................... 70
3.2.10 ESTADÍSTICAS ................................................................................................................ 74
4 Amenazas Avanzadas Persistentes................................................................................................ 78
4.1 Stuxnet .................................................................................................................................. 80
4.2 Night Dragon ......................................................................................................................... 82
4.3 Luckycat ................................................................................................................................. 83
4.4 Flame ..................................................................................................................................... 84
4.5 Octubre rojo .......................................................................................................................... 85
4.6 APT1....................................................................................................................................... 86
4.7 APT28..................................................................................................................................... 88
4.8 Equation ................................................................................................................................ 89
4.9 POSIBLES MEDIDAS DE DEFENSA Y LECCIONES APRENDIDAS ............................................... 90
5 Deep Web ...................................................................................................................................... 91
5.1 Anonimato en redes .............................................................................................................. 91
5.2 Cómo acceder ........................................................................................................................ 94
5.3 Mitos...................................................................................................................................... 96
5.4 Malware en TOR .................................................................................................................... 97
5.5 Alternativas ........................................................................................................................... 98
6 Conclusiones.................................................................................................................................. 98
Referencias .......................................................................................................................................... 102

Ciberdefensa. [4] Marzo 2018

FIGURAS
Figura 1 Modelo de Diamante para el análisis de la intrusión(4) .............................................. 8
Figura 2 Remote Cyber Threats: Three Levels(9) ................................................................... 10
Figura 3 Distribución de objetivos en abril de 2015 (Fuente: Hackmaggedon) ..................... 11
Figura 4 Medios utilizados por los ciberactivistas (Fuente: Wilfredo Jordan) ........................ 14
Figura 5 Proceso de propagación utilizado por ciberactivistas (Fuente: Compromiso Editorial,
2010)......................................................................................................................................... 15
Figura 6 Métodos de propagación del ciberactivismo (Fuente: Compromiso Editorial, 2010)
.................................................................................................................................................. 15
Figura 7 Comparativa entre homicidios y cibercrimen(20) ..................................................... 19
Figura 8 Ataques más comunes de cibercrimen(20) ................................................................ 20
Figura 9 Edad media del colectivo hacker(20)......................................................................... 22
Figura 10 Motivaciones detrás de los ciberataques (Fuente: Hackmaggedon 2015) ............... 31
Figura 11 Muestras de ransomware hasta 2013 (Fuente McAfee, 2013) ................................. 48
Figura 12 Muestras de ransomware 2015(28) .......................................................................... 49
Figura 13 Beneficios obtenidos del ransomware(29) ............................................................... 50
Figura 14 Proceso de ataque de una botnet (Fuente: NCTACable) ......................................... 53
Figura 15 Evolución C&C (Fuente: INCIBE, 2015)................................................................ 55
Figura 16 Conficker sigue activo en 2015(32) ......................................................................... 59
Figura 17 TDL4 Distribución de la amenaza (Fuente: Symantec) ........................................... 62
Figura 18 Infecciones Simda detectadas (Fuente: Secure List, 2015) ..................................... 66
Figura 19 Infecciones Beebone (Fuente: Symantec, 2015) ...................................................... 67
Figura 20 Países infectados por Beebone. (Fuente: ShadowServer, 2015) .............................. 68
Figura 21 Distribución de sistemas operativos móviles (Fuente: IDC, 2014) ......................... 70
Figura 22 Caracterización de las botnets(38) ........................................................................... 71
Figura 23 Propagación de Andbots(37) ................................................................................... 73
Figura 24 Países afectados por DDoS (Fuente: Kaspersky, 2015) .......................................... 75
Figura 25 Países que alojan C&C (Fuente: Kaspersky, 2015) ................................................. 75
Figura 26 Servidores Linux y Windows afectados por botnet (Fuente: Kaspersky, 2015) ..... 76
Figura 27 Botnet actuales (Fuente: Trend Micro, 2015) .......................................................... 78
Figura 28 Operación Octubre Rojo (Fuente: Kaspersky, 2013)............................................... 86
Figura 29 Funcionamiento de Tor (Fuente: Hacktivistas, 2015) ............................................. 92

Ciberdefensa. [5] Marzo 2018

TABLAS
Tabla 1 Posibilidades de recuperación de datos(27) ................................................................ 46
Tabla 2 Duración de ataques DDoS (Fuente: Kaspersky, 2015).............................................. 77
Tabla 3 Resumen APT28 (Fuente: FireEye, 2014) .................................................................. 89

Ciberdefensa. [6] Marzo 2018

1 Introducción
La dependencia tecnológica en nuestra sociedad ha ido aumentando muy
rápidamente, en particular en los últimos años, convirtiéndose en algo totalmente
imprescindible para el buen funcionamiento en general de todas las infraestructuras
en las que ésta se sostiene.

Los Estados y sus Ejércitos no han tomado una dirección diferente. La tecnología
cada vez ha penetrado más en ellos, con lo que esa dependencia se ha hecho
patente en la mayoría de sus ámbitos. No obstante, a mayor dependencia, mayor es
el impacto que podría tener un ataque a los sistemas sobre los que se sostiene un
país.

Los ataques cibernéticos ya no solamente tienen motivación intelectual o económica,

sino también política(1), por lo que las consecuencias ya no sólo se centran en una
pérdida monetaria, sino en los conflictos entre países que demuestran y miden sus
fuerzas, además de en las dimensiones de tierra, mar y aire, a través del
ciberespacio.

Este aumento de ataques en los sistemas de información es provocado por las

vulnerabilidades existentes, que a su vez dan lugar a las amenazas. Estas
amenazas, en el mundo del ciberespacio son denominadas ciberamenazas.

La ciberamenaza se define como “la amenaza a los sistemas y servicios presentes

en el ciberespacio o alcanzables a través de este”(2).

El origen de la ciberamenaza se encuentra en la existencia de vulnerabilidades que

pueden ser aprovechadas para comprometer la seguridad del sistema. Existen dos
tipos: intencionales y no intencionales(3).

 Ciberamenaza intencional. Es aquella que intenta producir daño, como por

ejemplo, el robo de información, la propagación de malware o la utilización de
técnicas de ingeniería social.
 Ciberamenaza no intencional. Es aquella que no busca explotar ninguna
vulnerabilidad aunque pone en riesgo la seguridad de los activos pudiendo
producir un daño en los mismos.
Aunque no existe un método estándar para medir la amenaza, desde ThreatConnect
se propone el Modelo de Diamante para el análisis de la Intrusión(4).

Ciberdefensa. [7] Marzo 2018

 Figura 1 Modelo de Diamante para el análisis de la intrusión(4)

Este modelo se compone, como se puede ver en la Figura 1, de un diamante en

forma de rombo en el que en sus puntas se sitúa la infraestructura, la capacidad, el
adversario y la víctima.

Es una metodología analítica que incluye no sólo un modelo cognitivo para organizar
amplios conjuntos de la lógica relacionados entre sí, sino también un conjunto de
técnicas matemáticas que permitan hacer frente al adversario de la forma más
precisa y estratégicamente posible. Además provee a la víctima de información para
no sólo conocer sus posibles debilidades sino también saber la capacidad de
mitigación proactiva de la que se dispone para hacer frente a todo tipo de amenazas
avanzadas y emergentes.

Por ejemplo, un adversario con unas altas capacidades y una gran infraestructura,
aumenta la probabilidad de intrusión con éxito en el sistema de la víctima
catalogando la ciberamenaza en este caso con un grado alto.

También, se puede plantear otra visión. Una víctima con una amplia capacidad de
recursos y una infraestructura securizada a un alto nivel implicaría que el adversario
tendría un bajo nivel de ciberamenaza hacia la víctima.

Este modelo proporciona una herramienta eficaz en la valoración de las

ciberamenazas aunque, según ThreatConnect, es un modelo que debe ser
realimentado con la experiencia de los analistas de seguridad para llegar a un alto
nivel de acierto.

Como se ha podido observar en el Modelo Diamante, un componente principal en la

valoración de la amenaza es el adversario. Este adversario se denomina atacante en
un ciberataque y puede estar clasificado en los siguientes grupos:

Ciberdefensa. [8] Marzo 2018

 Hackers informáticos. Según The Tallinn Manual 2013(5), se define como ”las
personas que ganan o tratan de obtener un acceso no autorizado al hardware y/o
al software”.
 Terroristas. Según la Universidad de Harvard y basándose en la definición de
ciberterrorismo(6), se podría definir como las personas que mediante la violencia,
destrucción y/o interrupción de los servicios crean confusión e incertidumbre de
una población dada, con el objetivo de influir en un gobierno o en una población
dada, para adaptar un entorno político, social o ideológico.
 Organizaciones criminales. Según el artículo 570 bis del Código Penal
reformado de España(7), se entiende por organización criminal “la agrupación
formada por más de dos personas con carácter estable o por tiempo indefinido,
que de manera concertada y coordinada se reparten diferentes tareas o
funciones con el fin de cometer delitos así como llevar a cabo la perpetración
reiterada de faltas”.
 Extremistas políticos. Según Rosario Jabardo(8) se define como “formas de
acción política de cuyas declaraciones programáticas, actitudes y conductas se
desprende una posición favorable a la utilización de procedimientos extralegales,
entre los que destaca la justificación implícita o explícita del uso de la violencia
para la consecución de objetivos políticos”.
 Movimientos fanáticos religiosos. El fanatismo religioso se relaciona con las
personas de conducta ciega con una religión en particular, lo que provoca que
realicen actos violentos contra las personas que no creen en la misma religión
utilizando una lógica inflexible.
 Servicios de inteligencia y fuerzas militares adversarias. En este último caso,
no requiere definición porque como su nombre indica, tanto los servicios de
inteligencia de un país como las fuerzas militares pueden ser adversarios en el
origen de las ciberamenazas.
A continuación, se presenta una clasificación realizada por Homeland Security(9)
que categoriza la ciberamenazas en tres niveles como se puede ver en la Figura 2:

 Nivel 1. Se caracteriza por atacar sistemas con un bajo nivel de seguridad y se

denomina como “variedad del jardín”. Se caracteriza porque los atacantes de
este grupo son inexpertos, con comportamiento oportunistas, con fondos
monetarios limitados, los objetivos atacados poseen vulnerabilidades conocidas,
actúan por emociones con el fin de darse importancia, con uso de malware
rudimentario. Todo esto conlleva a que son fáciles de localizar.
 Nivel 2. Se caracteriza por atacar sistemas con un nivel medio de seguridad. Los
atacantes que participan tienen habilidades de orden superior. Están bien
financiados, su actividad está centrada en un objetivo con vulnerabilidades
conocidas, utilizan malware como medio para introducir herramientas más
Ciberdefensa. [9] Marzo 2018
 sofisticadas, su objetivo es extraer los datos valiosos, y aunque son detectables
no es fácil su atribución.
 Nivel 3. Se caracteriza por agrupar a los atacantes realizan ataques muy
sofisticados, suelen ser agencias de inteligencia extranjeras muy bien
financiadas, con tecnología e información de la víctima, tienen por objetivo redes
sensibles con baja posibilidad de detección. Los sistemas de información que
atacan son los sistemas con un nivel de seguridad alto.

Figura 2 Remote Cyber Threats: Three Levels(9)

Uno de los ataques más importantes es el ataque de denegación de servicio (en

adelante DoS). Los objetivos y la naturaleza de este tipo de ataques pueden ser muy
diversos y las consecuencias de este tipo de ataque pueden ser bastante graves. El
ataque de denegación de servicio fue utilizado contra Estonia, Georgia, Estados
Unidos y Corea del Sur.

El robo de información es otro de los ataques que con mayor frecuencia se dan. No
solamente se pretende obtener información clasificada industrial o gubernamental o
militar, sino también información de los propios sistemas para poder estudiarlos y,
posteriormente, atacarlos al surgir un conflicto. Por ejemplo, el Pentágono sufre
todos los días intentos de obtención de información(10).

Por último, merece la pena reflexionar y destacar a las infraestructuras críticas como
el principal objetivo en el marco del ciberterrorismo y la ciberguerra, dado que un
ataque a dichas infraestructuras provocaría un alto impacto en las actividades y la
Ciberdefensa. [10] Marzo 2018
economía de un país. Se sabe que muchos países han realizado múltiples esfuerzos
por estudiar y encontrar vulnerabilidades en SCADA (Supervisory Control and Data
Acquisition), el sistema más utilizado para controlar las infraestructuras críticas.

En el último trimestre se han podido observar noticias de ciberataques entre

naciones con objetivos de robo de información como por ejemplo el ocurrido en
Estados Unidos con origen en Rusia en el que se han visto comprometidos los datos
tributarios de 100.000 personas mediante el ataque originado por una organización
criminal(11).

Pero no se sabe siempre el objetivo de un ciberataque hasta que no se analiza en

profundidad. De hecho, el último ciberataque chino ocurrido en Estados Unidos se
está aún investigando aunque en un primer momento ya se ha aclarado que no ha
afectado a seguridad nacional ni a secretos industriales(12).

Además no sólo es objetivo de los ciberataques países como Estados Unidos, sino
también estados como Alemania en el que mediante el ciberataque en la red del
parlamento alemán se buscaba presuntamente robar información(13).

También es interesante indicar que un grupo de hackers se centró en la publicación

de datos personales alojados en la página de contactos FriendFinder, infringiendo
leyes de protección de datos porque con esos datos publicados las personas eran
fácilmente identificables con los perfiles del sitio(14).

A continuación se muestra la Figura 3 en la que se muestran los objetivos elegidos

por los ciberataques.

Figura 3 Distribución de objetivos en abril de 2015 (Fuente: Hackmaggedon)

Ciberdefensa. [11] Marzo 2018

Como se puede observar el objetivo principal es el sector industrial con un 29,9% del
total de los ataques, por lo que se podría llegar a decir que el robo de información
industrial es el objetivo principal. Seguido al sector industrial, están los ciberataques
dirigidos a gobiernos con un 14,9%.

Una curiosidad a la vista de los datos, es que los ciberataques a infraestructuras

críticas como aeropuertos o el sector militar que aparecen agrupados en un 1,1%.
Esto podría plantearse como ¿hay pocos ciberataques? O ¿puede haber
ciberataques aunque no son públicos?

En un principio, la mayoría de los llamados hackers no tenían otro tipo de motivos

más que los intelectuales para la penetración en las redes, buscando popularidad y
notoriedad por haberse saltado las medidas defensivas de sistemas importantes.
Actualmente se agrupan por colectivos creando grupos de ciberatacantes como se
indica a continuación.

El ciberactivismo ha utilizado el avance de las nuevas tecnologías para su misión.

El uso de las nuevas tecnologías ha facilitado su distribución global de información y
en el momento justo.

No obstante, hubo un cambio radical cuando surgió el cibercrimen, ya que las

motivaciones pasaron de ser económicas a tener como objetivo principal la
obtención de dinero de forma ilegal. Hoy en día se ha desarrollado de forma
alarmante. El robo de identidad, el fraude financiero (en particular la banca online y
tarjetas de crédito/débito), el robo de información y los ataques diversos para la
extorsión son diferentes formas de cibercrimen que se han convertido en un
problema muy importante en todo el mundo.

El ciberterrorismo es otra de las amenazas que han cobrado fuerza durante los
últimos años, gracias a su evolución y aumento de actividad. No obstante, se
considera que la capacidad técnica se ha incrementado considerablemente y que la
posibilidad de que se puedan lanzar ataques que puedan dañar seriamente
elementos de las infraestructuras críticas nacionales se ha de tener en cuenta.

Otra de las amenazas más importantes que se están dando en este momento es el
ciberespionaje. Algunos países, como China y Rusia, han hecho de él una
extensión de sus metodologías de espionaje clásicas. A partir de estas técnicas
pueden adquirir información confidencial de todo tipo, ya sea proveniente de
Estados, sus Ejércitos o información industrial que ofrecerá ventajas competitivas al
mejor postor.

Un ejemplo es la operación Titan Rain(15), que implicaba el intento de obtención de

información gubernamental de Estados Unidos y Gran Bretaña desde el interior de
China. Hubo una gran fuga de información.

Ciberdefensa. [12] Marzo 2018

Por último, se cierne sobre nosotros el problema de la ciberguerra. En los últimos
años, ha habido diferentes ciberataques a países por motivaciones políticas, como
pueden ser los realizados contra Estonia, Georgia y Estados Unidos junto con Corea
del Sur. Esto demuestra la capacidad de ciberataques que han obtenido países
como Rusia y China, ganando una superioridad estratégica sobre el resto.

Algunos estados han comenzado ya su carrera para la obtención de esta capacidad

ya que se atisban futuros ciberconflictos entre países, siendo el ciberespacio una
dimensión más donde combatir, como pueden serlo tierra, mar y aire.

2 Según su origen
En este apartado se va a caracterizar la ciberamenaza por su origen, definiendo los
distintos grupos en los que se agrupan las ciberamenazas dependiendo de los
objetivos de los atacantes.

La ciberamenaza puede haber sido desencadenada por:

 Ciberactivistas.
 Cibercriminales.
 Ciberespías.
 Ciberterroristas.
 Ciberguerreros.

2.1 Ciberactivismo
Las organizaciones y grupos de individuos dedicadas a cuestiones socio-políticas
han dado lugar a los movimientos sociales con una línea de acción en la vida pública
en el campo social, político y religioso. En el pasado estos movimientos sociales se
realizaban mediante reuniones anuales en las que los activistas iban recorriendo los
países para poder implicar un número suficientemente grande de personas y que se
lograra un cambio social.

Hoy, el activismo gracias a las nuevas tecnologías y la conexión global que nos
brinda Internet, se logran campañas ágiles, flexibles y con un enfoque y una escala
extraordinarios. Como por ejemplo la comunidad online Avaaz. Avaaz se define
como “un megáfono para llamar la atención sobre nuevos temas como un pararrayos
para canalizar preocupaciones e intereses ciudadanas dispersos e integrarlos en
torno a una campaña específica y con objetivos claros; como un camión de
Ciberdefensa. [13] Marzo 2018
bomberos para dar una respuesta rápida y eficaz ante una situación de emergencia
inesperada; y como una célula madre de activismo político capaz de reproducirse y
adoptar la forma que sirva mejor para cubrir una necesidad urgente determinada.”.

Por todo esto, el ciberactivismo se puede definir como el conjunto de técnicas y

tecnologías de la comunicación, basadas Internet y en la telefonía móvil; las redes
sociales, correo electrónico y podcasts que sirven para diversas formas de
activismo, de manera que posibilita que las comunicaciones sean más rápidas en los
movimientos ciudadanos y ayuden a difundir información local a una gran audiencia
en un breve periodo de tiempo(16).

Los objetivos que persigue el ciberactivismo son:

 Recaudación de fondos. Para lograr este objetivo se utilizan todos los medios a
su alcance como redes sociales, campañas publicitarias en Youtube.
 Construcción de comunidad. Para contribuir a este objetivo, los ciberactivistas
hacen uso de las redes sociales como por ejemplo Facebook, Twitter.
 Hacer lobby. Para hacer lobby, uno de los medios más utilizados son los videos
en Youtube o presentaciones guardadas en Dropbox o slideshare.
 Organizarse. Para este objetivo además de las redes sociales, se utilizan los
medios clásicos de comunicación en Internet siendo el correo electrónico y Skype
los más utilizados.
Como se puede ver en la siguiente Figura 4, se ha realizado un resumen de los
medios utilizados por los ciberactivistas en Bolivia. País que contando con una
brecha digital grande, utiliza los medios tecnológicos para cumplir sus metas.

Figura 4 Medios utilizados por los ciberactivistas (Fuente: Wilfredo Jordan)

Ciberdefensa. [14] Marzo 2018

La estrategia de comunicación seguida por las personas que desean tener la
máxima difusión de su mensaje se debe hacer uso se puede observar en la Figura 6.

3
2

4
Figura 6 Métodos de propagación del ciberactivismo (Fuente: Compromiso Editorial, 2010)
Figura 5 Proceso de propagación utilizado por ciberactivistas (Fuente: Compromiso Editorial, 2010)

La estrategia consta de las siguientes fases:

 Fase 1. Esta fase persigue el objetivo de promocionar la causa. Para ello,

COMUNICAR primero la decisión al grupo que desarrolla la idea para llevar los
mismos objetivos, los planes y los plazos mediante reuniones. Posteriormente, se
debe utilizar la red social Facebook con más de 1.350 millones de usuarios
activos para promocionar la lucha mediante la CREACIÓN de una página web de
la organización que simpatiza esa lucha. Pero como una página web sin visitas
no cumple su objetivo de difusión, se debe realizar una PROMOCIÓN de la
misma, mediante INVITACIONES a personas del grupo de amigos de la
organización.
 Fase 2. En la segunda fase se persiguen las metas de obtener apoyos y
COLABORACIÓN junto con un nivel de convocatoria mediante suscripciones en
el perfil de Facebook. Esta colaboración es realizada por bloggers en sitios web
como Blogger, permitiendo llegar a grupos de individuos con las mismas

Ciberdefensa. [15] Marzo 2018

 preferencias incitándoles hasta cierta manera a la PARTICIPACIÓN en los
medios anteriormente citados.
 Fase 3. Según el diagrama, esta fase consta en DOCUMENTAR todo mediante
aportaciones de vídeos y fotos con derechos libres de la información, como la
licencia Creative Commons.
 Fase 4. Esta fase es la que se mantiene durante más tiempo una vez que se ha
creado toda la infraestructura y la red de miembros. Es la fase en la que se
deben CONTAR LOS AVANCES a todos los miembros de la organización.
Además estos avances para tener cierta INFLUENCIA en la sociedad deben ser
públicos para poder congregar a más personas y poder llegar a INFLUIR. Para
esta fase, la red TWITTER cumple las expectativas porque permite contar en
directo y con un breve mensaje de texto la situación.
Los casos de ciberactivismo han tenido una amplia repercusión a nivel mundial. Por
ejemplo, el sitio en Facebook sobre el movimiento ciudadano producido el 15 de
mayo de 2011, en las que se producen protestas pacíficas en España con la
intención de promover una democracia más participativa con la intención de mejorar
el sistema democrático. Otro ejemplo es el movimiento Primavera Árabe, que
consiste en alzamientos populares acontecidos en el año 2010 en los países árabes
con Túnez como detonante.

Otro movimiento que hizo uso de las redes sociales como Twitter, es el movimiento
YoSoy132. Es un movimiento ciudadano conformado en su mayoría por estudiantes
mexicanos que mantienen un nivel alto de comunicación mediante mensajes en
Twitter.

Otra situación de ciberactivismo fue el caso de WikiLeaks. Se definen como una

organización mediática a nivel internacional sin ánimo de lucro. En su sitio web
publica informes anónimos y documentos filtrados con información sensible en
materia de interés público, como puede ser el caso del soldado Bradley Manning.
Este soldado durante su declaración en el juicio declaró “si el público en general,
especialmente el público estadounidense, tuviera acceso a la información ésta
fomentaría un debate nacional sobre el papel del estamento militar y nuestra política
exterior en general”. Como se puede observar en sus palabras, busca provocar un
cambio social importante en la opinión de la sociedad y en la política de Estados
Unidos.

Pero no todo es ciberactivismo si los métodos empleados para el robo de

información son técnicas de hacking. En este caso lleva a un nuevo término:
Hacktivismo.

Ciberdefensa. [16] Marzo 2018

2.1.1 Hacktivismo
El hacktivismo se ha clasificado como un caso particular del ciberactivismo y se
define como “Activismo digital antisocial. Sus practicantes persiguen el control de
ordenadores o sitios web para promover su causa, defender su posicionamiento
político, o interrumpir servicios, impidiendo o dificultando el uso legítimo de los
mismos”(2). Este término se ha creado a partir del término hacker y el término
activismo.

Los objetivos perseguidos por los hacktivistas implican acciones como

desfiguraciones de webs, redirecciones, ataques de denegación de servicio, robo de
información, parodias de sitios web, sustituciones virtuales, sabotajes virtuales y
desarrollo de software; que les ayude a logar su causa.

El caso más importante en hacktivismo es WikiLeaks. Los hacktivistas que

proporcionan la información publicada en este sitio, tienen por objetivo el robo de
información sensible de gobiernos que no poseen un comportamiento ni ético ni
ortodoxo y con énfasis especial en países con regímenes totalitarios.

Si bien es cierto, que las filtraciones con más impacto a nivel internacional fueros las
noticias relacionadas con las guerras de Irak y Afganistán hay que destacar que el
28 de noviembre de 2010 se filtró la información sobre las comunicaciones entre el
Departamento de Estado de Estados Unidos y sus embajadas(17).

Aunque Wikileaks se describe como una organización fundada a nivel internacional

por disidentes chinos, así como periodistas, matemáticos, científicos y tecnólogos; la
cara visible de la organización es Julian Assange, recluido en la embajada de la
República de Ecuador en Londres para evitar su hipotética extradición a Estados
Unidos.

Otra caso de hacktivismo es el caso Anonymous. Anonymous es el pseudónimo que

utilizan diferentes grupos e individuos para realizar en su nombre acciones de lucha
activista. Surgieron en el foro 4Chan y su protesta se centra en defender la libertad
de expresión, la independencia de Internet y entre otras cosas, los derechos de
autor y en el conocimiento libre. Su lema es el siguiente, según dejaron escrito en un
mensaje a Scientology:

Somos Anónimos.
Somos Legión.
No perdonamos.
No olvidamos.
Esperadnos.

La organización se caracteriza por no tener una jerarquía definida por lo que

cualquier individuo podría utilizar su nombre en la publicación de noticias falsas.
Esta falta de jerarquía también les garantiza anonimato aunque en algunos países
Ciberdefensa. [17] Marzo 2018
como España y Chile ya se han realizado detenciones de presuntos miembros
implicados en acciones de ataques de denegaciones de servicio distribuidas.

Aunque Anonymous no tiene un sitio web definido, su expansión se ha realizado a

través de foros, chat de IRC, redes sociales; gestionados por pequeños grupos o
células que lo componen.

Las actividades detectadas de ciberactivismo en el último mes han sido(18):

 Retorno del Ejército Sirio Electrónico (SEA). Ha atacado, una vez más, el
Washington Post, realizando una redirección hacia una web controlada por el
SEA.
 Organización Mundial del Comercio. Anonymous lograron extraer información,
a través de ataques de inyección SQL, de las bases de datos de la Organización
Mundial del Comercio (OMC) publicando más de 2000 datos de empleados de la
OMC
 Expo 2015. Anonymous Italia continúa apuntando a la Expo 2015, siendo Best
Union atacada mediante DDoS y de defacement de su web.
 Yemen Cyber Army (YCA). El grupo autodenominado como Yemen Cyber Army
(YCA) ha lanzado un ataque dirigido contra los sistemas informáticos en Arabia
Saudí, principalmente contra los servidores web y las bases de datos del
Ministerio del Interior y del Ministerio de Defensa con el robo de más de
1.000.000 de documentos.

2.2 Cibercrimen
Una posible definición de cibercrimen realizada por Fernando Miró Llinares(19)
indica que cibercrimen es la sustitución de la denominación de delitos informáticos
por el término anglosajón cybercrime, procedente de la unión entre el prefijo cyber,
derivado del término cyberspace, y el término crime, como concepto que sirve para
englobar la delincuencia relacionada con el uso de las Tecnologías de la información
y la comunicación.

El cibercrimen tiene un gran apogeo a nivel internacional que contrasta con la baja
preparación de los agentes defensivos para poderles hacer frente. Aunque esta
tendencia es difícil que cambie con el avance de la tecnología, sí que en los últimos
años se ha venido disminuyendo el margen de conocimiento entre defensores y
cibercriminales.

En febrero del año 2013, la Oficina de la Organización de las Naciones Unidas en

Drogas y Crimen sobre la evolución del cibercrimen con el objetivo de analizar la
situación del momento y analizar las tendencias denominado Comprehensive Study

Ciberdefensa. [18] Marzo 2018

on Cybercrime(20). En el citado estudio, una de las gráficas que llama la atención es
la Figura 7 en la que se realiza por ejemplo una comparativa entre los actos de
cibercrimen y los homicidios que se han producido desde el año 2005 al año 2012.
Aunque no es una gráfica actual, hay que destacar que la evolución del cibercrimen
ha crecido de forma preocupante en relación con los homicidios que se han
mantenido. Esto puede ser debido al auge de las nuevas tecnologías y a la falta de
legislación en delitos cibercriminales.

Figura 7 Comparativa entre homicidios y cibercrimen(20)

Una faceta importante es la impunidad por la falta de legislación que existe con
respecto al cibercrimen. De hecho, la profesionalización del fraude en Internet no
sólo ha atraído a las bandas organizadas a la red de redes, sino que ha dado paso a
ataques con fines políticos como los que ya han sufrido algunas regiones de la tierra.

Además, la forma de obtener dinero de forma fraudulenta no ya es el único objetivo,

sino también el dominio de Internet. Y aunque algunos proveedores de Internet ya
han sido clausurados por el FBI, los casos de phishing y de troyanos siguen su
ascenso imparable.

En el cibercrimen la mayoría de los ataques informáticos proviene, principalmente,

del uso del phishing1 y de los troyanos. De hecho, a menudo aparecen nuevos tipos

1
Phishing: Es un tipo de estafa en línea, y los autores de estos fraudes son artistas del engaño con conocimientos
técnicos y ladrones de identidad.(Symantec)
Ciberdefensa. [19] Marzo 2018
de phishing. Uno de los últimos parte de una debilidad existente en una de las
funciones de JavaScript de los principales buscadores en la red.

Las mayores pérdidas se producen por acceso no autorizado a través de cuentas

con privilegios de administración. Los atacantes se hacen con el usuario y la
contraseña de estas cuentas y lo utilizan para obtener información sensible a la que
habitualmente no tendrían permiso para acceder.

En la Figura 8 se representan los casos más comunes de cibercrimen en el mundo

aunque se deben asumir que no todos los países han aportado datos para su
conteo.

Figura 8 Ataques más comunes de cibercrimen(20)

Incluso salvando estos detalles, hay que destacar que en Europa, el continente
americano, Asia y Oceanía poseen el mismo orden de cibercrímenes, En primer
lugar se sitúa el fraude a través del ordenador, en segundo lugar la pornografía
infantil y en un tercer lugar estaría el acceso no autorizado.

En cambio en el continente africano, en el que solo 10 países han aportado datos,

en primer lugar se sitúa el fraude, en segundo lugar se encuentran los daños
personales relacionados con la informática y en un tercer lugar se ubica el
cibercrimen relacionado con los derechos de propiedad intelectual.

Pero además el cibercrimen contempla otros delitos como por ejemplo:

Ciberdefensa. [20] Marzo 2018

 Piratería de software, juegos, música o películas. Atenta contra los derechos
de propiedad intelectual.
 Estafas. La facilidad para engañar y recaudar dinero aumenta el número de
estafas.
 Transacciones fraudulentas.
 Phishing o suplantación de identidad. Es uno de los más frecuentes porque
suele ser la base de otros delitos.
 Acoso y explotación sexual.
 Pornografía infantil.
 Fraudes de telecomunicaciones.
 Acceso no autorizado a sistemas informáticos.
 Amenazas, injurias, calumnias y extorsiones. Las denuncias por injurias y
amenazas en las redes sociales cada vez más están colapsando los órganos
judiciales españoles. Los procedimientos incoados por hechos ilícitos
relacionados con las tecnologías de la información y la comunicación (TIC)
ascendieron el pasado año a 11.990, lo que supone un aumento del 50,64% en
comparación con los 7.957 del anterior, según la Memoria Anual de la
Fiscalía(21).
 Denegaciones de servicios distribuidas o DDoS.
 “Secuestro” de una página web.
 Spam.

Los agentes del cibercrimen son los hackers. No existe un perfil único del hacker, y
eso es lo que los hace peligrosos. Para un hacker es posible mezclarse con la
sociedad común y corriente y permanecer durante un largo periodo de tiempo sin ser
detectado

Por lo general los hackers, son personas expertas en sistemas avanzados, les
apasionan los sistemas informáticos, las telecomunicaciones, son expertos en
programación y conocedores de electrónica; estos tienen como objetivo principal
comprender los sistemas y el funcionamiento de estos para posteriormente
encontrar vulnerabilidades.

Los hackers se mueven en un rango de edad entre los 16 y 31 años. Esta edad
coincide con el auge y expansión de las nuevas tecnologías y la red de redes:
Internet(20).

Ciberdefensa. [21] Marzo 2018

 Figura 9 Edad media del colectivo hacker(20)

En la Figura 9, las diferentes líneas de colores HPP, Li, Lu y BAE Detica se refieren
a:

 HPP. Se refiere al estudio realizado por UNICRI y Chiesa denominado Profiling

Hacker en el que se encuestaron a 1.400 participantes.
 Li. Estudio de X Li se analizaron 151 participantes en cibercrímenes de entre
1998 y 2006 en Norte América.
 Lu. Estudio realizado sobre 18.000 sospechosos de cibercrímenes almacenados
en la base de datos de la policía del territorio este de Asia entre 1999 y 2004.
 BAE Detica. Se analizaron dos muestras de grupos criminales por parte de la
BAE Systems Detica and London Metropolitan University en 2012.

¿Qué tipos distintos de hacker existen a alto nivel?

Principalmente se pueden clasificar en hackers blancos y hackers negros.

Los hacker blancos o de sombrero blanco son hacker con una ética hacker centrada
en buscar vulnerabilidades en los sistemas para poderlos asegurar y proteger. Su
función es contactar con la organización responsable de esa vulnerabilidad para que
la corrijan y no sea explotada. En ningún momento se presentan con ánimo de
perjudicar y por eso no publican la vulnerabilidad, sino que se lo comunican a la
empresa de manera silenciosa.

Ciberdefensa. [22] Marzo 2018

Por otro lado, se encuentra el hacker negro o de sombrero negro. Su ética hacker se
centra en buscar vulnerabilidades en los sistemas, al igual que el hacker blanco,
pero de una manera maliciosa para poder obtener un beneficio económico o por
satisfacción personal. Muestran sus habilidades informáticas colapsando servidores,
rompiendo ordenadores, infectando redes para apoderarse de ellas o accediendo a
zonas restringidas. Por ejemplo, según FORBES, una vulnerabilidad de día 0, es
decir, desconocida, de iOS estaría entre 100.000 y 250.000 dólares.

Entre ambos, existe un tipo de hacker denominado hacker gris o de sombrero gris.
La característica principal de este tipo de hackers es que a veces pueden actuar
ilegalmente para conseguir encontrar las vulnerabilidades que permitan implementar
un mayor nivel de seguridad. La comunicación a las empresas y a la comunidad
hacker es simultánea y lo que hace es observar el desarrollo de las medidas a tomar
por ambos grupos.

A un nivel más especializado de clasificación nos encontramos a los siguientes

hackers:

 Crackers. Estos son tipos que se encuentran fascinados por su capacidad, la

cual utilizan para romper restricciones que se encuentran protegidas.
 Coders. Estos se dedican a desarrollar virus, son expertos en uno o más de un
lenguaje de programación orientados a objetos.
 Phreaking. Son personas con amplios conocimientos en telecomunicaciones,
clonación de teléfonos.
 Copy Hackers. Este tipo de personas son conocedores de la ingeniería social,
utilizan este tipo de ingeniería para ganarse la confianza de los hacker, pudiendo
obtener información de estos como por ejemplo la clonación de tarjetas de
telefonía modular, telefonía móvil.
 Lamer. Considerados los más numerosos, son los que mayor presencia tienen
en la red, por lo general pretenden hacer hacking sin tener conocimientos de
informática. Solo de dedican a buscar y descargar programas de hacking para
luego ejecutarlos, como resultado de la ejecución de los programas descargados
estos pueden terminar colapsando sus sistemas, malogrando registros o por lo
general destrozando su plataforma en la que trabajan; otro resultado de la
ejecución de los programas les puede resultar satisfactorios jactándose o
denominándose ser hacker.

Ciberdefensa. [23] Marzo 2018

2.3 Ciberespionaje
El espionaje ha estado junto al ser humano desde el principio de la existencia
porque el conocimiento de los planes o actividades de un pueblo vecino podía dar
ventajas sociales. A medida que se han ido mejorando los medios de comunicación,
el espionaje ha ido asociado a ello, como por ejemplo el telégrafo y la radio, han
marcado la evolución de los métodos y procedimientos de interceptación y cifrado de
la información, y con ello del espionaje como por ejemplo la máquina Enigma.

En la actualidad, la gran difusión de los sistemas de información y la dependencia de

la sociedad moderna de ellos, el ciberespacio se presenta como un gran campo para
el espionaje.

Por lo tanto el ciberespionaje se puede definir como el conjunto de actividades de

espionaje llevadas a cabo en el ciberespacio o utilizando el ciberespacio como
medio(2).

Al igual que el espionaje en el mundo real, una de las acciones más importantes es
el reconocimiento de adversario. En el ciberespacio consiste en realizar un
reconocimiento de los sistemas de información de gobiernos para introducir puertas
traseras.

Después otra de las acciones principales es la extracción de información constante

del adversario sin que este se entere. Estas fugas de información, una vez se
enteran los estados que han actuado de víctimas, producen desconfianzas entre los
estados adversarios y víctimas.

Uno de los objetivos principales del ciberespionaje en la India es el ciberespionaje

industrial desde china, según indica el gobierno indio. Los motivos son que con la
información suficiente sobre los procesos industriales, un país podría reducir los
gastos y el tiempo de construcción por ejemplo, de la industria militar.

Las técnicas o programas maliciosos utilizados por los ciberespías son:

 Troyanos. Son programas maliciosos que se presentan a la víctima como un

programa legítimo y que tras ejecutarse, permite al atacante el control remoto del
ordenador de la víctima.
 Keyloggers. Son programas o dispositivos hardware que registran las
pulsaciones de que se realizan en el teclado, para posteriormente almacenarlas
en un fichero y enviarlas por Internet al atacante.
 Buscadores. Los buscadores indexan constantemente información que los
crawlers consiguen encontrar en las páginas web.
 Ingeniería social: redes sociales. La ingeniería social es la técnica que permite
obtener información confidencial a través de la manipulación de la víctima. Esta
Ciberdefensa. [24] Marzo 2018
 ingeniería social con el auge de las redes sociales ha cobrado fuerza, porque por
ejemplo se puede extraer información veraz y al momento sobre los gustos,
amigos, pensamientos de una persona con sólo ver su perfil público.

Existen numerosos casos de ciberespionaje, entre los que destacan los siguientes:

 Entre los años 1999 y 2004 se extrajeron más de 12.000 números de la

Seguridad Social y fechas de nacimiento de los visitantes del Laboratorio
Nacional de Oak Ridge (ORNL) del Departamento de Energía de Estados
Unidos. En diciembre de 2007 unos ciberdelincuentes penetraron nuevamente en
los ordenadores
 Durante el verano de 2008, un miembro del equipo del todavía candidato Obama
denunció un problema con un ordenador, que él achacaba a un virus informático.
Tras su revisión, se pudo comprobar que había sido descargada una gran
cantidad de información de los ordenadores de la campaña. No habían sido los
únicos atacados, puesto que el sistema de su rival, John McCain, también había
sufrido una infiltración. Las investigaciones apuntaron a una entidad u
organización extranjera que quisiera reunir información confidencial de cara a
una futura negociación con el nuevo presidente.
 En 2008 la operación Buckshot Yankee: el Departamento de Defensa de Estados
Unidos sufrió un compromiso significativo de sus redes de computadoras
militares clasificadas. El vector de entrada fue una unidad flash insertada en una
computadora portátil militar en una base en Oriente Medio. El código malicioso
de una agencia de inteligencia extranjera, se cargó a sí mismo a una red
administrada por el Comando Central de EE.UU. Ese código se esparció sin ser
detectado en los sistemas clasificados y no clasificados, estableciendo el
equivalente a un punto de partida digital del cual se pudiesen transferir datos a
servidores bajo control extranjero.
 Durante este mes de mayo de 2015, las principales campañas de ciberespionaje
han sido ejecutadas por prorrusos, tanto estatales como no estatales según el
informe Ciber Elcano del Real Instituo Elcano. Las campañas de ciberespionaje
detectadas han sido las siguientes:
 La Operación Armageddon, investigada y detectada por Lookingglass Cyber
Solutions. Tuvo su origen a mediados de 2013 y su objetivo principal fueron
entes gubernamentales, militares y fuerzas y cuerpos de seguridad del estado
ucraniano. Se piensa que el inicio de la campaña vino motivado por la decisión
de Ucrania de aceptar el Acuerdo de Asociación entre Ucrania y la Unión
Europea, diseñado para mejorar las integraciones económicas entre ambos
mercados. Los líderes rusos interpretaron públicamente este movimiento por
parte de Ucrania como una amenaza para la seguridad nacional rusa.

Ciberdefensa. [25] Marzo 2018

 El 15 de mayo de 2015, un grupo de hackers prorrusos con base en Ucrania han
reivindicado la autoría del ataque al departamento TIC del Bundestag alemán,
según informaba Der Spiegel.
 Y por último se ha detectado la campaña de ciberespionaje denominada Thamar
Reservoir por los analistas de ClearSky. Su objetivo era Thamar E. Gindin. Los
atacantes centraron sus esfuerzos en conseguir acceso remoto sobre las
máquinas de la víctima para hacerse con el control de las cuentas de correo
electrónico asociadas. Aunque hay varios países infectados como se puede se
puede ver en la gráfica: Arabia Saudí, Israel, Yemen y Venezuela entre otros;
aunque queda claro que su objetivo era Arabia Saudí.

Otra forma de espionaje son las webcam sin seguridad implementada y con puertos
conocidos de conexión remota. Se estima que un 60% de las webcam conectadas a
Internet no poseen ninguna protección de seguridad y algunas están emplazadas en
sitios como grandes multinacionales, centros comerciales o dependencias de las
Fuerzas de Seguridad del Estado. Además el 20% de webcam conectadas a Internet
con seguridad configurada, presentan vulnerabilidades conocidas lo que las hace un
objetivo de fácil ataque.

Por otro lado, también hay que destacar que según un informe del FBI, China
contaría con la cifra de 180.000 ciberespías(22).

Los ejemplos anteriores son solamente una pequeña muestra de los que se pueden
encontrar diariamente en los medios de comunicación. Sin embargo, permiten
formar una idea de la importancia creciente que tiene este tipo de amenaza, así
como de los efectos y posibilidades que ofrece a sus usuarios.

Y por último en referencia al ciberespionaje citaremos el proyecto Echelon(23).

Según las agencias de seguridad brasileñas después de analizar los documentos

filtrados por el ex analista norteamericano de la National Security Agency (NSA),
Edward Snowden, la isla británica de Ascensión, ubicada en el Océano Atlántico es
la base de operaciones de un proyecto ultra secreto de espionaje global conocido
como "Echelon", en el que participa la alianza de los Cinco Ojos compuesta por:
Estados Unidos, Reino Unido, Canadá, Nueva Zelanda y Australia. A estos actores
hay que sumar la cooperación presuntamente de Microsoft, Google, Facebook, etc.
O proveedores de telefonía como Verizon y AT&T.

Presuntamente, los sistemas instalados poseen una capacidad de interceptar y

vulnerar cualquier tipo de protección a unos dos millones de conversaciones
telefónicas, correos electrónicos y publicaciones en las redes sociales, por ahora, es
analizada en un centro de inteligencia situado en Fort Meade, en Maryland (EEUU).
Una vez estudiada es distribuida a los agentes distribuidos por el mundo.

Ciberdefensa. [26] Marzo 2018

El diario -O Globo- de Brasil, reveló los países iberoamericanos más espiados fueron
México, Argentina, Venezuela, Colombia, Ecuador, Brasil, Chile, Perú, Paraguay,
Panamá, Costa Rica, Nicaragua, Honduras y el Salvador; y que sus actividades de
inteligencia no se centraban en asuntos militares, sino además, en "secretos
comerciales".

Los datos filtrados por Snowden confirman el espionaje vía satélite de todo tipo de
comunicaciones mediante la utilización de programas como PRISM, que permite el
acceso a e-mails, conversaciones on-line y llamadas de voz de usuarios de Google,
Microsoft y Facebook; el Boundless Informant, que facilita la vulneración de toda
clase de comunicaciones internacionales, como por ejemplo: faxes y e-mails, entre
otros; y el X-Keyscore, que identifica la presencia de un extranjero en determinado
país, a través del idioma usado en e-mails.

2.4 Ciberterrorismo
El ciberterrorismo se define como un acto criminal perpetrado por el uso de las
computadoras y las capacidades de telecomunicaciones, dando lugar a la violencia,
la destrucción y / o interrupción de los servicios para crear el miedo al causar
confusión e incertidumbre dentro de una población dada, con el objetivo de influir en
un gobierno o de la población para adaptarse a una agenda política, social o
ideológica(6).

Los principios por los que se rige el ciberterrorismo son(24):

 Ausencia de limitaciones físicas. La red de redes permite llegar a cualquier

lugar del mundo sin ningún desplazamiento del terrorista.
 Efectos físicos. Una acción de ciberterrorismo debe producir daños físicos en
sistemas de energía, sistemas de almacenamiento de agua y los sistemas de
telecomunicaciones.
 Invisibilidad. El ataque ciberterrorista debe ser invisible a la víctima para que no
pueda ser detectado ni vinculado al atacante.
 Mutabilidad y consistencia. Un ciberterrorista puede variar sus acciones para
adecuar el ataque según sea el sistema de la víctima.
 Identidad y privilegios. Las acciones terroristas deben ser reconocidas por el
grupo terrorista.
 Dualidad de herramientas de ataque y defensa. Se manejan herramientas de
ataque y defensa para poder soportar los ataques hacia el terrorista.
 Control de la infraestructura. Se debe mantener en todo momento el control de
la infraestructura de la víctima.
Ciberdefensa. [27] Marzo 2018
 Información como ambiente operacional. La información es la pieza clave en
una acción ciberterrorista.

Las características del ciberterrorismo son:

 Bajo costo. No hace falta desplazarse hasta la víctima.

 Alta rapidez. A través de Internet se realizan los ataques en pocos segundos.
 Los conocimientos para realizar acciones ciberterroristas están al alcance
de un gran número de naciones.
 Los países que pueden recibir mayor ataques ciberterroristas son los
países muy industrializados. Además, en estos países se producirán los
mayores daños ya que todas las infraestructuras están informatizadas que
pueden causar daños graves por un malfuncionamiento producido por ataques
ciberterroristas.
El experto en seguridad informática Bruce Schneider lo define como hacking
políticamente motivado.

Un ejemplo claro de ciberterrorismo es la película La jungla 4.0 en la que un grupo

terrorista bloquea el sistema de ordenadores que controla las comunicaciones, el
transporte y el suministro de energía. El cerebro de la operación había estudiado
minuciosamente hasta el más mínimo detalle, pero no había contado con John
McClane (Bruce Willis), un policía de la vieja escuela, pero con los conocimientos
necesarios para frustrar una amenaza terrorista de esta índole.

Los casos más importantes de ciberterrorismo son:

 Año 1985: Grupo terrorista Middle Core Faction ataca el sistema que controla los
ferrocarriles de alta velocidad japoneses cortando el suministro eléctrico y los
cables de control informatizados del ferrocarril. Además interceptan y perturban
las radiocomunicaciones de la Policía para anticipar y ralentizar la capacidad de
respuesta de las autoridades. En esta acción no hubo heridos, afecto a 6,5
millones de usuarios y tuvo un coste de 6 millones de dólares.
 Década de los 90:
o El grupo guerrillero tamil, Liberation Tigers, ataca objetivos
estadounidenses lanzando un email bomba contra organizaciones
gubernamentales.
o Guerra del Golfo. Se atacó a los servidores militares estadounidenses y
alteró los archivos médicos de los soldados. Entre otras cosas, cambiaron
los tipos de sangre, información crucial para una transfusión durante una
batalla.

Ciberdefensa. [28] Marzo 2018

 o Guerra entre Serbia y Croacia. El grupo Black Hand ataca el Centro de
Informática de Kosovo, universidades y la versión en línea del periódico
Vjesnik. La respuesta croata es entrar en el sitio web de la Biblioteca
serbia. Black Hand roba el fichero de contraseñas del Rudje Boskovic
Institute como reacción. Seguidamente, los hackers croatas se introducen
en dos servidores serbios.
o Guerra de Kosovo. Hackers rusos, yugoslavos y norteamericanos, llenaron
páginas de grafitis a favor y en contra de Milosevic o la OTAN.
 Año 2003: Nueva York queda sumida en el caos como consecuencia del mayor
apagón en la historia de Estados Unidos, que afectó a casi toda la región noreste
del país además de Canadá. Se desconoce la razón.
 17 de enero del 2005, Málaga (España): Se detiene a un hacker por atacar a
través de Internet un ordenador del Departamento de Defensa de Estados
Unidos que comprometía la seguridad de un dique seco de mantenimiento de
submarinos nucleares en la base naval de "Point Loma", San Diego, California.
 Año 2007 en Estados Unidos: Una red informática del Pentágono sufre un ataque
lanzado por hackers desde China que se convierte en “uno de los ciberataques
de más éxito” al Departamento de Defensa de Estados Unidos.
 2008:
o 12 de septiembre: El CERN reconoce que un grupo hacker griego, llamado
Greek Security Team (GTS), ha vulnerado la seguridad de su sistema
informático.
o India: El Centro Nacional de Informática del país denuncia que sufre,
desde hace 18 meses, ataques desde conexiones telefónicas a Internet en
China. Destacados miembros del Servicio de Inteligencia afirmaron que
los hackers accedieron a las cuentas de correo electrónico de 200
ministros, burócratas y funcionarios de defensa, y continuaron atacando
servidores indios al ritmo de tres o cuatro al día.

2.5 Ciberguerra
El concepto de ciberguerra se define como el uso de capacidades basadas en la red
de un estado, para interrumpir, denegar, degradar, manipular o destruir información
residente en ordenadores y redes de ordenadores, o los propios ordenadores y las
redes de otro estado(25).

La ciberguerra no se encuentra en la punta de la pirámide de la escalada de un

conflicto. La ciberguerra, en su forma de ciberespionaje, tendrá lugar desde las
primeras fases del proceso. En su forma de ciberataque dependerá de las tácticas

Ciberdefensa. [29] Marzo 2018

que se adopten en el planeamiento conjunto de las operaciones, si bien
normalmente será anterior y/o simultánea a la fase de conflicto. Una ciberguerra se
puede originar de una forma aislada, sin necesidad de que haya una mayor escalada
de violencia.

Comparando los conflictos habidos en los últimos años en lo que ha existido

ciberguerra, con los totales del último siglo, se llega a la conclusión de que los
conflictos han sido y siguen siendo los mismos a lo largo de la Historia, y lo único
que han variado han sido los escenarios en los que se llevaron a cabo.

La ciberguerra utiliza todo tipo de técnicas y programas maliciosos al alcance.

A continuación se muestran los casos identificados como ciberguerra entre Estados:

 En 2003, Taiwán recibió ataque del que culpó a China. Este ataque dejó sin
servicio infraestructuras críticas como hospitales, la Bolsa y algunos sistemas de
control de tráfico. El ataque fue progresivo y con una aparente organización que
incluyó no solo un ataque de denegación de servicio (DDoS), sino que también
incluía virus y troyanos.
 En 2007, Estonia culpó a las autoridades de Rusia de diversos ataques
continuados que dejaron al país afectaron a medios de comunicación, bancos y
diversas entidades e instituciones gubernamentales. Los ataques comenzaron al
poco de que a finales de abril el Gobierno estonio trasladara desde el centro de
la capital a un cementerio apartado el conocido como Soldado de Bronce,
monumento erigido a los militares soviéticos caídos combatiendo el nazismo, que
para muchos estonios representaba el monumento a quien durante medio siglo
ocupó su país. El ataque consistió en recibir 1.500 visitas por segundo, cifra que
normalmente se recibían al día en los servidores web gubernamentales.
 En agosto de 2008, en plena guerra Rusia, Osetia del Sur, Georgia; se
produjeron los ciberataques a Georgia por parte de Rusia orientados hacia sitios
gubernamentales.
 A finales de septiembre de 2010, Irán registró un ataque a las centrifugadoras del
programa de enriquecimiento de uranio. La ciberamenaza se denominó Stuxnet.
Esta ciberamenaza se explicará más adelante.
 En enero de 2011, Canadá fue atacada por máquinas alojadas en China
mediante un ataque a los sistemas de contraseñas del ministerio de Finanzas.
 En el año 2012 países de Oriente Medio registran un alto número de
ciberataques entre los que se identifican las campañas Flame y sKyWIper.
 El 26 de octubre de 2013 se registraron en total unos 25 intentos de ataque a la
red de electricidad hidroeléctrica de la ciudad de Chicago perpetrado por el
gobierno de Luxemburgo.

Ciberdefensa. [30] Marzo 2018

A modo de resumen de este apartado de caracterización de la amenaza cibernética
se podría pensar: ¿y ahora cómo estamos? La respuesta a la vista de Figura 10
obtenida en abril de 2015 queda claro que más de la mitad de los ciberataques son
motivados por el cibercrimen, seguido por el hacktivismo. Y en un menor grado se
encuentra el ciberespionaje y con un porcentaje de un 3,4% estaría la ciberguerra.

Figura 10 Motivaciones detrás de los ciberataques (Fuente: Hackmaggedon 2015)

3 Tipos de malware
A continuación se van a explicar los distintos tipos de malware que existen
categorizados como malware sencillos o malware complejos dependiendo de la
víctima a la que afecta y las infecciones realizadas.

El malware sencillo normalmente se caracteriza por ir dirigido a PYMES y a usuarios

domésticos, en cambio, el malware complejo suele afectar a organizaciones o
estados y posee un alto grado de infección. También se diferencian en el esfuerzo
por el atacante para llevar a cabo las acciones maliciosas en las víctimas.

Pero antes de entrar en más detalles, se van a explicar algunos conceptos básicos
sobre qué es el malware y los diferentes tipos que existen.

Dado que no existe una clasificación estándar por su rapidez en la creación de

nuevos tipos de malware, se explicará una clasificación adecuada a esta sesión, que
permita al alumno seguir con la misma.

La gran variedad de programas maliciosos hace necesario presentar algunos

conceptos antes de avanzar, que permitan al alumno adquirir los conocimientos
Ciberdefensa. [31] Marzo 2018
básicos para poder afrontar los siguientes puntos. Por ello, lo primero es definir el
concepto malware.

Malware es la abreviatura de malicious software y se puede definir según el CERT

del Centro Criptológico Nacional como el software que tiene como objetivo infiltrarse
en o dañar un ordenador sin el conocimiento de su dueño y con finalidades muy
diversas(2).

El malware afecta a los tres pilares de la seguridad de la información:

confidencialidad, disponibilidad e integridad:

 La confidencialidad es la propiedad que impide la divulgación de información a

personas o sistemas no autorizados.
 La integridad es la propiedad que busca mantener los datos libres de
modificaciones no autorizadas.
 La disponibilidad es la característica, cualidad o condición de la información de
encontrarse a disposición de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones.

La clasificación del malware es la siguiente:

Adware

Adware, según Panda Security, es una palabra inglesa que nace de la contracción
de las palabras Advertising Software, es decir, programas que muestran anuncios.
Se denomina adware al software que muestra publicidad, empleando cualquier tipo
de medio: ventanas emergentes, banners, cambios en la página de inicio o de
búsqueda del navegador, etc. La publicidad está asociada a productos y/o servicios
ofrecidos por los propios creadores o por terceros.

El adware puede ser instalado con el consentimiento del usuario y su plena

conciencia, pero en ocasiones no es así. Lo mismo ocurre con el conocimiento o
falta del mismo acerca de sus funciones. Mientras que algunos adware están
exclusivamente diseñado para ofrecer anuncios, no es raro que los programas
publicitarios de venir incluido con el software espía siendo capaz de rastrear la
actividad del usuario y el robo de información. Debido a las capacidades añadidas
de spyware, paquetes de adware/spyware son significativamente más peligrosos
que el adware.

Generalmente, estas aplicaciones agregan iconos gráficos en las barras de

herramientas de los navegadores de Internet o en los clientes de correo.

Ciberdefensa. [32] Marzo 2018

Rootkit

Un rootkit es una herramienta que sirve para ocultar actividades ilegítimas en un

sistema. Una vez que ha sido instalado, permite al atacante actuar con el nivel de
privilegios del administrador del equipo(2).

La detección de un rootkit puede ser difícil debido a su operación sigilosa. Debido a

que un rootkit se esconde continuamente su presencia, los productos de seguridad
típicos no son eficaces en la detección y eliminación de rootkits.

Se clasifican en dos grupos: los que van integrados en el núcleo y los que funcionan
a nivel de aplicación. Los que actúan desde el kernel añaden o modifican una parte
del código de dicho núcleo para ocultar el backdoor. Los rootkits que actúan como
aplicaciones pueden reemplazar los archivos ejecutables originales con versiones
modificadas que contengan algún troyano, o también pueden modificar el
comportamiento de las aplicaciones existentes usando hacks, parches, código
inyectado, etc.

Spyware

El spyware es un código malicioso diseñado habitualmente para utilizar la estación

del usuario infectado con objetivos comerciales o fraudulentos como puede ser
mostrar publicidad o robo de información personal del usuario(2).

Un spyware típico se instala automáticamente en el sistema afectado de forma que

se ejecuta cada vez que se pone en marcha el ordenador, y funciona todo el tiempo,
controlando el uso que se hace de Internet y mostrando anuncios relacionados.

Funciona como un parásito y no se replica a otros sistemas.

Las consecuencias de una infección de spyware incluyen una pérdida considerable

del rendimiento del sistema.

Caballo De Troya

Un caballo de Troya, es un programa que aparentemente, o realmente, ejecuta una

función útil, pero oculta un subprograma dañino que abusa de los privilegios
concedidos para la ejecución del citado programa(2).

Desde sus orígenes, los troyanos han sido utilizados como arma de sabotaje por los
servicios de inteligencia como la CIA, cuyo caso más emblemático fue el Sabotaje al
Gasoducto Siberiano en 1982. La CIA instaló un troyano en el software que se
ocuparía de manejar el funcionamiento del gasoducto, antes de que la URSS
comprara ese software en Canadá.

Las acciones básicas que se pueden realizar con el spyware son:

Ciberdefensa. [33] Marzo 2018

 Utilizar la máquina como parte de una botnet.
 Ejecutar o terminar procesos.
 Apagar o reiniciar el equipo.
 Monitorizar las pulsaciones del teclado.
 Instalación de otros programas maliciosos.
 Robo de información personal.
 Borrado, modificación o transferencia de archivos.
 Realizar capturas de pantalla.
 Ocupar el espacio libre del disco duro con archivos inútiles.
 Monitorización del sistema y seguimiento de las acciones del usuario.
 Obtener fotos por la webcam si tiene.

Virus

Un virus es programa que está diseñado para copiarse a sí mismo con la intención
de infectar otros programas o ficheros(2).

Los virus pueden reemplazar archivos ejecutables por otros infectados con el código,
poseen la función de propagarse a través de un software, son muy nocivos y
algunos contienen además una carga dañina (payload).

El primer virus atacó a una máquina IBM Serie 360. Fue llamado Creeper, creado en
1972. Este programa emitía periódicamente en la pantalla el mensaje: «I'm a
creeper... catch me if you can!». Para eliminar este problema se creó el primer
programa antivirus denominado Reaper (cortadora).

Gusano

Un gusano informático es un programa que está diseñado para copiarse y

propagarse por sí mismo mediante mecanismos de red. No realizan infecciones a
otros programas o ficheros(2).

Una diferencia de un gusano y un virus es que los gusanos tienen la capacidad de

auto-replicarse y se propagan de forma independiente, mientras que los virus
dependen de la actividad humana a extenderse. Los gusanos a menudo se
propagan mediante el envío masivo de correos electrónicos con archivos adjuntos
infectados a los contactos de los usuarios.

Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su

incontrolada replicación, los recursos del sistema se consumen hasta el punto de

Ciberdefensa. [34] Marzo 2018

que las tareas ordinarias del mismo son excesivamente lentas o simplemente no
pueden ejecutarse.

El primer gusano informático de la historia data de 1988, cuando el gusano Morris

infectó una gran parte de los servidores existentes hasta esa fecha. Su creador,
Robert Tappan Morris, fue sentenciado a tres años en prisión y obtuvo de libertad
condicional, 400 horas de servicios a la comunidad y una multa de 10.050 dólares,
gracias a su familia que pagó la fianza. Fue este hecho el que alertó a las principales
empresas involucradas en la seguridad de tecnologías tales como Nirdesteam que
fue uno de los primeros en desarrollar el cortafuegos.

Ransomware

Ransomware, según INCIBE2, es un tipo de malware que esencialmente mantiene

cautivo sistema informático al tiempo que exige un rescate. El malware restringe el
acceso del usuario a la computadora, ya sea mediante el cifrado de archivos en el
disco duro o el bloqueo el sistema; y muestra mensajes que pretenden obligar al
usuario a pagar el creador del malware para eliminar las restricciones y recuperar el
acceso a su computadora. Se método de propagación es idéntico a un gusano ya
que utiliza ficheros adjuntos o por alguna vulnerabilidad en los equipos de la red.

Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013.

La empresa McAfee señaló que sólo en el primer trimestre del 2013 había detectado
más de 250.000 tipos de ransomwares únicos.

A continuación se va a realizar una exposición más exhaustiva de este tipo de

malware por la importancia que ha cobrado en los últimos años. Será clasificado en
esta presentación como malware sencillo porque su impacto es mayor en PYMES y
en usuarios domésticos. Además el desarrollo tecnológico que implementa no es un
gran avance en ingeniería.

Bot

Los bots, según la OSI 3 , son programas de software creados para realizar
automáticamente las operaciones específicas. Mientras que algunos robots son
creados con fines relativamente inofensivos, cada vez es más común ver a los
robots que se utilizan maliciosamente.

Los sitios Web pueden protegerse contra los robots con pruebas de CAPTCHA que
verifican los usuarios como humano.

Este constituye un malware complejo porque afecta a un gran número de equipos

que van desde un usuario doméstico a grandes organizaciones y además posee un

2
Instituto Nacional de Ciberseguridad.
3
Oficina de Seguridad del Internauta.
Ciberdefensa. [35] Marzo 2018
gran proceso de ingeniería en el desarrollo y gestión del malware. A continuación se
va a realizar una explicación más exhaustiva de este concepto.

3.1 Malware Sencillos: Ransomware

En los últimos meses los medios de comunicación generalistas se están haciendo
eco de campañas e incidentes de seguridad que están afectando gravemente a
personas particulares, empresas y administraciones públicas.

La proximidad de algunas de las campañas realizadas por las mafias que explotan el
ransomware son tan llamativas como efectivas. Mensajes contaminantes simulando
notificaciones de entrega de paquetes por parte de Correos, otros aparentando
formar parte de la actual campaña de la Renta o el famosísimo “virus de la policía”,
que causó estragos durante 2011 y 2012.

Un ransomware es un tipo de programa informático malintencionado que restringe el

acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a
cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos
del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el
rescate(2).

Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013.

La empresa McAfee señaló que sólo en el primer trimestre del 2013 había detectado
más de 250.000 tipos de ransomwares únicos.

Normalmente un ransomware se transmite tanto como un troyano como un gusano,

infectando el sistema operativo, por ejemplo, con un archivo descargado o
explotando una vulnerabilidad de software. En este punto, el ransomware se iniciará
y cifrará los archivos del usuario con una determinada clave, que sólo el creador del
ransomware conoce y proveerá al usuario que la reclame a cambio de un pago.

El origen de este ataque, según ESET, data del año 1989 cuando vía correo postal
fueron distribuidos a empresas farmacéuticas, diskettes que supuestamente
contenían información respecto al HIV. Al ejecutar los archivos que este contenía, se
producían los efectos del ataque: la información del ordenador era cifrada y la
víctima podía observar una serie de instrucciones y requerimientos para recuperar
sus datos, que incluían la entrega de dinero al atacante.

El primer malware tipo ransomware que alcanzó la fama de forma masiva fue el ya
citado “Virus de la Policía”. Sus creadores eran un grupo de delincuentes
ucranianos, aunque distribuidos por varios países, que había logrado un virus que se
adaptaba automáticamente a la nacionalidad de cada víctima, para mostrarle un
mensaje supuestamente enviado por las fuerzas y cuerpos de seguridad de su país.

Ciberdefensa. [36] Marzo 2018

Desarticular el entramado fue muy complicado, pero finalmente resultó posible. En
otoño de 2013 se fueron sucediendo las noticias de la caída de los implicados en
sus diferentes ramas, de la tecnológica a la económica, incluyendo detenciones en
España.

Las cifras de dinero que llegó a manejar aquel grupo fueron espectaculares. Según
la web oficial de la Policía Nacional de España, en una nota de prensa publicada el
27 de septiembre de 2013: “Detenidos en Madrid dos expertos informáticos
ucranianos que vendían el acceso a los servidores de más de 21.000 empresas de
80 países, más de 1.500 de ellas en España (…) Este sofisticado entramado
blanqueaba 10.000€ diarios a través de diferentes sistemas de pago electrónico y
divisas virtuales”4.

Los nuevos sistemas de pago les sirven a este tipo de delincuentes para recibir sus
cobros y dificultar su localización. Inicialmente solicitaban transferencias, el adquirir
tarjetas prepago u otras artimañas similares, apoyadas en rutas para el dinero llenas
de saltos intermedios hasta que lo recibían. Pero hoy la fórmula preferida para ellos
es utilizar bitcoins. La llegada de bitcoin facilita el proceso, posibilitando la entrega
de dinero virtual anónimamente lo que hace que sea difícil de confiscar y evitar que
el ransomware consiga su finalidad.

Además están sacando partido al empleo de la red Tor y a estrategias basadas en el

P2P, para que sea mucho más complicado seguirles el rastro persiguiendo
direcciones IP o conexiones a servidores de “mando y control”.

Un malware de tipo ransomware utiliza técnicas de cifrado para impedir el acceso a

la información contenido en los archivos a sus legítimos propietarios. Una vez
manipulados los archivos, el virus mostrará un mensaje pidiendo un rescate a
cambio de su descifrado. Las cantidades solicitadas suelen ser de entre 100€, 300€,
1000€ ó 5€, relativamente pequeñas, para que así puedan ser asumidas por un
particular.

Desde las primeras versiones de este tipo de malware hasta la actualidad, las
técnicas que utilizan para el contagio y sobre todo para el cifrado de la información
se han sofisticado enormemente. Así, en los primeros casos tras un contagio era
posible solucionar el problema con cierta facilidad, revertiendo el cifrado, pero en la
actualidad esto se ha vuelto muchísimo más complicado, al utilizar algoritmos
avanzados de cifrado o combinando algoritmos simétricos y asimétricos, lo que en la
práctica hace difícil solucionar el problema por esa vía.

En los primeros malwares de este tipo, los mensajes que se mostraban al usuario
trataban de atemorizarle, amenazándole con desvelar algún secreto que afectara a
su reputación. Por ejemplo, en el caso del “Virus de la Policía”, el mensaje aludía a

4
http://www.policia.es/prensa/20130927_1.html
Ciberdefensa. [37] Marzo 2018
la supuesta visita a páginas de contenidos pedófilos o ilegales. En otros casos
también se señalaba el acceso a páginas pornográficas, de descargas de archivos
protegidos por derechos de autor o de contenidos relacionados con el terrorismo.
Con el paso del tiempo han dejado ese tipo de amenazas para ser mucho más
directos: se han secuestrado los datos, se pide un rescate y se informa de la forma
de pago.

Los tipos de archivos que “secuestran” son aquellos que los delincuentes confían en
que son más apreciados por las personas: principalmente documentos ofimáticos y
archivos de imágenes aunque la lista de tipos cada vez es más amplia, si bien los
ataques hasta el momento están dirigidos principalmente al entorno particular.
Ciertamente, un secuestro de documentos de procesadores de texto u hojas de
cálculo puede tener terribles consecuencias para una organización, pero el día que
opten por cifrar documentos de CAD/CAM, código fuente de aplicaciones, o código
ya compilado y en ejecución, los efectos pueden ser catastróficos.

Esto también afecta a dispositivos móviles e incluso a servicios en la nube como

Dropbox.

Aunque no existen datos públicos sobre el número de particulares, empresas o

administraciones públicas afectadas, presumiblemente es muy alto.

CASO IFEMA

Uno de los más recientes y llamativos es el caso IFEMA, del que se hicieron eco los
medios de comunicación(26).

Bastó con que un sólo empleado picara en la campaña de emails que simulaban ser
notificaciones de Correos para que en menos de un minuto se cifraran 400.000
archivos. Esto provocó que toda la organización bloqueara su actividad casi en su
totalidad.

La Directora de Sistemas Informáticos lo explicaba así en ese artículo. “Afectó a

varios departamentos, como compras o gestión, pero no llegó al área de clientes,
que es mucho más sensible. Estos datos estaban en otro servidor ajeno al de ese
empleado”.

Para solucionar el incidente pidieron ayuda a la Unidad de Investigación Tecnológica

de la Policía Nacional (UIT) y gracias a que tenían unas buenas políticas de copias
de respaldo pudieran salvar el incidente sin consecuencias traumáticas.

Uno de los subtitulares del artículo indicaba: “La Policía Nacional logró el código
para acabar con el ataque en sólo cuatro días”. Este periodo de tiempo, “sólo cuatro
días”, para muchas organizaciones que vean mermada significativamente o incluso
bloqueada su actividad, puede significar un perjuicio muy grande.

Ciberdefensa. [38] Marzo 2018

La acción inmediata del CryptoLocker consiste en crear una pantalla con un mensaje
muy claro. El programa instalado ofrece descifrar los archivos afectados. Eso sí,
para ello es necesario realizar un pago antes de una fecha límite. A veces da un
tiempo muy corto para que la persona afectada no reaccione y pague lo antes
posible. En el mensaje se amenaza incluso con destruir la clave de descifrado en
caso de que no se haga el pago, con el consiguiente riesgo de perder todos los
documentos.

A continuación se van a presentar los casos más importantes y que han aportado
características nuevas en cada caso en la evolución de este tipo de malware. Para
cada caso, se ha utilizado el informe realizado por el CERT del Centro Criptológico
Nacional(27).

3.1.1 CRYPTOLOCKER
Uno de los ransomware más dañinos durante los años 2013/2014 para los sistemas
Windows XP, Windows Vista, Windows 7, y Windows 8 ha sido CryptoLocker. Sus
primeras variantes se identificaron en Septiembre de 2013 y actualmente sigue
contando con nuevas versiones que hacen prácticamente imposible la recuperación
de los ficheros cifrados. Para dicho cifrado CryptoLocker utiliza una mezcla de RSA
y AES, solicitando un pago al usuario entre 100$ y 300$ por medio de BTC o
MoneyPak para la recuperación de los mismos. Si dicho pago se demora más de 72
horas el ransomware amenazará con eliminar la clave privada utilizada para el
cifrado de los documentos.

El vector de entrada se realiza por medio de mensajes de correo que tratan de

utilizar la ingeniería social para incitar al usuario a descargar y ejecutar determinado
binario. La infección suele producirse por medio de malware conocido como, por
ejemplo, Citadel o Zbot. Gran parte de los correos identificados se hacen pasar por
compañías como Fedex, UPS o DHS, los cuales adjuntan un fichero “.zip” que
contiene un binario con doble extensión (.pdf.exe.). Puesto que de forma
predeterminada Windows no muestra las extensiones para los ficheros “.exe”, el
usuario podría pensar que se trata de un documento PDF legítimo. Para darle mayor
credibilidad dicho binario presenta un icono de fichero PDF.

La comunicación con el C25 se realizará de forma cifrada utilizando RSA; de esta

forma se asegura que la conexión se establece con el servidor del atacante.

El proceso de cifrado del ransomware comenzará solicitando una clave al C2, el cual
devolverá una clave RSA única para dicho equipo.

5
Command and Control, C2 o C&C: Servidor de mando y control de los atacantes.
Ciberdefensa. [39] Marzo 2018
Posteriormente recorrerá cada una de las unidades montadas (incluidos recursos de
red mapeados) buscando determinados tipos de ficheros como fotografías y archivos
de ofimática.

Cada fichero identificado será cifrado con una clave única de 256 bits utilizando
AES.

Dicha clave se cifrará con la clave pública recibida desde el C2. Mediante este
sistema se garantiza que, para poder recuperar los ficheros, el usuario ha de obtener
la clave privada.

Cabe destacar que en Junio de 2014, a raíz de la Operación Tovar, responsable de

la desarticulación de la infraestructura de Gameover Zeus y CryptoLocker, las
compañías FireEye y Fox-It crearon un servicio para tratar de ayudar a los usuarios
víctimas de este ransomware. Dicho servicio utiliza las claves extraídas de la base
de datos interceptada en dicha operación.

3.1.2 CRYPTOWALL
Poco tiempo después de la “Operación Tovar”, se dio a conocer CriptoWall utilizando
también correos de phishing como vía de infección.

Además de estas campañas de spam, se han identificado otras vías de infección de

CryptoWall por medio de determinados exploits kits (por ejemplo, RIG, Infinity, etc.).

Una vez que CryptoWall es ejecutado comenzará a cifrar gran variedad de ficheros
del equipo (documentos, ficheros de texto, código fuente, etc.) utilizando RSA-2048
y solicitando al usuario un pago de 0.86 BTC (500 USD) para la recuperación de los
mismos. Dicha cantidad se doblará si dicho pago se demora más de 168 horas. Para
la realización del pago, el usuario deberá utilizar un gateway Web-to-Tor
especificado por el atacante o bien utilizar un cliente TOR.

CriptoWall utilizará determinadas APIs advapi32.dll para calcular un hash MD5 a

partir de determinada información del equipo. Dicho hash, identificará de manera
unívoca el equipo comprometido a partir de la versión del S.O, del procesador,
nombre del equipo y número de serie del volumen. La comunicación con el servidor
C2 o Command and Control se realizará utilizando un algoritmo RC4 para dificultar y
eludir sistemas de detección de intrusos.

De este tipo de malware, existen dos versiones que incluyen algunas características
nuevas que son importantes reseñar.

En CryptoWall 2.0 originado en octubre de 2014, se han implementado las

siguientes novedades:

Ciberdefensa. [40] Marzo 2018

 La creación de una dirección de Bitcoin o BTC de pago por cada víctima (a
diferencia de su predecesor, en el que una única dirección era compartida por
diferentes equipos).
 Creación de pasarelas Web-to-Tor a medida para evitar el blacklisting de
gateways de terceros.
 Borrado seguro de ficheros. En la primera versión de CryptoWall los ficheros
originales eran eliminados sin ser sobrescritos posteriormente, lo que hacía
posible su recuperación por parte de herramientas forenses. La versión 2.0
sobrescribe los ficheros eliminados haciendo prácticamente inviable su
recuperación.

En CryptoWall 3.0 detectado en enero de 2015 se han implementado las siguientes

mejoras:

 El nivel de sofisticación de esta tercera versión ha aumentado potencialmente

con la introducción de nuevas vías de comunicación con el servidor de control.
 El uso de la red anónima I2P (Invisible Internet Project) en lugar de TOR
supone el cambio más notable ya que I2P utiliza un modelo de "VPN puro",
donde ninguna entidad externa puede participar en la red sin antes unirse a ella,
esta arquitectura es la tradicional de una darknet.

3.1.3 CRYPTODEFENSE
Este ransomware aunque emplea un enfoque muy parecido a CryptoWall y
CryptoLocker cambia el valor de pago de 500$ USD por medio de BTC en un
intervalo de 4 días. Si el pago se demora más tiempo el dinero solicitado se
duplicará. El portal de pago estará también localizado dentro del dominio “.onion”,
por lo que el usuario deberá utilizar un cliente Tor o bien usar una pasarela Web-to-
Tor. Además, el sistema de distribución de este malware este tipo de ransomware ha
sido distribuido por medio de exploits para versiones de Java vulnerables.

Cada fichero cifrado contendrá una cabecera con la cadena "!crypted!" junto con un
identificador único para el host afectado (hash de 32 caracteres). Entre la lista de
ficheros objetivo, el ransomware también cifrará certificados SSL y ficheros
correspondientes a código fuente.

Ciberdefensa. [41] Marzo 2018

3.1.4 TORRENTLOCKER
CryptoTorrent fue difundido a partir del mes de Agosto de 2014, centrándose
principalmente en países como Australia e Inglaterra por medio de mensajes de
phishing que emulaban determinados servicios de paquetería. Una vez que el
usuario descarga y ejecuta el fichero dañino comienza el proceso de infección.

La característica principal es que intenta conectar con el servidor de control con el

que intercambia un certificado, pero si dicha conexión no se establece no se cifrará
el equipo.

Una vez infectado, mostrará un mensaje al usuario indicándole que sus ficheros han
sido cifrados por parte de CryptoLocker, y que para su recuperación es necesario
pagar una cantidad de 500 USD en BiTCoin por medio de la pasarela de pago se
encontrará dentro del dominio “.onion”.

También proporcionará al usuario gateways Web-to-Tor para facilitar el acceso a las

mismas.

3.1.5 CARTA CERTIFICADA

El día 2 de diciembre de 2014 se detectó una nueva campaña masiva de correos
electrónicos cuyo objetivo era infectar los equipos informáticos con una nueva
variante de la familia Torrentlocker.

El vector de entrada es un correo proveniente de [email protected] simulando

ser un mensaje de la compañía de correos española. En el correo se especifica un
enlace a través del que se accede a una falsa página para acceder a la información
sobre el envío con dominio correos24.net y que utiliza incluso un captcha para
proceder a la descarga de la documentación. La introducción del captcha parece
añadir legitimidad a la operación. La víctima descarga un fichero ZIP en el que se
encuentra un ransomware de la familia torrentlocker que cifrará el contenido de su
equipo.

El fichero descargado (ZIP) contiene un único ejecutable, a veces llamado “Carta

certificada.exe”, de ahí el nombre de este ransomware.

Esta campaña de infección ha sido detectada en Alemania, Australia, Austria,

Canadá, España, Italia, Irlanda, Francia, Nueva Zelanda, Países Bajos, Reino Unido,
República Checa y Turquía.

Existe un correo distinto para cada país al que va dirigido que permita confiar en la
empresa de paquetería.

Ciberdefensa. [42] Marzo 2018

Esta variante de Torrentlocker ha corregido las debilidades que presentaban sus
predecesores. Las características más importantes que presenta son las siguientes:

 El algoritmo de cifrado empleado para cifrar los ficheros del equipo infectado es
el AES, con una clave de 256 bits, y emplea CBC (Ciber-block chaining) en lugar
de CTR(Counter). El modo de cifrado CBC impide que podamos descifrar todos
los ficheros conociendo el keystream extraído de uno de ellos. Es decir, no es
posible descifrar los ficheros si no se obtiene la clave de cifrado.
 El envío de la clave de cifrado al servidor C&C se realiza de forma segura
mediante el cifrado de la conexión con el protocolo SSL.
 Esta variante de Torrentlocker tiene la posibilidad de extraer las credenciales de
los clientes de correo instalados en el equipo infectado. Además también puede
enviar al C&C los contactos almacenados en los mismos clientes de correo, con
el fin de propagar la campaña. Las aplicaciones de correo afectadas son:
Thunderbird, Outlook, Outlook Express y Windows Mail.
 La página a través de la que se efectúa el pago está ubicada en la red TOR.

3.1.6 CRYPTOGRAPHIC LOCKER

Durante los meses de Agosto y Septiembre de 2014 se detectó un nuevo
ransomware bajo el nombre CryptoGraphic Locker que utilizaba exploits-kits como
principal vía de infección posiblemente mediante exploits para Silverlight tal y como
indican algunos usuarios en KernelMode.

Este ransomware utiliza AES-128 para cifrar.

Los ficheros generados presentarán extensión “.clf” mientras que los ficheros
originales serán eliminados. Sin embargo, éstos no serán eliminados de forma
segura, por lo que es posible recuperar los mismos mediante herramientas de
análisis

El ransomware dispone de una lista de nombres asociados a procesos que tratará

de terminar en el caso de que se encuentren en ejecución durante el proceso de
infección. Algunos de estos procesos se corresponden con herramientas de
seguridad y administrativas.

Una vez ha cifrado los ficheros modificará el fondo de escritorio del usuario y le
mostrará una ventana indicándole el proceso de recuperación de los ficheros. El
atacante solicitará el pago de 0.2 BTC (unos 100$) para la recuperación de los
mismos.

Ciberdefensa. [43] Marzo 2018

3.1.7 COINVAULT
En Noviembre de 2014 fue identificada una nueva variante de ransomware
perteneciente a la misma familia que CryptoGraphic Locker, el cual se
autodenominaba: CoinVault por el nombre que puede observarse en el fondo de
escritorio establecido por el malware una vez infecta el sistema.

3.1.8 BAT_CRYPTOR
Durante los meses de Julio y Agosto de 2014 las compañías Symantec y Trend
Micro informaban de un nuevo tipo de ransomware, caracterizado por el uso de GPG
(GNU Privacy Guard) para el cifrado de los ficheros del sistema infectado.

El vector de entrada de dicho malware se realiza principalmente por medio de

mensajes de spam, en el que se envía como adjunto un JScript que permitirá la
descarga del malware dentro de los que se incluye una copia de la herramienta
GnuPG.

3.1.9 CBT-LOCKER
CTBLocker (Curve-Tor-Bitcoin Locker), también conocido como Critroni fue
detectado en 2014 y aporta una característica muy importante con respecto al
cifrado pero además, y a diferencia de otros ransomware, se caracteriza por utilizar
Tor para su comunicación con el servidor de control alcanzable dentro del dominio
“.onion”, dificultando enormemente la localización del mismo. Además, el esquema
criptográfico utilizado hace realmente compleja la recuperación (descifrado) de los
ficheros, incluso si el tráfico entre el malware y el C2 es interceptado.

Dicho cifrado se apoya en ECDH o curvas elípticas de Diffie–Hellman, ya que en

ningún momento se expone la clave privada del servidor. Esto hace inviable
descifrar el secreto compartido calculado a partir de dicha clave privada y la clave
pública del cliente (la cual está embebida en el propio cuerpo del malware).

Uno de los vectores de entrada de este ransomware procede de la infección previa

de otro malware.

Los ficheros cifrados resultantes serán renombrados con la extensión CTBL o CTB2
y el rescate solicitado son 0.159 bitcoins.

Previamente al cifrado, se utiliza Zlib para su compresión. Posteriormente, se

empleará AES (hash SHA256) con el secreto compartido derivado de ECDH

Ciberdefensa. [44] Marzo 2018

utilizado como clave. Debido a que la clave privada (enviada al servidor de forma
segura) no es almacenada en el cliente no es posible recuperar los ficheros cifrados.

CTB-Locker implementa en su binario la conexión a TOR.

En enero de 2015, se detectó una nueva distribución de una versión mejorada del
original CTB-Locker. El vector de infección está ligado al conocido downloader
Dalexis, que se propagaba a través de correo electrónico en el interior de ficheros
comprimidos con extensiones .zip o .cab.

La nueva versión de CTB-Locker presenta las siguientes mejoras:

 El tiempo límite para que se realice el rescate aumenta de las 72 horas de la

versión original a 96 horas.
 Se personalizan los mensajes que contienen las instrucciones para realizar el
pago añadiendo nuevos lenguajes en función de la geo-localización de la víctima.
 Se permite el descifrado gratuito de hasta 5 ficheros escogidos por la víctima lo
cual no es despreciable la oferta del hacker.

3.1.10 ZEROLOCKER
ZeroLocker ha sido descubierto en Agosto de 2014, el cual genera una clave
aleatoria de 160 bits para cifrar mediante AES todos los ficheros del disco duro
(incluyendo binarios). Únicamente quedarán exentos de dicho cifrado ficheros
superiores a 20 MB así como los directorios: "Windows", "WINDOWS", "Program
Files", "ZeroLocker" y "Desktop" para no romper el sistema operativo Windows. Los
ficheros cifrados por ZeroLocker serán renombrados con la extensión “.encrypt”.
Mientras que los ficheros originales mediante cipher, el cual sobrescribirá el espacio
libre en la unidad C.

ZeroLocker enviará la clave aleatoria generada al servidor, junto con otros

parámetros tales como la MAC del equipo y la dirección bitcoin del atacante. Sin
embargo, el servidor responderá con un 404 lo que significa que las víctimas
realicen el pago exigido seguramente no recuperen sus ficheros.

El rescate solicitado es 300$ en bitcoin por descifrar sus ficheros. Dicha cantidad
aumentará a 500$ y 1000$ según se demore dicho pago lo que implica ser unos de
los ransomwares con mayor rescate.

ZeroLocker no es un caso muy habitual, porque el negocio montado por los

desarrolladores de ransomware se basa en un ciclo en el que se cifra el dispositivo
de la víctima, la víctima realiza el pago y descifra su dispositivo. Si se empieza a

Ciberdefensa. [45] Marzo 2018

publicar que una vez infectado con ZeroLocker, no hay posibilidades de
recuperación de la información.

3.1.11 CRYPTOFORTRESS
Un nuevo tipo de ransomware denominado Cryptofortress fue distribuido
masivamente a partir de Febrero de 2015 mediante dos vías: a través del conocido
exploit kit Nuclear Pack, y utilizando mensajes de spam.

El rescate es de 1 Bitcoin y la principal característica es que a diferencia de

Torrentlocker, el cifrado de los ficheros se realiza en el momento de ejecución del
fichero dañino, sin necesidad de establecer comunicación alguna con el C2.

Los ficheros son cifrados utilizando una clave única de 256 bits con el algoritmo AES
y empleando el modo ECB (por el contrario Torrentlocker empleaba el modo CBC).
La clave de cifrado es generada automáticamente empleando las APIs criptográficas
de Windows, y será la misma para cifrar todos los ficheros. Todos los ficheros
cifrados reciben una nueva extensión ".frtrss". Cabe destacar que únicamente se
cifran la primera mitad de los archivos, hasta 5Mb.

Una vez finalizado el proceso de cifrado, se cifrará dicha clave simétrica con la clave
pública RSA de 1024 bits incluida en la configuración del ransomware.

A continuación se muestra una tabla resumen con las posibilidades de recuperación

de la información tras infectarse con un ransomware de los expuestos anteriormente.

RANSOMWARE RECUPERACIÓN DE DATOS

CRYPTOLOCKER Posible en
www.descryptcryptolocker.com
CRYPTOWALL A partir de backups.

CRYPTODEFENSE Herramienta EmiSoft.

TORRENTLOCKER Herramienta TorrentUnlocker.

CRYPTOGRAPHIC LOCKER Herramientas forenses en

recuperación de ficheros.
BAT_CRYPTOR Backup.

CTB-LOCKER Backup.

ZEROLOCKER Herramienta UnlockZeroLocker.

CRYPTOFORTRESS Backup.
Tabla 1 Posibilidades de recuperación de datos(27)

Ciberdefensa. [46] Marzo 2018

Como se puede observar con algunos ransomwares como CryptoLocker,
CryptoDefense, TorrentLocker y ZeroLocker existen herramientas desarrolladas para
tal fin que aseguran posibilidades de recuperación.

En el caso de Cryptographic Locker para optar por la recuperación de ficheros se

deben utilizar herramientas forenses especializadas en recuperación de archivos.

Y por último con los otros cuatro ransomware mostrados, sólo existe la posibilidad
de recuperar los archivos si se tenían guardados en un backup externo. Estos son
los peores casos de ransomware para la víctima infectada.

3.1.12 LOCKER Y TESLACRYPT

TeslaCrypt, es un ransomware que afecta a plataformas Windows, aparentemente
derivado de CryptoLocker. Además de los objetivos habituales (fotos, vídeos,
documentos...), TeslaCrypt se caracteriza por tener como objetivos adicionales
partidas guardadas de videojuegos y archivos relacionados con iTunes.

Las últimas versiones de este ransomware suelen implementar una infraestructura

de clave pública, lo que les permite evitar que la clave de descifrado de los archivos
resida en algún momento en el sistema infectado. Esto provoca que
irremediablemente sería necesario pagar a los atacantes para obtener la clave, lo
que no se recomienda por no tener garantía de que se vaya a obtener
efectivamente. O confiar en la posibilidad de que las bases de datos con las claves
privadas (las necesarias para descifrar los archivos) sean recuperadas por alguna
operación contra la infraestructura usada por el ransomware y las ponga a
disposición de los infectados (como ya ocurrió en la Operación Tovar contra
CryptoLocker).

Y el último caso de ransomware a presentar es Locker. Sus características

distintivas son: el vector principal de infección es una versión especialmente
manipulada del videojuego Minecraft, el bajo precio de rescate por descifrar (0.1
bitcoins, aproximadamente 20 euros) y su particular forma de actuar. El programa
auxiliar que iniciaba la infección (downloader) estaba programado originalmente para
descargar e instalar Locker el 25 de mayo, y el 28 supuestamente borraba las claves
del servidor (aunque finalmente sólo aumentó el pago a 1 bitcoin).

Lo curioso de este ransomware es que su supuesto autor parece haberse

arrepentido 6 y ha liberado la base de datos. Más aún, ha modificado la
infraestructura del malware para que ordene a los ordenadores infectados que
descifren todo automáticamente a las 00:00 del 2 de junio. Según atestiguan algunos
usuarios del foro BleepingComputer.com en el hilo de soporte a los infectados por

6
http://unaaldia.hispasec.com/2015/06/el-supuesto-autor-del-ransomware-locker.html
Ciberdefensa. [47] Marzo 2018
este malware, efectivamente se ha producido el descifrado automático. Nada se
sabe si el autor va a devolver el dinero.

Además en este caso, es posible descifrar los archivos con la herramienta Locker
Unlocker que contiene la base de datos de claves de descifrado.

Por lo tanto, aunque se ha realizado un análisis de los ransomware más conocidos

con características nuevas en su evolución hay que resaltar que se están
desarrollando soluciones a estas ciberamenazas, como por ejemplo el Ransomware
Removal Kit desarrollado por Jada Cyrus que presenta soluciones de descrifrado
para CoinVault, CryptoLocker, TeslaCrypt entre otros.

3.1.13 ESTADÍSTICAS Y MEDIDAS DE PREVENCIÓN

Como se puede ver en la Figura 11, McAfee en el año 2013 detectó que las
muestras de nuevo ransomware se situaban por encima de las 300.000 muestras
únicas de este tipo de malware y con expectativas de crecimiento a la vista de los
datos históricos desde 2011.

Figura 11 Muestras de ransomware hasta 2013 (Fuente McAfee, 2013)

En 2015, y según McAfee(28) se puede observar en la Figura 12 que aunque ha

habido periodos bajos de detección de nuevas muestras, en el año 2015 las nuevas
muestras detectadas están por encima de las 700.000 muestras nuevas.

Ciberdefensa. [48] Marzo 2018

 Figura 12 Muestras de ransomware 2015(28)

Por lo tanto se puede decir claramente que el ransomware está en continua

evolución y ahora mismo está en su auge porque es una manera fácil de obtener
dinero por parte de los atacantes de una manera relativamente fácil y que está en
continua evolución que sumado al ingenio de estos conlleva a su éxito.

Symantec en 2012(29) estimó los beneficios que se obtenían de este tipo de

malware como se puede ver en la Figura 13. Hay que resaltar que son estimativas,
porque el valor mínimo de beneficio en los tres periodos de estimación son la mitad
que el valor máximo de beneficio, lo cual llama la atención.

Ciberdefensa. [49] Marzo 2018

 Figura 13 Beneficios obtenidos del ransomware(29)

Aunque son del año 2012 cuando todavía estaban en un nivel de muestras únicas
por debajo de las 100.000, los valores máximos ya estaban por encima del
1.000.000 de dólares en el segundo y tercer trimestre del año.

Como resultado, hay que decir que el ransomware es realmente un negocio para el
atacante siempre que no se sigan las siguientes recomendaciones de prevención.

MEDIDAS DE PREVENCIÓN

Las medidas de prevención que se deberían seguir creadas a partir del conocimiento
extraído de cada tipo de ransomware son:

 Asegúrese de tener actualizado el software antivirus en su ordenador.

 Tenga habilitada la actualización automática de parches del sistema operativo y
del navegador de Internet.
 Utilice contraseñas fuertes, y no utilice siempre la misma contraseña para todo.-
Utilice un bloqueador de ventanas emergentes.
 Exclusivamente descargue software de sitios conocidos y confiables (el malware
también puede venir con videojuegos descargables, programas de compartición
de archivos y barras de herramientas personalizadas).
 No abra documentos adjuntos incluidos en correos electrónicos no solicitados,
incluso aunque vengan de personas de su lista de contactos, y nunca haga clic
en una URL incluida en un correo no solicitado, incluso si piensas que es seguro.
En su lugar, cierre el correo electrónico y vaya a la página web de la organización
directamente.

Ciberdefensa. [50] Marzo 2018

 Tenga las mismas precauciones en su teléfono móvil que en su ordenador
cuando utilice Internet.
 Para prevenir la pérdida de datos debido a infecciones de ransomware, es
recomendable que particulares y empresas siempre realicen copias de seguridad
de forma regular y almacenen esas copias “offline”.
 Utilizar Índices de compromiso sobre dominios maliciosos en los cortafuegos de
la organización para evitar conexiones imprudentes de los usuarios a sitios
maliciosos.

Por último citar un caso ocurrido en la Administración de una infección de

ransomware mediante la técnica de Drive-by-Download. Esta técnica consiste en
infectar un sitio legítimo, para que con el simple acceso con un navegador con una
vulnerabilidad conocida, esta se explote y tras realizar la descarga del ransomware
de manera oculta al usuario, este quede infectado. El ransomware en cuestión era
un TeslaCrypt que fue solucionado en una semana por los compañeros.

En definitiva, la prudencia de los usuarios en fundamental y por ello es muy

aconsejable realizar campañas de advertencia y concienciación como indica el
responsable de los servicios de informática de IFEMA.

3.2 Malware Complejos: Botnets

A continuación se presentarán las botnets como ejemplo de malware complejo que
afecta a grandes organizaciones, multinacionales e incluso países enteros.

Lo primero que se debe definir antes de hablar de sus características y de los casos
que más nos interesan desde un punto de vista de mejoras aportadas por los
atacantes en sus desarrollos malware para ataques con objetivos ambiciosos como
países, es el concepto de botnet.

Una botnet es una red de equipos infectados por un atacante remoto. Los equipos
quedan a su merced cuando desee lanzar un ataque masivo, tal como envío de
spam o denegación de servicio.

Una botnet se compone de dos componentes principales:

 Panel de control o bot master o pastor o Command and Control (C&C) o C2:
el BotnetMaster es quién dirige la red zombie y tiene bajo su control miles o
millones de host esperando sus órdenes. Por lo general son personas que les
interesa vender o alquilar su red, es decir, esta actividad tiene un fin netamente
monetario.

Ciberdefensa. [51] Marzo 2018

 Servidor: es un programa informático instalado en el ordenador de la víctima que
establece la conexión con el panel de control.

Hasta aquí tiene ciertas similitudes con un caballo de troya o troyano, ya que se
compone de un panel de control y una aplicación servidor. Además, entre sus
funcionalidades también se encuentra la capacidad de robar archivos, subir
aplicaciones, ejecutar procesos en los equipos víctima y obtener las pulsaciones de
cada tecla en el teclado a través de un keylogger.

Con la creación de una botnet, el atacante lo que busca es poder ejecutar

instrucciones en muchos equipos de forma simultánea.

Por ejemplo, haciendo un símil guardando las distancias de la vida real sería el
Centro de Emergencias del 112. Una llamada efectuada por una persona que
necesita los servicios de urgencias, sólo con llamar al Centro de Emergencias del
112 se despliegan los servicios de emergencias necesarios a la vez. Sólo que en
este caso el Panel de Control sería el Centro de Emergencias del 112 que manda la
emergencia y las víctimas infectadas serían los servicios de emergencias que se
movilizan a la vez siguiendo las indicaciones del Centro de Emergencias 112.

En una botnet cada equipo informático con un servidor instalado se denomina

computadora zombi, porque queda a merced del cibercriminal. Por lo que a una
mayor propagación del malware del servidor, mayor red de zombies poseería el
cibercriminal.

Con estos zombies se pueden llevar a cabo diversos tipos de ataques como iniciar
un ataque de DDoS o ataque de Denegación de Servicio, que consiste en dejar
fuera de servicio a un servidor saturándolo de consultas. Otro uso podría ser crear
bitcoins gracias al poder de procesamiento de sus víctimas para poder generar
bitcoins, sin gastar electricidad ni hardware. Pero como contraparte, existen
variantes de botnets como Pony Loader que roban los bitcoins.

También existen botnets para el envío de correos electrónicos, es decir, que son
usadas para enviar spam. Generalmente sus creadores suelen vender sus servicios
a los spammers.

Para detallar un poco mejor el proceso de infección y uso de una botnet se muestra
la Figura 14 en la que se explica el proceso:

Ciberdefensa. [52] Marzo 2018

 Figura 14 Proceso de ataque de una botnet (Fuente: NCTACable)

1. Un cibercriminal infecta un ordenador con malware y este zombie queda en

contacto con el C&C que el cibercriminal tiene alojado en Internet.
2. Después el criminal envía órdenes a los posibles C&C creados en la botnet para
que estos distribuyan las órdenes entre sus zombies. Un cibercriminal puede
haber creado varios C&C en distintos sitios de Internet para garantizarse una alta
disponibilidad en caso de intentos de bloqueo de la botnet por los proveedores de
Internet o por las Fuerzas de Seguridad.
3. Los paneles de control envían las órdenes de ataque a los zombies para que
ejecuten el ataque contra el objetivo marcado.
4. El equipo zombie realiza el ataque definido por el atacante y enviado por los C&C
hacia el objetivo.

A continuación se detalla un ejemplo de uso de una botnet.

La situación es que se dispone de una botnet compuesta por 100.000 equipos

zombies y el atacante se ha fijado como objetivo realizar un ataque de Denegación
de Servicio Distribuido contra un servidor web para dejarle fuera de servicio. Además
el atacante sabe que ese servidor puede asumir hasta un máximo de 20.000
consultas simultáneas.

¿Qué es lo que tiene que hacer el atacante?

Ciberdefensa. [53] Marzo 2018

Enviar una orden de ataque a 20.001 zombies para que realicen una consulta
simultánea contra el servidor web.

¿Y qué resultado se obtiene?

Pues que el servidor web queda fuera de servicio.

¿Con qué fin se podría ejecutar este tipo de ataque?

Aunque existen numerosos motivos para los que un atacante puede realizar este
ataque, en este caso particular podría levantar un servidor web con un sitio ilegítimo
para robar las credenciales de identificación de los usuarios en un sitio web
predeterminado. El alumno debe entender que este ejemplo implicarían muchas más
acciones para llegar a crear un sitio falso y que todos los usuarios fueran redirigidos
a él, pero que al no ser el objetivo de este ejemplo, no han sido explicadas.

Los mecanismos utilizados son principalmente escaneos en los puertos que se

realizan para verificar si un puerto está abierto, cerrado, o protegido por firewall. Una
vez que encuentran una vulnerabilidad en un puerto determinado, pueden comenzar
a infectar. Aunque también puede buscar información sobre la red en el ordenador
ya infectado.

Los tipos de escaneo utilizados por una botnet son tres(30):

 Escaneo horizontal. Se escanea un puerto determinado variando un rango de

direcciones IP.
 Escaneo vertical. Se realizan sobre una IP específica, escaneando un rango de
puertos.
 Escaneo topológico. Encuentra nuevos objetivos mediante la utilización de la
información del ordenador de la víctima. Éste método es utilizando en gran
medida por los gusanos, que obtienen una gran colección de direcciones de
correo de los contactos de la víctima para conseguir nuevos host para infectar.

Estos escaneos se realizan de forma automática y constante, es por eso que los
bots se propagan rápidamente.

Además hay que indicar que los atacantes también tienen ciertas preferencias a la
hora de elegir sus víctimas. Las preferencias son(30):

 Gran ancho de banda. La víctima debe disponer de gran ancho de banda para
que les permita explotar los recursos de conectividad a la hora de realizar
ataques DDoS, o bien para albergar archivos o software.
 Disponibilidad. Host que estén siempre encendidos, y dispuestos a recibir
Commandos.
Ciberdefensa. [54] Marzo 2018
 Usuarios con poca capacidad de monitoreo. Usuarios con poca seguridad o
conocimiento de la misma.
 Ubicación. Buscan host que estén geográficamente lejanos de su propia
localidad que garanticen cierto nivel de anonimato.

Una característica que hay que destacar con respecto a las botnet es la evolución
que ha tenido la infraestructura del Panel de Control como se puede observar en la
Figura 15.

Figura 15 Evolución C&C (Fuente: INCIBE, 2015)

En el periodo comprendido entre los años 1998 y 2003, dónde surgen las primeras
botnets, los atacantes utilizan un Panel de Control centralizados. Con esta topología
se puede ver un punto único de fallo para conseguir desactivar una botnet: el Panel
de Control.

Sobre el año 2006, surgen las infraestructuras con una topología distribuida de la
red. Con esto garantiza que ante la caída de un Panel de Control, la botnet puede
seguir funcionando mediante la distribución de proxies y dns que garanticen el
dinamismo si existe un cambio en la red.

Y ya sobre el año 2007 se crea la topología híbrida que utiliza túneles de

comunicación para las consultas dns para evitar ser bloqueados.

Es decir, existen principalmente dos tipos de red para el Panel de Control(30):

estructuras centralizadas y estructuras descentralizadas.

Ciberdefensa. [55] Marzo 2018

En las estructuras centralizadas tienen una topología en árbol, los bots se conectan
al servidor C&C (Command & Control). Pero esta red presenta un problema, y es
que en cuanto se deshabilita el servidor de Command and Control, el atacante
pierde su botnet. Por este motivo, la evolución se ha realizado hacia redes
descentralizadas.

Los tipos de redes centralizadas son:

 Push Style. Se comunican utilizando el protocolo IRC. La ventaja de este

protocolo es que puede enviar mensajes simultáneos de forma masiva o de
manera individual a un zombie o bot.
 Pull Style. El servidor de Command and Control utiliza protocolo HTTP y los
zombies se conectan al Panel de Control mediante consultas HTTP a dominio
web. La característica de este mecanismo es que la comunicación no se produce
en tiempo real.
 Fast-Flux. Es una técnica que implementa el uso de DNS para poder utilizar
múltiples direcciones IP. Esta asignación de IP al dominio cambia en función de
un TTL (Time To Live) muy pequeño.

En las redes descentralizadas no hay un servidor central, por lo general se forman

con redes par a par. Esto hace que sea más difícil encontrar al Command and
Control. La utilización de las redes par a par o P2P (Peer-to-peer), es compartir
información entre pares sin pasar por un servidor. Con esta red se mejora el ancho
de banda de la red y una alta disponibilidad ante la caída de un Command and
Control.

3.2.1 CONFICKER
En un principio aparece una vulnerabilidad de día 0 en China en octubre de 2008 y
al poco tiempo aparecen gusanos aprovechándose de esta vulnerabilidad aunque
sin efectos de malware como GIMMIV.

A nivel general, Conficker se detectó el 23 de noviembre de 2008 y fue identificado

con los nombres de Downadup, Conficker o Kido(31).

El objetivo de este malware fue que pudiera tomar el control de las máquinas
infectadas para formar una red zombie o botnet. Para ello, se aprovechaba de la
vulnerabilidad CVE-2008-4250 que permitía ejecución remota. Además este
malware se conectaba con los servidores Command and Control para recibir
actualizaciones con una frecuencia de 250 direcciones de Internet distintas por día.

Ciberdefensa. [56] Marzo 2018

Hay que destacar que la vulnerabilidad se parcheó en octubre de ese mismo año,
por lo que los equipos infectados carecían de una correcta gestión de las
actualizaciones Microsoft por parte de los administradores de los sistemas.

Consigue la cifra de 9.000.000 de infectados a fecha de enero de 2009 porque los

organismos de seguridad se relajaron al considerar que todos los equipos estaban
correctamente actualizados.

Como todo malware tiene una evolución en cinco variantes y entre sus
características más importantes es que mejora las técnicas de propagación al poder
distribuirse entre carpetas compartidas dentro una misma red con contraseñas
débiles y mediante la compartición de dispositivos extraíbles como memorias usb.

A continuación se van a analizar de forma breve las diferentes variantes de conficker

para presentar las características principales en cada versión.

La primera versión denominada Downadup.A fue detectada en noviembre de 2008 y

nombrada como Downadup, Conficker o Kido.

Se propagaba explotando la vulnerabilidad CVE-2008—4250 que ya había

parcheada por Microsoft mediante su boletín de seguridad MS08-67.

Se conecta diariamente a Internet a 250 dominios distintos para contactar con el

Command and Control.

Además muestra publicidad engañosa indicando a la víctima que está infectada y

que es necesario el desinfectado mediante la instalación de falsas herramientas de
seguridad.

La siguiente versión denominada Downadup.B y Downadup.B++ se detectó en

diciembre de 2008 y se caracteriza por explotar la misma vulnerabilidad que la
anterior, pero además realiza las siguientes acciones:

 Deja copias de sí mismo en las carpetas compartidas de Microsoft sin contraseña

o con una contraseña débil.
 También se copia en dispositivos extraíbles con un fichero de autoarranque, para
garantizar que en cuanto un usuario insertara el dispositivo en un ordenador
quedara infectado.
 Aunque el ordenador tuviera el parche instalado, por las dos mejoras anteriores,
también podía quedarse infectado.
 El malware se preocupaba por persistir mediante el bloqueo de actualización de
las firmas a los antivirus.

Ciberdefensa. [57] Marzo 2018

La versión Conficker.C se detectó en marzo del año 2009 y las características que
presenta esta nueva versión son las siguientes:

 Las direcciones de Internet a las que se conecta, crecen de 250 a 50.000.

Algunas de ellas son legítimas por lo que se puede decir que se han incluido
como método de distracción para que fuera más difícil detectar los dominios de
los Command and Control. Aun así, sólo se utilizan 500 de esas 50.000
direcciones. A esto se debe sumar que el acceso a Internet solo se activará para
funcionar a partir de 1 de abril.
 Su código fuente está ofuscado para impedir su análisis.
 Presenta un comportamiento más agresivo deteniendo la ejecución de
programas y procesos e impidiendo el acceso de los programas de seguridad a
sus descargas de actualizaciones, y eliminando los puntos de restauración
existente en el sistema.

La última versión detectada se denomina Conficker.E el día 7 de abril de 2009

presenta las siguientes características:

 No se conecta a direcciones de Internet, sino que se conecta a través de P2P a

otros zombies de la botnet. Esto hace imposible bloquear los dominios de los
Command and Controls.
 Ahora muestra publicidad sobre falsos productos de seguridad informática para
facilitar la desinfección del zombie.
 El 3 de mayo es la fecha de desactivación, eliminándose del equipo zombie.
 Sigue explotando la misma vulnerabilidad que sus anteriores versiones.

Ciberdefensa. [58] Marzo 2018

 Figura 16 Conficker sigue activo en 2015(32)

En la Figura 16 se muestra un gráfico obtenido del último informe publicado por el

CERT del Centro Criptológico Nacional(32) en el que se muestra en el eje horizontal
el número de detecciones de código dañino del malware indicado en el eje vertical.
Se puede ver que Conficker se encuentra activo y en la segunda posición del
ranking, por lo que se puede concluir que siguen existiendo sistemas antiguos
afectados por la vulnerabilidad CVE-2008-4250.

Además los atacantes mediante botnets necesitan que sus programas se conecten a
Internet para recibir órdenes desde los Command and Control.

Conficker además utiliza esa conexión a Internet para actualizar su código y ejecutar
órdenes que permitan a un atacante robar información sensible, realizar ataques de
denegación de servicio, envío de spam, instalar malware e incluso engañar al
usuario para que compre soluciones falsas de productos de seguridad.

Todo esto se podría haber evitado si se hubieran seguido unas buenas prácticas en
seguridad como las que se indican:

 Todo el software del ordenador debe estar actualizado, incluso el que no es

utilizado porque puede contener vulnerabilidades.
 El antivirus debe estar correctamente actualizado y configurado. Posiblemente
las configuraciones por defecto del mismo, sean correctas pero deben ser
revisadas.

Ciberdefensa. [59] Marzo 2018

 Se deben utilizar contraseñas robustas en las carpetas de compartidas de red.
 Los cortafuegos deben estar correctamente actualizados con las bases de datos
de malware provistas por los fabricantes de los cortafuegos.
 Se debe deshabilitar la opción de autoarranque para los dispositivos extraíbles.

Y como medida final, se debe considerar que los sistemas fuera de soporte por parte
del fabricante no reciben parches de seguridad para corregir vulnerabilidades por lo
que una buena práctica de seguridad es migrar a sistemas operativos con soporte
por parte del fabricante.

3.2.2 STORM
El siguiente caso a analizar es Storm botnet o Botnet Storm7. Se denominó así por
estar asociada al gusano Storm que se distribuía a través de spam mediante correo
electrónico. Se estima que esta botnet ha llegado a tener hasta 160.000 de zombies.

Tuvo su origen en enero de 2008 se utilizó el gusano Storm porque en ese momento
se había contabilizado que ocupaba un 8% de las infecciones en Microsoft Windows.

Se caracteriza porque presentaba comportamiento defensivos mediante el control de

estado de la botnet con acciones de desactivación por los atacantes si estos
detectaban que estaban siendo seguidos. Además los objetivos de sus ataques
variaban para incluir a los vendedores e investigadores en seguridad que pretendían
investigarla.

Durante 2007 se obtienen informaciones de que la potencia de procesamiento

obtenida por esta botnet superaría la de los supercomputadores y tenía tal fortaleza
que podría realizar una denegación de servicio tal que podría anular el servicio de
Internet de un país.

Según el experto en seguridad Joe Stewart esta botnet a finales de 2007 se estaba
descentralizando, posiblemente para venderse por porciones a otros atacantes.

El FBI de Estados Unidos llegó a considerar esta botnet como un riesgo por sus
operaciones en fraude bancario, hurto de identidad y otro cibercrímenes.

7
http://es.wikipedia.org/wiki/Storm_botnet
Ciberdefensa. [60] Marzo 2018
3.2.3 TDSS o Alureon o TDL4
A continuación, otra botnet que aporta mejoras en las técnicas de los atacantes es
TDL4, también conocida como TDSS y detectado por ESET Nod32 Antivirus como
Win32/Olmarik(33).

Se caracteriza porque los atacantes desarrollaron uno de los más avanzados

malwares para evitar las medidas preventivas y las medidas de seguridad de los
sistemas operativos.

Aunque previamente hubo otras versiones como TDL3, TDL2 y TDL1; la versión que
presenta novedades es la TDL4. Estas novedades son:

 Es la primera versión diseñada para afectar equipos con sistema operativo de 64

bits como Windows Vista y Windows 7.
 Mejora la complejidad de su algoritmo de cifrado del protocolo utilizado para
comunicación entre las máquinas infectadas y los centros de Command and
Control de la botnet. Los nombres de dominio a los cuales se conecta y un
parámetro son utilizados como llave de cifrado.
 Posee la habilidad de formar parte de una red descentralizada del tipo Peer to
Peer (P2P), logrando así permanecer operativo aunque se den de baja alguno de
sus servidores.
 Puede ser distribuida mediante drive-by-download, lo que permite que se infecte
un equipo sin la intervención del usuario. Sólo con que el usuario acceda a un
sitio web que explote una vulnerabilidad del navegador, se produce la descarga y
ejecución del malware.
Esta amenaza posee más de 4 millones de equipos infectados a nivel mundial, lo
que le permite por su número de computadoras infectadas y su complejidad ser una
de las botnets más sofisticadas y poderosas.

Las características nuevas son:

 Modifica el MBR (Master Boot Record) lo que le permite ejecutar código con fines
maliciosos antes de que cargue el sistema operativo, para permitirle entre otras
cosas, tener acceso a un sistema de archivos oculto creado por el malware. Por
esta razón también es llamado Bootkit.
 TDL4 tiene la habilidad de detectar la presencia de otras botnets y eliminarlas
quedando así como la única botnet con control del equipo.
 Tiene la habilidad de detectar la presencia de otras botnets y removerlas
quedando así como la única botnet con control del equipo.
 TDL4 tiene la habilidad de cargar su driver en sistemas que cuentan con
protecciones que requieren firmas digitales de drivers (Versiones de 64 bits de
Ciberdefensa. [61] Marzo 2018
 Microsoft Vista y 7) y realiza modificaciones en el kernel de windows, aunque
este tenga las protecciones contra el parcheo de kernel activadas.
Este malware consiguió bloquear los sistemas Windows de 32 bits cuando
intentaban instalar la actualización MS10-015.

La distribución geográfica de la infección se puede ver en la Figura 17. Como se

puede observar los países más afectados con más de un 50% de todas las
detecciones realizadas es Alaska y Estados Unidos; seguidos por Canadá, Francia,
España y Australia.

Figura 17 TDL4 Distribución de la amenaza (Fuente: Symantec)

3.2.4 Windigo
Otro caso interesante es la botnet Windigo mediante la cual, los atacantes infectaron
miles de servidores con sistemas operativos como Linux y Unix(34).

Esta botnet se detectó en 2011 y afectó a grandes empresas como cPanel (empresa
famosa por el panel de control de hosting de sitios Web) y el dominio kernel.org de la
Fundación Linux (repositorio principal del código fuente del núcleo de Linux).

Para identificar los objetivos de esta botnet, se analizó el malware que la compone.
Son tres malwares:

 Linux/Ebury: este malware es una puerta trasera o backdoor OpenSSH que se

utiliza para controlar los servidores infectados y robar sus credenciales.
 Linux/Cdorked: es otra backdoor pero en este caso es HTTP y su función es
redirigir el tráfico Web.

Ciberdefensa. [62] Marzo 2018

 Perl/Calfbot: es un script en Perl desarrollado con el fin de enviar spam.

Una mejora implementada en esta botnet es su carácter furtivo, con módulos

portables según el servidor infectado y con cifrado sólido mediante clases de sesión
y códigos de un solo uso lo que indica que los atacantes son expertos en Linux.

Toda la información sobre esta botnet se puede obtener con detalles técnicos del
informe de ESET titulado Operación Windigo.

Los sistemas infectados han sido Apple OS X, OpenBSD, FreeBSD, Linux y Unix
principalmente, aunque también existen algunos Microsoft Windows con Cygwin
entre los que hay más de 25.000 servidores afectados.

La tasa en envío de spam de forma diaria ha sido de 35 millones de mensajes de

correo electrónico y aunque esta botnet tiene su origen en el 2011 y el informe es del
año 2014, todavía se afirma que quedan más de 700 servidores redirigiendo a sus
consultas web a contenido malicioso. El número estimado de víctimas redirigidas a
un sitio malicioso con exploits preparados para explotar las vulnerabilidades de las
víctimas e infectarlas se sitúa en 1.000.000 de visitantes diarios.

A diferencia de la botnet Storm anteriormente presentada en la que los atacantes

defendían su anonimato, en el caso de Windigo son capaces de cesar la actividad
de la botnet en favor del anonimato. Incluso los atacantes son capaces de maximizar
los recursos de los servidores que componen la botnet mediante la ejecución de
códigos maliciosos en función de los niveles de acceso que posean.

Como característica peculiar respecto a esta botnet, hay que indicar que no se
aprovecha de vulnerabilidades en los servidores Linux, sino que sólo utilizan las
credenciales robadas en los sistemas.

Por último y como curiosidad, Windigo era el nombre dado por el pueblo de los
Algonquinos (primeras naciones de los Estados Unidos de América) a una criatura
demoníaca que se alimentaba de carne humana.

3.2.5 Koobface
Otro caso especial de botnet es Koobface porque su método de propagación se
realiza mediante redes sociales mediante mensajes en los que incita al usuario a
abrir un supuesto video en el que aparece la víctima. Las redes sociales en las que
se ha detectado son Facebook, MySpace y Twitter(35).

El proceso de infección es relativamente sencillo. Consiste en que la víctima abre el

enlace del supuesto video en el que se le muestra una pantalla de un video simulado

Ciberdefensa. [63] Marzo 2018

en negro y se le solicita permiso para ejecutar un applet de Java para que se
reproduzca el video. Aunque el applet no es parte de la ejecución del supuesto vídeo
que no existe, sí que es parte del código malicioso que aprovecha Java para su
ejecución.

Gracias a la utilización de Java, posee la característica de estar preparado para

infectar sistemas Microsoft Windows, Mac OS y Linux.

Una vez infectada la víctima, se le instalan un servidor web y un servidor IRC para la
comunicación con el Command and Control; y comienza la propagación de la
ciberamenaza mediante el envío de mensajes en las redes sociales.

3.2.6 Simda
Otro caso de estudio en la caracterización de las amenazas es la botnet SIMDA (36).

Esta botnet debe su nombre al malware Simda que lleva activo desde el año 2009 y
que posee la funcionalidad de redirigir el tráfico de Internet de un usuario a sitios
web bajo su control o instalar programas maliciosos.

La versión más peligrosa ha sido Simda.AT con presencia desde el año 2012

La redirección de tráfico se realiza mediante el archivo hosts del sistema operativo.

El archivo hosts de un sistema operativo es utilizado por este para guardar la

correspondencia entre dominios y direcciones IP. Este es uno de los métodos
usados por los sistemas operativos para resolver nombres de dominio. Aunque es
una técnica antigua que se utilizaba cuando no existían los servidores DNS que
resolvían los dominios, los sistemas operativos siguen utilizando este archivo como
primera opción antes de realizar una consulta al servidor DNS configurado. La
principal ventaja que aporta tener una resolución interna de dominios es la rapidez
que ofrece.

Simda lo que realiza es una modificación del archivo HOST del equipo incluyendo
dominios conocidos y asociándolos a direcciones IP de sitios Web controlados por
los atacantes. Incluso a sitios asociados a la región de la infección como por ejemplo
Yahoo Singapur o Bing Alemania. Lo que demuestra que Simda está preparado para
una infección a nivel global para ser utilizada en la distribución de otros malwares.

Esta botnet según el Centro de Protección de Malware de Microsoft indica que roba
la siguiente información:

 Los nombres de usuario y contraseñas que puedan ser almacenados en las

carpetas del navegador de Internet.

Ciberdefensa. [64] Marzo 2018

 Pulsaciones de teclado.
 Sitios visitados.
 Certificados almacenados.
 Los datos del portapapeles.
 Imágenes.
 Información sobre el PC, como los detalles del sistema operativo.
 Archivos de claves privadas.
 Contraseñas guardadas de Internet Explorer.
 Contraseñas WinSCP (Windows Secure Copy) almacenados.
 Descifrar los datos almacenados en Ópera.
 Obtener las contraseñas de acceso telefónico.
 Roba información de acceso perteneciente a FTP, NNTP, POP3 y POP2.

Además Simda muta cada pocas horas para ser indetectable a los programas
antivirus.

Los atacantes de la botnet utilizan las vulnerabilidades conocidas de Oracle Java,

Adobe Flash y Microsoft Silverlight.

La propagación se ha realizado mediante hackeos en sitios web mediante

inyecciones SQL insertando kits de malware como Blackhole y Styx, aunque siguen
utilizando los métodos de envío de spam e ingeniería social.

Se han encontrado servidores de Command and Control en 14 países. La infección

de sistemas zombies se ha extendido por 190 países con un máximo de 770.000
infecciones, con una tasa de 128.000 infecciones diarias.

Ciberdefensa. [65] Marzo 2018

 Figura 18 Infecciones Simda detectadas (Fuente: Secure List, 2015)

Como se puede observar en el mapa de la Figura 18 obtenido de Secure List es que

había países como Alaska, Estados Unidos y Rusia en un alto nivel de infección y
países como la India, Francia, Canadá y Kazakstán con un nivel medio de
infecciones. Esto da qué pensar, ya que China siendo el país más poblado del
mundo tuviera una baja tasa de infección.

Pero esta botnet ha sido desactivada el 9 de abril de 2015. Hay que destacar la
colaboración entre agencias de países rivales como Rusia y Estados Unidos lo que
apoya la idea de que las ciberamenazas no conocen fronteras.

3.2.7 Beebone
La botnet Beebone8, responsable de más de 12.000 infecciones en equipos de más
de 195 países, y de la que se tiene conocimiento de más de 5 millones de muestras
distintas. El malware asociado a esta botnet, con una alta capacidad de
polimorfismo, al mutar hasta 19 veces diarias para evitar su detección, es
responsable de robos de credenciales bancarias y otra información sensible,
además de cifrar ficheros en los equipos infectados para solicitar un rescate
posterior.

Se detectó por primera vez en 2009 y en las primeras versiones se distribuía

mediante unidades extraíbles y carpetas compartidas. Posteriormente en las

8
https://www.us-cert.gov/ncas/alerts/TA15-098A
Ciberdefensa. [66] Marzo 2018
sucesivas versiones mejoradas los atacantes explotaron la vulnerabilidad CVE-2010-
2568 en la que se podría permitir la ejecución remota de código si se muestra el
icono de un acceso directo especialmente diseñado. Un intruso que aprovechara
esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el
usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos
derechos de usuario en el sistema correrían un riesgo menor que aquellos que
cuenten con derechos de usuario administrativos.

El método de propagación 9 consistía en difundir el gusano downloader conocido

como Win32/ Gusano-AAEH. Una vez infectado, Beebone facilitaba la descarga de
una gran variedad de malware, como ladrones de banca ZBot, contraseñas, Necurs
y rootkits ZeroAccess, Spambots Cutwail, antivirus falso y ransomware. W32 /
Gusano-AAEH incluye funcionalidades de gusano para propagarse rápidamente por
las nuevas máquinas, y contiene una rutina de actualización cíclica para
reemplazarlos por las versiones más recientes para aumentar la probabilidad de
permanecer sin ser detectados por el software antivirus.

En uno de sus picos de funcionamiento en septiembre de 2014, más de 100.000

infecciones de la botnet Beebone fueron detectados por el equipo de McAfee Labs.
En la última grabación de las tasas de infección, en marzo de 2015, McAfee Labs ha
detectado 12.000 infecciones en vivo. Esta cifra incluye sólo la telemetría de Intel
Security, así que probablemente sea mucho mayor.

El nivel de infecciones, según Symantec, ha ido decreciendo hasta situarse en

febrero de 2015 en 30.000 infecciones como se puede ver en la Figura 19.

Figura 19 Infecciones Beebone (Fuente: Symantec, 2015)

9
http://www.computing.es/seguridad/tendencias/1080753002501/mcafee-labs-intel-security-detiene.1.html
Ciberdefensa. [67] Marzo 2018
En el sitio web de ShadowServer se puede obtener un mapa actualizado al momento
indicando el nivel de infección por países de la botnet Beebone (Figura 20).

Figura 20 Países infectados por Beebone. (Fuente: ShadowServer, 2015)

Los países más afectados por esta botnet son Indonesia, Perú, Kazakstán e Irán.

De nuevo se puede indicar que esta botnet ha sido desactivada en abril de 2015
mediante la colaboración conjunta entre el EC3 de Europol, la Joint Cybercryme
Action Taskforce, autoridades holandesas, el FBI, y representantes del IC4 de
Estados Unidos, junto con Intel Security, Kaspersky, Shadowserver y la mayoría de
los países de la Unión Europea.

3.2.8 Shuabang
A continuación se van a presentar dos casos más de botnet también con
particularidades que merecen ser recogidas en esta asignatura, porque ya no están
orientadas a ordenadores sino que tienen como objetivo los sistemas operativos de
los dispositivos móviles más utilizados. Esto nos refuerza la teoría de que el
atacante sigue evolucionando con las nuevas tecnologías utilizadas por la sociedad
y desarrollando el ingenio para conseguir sus fines.

Ciberdefensa. [68] Marzo 2018

El primer caso que nos ocupa de los dos últimos, es la botnet Shuabang o BlackASO
detectada por ElevenPath10.

El objetivo del Shuabang es crear una infraestructura que permita subir

artificialmente las descargas de apps (o aplicaciones para dispositivos móviles) y
posicionar mejor los programas. Esta es una técnica utilizada para posicionar mejor
apps pero para ello se hace necesario la utilización de cuentas de Google o iOS con
las que falsear las acciones, de manera que parezcan que provienen de usuarios
reales.

Para realizar este fraude, el atacante necesita principalmente cuentas de Google

activas, asociadas a dispositivos reales, y que no parezcan sospechosas para
Google, pues de lo contrario las eliminará rápidamente. Para ello, los atacantes han
creado apps maliciosas para que a partir de un conjunto de cuentas falsas, sean
distribuidas y asociadas a diferentes dispositivos, de forma que se reaprovecha y
automatiza al máximo el número de teléfonos distintos asociados a una cuenta.

Además las apps maliciosas, permiten enviar tareas a los dispositivos para que, bajo
las cuentas falsas, simulen la descarga de apps y así las posicionen más alto en los
mercados. Esto demuestra un profundo conocimiento del funcionamiento concreto
de los protocolos de autenticación con Google. Antes de entrar en detalle, veamos
cómo funcionan las cuentas en Google.

El atacante disponía de 12.500 cuentas de Google ya creadas con usuario y

contraseña.

Fundamentalmente, lo que ha conseguido es que sus víctimas realicen dos

acciones:

 Asociar cuentas a dispositivos de forma automática y así conseguir tokens.

 Utilizar esos tokens de forma distribuida para simular descargas.

Las aplicaciones convierten al dispositivo en un zombi, que cada 10 minutos recoge

tareas que realizar, entre ellas, recoger esas cuentas falsas del servidor central y
asociarlas a los datos del teléfono de la víctima. La cuenta de Google "original" en el
dispositivo de la víctima permanece a salvo y el atacante no tiene acceso a ella en
ningún momento. Cada cuenta es asociada a entre 10 y 30 dispositivos físicos de las
víctimas.

Desde principios de octubre hasta finales del mismo mes, el atacante ha subido a
Google Play más de 300 aplicaciones disfrazadas de juegos, chistes, fondos de
pantalla y entretenimiento en general. De ellas, aproximadamente 100, cometían el
fraude asociando esas cuentas falsas a la configuración e identificador del
10
http://blog.elevenpaths.com/2014/11/shuabang-botnet-blackhat-app-store_25.html
Ciberdefensa. [69] Marzo 2018
dispositivo. Algunas de las 200 restantes, aunque inofensivas en una primera
versión, eran más tarde actualizadas para cometer el fraude.

Con este esquema de asociación de cuenta y dispositivo real, el atacante se ha

podido hacer con una base de datos de 60.000 tokens. El ataque se ha centrado en
víctimas de Brasil, India y Rusia, aunque está preparado para añadir cualquier país.

3.2.9 AndBots
Un nuevo caso de botnet es AndBots o bots en dispositivos Android.

Esta nueva tendencia surge como respuesta por parte de los atacantes al
crecimiento de los dispositivos móviles como smartphones. Las cifras indican que en
2012 ya se había superado la cifra de los mil millones de smartphone, lo que
conlleva un mercado potencial para los cibercriminales. Del total de dispositivos
móviles en 2014 más de un 80% era de dispositivos Android, según la información
proporcionada por IDC (Figura 21).

Figura 21 Distribución de sistemas operativos móviles (Fuente: IDC, 2014)

Todo esto produce como resultado que los atacantes se centren en las infecciones a
dispositivos Android.

En el trabajo realizado por Denise Giusto de 2013(37), se realiza un análisis

exhaustivo sobre esta nueva tendencia utilizada por los cibercriminales y justifica la
necesidad sobre el estudio de las nuevas arquitecturas utilizado por este nuevo
malware.

Ciberdefensa. [70] Marzo 2018

Las características de estas nuevas botnets vienen representadas en la Figura 22.
Esta pirámide resumen sobre la evolución de las botnets se puede indicar que:

 Las botnets tradicionales se caracterizaban por utilizar direcciones IP públicas

que no garantizaban el anonimato y el consumo de ancho de banda sin
monitorización.
 Las botnets actuales utilizan un Command and Control con comunicaciones
mediante IRC, P2P o HTTP como se ha explicado hasta ahora. Además se
utilizan para ataques de denegación de servicio, para distribuir malware, se
pueden arrendar y sus fines es el robo de información personal y financiera.
 Las andbots han cambiado los mecanismos de comunicación y los objetivos de
robo de información, es decir, utilizan como medios de comunicación con el
Command and Control los sistemas SMS, Bluetooth, HTTP combinado con SMS
o P2P combinado con SMS. Se centran principalmente en la interrupción de los
servicios del dispositivo, la obtención de la localización del mismo y extrae los
registros de las llamadas. Además utilizan direccionamiento privado de la
operadora, poseen la limitación de la batería del dispositivo y un limitado ancho
de banda.

Figura 22 Caracterización de las botnets(38)

Debido a un cambio en los mecanismos de comunicación con respecto a las botnets

explicadas hasta el momento, se hace necesario explicar el proceso de infección y
conexión del dispositivo infectado con el Command and Contol.

Ciberdefensa. [71] Marzo 2018

Un modelo lógico de propagación (37) es el siguiente según se muestra en la Figura
23:

1. El Command and Control infecta un sitio web vulnerable situado en Internet

mediante una conexión de Wi-Fi o cable para eliminar la limitación de ancho de
banda. En el sitio web vulnerado se carga un script para poder infectar a las
víctimas.
2. Los Command and Control envía un mensaje SMS de orden de acción vía GSM
a sus bots para que distribuyan un mensaje infectado haciendo uso de la técnica
SMiShing. Esta técnica utiliza ingeniería social mediante mensajes de texto SMS
en telefonía móvil, es decir, un tipo de phishing.
3. El bot envía el mensaje SMiShing a las posibles víctimas.
4. Si la víctima intenta acceder al enlace del SMS, quedará infectada porque
accederá al sitio web infectado con el script del Command and Control.
5. Descarga del script en la víctima.
6. Una vez ejecutado el script, el Smartphone hace una petición al hop point para
descargarse el exploit.
7. Descarga del exploit.
8. Una vez ejecutado el exploit, el terminal de la víctima se conecta al sitio donde se
aloja el malware que le convierte en bot.
9. Tras la descarga del malware para convertirse en bot, la víctima es un nuevo
zombie de la botnet.

Ciberdefensa. [72] Marzo 2018

 Figura 23 Propagación de Andbots(37)

La explicación ha sido realizada a alto nivel, porque el objetivo no es proveer de

detalles técnicos a los alumnos.

Existen dos mecanismos posibles para la transferencia de comandos: Pull y push. El

patrón push hará que algunos nodos evidencien más tráfico porque buscan sin
descanso nuevos comandos del Comand and Control. En cambio, pull permite que
los zombies esperen pasivamente las órdenes del Command and Control.

Existen dos protocolos que utilizan las Andbots para la conexión de los zombies con
el Command and Control:

Command and Control basado en SMS

Se basa en la transmisión de comandos por envío de mensajes SMS.

La comunicación vía SMS es más difícil de analizar y controlar desde el punto de

vista anti-malware. Cualquier estrategia de desmantelamiento de una andbot basada
en SMS requeriría acceder a registros de la/s compañía/s de telefonía móvil.
Además la red GSM no tiene ni cortafuegos ni filtros, por lo que se asegura la
llegada de cada SMS.

El proceso de envío y recepción de SMS es independiente de la plataforma y se

basa en texto plano, por lo que es un proceso muy sencillo de implementar.

Las principales desventajas son el costo económico al usuario del smartphone

infectado, la limitación en la cantidad de datos máximos contratados en el terminal

Ciberdefensa. [73] Marzo 2018

móvil y los números de móvil a enviar deben ser almacenados en el Smartphone del
zombie.

C&C SMS-HTTP híbrido

El diseño SMS-HTTP soluciona las insuficiencias presentadas: permite grandes

transferencias de datos, reducir el costo de un sistema basado puramente en SMS y
eliminar la necesidad de almacenar números telefónicos en los zombies.

La utilización de HTTP permite evitar puertos bloqueados y confundir las

transferencias con el tráfico de red del dispositivo, dificultando la detección del
malware. Una vez que el bot ha sido instalado, comunica su propio número al equipo
que lo infectó, y luego borra cualquier pista que guíe al mismo. Éste último,
comunica el número del nuevo bot al bot master mediante transferencias HTTP, y
también elimina la información. Ahora sólo el bot master conoce ambos números.

En diciembre de 2012 el sitio web Dr. Web publicó la detección de la andbot

denominada Andbot.Tascudap. Este tipo de andbot se caracteriza por:

 Ejecución sobre el espacio de usuario.

 Permisos necesarios:
o Abrir sockets.
o Información de redes.
o Permiso de lectura sobre el estado de Smartphone.
o Monitorizar mensajes SMS recibidos.
o Envío de mensajes SMS.
 Sustitución de icono de Google Play por una aplicación malware.
 Código sin cifrar pero ofuscado.
 Command and Control HTTP-SMS híbrido centralizado.

3.2.10 ESTADÍSTICAS
A continuación se presentan algunas estadísticas de 2015.

Ciberdefensa. [74] Marzo 2018

 Figura 24 Países afectados por DDoS (Fuente: Kaspersky, 2015)

En la Figura 24 presentada por Kaspernsky Lab, en el primer trimestre de 2015, se

reportaron 23.095 ataques DDoS, apuntando a los recursos web en 76 países. El
número de ataques se redujo en un 11% frente al cuarto trimestre de 2014 con
25.929 ataques. Además hubo un aumento en el número de países donde se
encuentran DDoS objetivos.

La mayoría de los ataques DDoS son dirigidos a recursos web en China, Estados
Unidos y Canadá.

Figura 25 Países que alojan C&C (Fuente: Kaspersky, 2015)

Ciberdefensa. [75] Marzo 2018

En la Figura 25 se muestra un gráfico se muestra que los Estados Unidos alojan la
mayor parte de los Command and Control seguidos por China y Reino Unido en el
primer trimestre de 2015. A esto hay que aclarar que aunque los Command and
Control pueden estar situados en diferentes países, la ubicación no está relacionada
con la ubicación física de los cibercriminales ni con la distribución geográfica de las
botnets.

Además según la gráfica mostrada, queda claro que los sistemas más utilizados
están a la par en el número de ataques de denegación de servicio lanzados desde
ellos (Figura 26).

Figura 26 Servidores Linux y Windows afectados por botnet (Fuente: Kaspersky, 2015)

En el primer trimestre de 2015, al igual que en el cuarto trimestre de 2014, los bots
diseñados para infectar servidores Linux eran más activos que los dirigidos a
dispositivos de Windows. Al mismo tiempo, no había prácticamente ningún cambio
en el número de ataques lanzados utilizando botnets de Windows, mientras que el
número de ataques de botnets Linux ha disminuido.

Otro dato a tener en cuenta es la duración de un ataque de denegación de servicio.

Esto define el alcance de los daños causados en el objetivo.

Ciberdefensa. [76] Marzo 2018

 Tabla 2 Duración de ataques DDoS (Fuente: Kaspersky, 2015)

Según la Tabla 2 se obtiene que la gran mayoría de los ataques duró menos de 24
horas. En el último trimestre de 2014, algunos ataques duraron hasta dos semanas;
en el primer trimestre de 2015, no hubo ataques que durasen tanto tiempo. Esto
podría significar una mejor preparación de defensa en la víctima.

Si recordamos el modelo diamante presentado anteriormente, podría haber bajado el

nivel de las ciberamenazas más críticas porque la víctima haya mejorado en su
defensa.

Trend Micro proporciona estadísticas reales de los Command and Control

detectados por sus sondas (Figura 27).

Ciberdefensa. [77] Marzo 2018

 Figura 27 Botnet actuales (Fuente: Trend Micro, 2015)

En el mapa se puede observar que los países más interconectados y en zonas de

conflicto se tienen más zombies. En cambio los Command and Control están
situados en los países que participan en estos conflictos en los que la amenaza
cibernética cobra importancia para mantener las infraestructuras del país.

Y además Trend Micro aporta datos.

Hay la impresionante cifra de 4.846 Command and Control activos en los últimos 14
días y más de 9.000.000 de conexiones de zombies detectadas.

4 Amenazas Avanzadas Persistentes

El término APT o Advanced Persistent Threat fue creado por la US Air Force en
2006 para referirse a los ciberataques complejos contra unos objetivos específicos
durante largos periodos de tiempo.

Según la definición del CERT del Centro Criptológico Nacional(2), una APT es un
ataque selectivo de ciberespionaje o cibersabotaje llevado a cabo bajo el auspicio o
la dirección de un país, por razones que van más allá de las meramente
financieras/delictivas o de protesta política. No todos los ataques de este tipo son
muy avanzados y sofisticados, del mismo modo que no todos los ataques selectivos
complejos y bien estructurados son una amenaza persistente avanzada. La
motivación del adversario, y no tanto el nivel de sofisticación o el impacto, es el
Ciberdefensa. [78] Marzo 2018
principal diferenciador de un ataque APT de otro llevado a cabo por
ciberdelincuentes o hacktivistas.

Para ampliar esta definición se han definido cada palabra que compone APT:

 Amenaza. No es simplemente código malicioso “tonto”. Se habla de grupos

organizados, con equipos multidisciplinares y diferentes misiones o campañas.
 Avanzada. Capacidad de operar en todo el espectro de la intrusión. Uso de 0-
days, malware a medida, técnicas de ocultación, etc.
 Persistente. No son intrusos oportunistas. Los objetivos están formalmente
definidos para cumplir misiones durante un largo periodo de tiempo.

Estos ataques son lentos y de baja intensidad porque se monitoriza constantemente

la red para obtener información relevante que permita empezar un ataque.

Los atacantes suelen tener objetivos:

 Políticos: este objetivo incluye ataques a la población.

 Económicos: se busca una ventaja competitiva mediante el robo de información.
 Técnicos: robo de información de códigos fuente.
 Militares: robo de información estratégica sobre la fuerza militar contraria.

Pero en este tipo de ciberamenaza hay un antes y un después.

Empecemos describiendo algunos casos de ciberamenazas avanzadas persistentes

que marcaron un hito en su descubrimiento.

Por ejemplo, en el caso de las infraestructuras críticas el hito lo marcaron STUXNET

y Night Dragon. Estos serán los dos casos que se explican a continuación y que se
produjeron sobre Infraestructuras Críticas.

Además también existen otros casos como:

 AURORA. McAfee la bautizó como Operación Aurora. En la cual además de

Google, otras 34 empresas multinacionales sufrieron robo de información a
través de malware. Se etiquetó en su día como uno de los ciberataques más
sofisticados de la historia. Se aprovecharon de una vulnerabilidad de Internet
Explorer para instalar un troyano y conseguir así tener acceso remoto a toda su
información personal. Fue dirigido a personas concretas (directivos), no era
aleatorio, tenían un fin, una misión.

Ciberdefensa. [79] Marzo 2018

 GHOSTNET. Es una gran red de espionaje. Su infraestructura de Command and
Control, se encuentra principalmente en China de donde se cree que proviene.
Esta red extiende sus tentáculos a 103 países.
 DUQU. La finalidad principal de Duqu era actuar como una puerta trasera en el
sistema para facilitar el robo de información privada. Se detectó por primera vez
en septiembre de 2011, pero según datos de Kaspersky Lab, su primer rastro
relacionado con el malware se remonta a agosto de 2007. Los expertos de la
compañía han captado más de una docena de incidentes que involucran a Duqu,
y la gran mayoría de las víctimas están localizadas en Irán. Un análisis de sus
actividades muestra que el principal objetivo de los ataques era robar información
sobre los sistemas de control utilizados en varias industrias, así como la recogida
de información acerca de las relaciones comerciales de una amplia gama de
organizaciones iraníes.

4.1 Stuxnet
Stuxnet es un gusano informático que afecta a equipos con Windows, descubierto en
junio de 2010 por VirusBlokAda, una empresa de seguridad radicada en Bielorrusia.
Este gusano está especialmente diseñado para atacar sistemas de monitorización y
control industrial (SCADA) WinCC/PCS 7 desarrollados por Siemens.

Este gusano utiliza cuatro vulnerabilidades de día cero de Microsoft Windows,

incluyendo la denominada CPLINK y otra empleada por el gusano Conficker. Esta es
otra característica poco habitual, porque un malware no se conocía que hiciera uso
de hasta cuatro tipo de vulnerabilidades de día cero que afectaban al sistema
operativo, incluso habiendo instalado las actualizaciones pertinentes. Un ataque con
malware conocido hasta la fecha, no desaprovecharía las cuatro vulnerabilidades
descubiertas en un mismo malware.

Además, existen otras tres características que lo hacen único. Una de las
características que llaman la atención es que su tamaño es demasiado grande,
ocupando 16 megabytes contiene diferentes tipos y lenguajes de programación. Esto
podría indicar que fue desarrollado por un equipo de programadores.

Las otras dos características es que Stuxnet fue firmado digitalmente con dos
certificados auténticos robados a autoridades de certificación y posee la posibilidad
de conexión p2p.

Si con todo esto no fuera poco, Stuxnet era capaz de detectar los motores de
variadores de las centrifugadoras utilizadas en los procesos de enriquecimiento de
uranio.

Ciberdefensa. [80] Marzo 2018

El método de propagación utilizado es mediante memorias USB infectadas, para
luego aprovechar otros agujeros y contaminar otros equipos con WinCC conectados
en red. Una vez lograda la entrada al sistema, Stuxnet emplea las contraseñas por
defecto para obtener el control de las centrifugadoras para las que había sido
diseñado. Además el fabricante, Siemens, aconseja no cambiar las contraseñas
originales porque esto "podría tener impacto en el funcionamiento de la planta".

Con esto, que claro que Siemens se saltó una de las buenas prácticas en seguridad
que indica que se deben cambiar las contraseñas por defecto utilizadas por el
fabricante.

Con este mapa mundial sobre la infección de Stuxnet se puede ver que el país con
un nivel alto de infecciones fue Irán, seguido por la India e Indonesia.

El ataque estaba dirigido contra la industria nuclear Iraní, concretamente contra la

planta nuclear de Bushehr y la planta de enriquecimiento de uranio de Natanz. Se
observa que casi el 60% de los ordenadores infectados se encuentran en ese país.

Partiendo que fue un gusano altamente sofisticado, con un tamaño grande del
programa, con certificados válidos robados, el equipo de desarrollo lo componen
especialistas en SCADA, incluye 4 vulnerabilidades de día cero y se ha detectado
programación modular se puede concluir que detrás de este ataque había un equipo
altamente cualificado y con grandes recursos. Se sospecha que tenían que estar
apoyados por uno o varios gobiernos.

Se estimó que Stuxnet costó unos 30 millones de dólares aunque fue rentabilizado
porque consiguió su objetivo sin pérdidas humanas.

Los objetivos que perseguía eran:

 Recopilar información del sistema atacado.

 Ocultar el funcionamiento anómalo del dispositivo PLC o controlador lógico
programable. Un PLC es una computadora utilizada en la ingeniería automática o
automatización industrial, para automatizar procesos electromecánicos.
 Realizar ‘Man-In-The-Middle’ para alterar la integridad de dispositivos SCADA
Siemens WinCC y Step7.
 Ataque selectivo a sistemas con al menos 33 variadores de frecuencia de la
empresa Fararo Paya o Vacon y siempre que trabajen en frecuencia de 807Hz y
1210Hz. Para retrasar el programa nuclear Iraní.

Dado que estos sistemas se utilizan para enriquecer uranio y Stuxnet estaba
enfocado a atacar estos sistemas mediante la variación de la frecuencia del
centrifugado de uranio, se concluye que Stuxnet perseguía un enriquecimiento de
uranio de manera deficiente y sigilosa.
Ciberdefensa. [81] Marzo 2018
Hubo muchas noticias que pretendían dar una idea de un posible autor, hasta que
en 2011 el periódico El Mundo11 se hizo eco de una noticia publicada por The New
York Times en la que su titular era “Israel y Estado Unidos crearon el virus que dañó
el programa nuclear iraní”.

4.2 Night Dragon

La APT Night Dragon fue detectada por McAfee y estaba dirigida a comprometer la
información vital de organizaciones específicas.

A diferencia de los ataques oportunistas, los autores de este ataque parecen estar
muy bien organizados y motivados en sus actividades.

Stuxnet era un malware y Night Dragon es una campaña de ataques.

Night Dragon son ataques similares a los acaecidos en la Operación Aurora pero sin
vinculación, y otras Amenazas Persistentes Avanzadas o sus siglas en ingles APT
porque son una combinación de ingeniería social y los ataques cibernéticos bien
coordinados, dirigidos, utilizando troyanos, software de control remoto, y otros
malware.

Se detectó en noviembre de 2009.

En la campaña Night Dragon se utilizaron diversas técnicas de ataque:

 Ingeniería social porque se realiza un estudio para averiguar cómo preparar el

ataque.
 Spear phishing: es un fraude de suplantación de identidad por email.
 Exploits de vulnerabilidades 0 day para las que no existe una solución en ese
momento.
 Troyanos: malware que permitan infectar a las víctimas para tomar el control del
pc.
 Herramientas de control remoto: permite manejar un pc de forma remota.

McAfee tiene pruebas de las infecciones de malware Night Dragon en las Américas,
Europa y Asia, así como los países de Oriente Medio y África del Norte. McAfee
también ha identificado las herramientas, técnicas y actividad en la red relacionada y
utilizada en estos continuos ataques que apuntan a las personas en China como la
fuente primaria.

11
http://www.elmundo.es/elmundo/2011/01/16/internacional/1295180388.html
Ciberdefensa. [82] Marzo 2018
Podemos ver que fue una campaña de ataques global.

Los ataques Night Dragon estaban dirigidos a empresas mundiales de petróleo,

energía y petroquímica con la intención aparente de robar información confidencial
como detalles de la operación, la investigación, exploración y datos financieros.

Según McAfee aunque se ha confirmado que Night Dragon está destinado a las
empresas del petróleo, la gasolina y la petroquímica, no se descarta que haya otras
APT que afecten a otras industrias de la misma manera. A diferencia de Stuxnet, los
ataques Noche del Dragón no son necesariamente específicos de una industria.

Según McAfee, no se conoce específicamente quién está detrás de los ataques que
buscan el robo de información relevante de la industria. Sin embargo, se ha
descubierto la posible ubicación de los delincuentes, ya que las direcciones IP desde
donde se operaban los malwares y los caballos de Troya con los que se controlaban
las empresas comprometidas, es posible que se encuentren en Pekín y en la ciudad
de Heze, provincia de Shandong en China.

4.3 Luckycat
Según el informe de 2012 de TREND MICRO (39), el número de ataques dirigidos
se está incrementado mucho. La mayoría de estos ataques, son ataques de intrusión
a través de ingeniería social cuyo objetivo es la obtención de información sensible.

Estos ataques son raramente aislados. De hecho, son constantes, es más útil
pensar en ellos como campañas que constan en la repetición de una serie de
intentos de intrusión hacia una o varias “redes objetivo” cada cierto periodo de
tiempo.

En ese informe Trend Micro analizó las actividades de la campaña Luckycat. Esta
APT fue descubierta y documentada por primera vez a principios de marzo por
Symantec pero Trend Micro siguió indagando en la investigación de esta
ciberamenaza.

Los resultados de esta investigación son los siguientes:

 Luckycat no sólo atacó la investigación militar en la India, tal y como difundió

Symantec, sino que también se dirigieron ataques contra organizaciones
importantes en Japón, India, así como contra los activistas tibetanos. En estas
campañas se emplea también diferente infraestructura de redes: desde sitios
web de alojamiento gratuitos de usar y tirar hasta servidores privados virtuales
dedicados.

Ciberdefensa. [83] Marzo 2018

 Luckycat está relacionada también con otras campañas. Los atacantes que están
detrás de esta campaña también han estado relacionados con otros ataques
dirigidos cometidos con anterioridad, como el ya conocido Shadow Network.
 Una minuciosa monitorización permitió aprovechar algunos errores cometidos por
los atacantes y nos dan una idea de sus identidades y capacidades. Se ha
logrado realizar un seguimiento de algunos de los atacantes hasta un conocido
foro de hackers chino, llamado Xfocus, así como a un instituto de seguridad de la
información, también en China.
 Las industrias afectadas fueron de los siguientes sectores:
o Aeroespaciales.
o Energéticas.
o Ingeniería.
o Navales.
o Investigación militar.

Esta campaña además logró atacar con éxito al menos 90 organizaciones diferentes.

4.4 Flame
Al igual que otras APT conocidas, Flame se emplea en objetivos concretos y puede
eludir el software de seguridad actual a través de un rootkit (40).

Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y
mediante memorias USB. Puede grabar audio, capturas de pantalla, pulsaciones de
teclado y tráfico de red. El malware también graba conversaciones de Skype y
puede controlar el Bluetooth para intentar obtener información de los dispositivos
bluetooth cercanos. Estos datos, junto con los documentos almacenados en el
ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo.
Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas
instrucciones de esos servidores.

A diferencia de Stuxnet, el cual fue diseñado para dañar procesos industriales,

Flame parece haber sido escrito solo con propósitos de espionaje. No parece
dirigirse a un sector determinado, sino que más bien es "un conjunto de
herramientas diseñadas para el ciberespionaje".

Flame no contiene una fecha predefinida en la cual se desactiva, pero permite a los
operadores enviar un comando "kill" que elimina todos sus rastros de un sistema.

Ciberdefensa. [84] Marzo 2018

El país más afectado con este malware fue Irán.

4.5 Octubre rojo

Kaspersky Lab publicó en el año 2013 un comunicado de prensa 12 en el que
identifica una escurridiza campaña de espionaje cibernético que ha tenido como
blanco organizaciones diplomáticas, gubernamentales y de investigación científica
en varios países durante por lo menos desde 2007.

El principal objetivo de los atacantes es el robo de información sensible como por

ejemplo: inteligencia geopolítica, credenciales para ingresar en sistemas
informáticos secretos y datos de dispositivos móviles y equipos de red. Abarcaban
sectores como instituciones de investigación, grupos energéticos y nucleares,
empresas comerciales y agencias aeroespaciales.

Según el informe del análisis realizado por Kaspersky Lab, la operación Octubre
Rojo (Red October), abreviada “Rocra” seguía activa en enero de 2013 y había
estado funcionando sin interrupciones desde el 2007.

Con frecuencia los atacantes usaban información filtrada de las redes atacadas
como una forma de obtener acceso a otros sistemas.

Los atacantes crearon más de 60 nombres de dominio y varios servidores de hosting

en diferentes países, la mayoría en Alemania y Rusia. Además incluían proxies para
garantizarse el anonimato sobre la ubicación de los Command and Control.

Se debe apuntar, que los atacantes tenían especial interés en el robo de

documentos con extensiones “acid” que parecen pertenecer al software clasificado
“Acid Cryptofiler”, usado por varias entidades que van desde la Unión Europea hasta
la NATO.

La propagación de este malware se realiza mediante la técnica de spear phishing y

los exploits utilizados se basan en vulnerabilidades de Microsoft Office y Microsoft
Excel.

El origen de este malware, según Karpensky, está en atacantes de origen ruso.

Según las estadísticas del servidor sinkhole de Karpensky, realizadas entre el 2 de

noviembre de 2012 hasta el 10 de enero de 2013 se registraron más de 55.000
conexiones desde 250 direcciones IP infectadas ubicadas en 39 países. La mayor
parte de las conexiones IP infectadas estaban en Suiza, seguida por Kazajstán y
Grecia.

12
http://latam.kaspersky.com/sobre-kaspersky/centro-de-prensa/comunicados-de-prensa/kaspersky-lab-
identifica-la-operaci%C3%B3n-%E2%80%9Coctubr
Ciberdefensa. [85] Marzo 2018
 Figura 28 Operación Octubre Rojo (Fuente: Kaspersky, 2013)

La campaña afecta sobre todo a países en Europa Oriental, las repúblicas de la ex

URSS y países de Asia Central, pero también se pueden encontrar víctimas en
todas partes, incluyendo Europa Occidental al igual que Norte y Sur América (Figura
28).

4.6 APT1
APT1 es el nombre que dio la empresa MANDIANT 13 para referirse a una nueva
APT en el año 2013.

El informe analiza a fondo los procedimientos, estructura y modus operandi de una

célula de ciberespionaje radicada en Shangai. El informe apunta a una unidad del
ejército chino (la unidad 61398) como la entidad que estaría detrás de él y, por tanto,
la más que probable promotora del robo sistemático de cientos de terabytes de
datos de, al menos, 141 organizaciones desde 2006.

El informe acompaña 3.000 indicadores en los Apéndices Digitales para detectar y

parar el impacto de APT1 en las empresas, entre los que se incluyen los nombres de
dominios que deben ser bloqueados en los firewalls, hashes de todo el malware
creado y utilizado por ellos. Además algunas son herramientas de hacking conocidas

13
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
Ciberdefensa. [86] Marzo 2018
para hacer elevación de privilegios entre las que está el Pwdump7, ese que se firmó
con un certificado robado de Adobe.

A lo largo del informe se dan datos concretos de servidores y nombres de dominio

contratados por todo el mundo para poder realizar sus operaciones. Esta correlación
de datos se hace en base a información obtenida sobre algunas de las identidades
que más adelante se revelan, de miembros de APT1.

La infraestructura cuenta con un amplio número de nombres de dominios pensados

para engañar a los usuarios en diferentes áreas. En la imagen superior algunos
dominios del área de tecnología pertenecientes a la organización. Después de la
publicación del informe, 26 de estos dominios fueron secuestrados, supuestamente
por el gobierno americano.

En más del 97 % de los casos en los que Mandiant observó intrusiones de APT1
conectándose a su infraestructura de ataque, usaban direcciones IP de Shanghái y
equipos configurados con idioma Chino Simplificado.

En el informe se aportan los rangos de las direcciones de IP detectadas en todas las

conexiones que, por supuesto, pertenecen a las redes de Shanghái donde está la
supuesta base.

Según datos de su informe, la compañía de seguridad llevaba desde 2004

investigando las violaciones en la seguridad informática de cientos de
organizaciones de todo el mundo. La mayoría de ellas se atribuían a APT
(amenazas avanzadas persistentes).

En 2010, publicaron sus primeros resultados, apuntando que el Gobierno chino

podría estar autorizando estas actividades, si bien no era posible determinar el
alcance de su participación. Tan solo tres años después, en febrero de 2013,
concluyen tener la evidencia requerida para cambiar esa afirmación. "Los detalles
que hemos analizado durante cientos de investigaciones nos convencen de que los
grupos que llevan a cabo estas actividades tienen su base principalmente en China y
el Gobierno chino tiene conocimiento de ello", dice el informe.

La investigación se centra en el análisis de uno de los grupos más prolífico de los

rastreados en todo el mundo. Se trata de uno de los 20 APT originarios de China y al
que el informe denomina APT1. En las actividades que pudieron detectar a lo largo
de la investigación, que solamente son una pequeña parte de las que estarían
teniendo lugar, analizaron las intrusiones de este grupo contra unas 150 víctimas a
lo largo de siete años.

Cuentan cómo han descubierto que, detrás de la APT1, hay una organizada
infraestructura de ataque, comando y control, y modus operandi (herramientas,
tácticas y procedimientos), que les capacita para llevar a cabo grandes campañas de

Ciberdefensa. [87] Marzo 2018

ciberespionaje. El tamaño de la infraestructura de la APT1 implicaba la participación
de, como mínimo, docenas de operadores humanos, pero podríamos hablar de
cientos. El nombre se ha obtenido, según Mandiant, de informes internos que hacen
referencia a su existencia y a las responsabilidades de cada miembro de la unidad,
todas ellas centradas en temas de seguridad informática y hacking.

Una vez que se establecía el acceso a una víctima, comenzaba un proceso

sistemático de robo que podía durar meses o incluso años, apropiándose de todo
tipo de documentación: proyectos tecnológicos, contratos, planes de negocio,
correos electrónicos y listas de contactos de los directivos, entre otros. Para los
ataques utilizaron tecnologías propias desarrolladas ad hoc, que los investigadores
no habían visto en ningún otro grupo.

La especulación del tamaño de la supuesta unidad es de docenas o cientos de

personas, aunque solo han revelado el nombre de tres identidades, supuestamente
usadas por miembros del equipo bajo los nicknames de UglyGorilla, DOTA y
SuperHard. Los datos de ellos los rastrean a través de la web, hasta perfiles del año
2004 como el de UglyGorilla en una conferencia online.

Aunque abarcan un gran número de sectores en sus ataques el sector de las

tecnologías de la información, el aeroespacial y el de las telecomunicaciones tenían
especial interés.

APT1 ha robado centenares de terabytes de información de al menos 141

organizaciones y ha demostrado la capacidad de hacerlo simultáneamente con
docenas de ellas.

Esta unidad ataca alrededor de todo el mundo, siendo siempre ataques dirigidos
contra organizaciones concretas. Para ello utilizan técnicas de phishing dirigido,
contra personas concretas de la organización de las que previamente han obtenido
datos mediante técnicas OSINT o fuentes de información abiertas.

4.7 APT28
FireEye ha publicado un informe a finales de 2014 en el que analiza una nueva APT,
a la que han llamado APT2814. Según informa la compañía, hay indicios de que esta
amenaza tiene origen ruso, ya que entre sus objetivos se encuentran entidades
gubernamentales y periodistas de Georgia, gobiernos y entidades militares de
Europa del este, y organizaciones como la OTAN, OSCE u otras relacionadas con la
defensa. Además, el malware analizado incluye configuraciones consistentes con el

14
https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-
operations.html
Ciberdefensa. [88] Marzo 2018
idioma ruso, y los tiempos de compilación coinciden con horas de trabajo en la franja
horaria de importantes ciudades rusas, como Moscú y San Petersburgo.

Los investigadores de FireEye han encontrado evidencias de que esta APT lleva
activa al menos desde 2007 y está destinada a conseguir inteligencia de las
organizaciones destinatarias de sus ataques.

En la Tabla 3 se pueden observar las víctimas, los motivos de la atribución de los

atacantes y los métodos utilizados para distribuir el malware.

Tabla 3 Resumen APT28 (Fuente: FireEye, 2014)

4.8 Equation
La APT Equation fue detectada por Karpensky.

Esta APT es un malware compuesto de 6 piezas de malware entre los que cabe
destacar el bootkit llamado Gray Fish, que parcheaba todo aquello que necesitaba y
borraba sus propias huellas.

Según Karpensky este malware es capaz de infectar el firmware de discos duros de

diferentes fabricantes, para que no sea visible ni modificable los sectores donde
Equation se alberga. Además no se borra ni formateando el disco duro afectado
puesto que es el propio firmware quien protege que esa parte de disco contra
escritura posterior.

Ciberdefensa. [89] Marzo 2018

Este malware además lleva activo mucho antes que Flame o Stuxnet, afectando a
redes no conectadas a Internet.

Una de dos: o el malware, una obra maestra de la ingeniería del software, ha sido
realizado por el mismo equipo de expertos, o diferentes personas han descubierto y
aprovechado el mismo Zero-Day. Lo que está claro es que no es fruto de un grupo
de amigos en su casa, sino un proyecto muy bien financiado y organizado.

Según las fuentes, se piensa que el malware podría haber existido desde 1996, por
lo que implicaría que desde los principios del boom de la utilización masiva de los
ordenadores, ya había intereses en lograr el control de lo que en ese momento,
sería el futuro.

4.9 POSIBLES MEDIDAS DE DEFENSA Y LECCIONES

APRENDIDAS

POSIBLES MEDIDAS DE DEFENSA

 Analizar y Gestionar adecuadamente los Riesgos en los Sistemas de CI (AARR

formal).
 Diseñar arquitecturas seguras. Principios: Defensa en profundidad, mínima
superficie de exposición, etc. Procedimientos de seguridad, etc.
 Tener procesos de monitorización y gestión de incidentes de seguridad.
 Realizar auditorías de seguridad.
 Utilizar de productos de seguridad certificados.
 Desarrollar resiliencia.
 Poseer un Plan de Continuidad de negocio.
 Potenciar el adiestramiento y concienciación de los operadores de IC!

LECCIONES APRENDIDAS

Se pueden obtener las siguientes lecciones aprendidas:

 El número de ataques dirigidos y bien coordinados está aumentando

rápidamente.
 Es relativamente fácil infectar un sistema utilizando ingeniería social (ej.: usb,
e-mail a empleados, etc.).
 Muy difícil defenderse frente a APT.
Ciberdefensa. [90] Marzo 2018
 Las APT son creadas por grupos organizados con origen muy distinto, desde
gobiernos a cibercriminales.
 Podemos defendernos si seguimos unos principios básicos de buenas prácticas y
realizamos acciones para aumentar nuestros niveles de seguridad.

5 Deep Web

5.1 Anonimato en redes

Para empezar a introducir el tema de la Deep Web, se va a realizar una analogía
entre la Deep Web y un iceberg.

Un iceberg se caracteriza porque la parte de la superficie es muy pequeña, que es lo

que vemos por ejemplo desde un barco o desde tierra; pero luego en la parte de
abajo o lo que nosotros no podemos ver. En la Deep Web pasa justamente lo
mismo. El Internet que todos conocemos, sería la información que los buscadores
indexan, en cambio la parte oculta no está indexada por los buscadores y por tanto
no estaría accesible. Esto sería el Nivel 1.

En un nivel 2 estarían las páginas eliminadas de los buscadores y que sólo son
accesibles si se conoce la dirección web. Este nivel sigue estando en la superficie
del iceberg.

En el nivel 3 se encuentran los sitios que rozan con la ilegalidad como programas de
descargas de material protegido por copyright. Este es el primer nivel de Deep Web.

El nivel 4 se caracteriza porque las acciones y accesos del usuario están penados
por la ley ya que aquí por ejemplo se encuentran los sitios web de pornografía
infantil.

El nivel 5 y 6 se caracteriza porque ese nivel contiene sitios web con contenidos
ilegales como tráfico de cuerpos humanos o suicidios en vivo. Además también en el
nivel 6 se pueden encontrar secretos de gobiernos.

Supuestamente habría un nivel 7 de transición hacia el nivel 8 en el que se

encontrarían los mejores hackers con poder para apagar Internet. De estos dos
niveles no existe información que se pueda tomar como referencia.

El acceso a Deep Web se realiza mediante software específico entre los que se
encuentra I2P, Freenet o Tor que es el cliente que se va a analizar.

Siguiente la metodología utilizada en anteriores puntos, lo primero de todo es definir

exactamente qué es.

Ciberdefensa. [91] Marzo 2018

Tor es un software específico15, que brinda anonimato en una serie de redes de baja
latencia. Es además un proyecto de software libre, de tal manera que tiene un
aspecto colaborativo en el que todo el mundo colabora precisamente para el tema
de actualizaciones, el nivel de seguridad.

Actualmente la cifra de usuarios que utilizan Tor es de 300.000 personas.

Los componentes básicos que utiliza esta red son:

 Un cliente u Onion Proxy, es decir, de nuestra parte como usuarios consta de un

proxy.
 Onion Router: es el router que permite encaminar los paquetes por la red Tor.
Existen tres tipos:
o Onion Router de entrada.
o Onion Router intermedio.
o Onion Router de salida.
 Bridge: componente específico para poder acceder a servicios ocultos.

Bien para ver exactamente cómo funciona Tor de una manera muy simple se
muestra la siguiente Figura 29.

Figura 29 Funcionamiento de Tor (Fuente: Hacktivistas, 2015)

15
https://www.torproject.org/
Ciberdefensa. [92] Marzo 2018
A la izquierda tenemos nuestro ordenador que como he comentado previamente
tiene levantado un proxy, y tres routers (router de entrada, router intermedio y router
de salida)

La base de Tor es que se cifra la información. Para ello, necesitamos una clave
pública, y una clave privada en cada salto entre routers más la del cliente al router
de entada y la del router de salida al ordenador del destino. Lo primero que se
realiza para enviar un paquete es cifrar ese paquete con la clave pública del último
router, y se nos crea la primera capa de cebolla. A continuación, toda esa
información cifrada se volvería a cifrar tantas veces como routers intermedios pase
el paquete. Y por último, se vuelve a cifrar hasta el router de entrada.

Con este procedimiento lo que se consigue es tener una capa de cebolla bastante
robusta que podemos transmitir a través de la red.

El proceso de envío consiste en enviar el paquete al router de entrada y en este

punto se hace justo la acción contraria, solo este router y nada más que este router
podrá descifrar la información porque posee su clave privada. Tras quitar la primera
capa de cebolla, a continuación enviará la información al segundo router. De nuevo
el segundo router quitará la segunda capa de cebolla descifrando la información con
su clave privada, y exactamente lo mismo hasta el router de salida.

Tras el router de salida la información va sin cifrar, y hay que tener cuidado con esto
porque no mucha gente conoce precisamente este aspecto.

Dado el funcionamiento de Tor se asocia este proyecto con la imagen de una

cebolla.

Se debe tener además especial cuidado porque solamente se utilizan protocolos

sobre TCP. Por lo tanto, cualquier servicio haga uso de UDP se encaminará por
Internet.

Bien todo esto es la parte cliente, pero también existe la posibilidad de formar parte
de la red Tor incluyendo un servidor para siga la filosofía del proyecto de ser social y
colaborativo.

Para instalar un servidor de Tor es relativamente sencillo. En la configuración del

cliente de Tor se puede elegir si queremos ser un router de entrada, router
intermedio o router de salida. Esto es importante porque hemos visto que desde el
último router toda la información va a ir sin cifrar y se podría interceptar la misma.

Como en esta vida no todo el mundo es bueno, decir que hay gente que puede
utilizar este tipo de redes para hacer determinadas acciones, que podrían ser
ilegales, dependiendo en qué país se encuentre. Y que si instalamos un router de
salida por el que una persona con intenciones de visitar sitios o realizar acciones
ilegales pasara por nuestro nodo, quizás nos podrían atribuir ciertas acciones a
Ciberdefensa. [93] Marzo 2018
nosotros. Para evitar esto, puede limitar a qué direcciones se quiere acceder a
través de nuestro router, se puede limitar que puertos se van a utilizar, o si
directamente nos queremos quitar de complicaciones pues podemos ser un router
de entrada o un router intermedio.

Un gran número de routers implica que el ancho de banda será mayor cuantos más
routers haya y también más anonimato ya que las capas de la cebolla aumentarán.

En la red Tor los dominios son Onion y cada sitio web se identifica por una cadena
de 16 caracteres.

Para acceder a los sitios Web hay buscadores que no funcionan de la misma
manera o no son tan eficientes como los que tenemos en el Internet habitual. La
solución en este caso es acceder a ciertos foros, en Pastebin aunque el punto de
partida inicial de todo el mundo que accede a Tor es la Hidden wiki.

La Hidden Wiki es una wiki normal y corriente pero dentro de la red Tor con enlaces
a sitios web de la red Tor.

La Hidden Wiki clasifica los enlaces por temáticas. Existen por ejemplo enlaces a
páginas de ventas de armas. También estaba la famosa Silk Road. Es una página
que en un principio uno puede pensar que no puede acceder porque no tiene
usuario, pero la solución es tan sencilla como crearse un nick, poner una contraseña
y acceder. Se dedican al tráfico ilegal de estupefacientes. Esta página fue
clausurada y su autor cumple cadena perpetua.

Además también existen sitios que por 10.000 dólares se puede comprar un
pasaporte americano. Y si uno no quiere irse tan lejos, un pasaporte de Inglaterra
está por unas 2.500 libras.

Además hay distintos foros en los que se puede obtener bastante información por
temas de hacking, se pueden descargar distintos malware bastante y obtener
códigos de distintas botnets. Además existen sitios web en donde se prestan
servicios de programadores en c, c++, ensamblador o Delphi para crear exploits
personales con unos precios entre 200 y 500 euros.

5.2 Cómo acceder

Para poder acceder a Tor es tan sencillo como entrar en la página del proyecto y
descargar el cliente Tor.

Desde la página web del proyecto Tor existen también una serie de proyectos
asociados que nos permitirían acceder a la red Tor haciendo uso de un live cd o un

Ciberdefensa. [94] Marzo 2018

dispositivo usb. En ellos, se carga todo el software necesario para conectarnos.
También existe la posibilidad de su acceso mediante plataformas Android.

El cliente además tiene la posibilidad de descarga de algunos script para monitorizar

latencias en la red.

El cliente que hemos indicado es un todo en uno, aunque desde la página web del
proyecto se pueden descargar para distintos sistemas operativos aunque sólo nos
sirve para su uso en navegación web.

La instalación es muy sencilla porque sólo consta de una instalación sencilla. Tras la
instalación se nos abre el panel de control llamado Vidalia y para poder acceder a la
red Tor se debe pulsar el botón “iniciar Tor” o “detener Tor”.

La conexión tarda un poco y a continuación se nos abre el navegador web Mozilla

Firefox que nos indica que ya se puede utilizar ese navegador para acceder a la red
Tor sólo para navegación, como se ha indicado anteriormente.

Además este cliente nos permite ver la red Tor y los routers por los que se van a
mover nuestros paquetes. Se puede configurar de manera sencilla los routers
intermedios que queremos utilizar, así como los routers internos o routers externos.

Una vez dicho esto se puede acceder a cierta información pero hay otras veces en
las que se necesita una serie de servicios adicionales. Por ejemplo para utilizar un
carrito de la compra, se necesitan dos cosas: una tener un correo anónimo como
tormail y otra un medio de pago aceptado.

Para disponer de una cuenta de correo en tormail es tan sencillo como proveer de
un nombre de cuenta y una contraseña, y ya tenemos creado nuestro buzón de
entrada de nuestro correo anónimo.

En cambio para disponer de un medio de pago anónimo no vamos a utilizar una

transferencia bancaria como lo podíamos hacer al comprar cualquier cosa por
Internet, lo que haremos será utilizar bitscoins. Bitcoins es una moneda virtual, que
no está controlada por los bancos. Para realizar la compra de bitcoins se puede
hacer mediante páginas web o servicios online en los que se hace un traspaso de
dinero real a bitcoins.

Con ambas cosas, ya podemos ponernos en contacto mediante correo electrónico y

efectuar compras pagando con bitcoins.

Aunque todo parece que funciona perfectamente se deben tener unas medidas
preventivas antes de acceder, como por ejemplo:

 Utilizar https en lugar de utilizar http.

Ciberdefensa. [95] Marzo 2018

 No habilitar ni instalar ningún tipo de plugin en el navegador web. Es decir, si
para ver un contenido se necesita habilitar flash no se debe realizar nunca.
 No se debe ejecutar ningún script.
 No se deberían descargar ciertos documentos que puedan implicar riesgo de
infección.

Por último y desde la perspectiva del cliente Tor, indicar que existen países en los
que se bloquea el acceso a este tipo de redes. La solución es conectarnos a través
de un bridge relay. Un bridge relay simplemente es un puente para introducirnos
dentro de la red, de tal manera, que aparentemente parece que no estamos dentro
de la red, para nuestro ISP, y es algo tan sencillo como meterlo directamente en la
configuración del software.

Por otro y dado que Tor es un proyecto colaborativo en el que cualquier persona
puede montar un relay propio, se aconsejan tomar las siguientes medidas de
seguridad:

En cuanto a seguridad lógica se debe cifrar todo el contenido del disco duro y de la
swap, se tiene que tener el servidor actualizado, se tienen que eliminar todos los
servicios que no sean necesarios, eliminar las cuentas de usuario que no se utilicen
y por supuesto borrar todos los logs.

5.3 Mitos
A continuación se van a aclarar mitos asociados a todo este tema.

Se ha dicho por ejemplo, que la Deep Web es un refugio de criminales, de ladrones,

de pedófilos, de gente de distinta calaña; que es un sitio peligroso para navegar por
la red o por ejemplo que su contenido es un 96% del total de Internet.

El primer mito es que es una red peligrosa.

Todo depende del país en donde estemos. Por ejemplo, en China, que es conocido
por su gran firewall que censura el acceso, si los usuarios acceden a TOR incurren
en un delito porque intentarían saltarse la censura.

El segundo mito es que es una red de delincuentes.

En un principio no es una red de delincuentes porque este proyecto fue creado en

2003 como la evolución del proyecto Onion Routing del Laboratorio de Investigación
Naval de los Estados Unidos. Su objetivo era ofrecer mayor seguridad y anonimato a
los distintos usuarios de esta red. Por ello, tuvo bastantes galardones. Pero como

Ciberdefensa. [96] Marzo 2018

todo, también tiene dos caras. La red la pueden utilizar personas con buena o mala
intención.

Pero esto no implica que en la red haya:

 Hackers.
 Traficantes de armas y drogas.
 Fabricación de explosivos y drogas.
 Pornografía.
 Falsificación de documentos.
 Asesinos.
 Experimentación humana.
 Información clasificada.

Y en cuanto al tercer mito, según estimaciones la Deep Web es el 95% de Internet.

Según la Universidad de California en Berkeley especula que la Deep Web ocuparía
unos 91.000 Terabytes.

Dado que son todas especulaciones, este último mito es imposible desmitificarlo.

5.4 Malware en TOR

Si recuerda la página de tráfico de estupefacientes Silk Road mostrada
anteriormente, está clausurada por el FBI. El creador no fue lo suficiente anónimo en
sus inicios en la red. Es decir, la gente a veces tiene mucho cuidado en su
anonimato al final de sus trayectoria en la Deep Web pero no al principio, es decir,
en sus orígenes cuando Ross William Ulbricht de 29 años de San Francisco, estaba
intentado montar este servidor web y estaba buscando temas de anonimato en este
tipo de redes, se registró en algunos foros con su cuenta de Gmail. La investigación
del FBI junto con órdenes judiciales para inspeccionar su correo de Gmail, dieron
con su paradero. El 30 de mayo de 2015, hace apenas unos días fue condenado a
cadena perpetua por la Corte de Manhattan.

Con respecto al malware en Tor, se puede afirmar que existe malware y

ciberataques.

En el trabajo “Spoiled Onions: Exposing Malicious Tor Exit Relays”(41) publicado en

el año 2014 se expone la existencia de un número importante de routers o relays de
salida mal configurados que permitiría mediante ataques de SSL Stripping extraer
las credenciales de los usuarios.
Ciberdefensa. [97] Marzo 2018
Además en noviembre del año 2014 se dio a conocer OnionDuke APT que era
distribuido por routers de salida.

Otro caso por ejemplo, es la conexión de los routers de salida de Tor utilizados en la
campaña APT MiniDuke para ser utilizados en los ataques contra agencias
gubernamentales o la OTAN.

Y al igual que ha ocurrido en la evolución e ingenio de los atacantes con respecto a

la creación de malware para Android, en el caso de Tor también se distribuye para
dispositivos Android.

5.5 Alternativas
TOR no es lo único que nos ofrece anonimato. Existen multitud de proyectos que
podemos utilizar para ocultar la identidad o acceder a cierta información pero dos de
los más importantes junto con TOR es I2P y Freenet Project.

I2P16 es un software que ofrece una capa de abstracción para comunicaciones entre
ordenadores, permitiendo así la creación de herramientas y aplicaciones de red con
un fuerte anonimato. Sus usos incluyen páginas webs anónimas, servidores y
clientes de chat, blogging, transferencia de archivos y además es una red que se
adapta muy bien a las redes p2p. I2P es software libre y utiliza varias licencias libres.

Freenet17 es una red de distribución de información descentralizada y resistente a la

censura diseñada originalmente por Ian Clarke. Freenet tiene por objeto
proporcionar libertad de expresión a través de las redes de pares mediante una
fuerte protección del anonimato; como parte del apoyo a la libertad de sus usuarios,
Freenet es software libre. Freenet trabaja por medio de la puesta en común del
ancho de banda y el espacio de almacenamiento de los ordenadores que componen
la red, permitiendo a sus usuarios publicar o recuperar distintos tipos de información
anónimamente.

6 Conclusiones
Las conclusiones que se obtienen de esta sesión, es que nadie está exento de ser
un objetivo para ser atacado ni países, ni organizaciones, ni usuarios domésticos.
Pero esto no implica tener un nivel de protección y formación adecuado que nos

16
https://geti2p.net/es/
17
https://freenetproject.org/?language=es
Ciberdefensa. [98] Marzo 2018
permita tener una defensa proactiva que nos evite problemas y/o gastos importantes
para el futuro de una organización.

La pregunta que nos haríamos en este momento sería: ¿qué medidas puedo tomar
para caracterizar la amenaza cibernética y tomar las soluciones que estén a mi
alcance?

Para poder responder a esta pregunta, primero hay que saber a qué nos hemos
enfrentado en 2014 y cuáles son las tendencias para 2015. Para ello, el CERT del
Centro Criptológico Nacional(32) nos presenta un resumen de lo que probablemente
puede afectarnos:

 Las amenazas con alto grado de probabilidad de ocurrencia están:

o Ciberespionaje: ha sido explicado anteriormente.
o Ataques como servicio: Este es un punto importante y que no se ha
tratado durante la presentación. ¿Qué significa? La idea es que cualquier
persona pueda contratar un servicio de ataque hacking contra una víctima
sin tener ningún conocimiento técnico y con garantías de éxito.
o Fusión de TTP: significa una fusión de comportamiento entre la actividad
cibercriminal y el ciberespionaje y serán dirigidas contra el sector
financiero para robar dinero.
 Las amenazas con probabilidad de aparición media son:
o Ataques a dispositivos móviles: Se incrementarán los ataques a
dispositivos móviles, en especial a Android por el sistema más utilizado.
o Ransomware: Se extenderá a organizaciones y grandes empresas, al
menos las variantes más agresivas.
o Ataques a medios de pago: El uso aún de Windows XP en los cajeros
automáticos convierte al sector financiero en un objetivo potencial de
ataque.
o Nuevas vulnerabilidades: Se publicarán nuevas vulnerabilidades.
 Las amenazas con una baja probabilidad de ocurrencia son:
o Ataques contra infraestructuras críticas: Aún se está en proceso de
formación para los ataques a infraestructuras críticas y sistemas SCADA.
o Linux y OS-X: La falta de herramientas de seguridad y el alto uso que
están teniendo, se podrían convertir en objetivos fáciles.
o Internet de las cosas: Es un mercado que todavía está naciendo, pero
esto no implica que esté fuera del alcance en presentar vulnerabilidades
que puedan ser explotadas para conocer la actividad del usuario.

Ciberdefensa. [99] Marzo 2018

Sabiendo ahora sí a lo que nos enfrentamos en este 2015, las medidas que están a
nuestro alcance son:

 La utilización de cortafuegos y sistemas de prevención de intrusiones con

aprendizaje automático tráficos anómalos.
 Se debe ampliar la monitorización de todos los sistemas de la organización, ya
que cualquier usuario puede ser un punto de entrada de infección al sistema.
 Se deben utilizar sistemas criptográficos en las comunicaciones y en los cifrados
de los discos duros, pero siempre con alguna certificación de garantía en
seguridad. Como por ejemplo, el software recomendado por la OTAN.
 Aunque las organizaciones se empiezan a tomar la seguridad como una
inversión con un retorno de inversión, todavía queda trabajo por hacer en I+D+i.
 Si bien la formación en seguridad que tenga el usuario es necesaria, se le debe
sumar el sentido común para evitar posibles nuevas infecciones mediante
vectores de infección para los que no ha sido formado.
 Una adecuada formación en seguridad impedirá que el usuario pueda quedar
infectado por técnicas ya conocidas.
 Se necesita una legislación actualizada para poder poner freno a los atacantes y
que las Fuerzas de Seguridad del Estado puedan acometer las acciones
necesarias respaldadas por la ley.
 Aunque los usuarios de los niveles inferiores de las organizaciones estén
formados y concienciados con respecto a la seguridad informática, también se
deben formar los niveles altos de las mismas para evitar infecciones no
deseadas.
 Uno de los puntos importantes que se ha demostrado que funciona en el mundo
de la seguridad de la información, es el intercambio de conocimiento. Gracias a
la expansión de Internet y con organismos CERT con flujos de intercambio de
información sobre nuevas amenazas, muchas de ellas han sido contenidas antes
de su propagación.
 Y por último y no menos importante son los IOC. Un IOC o Índice de
Compromiso puede definirse como las evidencias dejadas a su paso por una
intrusión o la información que permite detectar intrusiones u otras actividades
llevadas a cabo por los atacantes. A continuación se muestran dos sitios web con
información sobre IOC.

Ciberdefensa. [100] Marzo 2018

OpenIOC 18 es una opción rápida de comunicación para detectar rápidamente
nuevas amenazas, así como para detener los ataques dirigidos.

Se creó con el objetivo de llenar el vacío que había en el proceso de compartir

información sobre amenazas internas como externa en un formato que fuera de fácil
lectura para un programa de ordenador. Por ello, OpenIOC es un esquema
desarrollado en XML en donde se puede caracterizar técnicamente una amenaza
conocida, la metodología de un atacante u otra evidencia de compromiso como
artefactos forenses de una intrusión.

Además el esquema XML es extensible, lo que facilita la inserción de nuevos

campos de evidencias de compromiso.

La empresa que está detrás es Mandiant, famosa por el informe anteriormente

nombrado sobre la amenaza avanzada persistente APT1. En un principio se
desarrolló de forma privativa para mejorar la detección de amenazas, pero debido a
las peticiones de la comunidad de usuarios, Mandiant estandarizó y abrió el
esquema OpenIOC desarrollado. Además está desarrollando herramientas y
utilidades que mejoren la rapidez de caracterización de la amenaza cibernética como
el IOC Editor o Redline.

Otra iniciativa que aglutina IOC es IOC Bucket19. IOC Bucket se define como una
plataforma impulsada por la comunidad libre de profesionales de seguridad con el
objetivo de proporcionar una plataforma para compartir información sobre amenazas
de una manera eficiente y sencilla. Los IOC son creados por y para la comunidad y
revisados también por ella misma.

Aunque el formato de IOC viene impuesto por el estándar OpenIOC de la industria,

esta plataforma pretende ser el sitio que contenga la mayor base de datos a nivel
mundial de IOC en la que tenga un papel importante la industria como aporte de
conocimiento.

18
http://www.openioc.org/
19
https://www.iocbucket.com/
Ciberdefensa. [101] Marzo 2018
Referencias

1. Díaz del Río Durán, Juan. Ciberseguridad. Retos y amenazas a la seguridad

nacional en el Ciberespacio.Diciembre 2010 ed. Ministerio de Defensa, febrero 2011,
2011 [cited 14 de junio de 2015]. La Ciberseguridad En El Ámbito Militar, pp. 215-
254. Available from
<http://www.ieee.es/Galerias/fichero/cuadernos/CE_149_Ciberseguridad.pdf>. ISBN
978-84-9781-622-9.

2. Centro Criptológico Nacional. CCN-STIC 401, 2013. pp. 1-804. Available from
<https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-
Guias_Generales/401-Glosario_y_abreviaturas/401_glosario.pdf>. ISSN 002 - 13 -
031 - 0.

3. Departamento de Informática. Amenazas a La Seguridad La INformación.

Universidad Nacional de Luján. Available
from:<http://www.seguridadinformatica.unlu.edu.ar/?q=node/12>.

4. CALTAGIRONE, Sergio; PENDERGAST, Andrewand BETZ, Christopher. The

Diamond Model of Intrusion Analysis. pp. 1-61.

5. Cambridge University Press. Tallinn Manual on the International Lay Applicable to

Cyber Warfare, 2013. pp. 1-302.

6. Berkman Center for Internet & Society. Cyber Terrorism. Available

from:<http://cyber.law.harvard.edu/cybersecurity/Keyword_Index_and_Glossary_of_
Core_Ideas#Cyber_Terrorism>.

7. España. Código Penal.

8. JABARDO, Rosario. Sobre El Concepto De Extremismo Político. Revista De

Estudios Políticos (Nueva Época), 1998, no. 102. pp. 281-293.

9. Homeland Security. Cyber Threat to the United States, 2009. pp. 9-9.

10. La Nación. Tensión Por El Ciberataque Al Pentágono, 5 de septiembre 2007,

2007.

11. FONT, Eva. El Ciberataque Que Usurpó Datos Tributarios De 100.000 Personas
En EEUU Se Originó En Rusia. El Mundo ed., 28 de mayo de 2015, 2015.

12. BASSETS, Marc. Estados Unidos Analiza Qué Buscaba El Último Ciberataque
Chino. El País ed., 6 de junio de 2015, 2015.

13. Telman. Detectaron Un Ciberataque Contra El Parlamento Alemán. Telman ed.,

15 de mayo de 2015, 2015.

Ciberdefensa. [102] Marzo 2018

14. El Comercio. Ciberataque Revela Datos De Cerca De 4 Millones De Usuarios. El
Comercio ed., 23 de mayo de 2015, 2015.

15. LEWIS, James A. Computer Espionage, Titan Rain and China. Center for
Strategic and International Studies - Techonology and Public Policy Program,
Diciembre 2005, 2005.

16. Wikipedia. Ciberactivismo, 3 de marzo de 2011, 2011.

17. ELOLA, Joseba; DE CÓZAR, Álvaroand MONGE, Yolanda. La Verdad Sobre El

'Cablegate'. El País ed., 4 de diciembre de 2010, 2010.

18. Real Instituto Elcano y Thiber. Ciber Elcano, Junio 2015, 2015, no. 4.

19. MIRÓ LLINARES, Fernando. La Oportunidad Criminal En El Ciberespacio.

Revista Electrónica de Ciencia Penal y Criminología ed., 2011, vol. 07, no. 13. ISSN
1695-0194.

20. United Nation Office on Drugs and Crime. Comprehensive Study on Cybercrime,
Febrero de 2013, 2013. pp. 1-320.

21. El Confidencial. Crecen Un 50% Los Procedimientos Judiciales Por Tecnologías

De La Información, 15 de septiembre de 2014, 2014.

22. POSNER, Gerald. Un Informe Secreto Del FBI Indica Que China Dispone De
180.000 Ciberespías. El País ed., 24 de enero de 2010, 2010.

23. URIBE CANTALEJO, Alberto. Seguridad Nacional Vs Ciberespionaje En

Iberoamérica. Belt ed., 30 de septiembre de 2013, 2013.

24. SANTANDER PELÁEZ, Manuel Humberto. Ciberterrorismo: La Nueva Realidad

De La Seguridad De La Información, 2012.

25. Grupo de Trabajo nº 3. Guerra Cibernética: Aspectos Organizativos. XXXIII

Curso de Defensa Nacional ed., Abril de 2013.

26. BARROSO, F. Javier. Unos ‘hackers’ Bloquean 400.000 Archivos De Ifema. El

País ed., 16 de marzo de 2015, 2015.

27. Centro Criptológico Nacional. Informe De Amenazas CCN-CERT IA-21/14, Abril

2015, 2015. pp. 1-52.

28. McAfee Labs. Threats Report, Mayo 2015, 2015. pp. 1-45.

29. O’GORMAN, Gavin; and MCDONALD, Geoff. Ransomware: A Growing Menace.

Symantec ed., 2012.

30. ERQUIAGA, María José. Botnets: Mecanismos De Control Y De Propagación.

XVII Congreso Argentino de Ciencias de la Computación ed., 2011. pp. 1076-1085.
Ciberdefensa. [103] Marzo 2018
31. INCIBE. Historia De Conficker (Downadup), Abril 2009, 2009. pp. 1-12.

32. Centro Criptológico Nacional. Ciberamenazas 2014 Tendencias 2015, 2015.

33. RODRÍGUEZ VARELA, Joaquín. Nueva Generación De Botnets: TDL4 / TDSS.

We Live Security ed., 2011.

34. BILODEAU, Olivier, et al. Operación Windigo. ESET ed., Marzo 2014, 2014.

35. BORTNIK, Sebastián. Koobface Llega a Mac OS Y Linux. Web Live Security ed.,
28 de octubre de 2010, 2010.

36. Trend Micro. SIMDA: A Botnet Takedown, 2015.

37. GIUSTO, Denise. Mi Nueva Marioneta Android, 2013.

38. KARIM, Ahmad, et al. Mobile Botnet Attacks – an Emerging Threat:

Classification, Review and Open Issues, 30 de abril de 2015, 2015, vol. 9, no. 4. pp.
1471-1492. ISSN 1976-7277.

39. Trend Micro. Luckycat Redux: Inside an APT Campaign with Multiple Targets in
India and Japan, 2012. pp. 1-26.

40. Symantect Security Response. Flamer: Highly Sophisticated and Discreet Threat
Targets the Middle East. Symantec Official Blog ed., 2012.

41. WINTER, Philipp, et al. Privacy Enhancing Technologies: Spoiled Onions:

Exposing Malicious Tor Exit Relays. Lecture Notes in Computer Science ed., 2014,
vol. 8555. pp. 304-331.

Ciberdefensa. [104] Marzo 2018