déjenlos pelear ….en el ciberespacio · • ‘ciber crimen’ es noción de ciber amenaza...

Déjenlos Pelear ….en el Ciberespacio

¿Pueden los Ciber Conflictos Sustituir a los Conflictos Armados Entre Estados?

Photo by Markus Spiske on Unsplash

La Ciber Guerra Ha Llegado

“…en potencia, el próximo Pearl Harbor bien puede ser un ciber ataque.”

Leon PanettaDirector de la CIA (2011)


Estonia: Sociedad de la Información• 1990: Primeros servicios electrónicos vía Internet (Banca)• 2000: Reformas a la Ley Administrativa -> firma electrónica• 2005: Voto vía Internet• 2007: 95% de las operaciones bancarias de forma electrónica

98% del territorio con cobertura para acceso a Internet99% de penetración de telefonía móvil+1000 e-servicios en el sector público

Conflicto:• 26 de Abril 2007: Gobierno reubica al ‘Soldado de Bronce’

estallan protestas violentas en la capital,incrementan tensiones con Rusia.

• 27 de Abril 2007: Inician ciber ataques a sitios web del gobiernoy medios de comunicación online (DoS básico)

• 30 de Abril 2007: Ataque principal (DDoS, Botnet 85.000 PCs)• 18 de Mayo 2007: Fin de los ataques tras 22 días.


Hallazgos:• Se usaron métodos conocidos: ping flood, udp flood, queries

mal formadas, email spam, etc.• Sistemas atacados: Servidores Web, eMail, DNS; Routers• Entidades atacadas: Gobierno, Presidencia, Parlamento, Policía,

Bancos, ISPs, Medios de Comunicación.• Incrementos en complejidad y coordinación de los ataques.

Evaluación:• Alta capacidad de respuesta del CERT-EE• Efectos notables en sector empresarial, público, y en la sociedad

pero no permanentes• No hay claridad en cuanto al autor detrás de los ataques• No se ha podido probar la participación del gobierno Ruso

• Ciber-protestas en lugar de Ciber-guerra (T. Rid – 2012)


Georgia: Sector de la Información• 2008: Usuarios de Internet 7 (en 100 hab.)

Poca capacidad y dependencia en infraestructuras de TICrecimiento usuarios de Banda AnchaInterconexión Terrestre limitada (vía Rusia, Turquía, Azerbaijan-Rusia)Interconexión mediante fibra óptica submarina en construcción.

Conflicto:• 19 de Julio 2008: primeros ciber ataques esporádicos a sitios

web e infraestructura de red.• 7 de Agosto 2008: Ejército de Georgia realiza un ataque armado

como respuesta a provocaciones de fuerzas separatistas en la región de Ossetia del Sur.

• 8 de Agosto 2008: Ciber ataques por 20 días (DDoS, Botnets)• 8 de Agosto 2008: Ejército Ruso invade Georgia. Conflicto Bélico• 12 Agosto 2008: Cese al Fuego.


Hallazgos:• Métodos muy similares a los de Estonia 2007• Sistemas atacados: Servidores Web, Mail.• Entidades atacadas: Gobierno, Ministerios, Medios,

Instituciones Financieras.• Coordinación y redistribución de herramientas para ataque.

Evaluación:• Limitada capacidad de respuesta local. Soporte internacional• Efectos limitados, no permanentes, no violentos.• Principal afectación: Impedir que el gobierno informe del

evento a la comunidad internacional.• Sociedad menos vulnerable que en el caso de Estonia• No hay pruebas concluyentes sobre el autor de los ciber ataques

• Cyber-subversión en lugar de Cyber-guerra (T. Rid – 2012)


¿Los Ciber Ataques a Estonia y Georgia son Actos de Agresión?

• Un acto de agresión justifica una respuesta bélica

• Bajo este argumento, los ciber ataques que interrumpan el normal funcionamiento de la sociedad podrían ser repelidos mediante el uso de la fuerza física, resultando en pérdidas materiales y humanas.

• Los daños a la propiedad privada causados por los ataques de DDoS y deformación de sitios web fueron limitados y temporales. No existen pérdidas humanas.

• No se puede discriminar al agresor. Dificultad para ejecutar una respuesta


¿Los Ciber Ataques que Afecten a las Infraestructuras Críticas de un Estado, Constituyen Actos de Agresión?

Photo by Fré Sonneveld on UnsplashPhoto by Cassie Matias on Unsplash Photo by WORKSITE Ltd. on Unsplash

Caso de Estudio:

Stuxnet

“Átomos para la paz y átomos para la guerra son gemelos siameses”

Hannes AlfvénPremio Nobel de Física (1970)

Programa Nuclear de Irán (Zetter, 2014):

• 1957: Irán inicia su programa nuclear –con el apoyo de occidente-

• Cambio de gobierno (1979) y Conflicto con Iraq (1980-1988) -> programa secreto de enriquecimiento de uranio

• 1999: Primeras pruebas de enriquecimiento resultan exitosas• 2000: Inicia la construcción en Natanz de una planta para

producción a gran escala.

• 2006: N.U declaran a Irán en incumplimiento. Impone sanciones

• Otros gobiernos analizan opciones alternas (ataques aéreos)

Stuxnet: Sistema de Control Encubierto? (McGraw, 2013):

• Propagación:- Vía redes IP (privadas o Internet) - Vía USB Pen Drive

• Instalación:- Vulnerabilidad Día-Cero en S.O. Windows- Evasión de antivirus- Comunicación con centro de comando y control

• Ejecución:- Detección de software siemens S7 instalado en PC- Descarga en PLCs de la serie Simatic S7-400 de Siemens- Activación únicamente en aquellos PLCs ubicados en

Natanz y Bushehr.

Photo by Brina Blum on Unsplash

Symantec. W32.Stuxnet Dossier


Hallazgos:

• Muy alto nivel de planificación:- Fechas de compilación datan entre 2001 y 2003- Liberado en 2008; Detectado en Julio 2010

• Daños colaterales:- +100mil hosts infectados en 155 países (60% Irán)- 33% de hosts infectados en Irán no usan Step7 de Siemens

Photo by Brina Blum on Unsplash



Evaluación:

• Efecto principal:- Retraso del programa nuclear de Irán aprox. 2 años- Daños materiales a centrifugadoras de uranio

• Respuesta de Irán: ciber ataques en 2010 dirigidos a bancos y sitios web en Estados Unidos (Segal, 2016).

Photo by Jason Leung on Unsplash

¿La Ciber Guerra Ha Llegado?

“…existen formas mucho más simples y menos costosas de atacar infraestructuras críticas, desde llamadas telefónicas falsas

hasta camiones-bomba o aviones secuestrados”

Tom StandageEditor The Economist (2002)


Espacios, Estados y Ciber Espacio (Choucri, 2012):

• Espacios como dominios de interacción entre Estados• Características posibilitan una expansión de poder / influencia• Variable crítica ante amenazas (soberanía, estabilidad, seguridad)

• Noción tradicionalmente asociada con la territorialidad: la contienda por el poder se daba mediante expansión física hacia otros territorios.

• Avances tecnológicos permiten el acceso a nuevas formas de espacio (nano espacio, espacio genético, ciber espacio)

• En la contienda por el poder e influencia, el Ciber Espacio presenta nuevas oportunidades para la competencia, la disputa, y el conflicto.

Espacios, Estados y Ciber Espacio (Choucri, 2012):


¿Qué Está en Juego?

• Depende del cristal con que se mire

• Dos concepciones distintas (Majikian, 2010):

• Comunidad Académico-Técnica (Liberal)- Oportunidades para potenciar libertades

individuales- Estructuras de Cooperación Internacional- Participación y Movilización de la Sociedad Civil

• Círculos Militares, Defensa, Estudios Estratégicos (Neo Realista)

- Amenazas puedan pasar al dominio físico- Nuevas iniciativas en Defensa y armamento.- 5to Dominio Estratégico de Guerra (Aire, Mar, Tierra,

Espacio Exterior, Ciber Espacio)Photo by imgix on Unsplash


Photo by imgix on Unsplash

Denominador Común:

• Las características únicas del ciber espacio –que lo diferencian del espacio físico- son las que crean nuevas oportunidades para la interacción humana.

• Al mismo tiempo representan riesgos, amenazas o retos para la seguridad.

• Son fuentes de inseguridad en especial:- Su naturaleza transnacional- Las bajas barreras de ingreso- El anonimato.


Amenazas Percibidas (Eriksson y Giacomello):

• Discursos sobre seguridad de la información, o sobre ciber amenazas pueden posicionar visiones compartidas

• ´ciber guerra’ ‘guerra informática’ ‘ciber terrorismo’ enmarcan amenazas percibidas por la comunidad militar, burocrática.

• ‘ciber crimen’ es noción de ciber amenaza percibida por la comunidad empresarial, la sociedad civil, o el gremio policial.

• La comunidad tecnológica por otro lado percibe amenazas más acotadas, enfocadas en la interrupción de las comunicaciones y sistemas informáticos.


Seguridad Informática …¿Construcción Social? (Nissenbaum, 2005):

• Existen dos concepciones prominentes sobre Seguridad Computacional.

• ‘Seguridad Computacional Técnica’- Comunidad ingenieros y científicos de la computación.- Propósito: asegurar la disponibilidad, integridad, y

confidencialidad de los datos.

• ´Ciber-Seguridad’- Agencias gubernamentales de seguridad nacional.- Propósito: minimizar el uso del ciber espacio para

actividad criminal; asegurar a las infraestructuras críticas.


Seguridad Informática …¿Construcción Social? (Nissenbaum, 2005):

• Difieren en- Cómo caracterizan el grado y naturaleza de las ciber

amenazas.- El foco de la seguridad.- El elemento que debe ser protegido.

Ciber Ataque: Propagación de un código

maligno a través de Internet

Seguridad Computacional Tec.:- Ataque a usuarios individuales- Sistema Judicial local

Ciber-Seguridad:- Ataque a la Nación- Respuestas Seguridad Nacional


Respuesta ante un Ataque: El Problema de la Atribución.

• Implementación de respuestas ante un ciber ataque depende de la habilidad para identificar su origen

• El proceso que determina la identidad (nombre, usuario, cuenta, etc.) o ubicación (geográfica, física, dirección lógica) de un atacante o de sus intermediarios.

• Barreras para atribuir un ciber ataque:

- Ciber espacio fue creado priorizando objetivos de eficiencia en el intercambio de información. No en la seguridad (Singer, 2014). DDoS, IP Spoofing

- Carácter Transnacional. Ataques multi-fase. (Estonia)

Photo by Claire Anderson on Unsplash

Photo by Bill Oxford on Unsplash


Respuesta a un Ataque: ¿Es Realmente Ataque? (Dunn Cavelty, 2008):

• Previo a la atribución y a la respuesta a un ataque se requiere determinar con evidencia concluyente que el incidente es efectivamente un ciber ataque.

• No son los únicos eventos que causan daños a la información, sistemas, e infraestructuras:

- Existe la posibilidad de Fallas (software, hardware)- Error Humano- Accidentes

• Flash-Crash de la Bolsa de Valores de New York en 2010

¿Pueden los Ciber Conflictos Sustituir a los Conflictos Armados Entre Estados?:

• El ciber espacio, por sus características intrínsecas (transnacional, bajas barreras de entrada, barreras para atribución) presenta una opción para lograr objetivos políticos con reducido grado de violencia, o para postergar una decisión de uso de fuerza física.

• Existen escenarios en los que el ciber conflicto puede reducir el uso de la fuerza:- Escenario 1: Nación débil ataca a una más fuerte (expresión de insatisfacción) ej. Irán

2010- Escenario 2: Nación fuerte ataca a una más débil para avanzar su agenda política ej.

Stuxnet

• No implica que en el futuro no habrán guerras en el dominio físico.- Los efectos de un ciber ataque son temporales. Proporcionan una ventaja táctica- El conflicto armado incluirá más ciber operaciones (como un complemento, no

reemplazo). Ej. Georgia

¿Pueden los Ciber Conflictos Sustituir a los Conflictos Armados Entre Estados?:

• Implicación:

- Si el ciber conflicto reduce la probabilidad de violencia o conflicto armado, entonces la elaboración de normativas y regulaciones internacionales, así como los avances tecnológicos que tiendan a resolver el problema de la atribución podrían anular el potencial del ciber espacio como elemento que atenúa o previene el uso de la fuerza.

• ¿Evidencia Empírica?

Photo by William Iven on Unsplash

Ciber Incidentes Significativos2006 - 2018

“…en teoría, no hay diferencia entre teoría y práctica. En la práctica, si la hay”

Benjamin BrewsterThe Yale Literary Magazine (1882)


Construcción del Dataset:

• Partiendo del listado de Ciber Incidentes significativos publicado por el CSIS. (328 registros desde 2006 hasta 2018*)

• Significativos: - Objetivos son agencias del gobierno, defensa, o empresas

de tecnología.- O representan pérdidas económicas de $1millón o más.

Group Name Values

Reported_On {Date}

Occurred_On {Date]

Update

Incident

General Info

Not Specified

Other

Incident_# {Sequence}

Vandalism

Denial of Service

Intrusion

Infiltration

Combined

Not Specified

Other

Successful

Attempt

Not Specified

Other

Disruption

Theft

Data Theft

Espionage

Sabotage

Coercion (behaviour)

Ransom

Not Specified

Other

Succeded

Failed

Not Specified

State

State-sponsored

Non-state actor

Not Specified

Other

I_Name {Name}

Yes

No

Not Specified

State

State-sponsored

State and Non-state

R_Name {Name(s)}

Private/Non-state

Private - Defence

Private - Critical Infrastructure

Initiating Actor-related variables

I_Type of Actor

I_Verified

Receiving Actor-related variables

R_Type of Actor

R_Sector

Dataset Variables

Entry-related variablesType_of_Record

Event-related variables

E_Type

E_Result

E_Objective

E_Achievement

• Definición de variables: basadas en el estudio de Valeriano y Maness (2014)

- Nivel de Registro- Nivel de Evento- Nivel de Origen- Nivel de Receptor


Construcción del Dataset:


Resultados:

• Diferenciación entre medios y fines; Ciber Ataque es el medio para lograr un objetivo final

- Desfiguración Web- Denegación de Servicio (DoS, DDoS)- Intrusión- Infiltración

• Objetivo final: el propósito, aquello que busca el atacante- Robo de Información- Interrupción- Espionaje- Robo ($)- Sabotaje- Rescate/Extorsión- Coerción- No especificado- Otro


Resultados:

• Incremento sostenido del número de ciber ataques significativos registrados desde 2006 (CSIS)

• 79% de ataques con éxito. De éstos, la mayoría son intrusiones no autorizadas a sistemas informáticos, a pesar de tener menor eficacia frente a ataques DoS o desfiguración de sitios web

• El objetivo final de los ataques exitosos no puede ser determinado para el 19% de los casos.

• El Robo de Información es el fin más buscado, lo que explica la predilección por ataques de menor eficacia


Resultados:

• No todos los ciber ataques exitosos lograron el objetivo final: lo que añade otro nivel de complejidad

• Receptores:


Resultados:

• La mayor eficiencia en cuanto a objetivo final se observa en ataques al sector privado; a pesar de esto existen más ataques hacia el sector estatal

• Actores maliciosos encuentran mayor dificultad en penetrar agencias estatales, pero posiblemente piensan que la recompensa de alcanzar un objetivo final es mucho mayor que en el caso del sector privado

• La tendencia cambia dependiendo del país que recibe el ataque (Estados Unidos, o Reino Unido)

• El cambio se puede explicar por la diferencia en capacidades de ciber defensa en dichos países comparada con los demás; o también por limitaciones de acceso para recolección de información (India).


Resultados:

• Analizando por sub sector, las áreas estratégicas son atacadas con menor frecuencia, tanto en sector estatal como en el privado

• Iniciadores:


Resultados:

• Conflicto Inter Estatal: al separar exclusivamente a los actores estatales o auspiciados por un estado.

• La matriz se reduce más si el criterio de atribución es estricto


Conclusiones:

• Existe un escaso número de incidentes entre estados, lo suficientemente graves como para ser calificados como actos de agresión.

• Necesidad de evaluar los incidentes teniendo en cuenta no solamente lo posible, sino también la probabilidad de que aquello ocurra (Ciber Guerra, Ciber Pearl Harbor)

• En estados iniciales de un proceso de evolución de conflicto político entre estados, la aparición de ciber incidentes no necesariamente conduce a que se establezca una nueva rivalidad.

• La mayoría de ciber conflictos inter estado involucra rivalidades previamente existentes.

• Ciber incidentes no han logrado romper alianzas (Estados Unidos – Alemania)

• En estados avanzados de un proceso de evolución de conflicto, bajo ciertas condiciones los ciber incidentes podrían disminuir o prevenir la ocurrencia de un desenlace violento

Photo by Rizky Subagja on Unsplash

Déjenlos Pelear …en el Ciber Espacio¿Pueden los Ciber Conflictos Sustituir a los Conflictos

Armados Entre Estados?

27 Noviembre 2019

Presentado en el Coloquio Técnico del FIRST ECCuenca – Ecuador

Juan Diego PesántezConsultoría y Análisis Estratégico

Ciemtelcom

@_juan_diego

[email protected]

Photo by Henry Be on Unsplash

Referencias

déjenlos pelear ….en el ciberespacio · • ‘ciber crimen’ es noción de ciber amenaza...

Documents