CIBERGUERRA 101

Temor, Incertidumbre y Duda

SESIÓN 133
30 de Septiembre 2013

Ronald Fabian Garzón

CRISC, CISM, CISSP, PCI QSA, PCIP, ISMS Auditor
GSEC, GCIA, CCNA R&S, CCNA Sec
 CONFERENCISTA –BIOGRAFÍA
Ronald Fabian Garzón, CISM: Ingeniero en Telecomunicaciones, egresado de la Universidad Piloto de Colombia.
Estudiante adepto de SANS Institute.

Es instructor autorizado por SEI (Software Engineering Institute) CERT/CC, de Carnegie Mellon University, para los
cursos de Creación y Gestión de Equipos de Respuesta a Incidentes de CiberSeguridad (CSIRTs) y Manejo Avanzado
de Incidentes (AIH).

En el último lustro se ha desempeñado como consultor de la firma IQ Information Quality, participando en importantes
proyectos de seguridad de la información y cumplimiento PCI DSS, para distintas compañías del sector financiero, BPO
y procesamiento transaccional, en Colombia y varios países de Latinoamérica.

La experiencia de más de 12 años de Ronald Fabian Garzón incluye Seguridad en Operaciones, Valoración de
Riesgos, Respuesta a incidentes, Seguridad en Redes y Sistemas de Gestión de Seguridad de la Información.

Habitual instructor de profesionales en cursos de Respuesta a Incidentes, PCI DSS, Seguridad en Redes e ISO 2700x.
Coordinador del grupo PCI LAC (en LinkedIN) con más de 320 miembros discutiendo sobre seguridad en medios de
pago bajo el contexto PCI DSS.

No es ajeno a las certificaciones internacionales en seguridad de la información, y mantiene credenciales como: CISSP,
CISM, CRISC, GCIA, PCI QSA, CCNA Sec, (IRCA) Auditor 27001, entre otras.
 PREMISAS
Una visión general y objetiva que sintetiza las distintas
investigaciones y posiciones

Mis análisis y opiniones, y no representan necesariamente

las opiniones de mi empleador y de mis clientes

Soy Ingeniero, no soy Político ni Militar. Y este tema tiene

mucho de estas dos últimas materias

No soy una autoridad en ciberguerra. ¿Los Hay?

Claramente, no tenemos miles de años de experiencia en

ciberguerra, así que tenemos poco para comenzar
 AGENDA

Términos y definiciones. El abuso de uso de la palabra Cyber (Ciber)

Sobre la Guerra y su relación con las Tecnologías
El Quinto Dominio (El Ciberespacio)
La teoría detrás de la CiberGuerra (¿A favor de la Ciberofensiva?)
Estrategias y Programas de Ciberseguridad y Ciberdefensa
Los aportes de ISACA en torno a la ciberguerra
Consideraciones finales
 APELLIDOS DE LA SEGURIDAD
Computer Security (Seguridad Informática)
IT Security (Seguridad Informática ó Seguridad en TI)
Safety Security •Network Security
•Internet Security
•Application Security
Information Security (Seguridad de la Información)
Information Assurance (Seguridad de la Información ó
Aseguramiento de la Información)

Assurance Resilience Resilience y Survivality

CIBERSEGURIDAD
(CYBERSAFETY vs CYBERSECURITY)
 CIBERSEGURIDAD Y OTROS DOMINIOS
DE SEGURIDAD
Information Security
Cybercrime CyberSafety
Application Security

INTERNET
Cybersecurity

CIBERESPACIO Network Internet

Security Security

CIIP (Critical Information Infrastructure Protection) Fuente:

ISO 27032:2012
 SOBRE LA GUERRA
La guerra es la continuación de la política por otros medios. Carl Von
Clausewitz

La guerra (la violencia) es la partera de la historia. Karl Marx

El estado natural del hombre no es la paz sino la guerra . Immanuel Kant

RAE: Lucha armada entre dos o más naciones o entre bandos de una
misma nación.

Encyclopædia Britannica Concise: Situación de conflicto, generalmente

armado, entre dos o más entidades.
Es un conflicto organizado, armado y frecuentemente prolongado que
sucede entre estados, naciones u otras partes, caracterizado por agresión
extrema, ruptura social, y alta mortalidad
¿GRACIAS A LA GUERRA, SE DIERON
GRANDES INVENTOS ?
 DOCTRINA DE GUERRA APLICADA A LA
SEGURIDAD DE LA INFORMACIÓN
Asimetría Defensa Activa

BeachHead DMZ

Defensa en Profundidad (Defense in Depth) Conciencia Situacional (Situational

Awareness)
Defensa en Amplitud (Defense in Width)
Superficie de Ataque (Attack Surface)

De la Fuerza Áerea: La metodología que permite deshabilitar objetivos

móviles y emergentes en menos de 10 minutos, de tal forma que dichos
objetivos no logran infiltrarse en nuestro espacio áereo
DOCTRINA DE GUERRA APLICADA A LA
SEGURIDAD DE LA INFORMACIÓN
Nivel Definiendo objetivos y políticas a
Político largo plazo

Estableciendo la
estructura para alcanzar
objetivos predefinidos Nivel Estratégico

Coordinando las diferentes

tareas dentro de una Nivel Operacional
organización

Las técnicas y
Nivel Táctico procedimientos específicos
empleados para cada tarea

Los Niveles de la Guerra como Herramienta General de Análisis

¿NOS LLENAMOS DE EXPERTOS EN
CIBERGUERRA?
 NOMBRE CLAVE: CIBERGUERRA
1995
1993: CyberWar is Coming!
John Arquilla, David Rondfeldt

CiberGuerra
Guerra de la Información
Guerra Digital
Guerra Cibernética
Guerra Inteligente
Guerra Electrónica
Guerra contra las Máquinas
 DEFINICIONES AMPLIAMENTE ACEPTADAS
Glosario de
Inteligencia de
DoD (PCMAG)
Resolución del Consejo de Seguridad de la UN (2011)
El uso de computadores o medios digitales por un gobierno, sea
con conocimiento explícito de ó aprobación de ese gobierno, contra
otro estado, o propiedad privada dentro de otro estado incluyendo:
Accesos intencionales, interceptación de datos o daño a
infraestructura digital e infraestructura controlada digitalmente.

Las Acciones por un estado/nación para penetrar las redes y

computadores de otra nación con el propósito de causar daño o
interrupción. Richard A. Clarke, “Cyber War”
http://definitions.uslegal.com/c/cyber-warfare/
 EL QUINTO DOMINIO DE LA GUERRA
In 2010, William J. Lynn, U.S. Secretario de Defensa,
declara que: “como asunto de doctrina, el
TIERRA Pentágono reconoce formalmente al ciberespacio
como un nuevo dominio en la guerra. . . llegará a
ser tan crítico para las operaciones militares como
AIRE en tierra, mar, aíre y espacio

MAR

CIBERESPACIO ¿Militarización
ESPACIO de Internet?

•Plano físico/natural •Plano artificial

•Defensa Nacional: Gobierno •Defensa Nacional: ¿Sector Privado?
•Ataque, Defensa, Espionaje, Sabotaje, Subversión •Ataque, Defensa, Espionaje, Sabotaje, Subversión
LA DELGADA LÍNEA GRIS

CiberTerrorismo CiberGuerra

CiberAtaques

Ciber Espionaje CiberCrimen

En últimas, la decisión de categorizar un acto es una

decisión Política.

Depende si el primer ministro/presidente lo llama

acto de guerra, acto terrorista, crimen, espionaje, etc
 DEFINICIÓN: CIBERATAQUE
CiberAtaques
La Convención de Ginebra
define un ataque como un
acto de violencia contra el
adversario. Pero caraterizar
un ataque a redes de sistemas
y computo como un acto de
violencia es dificil
•Alemania: Un Ataque IT en el ciberespacio, dirigido contra
uno o varios sistemas IT y cuyo objetivo es dañar la seguridad
IT (CIA)
•EEUU: CNA (Computer Network Attack): acciones tomadas a
través del uso de redes de computadores para interrumpir,
negar, degradar o destruir información residente en
computadores, o los computadores y las redes en si mismas.
•ISO 27032: Ataque (Ciberataque)
Intento de destrucción, exposición, alteración,
deshabilitación, robo, o lograr el acceso y/o uso no
autorizado de un activo
 CIBERATAQUES: CATEGORIZACIÓN

•Sabotaje complejidad
•Alcance
•Espionaje •Intensidad
•Subversión •Impacto

MORRIS WORM. 1988

WANK (Worms Against Nuclear Killers). 1989
Kosovo vs OTAN. 1999
Web War 1. Rusia vs Estonia. 2007
Operación ORCHARD (Israel vs Siria). 2007
Fighter –Jet project (The Joint Strike Fighter, F-35 Lightning II). 2007
Operación Olympic Games (STUXNET, FLAME, DUQU). ????
 CIBERATAQUES: CASOS REALES +
Operación Aurora . 2010
Ciberataque a RSA -> Lockheed Martin .2011
Ciberataque a STRATFOR. 2011
Operación AntiSec. 2011
Operación PayBack . 2011
Operación Shady Rat . 2011
Operación HighRoller. 2012
Shamoon Saudi Aramco. 2012
Proyecto Blitzkrieg . 2012
Operación Abadil . 2012
Operación Eurograbber. 2012
Octubre Rojo. 2013
APT1. 2013
Operación TROY, Dark Seoul. 2013
Operación Hangover (India vs Pakistán). 2013
Operación MegaUpload. 2013
 SECTOR FINANCIERO COMO OBJETIVO PRINCIPAL
Operación PAYBACK. 2011 SEVERO
Riesgo Severo de Ciberataques
Abadil Operation (septiembre 2012)
Project Blitzkrieg e-banking (Diciembre 2012) ALTO

Niveles INFOCON
Operación Highroller (Junio 2012) • Riesgo Alto de Ciberataques
Operación EuroGrabber (Segunda mitad 2012)
AP Tweet White House Down (Abril 2013) ELEVADO
Riesgo Significativo de Ciberataques

PROTEGIDO
Riesgo General de Ciberataques

BAJO
Riesgo Bajo de CIberataques
 CIBERGUERREROS, CIBERCOMBATIENTES, CIBERSOLDADOS,
CIBERTERRORISTAS
Unidad 61398 PLA

MOTIVOS
•Crimen Organizado
•Afiliados A Estados ACTORES
•Activistas
 CIBERARMAS

Shamoon
Auriga
Stuxnet
Flame
GhostNet
Gauss
TITAN RAIN
LOIC
HOIC
SLOWLORIS
DRONES y CYBER Apache Killer
 CIBERARMAS: ANÁLISIS BÁSICO

Definición 10. Una Ciber Arma es un sistema basado en

tecnologías de Información (IT) que está diseñado para dañar
la estructura u operaciones de otros sistemas basados en
tecnologías de la información (IT)

Análisis de un CiberArma:
Rango, Capacidad de destrucción, Costo, Efecto, Implicaciones políticas

El costo para desarrollarlas es bajo

La materia prima no está restringida y es ampliamente disponible
Veloces, lanzadas desde cualquier lado en el mundo, y dirigidas hacia
cualquier objetivo en el mundo (Versatilidad y Propagación)
Uso Dual
Dificil ubicar instalaciones o bunkers de fabricación de CiberArmas
http://news.cnet.com/8301-
1009_3-57578567-83/u.s-air-force-
designates-six-cybertools-as-
weapons/

Sistema
de
Vehículo Navegaci
de ón
entrega

Carga

MISIL
PARADIGMAS DE GUERRA TRADICIONAL ADAPTADOS
A UNA GUERRA NO CONVENCIONAL

Reconnaissance: explorar más allá del área ocupada por las

Sistemas de Combate
fuerzas amigas/aliadas para obtener información vital sobre el
enemigo
C4ISR C5ISR
C4I
Surveillance (vigilancia): monitoreo del comportamiento, actividades
C3I del adversario
Comunicaciones: Canales, Redes Sociales, Email

C2I Inteligencia: Recopilación de información sobre el adversario (espionaje)

C&C Comando y Control: La capacidad de los comandantes de dirigir sus fuerzas: CISO, CEO, CSO, CRO
(C2)
PARADIGMAS DE GUERRA TRADICIONAL ADAPTADOS
A UNA GUERRA NO CONVENCIONAL….

Actividades para alcanzar superioridad en el Ciberespacio

 Operaciones Sicológicas (Psychological Operations)

 Engaño Militar (Military Deception)
 Seguridad en las Operaciones (Operations Security)
 Computer Network Operations: CNA (Computer Network Attacks),
CNE(Computer Network Exploitation), CND (Computer Network Defense)
 Guerra Electrónica (Electronic Warfare)
 EFECTO KINETICO
Las consecuencias de un ciberataque en el mundo real

A través de un ciberataque facilitar

un ataque convencional

Indirecto Ejemplos:
•La denegación de la función de un
sistema IT, tal como un radar, para
poder enviar aviones sin ser
detectados
•Malware para deshabilitar redes de
defensa
Directo
Los daños no son consecuencia
El ciberataque es el
directa del ciberataque, simplemente
agente directo
permitió una destrucción adicional
destructivo
por otros medios
 EFECTO KINETICO
Las consecuencias de un ciberataque en el mundo real

Aug 24, 2012 historia en el Washington Post contiene esta frase del Marine Lt.
General Richard P. Mills:

“Puedo decirles que como comandante en Afganistán en el año 2010, utilizamos

ciberoperaciones contra nuestros adversarios con un gran impacto.
Fuimos capaces de entrar en sus redes, infectar sus sistemas de comando y
control (C2), y de hecho así defendernos contra sus casi constantes incursiones
para entrar en nuestros sistemas, para afectar nuestras operaciones”

http://www.huffingtonpost.com/2012/08/24/afghanistan-cyber-attack-richard-mills_n_1828083.html
 SOBERANÍA DIGITAL
¿La Soberanía Nacional Digital (Integridad Territorial) existe en un entorno sin fronteras
como lo es el Ciberespacio ?

Asunto de Neutralidad: El lanzamiento de un ciberataque de una nación a otra viola la

neutralidad de todas las naciones que atraviesa?
EL PROBLEMA DE LA ATRIBUCIÓN
oEl Ciberespacio ofrece a los atacantes
anonimato, es difícil rastrear el origen y/o
autor de un ataque

oExiste la Negación Admisible (Plausible

Deniability)

oAnálisis de la Disuasión

http://edition.cnn.com/2013/03/22/world/asia/south-
korea-computer-outage/index.html
 LA MEJOR DEFENSA ES UN BUEN ATAQUE!!!

…en algunas estrategias de Operaciones CiberOfensivas:

Ciberseguridad Nacionales:
•El Desarrollo de capacidades
Ofensivas en el Ciberespacio por
parte del Estado
•Guías para que empresas de CIIP
desarrollen ciberoperaciones
Actividades que, a través del uso
del ciberespacio, recopilan
información de sistemas de
información, computadores, o
redes, o manipulan, interrumpen,
degradan, o destruyen sistemas de
cómputo, redes y sistemas de
información
DoD Glosario

Los negocios tienen ese derecho?

Es Ético lanzar una ciberarma?
http://www.time.com/time/nation/article/0,8599,1957679,00.html
UN CENTRO DE EXCELENCIA

Establecido en Mayo
2008, para mejorar la
capacidad de
ciberdefensa de los
países miembro de la
OTAN.

Educación, Investigación,
Desarrollo, Consultoría
 EL GRAN APORTE DEL
CENTRO DE EXCELENCIA
95 Reglas…
Soberanía
Jurisdicción
Ciberarmas: proporcionalidad y control
Neutralidad
Inmunidad
Control de Infraestructura crítica
Uso de la fuerza
Ataques contra civiles
Medios y métodos
Asistencia Humanitaria
Hacktivistas como objetivo militar
Consideraciones para considerarse acto de ciberguerra
 LA CIBERGUERRA: ¿REALIDAD, INCIERTA?

http://news.cnet.com/8301-1009_3-57565763-83/cyber-9-
11-may-be-on-horizon-homeland-security-chief-warns/
http://www.france24.com/en/20130715-cyberwar-reality-world-
must-fight-un-official

“Los EEUU están peleando una Ciberguerra

http://www.semana.com/mundo/articulo/china-ataque-
hoy, y la estamos perdiendo“ former NSA cibernetico/334287-3
director -- -- Mike McConnell
Estados Unidos está enfrentando la
posibilidad de un Ciber-Pearl Harbor
Leon Panneta (2012: Secretario de Defensa)
ESTRATEGIAS DE CIBERSEGURIDAD Y CIBERDEFENSA
A NIVEL GLOBAL

Executive Order 13636

 CARACTERÍSTICAS DE LAS ESTRATEGIAS DE
CIBERSEGURIDAD
Enfoques a largo plazo
Alineado con la agenda de defensa del país
Define una Política de Ciberdefensa para alcanzar un mínimo nivel
aceptable de Ciberseguridad No todas hablan de Resilience
Protección de la Infraestructura Crítica Nacional No todas hablan de Actividades
Colaboración entre el sector público y sector privado Ciber Militares
Entrenamiento
Perspectiva de sostenibilidad y crecimiento económico
Programa de gestión de riesgos nacional
Colaboración Internacional
Educación al ciudadano
Respuesta a Incidentes
Actividades contra el CiberCrimen
Manejo de Crisis
LAS INICIATIVAS, EN PRO DE LA CIBERSEGURIDAD
¿ÉSTA FOTO ES DE
UN LATINCACS ?
¿NUESTRO PERSONAL ESTÁ ENTRENADO PARA UNA
EVENTUAL CIBERGUERRA?
Algunas Habilidades Base:

Identificación de Amenazas (Identificar vectores de ataque y

como defenderse contra estas amenazas)
•Respuesta a Incidentes
•Análisis de Malware
Identificar métodos para encontrar malware y desempeñar
análisis forense
Reconocimiento detallado (Detailed Recon)
Determinar las características del objetivo, los adversarios
y el campo de batalla
Explotar objetivos y Actividades Post-explotación
Informática Forense Ofensiva
Contra Inteligencia Utilizando técnicas forenses para ubicar, procesar y extraer
Reverse-Engineering datos
Network/System Evasion •Exfiltración de Datos Ofensiva
Y Mientras tanto uno de los más grandes Ciberataques a Wall
Street…
…pero no se preocupen, es solo un
simulacro, llamado Amanecer
Quantum 2
Cybersecurity Exercise: Quantum Dawn
2 (Julio 2013)
Securities Industry and Financial
Markets Association (SIFMA)

http://www.nato.int/cps/en/
natolive/news_82213.htm
http://www.sifma.org/services/bcp/cybersecurity-
exercise--quantum-dawn-2/
Cyber Coalition 2011 Excercise (13 a 15 de Diciembre 2011)
Para probar las capacidades de Ciberdefensa de los aliados
a la OTAN.
Procedimientos de trabajo para responder a ciber ataques
de gran escala
 ¿Y QUÉ DE LAS VULNERABILIDADES DE LAS APLICACIONES
HECHAS EN LATINOAMÉRICA?

NACIONES COMPRAN CUANDO HACKERS VENDEN

FALLAS EN SOFTWARE
http://www.nytimes.com/2013/07/14/world/europe/nations-buying-as-
hackers-sell-computer-flaws.html?partner=rss&emc=rss&_r=0
GUÍAS DE ISACA PARA PROFESIONALES, A PROPÓSITO DE
CIBERGUERRA

8 Principios para
Transformar la
Ciberseguridad.

Principio 1. Conocer el
Impacto Potencial del
Cibercrimen y la Ciberguerra
 20 CONTROLES DE SEGURIDAD CRÍTICOS PARA UNA
EFECTIVA CIBERDEFENSA

Lo que necesitamos
hacer justo ahora
para proteger
nuestra organización
de ataques conocidos

http://www.sans.org/critical-security-controls/
CONSIDERACIONES FINALES
 COSAS QUE EL SECTOR PRIVADO DEBERÍA EXIGIR AL
GOBIERNO EN TORNO A CIBERSEGURIDAD

Una institución financiada por el gobierno,

para investigaciones básicas y detección
temprana de riesgos en sistemas comerciales
hechos en la región

Un sistema de soporte legal y financiero,

para compañías PYME y Startup, que no
pueden permitirse gastar su dinero y tiempo
en preocupaciones sobre la seguridad de sus
sistemas
 CONSIDERACIONES FINALES

Usted puede no estar

interesado en la CiberGuerra,
pero la CiberGuerra está
interesada en usted

Adaptación de la frase original de

Leon Trotsky.

Source: NATO CYBERPROGRAM

 GRACIAS

Ronald Fabian Garzón

CRISC, CISM, CISSP fabian.garzon@iqcol.com
PCI QSA, PCIP, ISMS Auditor
GSEC, GCIA, CCNA R&S, CCNA Sec
 BIBLIOGRAFÍA

•2013 DATA BREACH INVESTIGATIONS REPORT, Verizon. ww.verizonenterprise.com/DBIR/2013

•Hacktivismo. El ciberespacio: nuevo medio de difusión de ideas políticas. Reporte de McAfee
2012
•Insight Report Global Risk 2012 Seventh Edition. Worl Economic Forum
•Insight Report Global Risk 2013 Eight Edition. Worl Economic Forum
•On CyberWarfare; Fred Schreier. 2012
•Cyberwarfare; IEEE Security & Privacy. Septiembre-Octubre 2011.
•Tallin Manual on the International Law Applicable to Cyber Warfare. NATO CCDCoE. 2013
•ISO 27032:2012