El incremento de la interconexión digital entre personas, organizaciones y cosas (IoT) acentúa la importancia de los temas de seguridad relacionados con el Ciberespacio, el cual fue reconocido por la OTAN en el 2016 como el quinto campo de operaciones militares, sumándose al aire, la tierra, el mar y el espacio[1]. Dicho incremento complica dramáticamente las labores de seguridad en el Ciberespacio, pues se suma a un incesante aumento de las actividades ilícitas que ahí acontecen.

Se estima que la economía global ligada con el Cibercrimen asciende a un mínimo anual de $1.5 billones de dólares[2], según un estudio enfocado en el seguimiento de los ingresos generados por los cibercriminales, presentado en la conferencia de RSA del 2018. En el Reporte del Riesgo Global 2019[3], emitido por el Foro Económico Mundial (FEM), se ubican dos riesgos pertenecientes a la categoría “Tecnológica” dentro de la lista de aquellos con mayor probabilidad de suceder: el “Fraude y Robo de datos” y los “Ciberataques”, mismos que ocupan el cuarto y quinto sitio de esta lista, respectivamente, siendo rebasados solamente por riesgos referentes a factores ambientales. Los Ciberataques, además, se encuentran dentro de los riesgos considerados de alto impacto, como puede observarse en la imagen del panorama global de riesgos de 2019 del FEM:



Imagen 1 – Panorama global de riesgos 2019 (FEM)

#MéxicoMágico

El sector financiero ha sido uno de los más afectados por el Cibercrimen a nivel global. Desde hace algunos años se han presentado incidentes en los que los cibercriminales obtienen dinero directamente de las instituciones financieras mediante el compromiso del sistema internacional de transacciones, conocido con el nombre de SWIFT. La mayor afectación monetaria realizada de esta manera asciende a 81 millones de dólares, extraídos del Banco Central de Bangladesh. Aunque este tipo de acontecimientos pudieran parecer lejanos a México, no es así, pues el comportamiento reseñado fue replicado por cibercriminales que a inicios del 2018 intentaron realizar transferencias por 110 millones de dólares, desde el acceso al sistema SWIFT perteneciente al Banco Nacional de Comercio Exterior (Bancomext) [4], mismas que fueron detectadas y detenidas a tiempo. El Banco de Chile no tuvo la misma fortuna al perder 10 millones de dólares en un ataque del mismo tipo, sucedido en mayo de 2018[5].

El intento fallido de afectación a Bancomext no ha sido el único incidente cibernético relacionado con transacciones financieras que ha ocurrido en México. En 2018 se presentó una ola de ataques cibernéticos en los que se realizaron transferencias no reconocidas provenientes desde distintas instituciones financieras. Estos movimientos fueron dispuestos a través del Sistema de Pagos Electrónicos Interbancarios (SPEI) como lo plasma el Banco de México (Banxico) en un extracto de su informe Trimestral Enero – Marzo 2018[6].

SPEI es un sistema complejo desarrollado y operado por Banxico conformado por distintos elementos, algunos de ellos pertenecientes a los participantes inscritos al sistema. Así, SPEI implica la interacción de una gran variedad de elementos de hardware y software que en conjunto permiten a los usuarios finales realizar transferencias electrónicas. La complejidad intrínseca a este tipo de sistemas aumenta el riesgo ante ataques cibernéticos, pues la falla de uno de sus elementos puede derivar en el uso indebido de los mismos.

De la información disponible sobre los incidentes cibernéticos relacionados con SPEI es posible identificar dos componentes humanos esenciales para su comisión. El primero de ellos es el responsable de las actividades cibernéticas enfocadas en el compromiso de los sistemas de las entidades financieras para realizar las transferencias no reconocidas. El segundo elemento es el encargado de realizar el retiro del efectivo procedente de dichas transferencias, mejor conocido como mulas. Además, para que las actividades anteriores resulten exitosas es necesaria la intervención de otros actores clave encargados del entendimiento de distintos aspectos de operación y de negocio de las instituciones afectadas.

Bajo este escenario, resulta preponderante tomar acciones orientadas al robustecimiento de la ciberseguridad de las instituciones y entidades que operan en México, siendo cada uno de los implicados el responsable de robustecer sus elementos tecnológicos disponibles a través del Ciberespacio.

Ejercicios Ofensivos

Uno de los elementos útiles para el robustecimiento de la seguridad del Ciberespacio son los ejercicios ofensivos. Entiéndase el término de ejercicios ofensivos como aquellas acciones enfocadas en simular las actividades realizadas por los atacantes que podrían derivar en distintos hechos que van desde afectaciones monetarias, como los casos de SPEI, hasta el compromiso de información sensible. Durante estos ejercicios se consideran escenarios de amenazas internas y externas.

En México existe una confusión frecuente sobre los distintos tipos de ejercicios ofensivos existentes debido al uso indiscriminado de los términos relacionados con estas actividades. Tal es el caso del término de análisis de vulnerabilidades que suele confundirse con las pruebas de penetración cuando en realidad son actividades con alcances diferentes. El primero de ellos se limita a la identificación de las vulnerabilidades por lo que no cae en la definición de ejercicios ofensivos realizada antes, pues los cibercriminales no sólo identifican las vulnerabilidades, si no que proceden a su aprovechamiento, lo que sí se considera en el alcance de las pruebas de penetración. Entender este tipo de diferencias permite vislumbrar que cada una de estas actividades requiere de un nivel de especialización distinto, así como una ejecución con una duración diferente.

Existen otro tipo de ejercicios ofensivos denominados Red Team que resultan ser más intrusivos al estar apegados a escenarios de ataques en los que se recrean las Tácticas, Técnicas y Procedimientos utilizadas por atacantes sofisticados, lo que en consecuencia implica un mayor nivel de especialización. Las actividades de Red Team están enfocadas en evaluar el programa completo de seguridad y determinar si está funcionando adecuadamente. En la siguiente imagen se muestran los distintos ejercicios ofensivos en función del nivel de especialización que demandan, en la que se ha excluido el análisis/gestión de vulnerabilidades de este rubro:

Imagen 2 Ejercicios ofensivos en función de la especialización requerida para su ejecución

Es tan trascendental la ejecución de los ejercicios ofensivos que en distintas partes del mundo se está buscando que estas actividades se apeguen a escenarios reales de ataque. Por ejemplo, el Banco Central Europeo emitió un documento (TIBER-EU[7]) dirigido a las entidades financieras de Europa cuyo objetivo es definir un marco que permita la implementación de un programa de pruebas orientadas a mejorar la resiliencia ante ciberataques sofisticados. Este tipo de esfuerzos son el resultado de la preocupación generada por la evolución de los riesgos cibernéticos actuales y emergentes. Preocupación que, debido a los incidentes ocurridos en los últimos dos años, ha empezado a tomar mayor relevancia en México.

En materia de Ciberseguridad, los esfuerzos de las empresas en México van desde la implementación y puesta a punto de soluciones tecnológicas en distintos niveles hasta el desarrollo de planes y preparación de las personas. Como parte de estas acciones se realizan algunas actividades que suelen considerarse como ejercicios ofensivos (obligatorios en México para sectores como el financiero). Sin embargo, algunas prácticas frecuentes impiden que los resultados obtenidos durante estos ejercicios realmente aporten valor a otros procesos de seguridad como el análisis de riesgos, llegando incluso a tener valoraciones inexactas o totalmente equivocadas. A continuación se exponen algunas de ellas:

  • Alcance restringido. La evaluación de los distintos componentes tecnológicos de hardware y software suele realizarse con un enfoque puntual; es decir, sin considerar el entorno completo en el que se encuentran desplegados los sistemas de interés, como si se encontraran aislados. La realidad es que los atacantes no tienen este tipo de restricción. Además, normalmente se prescinde de la evaluación del capital humano, siendo éste uno de los objetivos predilectos de los atacantes.
  • Análisis basados en la ejecución de herramientas automáticas. Aunque estas herramientas tienen resultados muy útiles, no son capaces de valorar escenarios más elaborados, tales como los utilizados por los atacantes. Estos escenarios podrían resultar de la simple combinación de dos o más hallazgos individuales realizados de manera automática. Las amenazas reales de las entidades financieras son los atacantes que tienen la convicción, la oportunidad y la capacidad para realizar actividades maliciosas que no se basan sólo en el resultado de las herramientas automáticas.
  • Habilidades técnicas limitadas por parte de los consultores. Un consultor que no cuenta con las habilidades técnicas especializadas y experiencia en la ejecución de pruebas ofensivas, podría omitir la identificación de vulnerabilidades relevantes potencialmente aprovechables. Además, no sería capaz de realizar una revisión exhaustiva del entorno en el que se encuentra una vulnerabilidad que, por sí misma, pudiera representar una severidad baja/media, pero que un atacante con las habilidades suficientes podría aumentar a un rango alto o crítico al considerar el contexto completo.
  • Consultores con enfoque exclusivamente técnico. Existe un déficit de expertos que cuenten con los conocimientos y habilidades necesarias para explicar los resultados de los ejercicios ofensivos en términos funcionales y de negocio a personas con perfiles distintos a los tecnológicos, lo que suele reflejarse en una percepción equivocada de la severidad de los hallazgos relevantes.
  • Contratación de ejercicios ofensivos con base en el menor precio. La ejecución de herramientas automáticas requiere un menor tiempo y especialización en comparación con las revisiones del tipo Red Team, lo que en consecuencia impacta en el precio. Con frecuencia, la decisión de cómo hacer un ejercicio ofensivo se toma únicamente con base en el precio, lo cual impide la realización de análisis que simulen amenazas reales.
  • Postura o enfoque de cumplimiento. Existe un enfoque de seguridad orientado solamente en el cumplimiento, para el cual es suficiente la existencia de un reporte que permita aprobar auditorías no exhaustivas, independientemente de la calidad de las pruebas realizadas y de los resultados obtenidos.

Implicaciones

Considerando que de manera general el riesgo está constituido por la interacción de las amenazas, vulnerabilidades y su impacto, la oquedad asociada a la falta de ejercicios ofensivos efectivos invalida el análisis de riesgos de ciberseguridad al no conocer las vulnerabilidades reales existentes en los componentes tecnológicos y humanos. El panorama empeora ante la ausencia de mecanismos que permitan determinar cuáles son las amenazas cibernéticas presentes en el entorno del Ciberespacio nacional, lo cual solo puede realizarse mediante la colaboración de los distintos entes con presencia en dicho entorno. Esta es la principal razón por la cual se está trabajando para crear las condiciones necesarias que permita realizar el intercambio de información útil para esta tarea[8]. La ejecución de los ejercicios ofensivos aunada a la identificación de las amenazas en el Ciberespacio mexicano siguen con lo estipulado por Sun Tzu en su famoso libro “El arte de la guerra”: “conócete a ti mismo y conoce a tu enemigo”.

Es necesario aclarar que la simulación especializada de las actividades realizadas por los atacantes no implica que los elementos evaluados sean completamente seguros, ya que no existe certeza total en términos de seguridad, mucho menos en un entorno hostil como lo es el Ciberespacio. Una de las principales consecuencias de este tipo de ejercicios debe ser la remediación oportuna de las vulnerabilidades detectadas, con lo cual se mitigaría el riesgo asociado a las mismas. Se debe tener en cuenta que el impacto acumulado inherente a pequeñas fallas es el que a menudo causa que los sistemas colapsen, al ser aprovechadas por los atacantes.

El mejor enfoque

Los ejercicios ofensivos no se excluyen entre sí, se complementan entre ellos. Con este enfoque, lo más recomendable es realizar una identificación y gestión de vulnerabilidades que se fortalezca con la ejecución periódica de ejercicios ofensivos que incluyan pruebas de penetración que consideren al capital humano (ingeniería social) y la infraestructura tecnológica, así como pruebas del tipo Red Team que evalúen el correcto funcionamiento de los distintos controles de seguridad implementados. Los factores clave para que este tipo de ejercicios resulten efectivos son: a) habilidades técnicas adecuadas y b) pruebas exhaustivas que consideren el entorno tecnológico y las reglas del negocio. De esta forma se podrá contribuir de manera realmente efectiva a una evaluación adecuada de riesgos desde la perspectiva de vulnerabilidades tecnológicas.

En la actualidad, los ataques cibernéticos incluyen etapas de reconocimiento sofisticadas, tanto en el ámbito tecnológico como en el operativo, del negocio que pretenden vulnerar, pues los atacantes saben que la probabilidad de que resulten exitosos depende del reconocimiento realizado. Este tipo de actividades maliciosas no están aconteciendo solamente en geografías remotas, como se supone con frecuencia. Están ocurriendo en México, como lo documentó en primicia MNEMO-CERT en su aviso de seguridad emitido en Octubre del 2017[9]. En este aviso MNEMO-CERT alertó sobre una campaña de ciberataques dirigida a instituciones del sector financiero en México, descubierta por su unidad de Inteligencia de Amenazas, que tenían como objetivo la realización de transferencias no reconocidas utilizando el SPEI. La alerta de MNEMO-CERT fue emitida 6 meses antes de que ocurriera otra campaña de ciberataques dirigida a entidades financieras que operan en México, en Abril de 2018, la cual tuvo un impacto mayor debido a que afectó a un número importante de entidades del sector.

MNEMO-CERT proporciona servicios de Ciberseguridad y Ciberinteligencia para prevenir, detectar y responder a amenazas cibernéticas específicas con base en las necesidades y características de cada organización y cada sector. Cuenta con un equipo especializado en identificación de amenazas y respuesta a incidentes con reconocimiento global. Entre los servicios especializados que ofrece se encuentra el de ejercicios ofensivos, enfocado en la evaluación de activos tecnológicos y humanos, con el compromiso de entregar resultados de valor que contribuyan a conformar un ambiente cibernético mexicano más seguro.