ciber-ataques 101
TRANSCRIPT
Gonzalo CuatrecasasDirector Master en Dirección de Sistemas Online Business School
Ciber-ataques 101El ecosistema de la seguridad cibernética es un equilibrio entre protecciones y amenazas. Las organizaciones que todavía no han sufrido un ciber-ataque; o no lo saben; o es sencillamente una cuestión de tiempo. Por lo que se refiere a las personas, todas las que nos conectamos a internet, somos o hemos sido víctimas de acciones malintencionadas.
El mundo cibernético actual sostiene los nuevos canales de relación social y comercial que proporcionan beneficios muy importantes en términos económicos y sociales. Los intercambios de información independiente de fronteras políticas y culturales dan paso a la creación de nuevas relaciones de interacción entre personas, entre organizaciones e incluso entre maquinas. Pero, es donde hay beneficios, que encontramos intereses, y donde hay intereses también hay delincuencia. Nuestro nuevo mundo cibernético sin estructuras políticas y sociales, también alberga atacantes en busca de dividendos, producto de los activos que se intercambiamos en el Internet. Estos atacantes, que en nuestro caso los llamaremos ciber-delincuentes, están compuestos desde individuos oportunistas, más o menos desorganizados, hasta grupos muy bien financiados, con técnicos altamente cualificados y con los recursos necesarios para poner en cuestión cualquier marco de seguridad.
El propósito de los ciber-delincuentes es aprovechar las brechas de seguridad que el propio ecosistema de Internet recoge y reconducir la información necesaria para generar beneficios ilícitos. Por consiguiente, los mecanismos utilizados para conseguir entrar en los sistemas de comunicación, sistemas operativos o aplicaciones, e interceptar procesos, extraer información o alterar datos en Internet los llamamos ciber-ataques.
Todas las organizaciones, gobiernos, administraciones, e individuos con sistemas, electrónica de red y dispositivos conectados a Internet son posibles puntos de foco para ser atacados cibernéticamente. Las organizaciones e individuos que ya han tenido ciber-ataques; o estaban preparados para rehusar el ataque; o tuvieron una pérdida de información más o menos critica; o fueron infectados y tuvieron que recuperar sus datos i/o infraestructuras; o no estaban preparadas y sufrieron mucho para restablecer la normalidad operativa. En cualquier caso, la realidad es que nadie sale desapercibido de un ciber-ataque. ¿Cómo estás tú, y tu organización?
En este breve documento queremos presentar, explorar y contrastar como la realidad de los ciber-ataques y ponen en perspectiva nuestra relación con el Internet tanto a nivel personal como profesional.
¿Por qué existen los Ciber-ataques?La Revolución Industrial se inició en la segunda mitad del siglo XVIII. Durante este periodo se vivió el mayor conjunto de transformaciones económicas, tecnológicas y sociales de la historia de la humanidad que vio el paso desde una economía rural basada, fundamentalmente en la agricultura y el comercio, a una economía de carácter urbano, industrializada y mecanizada. Este proceso de transformación económica, social, política y tecnológica se vio retroalimentado por la revolución tecnológica1 del siglo XX, alcanzando una escala global en el siglo XXI. Lo que muchos de nosotros hemos ido llamando globalización, ha sido posible por la creciente
comunicación e interdependencia entre los distintos países del mundo que han ido uniendo sus mercados, sociedades y culturas. Con ello las economías locales se han ido integrando a una economía de mercado capitalista mundial
1 Evolución Tecnológica - https://es.wikipedia.org/wiki/Evoluci%C3%B3n_tecnol%C3%B3gica
La Internet es el denominador común para el intercambio de información interplanetaria y
todos los ciberataques funcionan sobre ella
donde los modos de producción y los movimientos de capital se ejecutan a escala planetaria cobrando mayor importancia el rol de las empresas multinacionales y la libre circulación de capitales. La estructura de la nueva economía2 junto con la implantación definitiva de la sociedad de consumo, ha sido posible gracias a la gran infraestructura tecnológica que llamamos Internet.
La Internet es el denominador común para el intercambio de información interplanetaria y todos los ciber-ataques funcionan sobre ella. Es decir una empresa o persona que no esté conectada a Internet, no es propensa a ser atacada. Por el contrario, el uso de Internet para interconectar sistemas, acceder aplicaciones, alimentar dispositivos o interconectar sensores (M2M3) son las vías principales de acceso para los ciber-delincuentes.
El objetivo de los Ciber-ataquesDesgraciadamente a medida que seguimos incrementando la interconectividad de dispositivos, sistemas y redes a todos los niveles mercantiles y sociales, aumentamos la cuantía de información para los ciber-delincuentes, que aprovechan la ignorancia técnica, las brechas de seguridad y el exceso de confianza de los usuarios, para conseguir dinero, venganzas y acceso a información.
“La famosa frase ‘porque ahí es donde está el dinero’4, también la podemos aplicar a los ciber-ataques, ya que según Websense5, el robo de credenciales para futuras actuaciones sobre activos financieros, el robo de datos secretos comerciales para obtener una ventaja competitiva y la venganza son los son los principales motivos de los criminales cibernéticos. Para conseguir sus objetivos, los hackers están invirtiendo enormes recursos para atacar cantidades desproporcionadas de cualquier rincón del internet por donde se podría extraer información que aporte a conseguir un saqueo, chantaje o desagravio.
En una sociedad de servicios, la información es reina y el objetivo principal de los ciber-ataques es hacerse con información ilícitamente. Este objetivo conocido como exfiltrar información, da paso a las acciones finales de fraude y chantaje como el robo de dinero y extorsión financiera. Es lógico entender entonces que la mitad de los ciber-ataques que se producen en España afecten a las entidades financieras. Pero es, Estados Unidos quien recibe la mayoría de las amenazas. Según el Banco Central Europeo (IEB), detrás del Reino Unido, España es el tercer país que más ciber-ataques recibe mediante software malicioso o malware instalado en los ordenadores de los usuarios. Por consecuencia, las entidades españolas gastan unos
14.000 millones de euros al año en reforzar la seguridad en Internet. Son unos 50.000 trabajadores se dedican a este campo y la facturación anual en prevención supera los 6.000 millones de euros. Esta inversión permite a las empresas disponer de sistemas capaces de detectar en tiempo real actuaciones
incoherentes de los clientes y prevenir así el fraude. Tanto es el riesgo, que las entidades analizan cambios en los patrones de uso y navegación del cliente online, ya sea por su localización geográfica, la plataforma habitual del usuario, u otras alteraciones biométricas que manifiestan sesiones atípicas que podrían provenir de accesos fraudulentos6.
Dentro de las estrategias preferidas, los ciber-delincuentes crean campañas de ataque con un bombardeo constante de bajo perfil para mantener ocupados a los profesionales de seguridad que tienen que lidiar con una gran cantidad de distractores mientras que se están realizando ataques dirigidos de ofuscación y envenenamiento de motores de búsqueda al mismo tiempo.
Además de la suplantación de accesos para la extracción de dinero, las instituciones también sufren ataques para extraer información clasificada, tarjetas de crédito, datos médicos y acceso
2 Nueva Economía - https://es.wikipedia.org/wiki/Nueva_econom%C3%ADa3 Machine to Machine - https://es.wikipedia.org/wiki/M2M4 Atribuida al ladrón de bancos Willie Sutton - https://en.wikipedia.org/wiki/Willie_Sutton5 Websense - http://es.websense.com/content/home.aspx6 Expansion.com - http://www.expansion.com/2015/02/03/empresas/banca/1422993733.html
La exfiltracion de información da paso a las acciones finales de
fraude y chantaje beneficios
al Internet de las Cosas (IoT7). Este último corresponde a un abanico de dispositivos y elementos interconectados, públicos o privados, que según CISCO abarca más de 25.000 millones en el 2015 y llegara a más de 50.000 millones de dispositivos y sensores interconectados en el año 2020. El el riesgo del ‘Internet de las Cosas’, ya lo estamos viviendo con la alarma reportada por BBC acerca de los ‘Smart TV espías’ de Samsung,. Y lo mismo se podrá aplicar a smartwatches, neveras conectadas, ordenadores de coche, etc.
No obstante los ataques a las organizaciones y administraciones corresponden al grueso de los ciber-ataques, los usuarios ‘corrientes’ también corremos riesgos cibernéticos. Los ladrones tecnológicos también están interesados en la substracción de nuestros datos para su venta o para suplantar nuestra identidad personal, profesional, e incluso presencial. Asimismo, los riesgos incrementan y se multiplican en una sociedad donde, cada día más, se nos pide que nos conectemos a una web o app para gestionar quehaceres que tradicionalmente gestionábamos personalmente. También, cada vez más, se crean nuevos canales digitales y modelos de interacción con y entre usuarios, que sencillamente no existían en el pasado. Por consecuencia, si antes sólo corríamos algún riesgo de virus o troyanos al usar el ordenador, ahora tenemos todo un universo de problemáticas de seguridad para cada dispositivo, aplicación y otros aparatos con conexión a internet. Todos susceptibles de ser penetrados sin autorización.
El Informe Sociedad de la Información en España reporta que más del 80% de teléfonos móviles en España son smartpones, siendo este el país con mayor penetración de la UE-58. De ahí, el 71% (equivalente a 23 millones) somos usuarios activos de las apps9. Por consecuencia, nuestro bolsillo aloja una multitud de datos con los que realizamos montones de operaciones que pueden ser interceptadas. Con ellos hacemos transacciones que creemos seguras. Ya sea operar con nuestro banco o comprar online. Sin entender claramente los riesgos asociados a la tecnología que nos permite hacerlo en primer lugar. Por ejemplo, el pago por tarjeta de una compra on-line en un dispositivo móvil, podría conllevar a la pérdida del número de tarjeta, la fecha de caducidad y el CCV. Y no por negligencia nuestra en la selección de la plataforma de compra, ni tampoco por nuestro descuido con el trato de la tarjeta o la posible observación de la pantalla por un extraño, sino por la ignorancia tecnológica sobre el canal de comunicación (WiFi, GPRS…). El alojamiento de nuestro correo electrónico en una empresa de servicios de internet podría ser otro buen ejemplo de nuestra dependencia tecnológica. Ya que nosotros creemos que los servidores encargados de gestionar nuestros emails son seguros, pero en realidad ni lo sabemos, ni podemos saberlo.
En el mundo de la ciber-delincuencia todo vale para alcanzar los objetivos. No hay, ni normas ni limites en los métodos utilizados para conseguir extraer datos que generen algún valor (mayormente económico). Por consiguiente las dos cuestiones en común relacionada con los ciber-ataques son; la voluntad de defraudar por algún experto entusiasta (hacker10), y el acceso al internet.
¿Cómo se forman los ciber-ataques?Como ya hemos expresado, el objetivo de un hacker es exfiltrar información, suplantar una identidad o ganar acceso de forma fraudulenta para actuar ilícitamente sobre un proceso. Para conseguirlo hay varios mecanismos y herramientas que podríamos clasificar dentro de seis grandes áreas. Estos elementos forman los componentes que utilizan los hackers para construir un ciber-ataque. Como veremos después, la extensa combinación de elementos y herramientas es lo que conduce a la gran dificultad de prevención y supresión de los ciber-ataques. 7 Internet of Things - https://es.wikipedia.org/wiki/Internet_de_las_cosas8 Sociedad de la Informacion en España 2014 - http://www.fundaciontelefonica.com/arte_cultura/publicaciones-listado/pagina-item-publicaciones/?itempubli=3239 http://www.theappdate.es/iv-informe-estado-apps-espana/10 Hacker – https://es.wikipedia.org/wiki/Hacker
A) Código malicioso (m alware) . En este mundo encontramos todas las variedades de software diseñado con el único objetivo de alterar procesos normalizados. Ya sea engañando, escondiendo, copiando, extrayendo o reconduciendo información, el malware es código “malicioso”, que al igual que un parasito, se alimenta de un sistema saludable y añade o altera acciones no intencionadas.
Son muchas y muchas las diferentes tipos de malware. También se propagan de formas muy distintas e incluso se usan en conjunto. Eso sí, al igual que los parásitos, normalmente el malware necesita un anfitrión llamado sistema operativo (OS). Por ello, la mayoría de malware son específicos para un OS o aplicación, e incluso una única versión del mismo. Es por ello que las actualizaciones de los OS frecuentemente ayudan en el control de malware.
Cada clase de malware tiene sus propias características, afectan el dispositivo anfitrión de distintas maneras e incluso algunos tienen la capacidad de infección. Algunas veces vienen dentro de un programa que estamos instalando o de una aplicación que nos hemos bajado. En otros casos utilizan alguna vulnerabilidad en el sistema operativo o el navegador para ser introducidos sin nuestro consentimiento. Pero frecuentemente son instalados por alguna acción nuestra, como abrir un archivo adjunto de correo, la descarga de un fichero de Internet o el acceso a webs no seguras o de dudosa reputación. Profesionales del sector clasifican los malware de varias maneras según el informe. En general los principales tipos de malware son los siguientes:
i. Virus - La característica principal de este malware es al ejecutar un programa que está infectado, el código del virus queda alojado en la memoria RAM del dispositivo y se copia a sí mismo.
ii. Spyware (Software espia), Este tipo de software malicioso accede datos sobre una persona u organización sin el conocimiento, ni consentimiento del usuario. Normalmente el propio spyware envía estos datos a un punto central. Muchas veces spyware es el origen de otro ataque como el SPAM o el adware.
iii. Adware, Principalmente es software que despliega publicidad de distintos productos o servicios de manera no solicitada.
iv. Gusanos (Worms) , A diferencia de un virus los gusanos informáticos se propagan de dispositivo en dispositivo sin la ayuda de un usuario. Lo más peligroso de un worm es su capacidad para replicarse en memoria sin necesidad de alterar ningún archivo en el dispositivo. Por ello podría enviar cientos o miles de copias de sí mismo, creando un efecto devastador a gran escala.
v. Bomba lógica es un programa de malware que se instala en un dispositivo y permanece oculto hasta cumplirse una o más condiciones pre-programadas para entonces ejecutar una acción. A diferencia de un Virus, una bomba lógica no se reproduce por si sola.
vi. Keylogger monitoriza todas las pulsaciones del teclado y las almacenan para un posterior envío al creador.
vii. Stealers también roban información privada pero solamente la que se encuentra ya guardada en el equipo.
viii. Backdoor (puerta trasera) , es un método para para permitir acceso a una aplicación o dispositivo eludiendo los procedimientos habituales de autenticación. Las puertas traseras pueden venir configuradas en algún software, para permitir la
entrada de los atacantes a posteriori o pueden ser instaladas a través de troyanos, gusanos u otros métodos.
ix. Drive-by Downloads. Generalmente el término refiere a descargas de algún tipo de malware que se efectúa al visitar un sitio web sin consentimiento del usuario.
x. Rogue (Falso antivirus) es software que alerta el usuario de una insuficiencia de seguridad o infección u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a instalar un software malicioso que supuestamente elimina las infecciones.
xi. Exploits , son programas diseñados para “abusar” de los fallos o vulnerabilidades de los sistemas operativos para ejercer algún control sobre el mismo.
xii. Rootkit. Este tipo de malware permanece oculto al usuario modificando el sistema operativo de un dispositivo evitando que otro proceso malicioso sea visible o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador está infectado por un malware.
xiii. Ransonware son programas informáticos que restringe el acceso a partes o la totalidad de los archivos del sistema infectado, normalmente a través de un proceso de encriptación. Para poder des-encriptar o activar los archivos otra vez, se pide un rescate por transferencia a cuentas bancarias internacionales.
xiv. RAT (Remote Access Trojan) es un programa de malware que incluye una puerta trasera para el control facilitar el control remoto del equipo. Las Ratas son normalmente descargadas de forma invisible con algún otro programa o como archivo adjunto de correo electrónico. Una vez en el sistema, el intruso puede usarlo para distribuir Ratas a otros equipos vulnerables y establecer una red de bots.
B) Troyanos (Caballo de Troya) – como bien describe su nombre, se utiliza para transportar malware dentro de un archivo, programa, imagen, música, mensaje de correo electrónico, página Web u otro elemento de apariencia inocente que al ejecutarse descarga objetos infecciosos en el dispositivo.
C) XSS (Cross-Site Scripting11) - Aunque menos frecuente hoy en día, el uso de XSS sigue utilizándose para servirse de agujeros de seguridad en las aplicaciones web. Utilizando el propio código del programa en el cual queremos penetrar, se dirige al usuario a iniciar la sesión propia de la entidad o servicio, donde la URL y los certificados de seguridad parecen correctos.
D) Cracking es un mecanismo muy utilizado basado únicamente en la suplantación de identidad de sistemas de autenticación simple (usuario/contraseña). La posibilidad de ser víctimas de ataques de cracking o intrusiones no autorizadas se potencia a través de técnicas como ataques por fuerza bruta, ataques por diccionarios o híbridos.
E) Ataques distribuidos son mecanismos utilizados por los ciber-delincuentes para coordinar ataques.
i. Botnets (redes Zombie). Es un conjunto de ordenadores manejados a distancia gracias a la existencia de un software (malware) en común. Todos ejecutan de manera autónoma y automática un proceso para satisfacer un requerimiento de capacidad de cálculo y se usan para diversas actividades criminales y también para investigaciones científicas.
11 CSS - https://es.wikipedia.org/wiki/Cross-site_scripting
ii. Distributed Denial of Service (DDoS). Es un ataque muy común y con larga trayectoria el cual consiste en enviar una gran cantidad de tráfico desde varios ordenadores en la red (Botnets) hacia un sitio web hasta saturar el servidor donde se aloja el servicio, volverlo inaccesible a los usuarios normales.
F) Configuraciones predeterminadas conforman otra de las debilidades que comúnmente usan los ciber-delincuentes ya que corresponde a las configuraciones por defecto, tanto en los sistemas operativos, las aplicaciones y los dispositivos. Las configuraciones predeterminadas hacen que el ataque sea una tarea sencilla ya que sus parámetros son conocidos y publicados por los fabricantes.
G) Factor Insiders. Una de las formas más eficaces que posee un atacante para romper los esquemas de seguridad, es trabajando desde dentro del perímetro de la organización o conjuntamente con un empleado (colusión) desde el interior de la organización. Algunos estudios demuestran que el factor Insider es participe en una mayoría de ciber-ataques ya que, con motivación, un empleado que tiene la confianza de sus compañeros puede extraer mucha información confidencial y explotar puntos de acceso.
H) Ingeniería Social. Similar al factor Insider, o quizás la generalización del factor Insider son las estrategias de ataque que se basan en la persuasión y que están netamente orientadas a explotar las confianzas del factor humano. Si bien esta técnica no es nueva, en el mundo informático se explota con mucha frecuencia para la obtención de información sensible y/o confidencial de un usuario a través de redes sociales y otros sistemas. Normalmente estos ataques usan la ignorancia, negligencia o coacción, para permitir a un atacante obtener acceso o información no autorizada. De esta manera, eludiendo todos los esquemas y tecnologías de seguridad que se hayan implementado.
i. Es el conocido phishing el que se lleva la palma de la ingeniería social. Phishing (pronunciación inglesa de ‘pesca’) es el uso de ingeniería social por parte de los ciber-delincuentes para adquirir información confidencial de un usuario. El phisher a través del correo electrónico, mensajería instantánea e incluso por via telefónica, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial. Se considera pishing también, la lectura por parte de terceras personas de las letras y números que se marcan un teclado de dispositivo o computadora.
ii. Una de las formas más utilizadas de phishing, trata la manipulación en la estructura de un correo electrónico para lograr que un enlace parezca una ruta legítima de la organización por la cual se hace pasar el impostor. En otros casos también muy frecuentes, se utilizan comandos en la URL o en JavaScripts para alterar la barra de direcciones.
I) Amenazas persistentes avanzadas (APT). Pero quizás el ataque más malintencionado de phishing son las amenazas persistentes avanzadas (APT) y los ataques dirigidos. Estos han demostrado su capacidad para penetrar en las defensas de seguridad y permanecer ocultos durante meses, durmientes esperando una activación, sustrayendo datos sin sospecha o llevando a cabo acciones destructivas sin conocimiento de los responsables.
A diferencia de los ataques tradicionales que empiezan mapeando las redes y realizando tareas de ingeniería inversa e inteligencia para recolectar información acerca de posibles vulnerabilidades técnicas. Un ataque APT empieza con un mapeo de la parte humana de la organización y colecta información de los empleados. Durante los últimos años las APT
se han hecho muy sofisticadas y diversificadas en sus métodos y tecnologías. Al enfocarse en las personas, que son el eslabón más débil en la seguridad, las APT consiguen penetrar los componentes tecnológicos de seguridad más complejos como los firewalls y los sistemas de prevención con un menor esfuerzo.
Una parte de la complicación en la prevención de las APT se extrema cuando el origen de la infección proviene de empresas de confianza conectadas a nuestra red. En la mayoría
de estos casos, los portadores de las APT´s son desconocedores de su situación infecciosa hacia su cliente.
Tanto para extracción de información (Sabotaje, Venganza, Competitividad…) o extracción de dinero (robo, extorsión, cotización de valores, alteración de cuentas, fraude de tarjetas crediticias…), las técnicas de APT han probado ser tan exitosas que cualquier organización debería asumir que este tipo de ataques son inevitables para los que se lo proponen.
Por ejemplo, los casos de SONY Pictures y Sands demuestran una sofisticación y complejidad de ciber-ataque por venganza sin precedentes por su carácter político.
J) Ataques Remotos (Remote Attack - Remote exploit)12 - Un ataque a distancia es una acción maliciosa que se dirige a un ordenador o a una red de ordenadores. El ataque no afecta al equipo que el atacante está utilizando, sino que en su lugar el atacante encontrar puntos vulnerables en una computadora o software de seguridad en la red para acceder a la máquina o sistema objetivo. Hay varios tipos de ataques remotos basados en las herramientas y metodologías seleccionadas por el atacante para confeccionar el ataque13:
i. Utilizando el envenenamiento DNS (Domain Name Server) los hackers pueden engañar al servidor DNS de cualquier computadora haciendo pasar por legítima y auténtica cualquier información falsa. Esta es alojada en caché durante un cierto período, permitiendo a los atacantes escribir respuestas DNS de direcciones IP. Como resultado, los usuarios que intentan acceder a los sitios web "envenenados" descargarán virus o gusanos en lugar del contenido originalmente alojado.
ii. La desincronización TCP es una técnica utilizada en los ataques de secuestro TCP. Es provocada por un proceso en el cual la secuencia de números de los paquetes recibidos difiere de la secuencia numérica esperada. Los paquetes con tal secuencia son rechazados (o almacenados en el búfer si se encuentran presentes en la ventana de comunicación actual). Durante la desincronización, ambos extremos de la comunicación rechazan los paquetes recibidos, pudiendo los atacantes encontrarse con la posibilidad de infiltrar y proveer paquetes con una secuencia numérica correcta, pudiendo también manipular o modificar la comunicación. Los ataques de secuestro TCP tienen el objetivo de interrumpir la comunicación entre el servidor y los clientes o peer-to-peer. Muchos ataques pueden ser evitados utilizando la autentificación para cada segmento TCP.
iii. La exploración de puertos se emplea para determinar cuáles de los puertos del equipo se encuentran abiertos en un host de red. Un explorador de puertos es un programa diseñado para encontrar esos puertos. Un puerto de un equipo es un puerto virtual que maneja la información entrante y saliente – esto es crucial desde un punto de vista de seguridad. En una red extensa, la información reunida por los exploradores de puertos podría ayudar a identificar vulnerabilidades potenciales. Tal uso es legítimo. Sin embargo, la exploración de puertos es empleada usualmente por los hackers que intentan comprometer la seguridad. El primer paso consiste en el envío de paquetes a cada puerto. Dependiendo del tipo de respuesta, es posible determinar cuáles son los puertos que se encuentran en uso. La exploración en sí no ocasiona daño alguno, pero estar al tanto de esta actividad puede revelar potenciales vulnerabilidades y permitir a los atacantes la toma del control de equipos remotos.
iv. DoS, o Denial of Service (Denegación de Servicio), es un intento para hacer que un equipo dentro de una red no se encuentre disponible para los usuarios. Los ataques DoS obstruyen las comunicaciones entre los usuarios afectados, impidiendo que continúen funcionando. Un método de ataque común consiste en la saturación del equipo al cual se apunta con solicitudes de comunicaciones externas, de modo que ese equipo no pueda responder al tráfico legítimo o lo haga lentamente y se presente como efectivamente no disponible.
12 Remote Attack - https://www.techopedia.com/definition/4078/remote-attack13 Base de conocimiento ESET - http://soporte.eset-la.com/
Tales ataques usualmente conducen a una sobrecarga del servidor. Los equipos expuestos a ellos suelen necesitar el reinicio para poder funcionar de manera correcta nuevamente. Los objetivos de los ataques DoS son los servidores web y su propósito consiste en que no se encuentren disponibles para los usuarios durante un período determinado.
v. SMBRelay y SMBRelay2 son programas especiales que poseen la capacidad de llevar a cabo ataques contra equipos remotos. Los programas toman ventaja del protocolo para compartir archivos SMB que se encuentra dentro del NetBIOS. Un usuario que comparte cualquier carpeta o directorio LAN es probable que utilice este protocolo. Dentro de la comunicación de la red local los hashes de contraseñas son intercambiados. SMBRelay recibe una conexión sobre el puerto UDP 139 y 445, retransmite los paquetes intercambiados por el cliente y el servidor y los modifican. Luego de conectarse y autentificarse, el equipo es desconectado. SMBRelay crea una nueva dirección IP virtual. Esta nueva dirección puede ser accedida utilizando el comando “net use \\192.168.1.1“. De ese modo podrá ser utilizada por cualquiera de las funciones de red de Windows. SMBRelay retransmite la comunicación del protocolo SMB excepto para la negociación y autentificación. Los atacantes remotos pueden utilizar la dirección IP durante tanto tiempo como el equipo se encuentre conectado. SMBRelay2 trabaja bajo el mismo principio de SMBRelay, excepto porque emplea los nombres de NetBIOS en lugar de las direcciones IP. Ambas pueden llevar a cabo ataques "de intermediarios", los cuales permiten a los atacantes remotos leer, insertar y modificar mensajes intercambiados entre dos extremos de la comunicación sin ser advertidos. Los equipos expuestos a esta clase de ataques dejan de responder o se reinician inesperadamente. Para evitarlos le recomendamos utilizar contraseñas o claves de autentificación.
vi. ICMP (Internet Control Message Protocol) es un protocolo de Internet muy popular y utilizado principalmente por los equipos que se encuentran en una red para enviar variados mensajes de error. Los atacantes remotos intentan explotar las debilidades del protocolo ICMP. Este se ha diseñado para comunicaciones unidireccionales que no requieren autentificación, lo cual habilita a los atacantes a desencadenar ataques DoS o ataques que brindan acceso a los paquetes entrantes y salientes a individuos desautorizados. Ejemplos recurrentes de un ataque ICMP son los ataques por flujo de ping, por flujo ICMP_ECHO y ataques "smurf". Los equipos expuestos a un ataque ICMP experimentarán muy bajo rendimiento en aplicaciones que utilizan Internet, además de problemas de conexión.
La Arquitectura de un ciber-ataqueDespués de haber examinado muchos los elementos disponibles para componer un ataque cibernético y las interrelaciones entre ellos, nos resultaría muy difícil preparar estrategias de defensa para detectar todas las posibles combinaciones sin primero ponderar posibles secuencias de ataque y definir patrones de actuación. Por consecuencia, si estudiamos las diferentes etapas que conforman un ataque informático seremos más eficaces en la preparación de estrategias de defensa, definición de las contramedidas e implementación de sistemas de monitorización.
Existen varias líneas de pensamiento sobre las etapas de un ciber-ataque. Unas más genéricas como la de CEH14 y otras más específicas a una tipología de ataques como las APT. En líneas generales las arquitecturas de los ciber-ataques convergen en las siguientes cinco áreas:
14 Official Certified Ethical Hacker Review Guide
Figura 1
En el caso de las estrategias de ataque más complejas como los APT los ciclos de vida son también más complejos, la principal diferencia es que los actores detrás de las APTs siguen un ciclo de ataque enfocado a mantener el ataque durante periodos largos y continuos15. De todas maneras las fases de ataque de una APT son muy similares:
1. Dirigido a organizaciones específicas para un objetivo singular2. Tratar de hacerse un hueco en el ecosistema de la empresa mediante tácticas
comunes confiables como correos electrónicos de phishing3. Utilizar el Sistema comprometido para acceder otros sistemas y redes, hasta llegar al
sistema objetivo4. Implementar herramientas adicionales que ayuden a cumplir con el objetivo de ataque5. Cubrir las huellas para mantener el acceso y poder realizar ataques futuros
Para poner esta metodología en perspectiva, el informe del 2013 de Mandiant16 analizando un específico ataque entre gobiernos, corrobora e explicita la siguiente metodología de los ciber-atacantes APT (Figura 2)
1. Compromiso inicial – realizado mediante el uso de la ingeniería social y phishing por correo electrónico y el uso del virus de día cero. Como método adicional de infección se plantaba malware en un sitio web que los empleados de las víctimas eran propensos a visitar.
15 APT lifecycle - https://en.wikipedia.org/wiki/Advanced_persistent_threat16 Mediant - http://intelreport.mandiant.com/
2. Establecerse un hueco - plantar en la red de la víctima software de administración remota, creando puertas traseras de red y túneles que permitían el acceso a la infraestructura.
3. Elevar privilegios - utilizar exploits y cracking para adquirir privilegios de administrador sobre los ordenadores objetivo y donde sea posible ampliarlas a cuentas de administrador de dominio de Windows.
4. Reconocimiento Interno - recopilar información sobre los alrededores de la infraestructura, relaciones de confianza17 y la estructura de dominios de Windows.
5. Moverse Lateralmente - ampliar el control a otras estaciones de trabajo, servidores y elementos de infraestructura y llevar a cabo la recolección de datos sobre ellos para estructural los ataques.
6. Mantener Presencia - garantizar un control continuo sobre los canales de acceso y credenciales adquiridos en etapas anteriores.
7. Completar la misión - exfiltrar datos robados de la red de la víctima.
Figura 2
De los últimos informes de varios incidentes analizados, se estima, que el período medio durante el cual los atacantes controlan la red de una víctima oscila entre 12 meses y 48 meses. Todo indica que la longevidad de los APTs está tan relacionada con la capacidad del atacante de pasar desapercibido, como la arquitectura y selección estratégica de los elementos de ataque.
17 Relaciones de confianza - Las relaciones de confianza proporcionan un canal de comunicación entre dos dominios. Sin relaciones de confianza los dominios están completamente separados. Estableciendo una relación de confianza, un dominio acepta cuentas de usuarios del otro dominio como cuentas válidas y permite acceso a recursos locales.
Industrialización de la piratería cibernéticaEl informe McAfee Labs Threats Report18 de agosto del 2015, incluye una investigación sobre las técnicas de exfiltración de los mejores ciber-delincuentes y concluye afirmando y alarmado por el continuo desafío sobre el enorme crecimiento de las superficies de ataque, la complejidad y fragmentación del mercado de seguridad y la industrialización de la ciber-delincuencia. Desde el punto de vista del este autor, este último punto es quizás el más preocupante, ya que en un presente futuro, seremos capaces de contractar ciber-ataques por Internet para ejecutar asaltos y ofensivas. La gran problemática es que las leyes que aplican a un mundo mercantil delimitado por fronteras políticas no coinciden con la contextura cibernética. Por consiguiente la delegación de un ciber-ataque a una industria de profesionales que no necesariamente trabajan en una misma jurisdicción, por consecuencia, las fuerzas de protección y reglamento del atacante, no coinciden con la legislación de la víctima.
Los profesionales coincidimos en que la ciberdelincuencia ha madurado mucho más rápido de lo esperado. Ha pasado de ser una afición a ser una industria que prueba diferentes modelos de negocio y funciona con una mezcla de motivos delictivos, políticos y militares. Para mantener este ritmo de profesionalización, la comunidad de la ciber-seguridad debe seguir mejorando al mismo ritmo que la industria de la piratería cibernética. El reto implícito es que estos dos lados del mismo mundo tienen un equilibrio retorcido ya que los avances en la industria de la seguridad se basan en la innovación de los atacantes. Lo que es más, el intercambio de información, entre los profesionales de seguridad, es compleja y muy cerrada por la misma naturaleza de la profesión. Esto hace que las estrategias y avances de los productos de seguridad no se comparten y sean muy diferentes unos a otros.
Normalmente cuando accedemos la web nos posicionamos a través de un navegador estándar directamente en una página preferida como Yahoo.com o un buscador como Google.com.
Desde ahí navegamos y seleccionamos los contenidos que se nos presenta. Pero hay una segunda web, una web distinta, una web sin motores de búsqueda. Algunos la llaman “web oculta”, otros “internet profunda19” (Deepweb, Invisible Web, Deep Web, Dark Web o Hidden Web). Cualquiera que sea el nombre, en el 2010 se estimó que la información que se alojaba en la Internet profunda tenía unos 7500 terabytes, o sea unes 500 veces mayor que la
web que todos conocemos. La disposición desestructurada de la Web-oculta permite que el contenido sea muy dinámico e intrazable, por ello es un sitio idóneo para encontrar servicios sumergidos como cuentas de PayPal robadas, tarjetas de crédito clonadas, falsificación de billetes, carteras de dinero anónimas, explotación sexual, mercado negro, documentación falsa, drogas, servicios de hosting, correo y mensajería, blogs, foros y tablones de todo tipo, activismo político, secretos de estado, y como no, servicios de hacking.
Un recién informe de investigación20 reporta haber encontrado páginas que desglosaban servicios de ciber-ataques para contratar, así como los siguientes:
i. Hackear un servidor web (VPS o hosting): $120ii. Hackear un ordenador personal: $80iii. Hackear un perfil de Facebook, Twitter, etc: $50iv. Desarrollar spyware: $180v. Localizar a alguien: $140vi. Investigar a alguien: $120vii. Ciber-extorsión: "pedir presupuesto por correo"
18 McAfee Labs Threats Report 2015 - http://www.mcafee.com/es/resources/reports/rp-quarterly-threats-aug-2015.pdf?view=legacy19 Internet profunda - https://es.wikipedia.org/wiki/Internet_profunda20 Informe Xataca Feb 2015 - http://www.xataka.com/analisis/una-semana-en-la-deep-web-esto-es-lo-que-me-he-encontrado
En un mundo tan oscuro como la Internet profunda, estos servicios podrían resultar ser sencillamente una estafa y nada más. Pero la realidad es que la industrialización de la piratería cibernética está con nosotros, ya sea en la Internet-profunda como en la Internet de superficie. Aunque a primera instancia, sorprende y deslumbra, pensando en cómo está evolucionando el mundo Internet, no rompe la lógica creer que servicios como estos puedan llegar a industrializarse.
Ejemplos y tendencias de ciber-ataquesEn 2011, PC World detectó un aumento del 81% en los ataques de hackers avanzados y dirigidos a equipos y, según los resultados de una investigación de Verizon en el 2012, se alcanzó la asombrosa cifra de 855 incidentes de seguridad cibernética y 174 millones de registros atacados. En el 2015 estos números se han superado enormemente, aunque ahora la tendencia es el ransomware. Durante el segundo trimestre de 2015 la muestra de ransomware nuevo creció un 58% y su presencia en un 127% contra al mismo periodo en el 2014.
Según el estudio Ponemon del 2012 sobre los costes de la ciberdelincuencia en 56 grandes empresas de Estados Unidos, se producen 1,8 ataques con éxito en cada organización a la semana, lo que conlleva un coste medio en ciberdelincuencia de 8,9 millones de dólares por organización. El informe anual de Symantec21 reporta que el número de ciber-ataques dirigidos a grandes compañías incremento un 40% en el 2014, cubriendo así cinco de cada seis empresas con más de 2.500 empleados.
Un estudio elaborado por el Banco Central Europeo señala que el 60% del volumen del fraude con tarjetas bancarias se centra en el pago no presencial con tarjeta, es decir, en compras a distancia o por Internet, un porcentaje que sigue en aumento a medida que se desarrolla el comercio electrónico.
A pesar de la ley norte-americana de 1996, cuyo artículo II estipula la normativa sobre el tratamiento y protección de datos para el sector Salud (HIPAA22), el 13 Agosto 2015 – KPMG publica un informe indicando que el 80% de 223 ejecutivos en el sector salud, admiten haber perdido información a ciber-ataques23.
Frente a estas asombrosas estadísticas, víctimas de ataques incluye marcas muy conocidas como eBay, Target, Neiman Marcus, la Universidad de Maryland, NATO, JPMorgan Chase, Adobe, Home Depot… la lista no se acaba. Pero también el problema no es tan solo de las APTs. Recordemos que en April del 2014 salió el virus Heartbleed que tomo por sorpresa los sistemas de cifrado OpenSSL. Aun así hay tres casos corporativos muy señalados que merece la pena recalcar tanto por su eficacia como su complejidad.
En el caso de SONY, se cree que Corea del Norte financió el ciber-ataque del 24 de noviembre del 2014 para alterar el lanzamiento de una película sobre el dictador Kim Jong Un. El 18 de Diciembre, la Casa Blanca anuncia que el ciber-ataque contra Sony es un “asunto de seguridad nacional”. Expertos en seguridad informática confirman que los piratas informáticos difundieron datos confidenciales de hasta 47.000 personas, entre ellos números de seguridad social e historiales médicos. La paralización de la toda la empresa (a nivel global) duró más una semana y fue el principio de daños extensos consecuencia de los cambios en el lanzamiento comercial del resto de películas del 2014 y la alteración del programa estratégico de la empresa.
En Febrero del 2014, la firma de casinos y complejos turísticos Las Vegas Sands fue atacada por los Iraníes, en venganza por un discurso pronunciado por su consejero delegado, Sheldon Adelson, donde daba soporte a un ataque nuclear contra Irán. En este caso fueron los sitios
21 Symantec 2015 Internet Security Threat Report, Volume 20 - http://www.symantec.com/security_response/publications/threatreport.jsp22 HIPAA - https://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act23 Health Care and Cyber Security – KPMG - http://advisory.kpmg.us/content/dam/kpmg-advisory/PDFs/ManagementConsulting/2015/KPMG-2015-Cyber-Healthcare-Survey.pdf
en la web que fueron el objeto del ataque de piratas informáticos que los mantuvo inaccesibles durante más de 24 horas. Reguladores estatales abrieron una investigación sobre el incidente la víspera y directivos de la empresa también recabaron ayuda del FBI.
Se estima que el ciber-ataque más lucrativo de la historia se dio a finales del 2013 cuando un cajero automático en Kiev empezó a entregar dinero a horas del día al azar sin que nadie hubiese insertado una tarjeta ni oprimido ningún botón. Esa máquina errática fue el menor de los problemas del banco ya que las computadoras internas, que los empleados usaban para procesar transferencias y llevar la contabilidad, habían sido penetradas por malware meses atrás. Los delincuentes cibernéticos podían ver cada movimiento y con la información se hacían pasar por funcionarios del banco, no solo activando varios cajeros automáticos sino también transfiriendo millones de dólares de bancos en Rusia, Japón, Suiza, Estados Unidos y los Países Bajos a cuentas falsas en otros países.
Pero quizás los casos más frecuentes son todos aquellos que no se reportan. Al margen de algunas normativas norte americanas que obligan a las empresas a informar la administración del robo de datos cibernéticos24 y la propuesta de ley homologa en Europa (NIS Directive25), la mayoría de ataques cibernéticos no se reportan oficialmente. Como ya hemos pronunciado anteriormente, es muy frecuente que los atacantes y la víctima no estén dentro de la misma jurisdicción, por ello la victima frecuentemente se siente que como no habrá remedio ni compensación el esfuerzo y tiempo invertido en reportar la incidencia no paga la pena. Lo que es más, las posibles consecuencias sobre la reputación de la empresa y sus trabajadores, y la repercusión potencial sobre las acciones y opiniones de sus clientes, hacen que la mayoría de las incidencias sigan gestionándose puertas adentro. Por último hay que añadir que en algunos casos, sobre todo en la pequeña y mediana empresa, la falta de confianza en las agencias de seguridad gubernamentales y la falta de conocimiento sobre la segregación de competencias investigativas también afecta la decisión de reportar incidencias cibernéticas. Es decir al reportar un ciber-ataque hay que abrir parte de los sistemas de información a los agentes de seguridad para su investigación y ello conlleva ceder información sensitiva al gobierno
Hay que cambiar los principios de la seguridad informáticaCon la aparición de los ataques dirigidos y las amenazas persistentes avanzadas (APT), ejecutivos de empresas se enfrentan a un desafío de enormes proporciones en la defensa de la información. Es necesario utilizar un nuevo enfoque de seguridad cibernética. Las técnicas tradicionales simplemente ya no resultan adecuadas para proteger los datos frente a las nuevas estrategias de ataques y hay que pensar en tres grandes áreas de cambio:
i. Hay que proteger los activos de la empresa, no solamente los perímetros. Las metodologías de seguridad tradicionales se han basado en la suposición de que el adversario está llegando desde el exterior, y, por tanto, las defensas se han centrado en el endurecimiento del perímetro. Aunque no podemos dejar de proteger el perímetro, esto ya no es una estrategia eficaz en el contexto de los ciber-ataques. Hay dos razones que rompen el esquema tradicional. a) Muchos de los ataques actuales son desplegados desde dentro de los límites de confianza. b) En entornos altamente interconectados entre empresa y proveedores de servicios, las soluciones de terceros son tan ampliamente integrados que la distinción entre interior y exterior se ha vuelto bastante borrosa.
Ciber-ataques sofisticados a menudo ponen en peligro los sistemas a través de compromisos intermedios. Atacando proveedores de confianza de la víctima se puede también comprometer a la víctima. Al aprovechar el acceso abierto del proveedor de servicios, los adversarios son capaces de eludir las defensas del perímetro de la empresa destino.
Consecuentemente el método de protección, no puede ser perimetral, sino granular y por capas. La construcción de los niveles de defensas se basa en identificar los
24 Cybersecurity regulation - https://en.wikipedia.org/wiki/Cyber-security_regulation25 NIS Directive - https://ec.europa.eu/digital-agenda/en/cybersecurity
activos de la empresa más valiosos y junto con un mapa de procesos para determinar los niveles de acceso adecuados construir capas de defensa que derivan hacia fuera desde allí
ii. Tenemos que integrar la seguridad al proceso, no al sistema. Si estamos de acuerdo que lo más importante es asegurar adecuadamente los activos informáticos, la manera más efectiva de hacerlo es construir sistemas que protegen la información de manera coherente en cada etapa del proceso. De esta manera, cuando se está construyendo un sistema o infraestructura, se añade una actividad de seguridad al proyecto para evaluar las nuevas características y funcionalidad y parametrizar la protección a nivel de los datos. EL análisis de la seguridad a este nivel, pasa a través de la evaluación de seguridad y desarrollo de superficies de defensa en cada una de las diversas etapas de desarrollo. Con este modelo, el riesgo se reduce significativamente a lo largo de todo el proceso de desarrollo. Por el contrario, las organizaciones que sólo consideran la seguridad al final del proceso de desarrollo, no son capaces de mitigar eficazmente el riesgo a lo largo de la vida de las aplicaciones y en medida que se vayan introduciendo nuevos esquemas de ataque.
iii. Hay que hacer evaluaciones de seguridad integradas para complementar las pruebas de penetración de caja-negra. Una vez aceptamos la importancia de proteger los activos informáticos y adoptar el enfoque de protección más eficaz para la construcción de sistemas robustos. La validación de las capas de defensa se realiza con mayor eficacia a través de la evaluación de seguridad de terceros. El método más adecuado para la mayoría de las industrias es la evaluación de la seguridad de caja blanca26. Sin embargo, la confusión sobre los diferentes enfoques de seguridad y la sencillez de las pruebas en sí, ha llevado a muchos ejecutivos a solicitar el enfoque notablemente ineficaz de pruebas de penetración de caja-negra. A diferencia de una prueba de penetración común, una evaluación de seguridad busca identificar todas las formas en que el compromiso activo podría ser posible. Considera activos, amenazas, flujo de trabajo, configuración de todo el sistema, las defensas internas, y la evolución futura de la infraestructura o de la aplicación. Los resultados de una metodología de caja blanca son de muy alto valor en el cálculo del riesgo, ya que se puede determinar con un alto nivel de confianza la mayor parte o la totalidad de las vulnerabilidades presentes en la tecnología de destino han sido identificadas. Por el contrario, las pruebas de penetración de caja-negra sólo proporcionan un resultado binario - violado o no violado - en el tiempo asignado, sin estrategias de mitigación ni una comprensión completa de los riesgos relacionados con la violación.
Hay un dicho que nos podría servir de aplicación en la defensa sobre los ciber-ataques, “no hay mejor defensa que un buen ataque”. Hoy en día hay empresas especializadas en ciber-seguridad que están replanteando sus estrategias tradicionalmente defensivas con unas estructuras holísticas de interacción y análisis de la información en las redes, detectando anomalías mediante análisis de comportamiento retroalimentando unos patrones de comportamiento. Sin llegar a ser Inteligencia Artificial (AI), estos patrones “aprenden” de las transacciones en la red y pueden identificar aquellas que salen de los comportamientos estándares. Dos ejemplos ya puestos en práctica son la biométrica y el análisis de la traza en una pantalla para identificar las personas individualmente.
Conclusión y recursos de seguimientoLas estructuras de estado y las normas sociales llevan muchas generaciones de refinamiento y maduración, y aunque no son perfectas sostienen el equilibrio socio-cultural de las comunidades en las que nuestros padres y nosotros vivimos. Durante miles de años hemos ido cambiando y evolucionando los controles de comportamiento, las leyes y las sentencias bajo una premisa de persona física. El mundo cibernético nos abre una brecha distributiva ya que se crea una nebulosa de jurisdicciones e identidades que cambia las relaciones de responsabilidad. 26 Pruebas de caja blanca - https://es.wikipedia.org/wiki/Pruebas_de_caja_blanca
Con la implantación del internet a nivel doméstico y empresarial, los últimos 20 años han visto un proceso de innovación global acelerado que las estructuras de estado locales y tradicionales no han sido capaces de absorber.
Dicen que la oportunidad hace el ladrón, también podríamos decir que ciber es oportunidad. Los ciberataques son prevalecientes y ágiles, de interés local, nacional e internacional y, por consiguiente, todas las personas e organizaciones necesitan evaluar con detalle el riesgo cibernético que sostienen. Hemos revisado algunos de los principales riesgos que enfrentan las organizaciones e individuos. Este documento no es más que el principio. Hay que desmitificar el riesgo cibernético, ya que no es más que otro tipo de riesgo que debe tratarse adecuadamente con en el marco y los procesos de gestión de riesgos de la organización y cuidado personal. El objetivo es lograr un sentido de perspectiva que permita un debate informado y libre del alarmismo. Y aunque el documento está enfocado a los ciber-ataques, con los enfoques adecuados, las organizaciones pueden hacer frente a los riesgos y con controles simples, erradicar la mayoría de las amenazas.
El delito cibernético aprovecha las enormes oportunidades que la tecnología, la nube, las redes sociales y los dispositivos móviles traen consigo. Pero no lo detendrá.
Al margen de las referencias utilizadas, os dejo algunas fuentes de información del sector con algún título para que os podáis seguir informando tanto como creáis útil. La lista en internet es infinita
El Observatorio Nacional de las Telecomunicaciones y de la Sociedad (ONTSI) hace un informe anual de indicadores muy completo.
Indicadores destacados de la Sociedad de la Información en España (Enero 2015)
La Dirección General de Relaciones Institucionales del Instituto Español de Estudios Estratégicos del Ministerio del Interior
Informe de Ciber-seguridad, retos y amenazas a la seguridad nacional en el Ciberespacio (Dic 2010)
Comisión Europea – Agenda digital para Europa incluye unas iniciativas sobre la Sociedad Digital con un apartado en Ciber-seguridad que incluye los siguientes temas
Agenda Digital Guías y Legislación European Network and Information Security Agency (ENISA) Computer Emergency Response Team for the EU institutions (CERT-EU).
Estados Unidos de América. Congressional Research Service prepara informes de situación para los legisladores norteamericanos.
Legislation to Facilitate Cybersecurity Information Sharing: Economic Analysis (Jun 2015)
Organización de los Estados Americanos es una organización dedicada a la solidaridad, coordinación y cooperación de sus Estados miembros.
Organización de Tendencias de seguridad cibernética en américa latina y el caribe (Jun 2014)
Insurance Information Institute cuya misión es dar a entender al público el negocio de los seguros.
Cyber Risks: The growing threat (Jun 2014)
Ernst and Young Advisory Services es una de las grandes consultoras sobre gobernanza de TI
Perspectivas sobre Gobierno, Riesgo y Cumplimiento - Adelántese a los delitos cibernéticos - Encuesta Global de Seguridad de Información 2015
McAfee Labs es uno de los líderes mundiales en investigación e información sobre amenazas, e innovación en ciber-seguridad
Informe de McAfee Labs sobre amenazas (Ago 2015)
Information Systems Audit and Control Association (ISACA) es una organización enfocada en el desarrollo de conocimientos y mejores prácticas sobre la auditoria y gobernanza de los sistemas de la información. Son los autores de (CobiT) y tienen una gran base de conocimiento sobre la materia de ciber-seguridad.
ISACA Journal – CYBERSECURITY 360 Degree Vision (Vol 5, 2015)
SANS Institute es uno de los principales centros de formación en ciber-seguridad Killing Advanced Threats in Their Tracks: An Intelligent Approach to Attack
Prevention (Jul 2014)
Raytheon / Websense, Inc., es uno de los proveedores más importantes en la protección de organizaciones contra ataques cibernéticos.
2015 Threat Report
Evilfingers.com es una comunidad para la seguridad de la información Ataques informáticos - Debilidades de seguridad comúnmente explotadas