Innovación en ciberseguridad desde las personas (III)

Resumen:

En anteriores artículos se realizó una pequeña introducción al concepto de innovación y a la disciplina criminológica. En este tercer artículo sobre la innovación en ciberseguridad desde las personas se desarrollará con mayor profundidad el aporte que puede realizar la figura del profesional en criminología, con la debida formación tanto teórica como práctica, desde la prevención en el ámbito de la ciberseguridad.

Para ello se seguirá el concepto criminológico de prevención en su triple vertiente: primaria secundaria y terciaria. En este artículo nos centraremos en la prevención primaria.

En primer lugar, se definirá el concepto de prevención tal como lo como lo ha conceptualizado tradicionalmente la criminología. A continuación, se planteará un nuevo enfoque de prevención criminológica aplicada en el ámbito de la ciberseguridad.

Siguiendo el modelo de la Cyber Kill Chain se analizarán las diferentes fases de un ciberataque y se debatirá su encaje en el modelo preventivo que propone la criminología.

Posteriormente se describirá un modelo de análisis a tres niveles que puede ser de utilidad. Para finalizar se analizará la importancia de la información pública existente de diferentes organizaciones.

PALABRAS CLAVE: ciberseguridad, prevención primaria, criminología

 

La prevención desde una perspectiva criminológica:

La criminología clásica tradicionalmente ha considerado la prevención desde una triple perspectiva: primaria, secundaria y terciaria.  En este escrito nos centraremos en la definición de prevención que aparece en (García-Pablos de Molina, 1990).

Prevención primaria: se orienta a las causas mismas de la criminalidad a la raíz del conflicto criminal para neutralizar este antes de que el mismo problema se manifieste. Tradicionalmente las medidas recomendadas guardan relación con la educación, socialización adecuada y calidad de vida. Opera a medio y largo plazo y se dirige a la ciudadanía en su conjunto.

 Prevención secundaria: Actúa donde y cuando el fenómeno criminal se ha manifestado. Opera a medio y corto plazo y se orienta hacia sectores concretos y específicos de la sociedad: aquellos con más riesgo de padecer o producir el fenómeno criminal. Tradicionalmente se ha plasmado en la acción legislativa y la acción policial junto con medidas relacionadas con el entorno criminógeno.

 Prevención terciaria: se centra en el penado o recluso para evitar su reincidencia.

El concepto de prevención en criminología ha evolucionado mucho desde está formulación de los años 90. Actualmente la prevención criminológica es un tema del que existe una amplia literatura y resulta muy recomendable profundizar en ella.  

No obstante, a efectos del presente texto interesa destacar el marco temporal y el contenido de las medidas preventivas para explorar la posibilidad de aplicar algunos de sus contenidos al ámbito práctico de la ciberseguridad.

 

Prevenir antes, durante o después de un suceso

Los tres tipos de prevención descritos anteriormente como se puede apreciar se enmarcan en tres líneas temporales diferentes:

• Antes: La prevención primaria tiene lugar antes de que se produzca un fenómeno y se centra en la raíz del mismo.
• Durante: La prevención secundaria tiene lugar cuando ya se ha manifestado un suceso o un conjunto de sucesos y estos continúan produciéndose. Se centra en personas o grupos concretos. En este momento temporal encajarían las alertas y la detección temprana.
• Después: La prevención terciaria entra en juego una vez los hechos ya se han producido y tiene por objeto que la persona culpable de cometerlos no los vuelva a realizar. El objetivo es que los hechos ocurridos no se vuelvan a repetir en un futuro.

Resulta muy interesante entender la prevención como un conjunto de medidas que varian dependiendo del momento de llevarlas a cabo. Es por ello que se considera útil aplicar este concepto al campo de la ciberseguridad para complementar lacreación de sistemas de alerta temprana, la detección de amenazas y la disuasión.

 

Aplicando la prevención criminológica en el ámbito de la ciberseguridad

Como se ha mencionado en anteriores artículos un criminólogo/a con la debida formación puede ser muy útil en un equipo multidisciplinar de analistas de ciberseguridad. Especialmente, para prevenir ataques basados en ingeniería social.

Este rol profesional podría resultar muy útil en dos momentos clave. “Antes” de que se produzca un ciberataque (prevención primaria) y “después” de que se produzca (prevención terciaria) de la que hablaremos en próximos artículos.

“Durante” un ciberataque (prevención secundaria) es donde entrarían en juego los sistemas de alerta temprana, las políticas y protocolos de ciberseguridad, los equipos de respuesta ante incidentes (en el caso de existir), personal técnico especializado contratado por la organización que está sufriendo el incidente, o las fuerzas y cuerpos de seguridad. En este momento los conocimientos preventivos del analista con formación de base criminológica son de menor utilidad ya que se requiere una respuesta de carácter eminentemente técnico además de una buena estrategia de comunicación y unos sólidos protocolos de actuación.

Una vez conceptualizada de forma básica la prevención tal y como la entiende la criminología, se explorará la posibilidad de aplicarlo a la denominada Cyber Kill Chain , que analiza las diferentes etapas que han de ocurrir para que un ciberataque tenga éxito. La ciber cadena de la muerte ha sido desarrollada por la empresa estadounidense Lockheed Martin.

 

The Lockheed Martin Cyber Kill Chain

Lockheed Martin es una empresa estadounidense especializada en industria aeroespacial y de defensa.  Esta compañía ha propuesto un interesante marco de análisis de ciberataques denominado Cyber Kill Chain.

La Cyber Kill Chain se compone de 7 eslabones que tienen que darse para que un ciberataque tenga éxito (Lockheed Martin, 2015).

1. Reconnaissance (Reconocimiento).  En esta fase los atacantes planifican su operación, investigan para entender que objetivos les permitirán alcanzar sus fines. Es decir, identifican las vulnerabilidades que les pueden permitir realizar un ciberataque con éxito. En esta fase entre otras cosas. se recopilan direcciones de email, se identifican empleados en las redes sociales, se recopila información en la prensa acerca de su potencial víctima, así como los servidores que están conectados a internet.
2. Weaponization (Armamento). En esta fase el atacante prepara la operación. Se elige el método de ataque y se desarrolla, adquiere o subcontrata el malware que se pretenda utilizar.
3. Delivery(Lanzamiento). En esta fase se lanza el ataque.
4. Exploitation (Explotación). En esta fase se explotan las vulnerabilidades detectadas previamente ya sean software, hardware o vulnerabilidades humanas.
5. Installation (Instalación).  En esta fase se instalan puertas traseras para mantener el acceso durante un tiempo prolongado.
6. Command & Control ( Hacerse con el control). En esta fase los atacantes se hacen con el control de la víctima de manera remota aprovechando las puertas traseras previamente creadas.
7. Actions on objetives (Actuaciones sobre el objetivo/víctima). En esta fase los atacantes realizan sus acciones maliciosas sobre la víctima para conseguir sus objetivos y conseguir que el ciberataque sea un éxito.

La idea propuesta de una “cadena” compuesta por siete diferentes eslabones es muy ilustrativa ya que como la propia empresa menciona (Lockheed Martin, 2015) los defensores tienen siete oportunidades para romper la cadena y frustar el ataque.

 

Las dos primeras fases de la Cyber Kill Chain

Desde una perspectiva de la prevención primaria criminológica, dentro del marco temporal “antes” de que los hechos sucedan, lo más similar de este modelo serían las dos primeras fases en la Ciber Cadena de la Muerte: Reconocimiento y Armamento.

Para la fase de reconocimiento Lockheed Martin recomienda a los defensores tomar las siguientes medidas:

• Recopilar y analizar los visitantes a la web corporativa, colaborar con los administradores web para utilizar sus análisis o construir herramientas para detectar patrones de conducta específicos de la fase de reconocimiento previa a un ciberataque.
• Priorizar las defensas sobre tecnologías o personas clave.

Para la fase de armamento recomiendan lo siguiente:

• Realizar análisis de malware.
• Crear herramientas de detección.
• Analizar la cronología de la creación y utilización del malware.
• Recopilar archivos y metadatos para análisis posteriores.
• Determinar e identificar las herramientas utilizadas y explorar la relación con campañas de ataques específicos.

Desde una perspectiva preventiva criminológica existen algunas actividades de carácter no ,especialmente, técnico que podrían complementar las medidas preventivas que define la Cyber Kill Chain.

 

Más allá del análisis de amenazas

Desde una perspectiva criminológica la prevención primaria tal como la hemos definido es muy amplia y podría abarcar fases previas que la Cyber Kill Chain no toma en suficiente consideración.

Las dos primeras fases de la Ciber Cadena de la Muerte que mejor podrían encajar en el concepto de prevención son las que describen las tareas de un analista de ciberinteligencia: el análisis de amenazas y el análisis de malware. Si bien se podrían considerar actividades de carácter preventivo ya  que se desarrollan en un marco temporal  anterior al ataque en sí mismo, a mi juicio se trataría más de detección y alerta temprana algo que no es exactamente lo mismo que la prevención primaria criminológica si no más bien secundaria, cuando un fenómeno ya se ha manifestado. Esto deja margen para dar un paso más en materia de prevención.

 

Análisis previo a tres niveles: macro, meso micro

Con el objetivo de prevenir un ciberataque tal como predica la prevención primaria procedente de la criminología sería recomendable realizar un triple análisis de la situación de partida.

Para realizar este análisis vamos a partir de un ejemplo ficticio: Una empresa mediana española compuesta por 150 trabajadores que se dedica a exportar frutas y verduras a Francia, Portugal e Italia.

 

Análisis a nivel Macro: conocer el “mundo” en el que existe la organización

Con este análisis se pretende obtener una visión panorámica de la situación de partida. Para ello se tendrían en cuenta varios factores: la demografía española, su economía, el alfabetismo digital, la percepción del riesgo de la población en su conjunto, la sensibilización de la misma, las infraestructuras, potenciales países rivales, los ciberataques que sufre el país en comparación con otros o sus capacidades de ciberdefensa.

 

Análisis a nivel Meso: conocer el entorno

El objetivo del presente análisis es conocer el entorno de nuestra empresa. Conocer la posición de la empresa en su sector, la competencia, posibles rivalidades, la demografía, la formación de los trabajadores y tener una idea general las medidas de seguridad de otras empresas del sector. Es interesante en este caso disponer de información para comparar la organización con otras similares para poder contextualizar cual es el nivel de concienciación y de protección de la organización con respecto a la media en su sector.

 

Análisis a nivel Micro: conocer la propia organización

 Este análisis permite disponer de información propia muy relevante en materia de seguridad que no siempre se suele tener en cuenta. Conocer la demografía, percepción del riesgo y formación en ciberseguridad de los trabajadores de la empresa, el contenido de las publicaciones realizadas en la web y redes sociales corporativas, las publicaciones sobre la empresa de terceros, las dinámicas entre los propios empleados o las actividades rutinarias online de los trabajadores. Es interesante que exista cierto conocimiento de la información que se publica ya que información que se publica  aparentemente inocua puede suponer un riesgo para la seguridad.

 

Algunos ejemplos de información que podría ser utilizada por actores maliciosos

Información corporativa básica: En el caso una organización de cierto tamaño buscando en Google su nombre utilizando los operadores booleanos nos podría aparecer información relevante. Por ejemplo, si la empresa tiene presencia en redes sociales como Linkedin se podría visualizar el perfil de personas vinculadas a la empresa así como su puesto o rol. Con esa simple búsqueda un atacante ya puede tener un potencial objetivo para ataques de la modalidad spear phishing, por ejemplo.

Información publicada por la empresa: publicaciones en la web o en las redes sociales acerca de información cotidiana de la empresa pueden dar ideas a potenciales actores maliciosos. Por ejemplo, una publicación en la web corporativa o redes sociales, mostrando proveedores, clientes o personas con las que la empresa se relaciona puede servir a actores maliciosos para realizar ataques personalizados. Por ejemplo, suplantando la identidad de un proveedor o cliente o al contrario suplantando la identidad de la propia empresa ante un tercero.

Información publicada por terceros: Una aparición en prensa o una publicación de otros terceros legítimos puede otorgar información extra a los atacantes. Por ejemplo, las apariciones en la prensa local anunciando inversiones o los beneficios económicos anuales obtenidos por una empresa pueden dar ideas a potenciales actores maliciosos.

 

Conclusiones:

La criminología puede ofrecer un enfoque diferente en el ámbito de la ciberseguridad en materia preventiva. Especialmente, de cara a prevenir los ataques que se basan en ingeniería social. En posteriores artículos se profundizará más en este tema para ofrecer ejemplos de la utilidad de la prevención criminológica.

 

Marcelo Ruano- Graduado en Criminología y Seguridad

 

Bibliografía:

García-Pablos de Molina, A., 1990. La prevención del delito en un estado social y democrático de derecho. Estudios penales y criminológicos, [online] 15, pp.79-98. Disponible en: https://dialnet.unirioja.es/servlet/articulo?codigo=2103557  [Consultado 30 Junio 2021]. Lockheed Martin, 2015. Applying Cyber Kill Chain. [online] Lockheed Martin. Disponible en: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html  [Consultado 30 Junio 2021].