Security Art Work

Cuando hablamos del espacio, de comienzo suele sonar a ficción. Sin embargo, no estamos tan lejos como podemos pensar. Una nueva vertiente de pruebas de seguridad que esta floreciendo hoy en día es la tan conocida Pentest contra Satélites. Hoy en día, una sola persona puede diseñar, construir y lanzar un satélite respetando muy pocas normas y protocolos de seguridad.

Como ya sabemos, el error humano es bastante bien conocido en nuestro ámbito, lo que unido con la democratización del espacio que ha abierto una nueva frontera a empresas y entusiastas a la exploración y la innovación en el campo espacial, produce el nacimiento de un nuevo conjunto de vulnerabilidades específicas, que requieren de profesionales cualificados y especializados para su identificación.

¿Qué es el Pentesting Satelital?

En pocas palabras, es lo que comúnmente muchos ya conocemos como “pentest” pero extrapolado a los satélites. Por tanto, es un proceso de comprobación de la seguridad de los sistemas de comunicación por satélite, donde simulamos ataques contras los mismos, identificando potenciales vulnerabilidades y deficiencias que puedan ser explotadas para posteriormente reportarlas al cliente con sus respectivas medidas correctoras, permitiéndole mitigar los riesgos identificados.

En el panorama actual de la ciberseguridad, la complejidad de las soluciones implementadas para la protección contra amenazas crecientes aumenta constantemente. Debido a esto, tanto los actores maliciosos, que tratan de comprometer a organizaciones y sistemas para su propio beneficio, como los operadores Red Team, cuya misión es identificar y reportar vulnerabilidades para su posterior corrección, se ven impulsados a identificar y explotar nuevas deficiencias en los sistemas, adaptando sus métodos y desarrollando nuevas TTPs que les permitan evadir las defensas existentes.

Las herramientas desarrolladas tanto por los operadores como por los atacantes hostiles están diseñadas para la evasión de soluciones de seguridad como los EDR. Esto se debe a que mantener la operación fuera del radar del Blue Team es de vital importancia. Ser detectado supondría la obtención de IOC por parte del equipo de defensa, el cual aprovecharía para desmantelar toda una operación, bloqueando direcciones IP y dominios, creando YARAs para los artefactos o implementando las últimas actualizaciones en todas sus soluciones de seguridad.

Estas acciones, además de incrementar el nivel de alerta del Blue Team, supondrían el fin o el reinicio de un ataque u operación, ya que el vector de entrada podría ser mitigado o directamente bloqueado y sería necesario volver a montar la infraestructura casi por completo. Es por ello por lo que mantener el OPSEC de una operación es de vital importancia, evitando generar alertas que puedan notificar a los defensores y de esta manera cumplir el objetivo sin llegar a ser detectado.

El mundo de la ciberseguridad cada vez se vuelve más complejo y desafiante. Con cada nueva amenaza, desde capacidades dañinas como malware o 0 days, hasta los cambios en las infraestructuras, habiendo pasado de entornos on-premise a híbridos o full-cloud, surge la urgente necesidad de esquemas y metodologías que ayuden a enfrentar estas adversidades. No solo buscamos minimizar el impacto de cualquier amenaza, sino también de alcanzar un nivel de detección y neutralización con el que nos sintamos confiados, aunque a menudo esto puede dar una sensación de falsa seguridad.

Hoy día encontramos diversos esquemas que nos ayudan a entender y contextualizar el modus operandi de los actores hostiles. Desde el ampliamente reconocido MITRE hasta el Malware Behavior Catalogue (MBC), pasando por Microsoft Attack Kill Chain y Lockheed Cyber Kill Chain, estas herramientas nos ofrecen una guía para comprender y enfrentar las tácticas, técnicas y procedimientos (TTPs) utilizados por los adversarios. Dentro de este panorama MITRE ATT&CK el esquema más reconocido. Su matriz desglosa las distintas técnicas, tácticas y procedimientos (TTPs) utilizados por los actores hostiles.

A la hora de realizar un ataque a una red interna, todos pensamos en que la salida de los datos podría ser por medio de esa misma red. Por ejemplo, si un posible atacante llega a infectar un dispositivo con la intención de sustraer información, requeriría de una salida por la propia red para enviar dicha información a un servidor externo.

La pregunta que nos podríamos plantear es: ¿existe una segunda vía por la que se podría enviar la información sustraída? A lo cual la respuesta es un sí, pero con matices. Planteemos el siguiente escenario: un atacante logra conectar un dispositivo que se comunica por radiofrecuencia a un ordenador de la red interna. ¿Qué podría implicar?

Existe un prototipo, de creación española, el RPK2 que responde a esta pregunta. Este USB se hace pasar por una impresora al ordenador que se conecta. Posteriormente, comenzará a comunicarse con un receptor que manipulará el atacante. Dado que el dispositivo receptor se comunica por radiofrecuencia, debería localizarse a unos pocos metros del USB malicioso, para poder mantener una comunicación continuada.

De la misma manera que brotes verdes inundan nuestros campos tras una fresca noche de primavera, despertándonos con la promesa de tallos decididos a germinar, de esa forma nos despertamos un día, con el surgimiento de un nuevo paradigma: el amanecer del Cloud Security. 

Si por un instante decidimos investigar sobre esta materia, descubriremos una dolorosa tendencia al uso de cuatro siglas para designar nuevas preocupaciones cuya existencia era absolutamente desconocida unos años atrás. En este universo infinito encontraremos los CISPA o Cloud Infrastructure Security Posture Assessment, pero también los CWPPS, o Cloud Workload Protection Platform, sin olvidarnos de los CASBs o Cloud Access Security Brokers o los CNAPP o Cloud-Native Application Protection Platform.

Si llegados a este punto habéis sobrevivido a esta retahíla de nombres, entenderé vuestro sincero interés por esta nueva ciencia, por lo que permitidme dar un paso atrás y comentar el porqué de esta curiosa amalgama de nuevas soluciones de seguridad. 

En este artículo vamos a aprender sobre la clusterización de amenazas llevada a cabo por los equipos de Threat Hunting. Pero, antes de nada, vamos a definir algunos términos.

En primer lugar, Threat Hunting se refiere al arte de buscar y detectar de manera proactiva amenazas de ciberseguridad ocultas en un entorno. Es un enfoque dinámico y estratégico que permite a los defensores descubrir y neutralizar posibles peligros antes de que escalen, convirtiéndose en una habilidad esencial en el actual panorama de ciberseguridad.

En segundo lugar, los analistas de Threat Hunting, también llamados Threat Hunters, necesitan técnicas para identificar y rastrear a las APT y sus actividades. APT se refiere a una amenaza avanzada y persistente que opera de manera encubierta y con intenciones maliciosas durante un período prolongado de tiempo. Para llevar a cabo sus objetivos, las APT utilizan técnicas, tácticas y procedimientos (TTP) sofisticados para acceder a redes y sistemas de información de alto valor, como los sistemas gubernamentales, financieros y militares, entre otros.

Preparaos para revivir la era de las camisas de franela y las riñoneras: un grupo de ciberdelincuentes autodenominado APT-HomeAlone, ha anunciado su plan para catapultar al mundo entero de regreso a los años 90 esta Nochevieja.

Mediante una serie de complejas ciberoperaciones, estos piratas informáticos pretenden reprogramar todos los dispositivos electrónicos para que, al sonar las doce campanadas, nos encontremos en el 1 de enero de 1990. Imagínate intentar publicar en Instagram tus fotos de Nochevieja y encontrarte buscando un módem para conectarte a Terra, Infovia, Ya.com, Wanadoo…

Estos hábiles delincuentes utilizan métodos avanzados, incluyendo “Retro-Infiltración de Sistemas” y “Manipulación Temporal de Redes”. Para ello han desarrollado un software llamado “BackToThe90s.exe”, capaz de transformar interfaces modernas a versiones que recuerden a Windows 95, con sus icónicos fondos de escritorio y sonidos de inicio.

Desde Security Art Work queremos desearos unas felices fiestas y lo mejor para este 2024 que está a punto de comenzar. Y en estos tiempos de postales generadas por inteligencia artificial, jerseys tipificados en el Código Penal y comida y bebida por encima de nuestras posibilidades, os enviamos nuestra felicitación navideña. Gracias a las herramientas de los dioses, sencilla y ligera, para que no se os llene el disco duro, ni el de vuestro ordenador ni el del ordenador de otras personas.

begin 644 saw23.awk
M0D5'24X@>PIS<F%N9"@I.PIR97-E=#TB7#`S,ULP;2(["F@],C`[<SUH+3$[
M;#TQ.PIF;W(@*&H@/2`Q.R!J(#P]<SL@:BLK*2!P<FEN=&8H(B`B*3L*<')I
M;G1F*")<,#,S6S$[.31M(BD[(`IP<FEN=&8H(D!<;B(I.PIF;W(@*&D],3MI
M/#UH.VDK*RD@>PH)9F]R*&H],3MJ/#US.VHK*RD@<')I;G1F*"(@(BD["B`@
M("`@("`@<RTM.PH@("`@("`@(&9O<BAJ/3$[:CP];#MJ*RLI('L*("`@("`@
M("`)<')I;G1F*")<,#,S6S$[.3)M(BD["@D)83UI;G0H,3`J<F%N9"@I*3L*
M"0EI9BAA(3TS*7!R:6YT9BAA*3L*"0EE;'-E>PH)"0EP<FEN=&8H(EPP,S-;
M-3LS-&TB*3L@"@D)"7!R:6YT9B@B*B(I.PH)"0EP<FEN=&8H<F5S970I.PH)
M"7T*("`@("`@("!]"B`@("`@("`@;"L],CL*("`@("`@("!P<FEN=&8H<F5S
M970I.PH@("`@("`@('!R:6YT9B@B7&XB*3L*"7T*='<]:"\R.PIT:#UH+S0[
M"G1S/6@M='<O,CL*9F]R("AI/3$[:3P]=&@[:2LK*2!["@EF;W(H:CTQ.VH\
M/71S.VHK*RD@<')I;G1F*"(@(BD["B`@("`@("`@<')I;G1F*")<,#,S6S$[
M,S%M(BD["B`@("`@("`)9F]R("AJ/3$[:CP]='<[:BLK*2!P<FEN=&8H:6YT
M*#$P*G)A;F0H*2DI.PH@("`@("`@('!R:6YT9BAR97-E="D["B`@("`@("`)
M<')I;G1F*")<;B(I.PI]"G!R:6YT9B@B7#`S,ULQ.SDT;2(I.PIP<FEN=&8H
M(D1E<V1E(%-E8W5R:71Y($%R="!7;W)K(&]S(&1E<V5A;6]S($9E;&EZ($YA
M=FED860@>2!P<L.S<W!E<F\@,C`R-%QN(BD["G!R:6YT9BAR97-E="D["GT*
`
end

Por cierto, si sabes abrir el sobre y visualizar la felicitación sin ayuda de Google (o de ChatGPT) eres población de riesgo. Feliz Navidad y cuidado con los excesos de estos días :)

No hay día en el que no veamos alguna noticia relacionada con Inteligencia Artificial (IA) y, aunque existe una posición común respecto a los beneficios que ésta puede generar en diferentes ámbitos como sanidad, educación, medio ambiente, etc., el desarrollo de sistemas basados en IA genera ciertos desafíos éticos que pueden redundar en riesgos de amplio alcance, pues éstos serán usados a nivel mundial.

Nos podríamos preguntar, ¿cómo una tecnología que debería estar diseñada para facilitar el trabajo, la toma de decisiones y colaborar a la mejora de vida de la población, puede repercutir negativamente si no se diseña y monitoriza de forma adecuada?

Tomando como referencia las reflexiones de Coeckelbergh (AI Ethics, 2021): “La IA incrementará progresivamente su capacidad de agencia intencional, replicando y reemplazando a la agencia humana, generando el problema de la ausencia o disolución de la responsabilidad ética en los sistemas tecnológicos”.