Revista de Marina
Última edición
Última edición

OSINT/SOCMINT y APT como vectores de ataque a la ciberseguridad

OSINT/SOCMINT and APT as cybersecurity attack vectors

  • Fecha de recepción: 08/07/2020
  • Fecha de publicación: 23/12/2021. Visto 1398 veces.
  • Resumen:

    En el presente artículo, se pretende ilustrar en forma general, cómo, a través de las fuentes abiertas de información en el ciberespacio, es posible identificar un blanco, analizarlo e influenciarlo con el solo propósito de que obtener privilegios mediante el timo, además, de interconectar este método con las APT, analizando el caso de Stuxnet como el primer ciberataque dirigido y con la capacidad de producir daños físicos a un sistema.

  • Palabras clave: Stuxnet, OSINT, SOCMINT, ingeniería Social, APT.
  • Abstract:

    This article explains in general terms how, by means of cyberspace open sources, it is possible to identify, analyze and influence a target, for the sole purpose of obtaining inside information through deception, as well as interconnecting this method with Advanced Persistent Threats (APT). The attack on Iran´s nuclear program (a.k.a. as the Stuxnet case) will be analyzed, since this is the first known cyberattack with the capability to cause physical damage to a system.

  • Keywords: OSINT, SOCMINT, social engineering, Stuxnet.

A lo largo de la historia, el ser humano ha buscado las formas de recopilar y analizar información, de manera rápida y eficiente para cumplir objetivos estratégicos, para lo cual ha creado, mediante la evolución de las tecnologías de la información, diversas herramientas metodológicas como OSINT (Open Source Intelligence) y SOCMINT (Social Media Intelligence), las cuales, si bien tuvieron sus orígenes como una forma de obtener información de fuentes abiertas con fines militares, han sido aprovechadas por cibercriminales para obtener información relevante de un posible blanco y a través de la ingeniería social, potenciar sus ataques.

Estos ciberataques son cada vez más comunes, ya que, de acuerdo con sus características, poseen un bajo costo económico para el atacante, son ubicuos y poseen un alto impacto en caso de concretarlos.

OSINT/SOCMINT e ingeniería social

Cuando hablamos de OSINT, nos referimos al método de obtención de información pública, correlacionar los datos y procesarlos para obtener un producto. Remontándonos a sus orígenes, este método fue creado durante el año 1941 por la CIA (Central Intelligence Agency) mediante FBIS (Foreing Broadcast Information Service), cuya principal función en esa época, era la traducir y monitorear medios de comunicación extranjeros.

Este método, durante el pasar de los años, ha ido evolucionando, hasta llegar al ciberespacio en donde tomó su lugar en forma implacable y armónica abarcando sus tres niveles, la infraestructura física, lógica y las interacciones humanas (Bravo, 2020, p.10).

De manera general, se puede decir que OSINT sirve como “punto de partida para la primera fase de búsqueda de información sobre el objetivo en el ciberespacio; y al igual que en otras metodologías, cuando trabajamos con OSINT tenemos diferentes fases o etapas; planificación, selección de fuentes, obtención de datos, procesamiento, análisis y reporte” (Romero, 2019).

Todas ellas son necesarias para el éxito del objetivo, ya que, de otra forma, la búsqueda podría verse afectada por la gran cantidad de información que se puede recopilar del ciberespacio.

Por otra parte, SOCMINT, a diferencia de OSINT que efectúa una búsqueda en todo el ciberespacio, este solo se focaliza en la obtención de información para formar inteligencia mediante las RR.SS.

La relación de estas dos metodologías puede ser una herramienta potente a la hora de perfilar psicológicamente a un posible blanco.

En un caso práctico para ejemplificar estos dos conceptos, si creamos un sujeto de estudio al que llamaremos Alberto, aplicando estos dos métodos, con OSINT podemos obtener información de Alberto, como por ejemplo el nombre de usuario que utiliza en RR.SS. como Facebook, Twitter, Instagram o LinkedIn, entre otras; podemos obtener su número de IP., geolocalización, datos multimedia con sus respectivos metadatos, etc., conseguidos mediante páginas web como Shodan, Namechk, Tineye, Pipl o Tagboard, entre otras o mediante software como FOCA, Maltego, Exiftool, etc., además de toda información pública que lo vincule en foros y blogs.

Cuando tengo toda esa información, analizo y separo la aquella relevante que necesito y aplico SOCMINT, objeto analizar todas las RR.SS. que posee, obtenidas previamente mediante el análisis OSINT, con el estudio de sus RR.SS., puedo recabar información sobre sus gustos, afiliación política, quiénes son sus amigos, quién es su familia, lugares  que frecuenta, deporte que práctica, cuál es su equipo deportivo favorito, etcétera.

Toda esta información es fundamental para crear un perfil psicológico de Alberto.

Con la creación del perfil psicológico, podemos continuar nuestro ataque, pero para poder potenciarlo, se debe aplicar ingeniería social, que se define como el “conjunto de habilidades entre las que se incluye la manipulación de otros usuarios con el fin de obtener información no necesariamente confidencial, pero sí en la mayoría de los casos de carácter reservado ya que su conocimiento puede ser dañino para un usuario u organización.

Dicho de otra forma, es cuando un tercero nos obliga a hacer o no hacer en forma voluntaria, algo que por nosotros mismos no hubiéramos escogido.

Al igual que las metodologías descritas anteriormente, esta se basa en los siguientes principios; reciprocidad, urgencia, consistencia, confianza y autoridad.

La forma de aproximación al sujeto de estudio son dos, el Hunting, que consiste en realizar una aproximación indirecta, vale decir que con todos los datos obtenidos mediante OSINT y SOCMINT, se toma contacto una sola vez con el posible blanco, haciendo una campaña de pishing, como por ejemplo, el envío a Alberto de un e-mail con información que sabemos es de su gusto y completa confianza, con el objeto de hacerle creer de que se trata de una persona o empresa legítima y que puedes confiar en ella para acceder a la web y darle los datos que necesita y que no son públicos, como número de tarjeta de crédito, datos de colaboradores, etcétera (RIIAL, 2019).

El Farming, por otro lado, es completamente opuesto al Hunting, este realiza una aproximación indirecta al blanco, ya que busca exponerse lo menos posible, con el fin de lograr una explotación más extensa durante el tiempo.

Ahora quizás nos preguntemos, por qué los ataques cuando poseen el componente ingeniería social obtienen el éxito en muchos casos. Según Kevin Mitnick, uno de los ingenieros sociales más conocidos a nivel mundial, con un historial de ciberdelitos basados en la ingeniería social, que este éxito se debe a que los ataques se regían bajo los siguientes pilares:

  • Las ganas del ser humano por sentirse útil y ayudar.
  • La confianza hacia el otro.
  • A todo el mundo le encanta sentirse alabado.
  • No nos gusta decir que no.

Todo queda resumido en la siguiente cita de Kevin Mitnick:

“Una compañía puede gastar cientos de miles de euros en firewalls, sistemas de cifrado y demás tecnologías de seguridad, pero si un atacante engaña a un empleado, todo ese dinero no habrá servido para nada.”

Tendencias y desafíos

Si bien en los párrafos anteriores se describió y ejemplificó de que manera se obtiene información mediante OSINT y SOCMINT, así como la planificación del ataque empleando ingeniería social, las amenazas al medio ambiente de la ciberseguridad evolucionan a pasos agigantados desde Stuxnet hasta nuestros días y esta evolución no está ajena al desarrollo de nuevas  “ciberamenazas las cuales han aumentado en cantidad, sofisticación e impacto, en comparación con las capacidades de defensa de organizaciones, Estados y países. Esta relación se ha vuelto cada día más asimétrica, dejando en evidencia un problema sin una solución aparente y que mantiene en constante preocupación a una parte importante de la sociedad” (Roa, 2020, p.2).

Bajo este escenario surge un nuevo ciberataque, llamado Amenazas Persistentes Avanzadas (APT), las cuales fueron definidas por el Instituto Nacional de Estándares y Tecnologías (NIST) de EE.UU., como “un adversario que posee niveles sofisticados de pericia y recursos significativos que le permiten crear oportunidades para lograr sus objetivos  utilizando múltiples vectores de ataque (por ejemplo, cibernético, físico y engaño)” (Roa, 2020, p.5).

La fortaleza de estos ciberataques radica en la capacidad de detectar las vulnerabilidades del sistema y evitar ser detectado, evolucionando en forma progresiva. Haciendo un símil, es como un capitán que lleva su navío a través de una tormenta, virando y maniobrando en tiempo real, para evitar que las olas hundan la embarcación.

Eso es un APT, que a diferencia de los ataques tradicionales que buscan objetivos genéricos, las APT las confeccionan en forma personalizada, adecuándose y actualizándose constantemente al objetivo que el originador clasificó como valioso, generalmente orientadas a la infraestructura crítica (Roa, 2020, p.4).

Stuxnet y las APT

En este escenario, el gusano Stuxnet aparece en el mundo como el primer ciberataque dirigido y con la capacidad de producir daños físicos a un sistema, en este caso específico, a las centrífugas de la planta nuclear iraní de enriquecimiento de uranio en Natanz, como una forma de retrasar el programa nuclear iraní.

Este gusano, de acuerdo a la complejidad de su diseño, debió ser creado por profesionales extremadamente competentes en el área y con recursos millonarios; bajo esas características y tal como fue nombrado en los párrafos anteriores podría tratarse de un APT, ya que, por la forma de atacar, permanecía como un fantasma, con apariencia inactiva, buscando su principal blanco, que eran los controladores Siemens S7-315 que dirigían los rotores de las centrífugas de uranio. Una vez que los encontraba, tomaba el mando del Controlador Lógico Programable (PLC), aumentando las Revoluciones Por Minuto (RPM) de estas centrífugas, de 63.000 RPM, que era la velocidad normal, a 84.000 RPM, para después detenerlas en forma abrupta a 120 RPM, lo que provocaba una profunda degradación del material; este proceso podía repetirse en más de una ocasión en la misma centrífuga (Frederick, 2017, p.80).

Stuxnet fue tan bien confeccionado, que no atacaba a todas a las centrífugas en forma simultánea, lo hacía en forma solapada y con espacios de tiempo entre un ataque y otro, con el propósito de pasar inadvertido. Así fue como desde 2005 hasta el 24 de junio de 2010, año en que fue descubierto por la empresa bielorrusa VirusBlokAda, realizó centenares de ataques, inoperativizando cerca del 11% de las centrífugas, retrasando el programa nuclear entre 12 a 18 meses (Frederick, 2017, p.81).

La interrelación APT/Stuxnet podría ser un práctico ejemplo, ya que como se ha explicado  en el párrafo anterior, este gusano cibernético, de acuerdo a su complejo diseño, tuvo que ser confeccionado con un capital humano y financiero, que no está al alcance de cualquier persona o empresa, recursos que están al nivel de un Estado. Así es como este gusano fue capaz de infiltrarse, aprender y permanecer, utilizando Exploit y vulnerabilidades del tipo Zero Days para efectuar sus ataques, además de evolucionar en forma constante, ya que:

una vez instalado en el computador infectado, reconocía las características del computador en que se encontraba e intentaba conectarse con sus servidores de mando y control a cuatro sitios, aparentemente comerciales en internet alojados en diferentes partes del mundo, de manera de reportarse y recibir actualizaciones o nuevas instrucciones mediante un canal encriptado, si no tenía éxito, estaba programado para ser completamente autónomo ([Frederick, 2017, p.79).

Cadena de destrucción cibernética

Los responsables de la creación e implantación de Stuxnet en la planta nuclear iraní todavía son un misterio. Existen diversas hipótesis, una de ellas, es que fue creado por Estados Unidos e Israel y fue implantado mediante un flash USB por un doble agente iraní reclutado por la inteligencia holandesa AIVD, quien se desempeñaba como mecánico en las instalaciones de Natanz (Revealed, 2019).]

Bajo esta hipótesis y si interrelacionamos las ideas descritas anteriormente, con el concepto y fases de la cadena de destrucción cibernética, definido por la corporación militar Lockheed-Martin en 2011, podríamos obtener el siguiente flujo:

  1. Reconocimiento: El atacante selecciona su blanco, que en este caso fue la planta nuclear de Natanz; para ello, realizó una investigación de los sistemas controladores Siemens S7-315 y PLC para identificar vulnerabilidades. Parte de esta información pudo ser obtenida mediante fuentes abiertas como OSINT.
  2. Militarización: El atacante evidenció vulnerabilidades del tipo Zero Day que modificaba la carga de archivos de librería del software Step 7 y al menos cuatro debilidades, también del tipo Zero Day en el sistema operativo Windows. De acuerdo a esa información, creó el malware adecuado para explotar esas vulnerabilidades (Frederick, 2017, p.79).
  3. Entrega: Esta etapa se debió planificar minuciosamente, ya que los computadores no tenían conexión a internet y la única forma de poder entregar el malware era a través de un dispositivo flash USB. Si bien hay una hipótesis que indica que el doble agente iraní fue el que implantó Stuxnet, este también podría haber sido implantado seleccionando a un técnico con vulnerabilidades psicológicas (curioso) y utilizando Ingeniería social del tipo Baiting,1 abandonado en forma intencional el malware copiado en un flash USB con logotipos de la empresa en el estacionamiento, con el objetivo de que ese técnico lo encontrara y lo insertara en los computadores de la planta para ver el contenido (Bursztein, 2016).
  4. Explotación: Al momento de insertar el dispositivo flash USB con el malware Stuxnet, este por diseño se ejecutaba en forma inmediata, no requiriendo la activación remota de sus creadores.
  5. Instalación: Stuxnet estaba diseñado para instalarse en forma inmediata al insertar el flash USB.
  6. Comando y Control: Este complejo malware tenía la capacidad para “comunicarse con sus servidores de Mando y Control, enviar información encriptada, abrir puertas traseras y comprometer computadores en forma remota” (Frederick, 2017, p.80)
  7. Acciones sobre Objetivos: Stuxnet buscaba destruir en forma progresiva los rotores de las centrífugas de uranio, para retrasar el programa nuclear de Irán, con el fin de que las sanciones y la labor de la diplomacia surgieran efectos (Torres, 2017).

Conclusiones

Con el análisis realizado podemos concluir que, si bien cuando sufrimos una vulneración que utiliza la ingeniería social como vector de ataque, es prácticamente imposible detenerlo o contrarrestar con programas informáticos como un antivirus, ya que la víctima en forma voluntaria, a través del timo, aceptó el software malicioso, infectando el sistema, dejando como único vector de protección, la educación y concientización de los usuarios, apelando al sentido común y pericia de las víctimas.

Muy por el contrario, cuando el atacante usa una APT para vulnerar nuestro sistema, esta puede utilizar la ingeniería social como uno de muchos vectores de ataque, ya que el ataque es en forma integral, valiéndose de todos los recursos que tenga a su disposición para intentar vulnerar nuestra infraestructura lógica, física y las relaciones humanas. Si bien en el párrafo anterior se menciona que, el ataque podría contrarrestarse con la educación de los usuarios, cuando se trata de una APT, las posibilidades de que un usuario con conocimientos básicos de ciberseguridad pueda contrarrestar este ataque, son prácticamente nulas, lo único que podemos realizar son métodos preventivos, como actualizar nuestros softwares y firmwares, al igual que los parches de seguridad y programas de antivirus informáticos.


&&&&&&&&&&


BIBLIOGRAFÍA:

  1. Bursztein, Elie, (2016), Does dropping USB drives in parking lots and other places really Works?, [Discurso principal], Blackhat USA 2016, Las Vegas, EE.UU., disponible en https://www.youtube.com/watch?v=ZI5fvU5QKwQ
  2. Bravo Lillo, (2020) Cristian, Introducción a las Ciberseguridad.
  3. AndresAlvaro.pdf?sequence=1&isAllowed=y
  4. Frederick Rivadeneira, Erwin, (2017), “Stuxnet, La Primera Ciberarma”, Revista de Marina, disponible en https://revistamarina.cl/revistas/2016/2/efrederickr.pdf,  [Último acceso: 13 junio 2021].
  5. García Romero, Joan, (2019), [Tesis no publicada]  Univerditat Oberta de Catalunya, “Estudio de metodologías de ingeniería Social”, disponible en http://openaccess.uoc.edu/ webapps/o2/bitstream/10609/89045/6/joanenricgarciaromeroTFM0119memoria.pdf,
  6. Introducción a las Técnicas OSINT para investigación en Internet, (2019), disponible en: https://cronicaseguridad.com/2019/11/01/introduccion-a-las-tecnicas-y-herramientas-osint-para-la-investigacion-en-internet/
  7. Instituto Nacional de Ciberseguridad (INCIBE), (2015); Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI), «Oficina de Seguridad del Internauta» [En línea]. Disponible: https://www.osi.es/es/actualidad/blog/2015/02/13/moviles-y-fotos-intimas-que-nos-arriesgamos.
  8. K. Mitnick, Interviewee, (2005), Ingeniería Social. [Entrevista].
  9. La Cadena de Ataque (KILL CHAIN) en IOT (INTERNET OF THINGS), (2017), disponible en https://blog.smartekh.com/killchain-iot
  10. Mundo Hacker: Los 6 principios Básicos de la Ingeniería Social, (2015), Disponible: https://www.pabloyglesias.com/mundohacker-ingenieria-social/.
  11. Técnicas y Herramientas OSINT para la Investigación en Internet, disponible en:  https://www.welivesecurity.com/la-es/2019/10/07/tecnicas-herramientas-osint-investigacion-internet/
  12. Revealed: How a secret Dutch mole aided the U.S.-Israeli Stuxnet cyberattack on Iran, (2019) disponible en https://news.yahoo.com/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html
  13. Roa Salinas, Juan, (2020), “Amenazas Persistentes Avanzadas, un enemigo en las sombras”, CSIRT, disponible en https://www.csirt.gob.cl/media/2020/12/AN2-2020-26.pdf
  14. Villalon, Antonio, (2016), “Amenazas Persistentes Avanzadas”, Nau Llibres, 
  15. ¿Qué es ingeniería Social y en qué Consiste?, (2019), Disponible en: http://www.riial.org/ingenieria-social/

Inicie sesión con su cuenta de suscriptor para comentar.-

Comentarios

Artículos Relacionados

Ciberguerra ¿Dudais?
ESCENARIOS DE ACTUALIDAD

Ciberguerra ¿Dudais?

Se presenta primero la visión de autores escépticos de la denominada ciberguerra, quienes señalan que no es más que una metáfora ilusoria. Se presentan luego argumentos que muestran como el tipo de guerra descrita por Clausewitz, se aleja de la forma en que los conflictos se están desarrollando en el siglo XXI. Para terminar, se fundamenta por qué las ciberoperaciones pueden ser un instrumento útil para la coerción.