El mundo de la documentación y la gestión de la información no solo es físico. Campos que hasta hace unos años eran inexistentes o poco conocidos, como son la ciberseguridad o el big data, tienen hoy una importante presencia en nuestro día a día. La ciberdelincuencia es un fenómeno dinámico en el que aparecen a diario infinidad de nuevas amenazas, debemos estar siempre actualizados para poder responder adecuadamente ante estos retos. Se habló de ello en las III Jornadas sobre seguridad y ciberdefensa celebradas en la Universidad de Alcalá.
Los días 26 y 27 de enero de 2016 se celebraron las III Jornadas sobre seguridad y ciberdefensa en el edificio de la Escuela Politécnica del campus universitario de la UAH. En el Ciberseg16 se trataron temas como el uso y aplicación de las técnicas OSINT (Open Source Intelligence), hacking web o peritaje informático forense, es decir, se trataron de analizar los recursos que se pueden disponer desde la web para, por ejemplo, conocer la reputación online de un usuario o empresa, para realizar estudios sociológicos y lingüísticos, auditar el nivel de seguridad y privacidad de empresas, evaluar técnicas de mercados, etc.
También se analizaron los principales retos contra los que nos enfrentamos como el análisis de la ingente cantidad de información, la veracidad de la documentación consultada o la fiabilidad de las fuentes.
En la apertura de las jornadas, que registraban un gran lleno con unos 500 asistentes, intervino Félix Sanz Roldán, Director del CNI y ex Jefe Mayor de la Defensa. Según Félix “el delito más peligroso es el robo de información”. Un delito que, por otra parte, no es nuevo, como bien apuntó. Nos habló de un artefacto que se encuentra presente en su despacho desde hace mucho tiempo: una máquina Enigma. La creación de esta máquina en la II Guerra Mundial supuso para Alemania una clara ventaja para el desarrollo de sus campañas militares, pues cifraba los mensajes nazis hasta que Alan Turing y su equipo consiguieron resolver el reto y descifrar las comunicaciones, decantando así la balanza de la guerra a favor de los aliados.
El CNI trabaja, al igual que el equipo de Turing, para “conocer la verdad. La buscamos para ofrecérsela al Gobierno para que ellos puedan tomar las decisiones. Aunque quizá en un futuro, con el análisis del Big Data, el CNI no sea necesario”. Antes de terminar su intervención, Félix recomendó visitar la página web del Centro Criptológico Nacional www.ccn.es para estar al tanto de lo último que ocurre en ciberseguridad.
TÉCNICAS OSINT. La ventaja de estar bien informado.
Vicente Aguilera, de Internet Security Auditors, situó nuestra atención en reflexionar sobre el poder de la información y cómo obtenerla a través de las técnicas OSINT. En un escenario con gran exceso de información, el conocimiento y explotación de la información a través de fuentes públicas (fuentes abiertas) se vuelve cada día más necesario. Esta información se segmenta y se da a conocer en un determinado momento y para una determinada audiencia. Es decir, estas técnicas se utilizan en la toma informada de decisiones. Por ejemplo, para obtener información precisa de los candidatos en una entrevista laboral o para una campaña de marketing.
Ahora bien, ante este ingente volumen de información se vuelve cada vez más necesario automatizar su extracción a través de herramientas como los motores especializados de búsqueda, el análisis de recursos, el análisis de datos personales, el análisis de datos corporativos (saber de los recursos con los que la competencia cuenta) y el análisis de las redes sociales. Para el análisis de las redes sociales Vicente ha desarrollado una herramienta llamada “Tinfoleak” que sirve para extraer información de usuarios a través de los recursos propios de Twitter. Puede localizar usuarios que tengan activada en su cuenta la geolocalización y conocer desde dónde y cuándo tuitean cada día de la semana, cuántas personas les siguen, de qué temas tratan, qué aplicaciones utilizan, qué dispositivos usa, con quién se relacionan... También puede buscar información del usuario en diferentes redes sociales. Es una herramienta basada en consola, de momento no tiene interfaz gráfica, es de software libre y se puede conseguir gratuitamente. 
También Deepak Daswani, de Deloitte, incidió en la importancia de dichas técnicas para conocer la reputación online de un usuario o empresa, para realizar estudios sociológicos y lingüísticos, auditar el nivel de seguridad y privacidad de empresas, evaluar técnicas de mercados y otras actividades de interés empresarial y social. Los principales problemas a tener en cuenta son la inabarcable cantidad de información, la veracidad de dicha documentación y la fiabilidad de las fuentes.
La seguridad del Internet de las cosas
Deepak nos habló sobre ataques APT, por sus siglas en inglés Advanced Pertsistent Threats (Amenazas Persistentes Avanzadas), a corporaciones para el robo de información. Estos ataques, que pillan desprevenidas a la mayoría de las empresas, son planeados minuciosamente para conseguir infectar de malware a un equipo de la empresa y desde ahí propagar la infección al resto de computadoras. Una de las soluciones contra este tipo de ataques es una estrategia de defensa en profundidad en la que se implementan múltiples capas de protección, ubicadas alrededor de los sistemas de información de la empresa y que se desarrollan en siete niveles de control de seguridad (Gobierno corporativo, acceso físico, acceso perimetral, red interna, equipos de cómputo y telecomunicaciones, aplicaciones y sistemas de información y datos). De este modo, además de aumentar el nivel de protección, se conseguirá un efecto disuasorio en posibles atacantes. Lo que también es cierto es que, por muchas medidas de seguridad que tomemos, es absolutamente imprescindible formar intensamente a todos los empleados, pues, como dice el lema que en Normadat hemos hecho nuestro, "una cadena es tan fuerte como el más débil de sus eslabones".
Llevando la ciberseguridad a nivel de las app, Deepak nos habló de su experiencia en la robustez de la seguridad de Whatsapp y cómo conseguir información de los usuarios de esta plataforma. Ahora nos parece increíble pero, en sus orígenes, Whatsapp enviaba las conversaciones en texto plano. Desde finales de 2012 la comunicación entre cliente y servidor va, por fin, cifrada. Pero antes de comenzar con la comunicación cifrada, se transmite un paquete en texto plano (que se puede interceptar) que envía datos sobre el sistema operativo del cliente, la versión del aplicativo Whatsapp, el puerto utilizado (en Android no) y, lo más importante, el número de teléfono con el prefijo del país. Una vez obtenidos estos datos, podemos añadir el número de teléfono a nuestra agenda y conocer las fotos del perfil de nuestro objetivo. El siguiente paso es tratar de obtener información de los usuarios a partir de estas fotos de perfil. Examinar las imágenes una a una nos puede dar una aproximación, pero el objetivo es compilar información de una manera automática. Una buena herramienta para esto es el buscador de imágenes de Google (Google Images) si le proporcionamos las fotos de perfil previamente obtenidas en Whatsapp y ver si coincide con un perfil de alguna red social. De esta manera podemos analizar mucha información de un usuario de una manera relativamente sencilla. Si queréis profundizar más sobre el tema, puedes encontrar artículos sobre la seguridad de Whatsapp.
Experiencias de un perito informático
También estuvo presente Lorenzo Martínez de Securizame que nos habló de sus experiencias como perito informático forense en una tercera entrega de sus andaduras. En esta charla pudimos hacernos una idea de cuáles son los requerimientos que piden a un perito de sus características. Las soluciones que las empresas buscan de perfiles como el suyo suelen ser análisis de servidor de ficheros (ficheros borrados y posible actividad maliciosa), análisis del NAS (Network Access Server, Servidor de Acceso a la Red), análisis de los ordenadores portátiles (actividad de correo electrónico, navegación, robo de información y actividad general).
Si queréis conocer más sobre sus memorias podéis visualizar sus dos primeros volúmenes en los siguientes enlaces:
“Memorias de un perito informático forense. Vol. I”
“Memorias de un perito informático forense. Vol. II”
Por último cerró las jornadas Pablo González, de Telefónica Digital Id and Privacy. En su charla “Scanning and Port-Knocking: 1F authentication + 1F authorization” se trataron los diferentes métodos de protección ante el fingerprinting (sacar la huella digital de tu conexión) en máquinas y servicios y la división de los factores de autenticación y autorización tan importantes para mejorar la robustez del entorno.
Página de las III Jornadas de Seguridad y Ciberdefensa: https://ciberseg.uah.es/
ARTÍCULOS RELACIONADOS:
{ BreezingForms : contacto_norma,1 }
