Amenazas y Vulnerabilidades a los Sistemas de

Información y Comunicaciones.
Conclusiones 2010
Tendencias 2011

Madrid, marzo de 2011

SIN CLASIFICAR
Presentación
FORO: VII ciclo de conferencias. Temas
avanzados en Seguridad y Sociedad de la
Información.
SESIÓN: Ciberamenazas. Escenario 2010.
Tendencias 2011.
OBJETIVO: Describir las amenazas y
vulnerabilidades a que están sometidos los
Sistemas de las TIC. Escenario de 2011.
PONENTE:
- Centro Criptológico Nacional
FECHA: 01 de marzo de 2011

SIN CLASIFICAR 2
Índice
• Centro Criptológico Nacional
- Marco Legal / Funciones
- CCN-CERT
• CIBERAMENAZAS 2010 / TENDENCIAS 2011
ΠAgentes de la amenaza
ΠVulnerabilidades
Œ Código dañino ENERO 2001:
Sobre 458 millones
ƒ Troyanos / Botnets usuarios Internet
ΠAtaques servicios Web
ΠSCADA
ΠOtros ataques
ΠUsuarios
Estrategias de ciberseguridad ENERO 2009:
Sobre 1.500 millones
Conclusiones usuarios Internet

SIN CLASIFICAR 3
Marco Legal

El CCN actúa según el siguiente marco legal:

Ley 11/2002, 6 de mayo, reguladora del Centro
Nacional de Inteligencia (CNI), que incluye al
Centro Criptológico Nacional (CCN).

Real Decreto 421/2004, 12 de marzo, que

regula y define el ámbito y funciones del CCN.

Orden Ministerio Presidencia PRE/2740/2007, de 19

de septiembre, que regula el Esquema Nacional de
Evaluación y Certificación de la Seguridad de las
Tecnologías de la Información

Real Decreto
Comisión 3/2010,del
Delegada de Gobierno
8 de enero, porasuntos
para el que sede
regula el Esquema
Inteligencia. DefineNacional de Seguridad
los objetivos del CNI. en el ámbito
de la Administración Electrónica
SIN CLASIFICAR 4
Marco Legal (1): CNI (Ley 11/2002)
Art. 4 a) Inteligencia

Art. 4 b) ContraInteligencia

Art. 4 c) Relaciones
Riesgos Art. 4 d) SIGINT
Emergentes
Art. 4 e) STIC

Art. 4 f) Protección Información Clasificada

NACIONAL
Art. 4 g) Seguridad Propia UE / OTAN / ACUERDOS INTERNACIONALES

En la exposición de motivos de la Ley 11/2002 se establece que el CNI tiene que

hacer frente a los riesgos emergentes. La Seguridad de las TIC es un ámbito de
nuevos riesgos emergentes. Así lo entendió el legislador al definir las funciones del
CNI en el artículo 4 de la Ley
SIN CLASIFICAR 5
Marco Legal (2): Funciones CCN
• Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la
seguridad de las TIC en la Administración

• Formar al personal de la Administración especialista en el campo de la seguridad de las

TIC

• Constituir el organismo de certificación del Esquema Nacional de Evaluación y

Certificación de aplicación a productos y sistemas de su ámbito

• Valorar y acreditar capacidad productos de cifra y Sistemas de las TIC (incluyan medios
de cifra) para manejar información de forma segura

• Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación

y la utilización de la tecnología de seguridad de los Sistemas antes mencionados

• Velar por el cumplimiento normativa relativa a la protección de la información clasificada

en su ámbito de competencia (Sistemas de las TIC)

• Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones
similares de otros países. Para el desarrollo de las funciones mencionadas, coordinación
oportuna con las Comisiones nacionales a las que la leyes atribuyan responsabilidades en
el ámbito de los sistema de las Tecnologías de la Información y de las Comunicaciones.

SIN CLASIFICAR 6
Marco Conceptual (1): Inteligencia y Seguridad

Inteligencia Art. 4 b) ContraInteligencia

Riesgos
Emergentes

InfOps&Ciberataques Art. 4 e) STIC

Ciberdefensa

Ciberdefensa: “La aplicación de medidas de seguridad para proteger las infraestructuras de

los sistemas de información y comunicaciones frente a los ciberataques” (MC0571 – NATO
Cyber Defence Concept)

SIN CLASIFICAR 7
RD 3/2010

SIN CLASIFICAR 8
RD 3/2010
Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones
públicas.
1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los
siguientes servicios:
a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan
la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la
Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de
cualquiera de las administraciones indicadas.
El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier
agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados
en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados.

b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las
Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de
las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas,
instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los
sistemas de tecnologías de la información en la Administración.

c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la

información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización
y mejora de sus capacidades para la detección y gestión de incidentes.

d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de
diversas fuentes de reconocido prestigio, incluidas las propias.

2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas

necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de
SIN CLASIFICAR
respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal.
9
Vulnerabilidades y código dañino

SIN CLASIFICAR 10
Normativa
• 156 documentos, normas, instrucciones, guías y recomendaciones
Œ (21 pendientes de su aprobación)
• Nueva serie 800: ESQUEMA NACIONAL DE SEGURIDAD
Œ 10 Guías
• Nueva clasificación:
ΠCumplen con el ENS
ΠAdaptables al ENS
- CCN-STIC 000: Instrucciones/Políticas STIC
- CCN-STIC 100: Procedimientos
- CCN-STIC 200: Normas
- CCN-STIC 300: Instrucciones Técnicas
- CCN-STIC 400: Guías Generales
- CCN-STIC 500: Guías Entornos Windows
- CCN-STIC 600: Guías Otros Entornos
- CCN-STIC 800: Guías desarrollo ENS
- CCN-STIC 900: Informes Técnicos

SIN CLASIFICAR 11
Formación
Formar al personal de la Administración especialista en el campo
de la seguridad de los sistemas de las tecnologías de la
información y las comunicaciones.

Cursos Informativos y de Concienciación

Cursos Básicos de Seguridad

Cursos Específicos de Gestión

Cursos de Especialización

ΠDisponibles www.ccn-cert.cni.es

SIN CLASIFICAR 12
CCN-CERT

• MISIÓN:
- Ser el centro de alerta y respuesta de incidentes de seguridad,
ayudando a las AAPP a responder de forma más rápida y eficiente
ante las amenazas de seguridad que afecten a sus sistemas de
información.
• COMUNIDAD:
Administraciones Públicas de España
• HITOS RELEVANTES
• 2006 Creación
• 2007 Recon. internacional
• 2008 EGC
• 2009 Sondas SARA
• 2010 Sondas INTERNET
RD 3/2010

SIN CLASIFICAR • 13
Portal CCN-CERT

SIN CLASIFICAR 14
CCN-CERT …. www.ccn-cert.cni.es

SIN CLASIFICAR 15
SISTEMAS DE ALERTA TEMPRANA

• RED SARA:
- Servicio para la Intranet Administrativa
- Coordinado con Mº Presidencia.
- Portal de Informes.

• SONDAS SALIDAS DE INTERNET AAPP:

- Servicio por suscripción de los Organismos.
- Despliegue de Sensores.
- Portal de Informes.

• BENEFICIOS:
- Detección de Ataques
- Estadísticas propias y patrones de ataque
- Actualización de Firmas

SIN CLASIFICAR 16
 AMENAZAS
VULNERABILIDADES

SIN CLASIFICAR 17
Ciberamenazas. Agentes
- Ciberespionaje
ΠEstados
ΠObjetivo: Industrias / empresas
ΠAmenaza:
ƒ Servicios de Inteligencia /FFAA Hackers
Hackers
ƒ Otras empresas de la competencia
- Cibercrimen
ΠRobo propiedad intelectual
Œ Robo de información de tarjetas de crédito /
certificados
Œ Fraude Telemático / Blanqueo de dinero
Œ Robo de identidades…

- Ciberterrorismo
Œ Comunicaciones / Obtención info Usuarios internos
Œ Propaganda / financiación
Œ Infraestructuras críticas ¿?
- Hacking Político / Patriótico
Œ China- Japón; Azerbaiyán-Turquía; India-Pakistán; Árabe-Israelí….
SIN CLASIFICAR 18
Coste del cibercrimen

SIN CLASIFICAR 19
Vulnerabilidades 2010

•Tendencia a la baja durante 2010.

-Mejores prácticas de seguridad en el
desarrollo de aplicaciones

-Mayor proactividad de los vendedores

ŒMayor número de recursos
ŒTrato a investigadores
ƒComunicaciones; reconocimiento…

-Desmotivación de investigadores
ŒProgramas de recompensas

-Vulnerabilidades DIA CERO

ŒRemote code execution
ŒAmplio mercado negro
ŒExploit asociado
SIN CLASIFICAR 20
Vulnerabilidades 2010. Fabricantes
•Publicación periódica
•Adobe / Apple más vulnerabilidades
detectadas
•Necesidad de publicación de parches fuera
de ciclo
ŒCriticidad del impacto
ŒEstado de explotación vulnerabilidad.

SIN CLASIFICAR 21
Vulnerabilidades 2010. Conclusiones

1. Distribución programada de actualizaciones de seguridad

2. Divulgación coordinada / total de vulnerabilidades

Ö Solo divulgación pública si ataque activo

3. Más actualizaciones seguridad fuera ciclo

Ö Más vulnerabilidades DIA CERO.
Ö Incremento de los Programas de recompensas

4. Más vulnerabilidades críticas

5. Crecimiento de vulnerabilidades Web

SIN CLASIFICAR 22
Vulnerabilidades 2011. Tendencias

1. APLICACIONES WEB (Navegadores Web)

1. APLICACIONES DE TERCEROS
Œ Aplicaciones (Java, Acrobat, Flash…)
3. DISPOSITIVOS MÓVILES
- SISTEMAS OPERATIVOS
- Infraestructuras críticas . Programas SCADA
Usuarios
VIDEOS /WEB SOCIALES

SIN CLASIFICAR 23
Amenazas 2010. Código Dañino

•34% del código detectado en toda la historia.

-Rentabilidad de los ataques
-Difícil atribución.
-Implicación de los gobiernos

Amenaza Persistente Avanzada (APT)

ŒOperación Aurora (Enero 2010)
ŒStutnex (Julio 2010)
Mcafee:

Targeted cyberespionge or cybersabotage attack that is carried out under the

sponsorship of a nation-state for something other than a pure
financial/criminal reason or political protest

SIN CLASIFICAR 24
 Características APT
• Patrón de ataque
-Escaso número de objetivos (10-100)

-Objetivos seleccionados. Ingeniería social

-Emplean exploits basados en vulnerabilidades recientes / día cero

-No es detectado por el SW antivirus / IDS / Firewall de los equipos (No dispone de firma)

-Empleo de mecanismos de cifra resistentes al análisis

-Permanece sin ser detectado por MESES. Para la explotación / actualización usa
protocolos autorizados

SIN CLASIFICAR 25
Capacidad de defensa ante APT

-Nivel de detección no superior al 25%

-Reacción lenta en la actualización
-Solo detectan lo que ven.
ŒAPT no reportado. No dispone de firma.
ŒParecen aplicaciones legítimas

-MONITORIZACIÓN DE SISTEMA
ŒDespliegue de IDS.
ŒFirewall / Proxy
ŒAnálisis de protocolos autorizados

SIN CLASIFICAR 26
ATAQUES. Tendencia para año 2010

1. Troyanos / Rootkits
ΠSistemas windows / unix
ΠExploits Dia CERO

2. Robots de Internet (Botnet)

ΠAtaques de DDoS

3. Ataques servicios web

4. Robo de información
ΠRobo de equipos

SCADA

NUEVO SW DAÑINO → más peligroso y menos Phishing / Spam. Correo no deseado

visible.

SIN CLASIFICAR 27
Zombies-Botnets
Robot network
“Botnet” es un término utilizado para una colección de robots
(software) autónomos que pueden ser controlados remotamente
por diversos medios (IRC / P2P) con propósitos maliciosos

- Las máquinas "zombie" se aglutinan en las denominadas “botnets”.

- Los sistemas se comprometen utilizando diversas herramientas
(gusanos, caballos de troya, puertas traseras, etc…).
- Los zombies pueden escanear su entorno propagándose a través de
las vulnerabilidades detectadas (contraseñas débiles, exploits, buffer
overflows, etc…).
- La misión de los “botnets” es esencialmente la gestión de los
“zombies” creando una infraestructura común de mando y control.
- SPAM / DDOS/ PHISING / ENVIO TROYANOS
SIN CLASIFICAR 28
Amenazas 2010. Código Dañino. BOTNET (1)

SIN CLASIFICAR 29
Amenazas 2010. Código Dañino. Sistemas SCADA (1)

Supervisory Control And Data Acquisition. “Sistemas que capturan

información de un proceso o planta industrial y que permitan una
retroalimentación sobre un operador o sobre el propio proceso.”

Algunos casos:
- Vertidos industriales
- Apagones en brasil
- Corte de cables submarinos

• Tendencia
- “U.S. government is seeing a rise
in cyber attacks aimed at taking
over control systems that
operate critical infrastructure”

SIN CLASIFICAR 30
Amenazas 2010. Código Dañino. Sistemas SCADA (2)

•Demostración de ataques DoS en controladores de lógica programable

(PLCs).

•Elevado número de vulnerabilidades

•Búsqueda activa en Internet

•Interconexiones sistemas

•Falta concienciación empresas

•Ausencia buenas prácticas en distribuidores

SIN CLASIFICAR 31
Amenazas 2010. Código Dañino. Sistemas SCADA (3)

STUXNET
• Características principales:
- Empleo de vulnerabilidad día 0 (Infección USB).
- Uso de dos certificados comprometidos
- ataques dirigidos contra sistemas SCADA
ΠSIMATIC WinCC o SIMATIC Step7 de Siemens.
- Usa protocolo Web para la comunicación con los servidores
C&C
• CCN-CERT ID 01/10
- Detectado Julio 2010

SIN CLASIFICAR 32
Amenazas 2010. Código Dañino. Sistemas SCADA (3)

STUXNET

SIN CLASIFICAR 33
Ataques servicios Web. Tipos
• Vías de ataque

1. Inyección de código SQL

2. Cross-Site Scripting (XSS)
3. Rotura de autenticación
4. Insecure Direct Object Reference
5. Cross Site Request Forgery (CSFR)
6. Errores de configuración
7. …//…

=
=
+

SIN CLASIFICAR - 34
-
Amenazas 2010. Teléfonos móviles

- Sistemas operativos
- Android (Google)
- iOS (iphone)
- Windows (6.5-7)
- Symbiam
- Nuevas amenazas (ZeuS 2.x)
- Código dañino
ΠLlamadas entrantes y salientes
ΠMensajes SMS,
ΠFicheros descargados
ΠLas coordenadas GPS

SIN CLASIFICAR 35
Amenazas 2010. Otras

SIN CLASIFICAR 36
Amenazas 2010. Otras

SIN CLASIFICAR 37
Amenazas 2011. Tendencias
1. Troyanos / Rootkits…. (APT)
ΠSistemas windows
ΠExploits Dia CERO
2. Robots de Internet (Botnet)
Œ Ataques de DDoS / Robo información
3. Ataques servicios web
4. Robo de información (Usuarios internos)
ΠRobo de equipos
Plataformas móviles

SCADA

Phishing / Spam. Correo no deseado

SIN CLASIFICAR 38
Importancia del Factor Humano

No todos los ataques con éxito

basados en ingeniería social son
debidos a la ingenuidad de los
empleados, la mayoría de los
casos se debe a la ignorancia de
buenas prácticas de seguridad y
a la falta de concienciación por
parte de los usuarios del
Sistema

Cuanto más sofisticadas son las tecnologías empleadas para

proteger la información, los ataques se van a centrar más en
explotar las debilidades de la persona
SIN CLASIFICAR 39
Soportes de Información

En los discos duros de los

ordenadores hay enormes cantidades
de datos ocultos para los usuarios,
pero fácilmente accesibles. Entre
estos datos se encuentran archivos
que ingenuamente creemos que
hemos borrado, claves de acceso,
versiones descifradas de archivos
confidenciales y todo tipo de rastros
sobre la actividad del equipo.

Número de tarjeta de crédito

Copias en legibles de los documentos cifrados
Los registros temporales con datos de clientes
Claves de acceso a sitios seguros
SIN CLASIFICAR 40
Wikileaks

-Fuga de información por parte de usuarios autorizados

-Deficiente control accesos a información clasificada

-Insuficiente soporte legal

-Eventos más significativos

Œ05.04.2010…. vídeo del 12 de julio de 2007. Soldados estadounidenses matan al
reportero de Reuters Namir Noor-Eldeen, a su ayudante y a nueve personas más.
Œ25.07.2010… 92.000 documentos sobre la Guerra de Afganistán entre los años 2004
y 2009, los cuales les llegaron a través de WikiLeaks.
Œ22.10.2010,… 391.831 documentos filtrados desde el Departamento de Defensa de
los Estados Unidos sobre la Guerra de Irak (2004-2009).
Œ28.11.2010, ….251.187 cables Departamento de Estado con sus embajadas (States
diplomatic cables leak, Cablegate o Secret US Embassy Cables)

SIN CLASIFICAR 41
Soportes de Información

En los discos duros de los

ordenadores hay enormes cantidades
de datos ocultos para los usuarios,
pero fácilmente accesibles. Entre
estos datos se encuentran archivos
que ingenuamente creemos que
hemos borrado, claves de acceso,
versiones descifradas de archivos
confidenciales y todo tipo de rastros
sobre la actividad del equipo.

Número de tarjeta de crédito

Copias en legibles de los documentos cifrados
Los registros temporales con datos de clientes
Claves de acceso a sitios seguros
SIN CLASIFICAR 42
 ESTRATEGIAS EN
CIBERSEGURIDAD

SIN CLASIFICAR 43
2009. REINO UNIDO OBJ. ESTRATÉGICOS:

• Reducción del riesgo del uso del Reino Unido del Ciberespacio
actuando
- Sobre la amenaza (disminuyendo su motivación y capacidad)
- sobre sus vulnerabilidades y sobre el impacto de cualquier
actuación en los intereses nacionales.
• Aprovechar las oportunidades en el ciberespacio mediante
- La obtención de inteligencia que apoyo las políticas
nacionales
- Actuar contra los adversarios.
• Mejorar el conocimiento / capacidades / procesos de decisión
- Incrementando las actividades de concienciación
- Desarrollando una doctrina y sus políticas derivadas
- Mejorando las capacidades propias humanas y técnicas.

Presupuesto = 550 m£
SIN CLASIFICAR 44
Colaboración CERT,s

SIN CLASIFICAR 45
¿Qué estamos haciendo?. España… ENS

SIN CLASIFICAR 46
Conclusiones

• Vulnerabilidades
- Mejores prácticas en su tratamiento.
- Interés económico de los investigadores
- Vulnerabilidad dia CERO
• Código dañino
- APT. Ataque dirigido
- Botnet. Elevados niveles de infección.
- Servicios Web.
• Aproximación a la solución
- Estrategias nacionales en ciberseguridad
ΠFortalecer la capacidad de defensa proactiva
ΠProblema transversal a gobiernos, empresas y ciudadanos.
ΠESQUEMA NACIONAL DE SEGURIDAD

SIN CLASIFICAR 47
• CÓMO CONTACTAR:
Gracias
- ens@ccn-cert.cni.es
- INCIDENTES
Πincidentes@ccn-cert.cni.es
- SAT SALIDAS INTERNET
Πsondas@ccn-cert.cni.es
- SAT RED SARA
Πredsara@ccn-cert.cni.es
- GENERAL
Πinfo@ccn-cert.cni.es

SIN CLASIFICAR