INVESTIGACIÓN incluir una broma o engaño para distraer a la víctima del propósito real del dropper, la instalación en segundo plano de código mali- cioso o adware o programas pornware. Los droppers se utilizan para transportar troyanos conocidos ya que es más fácil escribir un dropper que un nuevo troyano que los programas anti-malware no podrá detectar. La mayor parte de los droppers se escribe uti- lizando VBS o JavaScript por tanto fáciles de escribir y pueden utilizarse para realizar múltiples tareas. Un troyano hardware es un fragmento de circuito electrónico que se inserta en un circuito integrado o en un circuito impreso o tarjeta madre legal (o en general en cualquier hardware), para que opere de forma incorrecta o maliciosa una vez insertado el comportamiento del troyano, en principio no puede cambiar (pero podría cambiar si se asocia a una circuitería de autómata de estados maliciosos), un circuito integrado es como una caja negra, consecuentemente, en principio un troyano no puede ser observado. Un troyano hardware simple podría ser colocarse a la salida de un módulo hardware de cifrado AES-256 en forma de un multiplexor de modo que sus entradas serían la salida del cifrador hardware AES-256 y la entrada de texto en claro al cifrador, si se selecciona el multiplexor o troyano se podría elegir sacar el texto cifrado o el texto en claro. Un troyano hardware puede clasificarse teniendo en cuenta diferentes criterios, por ejemplo: (1) Fase de inserción: fase de especificación, fase de diseño, fase de fabricación, fase de testeo, fase de ensamblaje y empaquetamiento. (2) Nivel de abstracción: nivel del sistema, entorno de desarrollo, puerta, registro-transferencia, física. (3) Mecanismo o características de activación: activado inter- namente con disparador interno (siempre activo, basado en alguna condición como tiempo, basado en sensores como condiciones física temperatura, presión, campo magnético, nivel de radiación, humedad, etc.), activado externamente con disparado externo (utilizando antenas o sensores, un receptor inalámbrico incluso vía satélite, entrada del usuario, salida del componente). (4) Efecto o características de acción: cambio de funcionalidad, degradación del rendimiento, fuga de información, modificar especificación o función, denegación de servicios abrupto o gradual, comportamiento malicioso intermitente o esporádico o continuado. (5) Localización: procesador, memoria, E/S, alimentación eléc- trica, reloj, etc. (6) Características físicas: distribución, tamaño, tipo (funcio- nal o paramétrico), estructura (mismo trazado/distribución, cambia el trazado). Por su parte, la obsolescencia progra- mada puede implementarse utilizando troyanos hardware, por ejemplo, la batería de un móvil debe dejar de operar a los seis meses o debe explotar o debe dar un comportamiento caótico. Otro ejemplo sería un troyano software que se com- porte de forma impredecible o uniforme estilo “bioritmos de un ser humano”, degradando más o menos y volviendo a un estado de no actuación-degradación de forma sutil, uniforme o abrupta. Un troyano hardware podría actuar sobre un vehí- culo conectado/autónomo y realizar actos maliciosos disparar airbags, frenar, cerrar ventanillas, bloquear dirección, etc. Como contramedidas a los troyanos hardware aplicar tecno- logía PUF que permite saber si un dispositivo hardware ha sido modificado (cambiado por otro, cambio de un circuito en la electrónica de un vehículo de transporte o bien si se ha cam- biado una cámara de video-vigilancia por otra). Estrategias de ciber-ataques. Ciclo de vida de un ciberataque En el ciclo de vida de una amenaza avanzada (malware, ciber-arma, etc.) se pueden identificar diferentes fases: 1) Penetración-brecha. Infectar un único sistema de computa- ción. Un ataque dirigido: USB, correo electrónico, algún proceso de actualización mal gestionado, una gestión de claves cripto- gráficas deficiente, vulnerabilidades en diseño, configuración e implementación, etc. 2) Instalarse. Encuentra silenciosamente un objetivo correcto, se comunica (no demasiado) con un sistema C&C (Command and Control) externo para obtener las instrucciones y actualizar el código. 3) Actuar. Transfiere información confidencial al sistema C&C. 4) Si se ve cogida o detectada. Poner una semilla y desapare- cer ocultándose. La semilla reaparece cierto tiempo después (segundos, días, semanas, meses, etc.). En el ciclo de vida de un ciber-ataque moderno al igual que en el de una ciber-arma existen diversas etapas que pueden estar controla- das o no por un atacante utilizando C&C (Command and Control), infiltración del malware dropper con RAT embebido, exfiltración de datos al sitio del atacante, etc. Las etapas son: 1) Reconocimiento externo. Aquí se pueden utilizar diferentes técnicas como, por ejemplo, el análisis de Redes Sociales, las conferencias, llamar al departamento de help-desk o al adminis- trador, realizar un escaneo externo (p.e. vía exploradores/bots), comprar información y herramientas en el mercado negro y en la Web profunda, utilizar Google Hacking, etc. 2) Brecha: penetración, escalada de privilegios y confusión-ofus- cación. Aquí se utilizan diversas técnicas como el phishing/ spear-phishing, la explotación de vulnerabilidades, la inge- niería social (explotando miedos, avaricia, lujuria, egoísmo, poder, etc.), utilizar una unidad USB infectada (pen-drive, etc.), emplear credenciales comprometidas (username/login y con- traseña), ficheros auto-run, proceso de inyección (se trata de ejecutar otro procedimiento como un hilo malicioso dentro de otro proceso; de este modo se puede realizar la evasión, leer la memoria de procesos del host y afectar el comportamiento de procesos del host. El proceso inyector malicioso se mete entre los hilos dando lugar a un proceso infectado en la víctima esto permite enviar datos al sitio del atacante), etc. 3) C&C: Operación y exfiltración. Utilizar http legítimo, emplear peticiones DNS legítimas, usar TOR, fust-flux, comentarios en Facebook, Twitter, Youtube, utilizar DGA (Domain Generation Algorithm). Los servidores C&C regulares pueden ser filtrados por firewall y por blacklists, DGA esta generando una lista 57