CIBERSEGURIDAD 63 Ciberatacar utilizando datos compartidos. Existencia de red externa vía cable o inalámbrica/OTA (vía satélite, WiFi, Bluetooth, LoRaWAN, ZigBee, etc.). Inyección HTTP. Redirección de navegador Web. Robo de credenciales. Saltarse la autenticación, por ejemplo, utilizando mascaras digitales, SIF (Synthetic Identity Fraud), etc. Una superf icie de ciberataque malware es bien un área lógica (pila del navegador Web, componentes de infraestructuras, etc.) o bien un área física (kiosko de un hotel). El impacto de un ciberataquemalware ofensivo es el valor del daño (financiero, de salud a las personas, al medio ambiente, a la sociedad, a la sostenibilidad, a la reputación, etc.), debido al ciberataque malware. Los ‘componentes droppers’ (o vectores de entrega inicial) se utilizan para entregar malware ofensivo a sistemas objetivo (por ejemplo, Necro es un dropper de tipo troyano para el sistema operativo Android). Un dropper posibilita empaquetar el resto del software en un correo electrónico/spam, página Web, actualización de software, fichero auto-ejecutable colocado en un pendrive USB, etc. Cuando se activa un droppper instala el malware en el sistema objetivo (IT/OT). La ingeniería social (conjunto de técnicas psicológicas y habilidades sociales) posibilita que el ser humano sea engañado para que realice una acción conducente a un ciber-ataque malware (phishing/ spearphising/smishing/whaling). Un ciberataque malware que utilice ingeniería social puede ser de dos tipos: hunting (cuya finalidad es extraer información a través de una interacción mínima con el objetivo/víctima) y farming (cuando el fin pasa por establecer una relación continuada en el tiempo para exprimir al máximo al usuario/víctima y extraer gran cantidad de información). Por su parte el malware defensivo se encarga de bloquear/neutralizar todo tipo de intentos de utilizar dichos vectores y cualquier conducta maliciosa. CARACTERIZACIÓN DE LAS CONDUCTAS DEL MALWARE OFENSIVO PARA SU NEUTRALIZACIÓN POR PARTE DEL MALWARE DEFENSIVO La caracterización y enumeración de acciones maliciosas del malware ofensivo (con vistas a las conductas de bloqueo, esterilización y neutralización por parte del malware defensivo) se puede estructurar y clasificar en numerosos modelos: (1) DESIST (Dispute, Elevation of privilege, Spoofing, Informationdisclosure, Service denial, Tampering): (D) La disputa representa el repudio. Negar que algo haya sucedido. (E) La elevación de privilegios. Capacidad para poder operar con mayores permisos y privilegios (el máximo es root). (S) El spoofing. Suplantar algo o alguien legítimo por otra cosa maliciosa, por ejemplo, SIF. (I) La revelación de información. Fugar o exfiltrar secretos, claves criptográficas, datos, etc. (S)La denegación de servicios. Es similar a la DoS, impide el acceso a un servicio (dispositivo, sistema, red, aplicación, datos, etc.) total o parcialmente. (T)La alteración. Es la modificación o cambio de algo en cualquier parte firmware, software, hardware, datos, etc. Es diferente borrar o formatear un disco que se puede recuperar, que realizar un ‘disk-wipe’ que consiste en borrar el disco de forma irrecuperable (por ejemplo, sobre escribiendo y borrando un número muy elevado de veces). (2) STRIDE (Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service, Elevation privilege): (S)La suplantación de identidad. Viola el servicio de ciberseguridad de la autenticación que permite a un malware pretender ser algo o alguien diferente al que realmente es; es decir, suplanta a algo o alguien conocido y confiable. (T)La alteración de datos. Viola el servicio de ciberseguridad de la integridad. En este caso el malware modifica/ cambia algo en algún sitio: datos en discos, red, memoria, etc. Un ejemplo sería utilizar un drone para entregar código malicioso a un dispositivo de computación víctima utilizando la proximidad para acceder a una red inalámbrica no segura. (R)El repudio. Viola el servicio de ciberseguridad del no-repudio. En este caso el malware o una entidad subordinada afirma que no ha hecho algo o no fue responsable de algo; puede ser honesto o falso; es decir afirma que no es responsable de una acción. Por ejemplo, negar que haya recibido algo o negar que haya enviado algo, o negar que haya borrado o ejecutado algo, etc. (I) La revelación de información. Viola el servicio de ciberseguridad de la confidencialidad. En este caso el malware o un agente subordinado proporciona información a alguien no autorizado (sin credenciales apropiadas) para que acceda a dicha información (datos, metadatos, secretos, tokens, claves privadas, etc.). Un ejemplo sería un sistema de datos de sensor que accede a todo tipo de datos audio, video, etc., infectado con malware que revela información y después utiliza el repudio para negar la responsabilidad de dicha acción. (D)La denegación de servicios. Viola el servicio de ciberseguridad de la disponibilidad de un recurso que necesita el sistema ciber-atacado por malware para acceder a una función de forma adecuada. Un ejemplo de denegación de servicios es impedir que responda un servicio, impresora, etc. (E) La elevación de privilegios. Viola el servicio de ciberseguridad de la autorización para realizar una acción/ operación. El malware consigue tener el permiso necesario para poder hacer algo para lo que no está autorizado hacer. (3)DREAD (Damage potential, Reproducibility, Explotability, Affected users, Discoverability): (D)El daño representa el impacto de
RkJQdWJsaXNoZXIy Njg1MjYx