THIBER DIGEST Informe mensual de ciberseguridad Nº 8 ABRIL 2019 Análisis de la actualidad internacional Directiva copyright: la tasa, los filtros, los memes y un poco de fake news CIBERATAQUES MARZO 2019 COMENTARIO THIBER: TIDE SPRINT: acelerando la transformación digital de la OTAN Desarrollado por THIBER DIGEST ÍNDICE Informe mensual de ciberseguridad Nº 8 ABRIL 2019 03 13 Comentario THIBER Análisis de la actualidad TIDE SPRINT: acelerando la internacional transformación digital de la Directiva copyright: la tasa, OTAN los filtros, los memes y un poco de fake news 05 20 Informes y análisis Libro recomendado sobre ciberseguridad El cisne negro publicados en marzo de 2019 06 21 Análisis de actualidad Eventos Ciberataques marzo 2019 Comentario THIBER: TIDE SPRINT: AUTOR: Guillem Colom, acelerando la Director de THIBER transformación digital de la OTAN TIDE SPRINT: acelerando TIDE SPRINT: acelerando Comentario THIBER: Comentario la transformación digital de OTAN 3 Fuente: Allied Command Transformation (ACT) La Alianza Atlántica necesita dotarse de capacidades tecno- En este contexto, surge TIDE (Think Tank for Information De- lógicas innovadoras y flexibles que les permita contrarrestar cision and Execution), uno de los conceptos liderados por cualquier amenaza potencial que pudiese surgir en el actual ACT, y cuyos objetivos principales son la innovación de las contexto estratégico, caracterizado este por su compleji- capacidades TI de la Alianza (mediante la reutilización de las dad, impredecibilidad y continua transformación. capacidades existentes y/o la adopción de tecnologías de última generación) y promover la interoperabilidad entre la El Mando Aliado de Transformación (Allied Command Trans- OTAN y sus estados miembros. formation, ACT) es el responsable de liderar la transformación militar y las capacidades de la alianza, utilizando conceptos y TIDE pretende ser un “foro abierto” para la colaboración en- doctrinas que mejoren la eficacia operativa de la OTAN. tre profesionales-civiles y militares- de los países miembros de la Alianza donde la información, los productos, las ideas y las iniciativas son compartidas y discutidas. Además, TIDE TIDE Sprint aborda la trabaja estrechamente con otras iniciativas -nacionales y de OTAN- similares para que la Alianza alcance la superioridad interoperabilidad desde de la información, la superioridad en la toma de decisiones una perspectiva de TIDE SPRINT: acelerando y la superioridad en un entorno hiper-conectado. personas, procesos y TIDE Sprint es uno de los eventos más relevantes organiza- dos por ACT y está íntimamente ligado a TIDE. TIDE Sprint tecnología aborda la interoperabilidad desde una perspectiva de per- THIBER: Comentario la transformación digital de OTAN sonas, procesos y tecnología donde la comunidad científica tiene un papel relevante mediante el intercambio de ideas y 4 proyectos colaborativos. En TIDE Sprint todo comienza con una idea. Durante el último TIDE Sprint, celebrado a mediados de marzo en Split (Croacia), más de 250 expertos debatieron sobre las tecnologías que deberán dar forma a las futuras La OTAN está acelerando capacidades de la alianza, entre las que destacan: el Allian- ce Future Surveillance and Control (AFSC) como evolución su proceso de de AWACS, la actual capacidad de vigilancia y control de la Alianza; el Mission Assurance y la ciberdefensa persis- transformación digital con tente como elementos claves para el recién creado Centro el objetivo de dotarse de de Operaciones en el Ciberespacio de la OTAN; la Federa- ted Mission Network (FNM) como capaciadad clave para la capacidades tecnológicas interoperabilidad entre la OTAN y sus naciones miembros. Además, se debatió sobre las últimas tendencias en Data innovadoras que les Science, Logística, Comunicaciones o Tactical Edge, entre permitan dar respuesta a otras áreas relevantes. Muchas de las ideas que se han es- tado debatiendo serán desarrolladas y testeadas en eventos las amenazas del actual como el Coalition Warrior Interoperability eXercise (CWIX). contexto estratégico En definitiva, la OTAN esta acelerando su proceso de trans- formación digital con el objetivo de dotarse de capacidades tecnológicas innovadoras que les permitan dar respuesta a las amenazas del actual contexto estratégico. Informes Towards a framework for 2019 European Cyber Security policy development in perspectives (The Hague cybersecurity - Security and Security Delta) privacy considerations in autonomous agents (ENISA) Informes 5 Australian Government Cyber Security breaches Information Security Manual surveys 2019 (UK (Australian Cyber Security Government) Centre) Cyber Security of the UK’s Critical National Infrastructure: Cloud Threat Report 2019 Government Response (UK (Oracle y KPMG) House of Lords) Guidance and gaps Towards European Media analysis for European Sovereignty (European standardization (ENISA) Commision) Análisis de actualidad: AUTOR: Adolfo Hernández Lorente, Subdirector de THIBER, the Ciberataques cybersecurity think tank. marzo 2019 Ciberataques marzo 2019 Ciberataques marzo Análisis de actualidad: 6 Cibercrimen La Red Nacional de China y el Centro de Información de Se- accedido, muestra una ventana de pago a través de cripto- guridad de la Información (CNNIC, por sus siglas en inglés) monedas controlada por el atacante para que se realice el notificó el pasado mes de marzo a los diversos gobiernos pago del rescate. Tomando como base el nombre del remi- provinciales chinos que estaban siendo atacados por una tente utilizado en los correos electrónicos de phishing (Min, campaña diseñada para desplegar el ransomware Gand- Gap Ryong), algunos funcionarios chinos especulan que el Crab. A través de una campaña de phishing, se realizó la en- origen de la campaña, activa desde el 11 de marzo, podría trega a diversas agencias gubernamentales chinas muestras estar vinculado con actores estatales norcoreanos. Aunque del ransomware GandCrab 5.2 oculto en un archivo adjunto los funcionarios aún no han revelado el alcance e impacto llamado “03-11-19.rar”. Como parte de la rutina de infec- del ataque, el hecho de que hayan orquestado una alerta ción, las víctimas son dirigidas a una página web falsa que nacional, hace suponer un impacto moderado, avisándose imita las web de descarga del navegador Tor que, una vez solicitado a las agencias gubernamentales provinciales que informen sobre futuros ataques, instalen soluciones antivi- Continuando en el plano del ransomware, dos grandes rus, deshabiliten los puertos USB, actualicen los sistemas empresas estadounidenses fabricantes de productos quí- operativos de forma inmediata, instalen las actualizaciones micos industriales, Hexion y Momentive, fueron impac- de seguridad necesarias y desconecten los hosts infectados tados por una campaña del ransomware conocido como para evitar que el malware se propague. GandCrab 5.2 es la LockerGoga el pasado 12 de marzo. El ataque colapsó los última versión de GandCrab, y actualmente no hay desci- sistemas informáticos de los empleados cifraron archivos fradores disponibles para archivos cifrados con GandCrab. en los equipos. El ataque ha generado una preocupación creciente ante la posibilidad de el malware pudiese llegar A pesar de esa posible atribución a Pyongyang, no hemos en- a detener completamente los procesos productos resul- contrado evidencias suficientes para respaldar esta afirmación. tando en pérdidas financieras masivas si se propagase a Cabe destacar que el ransomware GandCrab se ofrece a través otros sistemas de otras organizaciones. El CEO de Mo- de una plataforma de Ransomware-as-a-Service (RaaS) que mentive, Jack Boss, declaró que el incidente causó una proporciona un servicio llave en mano personalizable a múltiples “interrupción global” y que las compañías desplegaron 2019 Ciberataques marzo clientes en paralelo y, como tal, se puede usar en operaciones “equipos SWAT” para contener la infección. Boss también dirigidas a entidades en todas las regiones y áreas geográficas. proporcionó una captura de pantalla de la nota de resca- Además, es habitual observar campañas de ransomware dirigi- te, que supuestamente está vinculada a LockerGoga. El dos a instituciones gubernamentales, servicios municipales e jefe también declaró que el ataque afectó a “cientos de infraestructuras críticas. Algunos actores consideran que dichas computadoras nuevas” y que los datos en esos sistemas entidades pueden ser más proclives a pagar el rescate. probablemente se perderían. Análisis de actualidad: 7 Ilustración 1. Planta industrial de Momentive Este es el incidente más reciente en una variedad de infec- secretas dentro de Rusia. Según la organización de segu- ciones de ransomware que han tenido un impacto operativo ridad C4ADS, desde 2016, se han encontrado 9.883 casos en los procesos industriales de las víctimas. Las infeccio- de falsificación GNSS que han afectado a unos 1.311 barcos nes en Hexion y Momentive representan la tercera y cuarta comerciales alrededor de aguas rusas. El C4ADS detectó al víctma afectada por LockerGoga en enetnos industriales en menos 7.910 casos en los que las embarcaciones víctimas los últimos dos meses, tras los incidentes en Altran y Norsk ubicadas fuera de las aguas territoriales rusas fueron víctimas Hydro. Mientras la campaña continúa, se han obsevado que de campañas de suplantación GNSS, lo que potencialmen- algunas de las tácticas, técnicas y procedimientos (TTP) uti- te representa un riesgo para la seguridad de la navegación lizados para desplegar LockerGoga son similares a la familia