La evolución de las ciberamenazas y sus tendencias

Versión para impresiónVersión para impresión

Análisis GESI, 33/2018

Resumen: El pasado mes de mayo el Centro Criptológico Nacional publicó la decima edición del informe anual Ciberamenazas y Tendencias en el cual se exponen, entre otras cuestiones, los principales incidentes ocurridos durante el año 2017, identifica los actores de estas amenazas, señala cuáles han sido los principales métodos de ataque e indica algunas de las posibles tendencias para los próximos meses.

*****

Introducción

La incorporación de las Tecnologías de la Información y la Comunicación (TIC) y la propagación de Internet a nivel mundial ha contribuido de forma incuestionable a un desarrollo sin precedentes, pero también ha comportado la aparición de nuevas amenazas que constituyen un reto para la seguridad. A nivel nacional, España ha reconocido la importancia estratégica del ciberespacio a través de la creación de centros, organismos y el desarrollo de documentos estratégicos, al igual que han hecho la Unión Europea o la OTAN. En este contexto, en el año 2006 se creó el Centro Criptológico Nacional (organismo adscrito al Centro Nacional de Inteligencia, CNI) como CERT[1] gubernamental, con el objetivo de mejorar la ciberseguridad española. Además de ser el centro de alerta y respuesta nacional frente a incidentes en la Red, entre sus competencias se encuentran la elaboración y difusión de guías e informes relacionados con la seguridad de las TIC[2], como es el caso del presente informe.

Siguiendo este cometido, la Capacidad de Repuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN-CERT) publicó recientemente la décima edición del informe Ciberamenazas y Tendencias. Edición 2018 (en adelante, CCN-CERT 2018) con el objetivo de cumplir la normativa vigente y de ser útil a un amplio abanico de público, desde entidades de seguridad de las TIC a profesionales y ciudadanos del país. Según este documento, el CCN-CERT gestionó durante el año 2017 en los sistemas del sector público español y de empresas de interés estratégico un total de 26.472 incidentes, frente a los 20.807 del año 2016, lo que supondría un incremento de la gestión de incidentes del 27,22%. Del total, el informe considera que diariamente, al menos cuatro de ellos, podrían considerarse de una peligrosidad muy alta o crítica (Centro Criptológico Nacional, 2018: 68).

 

Informe Ciberamenazas y Tendencias 2018

El informe analiza la situación de las amenazas en el ciberespacio desde una perspectiva nacional e internacional y, según señala, lo realiza a través de distintas fuentes, como pueden ser la experiencia del propio CCN-CERT, de organismos públicos españoles y europeos, de países aliados así como de empresas privadas y del sector académico. 

El documento se estructura en nueve capítulos o bloques principales de los cuales, los tres primeros, exponen información general sobre el CCN-CERT, unas breves referencias metodológicas así como un resumen ejecutivo del informe. El cuarto capítulo, cita algunos de los principales ciberincidentes ocurridos durante el año 2017, clasificados según las motivaciones de los agentes de las amenazas. El quinto capítulo, identifica a los actores de estas amenazas, agrupados según sus intenciones y capacidades, seguido por un breve capítulo que expone algunas de las vulnerabilidades más destacadas de 2017. Posteriormente, el séptimo y octavo capítulo son dos grandes bloques que señalan los métodos de ataque más utilizados así como las medidas de seguridad que se han adoptado, según a quién van dirigidas. El último bloque, indica algunas de las posibles tendencias futuras.

El presente trabajo sigue la misma estructura del informe y pretende, además de exponer y analizar los aspectos más destacados del informe CCN-CERT 2018 (que se centra en el año natural 2017), realizar una comparativa entre aquellos capítulos y apartados dónde sea posible con el informe Ciberamenazas y Tendencias. Edición 2017 (en adelante, CCN-CERT 2017), con el objetivo de aportar una mayor comprensión de las cuestiones relativas con el ciberespacio. En casos excepcionales pueden encontrarse referencias a la Edición 2016 de la citada publicación (en adelante, CCN-CERT 2016).El análisis se centra en el cuerpo central del documento, es decir, los capítulos que hacen referencia a los ciberincidentes, los agentes de las amenazas, las vulnerabilidades y los métodos de ataque. En relación a los dos últimos capítulos del informe, únicamente se realiza un resumen con los aspectos más destacados debido a que se centran en la exposición de las medidas y tendencias en base a los hechos del año correspondiente y no es posible realizar una comparativa. Por último es conveniente señalar que gran parte de los conceptos aquí mencionados se encuentran constantemente a lo largo de los informes, aunque en el presente trabajo se han intentando clasificar de forma que facilite su comprensión. Con este mismo objetivo se exponen las definiciones de muchos de los conceptos, principalmente a través del informe Glosario y Abreviaturas CCN-STIC-401del Centro Criptológico Nacional.

 

Ciberincidentes del 2017

El informe CCN-CERT 2018 clasifica en cinco grupos, según la motivación de los actores, los incidentes que se han producido a lo largo del 2017[3]en el ciberespacio, lo que supone una categoría más que en el informe CCN-CERT 2017: 1) Actividades de Ciberconflicto/Ciberguerra/Guerra híbrida; 2) Actividades dirigidas a influenciar a la opinión pública; 3) Actividades dirigidas a la disrupción de sistemas; 4) Actividades de ciberespionaje; 5) Actividades dirigidas a obtener beneficios económicos. Se introducen de forma específica las categorías “Ciberconflictos-ciberguerra-guerra híbrida” y las “Actividades dirigidas a influir en la opinión pública”, mientras que se mantienen los incidentes de ciberespionaje y disrupción de sistemas, así como aquellos relacionados con la delincuencia[4]. En esta última edición, no encontramos la categoría “Los costes de los ciberincidentes y su gestión”.

Actividades de Ciberconflictos/Ciberguerra/Guerra Híbrida

Por primera vez se establecen de forma específica este tipo de actividades. Este apartado hace referencia a los incidentes en los que se ha hecho uso de la información con el objetivo de influir en la opinión pública, a las posibles interferencias en procesos electorales o en un contexto de conflicto. El informe apunta a los agentes estatales como los responsables de la sustracción de información mediante ataques informáticos, de su posterior publicación, así como de la intoxicación a través de los medios de comunicación y redes sociales, apuntando que las víctimas fueron las instituciones democráticas y los partidos políticos. Señala seis herramientas utilizadas para este tipo de actividades, entre las que destaca las operaciones  psicológicas y la propaganda y desinformación[5].

A pesar de estas afirmaciones, no aporta ningún dato, referencia o caso concreto que respalden estos argumentos, a pesar de que en el resumen ejecutivo del CCN-CERT 2018 lo recoge como uno de los hallazgos más significativos de 2017(Centro Criptológico Nacional, 2018: 8).Únicamente señala que en España “parece demostrada la presencia de activistas patrocinados por instituciones rusas en la expresión mediática del conflicto derivado de la situación creada en Catalunya durante 2017, como consecuencia del alejamiento de la legalidad constitucional vigente de ciertas instituciones autonómicas catalanas” (CCN-CERT 2018: 3).Aunque anteriormente señala que los actores estatales han sido los que han realizado estas actividades, no señala en este caso a un Estado, sino que hace referencia a “instituciones rusas”. Por otro lado, no aporta datos concretos que sustenten esta afirmación sino que lo realiza a través de la fórmula “parece demostrada”.

En cuanto a los conceptos ciberconflictos-ciberguerra-guerra híbrida, los utiliza como sinónimos, sin exponer ninguna definición ni características propias de cada uno de ellos, a pesar de ser conceptos distintos. La referencia más concreta la establece en relación al término “guerra híbrida”[6] al señalar que “el concepto de ‘guerra híbrida’ busca debilitar a las democracias interfiriendo en sus procesos electorales y alimentando sus conflictos internos, sean ideológicos o territoriales, valiéndose para ello de instrumentos como las noticias falsas o la manipulación de las redes sociales” (Centro Criptológico Nacional, 2018: 8). Haría referencia, por lo tanto, a un ámbito de esta “guerra híbrida”, simplificando y centrando su utilizando con el objetivo de interferir en los procesos electorales a través de las noticias falsas y la manipulación de las RRSS[7].

Actividades dirigidas a influenciar en la opinión pública.

En este apartado, el CCN-CERT 2018 señala algunos de los incidentes que tuvieron como objetivo influir en los distintos procesos electorales a través de la sustracción de la información a partidos políticos, como es el caso del movimiento En Marche!, del entonces candidato francés Emmanuel Macron; de la Unión Democrática Cristina (CDU, por sus siglas en alemán), el partido de la canciller alemana Angela Merkel; o los ataques sufridos tanto por el Partido Demócrata como por el Partido Republicano en Estados Unidos.

Al igual que en el apartado anterior, estas actividades no aparece clasificadas de forma específica en el CCN-CERT 2017, y podría contextualizarse en las campañas de injerencia y desinformación que se han venido denunciando desde países occidentales a lo largo del 2017. Según el documento, en el caso francés y alemán, los ataques se habrían producido a través de phishing email y spear phising[8] respectivamente, aunque no indica el origen de estos ataques. Al contrario ocurre en el caso estadounidense, al hacer referencia a una campaña de “actores rusos”, aunque no indica el tipo de ataque para sustraer la información. A pesar de estos incidentes,  el documento afirma que “se trataba de ataques dirigidos a las vulnerabilidades personales de los votantes y no a ninguna (posible) vulnerabilidad del proceso de votación”. (CCN-CERT 2018: 10).

Actividades dirigidas a la disrupción de sistemas.

A diferencia de las dos actividades anteriores, las dirigidas a la disrupción de sistemas también las encontramos en la edición anterior[9]. El CCN-CERT 2018 se centra en el uso que se hecho durante el año 2017 de los dispositivos del Internet of Things (IoT) de consumidores finales para realizar ataques DDoS, como fue el caso de las botnets[10]Mirai o LizardStresser. Por otro lado también señala como estas actividades se dirigieron contra sectores estratégicos de los países, como sería el caso de las redes energéticas y eléctricas en Ucrania y Arabia saudí, afectando también a éste último país al sector financiero o agencias gubernamentales. Hay quea dvertir que, a excepción del caso saudí, los ejemplos que cita en el informe son actividades que tuvieron lugar a lo largo 2016, y no 2017, que sería el año de análisis: la botnet LizardStresser realizó sus actividades a principios de 2016, la botnet Mirai en verano de ese mismo año y los cortes de energía en Kiev se produjeron a finales de 2016.

Actividades de ciberespionaje

Mientras que este tipo de actividades eran consideradas en el CCN-CERT 2017como la mayor amenaza para la seguridad nacional y exponía cuáles fueron los principales sectores atacados en 2016 (Centro Criptológico Nacional, 2017: 12), el informe CCN-CERT 2018 se limita a citar ejemplos de ciberespionaje político (espionaje a agencias gubernamentales), ciberespionaje industrial (empresas) y el dirigido al consumidor final(dispositivos móviles) durante los años 2016 y 2017, pero no aporta datos sobre estas actividades[11]. Únicamente se limita a señalar que estas actividades “son una amenaza para el desarrollo económico y la capacidad de defensa militar y confirman el interés de los atacantes en la información sensible de las empresas e instituciones españolas y, en general, occidentales” (Centro Criptológico Nacional, 2018:13).

Actividades dirigidas a obtener beneficios económicos

Este apartado es uno de los que presentan mayores diferencias en relación a ediciones anteriores. El CCN-CERT 2018 se limita a exponer ejemplos de actividades por las cuales los atacantes han obtenido beneficios económicos, como son el fraude al CEO[12], infecciones de malware en los sistemas bancarios o la utilización de información robada para realizar inversiones, mientras que el informe CCN-CERT 2017señala actividades como el crime-as-a-service, destaca el uso del ransomware, expone la tipología de ataques que sufrieron las entidades financieras o señala algunos de los métodos de monetización, a partir de la exposición de datos y gráficos para ilustrar estas actividades. El CCN-CERT 2018 no aporta datos generales sobre la delincuencia en el ciberespacio, como si se encuentran en el CCN-CERT 2017, sino que únicamente expone casos concretos que no aportan una visión global de estas actividades.

 

Agentes de las amenazas

El capítulo señala los actores de las amenazas más significativos durante el año 2017, en relación a la intención de éstos y sus capacidades, advirtiendo de la complejidad de determinar la atribución de un ciberataque y de la intención final de éste.

Los agentes de estas amenazas coinciden en ambas ediciones[13] y las únicas diferencias las encontraríamos en los nombres (profesionales del ciberdelito / organizaciones delincuenciales), en que el término ciberyihadismo está presente en el título (lo encontramos desarrollado en CCN-CERT 2017, aunque no aparezca en el nombre del apartado) y que no hay referencias a los denominados “ciberinvestigadores”.

Los Estados

El CCN-CERT 2018, al igual que el CCN-CERT 2017, considera que los actores estatales son, junto a los criminales profesionales, la mayor amenaza en el ámbito de la ciberseguridad. El informe señala el crecimiento y especialización de las capacidades de los Estados en actividades de ciberespionaje y la inversión que éstos realizan en lo que denomina “capacidades digitales ofensivas”, es decir, en “ciberguerra” o “guerra híbrida”. Afirma que los Estados, de forma similar a las organizaciones criminales, están en una permanente búsqueda de métodos más sofisticados, lo que implica una mayor dificultad para ser descubiertos. A diferencia del CCN-CERT 2017, que señala algunas de las motivaciones concretas de los Estados para atacar o expone ejemplos concretos de estas actividades, el CCN-CERT 2018 no aporta ningún dato o información dónde apoyar sus afirmaciones, como al asegurar que más de 100 países poseen la capacidad para realizar ataques de ciberespionaje o que las víctimas de estas actividades fueron agencias gubernamentales “de muchos países del mundo – incluyendo España” (Centro Criptológico Nacional, 2018: 16).

Profesionales del ciberdelito

Son una de las principales amenazas en el ciberespacio, entre otras razones, porque están en una búsqueda constante de nuevos y más sofisticados métodos con los que realizar sus actividades delictivas. La tendencia de los últimos años es que los objetivos de sus ataques serían víctimas concretas en lugar de ser ataques no dirigidos, debido a que éstas acciones les permitirían obtener mayores beneficios económicos, siendo los sistemas de bancos, empresas o instituciones financieras sus principales objetivos. En comparación con el informe CCN-CERT 2017, en esta ocasión no se destacan las actividades de extorsión a través del ciberespacio, ni el uso de técnicas de anonimización que dificultan el seguimiento e identificación de los autores ni las actividades deCybercrime-as-a-service.

Terrorismo y ciberyihadismo

Este punto se centra exclusivamente en las actividades del terrorismo yihadista y, en concreto, en las actividades realizadas por el grupo Daesh/ISIS, debido a que “constituyen en la actualidad la principal amenaza de este tipo” (Centro Criptológico Nacional, 2018: 21). En la misma línea que ya apuntaba el CCN-CERT 2017, estas actividades habrían consistido únicamente en desfiguraciones de páginas web y ataques DDoS, todo ello con un objetivo propagandístico, y no en ciberataques sofisticados. Sin embargo, si señala su capacidad para el reclutamiento a través del ciberespacio.

Hacktivistas

El análisis de los grupos hacktivistas, los cuales realizan sus actividades por motivos ideológicos, es uno de los apartados más reducidos de este bloque, aunque afirma que la amenaza del hacktivismo “podría crecer a la vista de la cada vez mayor disponibilidad de productos, servicios y herramientas para desarrollar ataques con un significativo impacto social” (Centro Criptológico Nacional, 2018: 23). A pesar de exponer algunos ejemplos de estas actividades, no indica el tipo de ataque que habrían realizado estos individuos o grupos durante 2017 ni tampoco cuáles han sido sus objetivos, como si señalan, aunque de forma breve, el CCN-CERT 2016 y el CCN-CERT 2017.

Cibervándalos y script kiddies

Si en el punto anterior la motivación era ideológica, en este caso los autores llevarían a cabo estas acciones para demostrar sus habilidades o únicamente por simple diversión. El informe advierte del peligro que supone la disponibilidad pública de determinadas herramientas, lo que facilitaría la realización de sus actividades, de forma similar a lo que indica el CCN-CERT 2017. Por el contrario, no indica ejemplos de estas acciones o quiénes han sido los objetivos principales durante 2017, sino que tan sólo hay una breve referencia a la botnet Mirai, que fue un incidente ocurrido en el año 2016.

Actores internos

Este es el apartado más reducido, tanto de los agentes de las amenazas como del informe en su conjunto. Únicamente indica que estos actores podrían realizar sus acciones de forma intencionada (por cuestiones personales, como una venganza) o de forma inconsciente (errores o descuidos). A diferencia del CCN-CERT 2017, en esta ocasión no hace referencia a los ciberinvestigadores[14].

Organizaciones privadas

El documento señala algunos de los motivos de las organizaciones para realizar ciberataques como son la confidencialidad de los sistemas de los competidores, objetivos económicos, mejoras en la posición competitiva o el uso comercial de la información obtenida de forma ilícita, a la vez que señala el uso comercial que algunas empresas realizaron con los datos de sus usuarios, citando a modo de ejemplo la cesión de datos de Facebook a la empresa Cambridge Analytica.

 

Vulnerabilidades

Este es capítulo el más breve de todo el informe, en el que pretende exponer las vulnerabilidades más importantes durante el año 2017 y, a la vez, es el que más diferencias presenta respecto al mismo capítulo del documento CCN-CERT 2017, tanto por su extensión como por el contenido.

El CCN-CERT 2018 hace referencia a algunas de las vulnerabilidades en los navegadores y en la infraestructura web así como del hardware y el firmware, a las que  considera un peligro significativo. Pero más allá de indicar que todos los navegadores presentan vulnerabilidades y que continuamente se descubren nuevas, no expone cuáles han sido las más significativas durante el año 2017. De igual forma sucede con el hardware y firmware, dónde a pesar de afirmar que este tipo de vulnerabilidades son un estímulo para agentes sofisticados y que en el año 2017 hubo casos “especialmente significativos”, no desarrolla ninguno de estos incidentes. Situación distinta encontramos en el capítulo de vulnerabilidades del CCN-CERT 2017, el cuál es un bloque básicamente técnico, dónde expone que se entiende por vulnerabilidades, cuales fueron las tendencias o presenta información general sobre las vulnerabilidades con datos concretos y detallados.

 

Métodos de Ataque

El séptimo capítulo hace referencia a los métodos de ataque más utilizados durante el año 2017y representa la parte más técnica del documento a la vez que uno de los capítulos más extensos. El documento CCN-CERT 2018 clasifica en ocho apartados los métodos de ataque más utilizados en el 2017, lo que representa tres más que en el CCN-CERT 2017, pero cinco menos que en el CCN-CERT 2016[15]. El CCN-CERT 2018 destaca que las técnicas más consolidadas en el año 2017 han sido el ransomware, principalmente por parte de grupos delictivos, y las APTs, siendo los estados los agentes más activos en esta técnica:

 

 

Esta diferencia se debe, en parte, al tipo de clasificación que se hacen en las distintas ediciones de Ciberamenazas y Tendencias. Sirva de ejemplo la clasificación del Ransomware. Mientras que el CCN-CERT 2018 lo clasifica como un apartado específico, en los informes CCN-CERT 2016 y CCN-CERT 2017 lo encontramos incorporado en el apartado de código dañino. Caso contrario ocurre con los Exploits Kits, que en elCCN-CERT 2018 se encuentra agrupados junto al código dañino mientras que en CCN-CERT 2017 y CCN-CERT 2016 se encuentran clasificados individualmente. En cuanto a las herramientas que se mantienen respecto al año anterior se encuentran el Código Dañino y Exploits Kits, los ataques contra la industria de la publicidad[16], los ataques web y los Ataques de Denegación de Servicio (DDoS). Por otro lado el CCN-CERT 2018 incorpora como métodos de ataque específicos el software para ciberespionaje (APT), el Ransomware, Phishing y Spammingy el Internet of Things (IoT). En relación al apartado “la ocultación del atacante” del CCN-CERT 2017, en esta última edición no está presente.

Software para ciberespionaje (APT)

Según el informe, las técnicas de APTs[17] (Amenaza Persistente Avanzada) son las más utilizadas por los estados. Afirma que estas acciones de ciberespionaje son consideradas por parte de las empresas internacionales como una de las amenazas más importantes debido al robo de propiedad intelectual y apunta al posible origen de algunos de los grupos que llevan a cabo estas actividades. Entre las acciones de ciberespionaje más significativas del año 2017 destaca:

Gráfico 1.Principales ataques de ciberespionaje y los grupos que las realizaron

 

 

Fuente: Ciberamenazas y Tendencias 2018. CCN-CERT IA-09/18. Resumen Ejecutivo, p. 11.

Aunque el CCN-CERT 2017 hace escasas referencias a este método de ataque, si indicaba en el capítulo de tendencias que “en los últimos años, el número de incidentes relacionados con APT ha crecido significativamente” (CCN-CERT 2017, p. 79).

Ransomware

El ransomware es, junto al código dañino y los exploits kits, los dos apartados más extensos en relación a los métodos de ataque. El CCN-CERT 2018 señala que el ransomware es una de las actividades más lucrativas y que éste se encontraba presente en el 60% del código dañino utilizado en los ataques del 2017, de forma similar a lo apuntado por el CCN-CERT 2017,que establecía que el ransomware era la variante de código dañino que más había afectado a los sistemas de información en el año 2016 en todo el mundo (Centro Criptológico Nacional, 2017: 47). El informe destaca que durante el año 2017 se evidenció un incrementaron de la sofisticación de este tipo de ataques, a la vez que se produjo un incremento del uso del ransomware para atacar objetivos concretos, lo que generaría mayores beneficios que los ataques no dirigidos (en línea con lo señalado en el apartado “Profesionales del ciberdelito”), siendo el sector sanitario el más atacado por ransomware, por encima del sector público o financiero. Entre los métodos de infección el informe afirma que el correo electrónico fue el método más utilizado para la distribución de ransomware, aunque destaca la modalidad dirigida a los dispositivos móviles, que habrían alcanzado las 218.625infecciones durante el primer semestre de 2017, las dirigidas al secuestro de dispositivos médicos[18] o, en mucha menor medida, las infecciones dirigidas al secuestro de televisores.

Phishing y Spamming

El CCN-CERT 2018 clasifica el phishing[19], al igual que el CCN-CERT 2016,como uno de los métodos de ataque específicos, mientras que el CCN-CERT 2017 no lo cataloga como una herramienta concreta pero indica referencias a lo largo del informe y afirma que era uno de los vectores de ataque más significativos (Centro Criptológico Nacional, 2017: 18). De forma similar, la edición de 2018 considera que es el vector de infección con más éxito y añade que este tipo de ataques han aumentado, tanto en volumen como en sofisticación (Centro Criptológico Nacional, 2018: 35-36). Por otro lado, si en su origen consistía en envíos masivos de spam sin objetivos concretos, actualmente el objetivo son víctimas concretas, lo que se denomina spear-phishing, y variantes como el phishing-as-a-service o el whaling[20].

Por su parte, el spam[21]continuó siendo el principal medio para distribuir de forma masiva código dañino a través de archivos adjuntos y URL dañinas aunque, según señala el informe, el objetivo principal es la distribución de publicidad. A pesar de estas consideraciones, en el CCN-CERT 2017 no aparece clasificado como un método de ataque y apenas encontramos referencias.

Código dañino y Exploit kits

Referencias sobre estas herramientas las encontramos a lo largo de las ediciones de 2016, 2017 y 2018. Según el CCN-CERT 2018 el código dañino se diversificó y aumentó su sofisticación, aunque habría disminuido ligeramente en cuanto al número absoluto de este tipo de ataques. A diferencia del CCN-CERT 2017, en esta edición no expone datos concretos sobre el número total de incidentes gestionados de código dañino[22], ni sus principales vías de instalación, ni tampoco aporta datos sobre las infecciones de código dañino en los ordenadores, aunque si aporta referencias concretas para los dispositivos móviles[23]. Parte de su análisis se centra en el código dañino contra el sector financiero, del cual destaca que actualmente las acciones no se dirigen únicamente contra los clientes, aunque sigan siendo las principales víctimas, sino que también se dirigen contra las propias entidades, a través de correos de spear phishing o ataques de watering hole[24].

En relación al uso de los exploit kits[25],el CCN-CERT 2018 afirma que, aunque éstos continúan siendo una herramienta importante para la propagación de código dañino, su número dese redujo de forma significativa, pero no aporta ninguna información al respecto. Aunque sí encontramos unas breves referencias en el CCN-CERT 2017, éstas se centran en el peligro que supone su comercialización.

Ataques contra la Industria de la Publicidad

La “publicidad dañina” o “malvertising”, consiste en la infección de sistemas a través de la distribución de código dañino en anuncios de sitios web. El documento indica que este tipo de infección está en aumento, apuntando un crecimiento del 132% del número total de casos de publicidad dañina a nivel mundial[26]. Además señala que, según PageFair, se ha producido un aumento del 20% en el uso de adblockers[27] en los últimos años.

Ataques Web

Al igual que la herramienta anterior, se mantienen respecto a la edición de 2017, aunque en esta ocasión el informe distingue entre los ataques basados en web y los ataques a aplicaciones web. Según el informe, los ataques basados en web[28]fueron una de las principales amenazas durante el año 2017 y afirma que esta tendencia se mantendrá en los próximos años.

En relación a las aplicaciones web[29], el CCN-CERT 2018 afirma que “las patrocinadas por el sector financiero y el Sector Público continúan siendo las más atacadas, aunque, en relación con 2016, ha podido observarse un cierto descenso en la frecuencia de tales ataques” (Centro Criptológico Nacional, 2018: 46). También señala que durante el año 2017 “los sitios web de las instituciones gubernamentales y las empresas TIC siguen siendo los objetivos preferidos: con un promedio de 1.346 ataques a aplicaciones web en el sector TIC, 1.184 en el sector gubernamental, 610 en el sector sanitario y 44 en el sector educativo” (Centro Criptológico Nacional, 2018: 49). Pero, si se analizan estos datos comprobamos que hacen referencia, únicamente, al promedio de número de ataques diarios por sector del segundo trimestre de 2017 y, por lo tanto, lo que hace el CCN-CERT 2018 es extrapolar una información trimestral presentándola como un promedio anual. Si bien es cierto que los sitios web más atacados durante el primer y segundo trimestre de 2017 fueron las instituciones gubernamentales y las empresas TIC, también es cierto que, en comparación con el primer trimestre, el número de ataques a lasaplicaciones web de sitios gubernamentales durante el tercer y cuarto trimestre de 2017 tuvieron un descenso importante, que se mantuvo a lo largo de 2017[30].

Por último, y en comparación con el CCN-CERT 2017, la edición de 2018 no indica datos sobre el porcentaje de los vectores de ataque más importantes, ni tampoco establece la distribución por países de origen y destino de estos ataques, datos que si encontramos en la edición de 2017[31].

Internet of Things (IoT)

En cuanto al Internet de las Cosas[32], el CCN-CERT 2018 establece quelas vulnerabilidades de estos dispositivos han sido explotadas a lo largo de 2017 y que se han utilizado para llevar a cabo ciberataques, espiar a los usuarios o manipular su entorno, debido a que disponen de una seguridad baja, contraseñas predeterminadas o la ausencia de actualizaciones para corregir determinadas vulnerabilidades, donde dispositivos como routers o cámaras web habrían sido utilizados para realizar ataques de denegación de servicio. En relación con la edición CCN-CERT 2017, aunque el IoT no estaba categorizado propiamente, encontramos distintas referencias a lo largo del informe como algunas consideraciones relativas a este tipo de dispositivos en el capítulo de tendencias (Centro Criptológico Nacional, 2017: 82).

Ataques de Denegación de Servicio (DDoS)

Según el CCN-CERT 2018, los ataques DDoS[33] se están incrementando. Expone que según un análisis de la empresa Kaspersky Lab, más del 33% de las compañías examinadas hicieron frente a un ataque DDoS durante el año 2017, mientras que en el 2016 esta incidencia fue de un 17%, lo que se traduce en un incremento de un 16% en solo un año[34]. El informe también señala que el 53% las organizaciones afectadas durante el primer semestre de 2017 informaron que los ataques DDoS sirvieron para encubrir otro tipo de ataques[35].Esta herramienta, además de incrementarse con respecto al año anterior, también han desarrollado su tamaño debido a la alta vulnerabilidad de los dispositivos IoT. El documento señala que “a finales de 2017, la botnet Mirai fue protagonista del mayor ataque DDoS de la historia por ancho de banda: más de 1Tbps” (Centro Criptológico Nacional, 2018: 53). En realidad, este ataque se produjo en el año 2016 y ya no se consideraría el mayor ataque DDoS de la historia.: en febrero de 2018 un ataque DDoS habría alcanzado un tráfico de 1,35 Tbps, superando a Mirai, y en marzo de 2018 se  habría registrado un ataque con un pico de tráfico de 1,7 Tbps[36].

Aunque el CCN-CERT 2018 expone casos concretos como el citado anteriormente, de ataques DDoS-as-a-service o de grupos como Armanda Collective, el documento aporta muchos menos datos que el CCN-CERT 2017, el cual realiza una comparativa de los ataques DDoS registrados en los años 2015 y 2016, indica algunas cifras aproximadas sobre el coste de estos ataques (así como su inversión en mitigación),informa del tiempo estimado de la detección de los ataques DDoS y su duración, o menciona algunos de los países de origen de éstos ataques.

 

Medidas

Este capítulo expone algunas de las medidas que se desarrollaron durante el año 2017con el objetivo de “lograr unos sistemas de información más resilientes” (Centro Criptológico Nacional, 2018: 56). Con una estructura similar al informe CCN-CERT 2017[37], se pueden distinguir dos grandes ámbitos de análisis. El primero de ellos, dedicado a las medidas dirigidas a los individuos, a las tecnologías y a las organizaciones, mientras que un segundo ámbito se centra en las cuestiones estratégicas y legales, principalmente a nivel nacional y europeo, dónde también realiza una exposición de las actividades del propio CCN-CERT.

En relación a los usuarios, el documento señala algunas de las medidas de carácter muy general implementadas por los navegadores de Internet (Google Chrome, Mozilla Firefox), como la señalización de “inseguros” de los sitios web que no utilicen protocolo HTTPS, pero no hace referencia a los aspectos fundamentales que señala el CCN-CERT 2017, y que continúan siendo vigentes, como son las cuestiones relacionadas con la privacidad, la concienciación, la falta de técnicos y juristas en ciberseguridad y ciberdefensa, así como la falta de programas formativos en estos campos (Centro Criptológico Nacional, 2017: 61-64).

En cuanto a las medidas relacionadas con la tecnología, el CCN-CERT 2018 se centra en las inconveniencias de utilizar mensajes SMS para autentificar dos factores debido a las elevadas posibilidades de interceptación de este tipo de mensajes; en la certificación europea de los dispositivos IoT; en la claridad de las medidas de seguridad de los productos, lo que permitiría a los usuarios adquirirlos en base a estos criterios; en la explotación de las vulnerabilidades esenciales del software[38]; y en la cada vez más habitual utilización de técnicas de cifrado.

El apartado dedicado a las medidas dirigidas a las organizaciones, el informe se centra en el nivel de seguridad que los proveedores aportan a las organizaciones, públicas y privadas, que en muchos casos no sería la adecuada, y como los ataques DDoS y las infecciones por ransomware se han incorporado como una actividad cotidiana de estas organizaciones.

Por otro lado el documento señala algunas de las iniciativas legislativas que se desarrollaron en el ámbito europeo y nacional durante 2017 y 2018, como el Reglamento Europeo eIDAS, el Reglamento General de Protección de Datos o la transposición de la Directiva NIS[39]. En otro nivel, realiza algunas referencias a la importancia de la protección de la soberanía de los países, con referencias al Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, y expone algunas consideraciones en relación al control de los gobiernos sobre Internet y la divulgación responsable de las vulnerabilidades.

Por último, señala algunas de las actividades realizadas por el CCN-CERT a lo largo del año 2017, en las que destacan la gestión de los incidentes y su tipología, la creación del Centro de Operaciones de Ciberseguridad (SOC), el desarrollo de los Sistemas de Alerta Temprana (SAT), las actividades que ha desarrollado en el ámbito de la formación (cursos, formación a distancia) así como la publicación de guías e informes.

 

Tendencias

El CCN-CERT 2018 concluye que “teniendo en cuenta la evolución de los ciberincidentes en 2017 es de esperar que los futuros ciberataques incrementen su grado de sofisticación, virulencia y osadía” (Centro Criptológico Nacional, 2018: 81), enumerando catorce tendencias para los próximos meses:

1. Aumento de Ataques por Denegación de Servicio (DoS-DDoS), con algunas variantes como la Denegación de Servicio Permanente (PDoS).  Se espera una mayor sofisticación de los ataques DoS de telefonía (TDoS) así como un aumento de los ataques de denegación de servicio combinados con ransomware (Ransom-DoS),siendo los sistemas sanitarios un posible objetivo.

2. Disminución del uso de Exploits-kits, aunque pueden centrarse en técnicas de ingeniería social para atacar las debilidades humanas.

3. Incremento del ciberespionaje, bien por razones geopolítcas, económicas o por los objetivos estratégicos de los países. El robo de la propiedad intelectual y de secretos serán los objetivos del crimen organizado y de los Estados.

4. Incremento de ataques ransomware contra objetivos concretos, como pueden ser dispositivos sanitarios. También señala la posibilidad de que se realicen campañas de extorsión con la amenaza del uso de ransomware.

5. Aumento de las brechas de seguridad, y filtración masiva de datos en la nube.

6. La escasez de personal afectará a la implantación del Reglamento General de Protección de Datos (RGPD). Señala además la posibilidad de que a finales de 2018 se produzcan cierres de compañías debido a las sanciones por el incumplimiento del RPGD.

7. Desarrollo de las tecnologías biométricas y disminución de los accesos a los dispositivos basados en usuario y contraseña.

8. Incremento de la automatización, aprendizaje automático e inteligencia artificial para hacer frente a los ciberataques, principalmente por la falta de personal especializado.

9. Aumento de amenazas a los dispositivos móviles, como la propagación de ransomware.

10. Mayor regulación del Internet of Things (IoT), principalmente a nivel legislativo y aumento del interés de los atacantes por controlar este tipo de sistemas.

11. Mayor sofisticación de la delincuencia, como se ha evidenciado en los últimos años. La inteligencia artificial incrementará esta tendencia.

12. Desarrollo de ataques contra redes sociales, para actividades de ingeniería social.

13. Incremento de los códigos dañinos sin archivos.Con la extensión del uso de las criptomonedas, se prevé  un código dañino centrado en la sustracción de información de estas cuentas.

14. Crecimiento de los Proveedores de Servicios Gestionados de Seguridad (MSSP).

 

Conclusiones

El informe Ciberamenazas y Tendencias es actualmente uno de los documentos de referencia a nivel nacional en el ámbito de la ciberseguridad, tanto por el tipo de información que gestiona,  por el volumen de ésta, así como por la autoría del documento. Debido a los rápidos cambios que se producen en el entorno digital, cada una de las ediciones incluyen cambios respecto al año anterior, ya sea porque incorporan nuevos tipos de ciberincidentes, por las continuas transformaciones en los métodos de ataque que utilizan los agentes de las amenazas o por las medidas que se introducen para hacer frente a los nuevos desafíos. Pero a su vez, y probablemente debido en gran medida a la novedad que todavía representa el ciberespacio, encontramos importantes carencias tanto en el contenido como en sus objetivos.

Como se ha expuesto en el presente trabajo, el CCN-CERT 2018 está compuesto por dos ámbitos claramente diferenciados. El primero, expone y analiza los incidentes ocurridos durante el año 2017, mientras que un segundo ámbito señala las tendencias para los próximos meses. Pero esta composición es también una de las debilidades del informe Ciberamenazas y Tendencias. Edición 2018, por algunos de los motivos que se indican a continuación.

Por un lado, aunque el período de análisis del documento corresponde al año 2017, parte de la información expuesta se centra en el año 2016, período que correspondería al informe CCN-CERT 2017 y no al CCN-CERT 2018, como se ha analizado en el apartado “Ataques contra la Industria de la Publicidad”. De hecho, el propio informe advierte que de forma excepcional el período del cuarto capítulo (Ciberincidentes) abarca desde el segundo semestre de 2016 a los primeros meses de 2018, con el objetivo de facilitar la comprensión de los hechos, tal y como se ha comprobado en el apartado “Actividades dirigidas a la disrupción de sistemas”, que se centra principalmente en el año 2016. Pero estos hechos generan nuevos interrogantes: si se destacan este tipo actividades o incidentes como sucesos relevantes del año 2017 y posteriormente se citan únicamente hechos ocurridos en el año 2016, ¿quiere decir que no se han producido los hechos que se anuncian en 2017? Y en el caso de que se hayan producido, ¿por qué no se citan?

Por otro lado, aunque las estructuras de las ediciones 2017 y 2018 son idénticas, el contenido de ambos informes difieren completamente de una edición a otra. Mientras el CCN-CERT 2017 aporta una gran cantidad de datos a través de gráficos, cuadros, esquemas o informes, el CCN-CERT 2018, tal y como se ha señalado constantemente a lo largo del presente trabajo, carece de muchas de estas informaciones, siendo uno de los aspectos más llamativos, a la par que negativos, del informe. La falta de datos concretos sobre los que sustentar las afirmaciones que realiza resta credibilidad al informe en su conjunto, tal y como se ha expuesto en los apartados “Actividades de ciberconflictos/ciberguerra/guerra híbrida”, “Actividades de ciberespionaje” o se ha evidenciado en la práctica totalidad del capítulo “Agentes de las amenazas”. Este hecho, además, impide realizar cualquier tipo de análisis comparativo entre ambos documentos. Por ello, el informe debería establecer una metodología que permitiera realizar esta comparativa entre las distintas ediciones, por ejemplo, estableciendo un marco común con información general en cada edición (número de incidentes gestionados, procedencia y destino de los ataques, clasificados por países o por sectores) y, posteriormente, incluir datos específicos de cada edición (nuevos tipos de incidentes, qué actores han sido los más relevantes en el último año o nuevos métodos de ataque que se hayan desarrollado).

También es interesante señalar, aunque en menor medida, que en ocasiones se ha hecho un uso erróneo de la información presentada, como ocurre en el apartado “Ataques web” del capítulo Métodos de Ataque, en el que se exponen unos datos que son trimestrales y  se presentan como tendencias anuales, sin considerar los meses anteriores ni posteriores, desvirtuando por lo tanto la propia información que aporta.

Según señala el propio informe, su objetivo es servir a los responsables de seguridad de las TIC, a las empresas de interés estratégico y a los profesionales y ciudadanos del país. Pero con todo lo expuesto anteriormente, difícilmente se pueden establecer unas conclusiones que nos permitan determinar unas posibles tendencias futuras, que era uno de los aspectos de mayor relevancia del informe, desarrollar las medidas necesarias para hacer frente a las amenazas del ciberespacio o contribuir a una mayor concienciación. Por lo tanto, y con propósito de ser útil para lograr este objetivo, a continuación se indican algunas recomendaciones para las próximas ediciones:

  • Definir claramente conceptos complejos y novedosos para una mayor comprensión del documento;
  • Incluir datos precisos y actualizados sobre los hechos que se exponen;
  • La información debe centrarse en el año objeto de estudio, aunque se incluyan referencias puntuales de otros períodos;
  • Debe indicarse claramente el período al que corresponden los datos que aporta;
  • No utilizar información parcial y presentarla como anual;
  • Establecer una metodología común para las ediciones posteriores que permita comparativas para determinar la evolución de las amenazas del ciberespacio. 

Nota sobre el autor:

Javier Miguel es Analista en Seguridad y Defensa, Licenciado en Historia por la Universitat de Barcelona y Máster en Relaciones Internacionales por la Universidad Complutense de Madrid.

 

Referencias:

Centro Criptológico Nacional (2015), “Glosario y Abreviaturas. CCN-STIC-401”. Disponible en: https://www.ccn-cert.cni.es/pdf/guias/glosario-de-terminos/22-401-descargar-glosario/file.html

-  (2016)“Ciberamenazas 2015 / Tendencias 2016. Resumen Ejecutivo”. CCN-CERT IA-09/16. Disponible en: https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/1483-ccn-cert-ia-0916-ciberamenazas-2015-tendencias-2016-resumen-ejecutivo/file.html

-  (2017)“Ciberamenazas y Tendencias. Edición 2017”. CCN-CERT IA-16/17. Disponible en: https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2224-ccn-cert-ia-16-17-ciberamenzas-y-tendencias-edicion-2017/file.html

-  (2018),“Ciberamenazas y Tendencias. Edición 2018”. CCN-CERT IA-09/18. Disponible en: https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2835-ccn-cert-ia-09-18-ciberamenzas-y-tendencias-edicion-2018-1/file.html

 

 


[1] El CERT es el Computer Emergency Response Team o Computer Emergency Reaction Team (RD 3/2010, de 8 de enero), por sus siglas en inglés. Entre las funciones del CERT Gubernamental nacional se encuentran la gestión de los incidentes de seguridad en las redes y sistemas de las Administraciones Públicas y de las empresas de sectores estratégicos para la seguridad nacional así como la coordinación entre los distintos CERTs.

[2]RD 421/2004 de 12 de marzo, por el que se regula el CCN y el RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

[3]El informe indica que para una mayor comprensión de este capítulo no se centra exclusivamente en el año 2017, sino que  incluye datos relativos al último semestre de 2016 y principios de 2018 (Centro Criptológico Nacional, 2018: 5).

[4]El CCN-CERT 2018 lo clasifica como “Obtención de beneficios económicos”.

[5]El resto de las herramientas: a) Diplomacia y acciones de inteligencia tradicional, b) Actos subversivos y de sabotaje, c) Influencia política y económica, d) Instrumentalización del crimen organizado.

[6]Esta referencia la encontramos en el Resumen Ejecutivo, no en el apartado de Ciberincidentes.

[7]El Profesor Ciencia Política de la Universidad de Granada, Javier Jordán, aporta algunas consideraciones sobre este concepto, Guerra híbrida: un concepto atrápalo-todo (2017). Disponible en: http://www.seguridadinternacional.es/?q=es/content/guerra-h%C3%ADbrida-un-concepto-atr%C3%A1palo-todo

[8]Ver capítulo Métodos de ataque.

[9] El CCN-CERT 2017clasifica este tipo de actividades en ataques DDoS, sabotaje digital, desfiguraciones e infraestructuras críticas.

[10] La botnet es la “Red de equipos infectados por un atacante remoto. Los equipos quedan a su merced cuando desee lanzar un ataque masivo, tal como envío de spam o denegación [distribuida] de servicio” (Centro Criptológico Nacional, 2015: pp. 153-155).

[11]El CCN-CERT 2017 tampoco indica el origen de estas actividades, tan sólo hace referencia a “ciertos estados y empresas extranjeras” (CCN-CERT 2017, p. 12).

[12]Consistiría en que el delincuente se pone en contacto con el departamento financiero de una empresa a través de correo electrónico simulando ser el de un directivo o jefe de departamento, para que éste deposite dinero en una cuenta que controla el delincuente, pudiendo contar con la ayuda de un cómplice.

[13]El CCN-CERT 2016 identifica los mismos actores: 1) Ciberespionaje / Actores estatales / Organizaciones Privadas; 2) Ciberdelito / ciberdelincuentes; 3) Ciberterrorismo / Grupos terroristas; 4) Hacktivismo/hacktivistas; 5) Ciberyihadismo / grupos yihadistas; 6) Cibervandalismo/Vándalos y Script Kiddies; 7) Actores internos; 8) Ciberinvestigadores.

[14]“Son individuos que persiguen el descubrimiento de vulnerabilidades en los sistemas de información al objeto de mostrar públicamente un inadecuado nivel de seguridad” (Centro Criptológico Nacional, 2017: 36).

[15]El CCN-CERT 2016 señala trece herramientas: 1) Herramientas construidas para otros fines; 2) Exploits, exploit-Kits y Exploit Drive-by; 3) Código dañino, ransomware y Cryptoware; 4) Spam y Phishing / Spearphishing; 5) Botnets; 6) Ataques DDoS; 7) Ofuscación; 8) Ingenieria Social; 9) Watering Hole; 10) Librerías Javascript; 11) Las macros como vector de ataque; 12) Routers inalámbricos; 13) Robo de identidad.

[16]Los ataques contra la industria de la publicidad del CCN-CERT 2018 serían la misma herramienta que en el CCN-CERT 2017 se denomina “publicidad dañina”.

[17]La APT (Advanced Persistent Threat, en inglés) “es un ataque selectivo de ciberespionaje o cibersabotaje llevado a cabo bajo el auspicio o la dirección de un país, por razones que van más allá de las meramente financieras/delictivas o de protesta política” (Centro Criptológico Nacional, 2015: 67).

[18]Conocido MEDJACK o “dispositivo médico secuestrado”, el CCN-CERT 2018 considera que es previsible que se produzca un aumento de este tipo de infecciones debido al elevado número de dispositivos que disponen los centros médicos y hospitales (Centro Criptológico Nacional, 2018: 34-35).

[19] “Método de ataque que busca obtener información personal o confidencial de los usuarios por medio del engaño o la picaresca, recurriendo a la suplantación de la identidad digital de una entidad de confianza en el ciberespacio” (Centro Criptológico Nacional, 2015: 662).

[20]El whaling o ‘caza de ballenas’ es una “variante del spear phishing, que se caracteriza porque el fraude está dirigido a miembros concretos de la organización, principalmente ejecutivos de alto nivel, con el objetivo de obtener sus claves, contraseñas y todo tipo de información confidencial que permita a los atacantes el acceso y control de los sistemas de información de la empresa” (Centro Criptológico Nacional, 2015: 933).

[21]El spam o correo basura es “todo correo no deseado recibido por el destinatario, procedente de un envío automatizado y masivo por parte del emisor. El ’spam’ generalmente se asocia al correo electrónico personal, pero no sólo afecta a los correos electrónicos personales, sino también a foros, blogs y grupos de noticias”(Centro Criptológico Nacional, 2015: 855).

[22]El CCN-CERT 2017 señala que el CERT Gubernamental Nacional gestionó en el año 2016 un total de 20.940 incidentes, de los cuales 11.237 (el 53,6%) correspondían con la tipología de código dañino, de los cuáles el 86,64% de los casos eran troyanos y el 9,2%, ransonmware.

[23]En el año 2017 se produjo un descenso en el número total de dispositivos afectados, pero paralelamente hubo un incremento de su sofisticación (Centro Criptológico Nacional, 2018: pp. 39-40).

[24]“Estrategia de ataque informático. El atacante quiere atacar a un grupo en particular (organización, sector o región) (…) Esta estrategia basa su eficacia en la confianza que el grupo ha depositado en las páginas web que sus miembros visitan con asiduidad. Es eficaz incluso con grupos concienciados que son resistentes a spear phishing y otras formas de phishing.” (Centro Criptológico Nacional, 2015: 930).  

[25] “Tienen la capacidad de identificar vulnerabilidades en el navegador del usuario o en aplicaciones web y explotarlas automáticamente. Frecuentemente, se dirigen a complementos del navegador (tales como Java o Adobe Flash)” (Centro Criptológico Nacional, 2018: 44).

[26]El informe extrae este dato del informe RiskIQ’s 2016 Malvertising Report. Este informe anual sobre publicidad maliciosa hace un balance de lo ocurrido en el año 2016, y no 2017, que sería el período de análisis de este documento. Según los datos de febrero de 2018 de la empresa RiskIQ, aunque se ha producido un aumento delmalvertising de 2,8% en el año 2017 respecto al 2016, en el tercer y cuarto trimestre de 2017 hubo una disminución de este tipo de amenazas. Información disponible en: https://www.riskiq.com/blog/external-threat-management/q4-malvertising-roundup/

[27]El adblock es una herramienta que bloquea la publicidad. Los datos que indica el CCN-CERT 2018 son del informe The state of the blocked web. 2017 Global Adblock Report de la compañía PageFairy hacen referencia, de nuevo, al año 2016 y no al 2017, tal y como sería el objetivo del presente informe. 

[28]“Son aquellos que hacen uso de sistemas y servicios habilitados para la web, tales como navegadores (y sus extensiones), sitios web (incluidos los sistemas de gestión de contenido), los componentes TIC de servicios web y las propias aplicaciones web” (Centro Criptológico Nacional, 2018: 45).

[29]Son “los ataques dirigidos contra aplicaciones web, servicios web y aplicaciones móviles” (Centro Criptológico Nacional, 2018: 46).

[31]A pesar de esta información, hay que señalar que el CCN-CERT 2017 utiliza los datos de un trimestre concreto, en vez de analizar la evolución durante el año 2016 (Centro Criptológico Nacional, 2017: 58).

[32]IoT, por sus siglas en inglés. “Actualmente se refiere a redes de objetos físicos: artefactos, vehículos, edificios, electrodomésticos, atuendos, implantes, software... en definitiva, sensores que disponen de conectividad en red que les permite recolectar información de todo tipo” (Centro Criptológico Nacional (2017), Buenas Prácticas en Internet de las Cosas. CCN-CERT BP-05/16, p. 4).

[33]“Se entiende como denegación de servicio, en términos de seguridad informática, a un conjunto de técnicas que tienen por objetivo dejar un servidor inoperativo. Mediante este tipo de ataques se busca sobrecargar un servidor y de esta forma no permitir que sus legítimos usuarios puedan utilizar los servicios prestados por él (…) Un método mas sofisticado es el Ataque de Denegación de Servicio Distribuido (DDoS), mediante el cual las peticiones son enviadas, de forma coordinada entre varios equipos, que pueden estar siendo utilizados para este fin sin el consentimiento de sus legítimos dueños” (Centro Criptológico Nacional, 2015: 359-360).

[34] Dependiendo del informe y de la compañía que lo realiza las cifras totales pueden variar completamente. Como ejemplo, el CCN-CERT 2017 hace referencia al informe de la compañía Neustar, October 2016 Worldwide DDoS Attcks & Protection Report: A Steady Threat in the Connected World, en el que afirma que el 73% de las organizaciones encuestadas habría sufrido un ataque DDoS en 2016, tan sólo un año antes. (Centro Criptológico Nacional, 2017: 53). Disponible en: https://www.home.neustar/about-us/news-room/press-releases/2016/octddos

[35] “Infección por código dañino (50%), fuga o sustracción de datos (49%), intrusión de red o piratería (42%) o sustracción económica (26%)” (Centro Criptológico Nacional, 2018: 52).

[37]El CCN-CERT 2017 hace referencia al factor humano, al factor tecnológico, al factor económico y metodológico, a las iniciativas internacionales, y a las iniciativas nacionales. 

[38]Indica el ejemplo de las vulnerabilidades QuadRooter en Android, que se anunciaron en agosto de 2016,  además de la publicación de estudios sobre la explotación de las vulnerabilidades relacionadas con el software. Pero, de nuevo, el documento hace referencia a medidas o casos concretos que han sucedido en 2016 y no durante el 2017.

[39]Directiva (UE) 2016/1148, de 6 de julio.

 

 

ISSN: 2340-8421.

 

Licencia Creative Commons
Bajo Licencia Creative Commons Atribución-NoComercial-SinDerivadas 3.0 Unported