En la 2ª Edición del Encuentro Ciberseguridad 360º

11 Feb 2025 Your Name

Un nuevo éxito en #Ciberseguridad360º, esta vez en #Madrid. ¡Gracias por acompañarnos! 👏
🔒 Hemos reunido a grandes profesionales para compartir estrategias, buenas prácticas y experiencias sobre los desafíos de la #ciberseguridad. ¿Has estado?

¡Nos vemos en la próxima edición! pic.twitter.com/Xp1PJtmywC
— Sarenet (@Sarenet) February 11, 2025

Hace unas semanas me contactó un conocido de Sarenet para participar en 2ª Edición Encuentro Ciberseguridad 360º. Me pedían si podía hacer una pequeña panorámica históricas de lo sucedido en ciberseguridad. No soy historiador, así que mi aproximación es de aficionado, pero sí que me gusta traer y recordar historias para contextualizar lo que vamos viendo y tratar de aprender algunas lecciones, así que el otro día estuvimos por allí hablando un ratito del tema.

Empezamos hablando de cuando casi ni había internet y de cómo en los EEUU ya se preocupaban por la seguridad de los programas, y la ligaban a la complejidad, con los experimentos que ya hemos comentado alguna vez CHAPERON 1 y 2 (Penetrate, Exploit, Disrupt, Destroy: The Rise of Computer Network Operations as a Major Military Innovation).

Luego recordábamos a principios de siglo se hablaba de la complejidad de Linux frente a Windows, Windows vs Linux Server (versión archivada), Why Windows is less secure than Linux (versión archivada). Ya estaba a punto de dejar de usar esta información por obsoleta, pero el año pasado nos regalaron esta imagen que ‘revive’ la historia:

FreeCAD's build dependency graph in Debian, made using the `debtree` tool pic.twitter.com/hWP19AolUv
— Kurt WK (@thekurtwk) March 12, 2024

La complejidad es enemiga de la seguridad (y de más cosas), pero allí estamos.

A continuación recordamos el primer gusano, Morris Worm Tunnels Through Internet y cómo la causa era un desbordamiento de memoria (buffer overflow).

Pero si miramos la base de datos de vulnerabilidades, overflow CVE encontramos que es un fallo que sigue apareciendo con frecuencia (uno al día en diversos productos, desde principios de este año, por ejemplo), así que en esto tampoco hemos mejorado.

Luego recordamos aquellos años de virus, troyanos y otros programas maliciosos en general, con nombres como: CIH, Melissa, ILOVEYOU, Code Red, … y cómo dejaron de oirse estas cosas. Pero no es porque hubieran desaparecido, sino porque su creación se había profesionalizado y continuaron creándose, pero con efectos más discretos y más provechosos para sus creadores. De hecho, hay todo un mercado de compra venta de fallos de seguridad (los de día cero, esto es desconocidos para todo el mundo, los preferidos) y sitios para comprar y vender como Zerodium.

A continuación vino el caso de STUXNET y una de las primeras acciones de ciberguerra importantes, These Olympic Games Launched a New Era of Cyber Sabotage con nuevas lecciones aprendidas: da igual lo protegido que esté un sistema, siempre aparecen formas de introducir problemas (Dutch man sabotaged Iranian nuclear program without Dutch government’s knowledge: report una noticia del año pasado que lo devolvió por un momento a la actualidad).

Pero este caso es interesante porque una vez que se despliega una ‘solución’ de este tipo es muy difícil que sólo afecte a quienes motivaron la acción y pudimos ver cómo afectaba a otros, en W32.Stuxnet.

Esto nos da para pensar un poco:

¿Gobiernos como creadores de programas maliciosos?
Mercados de compra y venta de estos programas
Fallos de día cero utilizados en lugar de informar a los fabricantes
¿Los fallos para defender a tu gente, o para atacar a otros?

Acercándonos un poco en el tiempo recordamos el reciente caso del ataque The Solarwinds cyberattack’ donde se comparten algunas características con el anterior (tiempo dilatado de preparación, fallos de día cero, …) pero donde aparece una novedad que puede resultar muy peligrosa: en lugar de atacar a una empresa u organización atacan a sus proveedores. De esta manera pasan desapercibidos por los sistemas de defensa habituales y además el ataque se puede lanzar a mucha mayor escala. Tal y como nos mostraban en [PDF] Open Source Software Supply Chain Security - Why does it matter? fueron afectados incluso algunos organismos gubernamentales muy imporantes.

Con estos ataques, incluso aunque hagas bien las cosas en tu casa te puedes llevar la sorpresa a través de uno de tus proveedores. Les han dado el nombre de ataques a la cadena de suministro, y han provocado la aparición del Software Security in Supply Chains: Software Bill of Materials (SBOM), esto es, una descripción de las componentes que se incluyen con un programa informático, para poder conocer el problema si alguna de ellas tiene un problema de seguridad. En un país en el que, recordemos, no es obligatorio indicar en la etiqueta del agua embotellada los minerales que contiene (TRANSCRIPT The Bottle vs. Tap Battle Finale).

Para terminar con las historias y acercándonos todavía más en el tiempo hablamos del caso de los ataques a las personas de las que dependen algunos programas muy importantes para todo el mundo: What we know about the xz Utils backdoor that almost infected the world. Un desarrollador un poco cansado, que sigue manteniendo el programa porque lo ha hecho siempre. Pero, de pronto, se encuentra gente que le empieza a ayudar, luego a presionarle para que se eche a un lado y terminan infectando un producto que podría haber terminado en muchos sitios con efectos muy peligrosos.

Me gusta comentar siempre Why Was SolarWinds So Vulnerable to a Hack? It’s the economy, stupid sobre cómo algunos de estos problemas solo se arreglarán con regulación (bien aplicada y entendida) porque los incentivos están claramente en el lugar equivocado y no defienden a la gente. También, porque hace un par de años volvió a la actualidad, la [PDF] National Strategy to Secure Cyberspace (versión archivada) que promovió George Bush en 2003 y que Joe Biden relanzó/reformuló en 2023 [PDF] National Cybersecurity Strategy (versión archivada). Está por ver si el nuevo presidente hará algo en esta línea o no.

Para terminar, recordamos que la seguridad es un tema complicado porque te pueden dar un golpe por cualquier vía, como puso en evidencia el asunto de los buscas y Hezbollah el año pasado, What we know about the Hezbollah device explosions.

Me lo pasé bien preparando esta presentación, creo que a los asistes les interesó y aprovechamos para ver a viejos conocidos y, como siempre, conocer a nuevas personas. Ya que está preparada y ha alcanzado cierta madurez (diversos fragmentos se van contando a lo largo del tiempo en diversas versiones) estaré encontado de contársela a quien quiera.

Originalmente publicado en En la 2ª Edición del Encuentro Ciberseguridad 360º.

Bitácora de fernand0 Cambiando de aires

En la 2ª Edición del Encuentro Ciberseguridad 360º

Related posts

En la Jornada sobre Ciberseguridad en la era de la IA: retos y oportunidades 24 Jan 2025

La información digital, la web y la permanencia 15 Jan 2025

Algunas estadísticas y datos sobre chatGPT 09 Jan 2025