En el mundo actual, todo lleva el prefijo “ciber” y encontramos términos técnicos, como exploit, malware, RAT y muchos más.
Después de una breve reflexión acerca de cómo comenzar el artículo, me he puesto en la tesitura de situarme en la posición de aquellos que quieren iniciarse en el campo de la ciberseguridad, pero carecen de nivel técnico.
La ciberseguridad, según la definición que expone Kaspersky es “la práctica de defender las computadoras y los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos”.
Se trata, pues, de encontrar el elemento más vulnerable a través del cual los actores maliciosos pretenden acceder; se observa que en el 90 % de los casos es el elemento humano el objetivo de estos.
En cualquier organización podemos encontrar, entre otros, a tres grupos diferenciados en el uso de un sistema informático:
- El equipo de desarrollo: donde encontramos al personal que ha realizado la aplicación usada por el organismo en cuestión. En caso de adquirir la herramienta de una entidad externa, podemos encontrar en este grupo al personal que da soporte al mismo (que pueden ser de la empresa externa o de la propia con formación en el mismo).
- Los administradores del sistema: encontrando en este grupo a las personas dedicadas a la gestión propia de la herramienta y demás recursos compartidos en la empresa.
- Los usuarios: el personal que utiliza habitualmente la aplicación y periféricos de la empresa. Personal de distinta índole y con una variedad de conocimientos informáticos.
Nos centraremos en el último grupo –los usuarios- pues es al colectivo donde se suelen enfocar los ataques para poder acceder al sistema. Tengamos también en cuenta que los usuarios presentan entre ellos distintos niveles. Aprovecharán el bajo nivel informático del usuario o realizarán ingeniería social con la finalidad de atacar usando los gustos y preferencias del objetivo.
Sirva como ejemplo lo ocurrido con STUXNET en el año 2009, donde se utilizó este gusano para inutilizar varias centrifugadoras que eran utilizadas en centrales nucleares iraníes. Se aprovechó una vulnerabilidad del sistema de manejo de las mismas. Para introducir dicho gusano en el sistema, se usó a un empleado de una de las centrales, siendo el procedimiento el siguiente: el virus se puso en un pendrive; previamente, se buscó un empleado en una de las centrales con acceso al sistema (SCADA) a infectar que cumpliera con ciertos requisitos que pudieran facilitar la infección. Una vez que tuvieron el objetivo claro, dejaron a STUXNET en un pendrive que fue
“perdido” en el aparcamiento cerca del lugar donde estacionaba el empleado objetivo, sabiendo que, de encontrarlo, no dudaría en quedárselo, a la vez que curiosearía en el mismo, siendo la curiosidad humana un punto débil en este caso). El resto se sabe, introdujo en pendrive en uno de los ordenadores de su lugar de trabajo, infectando a las máquinas objetivos y a otros ordenadores de la red. Ni que decir tiene que, parece ser, no había un pendrive “perdido”, sino que ese día fueron varios los pendrives “extraviados” en diferentes sitios para hacer picar al objetivo.
En multitud de casos, el eslabón último es el usuario. El usuario, el mismo que se conecta a la wifi a ver los periódicos digitales, a jugar, o a consultar sus facturas… conectándose a una wifi ¿pública? Hablaremos de ello próximamente.
David Morillas
