Obtención de secretos a través de Internet
El espionaje cibernético , ciberespionaje o ciberrecopilación es el acto o práctica de obtener secretos e información sin el permiso y el conocimiento del titular de la información utilizando métodos en Internet, redes u ordenadores individuales mediante el uso de servidores proxy , [1] técnicas de craqueo y software malicioso , incluidos caballos de Troya y spyware . [2] [3] El espionaje cibernético puede utilizarse para apuntar a varios actores (individuos, competidores, rivales, grupos, gobiernos y otros) con el fin de obtener ventajas personales, económicas, políticas o militares. Puede perpetrarse íntegramente en línea desde escritorios de computadoras de profesionales en bases en países lejanos o puede implicar la infiltración en el hogar por parte de espías y topos convencionales entrenados en computadoras o, en otros casos, puede ser obra criminal de piratas informáticos y programadores de software maliciosos aficionados . [2]
Historia
El espionaje cibernético comenzó en 1996, cuando se generalizó la conectividad a Internet en los sistemas gubernamentales y corporativos. Desde entonces, ha habido numerosos casos de este tipo de actividades. [4] [5] [6]
Detalles
El espionaje cibernético generalmente implica el uso de dicho acceso a secretos e información clasificada o el control de computadoras individuales o redes enteras para obtener una ventaja estratégica y para actividades de subversión psicológica , política y física y sabotaje . [7] Más recientemente, el espionaje cibernético implica el análisis de la actividad pública en sitios de redes sociales como Facebook y Twitter . [8]
Este tipo de operaciones, al igual que el espionaje no cibernético, suelen ser ilegales en el país víctima, pero cuentan con el pleno apoyo del más alto nivel de gobierno en el país agresor. La situación ética también depende del punto de vista de cada uno, en particular de la opinión que se tenga de los gobiernos involucrados. [7]
Plataformas y funcionalidades
Los gobiernos y los intereses privados han desarrollado herramientas de recolección de datos cibernéticos para casi todos los sistemas operativos de computadoras y teléfonos inteligentes. Se sabe que existen herramientas para computadoras Microsoft, Apple y Linux y para teléfonos iPhone, Android, Blackberry y Windows. [9] Los principales fabricantes de tecnología de recolección de datos cibernéticos comercialmente disponible (COTS) incluyen a Gamma Group del Reino Unido [10] y Hacking Team de Italia. [11] Las empresas de herramientas de recolección de datos cibernéticos a medida, muchas de las cuales ofrecen paquetes COTS de exploits de día cero , incluyen Endgame, Inc. y Netragard de los Estados Unidos y Vupen de Francia. [12] Las agencias de inteligencia estatales a menudo tienen sus propios equipos para desarrollar herramientas de recolección de datos cibernéticos, como Stuxnet , pero requieren una fuente constante de exploits de día cero para insertar sus herramientas en los sistemas recientemente atacados. Los detalles técnicos específicos de estos métodos de ataque a menudo se venden por sumas de seis cifras. [13]
Las funciones comunes de los sistemas de recopilación de datos cibernéticos incluyen:
- Escaneo de datos : se escanea el almacenamiento local y de red para encontrar y copiar archivos de interés, que suelen ser documentos, hojas de cálculo, archivos de diseño como archivos de Autocad y archivos de sistema como el archivo passwd.
- Ubicación de captura : GPS, WiFi, información de red y otros sensores adjuntos se utilizan para determinar la ubicación y el movimiento del dispositivo infiltrado
- Error : el micrófono del dispositivo puede activarse para grabar audio. Asimismo, las transmisiones de audio destinadas a los altavoces locales pueden interceptarse a nivel del dispositivo y grabarse.
- Redes privadas ocultas que pasan por alto la seguridad de la red corporativa. Un equipo que está siendo espiado puede estar conectado a una red corporativa legítima que está siendo monitoreada en busca de actividad de malware y, al mismo tiempo, pertenece a una red wifi privada fuera de la red de la empresa que está filtrando información confidencial del equipo de un empleado. Un agente doble que trabaja en el departamento de TI puede configurar fácilmente un equipo como este instalando una segunda tarjeta inalámbrica en un equipo y un software especial para monitorear de forma remota el equipo de un empleado a través de esta segunda tarjeta de interfaz sin que este se dé cuenta de que un canal de comunicación de banda lateral está extrayendo información de su equipo.
- Cámara : las cámaras del dispositivo se pueden activar para capturar imágenes o vídeos de forma encubierta.
- Keylogger y Mouse Logger : el agente de malware puede capturar cada pulsación de tecla, movimiento del mouse y clic que realiza el usuario objetivo. Combinado con capturas de pantalla, esto se puede utilizar para obtener contraseñas que se ingresan mediante un teclado virtual en pantalla.
- Capturador de pantalla : el agente de malware puede tomar capturas de pantalla periódicas. Además de mostrar información confidencial que puede no estar almacenada en la máquina, como saldos de banca electrónica y correo web cifrado, estas capturas se pueden utilizar en combinación con los datos del registrador de claves y del mouse para determinar las credenciales de acceso a otros recursos de Internet.
- Cifrado : los datos recopilados suelen cifrarse en el momento de la captura y pueden transmitirse en directo o almacenarse para su posterior exfiltración. Asimismo, es una práctica habitual que cada operación específica utilice capacidades polimórficas y de cifrado específicas del agente de recopilación cibernética para garantizar que la detección en una ubicación no comprometa a otras.
- Evitar el cifrado : dado que el agente de malware opera en el sistema de destino con todo el acceso y los derechos de la cuenta de usuario del sistema de destino o del administrador del sistema, se evita el cifrado. Por ejemplo, la interceptación de audio mediante el micrófono y los dispositivos de salida de audio permite que el malware capture ambos lados de una llamada de Skype cifrada. [14]
- Exfiltración : los agentes de recopilación cibernética suelen exfiltrar los datos capturados de forma discreta, a menudo esperando a que haya mucho tráfico web y disfrazando la transmisión como si fuera una navegación web segura. Se han utilizado unidades flash USB para exfiltrar información de sistemas protegidos por un espacio de aire . Los sistemas de exfiltración a menudo implican el uso de sistemas de proxy inverso que anonimizan al receptor de los datos. [15]
- Replicar : los agentes pueden replicarse en otros medios o sistemas; por ejemplo, un agente puede infectar archivos en un recurso compartido de red grabable o instalarse en unidades USB para infectar computadoras protegidas por un espacio de aire o que no estén en la misma red.
- Manipular archivos y mantenimiento de archivos : el malware puede utilizarse para borrar rastros de sí mismo de los archivos de registro. También puede descargar e instalar módulos o actualizaciones, así como archivos de datos. Esta función también puede utilizarse para colocar "pruebas" en el sistema de destino, por ejemplo, para insertar pornografía infantil en el ordenador de un político o para manipular votos en una máquina de recuento electrónico de votos.
- Reglas de combinación : algunos agentes son muy complejos y pueden combinar las características anteriores para proporcionar capacidades de recopilación de inteligencia muy específicas. Por ejemplo, el uso de cuadros delimitadores de GPS y la actividad del micrófono se pueden utilizar para convertir un teléfono inteligente en un dispositivo inteligente que intercepta conversaciones solo dentro de la oficina de un objetivo.
- Celulares comprometidos . Dado que los celulares modernos son cada vez más similares a las computadoras de uso general, estos teléfonos celulares son vulnerables a los mismos ataques cibernéticos que los sistemas informáticos y son vulnerables a filtrar información conversacional y de ubicación extremadamente sensible a los atacantes. [16] La filtración de la ubicación GPS del teléfono celular y la información conversacional a un atacante se ha informado en varios casos recientes de acoso cibernético , donde el atacante pudo usar la ubicación GPS de la víctima para llamar a las empresas cercanas y a las autoridades policiales para hacer acusaciones falsas contra la víctima dependiendo de su ubicación, esto puede ir desde darle información al personal del restaurante para burlarse de la víctima o hacer falso testimonio contra la víctima. Por ejemplo, si la víctima estaba estacionada en un gran estacionamiento, los atacantes pueden llamar y decir que vieron actividad de drogas o violencia con una descripción de la víctima e instrucciones para llegar a su ubicación GPS.
Infiltración
Existen varias formas comunes de infectar o acceder al objetivo:
- Un proxy de inyección es un sistema que se instala en una posición anterior a la del individuo o empresa objetivo, generalmente en el proveedor de servicios de Internet, y que inyecta malware en el sistema objetivo. Por ejemplo, una descarga inocente realizada por el usuario puede inyectarse con el ejecutable de malware sobre la marcha, de modo que el sistema objetivo quede entonces accesible para los agentes del gobierno. [17]
- Spear Phishing : se envía un correo electrónico cuidadosamente elaborado al objetivo para incitarlo a instalar el malware a través de un documento troyano o un ataque drive by alojado en un servidor web comprometido o controlado por el propietario del malware. [18]
- La entrada subrepticia puede utilizarse para infectar un sistema. En otras palabras, los espías entran cuidadosamente en la residencia u oficina del objetivo e instalan el malware en el sistema de este. [19]
- Un monitor o sniffer de Upstream es un dispositivo que puede interceptar y ver los datos transmitidos por un sistema objetivo. Por lo general, este dispositivo se coloca en el proveedor de servicios de Internet. El sistema Carnivore desarrollado por el FBI estadounidense es un ejemplo famoso de este tipo de sistema. Basado en la misma lógica que una interceptación telefónica , este tipo de sistema es de uso limitado en la actualidad debido al uso generalizado del cifrado durante la transmisión de datos.
- Se puede utilizar un sistema de infiltración inalámbrico cerca del objetivo cuando este utiliza tecnología inalámbrica. Normalmente, se trata de un sistema basado en un ordenador portátil que se hace pasar por una estación base WiFi o 3G para capturar los sistemas del objetivo y retransmitir las solicitudes a Internet. Una vez que los sistemas del objetivo están en la red, el sistema funciona como un proxy de inyección o como un monitor ascendente para infiltrarse o supervisar el sistema del objetivo.
- Es posible que se entregue o deje caer en el sitio de destino una memoria USB precargada con el malware infectado.
Los agentes de recolección cibernética suelen instalarse mediante software de entrega de carga útil creado mediante ataques de día cero y distribuido a través de unidades USB infectadas, archivos adjuntos de correo electrónico o sitios web maliciosos. [20] [21] Los esfuerzos de recolección cibernética patrocinados por el estado han utilizado certificados oficiales del sistema operativo en lugar de confiar en vulnerabilidades de seguridad. En la operación Flame, Microsoft afirma que el certificado de Microsoft utilizado para hacerse pasar por una actualización de Windows fue falsificado; [22] sin embargo, algunos expertos creen que puede haber sido adquirido a través de esfuerzos de HUMINT . [23]
Ejemplos de operaciones
Véase también
Referencias
- ^ "Casos de uso de redes proxy residenciales". GeoSurf . Consultado el 28 de septiembre de 2017 .
- ^ ab "Espionaje cibernético". Revista PC.
- ^ "Ciberespionaje". Techopedia.
- ^ Pete Warren, Los proyectos de ciberespionaje patrocinados por el Estado son ahora frecuentes, dicen los expertos , The Guardian, 30 de agosto de 2012
- ^ Nicole Perlroth, El escurridizo software espía FinSpy aparece en 10 países , New York Times, 13 de agosto de 2012
- ^ Kevin G. Coleman, ¿Han desencadenado Stuxnet, Duqu y Flame una carrera armamentística cibernética? Archivado el 8 de julio de 2012 en Wayback Machine , AOL Government, 2 de julio de 2012
- ^ ab Messmer, Ellen. "Cyber Espionaje: Una amenaza creciente para las empresas". Archivado desde el original el 26 de enero de 2021. Consultado el 21 de enero de 2008 .
- ^ "Cinco formas en las que el gobierno te espía". The LockerGnome Daily Report . 7 de noviembre de 2011. Archivado desde el original el 18 de octubre de 2019. Consultado el 9 de febrero de 2019 .
- ^ Vernon Silver, El software espía que imita a FinFisher puede apoderarse de los iPhones , Bloomberg, 29 de agosto de 2012
- ^ "Intrusión informática en FinFisher". Archivado desde el original el 31 de julio de 2012. Consultado el 31 de julio de 2012 .
- ^ "Equipo de hackers, sistema de control remoto". Archivado desde el original el 15 de diciembre de 2016. Consultado el 21 de enero de 2013 .
- ^ Mathew J. Schwartz, Bugs convertidos en armas: es hora de un control de armas digitales , Information Week, 9 de octubre de 2012
- ^ Ryan Gallagher, El mercado gris de la ciberguerra , Slate, 16 de enero de 2013
- ^ Daniele Milan, El problema del cifrado de datos Archivado el 8 de abril de 2022 en Wayback Machine , Hacking Team
- ^ Robert Lemos, Flame esconde secretos en memorias USB Archivado el 15 de marzo de 2014 en Wayback Machine , InfoWorld, 13 de junio de 2012
- ^ como espiar un celular sin tener acceso
- ^ Pascal Gloor, Intercepción (in)legal Archivado el 5 de febrero de 2016 en Wayback Machine , SwiNOG #25, 7 de noviembre de 2012
- ^ Mathew J. Schwartz, Los atacantes de la Operación Octubre Rojo utilizaron el método Spear Phishing , Information Week, 16 de enero de 2013
- ^ Registros del FBI: La bóveda, entradas subrepticias , Oficina Federal de Investigaciones
- ^ Kim Zetter, El software espía "Flame" se infiltra en los ordenadores iraníes , CNN - Wired, 30 de mayo de 2012
- ^ Anne Belle de Bruijn, Cybercriminelen doen poging tot spionage bij DSM , Elsevier, 9 de julio de 2012
- ^ Mike Lennon, El certificado de Microsoft se utilizó para firmar el malware "Flame" Archivado el 7 de marzo de 2013 en Wayback Machine , 4 de junio de 2012
- ^ Paul Wagenseil, El malware Flame utiliza una firma digital robada de Microsoft , NBC News, 4 de junio de 2012
- ^ Investigación sobre los ciberataques diplomáticos del "Octubre Rojo" , Securelist, 14 de enero de 2013
- ^ Kaspersky Lab identifica la Operación Octubre Rojo Archivado el 4 de marzo de 2016 en Wayback Machine , Comunicado de prensa de Kaspersky Lab, 14 de enero de 2013
- ^ Dave Marcus y Ryan Cherstobitoff, Diseccionando la Operación High Roller Archivado el 8 de marzo de 2013 en Wayback Machine , McAfee Labs
- ^ "Los Duques, cronología". Archivado desde el original el 13 de octubre de 2015. Consultado el 13 de octubre de 2015 .
- ^ "El Libro Blanco de los Duques" (PDF) . Archivado (PDF) del original el 9 de diciembre de 2015.
- ^ "Sala de prensa de F-Secure - Global".
Fuentes
- Bill Schiller, Asia Bureau (1 de abril de 2009), "Los chinos ridiculizan el informe de espionaje de la Universidad de Toronto - Pero los funcionarios del gobierno eligen sus palabras con cuidado, nunca niegan que el país participe en ciberespionaje", Toronto Star (Canadá) , Toronto, Ontario, Canadá , consultado el 4 de abril de 2009
- Kelly, Cathal (31 de marzo de 2009), "El código de los ciberespías a un clic de distancia: una simple búsqueda en Google encuentra rápidamente un enlace al software del programa Ghost Rat utilizado para atacar a los gobiernos", Toronto Star (Canadá) , Toronto, Ontario, Canadá , consultado el 4 de abril de 2009
- Todo sobre el ciberespionaje chino, infotech.indiatimes.com ( Times of India ), 30 de marzo de 2009, archivado desde el original el 2 de abril de 2009 , consultado el 1 de abril de 2009
- Cooper, Alex (30 de marzo de 2009), "Podemos liderar la guerra contra el espionaje cibernético, dice un detective; un investigador de Toronto ayudó a exponer el pirateo de embajadas y la OTAN", Toronto Star (Canadá) , Toronto, Ontario, Canadá , consultado el 31 de marzo de 2009
- Una red de ciberespionaje con sede en China expone la necesidad de una mayor seguridad, archivado desde el original el 2021-11-09 , consultado el 2017-03-06
- Steve Herman (30 de marzo de 2009), Gobierno tibetano en el exilio expresa preocupación por espionaje cibernético rastreado hasta China, Nueva Delhi: GlobalSecurity.org , consultado el 31 de marzo de 2009
- "El gobierno chino acusado de espionaje cibernético", Belfast Telegraph , 30 de marzo de 2009
- Harvey, Mike (29 de marzo de 2009), "'La red de espionaje cibernético más grande del mundo' espía documentos clasificados en 103 países", The Times , Londres, archivado desde el original el 30 de marzo de 2009 , consultado el 30 de marzo de 2009
- Se descubre una importante red de espionaje cibernético, BBC News , 29 de marzo de 2009 , consultado el 30 de marzo de 2009
- Red de ciberespionaje de SciTech, "pistola humeante" para China, según experto, CTV Canada, 29 de marzo de 2009 , consultado el 30 de marzo de 2009
- Kim Covert (28 de marzo de 2009), "Investigadores canadienses descubren una vasta red china de espionaje cibernético", National Post, Don Mills, Ontario, Canadá , Canwest News Service[ enlace muerto ]
- Estados Unidos advierte de "espionaje cibernético" por parte de China, BBC News , 20 de noviembre de 2008 , consultado el 1 de abril de 2009
- Mark Hosenball (2 de junio de 2008), "Inteligencia: ciberespionaje para tontos", Newsweek
- Walton, Gregory (abril de 2008). "Year of the Gh0st RAT". Asociación Mundial de Periódicos. Archivado desde el original el 2009-08-11 . Consultado el 2009-04-01 .
- Un tribunal alemán limita el espionaje cibernético, BBC News, 27 de febrero de 2008
- Rowan Callick; Jane Macartney (7 de diciembre de 2007), "Furia china ante las acusaciones de espionaje cibernético", The Australian , archivado desde el original el 13 de agosto de 2009 , consultado el 31 de marzo de 2009
Enlaces externos
- El Congreso investigará las acusaciones contra Google por espionaje chino en Internet (AHN)
- Archivo de Information Warfare Monitor: Seguimiento del ciberpoder (Universidad de Toronto, Canadá/Centro Munk)