Nukin’ Zaragoza: a cyberwar exercise (VIII). De vuelta al mundo real.

16 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

(Después del fin de semana movidito que hemos tenido, volvemos con el penúltimo post de la serie de Antonio Sanz sobre un potencial escenario de ciberguerra en la ciudad de Zaragoza. En breve, las conclusiones finales).

0. De vuelta al mundo real

A primera vista, podría parecer que el relato anterior sería más que adecuado como  argumento de una película de Tom Clancy. Sin embargo, vamos a volver a repasar todos los puntos de la investigación del relato ficticio, pero desde otra óptica: la del mundo real.

Fallo del suministro eléctrico

Las redes eléctricas podrían ser sin muchas dudas la infraestructura crítica más importante de un país: la dependencia de otros muchos sistemas de la electricidad lo hace indispensable para la sociedad moderna.

Es por ello por lo que estas redes son objetivos claros de acciones de ciberguerra: un ejemplo claro es el ataque sobre la red eléctrica Ucraniana en 2015 y 2016, que dejó sin energía eléctrica a más de 200.000 personas durante varias horas.  Otro ejemplo, aunque sin confirmar, sería el apagón de prácticamente todo el sudeste de Turquía en 2015, que dejó a 40 millones de turcos sin suministro eléctrico durante 12h.

[Read more…]

Un viernes movidito con ransomware

12 de mayo de 2017 Por

Poco a poco se consume la mañana del viernes: responder unos cuantos correos, revisar la planificación del proyecto PROY_123, seguimiento de imputaciones, etc. Aprovecho uno de estos cambios de contexto para hacer un “break” y buscar algún plan para el fin de semana. ¿Qué se cuece por ahí?, ¿qué planes me propondrá Twitter?

Unas rápidas búsquedas sobre las tendencias de #FelizFinde me ponen los dientes largos: playas paradisíacas, rutas de senderismo, gastronomía, etc. Vamos, un sinfín de planazos cada cual más apetecible que el anterior. Sin embargo, lo que llama mi atención es la escalada de otro topic: Telefónica. ¿Telefónica trending topic?. Muy bien debe ir la bolsa –es lo primero que me viene a la cabeza– para que llegue al primer puesto rebasando las otras propuestas que os comentaba. :)

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (VII). Lo que sabemos que no sabemos.

12 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Fake news & Social Media

La campaña masiva de noticias falsas sobre el atentado fue fácilmente desmontada gracias a la colaboración tanto de Facebook como de Twitter: cientos de cuentas falsas elaboraron una estrategia coordinada, emitiendo y promoviendo docenas de noticias falsas, apoyadas en algunos casos de pantallazos falsificados de sitios de noticias e incluso de artículos de blogs generados de forma previa al ataque.

Destaca la participación involuntaria en el ataque de agencias de noticias tan prestigiosas como EFE o Reuters. La investigación indica que fueron víctimas de ataques de ingeniería social, ya que recibieron varias llamadas anónimas que se hicieron pasar tanto como por mandos de la OTAN como de altos cargos del gobierno español.  Haciendo uso de toda la información falsificada (IGN, AEMET, etc…) lograron engañarlos por completo.

Ataque militar marruelí  

Esta parte de la investigación la realiza el gobierno marruelí en colaboración con España. Los resultados indican que el gobierno marruelí fue convenientemente desinformado por “fuentes de confianza”, que indicaban que España iba a realizar un ataque nuclear contra Marruelia desde el “Juan Carlos I” en represalia por el atentado de Zaragoza. De ahí la carrera desesperada de la flota marruelí por evitar ese ataque que afortunadamente nunca se produjo.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (VI). La verdad está ahí fuera.

11 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

(Recordamos que esta historia se basa en el género literario de la ucronía, una reconstrucción de la historia basada en datos y hechos hipotéticos. Es por tanto ficción, y debe ser considerada como tal en todos los aspectos excepto en aquellos relacionados con la ciberseguridad. Toda la información empleada para realizar este ensayo ha sido obtenida a través de fuentes abiertas, e interpretada por el (mejor o peor) criterio del autor. Esta anotación debe aplicarse especialmente a todos los protocolos de respuesta a situaciones de crisis,  que pueden diferir sensiblemente de la realidad.

Aunque quede claro que es una ficción, se estima necesario recordar que en ningún caso se pretende desmerecer la innegable labor de todos los actores (FFCCSE, fuerzas armadas, servicios de inteligencias, servicios de emergencia, etc…) que velan por la seguridad de los españoles. Nuestro objetivo es claro y común: la seguridad de todos).

La investigación dura varios meses, y engloba a equipos de investigación de multitud de organismos: Policía Nacional, Guardia Civil, CNI y CNPIC en primera instancia dejan lugar a los técnicos de CCN-CERT y CERTSI, dada la obvia vertiente que va teniendo el incidente a medida que la investigación sigue su curso.

A continuación se muestra buena parte de las conclusiones a las que llegaron el más de un centenar de investigadores partícipes de la investigación. Por desgracia, estas conclusiones no constituyen toda la verdad, no siendo capaces de explicar todo lo sucedido.

Fallo del suministro eléctrico

Dos meses antes del incidente, varios empleados de REE recibieron un correo electrónico con una encuesta del Grupo de Trabajo de la UE de Smart Grids. O eso parecía a primera vista. El correo era en realidad un ataque de spear-phishing muy elaborado, que contenía un adjunto de Excel con una macro maliciosa que lanzaba a su vez un Powershell. Este malware se ejecutaba únicamente en memoria (lo que se denomina un fileless attack), lo que dificultaba en buena parte su detección.

[Read more…]

Las contraseñas han muerto, larga vida a las contraseñas

10 de mayo de 2017 Por

Desde hace muchos años se viene hablando de la muerte de las contraseñas: Bill Gates afirmaba en 2006 que iban a morir en 3 o 4 años, IBM vaticinaba en 2011 que en menos de 5 años iban a ser sustituidas, y en el mismo sentido se pronunciaban en 2013 en la BBC cuando Apple añadía sensor de huellas a su iPhone.

Como veis a día de hoy, ninguno de esos presagios se ha cumplido y seguimos utilizando contraseñas para acceder a nuestros servicios digitales cada día. Pero aunque no se hayan cumplido totalmente, sí que están cogiendo fuerza varios mecanismos, herramientas y políticas que estoy seguro que en los próximos años darán mucho que hablar y “enterrarán” la concepción actual de las contraseñas en favor de métodos nuevos -o complementarios- de autenticarse con el número creciente de servicios digitales que utilizamos a diario.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (V). Daños colaterales.

10 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Zaragoza, 20 de Marzo de 2017 – 19:30h

La Presidenta de España aparece minutos después en todas las cadenas de televisión españolas con un informe breve de la situación: no se ha producido un ataque nuclear en España y Zaragoza continúa sin suministro eléctrico y de comunicaciones (por lo que se declara el estado de emergencia en toda la provincia). Se mantiene el nivel de alerta antiterrorista en 5, y se están tomando todas las medidas necesarias para que Zaragoza vuelva a la normalidad lo antes posible.

A los pocos minutos de la emisión del comunicado, la Academia Militar de San Gregorio entra en contacto con Defensa, informando de su plena capacidad operativa.  De la misma forma, se empieza a poder contactar de forma paulatina vía radio con la UME y otras unidades de las FFCCSSE, logrando establecer una primera (aunque frágil) red de comunicaciones. La Policía Nacional se persona en la vivienda del consejero de Presidencia del Gobierno de Aragón (el presidente de la comunidad está volviendo de Jaca en estos momentos), y éste ordena la activación de PLATEAR (Plan Territorial de Protección Civil de Aragón), declarando una emergencia de nivel 3 (la más alta posible).

[Read more…]

Tendencias malware Abril 2017. Destacado: Hajime y Shadow Brokers Leak.

9 de mayo de 2017 Por

Como todos los meses, desde el laboratorio de malware seguimos compartiendo con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (IV). La hora de la verdad.

9 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Sin ojos en el cielo

Madrid, 20 de Marzo de 2017 – 19:18h

El CES continúa su búsqueda de información, elevando en este caso sus ojos al cielo. España posee una cierta cantidad de satélites tanto civiles como militares, algunos de ellos con capacidades de toma de imágenes de alta resolución.

Los satélites militares, SpainSat y Xtar-EUR, tienen capacidades únicamente de comunicaciones (son los empleados para las comunicaciones militares seguras en las operaciones del Ejército en todo el mundo), por lo que se debe recurrir a los satélites civiles, PAZ e Ingenio. Sin embargo, la fortuna sigue sin sonreírnos: PAZ tiene una avería en su radar de apertura sintética, y la órbita síncrona solar de Ingenio no pasará por España hasta dentro de 45 minutos.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (III). Silencio sepulcral.

8 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Madrid, 20 de Marzo de 2017 – 18:52h

De forma paralela, Defensa está intentando contactar por todos los medios con los acuartelamientos militares de Zaragoza y alrededores: la Academia Militar de San Gregorio, la BRILOG (Brigada Logística) o la Academia de Logística de Calatayud no responden ni por telefonía, ni por radio, ni por satélite. El Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) se ve incapaz de contactar con ninguna unidad militar de Zaragoza.

Los esfuerzos se amplían a Huesca con el Regimiento de Cazadores de Montaña y la Escuela Militar de Montaña y Operaciones Especiales de Jaca, pero tampoco logran establecer comunicación, lo que extraña a los militares: sus sistemas de comunicaciones están en teoría protegidos contra EMP, por lo que deberían poder responder a las llamadas. No queda nada claro el porqué de este silencio.

[Read more…]

Nukin’ Zaragoza: a cyberwar exercise (II). Esto no puede estar pasando.

5 de mayo de 2017 Por

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

Fotografía: Unidad Militar de Emergencias por Oscar en el medio

Madrid, 20 de Marzo de 2017 – 18:20h

Una emergencia de estas características requiere de la formación del CES (Comité Especializado de Situación), un conjunto de expertos y altos cargos tanto de ministerios como del DSN y el CNI (Centro Nacional de Inteligencia). Afortunadamente (si así podemos decirlo), el CES está ya reunido, tratando la crisis internacional con Marruelia.

A pesar de la gravedad de la crisis, un fallo simultáneo tanto de telecomunicaciones como de suministro eléctrico no es baladí: el área metropolitana de Zaragoza engloba a más de 800.000 personas, lo que puede causar una emergencia nacional de carácter grave.

El CES decide encargar la respuesta inicial a la UME (Unidad Militar de Emergencias), cuyo cuarto BIEM (Batallón de Intervención de Emergencias) se encuentra ubicado en la base aérea de Zaragoza.  A los pocos minutos el mando de la UME informa de que no ha sido posible contactar vía SIMGE (Sistema Integrado Militar de Gestión de Emergencias) con el BIEM IV. Tampoco han funcionado las alternativas convencionales (telefonía fija, móvil y radio).

[Read more…]