Sanid. mil. 2020; 76 (3) 141
EDITORIAL
estudios en los campos de I+D+i. El desfase tecnológico en uno
de los campos, civil o militar, puede suponer una vulnerabilidad
hacia el otro, ya que ofrecerá líneas de aproximación al entorno
de sistemas desde uno u otro campo, y por tanto, de éxito ante
cualquier ciberamenaza.
En el siglo XXI los bits y los bytes podrán ser tan amenazan-tes
como las balas y las bombas.
CIBERATAQUES
Puesto que no todos los ciberincidentes poseen las mismas
características ni la misma peligrosidad, es necesario disponer
de una clasificación que ayudará a su conocimiento y posterior-mente
a su análisis, contención y erradicación.
Los principales agentes de la ciberamenaza que pueden afec-tar
a los Estados son:
• Estados o Empresas que realizan acciones de ciberespio-naje.
• Ciberdelincuencia organizada.
• Hacktivistas.
• Grupos terroristas, diferenciando dos vertientes.
– Uso de internet por terroristas. Por ejemplo, para inter-cambiar
información.
– Ciberterrorismo.
• Insiders maliciosos, personal interno de las organizaciones
que lleva a cabo acciones de manera intencionada.
• Ciberpatriotas, civiles que llevan a cabo acciones en el cibe-respacio
en apoyo a conflictos económicos, políticos o militares
en los que se vea envuelto su país.
A grandes rasgos, se pueden distinguir principalmente las
siguientes motivaciones para la realización de un ciberataque:
• Desafío o motivación personal, llevándose a cabo por ac-tores
individuales con el fin de ganar fama a costa de revelar
información de empresas o exponer sus vulnerabilidades.
• Económicas, a través de la venta de la información obteni-da
o robada de datos personales e información.
• Políticas, como ataques a páginas gubernamentales o de
partidos políticos o grandes empresas, con el fin de dañar su re-putación
y su imagen pública.
• Robo de información y espionaje, que suele ser llevado a
cabo por grandes empresas o por actores estatales. Normalmen-te
son ataques prolongados en el tiempo obteniendo todo tipo
información, desde secretos industriales a secretos militares, u
otro tipo de datos como pueden ser los datos médicos.
Existen muy diversos factores que podemos considerar a la
hora de establecer los criterios de clasificación, como por ejemplo
el tipo u origen de la amenaza, la categoría de los sistemas afec-tados,
el perfil, posición o privilegios de los usuarios afectados,
el número y tipología de los sistemas afectados o simplemente el
impacto que el incidente puede tener en la organización desde los
puntos de vista de la protección de la información, la prestación
de los servicios, problemas legales o la misma imagen pública.
El conocimiento de estos factores es muy importante a la
hora de tomar la decisión de clasificar el tipo de ciberincidente o
determinar su peligrosidad y prioridad de actuación.
Teniendo en cuenta las anteriores motivaciones, los princi-pales
tipos de ataque irán fundamentalmente dirigidos a afectar
a la Confidencialidad de la información, a la Integridad y a la
Disponibilidad de la misma y de los sistemas que las manejan.
De esta forma se distinguen distintos tipos de ataques:
• Ataques pasivos, en los que el atacante simplemente mo-nitoriza
las comunicaciones y la información que se transmite.
• Ataques activos, que implican algún tipo de acción contra
los sistemas y contra la información transmitida. Estos ataques
se podrían dividir en varias categorías:
– Ataques de disponibilidad: ataques dirigidos a poner fuera
de servicio los sistemas, al objeto de causar daños en la producti-vidad
y/o la imagen de las instituciones (denegación del servicio,
fallo de hardware o software, error humano o sabotaje).
– Suplantación de identidad: el intruso se hace pasar por
una entidad diferente, con el fin de engañar al sistema o la per-sona,
para acceder a recursos a los que no podría acceder nor-malmente.
– Alteración de información o de los mensajes transmitidos:
tienen el fin de lograr un objetivo no deseado por la víctima,
como podría ser alterar un expediente médico o provocar que
a un paciente se le administrase un medicamento o una dosis
inadecuada.
– Obtención de información de manera activa: ataques diri-gidos
a recabar información fundamental que permita avanzar
en ataques más sofisticados, a través de ingeniería social o de
identificación de vulnerabilidades.
Para llevar a cabo los ataques, los atacantes usarán diferentes
vectores de ataque, entre los se pueden destacar:
• Malware: software cuyo objetivo es infiltrarse o dañar un
ordenador, servidor u otro dispositivo de red, sin el conocimien-to
de su responsable o usuario y con finalidades muy diversas
(virus, gusanos, troyanos, spyware, rootkit, adware, ransomware
o herramienta para acceso remoto).
• Exploits: son programas o fragmentos de código que apro-vechan
una vulnerabilidad para provocar un comportamiento
no deseado a nivel software o hardware.
• Ingeniería social o phising: es la práctica de obtener infor-mación
o lograr que un usuario ejecute una acción, mediante la
manipulación de usuarios legítimos y situaciones cotidianas y
aparentemente inofensivas.
• Keyloggers hardware: son dispositivos que se conectan en-tre
el teclado y el ordenador, con el fin de robar la información
tecleada por la víctima, entre la que se encuentran contraseñas
e información sensible. Este ataque se suele dar en ordenadores
expuestos en zonas públicas o en sitios poco vigilados en ciertas
organizaciones, a los que tenga acceso el público general o las
visitas.
• Memorias USB: aparentemente perdidas u olvidadas, pero
dejadas por un atacante con el fin de que sean conectadas en
un equipo de una red. Una vez que se conectan pueden realizar
distintas acciones, tales como instalar algún malware o abrir una
conexión con un atacante externo.
Atendiendo a la clasificación realizada y al número de inci-dentes
producidos anualmente en España, los más importantes
en nuestro país son los siguientes:
• Ransomware: consiste en un malware que entra a un orde-nador
o a un sistema para cifrar los datos que contiene y pedir
un importe económico a cambio de liberar el bloqueo y poder
acceder de nuevo a los archivos. Se trata de una de las prácticas