Primer ciberataque a una infraestructura crítica

19/11/2011 Dejar un comentario

El servicio de distribución de agua de Illinois puede haber sido la primera infraestructura crítica norteamericana en sufrir un ciberataque desde el extranjero.

Los atacantes, que presumiblemente habrían utilizado un servidor ubicado en Rusia para acceder al sistema, utilizaron las claves de acceso que previamente habían obtenido de un proveedor relacionado con el sistema de control industrial que permite la automatización y la gestión remota de este tipo de infraestructuras.

El resultado del ataque fue la desactivación de una bomba del servicio de distribución de agua.

El proceso seguido para el ataque se aprovechó, supuestamente, de los eslabones más débiles de la cadena de seguridad siguiendo un plan que podría ser probablemente el siguiente:

1. Identificación de los proveedores que tienen acceso al sistema de control industrial (SCADA) o prestan servicios que exigen tener dicho acceso. A través de cualquier buscador se pueden localizar las páginas web de los proveedores que ofrecen estos servicios o productos.

2. Selección de los proveedores que pueden ser más vulnerables a un acceso no autorizado o a una estrategia de ingeniería social. Algunos indicadores externos pueden ser el haber realizado recientemente un ajuste de plantilla o haber aplicado un severo plan de austeridad presupuestaria (aunque ello no debería afectar teóricamente a la seguridad de sus sistemas).

3. Obtención de las claves de acceso mediante un ataque al sistema del proveedor o un engaño a sus empleados.

4. Selección de un servicio público como vía de acceso al sistema de control industrial por considerar que, al depender del sector público, estará afectado por restricciones presupuestarias y los sistemas de seguridad no estarán actualizados.

5. Acceso al sistema de la infraestructura crítica y obtención de los privilegios necesarios para actuar sobre los controles que permiten gestionar local y remotamente la infraestructura.

De confirmarse las características del ataque, el método utilizado y las vulnerabilidades explotadas por los atacantes, las conclusiones son obvias, y las recomendaciones a los operadores de infraestructuras, también:

1. La seguridad debe estar al margen de cualquier restricción presupuestaria, pública o privada.

2. El control en materia de seguridad debe extenderse a los proveedores, aplicando un estricto sistema de homologación y auditoría continuada.

3. El sistema de control SCADA debe ser objeto de una profunda revisión y actualización continuada en materia de seguridad, si se confirman sus posibles vulnerabilidades en relación al protocolo TCP/IP.

4. Debe acelerarse el desarrollo y la aplicación de los planes de protección de infraestructuras críticas.

5. Los operadores de infraestructuras críticas y sus proveedores deben aplicar normas internas y ampliar la formación de sus empleados en materia de seguridad e ingeniería social

Normas relacionadas

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas

Resolución de la Secretaría de Estado de Seguridad por la que se acuerda la apertura del trámite de información pública respecto a las guías de contenidos mínimos del Plan de Seguridad del Operador y del Plan de Protección Específico como instrumentos de planificación del Sistema de Protección de Infraestructuras Críticas

Archivado en Actualidad, Contratos tecnológicos, Delitos informáticos, Infraestructuras críticas, Seguridad

Herramientas de monitorización, prueba del debido control e intimidad

28/05/2011 Dejar un comentario

La reforma del Código Penal y las obligaciones de control previo al delito que se establecen en el artículo 31 bis para evitar la responsabilidad penal de la empresa están obligando a replantear el alcance de la monitorización de los recursos TIC corporativos. 

A ello hay que añadir el modelo de seguridad Zero Trust propuesto por Forrester que consiste en tratar a los usuarios internos con confianza cero, es decir, como si fuesen usuarios externos. Este modelo se centra en la necesidad de monitorizar y analizar todo el tráfico de la red corporativa y la actividad de los usuarios mediante herramientas específicas para ello.

Además, la actual crisis económica ha enrarecido el clima laboral en las empresas, incrementando el riesgo de ataques desde el interior y de fuga de datos. Además de los casos de entrega de información confidencial a competidores, la alta valoración de la cartera de un comercial o un directivo fichado por otra empresa del sector puede provocar una explotación ilícita de datos de CRM de la empresa anterior.

El problema es que una medida preventiva, como la simple publicación de las normas de uso de los recursos TIC de la empresa, puede resultar insuficiente para acreditar el debido control. Hasta ahora se ha buscado un equilibrio entre disuasión, prevención, detección y prueba. Pero el nuevo escenario exige un mayor compromiso, ya que en muchos casos se llega tarde y es imposible obtener pruebas del delito. Por ejemplo, las empresas aplican un protocolo de seguridad informática en el momento del despido que no puede prevenir las fugas de información previas a una baja voluntaria.

Ello nos lleva a la aplicación de esquemas de forensic readiness que permitan capturar y almacenar de forma segura las pruebas electrónicas que puedan ser necesarias en el futuro para acreditar la comisión de un delito, así como la existencia de controles para evitarlo o, al menos, detectarlo.

Para cumplir esa función surgen herramientas de monitorización capaces de cumplir a la vez una función disuasoria, preventiva, detectiva y probatoria. Tras aplicar el protocolo exigido legalmente para su instalación, este software realiza varios controles de forma rutinaria. Uno de ellos consiste en capturar las pantallas de cada ordenador con la frecuencia que cada empresa estime necesaria. En frecuencias inferiores al minuto la información capturada ocupa 4GB al año por cada ordenador. Es decir, 4T al año para una empresa con 1.000 ordenadores.

Este sistema actúa como una auténtica caja negra, que va registrando toda la actividad de los usuarios sin necesidad de intervención humana. Aunque pueden configurarse diversos tipos de alertas, lo normal es que sólo se acuda a la información almacenada en el caso de que exista una sospecha razonable de la existencia de un delito. Se trataría de un acceso similar al que se produce con las cajas negras de los aviones en el caso de un accidente aéreo, aunque, en el caso de las pruebas informáticas, se aplicará un protocolo que garantice la proporcionalidad, idoneidad y necesidad del acceso a la información. También puede contratarse un servidor de almacenamiento controlado por un tercero para dotar al sistema de mayores garantías.

En este sentido, cabe recordar la sentencia del Tribunal Supremo de 27/09/07 a la que dediqué un slidecast. En ella se establece que la empresa, de acuerdo con las exigencias de buena fe, debe establecer previamente las reglas de uso de los recursos TIC corporativos (con aplicación de prohibiciones absolutas o parciales) e informar a los trabajadores de que va existir control y de los medios que se aplicarán papa comprobar la corrección del uso de dichos recursos por los trabajadores.

De esta manera, si los recursos TIC se utilizan para usos privados, en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado una expectativa razonable de intimidad. Lo mismo cabe decir respecto al secreto de las comunicaciones.

De acuerdo con estos antecedentes, mi opinión se resume en las siguientes conclusiones:

  1. Existen fundamentos legales para establecer controles destinados a disuadir, prevenir, detectar y crear pruebas en relación a los delitos que puedan cometerse utilizando los recursos TIC corporativos.
  2. En la actualidad concurren diversos factores que aconsejan incrementar el nivel de control sobre los recursos TIC de las empresas.
  3. Existen herramientas de monitorización que permiten capturar y almacenar la actividad de los usuarios, a modo de caja negra del sistema.
  4. La aplicación de protocolos de investigación adecuados a la doctrina del Tribunal Supremo permiten aplicar los controles y obtener pruebas de eventuales delitos sin violar el derecho a la intimidad y el secreto de las comunicaciones.

Archivado en Delitos informáticos, Intimidad, Xavier Ribas

Insuficiencia del informe de experto para enervar la responsabilidad penal

25/05/2011 Dejar un comentario

Imaginemos la siguiente escena en la fase de informe de un juicio oral: "Como prueba del control establecido por la empresa para prevenir este delito tecnológico, se ha aportado un certificado firmado por mi mismo, y aunque la acusación particular y el Ministerio Fiscal mantengan que este certificado fue emitido con posterioridad a la comisión del delito, yo, como abogado experto en la materia, ratifico que el control era suficiente y anterior al delito".

Me recuerda aquel dibujo de Honoré Daumier en el que el abogado defensor exclama: "No, no y mil veces no. Y como mil negaciones valen más que una afirmación, ruego que se absuelva a mi cliente".

Para una empresa sería una estrategia nefasta dejar su defensa en manos del mismo abogado que certifica como experto la suficiencia del control y la fecha de su implantación. Pensemos que en la jurisdicción penal se pone en duda la validez de la prueba con una frecuencia mucho mayor que en otras jurisdicciones. Los informes de experto son considerados como informes de parte y si provienen del abogado que defiende a la empresa pueden perder credibilidad.

Pero incluso en el caso de que el informe vaya firmado por un experto independiente, en el procedimiento penal se puede poner en duda igualmente la fecha efectiva del control.

Por ello es muy importante que exista una actividad adicional que permita aportar credibilidad cronológica a los esfuerzos realizados por la empresa para prevenir y detectar el delito. Con la experiencia obtenida en los primeros seis meses dedicados a proyectos de prevención, PwC ha diseñado un protocolo que refuerza la eficacia probatoria de los controles establecidos por las empresas.

Para descargar el protocolo, las empresas interesadas pueden solicitar las claves de acceso a javier.ribas@es.pwc.com

 

 

Archivado en Delitos informáticos

Responsabilidad penal de un Director de IT o de Seguridad Informática

20/05/2011 Dejar un comentario

La reforma del Código Penal no ha afectado al régimen de responsabilidad penal de las personas físicas que existía antes del 23 de diciembre de 2010 (con excepción de la desaparición de la responsabilidad solidaria y directa de la persona jurídica respecto a las multas impuestas a las personas físicas de su organización).

Ello significa que un Director de IT o de Seguridad Informática sólo será responsable a título personal cuando sea autor del delito, es decir, cuando haya realizado el hecho por sí solo, conjuntamente o por medio de otro del que se haya servido como instrumento. Así lo establece el artículo 28 del Código Penal.

También son considerados autores los que inducen a directamente a otra persona o personas a ejecutar el hecho delictivo y los que cooperan en su ejecución con un acto sin el cual no se habría efectuado.

Como vemos, en todos estos casos el Código Penal exige una implicación directa y dolosa del directivo en la ejecución de los actos. Esta implicación puede consistir en la participación directa en el acto delictivo o en la emisión de órdenes e instrucciones que lleven a los subordinados a cometer el delito.

Los delitos tecnológicos no admiten otra forma de comisión que la dolosa. Es decir, no pueden cometerse por imprudencia. Exigen una conducta activa e intencional del sujeto, una voluntad deliberada de cometer el delito.

La jurisprudencia ha desarrollado el concepto de responsabilidad penal por omisión, en la que puede incurrir un directivo respecto a conductas delictivas ejecutadas por quienes ocupan en la organización empresarial puestos subordinados. Para que se dé esta figura, el directivo debe tener conocimiento de los hechos y poder de disposición sobre los mismos, omitiendo el ejercicio de las facultades propias de su cargo para impedir el delito.

Para ello, es necesario que el directivo disponga de datos suficientes para saber que la conducta de sus subordinados, ejecutada en el ámbito de sus funciones y en el marco de su poder de dirección, crea un riesgo penal, y es necesario también que el directivo no ejerza las facultades de control que le corresponden sobre el subordinado y su actividad, o no actúe para impedir el acto delictivo.

Esta tolerancia dolosa, que situaría al directivo en la esfera de la autoría, es independiente del rango del directivo, ya que existirá responsabilidad penal por omisión siempre que el directivo tenga una posición de garante, es decir una obligación de supervisión y control sobre los actos de sus subordinados.

Por ello, para que los directivos de un Departamento de IT o de un Departamento de Seguridad Informática puedan ser declarados responsables penales de un delito cometido por uno de sus subordinados, el nivel de implicación del directivo en los hechos debe ser alto, a través de la autoría directa o del conocimiento y la tolerancia dolosa de los actos de sus subordinados.

La deliberada falta de control sobre riesgos con un nivel de probabilidad medio o alto podría ser asimilada a tolerancia dolosa, aunque será necesario analizar las circunstancias de cada caso.

 

Archivado en Delitos informáticos, Directores de Sistemas

Presentación en congreso internacional de ciberdelitos

09/11/2010 Dejar un comentario

Esta es la presentación que utilicé el viernes pasado en el congreso internacional sobre ciberdelitos organizado por la UIC.

Acceso a la presentación

 

Archivado en Delitos informáticos, Xavier Ribas

Desayuno de trabajo sobre control empresarial del e-mail

13/01/2008 1 comentario

El próximo jueves, 17 de enero, tendrá lugar en el hotel Miguel Ángel de Madrid un desayuno de trabajo sobre el control empresarial del e-mail, el ordenador y el acceso a Internet de los trabajadores. La asistencia es gratuita. La inscripción puede realizarse en el teléfono 915684585 o enviando un mensaje a pwc.comunicacion@es.pwc.com.

Acceso al programa (PDF)

En la edición de Barcelona, en la que hubo una representación de unas 100 empresas, se hizo un sondeo en el que se manifestaron las siguientes tendencias:

MODELO DE USO DE LOS SISTEMAS INFORMÁTICOS

1. Prohibición total de uso personal: 0%
2. Autorización uso personal sin restricciones / uso moderado: 3%
3. Autorización uso personal con restricciones: 70%
4. NS/NC: 27%

COMUNICACIÓN DE LAS NORMAS DE USO

1. Sólo comunicación: 10%
2. Comunicación y aceptación expresa del trabajador: 90%

PROTOCOLO DE ACTUACIÓN ANTE LA AUSENCIA, BAJA VOLUNTARIA O DESPIDO DE UN TRABAJADOR

1. Cancelación inmediata de la cuenta: 10%
2. Información datos de contacto del sustituto: 8%
3. Autorización para acceder a la cuenta: 2%
4. Combinación de las anteriores: 25%
5. No tiene protocolo o NC: 55%

Archivado en Datos personales, Delitos informáticos, Directores de Sistemas, Intimidad, LOPD, Seguridad

Interceptación legal de llamadas en VoIP

06/07/2007 Dejar un comentario

Acabo de leer en la revista SIC un interesante artículo de Manuel García sobre los procedimientos que siguen los operadores VoIP para interceptar las comunicaciones que se producen en estas redes tras recibir un requerimiento judicial. Según el autor, las técnicas más extendidas son las aplicaciones especializadas para VoIP, las soluciones específicas para la captura de tráfico a nivel IP y las aplicaciones ya existentes para redes TDM. En todas ellas se utilizan las interfaces de intercambio de información normalizadas a nivel europeo por el ETSI para poner a disposición de la autoridad judicial las comunicaciones del usuario sin que éste sea alertado de ello. Los procedimientos de interceptación de llamadas en voz IP se encuentran en la actualidad en un estado tan avanzado, que sorprende el uso que todavía se da a este medio de comunicación para eludir el riesgo de interceptación en una red de telefonía convencional.

Archivado en Delitos informáticos, Seguridad

Seguir

Get every new post delivered to your Inbox.

Únete a otros 764 seguidores