La reina de las nieves: un informe de ciberseguridad en siete historias

El informe de Hans Christian Andersen sobre el incidente de infección de Kai y la investigación de Gerda, experta en seguridad de la información.

¿De qué crees que trata el cuento La reina de las nieves, del especialista en ciberseguridad danés Hans Christian Andersen? ¿Una chica valiente que derrota a la personificación del invierno y la muerte para salvar a su querido amigo? Piénsalo de nuevo.

Seamos realistas: Se trata de una historia bastante detallada de una investigación de Gerda, una prometedora experta en seguridad de la información, sobre un tal Kai que se infectó con un malware desagradable y bastante sofisticado. Este supuesto cuento de hadas está estructurado en siete historias que claramente se corresponden con las etapas de investigación.

Historia 1: Un espejo y sus fragmentos

Si has leído nuestro blog más especializado Securelist.com (o, para el caso, cualquier otra investigación bien hecha en seguridad de la información), quizás sepas que los informes de investigación a menudo comienzan por explorar la historia de los incidentes. Con Andersen es igual: su primera historia trata sobre los propios orígenes del caso de Kai.

Érase una vez (de acuerdo con los datos de Andersen) un duende que creó un espejo mágico que poseía el poder de aminorar la bondad y las virtudes de las personas y resaltar los aspectos malos y feos. Sus aprendices lo rompieron en miles de millones de fragmentos que penetraron en los ojos y corazones de las personas, pero que retuvieron los atributos originales de distorsión de la realidad del espejo. Algunas personas insertaron fragmentos en los marcos de sus ventanas, distorsionando sus vistas. Otros los utilizaron como cristales para sus gafas.

Gracias a Blancanieves ya sabíamos que los cuentacuentos a menudo usaban espejos como metáforas de las pantallas en un sentido amplio: televisores, ordenadores, tablets, teléfonos… ya tienes una imagen (literalmente).

Por tanto, la traducción de las palabras de Andersen desde el lenguaje de las alegorías hacia la prosa llana arroja el siguiente resultado: un poderoso ciberdelincuente creó un sistema con un navegador integrado que distorsionaba los sitios web. Posteriormente, sus aprendices utilizaron fragmentos del código fuente para infectar un gran número de dispositivos con Microsoft Windows e incluso las gafas de realidad aumentada.

De hecho, el fenómeno no era para nada raro. La filtración del exploit de EternalBlue es el ejemplo más antiguo al respecto. Esto provocó las pandemias de WannaCry y NotPetya, así como muchos otros brotes de ransomware menos devastadores. Pero nos estamos desviando del tema. Volvamos a nuestro cuento de hadas.

Historia 2: Un niño y una niña

En la segunda historia, Andersen describe de una forma más detallada a las víctimas y al vector inicial de la infección. Según los datos disponibles, Kai y Gerda se comunicaban a través de las ventanas (¡una comunicación basada en Windows!) contiguas de sus áticos. Un invierno, Kai vio a través de su ventana a una extraña mujer muy hermosa, envuelta en un blanco manto de tul extrafino. Esta fue la primera reunión de Kai con el ciberdelincuente (que en lo sucesivo denominaremos “la reina de las nieves”).

Poco después, Kai sintió una punzada en el corazón y en el ojo. Así es como Andersen describe el momento de la infección. Una vez que el código malicioso penetró en su corazón (núcleo del sistema operativo) y el ojo (dispositivo de entrada de datos), la reacción de Kai a los estímulos externos cambió radicalmente y toda la información entrante aparecía distorsionada.

Tiempo después, él se marchó de casa definitivamente, tras amarrar su pequeño trineo al de la reina de las nieves. Kai, que confiaba en ella por algún motivo, le dijo a la reina de las nieves que podía hacer cálculos aritméticos mentales, incluso fracciones, y que conocía el tamaño y la población de cada país. Pueden parecer detalles sin importancia, pero, como veremos a continuación, esto es justamente lo que atraía el interés de la atacante.

Historia 3: el jardín de flores de la mujer especializada en magia

Gerda comenzó su propia investigación y por casualidad se topó con una mujer que, por alguna razón, obstaculizó su estudio. Para no alargar el cuento, nos interesa más el momento en el que la hechicera peinó los rizos de Gerda, lo que provocó que olvidara a Kai.

Es decir, la vieja bruja de algún modo corrompió los datos relacionados con la investigación. Cabe destacar que ya conocemos la ciberarma elegida: el peine. En el informe de los hermanos Grimm sobre el incidente de Blancanieves, la madrastra utilizó una herramienta similar para bloquear a la víctima. ¿Coincidencia? ¿O estos incidentes están relacionados?

De cualquier forma, y al igual que con Blancanieves, el bloqueo inducido por el peine no era permanente; los datos se restablecieron y Gerda prosiguió con la investigación.

Al final de la tercera parte del informe, Gerda les preguntó a las flores del jardín de la bruja si habían visto a Kai. Muy probablemente esto es una referencia a la vieja aplicación de mensajería ICQ, que tenía una flor como logo (y como un indicador del estado del usuario). Cuando se comunicaba con la bruja, Gerda intentaba obtener información adicional acerca del incidente mediante sus contactos.

Historia 4: El príncipe y la princesa

La cuarta etapa de la investigación no parece del todo relevante. Gerda intentó buscar a Kai en la base de datos del gobierno. Para ello, entabló relación con algunos cuervos que le dieron acceso al edificio gubernamental (el palacio real).

Aunque eso no arrojó ningún resultado, Gerda informó diligentemente al gobierno sobre la vulnerabilidad y los peligrosos cuervos. El príncipe y la princesa parchearon la vulnerabilidad y les dijeron a los cuervos que no estaban enfadados con ellos, pero que no volvieran a hacerlo. Cabe destacar que no castigaron a las aves, sino que simplemente les pidieron cambiar su comportamiento.

Como recompensa, el príncipe y la princesa entregaron recursos a Gerda (una carroza, ropa abrigadora y criados). Este es un gran ejemplo de cómo una institución debe responder cuando los investigadores informan de una vulnerabilidad; solo esperemos que esta recompensa no sea un hecho aislado, sino que se haya convertido en un programa de recompensas por notificación de errores.

Historia 5: La pequeña ladrona

En esta historia, aparentemente Gerda cayó en manos de unos bandidos. En realidad, Andersen utiliza otra alegoría para explicar que, tras llegar a un callejón sin salida en la etapa anterior de la investigación, Gerda se ve forzada a contratar la ayuda de fuerzas que, pongámoslo así, no eran del todo legales.

Los ciberdelincuentes ponen a Gerda en contacto con unas palomas mensajeras que sabían exactamente quién era el responsable del incidente de Kai, así como con un reno que poseía las direcciones de algunos contactos útiles en la darknet. Esta ayuda no fue barata; perdió la mayor parte de los recursos ganados en la historia anterior.

Pero para no socavar la integridad de la joven investigadora, Andersen intenta describir su trato con los delincuentes como algo acto inevitable: ellos le robaron primero, afirma, y solo entonces, al sentir compasión de su víctima, le proporcionan información. No suena muy convincente, ya que es más probable que se tratase de un arreglo beneficioso para ambas partes.

Historia 6: La mujer de Laponia y la mujer de Finlandia

A continuación, llega la etapa final de recopilación de la información necesaria para la investigación, gracias a los contactos en la darknet que proporcionaron los bandidos. El reno llevó a Gerda con cierta mujer de Laponia, que escribió en un bacalao seco una carta de recomendación para el siguiente informante: una mujer de Finlandia.

La finlandesa, a cambio, proporcionó la dirección del “jardín de la reina de las nieves”; ese era claramente el nombre del servidor de mando y control. Hay un buen detalle aquí: tras leer el mensaje, ella tiró el bacalao en un tazón de sopa. Entendió la importancia práctica de no dejar pistas innecesarias, así que se ciñó cuidadosamente a las reglas de la seguridad operacional, la firma característica de un profesional experimentado.

Historia 7: Qué sucedió en el palacio de la reina de las nieves y qué trascendió del asunto

La séptima historia explica finalmente por qué la reina de las nieves necesitaba a Kai en primer lugar. Él estaba sentado, reacomodando bloques de hielo, intentado deletrear la palabra “eternidad”. Suena demencial, ¿verdad? Pero para nada. Lee esta publicación, una introducción a la minería de criptomonedas. Como se explica, los mineros esencialmente trabajan reacomodando un bloque de información para conseguir no solamente un código hash, sino el “más hermoso” posible.

Es decir, Kai intentó acomodar los fragmentos de información de modo que su código hash apareciera como la palabra “eternidad.” En este punto, resulta claro por qué en la segunda historia Andersen se centró en la potencia computacional de Kai. Eso es exactamente lo que la reina de las nieves quería e infectó a Kai con el único propósito de hacer minería de criptomonedas. También explica la evidente obsesión de la reina de las nieves con el norte y el frío, ya que una granja de minería de alto rendimiento requiere un potente sistema de refrigeración.

Gerda derritió las capas heladas del corazón de Kai con sus lágrimas (es decir, suprimió el código malicioso mediante varias herramientas y recuperó el control del núcleo del sistema). Kai rompió en lágrimas, lo que significa que activó su antivirus incorporado (previamente bloqueado por el módulo infectado en su núcleo) y eliminó el segundo fragmento de código malicioso de su ojo.

El final del informe resulta extraño de acuerdo con los estándares contemporáneos. En vez de proporcionar consejos para las víctimas potenciales, los indicadores de compromiso del sistema y otros detalles útiles, Andersen se explaya sobre el viaje de regreso a casa de los personajes. Quizás en el siglo XIX, así era como los informes de seguridad de la información concluían las cosas.

Como hemos dicho antes, los escritores de cuentos son en realidad los expertos en ciberseguridad más antiguos del sector. El caso de La reina de las nieves confirma nuestra afirmación. Como ya hemos dicho, esta fábula es una historia detallada de una investigación sobre un incidente complejo. También te recomendamos que eches un vistazo a nuestros análisis de otros cuentos populares:

Consejos