{"id":22682,"date":"2020-05-18T17:21:50","date_gmt":"2020-05-18T15:21:50","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=22682"},"modified":"2020-05-18T17:21:50","modified_gmt":"2020-05-18T15:21:50","slug":"snow-queen-cybersecurity","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/snow-queen-cybersecurity\/22682\/","title":{"rendered":"La reina de las nieves: un informe de ciberseguridad en siete historias"},"content":{"rendered":"

\u00bfDe qu\u00e9 crees que trata el cuento La reina de las nieves,<\/em> del especialista en ciberseguridad dan\u00e9s Hans Christian Andersen? \u00bfUna chica valiente que derrota a la personificaci\u00f3n del invierno y la muerte para salvar a su querido amigo? Pi\u00e9nsalo de nuevo.<\/p>\n

Seamos realistas: Se trata de una historia bastante detallada de una investigaci\u00f3n de Gerda, una prometedora experta en seguridad de la informaci\u00f3n, sobre un tal Kai que se infect\u00f3 con un malware<\/em> desagradable y bastante sofisticado. Este supuesto cuento de hadas est\u00e1 estructurado en siete historias que claramente se corresponden con las etapas de investigaci\u00f3n.<\/p>\n

Historia 1: Un espejo y sus fragmentos<\/h2>\n

Si has le\u00eddo nuestro blog m\u00e1s especializado Securelist.com<\/a> (o, para el caso, cualquier otra investigaci\u00f3n bien hecha en seguridad de la informaci\u00f3n), quiz\u00e1s sepas que los informes de investigaci\u00f3n a menudo comienzan por explorar la historia de los incidentes. Con Andersen es igual: su primera historia trata sobre los propios or\u00edgenes del caso de Kai.<\/p>\n

\u00c9rase una vez (de acuerdo con los datos de Andersen<\/a>) un duende que cre\u00f3 un espejo m\u00e1gico que pose\u00eda el poder de aminorar la bondad y las virtudes de las personas y resaltar los aspectos malos y feos. Sus aprendices lo rompieron en miles de millones de fragmentos que penetraron en los ojos y corazones de las personas, pero que retuvieron los atributos originales de distorsi\u00f3n de la realidad del espejo. Algunas personas insertaron fragmentos en los marcos de sus ventanas, distorsionando sus vistas. Otros los utilizaron como cristales para sus gafas.<\/p>\n

Gracias a Blancanieves<\/em><\/a> ya sab\u00edamos que los cuentacuentos a menudo usaban espejos como met\u00e1foras de las pantallas en un sentido amplio: televisores, ordenadores, tablets<\/em>, tel\u00e9fonos\u2026 ya tienes una imagen (literalmente).<\/p>\n

Por tanto, la traducci\u00f3n de las palabras de Andersen desde el lenguaje de las alegor\u00edas hacia la prosa llana arroja el siguiente resultado: un poderoso ciberdelincuente cre\u00f3 un sistema con un navegador integrado que distorsionaba los sitios web. Posteriormente, sus aprendices utilizaron fragmentos del c\u00f3digo fuente para infectar un gran n\u00famero de dispositivos con Microsoft Windows e incluso las gafas de realidad aumentada.<\/p>\n

De hecho, el fen\u00f3meno no era para nada raro. La filtraci\u00f3n del exploit<\/em> de EternalBlue es el ejemplo m\u00e1s antiguo al respecto. Esto provoc\u00f3 las pandemias de WannaCry y NotPetya<\/a>, as\u00ed como muchos otros brotes de ransomware<\/em> menos devastadores. Pero nos estamos desviando del tema. Volvamos a nuestro cuento de hadas.<\/p>\n

Historia 2: Un ni\u00f1o y una ni\u00f1a<\/h2>\n

En la segunda historia, Andersen describe de una forma m\u00e1s detallada a las v\u00edctimas y al vector inicial de la infecci\u00f3n. Seg\u00fan los datos disponibles, Kai y Gerda se comunicaban a trav\u00e9s de las ventanas (\u00a1una comunicaci\u00f3n basada en Windows!) contiguas de sus \u00e1ticos. Un invierno, Kai vio a trav\u00e9s de su ventana a una extra\u00f1a mujer muy hermosa, envuelta en un blanco manto de tul extrafino. Esta fue la primera reuni\u00f3n de Kai con el ciberdelincuente (que en lo sucesivo denominaremos \u201cla reina de las nieves\u201d).<\/p>\n

Poco despu\u00e9s, Kai sinti\u00f3 una punzada en el coraz\u00f3n y en el ojo. As\u00ed es como Andersen describe el momento de la infecci\u00f3n. Una vez que el c\u00f3digo malicioso penetr\u00f3 en su coraz\u00f3n (n\u00facleo del sistema operativo) y el ojo (dispositivo de entrada de datos), la reacci\u00f3n de Kai a los est\u00edmulos externos cambi\u00f3 radicalmente y toda la informaci\u00f3n entrante aparec\u00eda distorsionada.<\/p>\n

Tiempo despu\u00e9s, \u00e9l se march\u00f3 de casa definitivamente, tras amarrar su peque\u00f1o trineo al de la reina de las nieves. Kai, que confiaba en ella por alg\u00fan motivo, le dijo a la reina de las nieves que pod\u00eda hacer c\u00e1lculos aritm\u00e9ticos mentales, incluso fracciones, y que conoc\u00eda el tama\u00f1o y la poblaci\u00f3n de cada pa\u00eds. Pueden parecer detalles sin importancia, pero, como veremos a continuaci\u00f3n, esto es justamente lo que atra\u00eda el inter\u00e9s de la atacante.<\/p>\n

Historia 3: el jard\u00edn de flores de la mujer especializada en magia<\/h2>\n

Gerda comenz\u00f3 su propia investigaci\u00f3n y por casualidad se top\u00f3 con una mujer que, por alguna raz\u00f3n, obstaculiz\u00f3 su estudio. Para no alargar el cuento, nos interesa m\u00e1s el momento en el que la hechicera pein\u00f3 los rizos de Gerda, lo que provoc\u00f3 que olvidara a Kai.<\/p>\n

Es decir, la vieja bruja de alg\u00fan modo corrompi\u00f3 los datos relacionados con la investigaci\u00f3n. Cabe destacar que ya conocemos la ciberarma elegida: el peine. En el informe de los hermanos Grimm sobre el incidente de Blancanieves<\/a>, la madrastra utiliz\u00f3 una herramienta similar para bloquear a la v\u00edctima. \u00bfCoincidencia? \u00bfO estos incidentes est\u00e1n relacionados?<\/p>\n

De cualquier forma, y al igual que con Blancanieves, el bloqueo inducido por el peine no era permanente; los datos se restablecieron y Gerda prosigui\u00f3 con la investigaci\u00f3n.<\/p>\n

Al final de la tercera parte del informe, Gerda les pregunt\u00f3 a las flores del jard\u00edn de la bruja si hab\u00edan visto a Kai. Muy probablemente esto es una referencia a la vieja aplicaci\u00f3n de mensajer\u00eda ICQ, que ten\u00eda una flor como logo (y como un indicador del estado del usuario). Cuando se comunicaba con la bruja, Gerda intentaba obtener informaci\u00f3n adicional acerca del incidente mediante sus contactos.<\/p>\n

Historia 4: El pr\u00edncipe y la princesa<\/h2>\n

La cuarta etapa de la investigaci\u00f3n no parece del todo relevante. Gerda intent\u00f3 buscar a Kai en la base de datos del gobierno. Para ello, entabl\u00f3 relaci\u00f3n con algunos cuervos que le dieron acceso al edificio gubernamental (el palacio real).<\/p>\n

Aunque eso no arroj\u00f3 ning\u00fan resultado, Gerda inform\u00f3 diligentemente al gobierno sobre la vulnerabilidad y los peligrosos cuervos. El pr\u00edncipe y la princesa parchearon la vulnerabilidad y les dijeron a los cuervos que no estaban enfadados con ellos, pero que no volvieran a hacerlo. Cabe destacar que no castigaron a las aves, sino que simplemente les pidieron cambiar su comportamiento.<\/p>\n

Como recompensa, el pr\u00edncipe y la princesa entregaron recursos a Gerda (una carroza, ropa abrigadora y criados). Este es un gran ejemplo de c\u00f3mo una instituci\u00f3n debe responder cuando los investigadores informan de una vulnerabilidad; solo esperemos que esta recompensa no sea un hecho aislado, sino que se haya convertido en un programa de recompensas por notificaci\u00f3n de errore<\/a>s.<\/p>\n

Historia 5: La peque\u00f1a ladrona<\/h2>\n

En esta historia, aparentemente Gerda cay\u00f3 en manos de unos bandidos. En realidad, Andersen utiliza otra alegor\u00eda para explicar que, tras llegar a un callej\u00f3n sin salida en la etapa anterior de la investigaci\u00f3n, Gerda se ve forzada a contratar la ayuda de fuerzas que, pong\u00e1moslo as\u00ed, no eran del todo legales.<\/p>\n

Los ciberdelincuentes ponen a Gerda en contacto con unas palomas mensajeras que sab\u00edan exactamente qui\u00e9n era el responsable del incidente de Kai, as\u00ed como con un reno que pose\u00eda las direcciones de algunos contactos \u00fatiles en la darknet<\/em>. Esta ayuda no fue barata; perdi\u00f3 la mayor parte de los recursos ganados en la historia anterior.<\/p>\n

Pero para no socavar la integridad de la joven investigadora, Andersen intenta describir su trato con los delincuentes como algo acto inevitable: ellos le robaron primero, afirma, y solo entonces, al sentir compasi\u00f3n de su v\u00edctima, le proporcionan informaci\u00f3n. No suena muy convincente, ya que es m\u00e1s probable que se tratase de un arreglo beneficioso para ambas partes.<\/p>\n

Historia 6: La mujer de Laponia y la mujer de Finlandia<\/h2>\n

A continuaci\u00f3n, llega la etapa final de recopilaci\u00f3n de la informaci\u00f3n necesaria para la investigaci\u00f3n, gracias a los contactos en la darknet<\/em> que proporcionaron los bandidos. El reno llev\u00f3 a Gerda con cierta mujer de Laponia, que escribi\u00f3 en un bacalao seco una carta de recomendaci\u00f3n para el siguiente informante: una mujer de Finlandia.<\/p>\n

La finlandesa, a cambio, proporcion\u00f3 la direcci\u00f3n del \u201cjard\u00edn de la reina de las nieves\u201d; ese era claramente el nombre del servidor de mando y control. Hay un buen detalle aqu\u00ed: tras leer el mensaje, ella tir\u00f3 el bacalao en un taz\u00f3n de sopa. Entendi\u00f3 la importancia pr\u00e1ctica de no dejar pistas innecesarias, as\u00ed que se ci\u00f1\u00f3 cuidadosamente a las reglas de la seguridad operacional<\/a>, la firma caracter\u00edstica de un profesional experimentado.<\/p>\n

Historia 7: Qu\u00e9 sucedi\u00f3 en el palacio de la reina de las nieves y qu\u00e9 trascendi\u00f3 del asunto<\/h2>\n

La s\u00e9ptima historia explica finalmente por qu\u00e9 la reina de las nieves necesitaba a Kai en primer lugar. \u00c9l estaba sentado, reacomodando bloques de hielo, intentado deletrear la palabra \u201ceternidad\u201d. Suena demencial, \u00bfverdad? Pero para nada. Lee esta publicaci\u00f3n, una introducci\u00f3n a la miner\u00eda de criptomonedas<\/a>. Como se explica, los mineros esencialmente trabajan reacomodando un bloque de informaci\u00f3n para conseguir no solamente un c\u00f3digo hash<\/em>, sino el \u201cm\u00e1s hermoso\u201d posible.<\/p>\n

Es decir, Kai intent\u00f3 acomodar los fragmentos de informaci\u00f3n de modo que su c\u00f3digo hash<\/em> apareciera como la palabra \u201ceternidad.\u201d En este punto, resulta claro por qu\u00e9 en la segunda historia Andersen se centr\u00f3 en la potencia computacional de Kai. Eso es exactamente lo que la reina de las nieves quer\u00eda e infect\u00f3 a Kai con el \u00fanico prop\u00f3sito de hacer miner\u00eda de criptomonedas. Tambi\u00e9n explica la evidente obsesi\u00f3n de la reina de las nieves con el norte y el fr\u00edo, ya que una granja de miner\u00eda de alto rendimiento requiere un potente sistema de refrigeraci\u00f3n.<\/p>\n

Gerda derriti\u00f3 las capas heladas del coraz\u00f3n de Kai con sus l\u00e1grimas (es decir, suprimi\u00f3 el c\u00f3digo malicioso mediante varias herramientas y recuper\u00f3 el control del n\u00facleo del sistema). Kai rompi\u00f3 en l\u00e1grimas, lo que significa que activ\u00f3 su antivirus incorporado (previamente bloqueado por el m\u00f3dulo infectado en su n\u00facleo) y elimin\u00f3 el segundo fragmento de c\u00f3digo malicioso de su ojo.<\/p>\n

El final del informe resulta extra\u00f1o de acuerdo con los est\u00e1ndares contempor\u00e1neos. En vez de proporcionar consejos para las v\u00edctimas potenciales, los indicadores de compromiso del sistema y otros detalles \u00fatiles, Andersen se explaya sobre el viaje de regreso a casa de los personajes. Quiz\u00e1s en el siglo XIX, as\u00ed era como los informes de seguridad de la informaci\u00f3n conclu\u00edan las cosas.<\/p>\n

Como hemos dicho antes, los escritores de cuentos son en realidad los expertos en ciberseguridad m\u00e1s antiguos del sector. El caso de La reina de las nieves <\/em>confirma nuestra afirmaci\u00f3n. Como ya hemos dicho, esta f\u00e1bula es una historia detallada de una investigaci\u00f3n sobre un incidente complejo. Tambi\u00e9n te recomendamos que eches un vistazo a nuestros an\u00e1lisis de otros cuentos populares:<\/p>\n