Analizador telefónico con reflectómetro TALAN DPA-7000. Imagen: TALAN.

Analizador telefónico con reflectómetro TALAN DPA-7000. Imagen: Reiusa.
Orion 1

Detector de junturas ORION HX (NLJD), usado para detectar dispositivos electrónicos ocultos alámbricos, sistemas de vigilancia aunque estén apagados, cámaras ocultas alámbricas o micrófonos. Imagen: Reiusa.
Y añade un dato curioso: durante la época del COVID-19 se detectó un incremento de espionaje electrónico a compañías farmacéuticas, tanto a directivos como a personal técnico. Había mucho dinero en juego para quienes desarrollaran las vacunas. La empresa de Javier también ha realizado barridos para proyectos extranjeros de empresas españolas que optaban a un contrato internacional, neutralizando amenazas en un contexto en el que otras empresas rivales tenían el apoyo de sus respectivos países, según cuenta el propio Javier.

Agujeros

¿Por dónde se puede fugar la información que una empresa paga mucho dinero por proteger? En primer lugar, están las amenazas de ciberseguridad habituales, pero incluso cuando la red interna está protegida, llegan las amenazas físicas: dispositivos de escucha, de grabación, de transmisión en tiempo real… Ahí es donde entra el eslabón humano. Y ahí es donde entra la contravigilancia.

Empleados desleales que facilitan el espionaje instalando elementos de escucha, por ejemplo, o trabajadores descontentos que aprovechan para ganar un dinero en forma de soborno a cambio de introducir esos dispositivos. A veces ni hace falta dinero, basta con el despecho y el revanchismo.

Cualquier servidor está expuesto a ataques de fuerza bruta. Brute Fail lo está demostrando en tiempo real
Estos elementos de escucha han llegado a un nivel de miniaturización muy sofisticado. «Hoy en día la electrónica usada para el espionaje tiene unas dimensiones muy pequeñas, algunos dispositivos transmiten digitalmente con diversos algoritmos de cifrado y vías de transmisión, como por ejemplo el cableado eléctrico y telefónico, o incluso en el espectro de luz no visible; hemos observado que tienen más autonomía y mayor calidad que en años anteriores. Son capaces de captar el audio a diversos metros de distancia dificultando así su detección», según añade David.
Hoy día hay micrófonos ocultos que aprovechan hasta la infraestructura de las empresas. «Por ejemplo, los micrófonos ocultos en cables de tipo Ethernet RJ45, muy difíciles de detectar si no se analizan todos los cables de red con los equipos adecuados; micrófonos ocultos que aprovechan el propio cableado eléctrico existente, o dispositivos de grabación programados para activarse en un horario determinado, un día en concreto, o cuando se detecte voz en el ambiente». A ese nivel llega la amenaza del espionaje.

Más allá del cifrado

Para algunos tipos de grupos no solo basta con cifrar la información o asegurar la confidencialidad de los mensajes transmitidos: su tipo de actividad requiere ocultar la propia comunicación. Es lo que hacen por ejemplo los Servicios de Inteligencia o el crimen organizado, incluyendo grupos terroristas.
David nos cuenta que esto ya era habitual durante la Guerra Fría y todavía hoy, con ejemplos como el de los espías ilegales de Putin en 2010. Son este tipo de grupos los que usan dispositivos SRAC (de corto alcance)  o el uso de «buzones muertos».

El chat en tiempos de delincuentes y terroristas: los videojuegos no sirven porque lo crucial es el cifrado
«Un ejemplo curioso es el uso de las funciones de teletexto, hoy en desuso, por parte de organizaciones criminales, para mandar mensajes codificados a algunos reclusos usando mensajes de la sección ‘contactos’ y similares. Por ello en algunas cárceles tuvieron que deshabilitar el módulo de teletexto en las televisiones. Hay muchísimos ejemplos en los que se usan este tipo de comunicaciones».

A la hora de contratar servicios de contravigilancia electrónica, David recomienda contratar a empresas profesionales con certificaciones y equipamiento actualizados, además de conocer a las personas que acudirán a realizar los servicios. «Aunque hay personas que ofrecen supuestos barridos con detectores de frecuencia de 100 euros con toda clase de luces y sonidos, una empresa que quiera ofrecer eficacia mínima debe invertir una media de 100.000 a 160.000 euros para prestar servicios TSCM profesionales con ciertas garantías».

Contravigilancia digital y trampas para atacantes

Para cuando la amenaza no tiene un formato presencial, con dispositivos de escucha o similares, entra la contravigilancia digital: la anticipación a las amenazas en torno a la ciberseguridad. No solo la ciberseguridad per se, sino el enfoque específicamente preventivo frente a ataques.
De esto sabe un rato David Barroso, CEO de CounterCraft, empresa de ciberseguridad especializada en la neutralización de amenazas. Nos explica que, aunque es muy difícil llegar a una protección total para una empresa en este sentido, pues un 100% de seguridad es poco más que una quimera, sí tienen su propio enfoque.

«Nosotros no jugamos a pegar un martillazo al topo en cuanto asoma la cabeza, que es como suelen trabajar las organizaciones, controlando daños hasta que llegue el siguiente incidente. Nosotros hemos invertido eso: ponemos trampas a los atacantes. Dejamos archivos y puertas abiertas que ellos creen auténticos pero son ficticias, y se han puesto ahí precisamente para detectarle e identificarle», nos cuenta.

«Desplegamos esas trampas dentro y fuera de las organizaciones, en lugares que una persona normal no encontrará, como redes Wi-Fi, documentos corporativos o elementos en la nube. El atacante creerá que ha encontrado el tesoro, pero solo es nuestra estrategia de defensa. Se entretendrá con eso, y además nos dejará saber más sobre él. Por hacer un símil, es como si nosotros custodiamos un diamante y creamos una habitación donde hay una réplica falsa protegida por rayos láser. Cuando el ladrón llegue allí podremos ver de dónde viene, qué información ha dejado…», añade.

Una vez un atacante llega a la trampa, ya sea una carpeta con lo que parece información confidencial, ya sean credenciales de acceso a un servidor o ya sea una VPN corporativa, empresas como CounterCraft empiezan a rastrear ese acceso. No solo son entornos simulados, sino incluso que se genera una actividad ficticia para que el atacante esté convencido de que ha llegado a su objetivo, incluyendo accesos simultáneos de falsos emplaedos o interacciones entre ellos. Simulan vida alrededor de ese escenario de cartón-piedra.

Para esta generación de entornos simultáneos, por cierto, recurren a la Inteligencia Artificial generativa. Por ejemplo, para que los textos que contienen los documentos, que no pueden ser los reales, sí parezcan los auténticos y tengan un sentido. En lugar de echar horas redactando versiones alternativas, lo dejan en manos de ChatGPT y compañía.

Barroso coincide en que el ser humano tiende a ser el eslabón más débil en la cadena de la seguridad. «Incluso al mayor experto en seguridad se le puede engañar, aunque requiera más tiempo y habilidad. Los humanos confiamos demasiado en las personas», explica. «Hay muchos tipos de ataques, como el del CEO, que simula que el CEO envía un correo metiendo prisa para recibir una información sensible».

Ese tipo de ataques suelen estar muy estudiados: en timing, como enviando este correo un viernes a última hora transmitiendo celeridad para que la víctima se sienta presionada; o en contexto más amplio, como atacar justo cuando hay una auditoría en marcha o un alta de un nuevo proveedor, donde tiene sentido que se intercambie cierto tipo de documentación confidencial.

En esos casos no es nada demasiado tecnológico, sino pura ingeniería social, como el phishing. Una guerra eterna. No obstante, precisamente si son ataques muy dirigidos es cuando más difícil resulta estar preparado. Pese a las trampas.

En cambio, cuando el atacante pesca con red en lugar de con caña, es más difícil que tenga éxito. El mencionado fraude del CEO suele realizarse a granel y con una tasa de éxito del 1%, o menos, ya suele compensar. Otra cuestión, como decimos, es un ataque dirigido, que estará mucho mejor preparado y será más convincente.

E incluso los equipos delictivos mejor preparados suelen acabar cometiendo algún error que puede ser explotado en su contra. En el caso de Barroso, recuerda un caso en el que trabajan junto a un cuerpo policial europeo y buscaban atraer a un grupo criminal a sus entornos ficticios para que desplegaran ransomware allí. «Esa gente usa muchas formas de anonimizar la conexión: Tor, redes de proxies, VPNs robadas… Pero en una conexión, una persona se conectó desde su domicilio, debió olvidar conectar el sistema. El cuerpo policial le localizó y arrestó. Sin ese fallo, quizás nunca podríamos haber conseguido ese éxito», rememora el CEO. El eslabón humano, tan poderoso y tan débil.


Fuente: https://www.xataka.com/seguridad/desconocido-mundo-contravigilancia-electronica-toda-paranoia-poca-tal-detectar-espionaje
Autor: Javier Lacort

0 Likes