La escalada de la ciberguerra
Resumen
El artículo explora la evolución de la ciberguerra a través de una serie de incidentes significativos, comenzando con el ciberataque a los gasoductos transiberianos en la década de 1980, donde la CIA introdujo malware en el software de control, causando una explosión devastadora. Este evento marcó uno de los primeros usos del ciberespacio como herramienta de sabotaje militar, sentando las bases para futuros conflictos en este dominio.
A lo largo del tiempo, la ciberguerra se ha vuelto más compleja y letal, como se evidenció en el ataque de Stuxnet en 2010, que destruyó centrifugadoras en Irán y en el ataque NotPetya en 2017, que, aunque inicialmente dirigido a Ucrania, causó daños globales masivos. Estos incidentes no solo demostraron la capacidad destructiva de los ciberataques, sino que también revelaron la vulnerabilidad de las infraestructuras críticas ante amenazas cibernéticas.
La Cumbre de la OTAN de 2016 en Varsovia fue un punto de inflexión ya que se reconoció oficialmente el ciberespacio como un dominio militar al mismo nivel que la tierra, el mar, el aire y el espacio. Esta decisión reflejó la creciente necesidad de una estrategia cibernética robusta y colaborativa entre los aliados para enfrentar las amenazas emergentes, lo que llevó a la creación de un Centro de Excelencia en Ciberdefensa y a la integración de capacidades cibernéticas en las operaciones militares.
Finalmente, el artículo analiza el ataque a los beepers de Hezbollah en 2024, que resultó en microexplosiones dirigidas y un alto número de víctimas. Este ataque ilustró la evolución de las tácticas de la ciberguerra, donde incluso dispositivos obsoletos pueden ser manipulados para causar daño significativo. En conjunto, estos eventos subrayan cómo la ciberguerra se ha especializado antes dirigiéndose a generar detrimento en las capacidades comerciales y económicas y ahora ha adoptado técnicas mortales masivas, planteando desafíos continuos para la seguridad global en un mundo cada vez más interconectado.
1. Introducción
La ciberguerra se refiere a acciones hostiles realizadas en el ámbito cibernético con el fin de perjudicar a un adversario ya sea una nación, organización o grupo. A lo largo de la historia, han sucedido varios incidentes que pueden clasificarse como ciberguerra debido a su impacto estratégico, geopolítico o militar.
De muchos de estos incidentes no se tiene certeza, más allá de inferencias basadas en el contexto geopolítico del momento en que sucedieron, de su origen, propagación o quienes fueron los perpetradores.
En éste artículo se presentan las hipótesis más plausibles tras analizar varias y descartar las menos probables, con información inferida en noticias de fuentes confiables y basandose en el contexto geopolítico, pero se advierte al lector que mucha de la información no puede constatarse ni demostrarse a ciencia cierta.
2. Ciberataque a los gasoductos transiberianos (1982)
El ciberataque al gasoducto transiberiano fue un momento clave en la historia de la ciberguerra, donde se usaron medios cibernéticos para dañar la infraestructura de una nación. Los efectos fueron devastadores y resaltaron la importancia de la ciberseguridad en el contexto de la competencia geopolítica y militar.
2.a) Contexto y Desarrollo
En los años 80, durante la Guerra Fría, la Unión Soviética dependía fuertemente de su industria energética, especialmente el petróleo y el gas, como fuentes clave de ingresos para sostener su economía y financiar su expansión militar. El mercado europeo era particularmente importante para Moscú ya que la exportación de gas natural a Europa Occidental proporcionaba una entrada crucial de divisas.
Sin embargo, la URSS enfrentaba desafíos para desarrollar y gestionar eficientemente sus vastos recursos de gas. En ese momento, la tecnología necesaria para automatizar y gestionar de manera eficiente la infraestructura de los gasoductos, específicamente los sistemas de control industrial (SCADA), estaba mucho más desarrollada en Occidente. Dado que la URSS no tenía acceso directo a esta tecnología debido a embargos comerciales, recurrió al espionaje industrial para adquirirla.
2.b) El papel del doble agente Farewell
Un punto clave en este incidente fue la participación de Vladimir Vetrov, un oficial de la KGB que actuaba como doble agente para Francia bajo el nombre en clave "Farewell". Vetrov, quién había estado proporcionando a los servicios de inteligencia occidentales información crítica sobre las operaciones de espionaje tecnológico de la URSS, reveló que la Unión Soviética estaba tratando de robar tecnología avanzada, incluida la necesaria para gestionar sus gasoductos transiberianos.
Cuando la CIA tuvo acceso a esta información, tomó una decisión estratégica. En lugar de simplemente bloquear los esfuerzos de espionaje soviético, decidieron aprovechar la situación. La CIA ideó un plan de contrainteligencia, con la cooperación de otras agencias occidentales, para permitir que los soviéticos robaran software que estaba contaminado, a propósito, con un código malicioso. Este software fue obtenido de una empresa canadiense y en apariencia era funcional para controlar los sistemas SCADA que gestionaban los gasoductos transiberianos.
2.c) El sabotaje: El malware en el software
El malware insertado por la CIA estaba diseñado para activar fallas críticas en el sistema de gestión del gasoducto. El software modificaba las presiones dentro del sistema de tuberías sin activar ninguna alarma, lo que provocaba una acumulación extrema de presión en puntos clave del oleoducto. Este sabotaje fue una forma de guerra económica y estratégica ya que el objetivo no era solo dañar el gasoducto, sino también socavar la confianza en las capacidades tecnológicas soviéticas.
2.d) La explosión masiva de 1982
El resultado de este sabotaje fue catastrófico. En 1982, el gasoducto transiberiano, que transportaba gas a través de miles de kilómetros desde Siberia hacia Europa, sufrió una explosión de gran magnitud. La explosión fue tan masiva que se dice que fue visible desde satélites en órbita, con la magnitud de una pequeña explosión nuclear.
Aunque no se conocen todos los detalles sobre la explosión (ya que la Unión Soviética intentó encubrir el incidente), se estima que fue una de las mayores explosiones no nucleares registradas en ese momento. Las consecuencias inmediatas incluyeron la destrucción de una parte significativa del gasoducto, así como la interrupción de las operaciones en una infraestructura crítica.
2.e) Impacto en el mercado de gas en Europa
Esta explosión y el consecuente daño a la infraestructura energética de la URSS afectaron su capacidad de exportar gas a Europa Occidental de manera confiable. Este incidente debilitó temporalmente el control soviético sobre el mercado energético europeo, lo que permitió a otras fuentes, incluidas las naciones occidentales, ganar terreno en la provisión de energía.
Aunque la Unión Soviética eventualmente reparó el gasoducto, el incidente fue un golpe económico y geopolítico. Las pérdidas económicas fueron considerables y el incidente redujo la capacidad soviética para influir en el mercado energético de Europa en un momento clave de la Guerra Fría.
2.f) Lecciones aprendidas y cómo se podría haber prevenido el ataque
Este ataque cibernético de la CIA a la URSS dejó lecciones importantes sobre la seguridad cibernética y las operaciones de contrainteligencia:
-
Seguridad en la adquisición de tecnología extranjera: La URSS subestimó los riesgos de adquirir tecnología extranjera sin asegurarse de su seguridad. La dependencia de software robado dejó a la infraestructura crítica vulnerable a sabotajes. Hoy en día, es fundamental que los gobiernos y las empresas verifiquen y validen cualquier tecnología extranjera antes de integrarla en sistemas críticos.
-
Auditoría y pruebas al software adquirido: Si la URSS hubiera implementado medidas de auditoría para verificar la integridad del software robado, podrían haber detectado las alteraciones maliciosas. La necesidad de inspeccionar cualquier software de origen externo es hoy un estándar en la ciberseguridad.
-
Fortalecimiento de la ciberseguridad industrial: El ataque al sistema SCADA subraya la importancia de proteger los sistemas industriales frente a ciberataques. Las infraestructuras críticas deben estar protegidas por capas de seguridad, desde autenticaciones robustas hasta monitoreos continuos.
-
El sistema SCADA, un problema crítico: Aún hoy existe una gran cantidad de dispositivos SCADA obsoletos operando en infraestructuras clave, como acueductos, redes eléctricas y otros sistemas industriales, por sus características básicas de hardware no soportan medidas de seguridad modernas, lo que los deja vulnerables a ciberataques. Si bien el reemplazo de estos sistemas es esencial para mejorar la seguridad, su actualización o sustitución tiene un costo extremadamente alto, lo que dificulta su renovación. A pesar de ello, las infraestructuras críticas deben ser protegidas con múltiples capas de seguridad, desde autenticaciones robustas hasta monitoreos continuos, para mitigar riesgos inmediatos.
-
Manejo responsable de espionaje industrial: La historia muestra los riesgos inherentes del espionaje tecnológico. Robar tecnología no solo expone a una nación a riesgos legales, sino que también deja abierta la posibilidad de ser engañado o sabotaje.
-
Colaboración entre agencias de inteligencia: La cooperación entre la CIA y sus aliados fue clave para ejecutar con éxito esta operación de contrainteligencia. El incidente destaca la efectividad de operaciones coordinadas en el ámbito cibernético para afectar a un adversario.
-
Diversificación de recursos estratégicos: La dependencia de una sola fuente o sistema para la gestión de recursos críticos, como los gasoductos, puede ser una vulnerabilidad. Diversificar las fuentes y sistemas puede ayudar a mitigar los efectos de un ataque.
2.g) Cómo se habría podido prevenir el ataque
-
Implementar auditorías de software: Al recibir el software robado, la URSS podría haber sometido el código a un escrutinio riguroso para detectar cualquier vulnerabilidad o malware.
-
Desarrollo interno de tecnología: Si la URSS hubiera invertido más en el desarrollo de su propia tecnología en lugar de depender del espionaje, habría reducido el riesgo de ser víctima de sabotajes de este tipo.
-
Fortalecer la ciberseguridad en infraestructura crítica: La instalación de medidas de ciberseguridad más robustas, como firewalls y sistemas de detección de intrusos en las redes industriales, podría haber prevenido o mitigado el impacto del ataque.
3. Stuxnet (2010)
Fue un ataque cibernético revolucionario que cambió el panorama de la ciberseguridad y la guerra moderna. Aunque su impacto fue limitado a los sistemas industriales iraníes, sus implicaciones y lecciones aprendidas tienen alcance global. La necesidad de proteger infraestructuras críticas de futuras amenazas cibernéticas quedó clara y los controles preventivos, como la actualización de sistemas, segmentación de redes, monitoreo y pruebas de seguridad, son esenciales para prevenir incidentes similares en el futuro.
3.a) Descripción, Impacto y Consecuencias
Stuxnet fue un gusano informático extremadamente sofisticado y uno de los primeros ejemplos de una ciberarma diseñada para destruir o sabotear infraestructuras físicas críticas a través de sistemas de control industrial. Fue descubierto en 2010, pero llevaba operando de manera encubierta desde al menos 2007. El malware fue diseñado específicamente para atacar los sistemas SCADA (Supervisory Control and Data Acquisition) utilizados para controlar procesos industriales en las instalaciones nucleares iraníes, en particular en la planta de enriquecimiento de uranio en Natanz.
Stuxnet se atribuye a una operación conjunta de Estados Unidos e Israel con el objetivo de sabotear el programa nuclear de Irán. El gusano infectó los controladores lógicos programables (PLC) de las centrifugadoras de uranio, que eran controlados por software de Siemens. Al alterar la velocidad de rotación de las centrifugadoras sin activar alertas en los sistemas de monitoreo, Stuxnet causó un desgaste excesivo en los equipos, dañando más de 1,000 centrifugadoras de las 5,000 en operación, lo que retrasó considerablemente el avance del programa nuclear iraní.
3.b) Funcionamiento de Stuxnet
Stuxnet fue una obra maestra de ingeniería cibernética. Se distribuía a través de dispositivos USB infectados y, una vez en la red de una organización, se propagaba sin necesidad de acceso a internet, aprovechando vulnerabilidades de día cero en Windows. Aunque infectó muchos sistemas en todo el mundo, su objetivo principal era específico: los sistemas SCADA que controlaban las centrifugadoras en Natanz.
El malware estaba programado para atacar solo cuando detectaba un entorno muy específico, con configuraciones técnicas asociadas a las centrífugas iraníes. Una vez activado, modificaba la velocidad de rotación de las centrifugadoras, alternando entre acelerarlas y desacelerarlas de manera que las desgastaba o las destruía, todo sin que los operadores se dieran cuenta de que el daño estaba ocurriendo.
3.c) Impacto de Stuxnet
Stuxnet tuvo un impacto significativo en varios niveles:
-
Retraso en el programa nuclear iraní: Al sabotear las centrifugadoras, Stuxnet consiguió retrasar el enriquecimiento de uranio necesario para el programa nuclear de Irán, lo que le dio más tiempo a la diplomacia internacional para negociar con el país sobre su programa nuclear.
-
Exposición de la vulnerabilidad en infraestructuras críticas: Stuxnet demostró que las infraestructuras industriales, incluyendo plantas de energía, redes eléctricas y sistemas de agua, son extremadamente vulnerables a ciberataques. El malware marcó un antes y un después en cómo los actores estatales y no estatales perciben la ciberguerra.
-
Efectos secundarios globales: Aunque fue diseñado específicamente para Natanz, Stuxnet infectó cientos de miles de ordenadores en todo el mundo, lo que resaltó la naturaleza incontrolable de los ataques cibernéticos una vez que se lanzan. Si bien no causó daños fuera de Irán, su propagación masiva dejó claro que las armas cibernéticas pueden tener efectos colaterales imprevistos.
3.d) Consecuencias de Stuxnet
-
Nuevas formas de ciberguerra: Stuxnet mostró que los ciberataques pueden causar daños físicos en infraestructuras críticas, abriendo la puerta a una nueva forma de guerra asimétrica donde un actor puede atacar a otro sin recurrir a la fuerza militar tradicional.
-
Aumento en la inversión en ciberseguridad: A nivel global, los gobiernos y empresas comenzaron a invertir más en seguridad de sus infraestructuras críticas tras la revelación de Stuxnet. Países como Irán también intensificaron sus esfuerzos en la creación de capacidades cibernéticas defensivas y ofensivas.
-
Escalada en la carrera cibernética: El ataque también condujo a una escalada en la carrera armamentista cibernética. Varios países vieron el potencial de las armas cibernéticas y empezaron a desarrollar sus propias capacidades, aumentando el riesgo de futuros ataques de gran escala.
3.e) Lecciones Aprendidas
-
Vulnerabilidad de los sistemas industriales: Los sistemas SCADA y PLC, que controlan infraestructuras críticas, son especialmente vulnerables a ciberataques. La falta de actualización de estos sistemas y su diseño inicial sin considerar la ciberseguridad los convierten en blancos fáciles.
-
Ciberseguridad como prioridad nacional: Stuxnet demostró la necesidad de que los países consideren la ciberseguridad de sus infraestructuras críticas como un asunto de seguridad nacional. Los gobiernos deben implementar medidas preventivas, establecer equipos de respuesta a incidentes y desarrollar capacidades defensivas en el ciberespacio.
-
Difusión de armas cibernéticas: El uso de Stuxnet también planteó preocupaciones sobre la proliferación de armas cibernéticas. Aunque el malware estaba altamente especializado, su código se ha estudiado ampliamente y existe el riesgo de que actores malintencionados repliquen este tipo de ataque contra otros sistemas críticos.
-
Ciberguerra como herramienta geopolítica: El éxito de Stuxnet mostró que las ciberarmas pueden ser una herramienta efectiva de geopolítica ya que permitieron a los Estados Unidos e Israel atacar el programa nuclear iraní sin recurrir a la guerra convencional.
3.f) Controles que habrían evitado el incidente
-
Segmentación de redes (air gap): Stuxnet se propagó a través de memorias USB infectadas. Aunque las instalaciones nucleares de Irán estaban en redes air-gapped (desconectadas de internet), no se siguieron rigurosamente los protocolos de seguridad para evitar el uso de dispositivos externos en áreas sensibles. Un control más estricto sobre la utilización de dispositivos USB y la segmentación estricta de las redes habría limitado la capacidad de Stuxnet para ingresar en el sistema.
-
Actualización de sistemas y gestión de vulnerabilidades: Stuxnet aprovechó cuatro vulnerabilidades de día cero en Windows. La falta de actualizaciones regulares y parches de seguridad para sistemas operativos en las instalaciones industriales contribuyó a la efectividad del ataque. Mantener los sistemas actualizados con los últimos parches de seguridad podría haber mitigado el ataque.
-
Monitoreo de tráfico en sistemas SCADA: La introducción de soluciones avanzadas de monitoreo y detección de anomalías en sistemas SCADA podría haber permitido detectar comportamientos extraños en el sistema antes de que causaran daños graves. Los cambios inusuales en la velocidad de las centrifugadoras podrían haber sido una señal de alerta temprana.
-
Pruebas de penetración y simulación de ataques: Realizar simulaciones de ciberataques y pruebas de penetración en sistemas SCADA para detectar vulnerabilidades antes de que puedan ser explotadas es una práctica que, de haber sido implementada, habría mostrado la vulnerabilidad de los sistemas ante un ataque como Stuxnet.
-
Controles estrictos de acceso: Limitar el acceso físico y lógico a los sistemas críticos es fundamental. Un mejor control sobre quién puede acceder a los sistemas SCADA, así como la utilización de autenticaciones robustas (como la autenticación multifactor), habría ayudado a reducir el riesgo.
-
Implementación de listas blancas: El uso de listas blancas (whitelisting) en los controladores industriales podría haber prevenido la ejecución de cualquier software no autorizado. Esto significa que únicamente el software aprobado previamente podría haber sido ejecutado en los controladores de las centrifugadoras.
4. Ataques a las redes eléctricas de Ucrania (2015-2016):
Los ataques cibernéticos a la infraestructura eléctrica de Ucrania en 2015 y 2016 demostraron el peligro que representan las ciberarmas en la guerra moderna. A pesar del daño causado, estos incidentes han proporcionado lecciones valiosas sobre la importancia de proteger las infraestructuras críticas de ataques cibernéticos. Implementar controles preventivos, como la segmentación de redes, la actualización de sistemas y la formación en ciberseguridad, es clave para prevenir futuros ataques y mitigar el impacto de incidentes similares.
4.a) Descripción del incidente
Entre diciembre de 2015 y diciembre de 2016, Ucrania sufrió dos ciberataques masivos contra su infraestructura eléctrica, lo que dejó a cientos de miles de personas sin electricidad. Estos ataques, ampliamente atribuidos a grupos de hackers respaldados por Rusia, destacaron el uso de ciberarmas en conflictos geopolíticos y demostraron la vulnerabilidad de las infraestructuras críticas.
Ataque de diciembre de 2015
El primer ataque ocurrió el 23 de diciembre de 2015 y afectó a tres compañías eléctricas ucranianas: Kyivoblenergo, Prykarpattyaoblenergo y Chernivtsioblenergo. Los atacantes usaron el malware BlackEnergy, un troyano avanzado diseñado para sabotear sistemas industriales. Este software malicioso permitió a los hackers acceder a los sistemas de las compañías eléctricas, apagar subestaciones de forma remota y bloquear el acceso a los operadores.
El ataque dejó a aproximadamente 230,000 personas sin electricidad durante varias horas, afectando múltiples regiones del país. Los atacantes no solo interrumpieron el suministro eléctrico, sino que también inutilizaron los sistemas telefónicos de las empresas, lo que dificultó la respuesta rápida y la comunicación entre los operadores y los clientes.
Fases del ataque de 2015:
-
Intrusión inicial: El acceso a los sistemas comenzó meses antes, a través de correos de phishing que infectaron las redes con el malware BlackEnergy.
-
Acceso remoto: Los hackers ganaron acceso a las redes de las compañías eléctricas y estudiaron las operaciones para preparar el ataque.
-
Desconexión del suministro: Usaron herramientas como KillDisk, que borraron los discos duros para inutilizar los sistemas de las empresas y tomaron el control de los SCADA (sistemas de control industrial) para abrir interruptores en las subestaciones, cortando el suministro eléctrico.
-
Inhabilitación de los sistemas de respaldo: Desactivaron los sistemas de respuesta de emergencia y los centros de llamadas, obstaculizando las medidas de mitigación.
Ataque de diciembre de 2016
Un año después, el 17 de diciembre de 2016, Ucrania sufrió otro ciberataque, esta vez dirigido a la subestación de Pivnichna, una de las más importantes de Kiev, la capital del país. El malware utilizado en este ataque fue Industroyer (también conocido como CrashOverride), una herramienta mucho más sofisticada que BlackEnergy, diseñada específicamente para atacar y controlar sistemas de infraestructura crítica, como redes eléctricas.
Industroyer es notable por su capacidad para interactuar directamente con protocolos de comunicación industrial que gestionan el flujo de electricidad, como IEC 61850 y IEC 104, lo que permitió a los atacantes manipular los sistemas de control en las subestaciones. Aunque el apagón en 2016 afectó a menos personas (alrededor de 200,000 residentes), fue un ataque avanzado, capaz de causar daños permanentes si no hubiera sido contenido rápidamente.
Fases del ataque de 2016:
-
Explotación de vulnerabilidades industriales: Los atacantes usaron Industroyer para explotar vulnerabilidades en los sistemas SCADA, interrumpiendo la distribución de electricidad.
-
Control directo sobre equipos industriales: El malware interactuó con los dispositivos de las subestaciones, tomando el control de interruptores y desconectadores, replicando las acciones de un operador legítimo.
-
Disrupción en los sistemas de protección: Industroyer también atacó los sistemas de protección automatizados, lo que pudo haber provocado un daño más extenso si no se hubiera neutralizado rápidamente.
4.b) Impacto de los ataques
-
Interrupción masiva del suministro eléctrico: En ambos ataques, cientos de miles de personas quedaron sin electricidad, causando caos en las regiones afectadas. El apagón en pleno invierno creó problemas de seguridad y emergencia para los residentes, especialmente en áreas urbanas densamente pobladas.
-
Demostración de vulnerabilidad: Los ataques revelaron las vulnerabilidades de las infraestructuras críticas, no solo en Ucrania, sino en todo el mundo. Estos eventos mostraron cómo una nación puede ser desestabilizada mediante ataques cibernéticos a sus sistemas de energía.
-
Efecto en la guerra híbrida: En el contexto del conflicto entre Ucrania y Rusia, estos ataques fueron percibidos como parte de la estrategia de guerra híbrida de Rusia. Al atacar la infraestructura energética ucraniana, Rusia buscó debilitar al país, reducir su capacidad de resistencia y generar descontento en la población.
-
Capacidades avanzadas de los atacantes: Los ataques mostraron que los hackers tenían un conocimiento profundo no solo de los sistemas SCADA, sino también de cómo interactuar con los protocolos industriales. Esto subrayó la capacidad técnica de los actores estatales en el desarrollo de malware específicamente dirigido a infraestructuras críticas.
4.c) Consecuencias
-
Respuesta internacional: Estos ataques cibernéticos contra Ucrania generaron una mayor conciencia global sobre la vulnerabilidad de las infraestructuras críticas ante ciberataques. Países de todo el mundo empezaron a reforzar sus defensas en sistemas industriales críticos, especialmente en sectores como la energía y el transporte.
-
Mejora en la ciberseguridad industrial: Como resultado de los ataques, Ucrania y otros países comenzaron a invertir más en mejorar la ciberseguridad de sus infraestructuras críticas. Esto incluyó la implementación de políticas de seguridad más estrictas y la creación de equipos de respuesta a incidentes cibernéticos especializados en la protección de sistemas industriales.
-
Aumento de la escalada cibernética: Los ataques a la red eléctrica de Ucrania son un ejemplo claro de la escalada en el uso de ciberarmas en conflictos internacionales. Esto ha planteado preguntas sobre cómo las naciones deben responder ante tales ataques, especialmente cuando se atribuyen a actores estatales y si se deben considerar como actos de guerra.
4.d) Lecciones aprendidas
-
Segmentación de redes: Es fundamental aislar los sistemas industriales críticos de las redes de TI (tecnología de la información) generales. Los atacantes aprovecharon la conexión entre las redes de oficina y los sistemas SCADA para infiltrarse en las infraestructuras eléctricas. Implementar una segmentación de red (air gap) más estricta podría haber dificultado la propagación del ataque.
-
Protección contra phishing y spear-phishing: El ataque de 2015 comenzó con correos electrónicos de phishing que infectaron los sistemas con malware. Las compañías eléctricas debieron haber implementado políticas más estrictas de formación y sensibilización sobre ciberseguridad para sus empleados. Además, el uso de filtros avanzados y análisis de correos electrónicos podría haber prevenido la entrada del malware.
-
Detección de anomalías en sistemas industriales: Un sistema de monitoreo avanzado que detecte anomalías en el tráfico y comportamiento de los sistemas SCADA habría permitido a las compañías eléctricas detectar el ataque antes de que causara daños significativos. Las alertas tempranas sobre la actividad sospechosa en los sistemas SCADA podrían haber mitigado el impacto.
-
Actualización de software y gestión de parches: Las vulnerabilidades de software explotadas por el malware en los ataques subrayan la importancia de mantener actualizados los sistemas operativos y el software industrial. Los parches regulares de seguridad podrían haber cerrado las brechas que los atacantes usaron para infiltrarse.
-
Redundancia en sistemas críticos: Implementar redundancias en los sistemas eléctricos y de comunicación habría ayudado a mitigar el impacto de los ataques. En el caso del ataque de 2015, la interrupción simultánea del sistema de energía y los centros de llamadas dificultó la respuesta rápida. Tener sistemas de respaldo y líneas de comunicación independientes podría haber permitido una respuesta más eficiente.
-
Pruebas de penetración regulares: Realizar pruebas de penetración de forma periódica en los sistemas industriales puede ayudar a descubrir vulnerabilidades antes de que sean explotadas. Estas pruebas deberían simular ataques en tiempo real para evaluar la resistencia de las infraestructuras ante ciberamenazas.
4.e) Controles que habrían evitado los incidentes
-
Segmentación de red (air gap): Aislar completamente los sistemas SCADA del acceso a redes externas, incluidos los sistemas de TI corporativos, hubiera dificultado la entrada del malware en los sistemas críticos.
-
Autenticación multifactorial: Implementar sistemas de autenticación multifactorial para acceder a sistemas críticos habría hecho más difícil que los atacantes obtuvieran acceso remoto a los sistemas SCADA.
-
Monitoreo continuo de sistemas SCADA: Un sistema de detección de anomalías en los sistemas industriales podría haber detectado cambios inusuales en los sistemas antes de que los atacantes pudieran causar daños significativos.
-
Políticas de actualización y gestión de parches: Mantener el software actualizado y parchear las vulnerabilidades conocidas hubiera cerrado las puertas a los exploits que los atacantes utilizaron.
-
Concientización sobre ciberseguridad: Entrenamiento continuo y campañas de concientización para el personal sobre la detección de correos de phishing y otras tácticas de ingeniería social habrían reducido las posibilidades de infección inicial del malware.
5. La Cumbre de la OTAN de 2016
En julio de 2016, la Cumbre de la OTAN en Varsovia marcó un hito significativo en la evolución de la estrategia militar global. En un contexto de creciente preocupación por las amenazas cibernéticas, los líderes de los países miembros de la Organización del Tratado del Atlántico Norte se reunieron para discutir no solo la seguridad tradicional, sino también el ciberespacio como un nuevo dominio de operaciones militares. Esta decisión reflejó la realidad cambiante del conflicto moderno y la necesidad de adaptarse a un entorno donde los ataques cibernéticos podían tener consecuencias tan devastadoras como las acciones convencionales.
La Cumbre de la OTAN de 2016 en Varsovia fue un punto de inflexión que estableció el ciberespacio como un componente crítico de las operaciones militares contemporáneas. A medida que las amenazas evolucionan, la OTAN y sus aliados deben seguir adaptándose y fortaleciendo sus capacidades cibernéticas, asegurando que estén preparados para enfrentar los desafíos del futuro. En un mundo cada vez más interconectado, el dominio del ciberespacio será determinante para la seguridad y estabilidad global.
5.a) La Declaración de Varsovia
Durante la cumbre, se emitió una declaración que definía el ciberespacio como un dominio de operaciones militares al mismo nivel que la tierra, el mar, el aire y el espacio. Esto fue un reconocimiento explícito de que la guerra cibernética había llegado para quedarse y que era fundamental que los aliados desarrollaran capacidades en este ámbito. La declaración subrayó la importancia de la ciberseguridad y la resiliencia de las infraestructuras críticas, así como la necesidad de cooperación entre los miembros de la OTAN para compartir inteligencia y mejores prácticas en ciberdefensa.
5.b) Estrategias y Capacidades Cibernéticas
La Cumbre de Varsovia impulsó a la OTAN a establecer una serie de iniciativas para fortalecer su postura cibernética. Se decidió crear un Centro de Excelencia en Ciberdefensa en Tallin, Estonia, donde se llevarían a cabo investigaciones, entrenamiento y simulaciones de ataques cibernéticos. Este centro se convertiría en un pilar fundamental para la cooperación y el desarrollo de capacidades cibernéticas entre los estados miembros.
Además, se enfatizó la necesidad de integrar el ciberespacio en la planificación y ejecución de operaciones militares. Esto incluía el desarrollo de capacidades ofensivas y defensivas que permitieran a la OTAN responder de manera efectiva a las amenazas cibernéticas, así como proteger sus propios sistemas y redes.
5.c) Consecuencias para la Geopolítica Global
La decisión de reconocer el ciberespacio como un dominio militar tuvo repercusiones más allá de las fronteras de la OTAN. A medida que las naciones comenzaban a ajustar sus estrategias de defensa, la carrera por la superioridad cibernética se intensificó. Países como Rusia y China comenzaron a invertir significativamente en capacidades cibernéticas, preparándose para conflictos que no solo se librarían en el terreno físico, sino también en el ámbito digital.
Esta nueva dinámica llevó a un aumento en la ciberespionaje y las operaciones de desinformación, donde las naciones buscaron influir en la opinión pública y desestabilizar a sus adversarios a través de ataques cibernéticos, campañas de propaganda, noticias falsas y deepfakes. La cumbre de Varsovia sirvió como un catalizador para la transformación del ciberespacio en un campo de batalla clave en la geopolítica moderna.
5.d) Lecciones Aprendidas
El reconocimiento del ciberespacio como un dominio militar en la Cumbre de la OTAN de 2016 resaltó varias lecciones críticas:
-
Adaptación a Nuevas Realidades: Los conflictos modernos requieren un enfoque flexible y adaptativo que incluya capacidades cibernéticas junto con las tradicionales.
-
Cooperación Internacional: La seguridad cibernética no puede ser abordada de manera aislada. La colaboración entre naciones y organizaciones es esencial para abordar las amenazas cibernéticas.
-
Inversión en Capacidades: Los estados deben invertir en desarrollar habilidades cibernéticas, tanto defensivas como ofensivas, para proteger sus intereses y responder a las agresiones.
-
Concienciación y Educación: La formación en ciberseguridad debe ser una prioridad en todos los niveles, no solo en las fuerzas armadas, sino también en el sector privado y el público.
6. NotPetya (2017)
El ataque de NotPetya demostró el poder destructivo de los ciberataques en el mundo interconectado actual, afectando a múltiples sectores de la economía global y exponiendo las vulnerabilidades en las infraestructuras de TI. Este incidente dejó lecciones importantes sobre la necesidad de actualizar sistemas, fortalecer la seguridad de la cadena de suministro y desarrollar capacidades robustas de respuesta ante incidentes. Implementar estos controles podría haber evitado, o al menos mitigado, el impacto devastador que tuvo NotPetya en 2017.
6.a) Descripción, Impacto y Consecuencias
El ataque de NotPetya, que ocurrió en junio de 2017, es considerado uno de los ciberataques más devastadores en la historia moderna. Inicialmente dirigido contra Ucrania, este malware se propagó rápidamente, afectando a miles de sistemas en todo el mundo y causando daños por un valor estimado de más de 10 mil millones de dólares. Aunque al principio parecía un ransomware (un tipo de malware que cifra archivos y demanda un rescate por la clave de descifrado), el diseño de NotPetya estaba orientado a la destrucción, sin posibilidad de recuperar los datos, incluso si se pagaba el rescate. El ataque fue atribuido a grupos de hackers apoyados por el gobierno ruso, lo que lo vincula a las tensiones geopolíticas entre Rusia y Ucrania.
6.b) Características del malware NotPetya
NotPetya fue creado a partir de un ransomware llamado Petya, que cifra el registro de arranque maestro (MBR) y los archivos del disco duro, pero con una diferencia clave: el verdadero Petya ofrecía la posibilidad de recuperar los archivos mediante el pago de un rescate. En cambio, NotPetya era wiperware, diseñado para eliminar o destruir los datos, disfrazado de ransomware. Su verdadera intención era inutilizar los sistemas atacados, no generar dinero.
6.c) Propagación de NotPetya:
-
Vulnerabilidad explotada: NotPetya explotó la misma vulnerabilidad de Windows que WannaCry, conocida como EternalBlue, un exploit que afectaba el protocolo SMB (Server Message Block). Esta vulnerabilidad había sido expuesta en una filtración de herramientas de hacking de la NSA (Agencia de Seguridad Nacional de EE. UU.) y se utilizó ampliamente en ciberataques globales.
-
Mecanismo de infección: El ataque inicial se llevó a cabo a través de una actualización comprometida de un software contable muy usado en Ucrania llamado MEDoc. El malware, una vez que infectaba a una máquina, se propagaba lateralmente a través de la red local usando EternalBlue y otros métodos, afectando a otros sistemas incluso si estos ya estaban actualizados.
-
Funcionamiento destructivo: Tras infectar un sistema, NotPetya cifraba el MBR, lo que hacía que el sistema no pudiera arrancar y luego cifraba los archivos de la máquina. A diferencia del ransomware tradicional, incluso si se pagaba el rescate, el malware no proporcionaba una clave de descifrado válida, lo que significaba que los archivos quedaban permanentemente inaccesibles.
6.d) Impacto Global
El impacto de NotPetya fue masivo y se extendió mucho más allá de Ucrania, afectando a empresas y gobiernos en todo el mundo. Algunos de los casos más significativos incluyen:
-
Ucrania: El principal objetivo fue Ucrania, donde el malware atacó masivamente la infraestructura crítica, incluidos bancos, aeropuertos, servicios de energía y medios de comunicación. El ataque paralizó sectores importantes del país, afectando incluso las operaciones gubernamentales.
-
Empresas multinacionales: Grandes corporaciones internacionales fueron gravemente afectadas. Entre las más notables:
-
Maersk, la mayor empresa de transporte marítimo del mundo, tuvo que suspender sus operaciones globales debido a la infección de NotPetya, afectando su capacidad para gestionar y monitorear los envíos en todo el mundo. La empresa estimó pérdidas de hasta 300 millones de dólares.
-
FedEx sufrió pérdidas significativas en su subsidiaria TNT Express, cuyas operaciones en Europa se vieron gravemente interrumpidas.
-
Merck, una de las mayores compañías farmacéuticas del mundo, perdió más de 870 millones de dólares por la interrupción de sus sistemas de producción y distribución.
-
Saint-Gobain, una multinacional de construcción y fabricación, informó pérdidas de más de 384 millones de dólares debido al ataque.
-
-
Gobiernos y servicios públicos: NotPetya no solo afectó al sector privado. Varias agencias gubernamentales, especialmente en Ucrania, pero también en otros países, fueron gravemente afectadas. Sistemas de transporte, servicios bancarios y hasta hospitales experimentaron interrupciones significativas.
6.e) Consecuencias Geopolíticas y Económicas
-
Escalada de la ciberguerra: NotPetya marcó un punto de inflexión en la percepción de los ciberataques. Este incidente, ampliamente atribuido a hackers rusos en el contexto del conflicto con Ucrania, fue visto como parte de una estrategia más amplia de guerra híbrida. Aunque fue presentado como un ataque dirigido a Ucrania, su alcance global tuvo implicaciones geopolíticas mucho mayores, elevando la tensión entre Rusia y Occidente.
-
Daños económicos globales: Los costos financieros y económicos del ataque fueron enormes, con empresas que reportaron pérdidas de más de 10 mil millones de dólares en total. El ataque afectó cadenas de suministro globales, interrumpió la logística internacional y puso en riesgo la estabilidad operativa de grandes conglomerados internacionales.
-
Reforzamiento de la ciberseguridad global: La magnitud del ataque obligó a gobiernos y empresas de todo el mundo a replantear sus políticas de ciberseguridad. Después de NotPetya, hubo un aumento en la implementación de controles más estrictos, como actualizaciones de software regulares, segmentación de redes y políticas más estrictas de gestión de riesgos.
6.f) Lecciones Aprendidas
-
Actualización de sistemas y gestión de parches: A pesar de que la vulnerabilidad EternalBlue ya había sido parcheada por Microsoft meses antes del ataque, muchas empresas y organizaciones no habían aplicado las actualizaciones necesarias. La falta de gestión adecuada de parches permitió que el malware se propagara rápidamente. Este ataque subrayó la importancia crítica de mantener los sistemas actualizados con los últimos parches de seguridad.
-
Segmentación de redes: NotPetya se propagó lateralmente a través de redes internas mal segmentadas. Las organizaciones deben segmentar sus redes, separando sistemas críticos de aquellos menos importantes, para evitar que un ataque pueda propagarse rápidamente a través de toda la infraestructura.
-
Respaldo de datos: Una lección clave fue la necesidad de contar con sistemas robustos de respaldo de datos. Las organizaciones que tenían copias de seguridad actualizadas y no conectadas a la red pudieron recuperarse del ataque de manera más eficiente. Sin copias de seguridad adecuadas, las empresas quedaron a merced del ataque destructivo.
-
Proveedores de software de terceros: NotPetya se introdujo a través de una actualización comprometida en el software MEDoc, utilizado por muchas empresas en Ucrania. Este incidente resalta la importancia de gestionar adecuadamente la cadena de suministro de software y verificar la seguridad de los proveedores externos. Las organizaciones deben asegurarse de que sus proveedores mantengan altos estándares de seguridad y practiquen evaluaciones continuas de riesgo.
-
Respuesta ante incidentes: La rápida propagación de NotPetya destacó la importancia de tener un plan de respuesta ante incidentes bien definido y ensayado. Las empresas que pudieron contener el ataque rápidamente, mediante la desconexión de sistemas infectados y la activación de sistemas de respaldo, sufrieron menos pérdidas.
-
Uso de ciberseguridad avanzada: Tecnologías como la detección de amenazas en tiempo real y el uso de inteligencia artificial para detectar patrones anómalos en el tráfico de red podrían haber alertado a las organizaciones del comportamiento inusual antes de que el ataque se propagara. Los sistemas de seguridad basados en firmas no fueron suficientes para detener este tipo de amenaza.
6.g) Controles que habrían evitado el ataque
-
Gestión de parches: Si todas las organizaciones hubieran aplicado los parches de seguridad de Microsoft para la vulnerabilidad EternalBlue, gran parte de la propagación de NotPetya podría haberse evitado.
-
Segmentación de redes (Air Gapping): La separación física o lógica de las redes internas hubiera ralentizado la propagación del malware, limitando el daño a sistemas críticos.
-
Monitoreo y detección de anomalías: Un sistema de monitoreo proactivo, que analice el tráfico de red en tiempo real, podría haber identificado la actividad sospechosa del malware antes de que causara un daño significativo.
-
Copias de seguridad offline: Mantener copias de seguridad regulares desconectadas de la red principal habría permitido a las organizaciones restaurar rápidamente los datos sin recurrir a la solicitud de rescate o perder información valiosa.
-
Políticas de seguridad en la cadena de suministro: Las organizaciones afectadas debieron haber implementado políticas de verificación de software y seguridad en sus proveedores externos. La seguridad en la cadena de suministro es un eslabón crítico para prevenir infecciones de este tipo.
7. Ataques a beepers de militantes de Hezbollah (2024)
El más reciente incidente de ciberguerra del cual, al igual que los otros, nadie se ha atribuído su creación y desarrollo, utilizó dispositivos de comunicación alterados para herir e incluso matar a sus portadores. Su origen se atribuye a Israel debido a las características geopolíticas que marcan la época actual y marca una nueva escalada en los ciberataques al mezclar ataques a la cadena de suministro alterando los dispositivos con explosivos, malware e información filtrada para propiciar la toma de decisiones erradas por el líder del grupo terrorista Hezbollah.
El ataque a los beepers de Hezbollah es un claro ejemplo de cómo la tecnología puede ser utilizada como un arma en conflictos modernos. Las organizaciones, tanto gubernamentales como no gubernamentales, deben ser conscientes de las amenazas que enfrentan y tomar medidas proactivas para proteger sus sistemas y a sus empleados.
7.a) Contexto geopolítico
El grupo Hezbollah se ha ubicado en el sur del Líbano, en la frontera norte de Israel. El ataque a los beepers de Hezbollah se inscribe en un contexto de profunda hostilidad entre Israel y el grupo terrorista. La escalada de tensiones, marcada por ataques de Hezbollah con misiles y drones y el asesinato de civiles, crearon un ambiente propicio para una operación de inteligencia sofisticada y de alto impacto.
7.b) Características del ataque
En febrero de 2024 el lider de Hezbollah, Nazrallah, tras analizar la tecnología de teléfonos inteligentes que cuenta con GPS y comunicación bidireccional con las antenas determina que es altamente probable que la inteligencia de Israel logre ubicar geográficamente a los militantes que utilicen ésta tecnología y envía una orden a los militantes del grupo a deshacerse de los teléfonos inteligentes y comunicarse mediante beepers que utilizan tecnología del la década de 1980 siendo dispositivos que únicamente reciben información y no cuentan con sistemas de posicionamiento geográfico GPS.
La decisión de Hezbollah de reemplazar los teléfonos inteligentes por beepers, en respuesta a las preocupaciones sobre el rastreo por parte de Israel, resultó ser una elección estratégica equivocada. Aunque buscaban mejorar su seguridad, esta medida los expuso a un nuevo tipo de amenaza.
7.c) Propagación
El ataque a los beepers de Hezbollah fue una operación de inteligencia compleja que se llevó a cabo en varias etapas, aprovechando la paranoia del liderazgo y las vulnerabilidades de la cadena de suministro.
-
El Miedo a Ser Rastreados y el Cambio de Tecnología:
-
La Alerta: El líder de Hezbollah, Nasrallah, expresó su preocupación ante la creciente capacidad de Israel para rastrear a sus militantes a través de teléfonos inteligentes. La geolocalización y el análisis de datos se convirtieron en una amenaza percibida como inminente.
-
La Decisión: Ante este temor, Nasrallah ordenó a sus fuerzas reemplazar los teléfonos inteligentes por beepers, dispositivos más antiguos y sencillos para prevenir el intercambio de información no deseada.
-
-
La Infiltración de la Cadena de Suministro:
-
Primera hipótesis de la operación: Años atrás Israel compra en forma incógnita la empresa húngara fabricante de beepers BAC Consulting, presuntamente ellos inyectaban en las baterías pentrita o PENT, un explosivo de alto poder sensible al calor. BAC Consulting distribuye sus beepers a través de una empresa taiwanesa llamada Gold Apollo, proveedora de Hezbollah.
-
Segunda hipótesis de la operación Los atacantes, presuntamente vinculados a los servicios de inteligencia israelíes, identificaron la cadena de suministro de beepers como el punto débil ideal para inyectar los explosivos en las baterías e interrumpían el tránsito de los dispositivos hacia el Líbano para alterar los dispositivos.
-
El componente ciber: Los dispositivos también contaban con un malware en el software que los controla programados para que, al recibir un mensaje de activación, cambiarían el voltaje de funcionamiento para que las baterías de litio se quemaran, activando el explosivo.
-
La minimización del daño colateral: Dado que los beepers son una tecnología obsoleta, únicamente utilizada por muy pocas personas hoy en día, los atacantes confiaban en que quienes comprarían beepers tras febrero de 2024 serían en su gran mayoría militantes de Hezbollah lo que disminuiría las víctimas civiles que no pertenecieran al grupo terrorista.
-
-
La Carga Explosiva Silenciosa
-
La Bomba de Tiempo: Los militantes de Hezbollah, sin saberlo, tuvieron en su poder sus nuevos beepers con una carga explosiva que permaneció inactiva.
-
La Cotidianidad Mortal: Durante hasta cinco meses, los militantes llevaron consigo estos dispositivos explosivos sin sospechar el peligro que representaban. La carga explosiva permaneció latente, esperando la señal que desencadenaría la detonación.
-
-
El Malware y la Detonación
-
El Mensaje Fatídico: El detonante del ataque seguramente fue un mensaje enviado a los beepers. Este mensaje presuntamente, activaba un malware mediante un código que indicaba al hardware que incrementara su voltaje de funcionamiento.
-
La Reacción en Cadena: Al recibir el mensaje, el malware modificaba el voltaje de la batería, causando un sobrecalentamiento de la batería de lítio hasta que se quemara, ésto a su vez, activaba el explosivo sensible al calor.
La explosión era rápida y violenta con un radio de impacto de 30 a 50 cms, causando graves heridas, amputaciones, ceguera o la muerte a quienes portaban el dispositivo en su cinturón junto a sus órganos vitales o lo tenían en su mano frente a su rostro para leer el mensaje que recién llegó.
-
-
La Propagación del Terror
-
La Ola de Detonaciones: Las explosiones se produjeron de manera casi simultánea en múltiples ubicaciones, generando un caos generalizado y sembrando el terror entre los miembros de Hezbollah.
-
El Impacto Psicológico: El ataque no solo causó bajas físicas, sino también un profundo impacto psicológico en los sobrevivientes. La sensación de traición y vulnerabilidad se extendió por todo el grupo.
-
-
La segunda ola del ataque
-
El mecanismo alterno de comunicación: Los militantes de Hezbolla ya sin dispositivos móviles y habiéndose deshecho de los beepers que aún no habían explotado cambiaron su mecanismo de comunicación a Walkie Talkies o radios de mano para comunicarse.
-
El ataque espejo: A la fecha se desconoce cómo se desarrolló el segundo ataque, pero al día siguiente de la explosión de los beepers comenzaron a estallar, en forma casi simultánea, los walkie talkies que se estaban utilizando como alternativa para las comunicaciones.
-
7.d) Impacto Global
El ataque tuvo un impacto devastador en Hezbollah, tanto a nivel operativo como psicológico:
-
Pérdida de vidas: Un número significativo de militantes y civiles perdieron la vida o sufrieron heridas graves, debilitando la capacidad operativa del grupo.
-
Congestión del sistema de salud: Los hospitales en Beirut y las demás ciudades con víctimas no tenían suficientes suministros médicos, personal ni capacidad de atención para la gran cantidad de víctimas que llegaron simultáneamente a sus instalaciones.
-
Desmoralización: La naturaleza brutal y coordinada del ataque generó un profundo impacto psicológico en los miembros de Hezbollah, socavando su confianza en sus propias medidas de seguridad.
-
Disrupción de las comunicaciones: La inutilización de los beepers y walkie-talkies dejó al grupo prácticamente incomunicado, dificultando la coordinación de sus operaciones.
-
Daño a la reputación: El incidente expuso las vulnerabilidades de Hezbollah y generó dudas sobre su capacidad para proteger a sus miembros.
7.e) Lecciones Aprendidas
La seguridad de la información es un desafío complejo y en constante evolución. Solo a través de una combinación de tecnología, inteligencia humana y conciencia de las amenazas podemos protegernos de los ataques cibernéticos y físicos.
Este ataque nos brinda valiosas lecciones sobre seguridad de la información y operaciones de inteligencia:
-
La tecnología obsoleta no es necesariamente más segura: La creencia de que los dispositivos antiguos son menos vulnerables a los ataques cibernéticos es un mito. Los sistemas legacy presentan sus vulnerabilidades que son más difíciles de parchear y ya han sido ampliamente divulgadas y conocidas.
-
La cadena de suministro es un objetivo clave: Los atacantes pueden alterar los dispositivos (en éste caso introduciendo malware y explosivos) en dispositivos durante el tránsito que realizan desde las instalaciones del fabricante hasta los puntos de venta de los distribuidores, lo que dificulta la detección y la prevención.
-
La inteligencia es fundamental: La capacidad de recopilar inteligencia sobre los hábitos y rutinas de los objetivos es esencial para diseñar ataques efectivos.
-
La seguridad es un proceso continuo: Las amenazas evolucionan constantemente, por lo que las organizaciones deben adaptar sus medidas de seguridad en consecuencia.
7.f) Controles que habrían evitado el ataque
Para prevenir un ataque de este tipo, Hezbollah debería haber implementado los siguientes controles de seguridad:
-
Diversificación de las comunicaciones: En lugar de depender exclusivamente de una única tecnología, Hezbollah debería haber utilizado múltiples canales de comunicación, incluyendo sistemas de mensajería encriptada y redes privadas virtuales (VPN).
-
Inspección rigurosa de los equipos: Se debería haber tenido un protocolo de inspección de los dispositivos al ser recibidos para detectar anomalías.
-
Capacitación de los usuarios: Los militantes deberían haber recibido capacitación sobre cómo identificar y reportar cualquier comportamiento sospechoso relacionado con sus dispositivos.
-
Monitoreo continuo de la seguridad: Hezbollah debería haber implementado un programa de monitoreo continuo de la seguridad para detectar y responder a las amenazas emergentes.
Bibliografía
-
Alejandro Amigo Tossi (2021). Ejército y el desarrollo de capacidades para operar en el ciberespacio, Seguridad, Ciencia & Defensa,, https://doi.org/10.59794/rscd.2016.v2i2.pp141-152
-
A. Bindra (2017). Securing the Power Grid: Protecting Smart Grids and Connected Power Systems from Cyberattacks, IEEE Power Electronics Magazine,, https://doi.org/10.1109/MPEL.2017.2719201
-
A. W. M. T. Júnior, Gills Vilar Lopes, Marco Túlio Delgobbo Freitas (2017). As três tendências da guerra cibernética: novo domínio, arma combinada e arma estratégica,, https://doi.org/10.21530/CI.V12N3.2017.620
-
Alexander Osorio Lalinde, Giselle Lorduy López, Lina María Amaya Henao, Tatiana Arenas Méndez (2017). Ciberseguridad y ciberdefensa: pilares fundamentales de la seguridad y defensa nacional, Revista de las Fuerzas Armadas, ed 241, 2017, https://doi.org/10.25062/0120-0631.823
-
Andrii Davydiuk, V. Zubok (2023). Analytical Review of the Resilience of Ukraine’s Critical Energy Infrastructure to Cyber Threats in Times of War, International Conference on Cyber Conflict,, https://doi.org/10.23919/CyCon58705.2023.10181813
-
Andrés Gaitán Rodríguez (2020). Capítulo 4: La ciberguerra y sus cuatro teatros operacionales,, https://doi.org/10.15332/dt.inv.2020.00256
-
Aranta Lika, D. Murugiah, S. N. Brohi, D. Ramasamy (2018). NotPetya: Cyber Attack Prevention through Awareness via Gamification, Reyner 2018 International Conference on Smart Computing and Electronic Enterprise (ICSCEE),, https://doi.org/10.1109/ICSCEE.2018.8538431
-
BBC News. (2024, septiembre 18). Un ataque sin precedentes: cómo ocurrieron las explosiones de beepers y walkie-talkies que han dejado decenas de muertos y miles de heridos en Líbano. BBC Mundo. https://www.bbc.com/mundo/articles/cx20l70yrn2o
-
Boris Saavedra, Luis Parraguez (2018). La Ciberseguridad: análisis político y estratégico, Revista de las Fuerzas Armadas, Edición Especial 244 - 245, pp 73-80,, https://doi.org/10.25062/0120-0631.801
-
D. Whitehead, K. Owens, Dennis Gammel, J. Smith (2017). Ukraine cyber-induced power outage: Analysis and practical mitigation strategies, Conference for Protective Relay Engineers,, https://doi.org/10.1109/CPRE.2017.8090056
-
Davi Sehnem Castro, Luiz Fernando Freitas-Gutierres (2022). Apontamentos sobre Segurança Cibernética no Setor Elétrico, Proceedings of the 14th Seminar on Power Electronics and Control (SEPOC 2022),, https://doi.org/10.53316/sepoc2022.026
-
David Barrero-Barrero, Carlos Enrique Álvarez-Calderón (2022). Mutación de la guerra y amenazas contemporáneas en el multidominio criminal y terrorista, Revista Científica General José María Córdova, Volumen 20, número 39, julio-septiembre 2022, pp. 549-570, 2022, https://doi.org/10.21830/19006586.1024
-
Dustyn Zamora Baidal, A. Triviño, Amilkar Yudier Puris Cáceres, R. Mera, Byron Wladimir Oviedo Bayas (2021). Análisis y técnicas de prevención ante ataques ransomware, Revista Tecnológica Ciencia y Educación Edwards Deming,, https://doi.org/10.37957/ED.V5I1.72
-
Edgar Spicker Gúzman (1983). Trascendencia del gasoducto transiberiano, Revista de las Fuerzas Armadas,, 10.25062/0120-0631.1838
-
G. Llinás, D. Alejandro (2017). Análisis del ciberataque para la seguridad de los estados y su incidencia en la transformación del status quo: Stuxnet el virus informático,, https://www.semanticscholar.org/paper/An%C3%A1lisis-del-ciberataque-para-la-seguridad-de-los-y-Llin%C3%A1s-Alejandro/d54f97e0e0c286ae8e5e0516ecacc8d5fe3a7603
-
G. Medero (2012). La ciberguerra: los casos de Stuxnet y Anonymous,
-
Grzegorz Kostrzewa-Zorbas (2014). Nato In The New Strategic Environment: Cyber Attacks Now Covered By Article 5 Of The North Atlantic Treaty, National Security Studies,, https://doi.org/10.37055/sbn/135246
-
Hernández, William. (2024, septiembre 18). Walkie Talkies de Hezbollah explotan en suburbios de Beirut, la capital del Líbano, un día después de explosión masiva de biperes, El Tiempo. https://www.eltiempo.com/mundo/medio-oriente/walkie-talkies-de-hezbola-explotan-en-suburbios-de-beirut-la-capital-de-libano-un-dia-despues-de-explosion-masiva-de-biperes-3382195
-
Javier Alejandro Guayara Arciniegas (2018). Estrategias de ciberguerra: Israel y Rusia,, https://doi.org/10.47961/2145194x.51
-
Julián Reale (2023). Los desafíos de la ciberguerra y la importancia de fortalecer la inteligencia estratégica militar en la Argentina, Revista de la Escuela Nacional de Inteligencia, Número 2, Enero a junio de 2023, pp. 69-98, https://doi.org/10.58752/l64ad85h
-
Marcelo Ayres Branquinho (2017). Ransomware In Industrial Control Systems. What Comes After Wannacry And Petya Global Attacks,, https://doi.org/10.2495/SAFE170301
-
Martin Brunner, H. Hofinger, Christopher Roblee, P. Schoo, S. Todt (2010). Infiltrating Critical Infrastructures with Next-Generation Attacks W32.Stuxnet as a Showcase Threat,, https://www.semanticscholar.org/paper/Infiltrating-Critical-Infrastructures-with-Attacks-Brunner-Hofinger/2c10ab556715d6bc03aefa70c68aae9658940ca3
-
Mirna Muñoz, L. Rivas (2015). Estado actual de equipos de respuesta a incidentes de seguridad informática,, https://doi.org/10.17013/RISTI.E3.1-15
-
O. Kammouh, G. Cimellaro (2018). Cyber threat on critical infrastructure, Routledge Handbook of Sustainable and Resilient Infrastructure,, https://doi.org/10.4324/9781315142074-19
-
Pavel Kozak, Ivo Klaban, Tomáš Šlajs (2023). Industroyer cyber-attacks on Ukraine's critical infrastructure, International Conference on Model Transformation,, https://doi.org/10.1109/ICMT58149.2023.10171308
-
Reuters. (2024, septiembre 20). Hezbollah vows to punish Israel after pager explosions across Lebanon. https://www.reuters.com/world/middle-east/dozens-hezbollah-members-wounded-lebanon-when-pagers-exploded-sources-witnesses-2024-09-17/
-
Richard Crowell (2010). War in the Information Age: A Primer for Cyberspace Operations in 21st Century Warfare,, https://doi.org/10.21236/ada514490
-
Sean K. Collins, S. McCombie (2012). Stuxnet: the emergence of a new cyber weapon and its implications,, https://doi.org/10.1080/18335330.2012.653198
-
Siim Alatalu (2016). NATO’s new cyber domain challenge, International Conference on Cyber Conflict,, https://doi.org/10.1109/CYCONUS.2016.7836609
-
S. Y. Fayi (2018). What Petya/NotPetya Ransomware Is and What Its Remidiations Are,, https://doi.org/10.1007/978-3-319-77028-4_15
-
Wired. (2024, septiembre 17). The mystery of Hezbollah’s deadly exploding pagers. https://www.wired.com/story/pager-explosion-hezbollah/
Licencia
La escalada de la ciberguerra está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.
Ricardo Naranjo Faccini
Desarrollador WWWNació en Barranquilla, Atl, Colombia el 14 de enero de 1971
- Magíster en Ingeniería de Sistemas y Computación de la Universidad de Los Andes 1998
- Ingeniero Civil de la Universidad de Los Andes 1995
- Diplomado en docencia en Ingeniería de la Pontificia Universidad Javeriana 2008
- Gerente de la firma Skina IT Solutions, su gestión ha llevado a la empresa al nivel de exportación de software. Experto en calidad en el desarrollo de software con énfasis en el uso de herramientas libres orientadas hacia WWW.
- CTO de AuthorsGlobe, empresa participante en el MIT 100K, elegida como parte del "TOP 10" entre 300 proyectos presentados en este concurso del Massachussets Institute of Technology MIT.
- Durante el periodo 2004-2005 se desempeñó como Gerente de desarrollo de negocios NOVELL en Nexsys de Colombia.
- Ejerce docencia como catedrático en la Universidad Javeriana, al igual que lo ha realizado en la Universidad de Los Andes, Universidad de Manizales y Universidad autónoma de Bucaramanga.
- Comprometido con la divulgación del software libre y su aplicación en Colombia, ha dictado más de 60 conferencias en todo el país, co-fundador de LinuxCol, la primera comunidad de usuarios de Linux en Colombia.
- Colaborador del grupo ACIS-Linux.