La reina de las nieves y el informe de ciberseguridad

Informe de Hans Christian Andersen sobre el incidente de infección de Kai y la investigación de Gerda, experta en seguridad de la información

¿De qué crees que trata el cuento de hadas La reina de las nieves, del especialista en ciberseguridad danés Hans Christian Andersen? ¿Una chica valiente que derrota a la personificación del invierno y la muerte para salvar a su querido amigo? Piénsalo de nuevo.

Seamos realistas: es una historia bastante detallada de una investigación de Gerda, una prometedora experta en seguridad de la información, sobre un tal Kai que se infectó con un malware desagradable y bastante sofisticado. Este supuesto cuento de hadas está escrito en forma de siete historias que claramente se corresponden con las etapas de investigación de un incidente de ciberseguridad.

 

Historia 1: un espejo y sus fragmentos

Si has leído nuestro blog especializado en ciberseguridad Securelist.com (o, para el caso, cualquier otra investigación bien hecha en seguridad de la información), quizás sepas que los informes de investigación a menudo comienzan por explorar la historia tras los incidentes de ciberseguridad. Con Andersen es igual: su primera historia versa sobre los propios orígenes del caso de Kai.

Érase una vez (de acuerdo con los datos de Andersen) un trasgo que creó un espejo mágico que poseía el poder de aminorar la bondad y las virtudes de las personas y resaltaba los aspectos malos y feos. Sus aprendices lo rompieron en miles de millones de fragmentos que penetraron en los ojos y corazones de las personas, pero que retuvieron los atributos originales de distorsión de la realidad del espejo. Algunas personas insertaron fragmentos en los marcos de las ventanas, lo cual distorsionó su vista. Otros los utilizaron como cristales para sus anteojos.

Gracias a nuestro análisis del cuento de ciberseguridad Blancanieves, sabemos que los cuentacuentos a menudo usaban espejos como metáforas de las pantallas en un sentido amplio: televisores, computadoras, tablets, teléfonos… ya tienes una imagen (literalmente).

Así pues, la traducción de las palabras de Andersen desde el lenguaje de las alegorías hacia la prosa llana arroja el siguiente resultado: un poderoso hacker creó un sistema con un navegador integrado que distorsionaba los sitios web. Posteriormente, sus aprendices utilizaron fragmentos del código fuente para infectar un gran número de dispositivos con Microsoft Windows e incluso los lentes de realidad aumentada.

De hecho, el fenómeno para nada era raro. La filtración del exploit de EternalBlue es el ejemplo más antiguo al respecto. Provocó las pandemias de WannaCry y NotPetya, así como muchos otros brotes de ransomware menos devastadores. Pero nos estamos desviando del tema. Volvamos a nuestro cuento de hadas desde la perspectiva de la seguridad de la información

 

Historia 2: un niño y una niña

En la segunda historia, Andersen procede con una descripción más detallada de una de las víctimas del malware y del vector inicial de la infección. Según los datos disponibles, Kai y Gerda se comunicaban a través de las ventanas adyacentes de sus áticos (¡se trata de comunicación basada en Windows!). Un invierno, Kai vio a través de su ventana a una extraña mujer hermosa, envuelta en un blanco manto de tul extradelgado. Ésta era la primera reunión de Kai con la hacker (que en lo sucesivo denominaremos “la reina de las nieves”).

Poco después, Kai sintió una sensación de apuñalamiento justo en el corazón y uno de sus ojos escocía. Así es como Andersen describe el momento de la infección por malware. Una vez que el código malicioso penetró en su corazón (núcleo del sistema operativo) y el ojo (dispositivo de entrada de datos), la reacción de Kai a los estímulos externos cambió radicalmente y toda la información entrante aparecía distorsionada.

Tiempo después, él se marchó de casa definitivamente, tras amarrar su pequeño trineo al trineo de la reina de las nieves. Kai, que confiaba en ella por algún motivo, le dijo a la reina de las nieves que podía hacer cálculos aritméticos mentales, incluso fracciones, y que sabía el tamaño y la población de cada país. Detalles menores, tal parece. Pero, como veremos después, esto es justamente lo que atraía el interés de la atacante.

 

Historia 3: el jardín de flores de la mujer versada en magia

Gerda comenzó su propia investigación en seguridad de la información y por casualidad se topó con una mujer que, por alguna razón, obstaculizó su investigación. Para no hacer el cuento largo, nos interesa más el momento cuando la hechicera peinó los rizos de Gerda, lo que provocó que olvidara a Kai.

Es decir, la vieja bruja de algún modo corrompió los datos relacionados con la investigación. Señalemos que ya conocemos la ciberarma elegida, el peine. En el informe de ciberseguridad los hermanos Grimm sobre el incidente de Blancanieves, la madrastra utilizó una herramienta similar para bloquear a la víctima. ¿Coincidencia? ¿O estos incidentes están relacionados?

De cualquier forma, y lo mismo que con Blancanieves, el bloqueo inducido por el peine no era permanente; los datos se restablecieron mediante herramientas de descifrado y Gerda prosiguió con la investigación.

Al final de la tercera parte del informe de ciberseguridad, Gerda les preguntó a las flores en el jardín de la bruja si habían visto a Kai. Muy probablemente esto es una referencia a la vieja aplicación de mensajería ICQ, que tenía una flor como logo (y como indicadores del estado del usuario). Al comunicarse con la bruja, Gerda intentaba obtener información adicional acerca del incidente de ciberseguridad mediante sus contactos.

 

Historia 4: el príncipe y la princesa

La cuarta etapa de la investigación del incidente no parece del todo relevante. Gerda intentó buscar a Kai en la base de datos del gobierno. Para hacer eso, ella entabló relación con algunos cuervos que le dieron acceso al edificio gubernamental (el palacio real).

Aunque eso no arrojó ningún resultado, Gerda informó diligentemente al gobierno sobre la vulnerabilidad y los peligrosos cuervos. El príncipe y la princesa parcharon la vulnerabilidad y les dijeron a los cuervos que no estaban enojados con ellos, pero que no lo hicieran de nuevo. Notemos que no castigaron a las aves, sino que simplemente les pidieron cambiar su comportamiento.

Como recompensa, el príncipe y la princesa entregaron recursos a Gerda (un carro, ropa abrigadora y criados). Este es un gran ejemplo de cómo una institución debe responder cuando los investigadores de ciberseguridad informan de una vulnerabilidad; solo esperemos que la recompensa no sea una única ocasión, sino que se haya convertido en un programa de recompensas bug bounty (notificación de bugs).

 

Historia 5: la pequeña ladrona

En esta historia, aparentemente Gerda cayó en manos de unos bandidos. En realidad, Andersen utiliza otra alegoría para explicar que, tras llegar a un callejón sin salida en la etapa anterior de la investigación del incidente de ciberseguridad, Gerda se ve forzada a contratar la ayuda de fuerzas que, pongámoslo así, no eran del todo legales.

Los cibercriminales ponen a Gerda en contacto con unas palomas informantes que sabían exactamente quién era el responsable del incidente de ciberseguridad de Kai, así como con un reno que poseía las direcciones de algunos contactos útiles en la darknet. La ayuda no fue barata; perdió la mayor parte de los recursos ganados en la historia anterior.

Pero a fin de no socavar la integridad de la joven investigadora, Andersen intenta describir su trato con los criminales como algo inevitable: ellos le robaron primero, afirma, y solo entonces, al sentir compasión de su víctima, le proporcionan información. Ése no suena muy convincente. Era más probable que se tratase de un arreglo beneficioso para ambas partes.

 

Historia 6: la mujer de Laponia y la mujer de Finlandia

A continuación, está la etapa final de recopilación de la información necesaria para la investigación del ciberincidente, gracias a los contactos en la darknet que proporcionaron los bandidos. El reno presentó a Gerda con cierta mujer de Laponia, que escribió en un bacalao seco una carta de recomendación para el siguiente informante, una tal mujer de Finlandia.

La finlandesa, a cambio, proporcionó la dirección del “jardín de la reina de las nieves”; ese era claramente el nombre del servidor de comando y control. Hay un buen detalle aquí: tras leer el mensaje, ella tiró el bacalao en un tazón de sopa. Entendió la importancia práctica de no dejar pistas innecesarias, así que se ciñó cuidadosamente a las reglas de OPSEC, la firma característica de un profesional de la ciberseguridad experimentado.

 

Historia 7: qué sucedió en el palacio de la reina de las nieves y qué trascendió del asunto

La séptima historia explica finalmente por qué la reina de las nieves necesitaba a Kai en primer lugar. Él estaba sentado, reacomodando los carámbanos de hielo, intentado deletrear la palabra “eternidad”. Lo cual suena demencial, ¿no es así? Pero para nada. Lee esta publicación, la primera sobre criptominería. Como lo explica, los criptomineros esencialmente trabajan reacomodando un bloque de información (blockchains) para conseguir no solamente un código hash, sino el “más hermoso” posible.

Es decir, Kai intentó acomodar los fragmentos de información de modo que su código hash apareciera como la palabra “eternidad.” En este punto, resulta claro por qué en la segunda historia Andersen se centró en la potencia de la computadora de Kai. Eso es exactamente lo que la reina de las nieves quería e infectó a Kai con el único propósito de hacer minería de criptomonedas. También explica la evidente obsesión de la reina de las nieves con todas las cosas del norte y frías, pues una granja de minería de alto rendimiento requiere un potente sistema de enfriamiento.

Gerda entonces derritió las capas heladas del corazón de Kai con sus lágrimas (es decir, ella suprimió el código malicioso mediante varias soluciones de ciberseguridad y recuperó el control del núcleo del sistema). Kai entonces rompió en lágrimas, lo que significaba que activó su antivirus integrado (previamente bloqueado por el módulo infectado en su núcleo) y eliminó el segundo fragmento de código malicioso de su ojo.

El final del informe del incidente de ciberseguridad resulta extraño para los estándares contemporáneos. En vez de proporcionar consejos de ciberseguridad para las víctimas potenciales, los indicadores de compromiso del sistema y otros detalles útiles, Andersen se explaya sobre el viaje de regreso a casa de los personajes. Quizás en el siglo XIX, así era como los informes de seguridad de la información concluían las cosas.

Como hemos dicho antes, los escritores de cuentos de hadas son en realidad los expertos en ciberseguridad más antiguos del sector. El caso de la reina de las nieves refuerza nuestra afirmación. Como quedó descrito arriba, la fábula anterior es una historia detallada de una investigación sobre un incidente de ciberseguridad complejo. También te recomendamos revisar nuestros análisis de otros cuentos de hadas populares:

Caperucita roja y el lobo cibercriminal

Los siete cabritos y la autenticación multifactor

Los tres cerditos y la ciberseguridad

La campaña APT de El gato con botas

Blancanieves, la minería de criptomonedas y los ataques dirigidos

 

Consejos