{"id":18762,"date":"2020-05-18T11:01:47","date_gmt":"2020-05-18T17:01:47","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=18762"},"modified":"2022-03-27T05:20:31","modified_gmt":"2022-03-27T11:20:31","slug":"snow-queen-cybersecurity","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/snow-queen-cybersecurity\/18762\/","title":{"rendered":"La reina de las nieves y el informe de ciberseguridad"},"content":{"rendered":"

\u00bfDe qu\u00e9 crees que trata el cuento de hadas La reina de las nieves<\/i><\/em><\/strong>, del especialista en ciberseguridad<\/strong> dan\u00e9s Hans Christian Andersen? \u00bfUna chica valiente que derrota a la personificaci\u00f3n del invierno y la muerte para salvar a su querido amigo? Pi\u00e9nsalo de nuevo.<\/p>\n

Seamos realistas: es una historia bastante detallada de una investigaci\u00f3n de Gerda, una prometedora experta en seguridad de la informaci\u00f3n<\/strong>, sobre un tal Kai que se infect\u00f3 con un malware<\/i><\/em><\/strong> desagradable y bastante sofisticado. Este supuesto cuento de hadas est\u00e1 escrito en forma de siete historias que claramente se corresponden con las etapas de investigaci\u00f3n de un incidente de ciberseguridad<\/a><\/strong>.<\/p>\n

\u00a0<\/p>\n

Historia 1: un espejo y sus fragmentos<\/h2>\n

Si has le\u00eddo nuestro blog especializado en ciberseguridad<\/strong> Securelist.com<\/a><\/strong> (o, para el caso, cualquier otra investigaci\u00f3n bien hecha en seguridad de la informaci\u00f3n<\/a><\/strong>), quiz\u00e1s sepas que los informes de investigaci\u00f3n<\/strong> a menudo comienzan por explorar la historia tras los incidentes<\/strong> de ciberseguridad<\/strong>. Con Andersen es igual: su primera historia versa sobre los propios or\u00edgenes del caso de Kai.<\/p>\n

\u00c9rase una vez (de acuerdo con los datos de Andersen<\/a><\/strong>) un trasgo que cre\u00f3 un espejo m\u00e1gico que pose\u00eda el poder de aminorar la bondad y las virtudes de las personas y resaltaba los aspectos malos y feos. Sus aprendices lo rompieron en miles de millones de fragmentos que penetraron en los ojos y corazones de las personas, pero que retuvieron los atributos originales de distorsi\u00f3n de la realidad del espejo. Algunas personas insertaron fragmentos en los marcos de las ventanas, lo cual distorsion\u00f3 su vista. Otros los utilizaron como cristales para sus anteojos.<\/p>\n

Gracias a nuestro an\u00e1lisis del cuento de ciberseguridad<\/strong> Blancanieves<\/em><\/i><\/a><\/strong>,<\/u><\/em><\/strong> sabemos que los cuentacuentos a menudo usaban espejos como met\u00e1foras de las pantallas en un sentido amplio: televisores, computadoras, tablets<\/em>, tel\u00e9fonos\u2026 ya tienes una imagen (literalmente).<\/p>\n

As\u00ed pues, la traducci\u00f3n de las palabras de Andersen desde el lenguaje de las alegor\u00edas hacia la prosa llana arroja el siguiente resultado: un poderoso hacker<\/i><\/em><\/strong> cre\u00f3 un sistema con un navegador<\/strong> integrado que distorsionaba los sitios web<\/strong>. Posteriormente, sus aprendices utilizaron fragmentos del c\u00f3digo fuente<\/a><\/strong> para infectar<\/strong> un gran n\u00famero de dispositivos con Microsoft Windows<\/a><\/strong> e incluso los lentes de realidad aumentada.<\/p>\n

De hecho, el fen\u00f3meno para nada era raro. La filtraci\u00f3n del exploit<\/i><\/em><\/strong> de<\/strong> EternalBlue<\/a><\/strong> es el ejemplo m\u00e1s antiguo al respecto. Provoc\u00f3 las pandemias de WannaCry y NotPetya<\/a><\/strong>, as\u00ed como muchos otros brotes de ransomware<\/i><\/em><\/strong> menos devastadores. Pero nos estamos desviando del tema. Volvamos a nuestro cuento de hadas desde la perspectiva de la seguridad de la informaci\u00f3n<\/strong><\/p>\n

\u00a0<\/p>\n

Historia 2: un ni\u00f1o y una ni\u00f1a<\/h2>\n

En la segunda historia, Andersen procede con una descripci\u00f3n m\u00e1s detallada de una de las v\u00edctimas<\/strong> del <\/strong>malware<\/strong> <\/em>y del vector inicial de la infecci\u00f3n<\/a><\/strong>. Seg\u00fan los datos disponibles, Kai y Gerda se comunicaban a trav\u00e9s de las ventanas adyacentes de sus \u00e1ticos (\u00a1se trata de comunicaci\u00f3n basada en Windows<\/a><\/strong>!). Un invierno, Kai vio a trav\u00e9s de su ventana a una extra\u00f1a mujer hermosa, envuelta en un blanco manto de tul extradelgado. \u00c9sta era la primera reuni\u00f3n de Kai con la hacker<\/i><\/em><\/strong> (que en lo sucesivo denominaremos \u201cla reina de las nieves\u201d).<\/p>\n

Poco despu\u00e9s, Kai sinti\u00f3 una sensaci\u00f3n de apu\u00f1alamiento justo en el coraz\u00f3n y uno de sus ojos escoc\u00eda. As\u00ed es como Andersen describe el momento de la infecci\u00f3n<\/strong> por<\/strong> malware<\/strong><\/em>. Una vez que el c\u00f3digo malicioso<\/strong> penetr\u00f3 en su coraz\u00f3n (n\u00facleo del sistema operativo<\/strong>) y el ojo (dispositivo de entrada de datos<\/a><\/strong>), la reacci\u00f3n de Kai a los est\u00edmulos externos cambi\u00f3 radicalmente y toda la informaci\u00f3n entrante aparec\u00eda distorsionada.<\/p>\n

Tiempo despu\u00e9s, \u00e9l se march\u00f3 de casa definitivamente, tras amarrar su peque\u00f1o trineo al trineo de la reina de las nieves. Kai, que confiaba en ella por alg\u00fan motivo, le dijo a la reina de las nieves que pod\u00eda hacer c\u00e1lculos aritm\u00e9ticos mentales, incluso fracciones, y que sab\u00eda el tama\u00f1o y la poblaci\u00f3n de cada pa\u00eds. Detalles menores, tal parece. Pero, como veremos despu\u00e9s, esto es justamente lo que atra\u00eda el inter\u00e9s de la atacante.<\/p>\n

\u00a0<\/p>\n

Historia 3: el jard\u00edn de flores de la mujer versada en magia<\/h2>\n

Gerda comenz\u00f3 su propia investigaci\u00f3n en seguridad de la informaci\u00f3n<\/strong> y por casualidad se top\u00f3 con una mujer que, por alguna raz\u00f3n, obstaculiz\u00f3 su investigaci\u00f3n. Para no hacer el cuento largo, nos interesa m\u00e1s el momento cuando la hechicera pein\u00f3 los rizos de Gerda, lo que provoc\u00f3 que olvidara a Kai.<\/p>\n

Es decir, la vieja bruja de alg\u00fan modo corrompi\u00f3 los datos relacionados con la investigaci\u00f3n. Se\u00f1alemos que ya conocemos la ciberarma<\/strong> elegida, el peine. En el informe de ciberseguridad<\/strong> los hermanos Grimm sobre el incidente de Blancanieves<\/a><\/strong>, la madrastra utiliz\u00f3 una herramienta similar para bloquear a la v\u00edctima. \u00bfCoincidencia? \u00bfO estos incidentes est\u00e1n relacionados?<\/p>\n

De cualquier forma, y lo mismo que con Blancanieves, el bloqueo<\/strong> inducido por el peine no era permanente; los datos se restablecieron<\/strong> mediante herramientas de descifrado<\/a><\/strong> y Gerda prosigui\u00f3 con la investigaci\u00f3n.<\/p>\n

Al final de la tercera parte del informe<\/strong> de ciberseguridad<\/strong>, Gerda les pregunt\u00f3 a las flores en el jard\u00edn de la bruja si hab\u00edan visto a Kai. Muy probablemente esto es una referencia a la vieja aplicaci\u00f3n de mensajer\u00eda<\/a><\/strong> ICQ<\/strong>, que ten\u00eda una flor como logo (y como indicadores del estado del usuario). Al comunicarse con la bruja, Gerda intentaba obtener informaci\u00f3n adicional acerca del incidente de cibersegurida<\/strong>d<\/strong> mediante sus contactos.<\/p>\n

\u00a0<\/p>\n

Historia 4: el pr\u00edncipe y la princesa<\/h2>\n

La cuarta etapa de la investigaci\u00f3n<\/strong> del incidente<\/strong> no parece del todo relevante. Gerda intent\u00f3 buscar a Kai en la base de datos<\/a><\/strong> del gobierno. Para hacer eso, ella entabl\u00f3 relaci\u00f3n con algunos cuervos que le dieron acceso al edificio gubernamental (el palacio real).<\/p>\n

Aunque eso no arroj\u00f3 ning\u00fan resultado, Gerda inform\u00f3 diligentemente al gobierno sobre la vulnerabilidad<\/strong> y los peligrosos cuervos. El pr\u00edncipe y la princesa parcharon la vulnerabilidad<\/a><\/strong> y les dijeron a los cuervos que no estaban enojados con ellos, pero que no lo hicieran de nuevo. Notemos que no castigaron a las aves, sino que simplemente les pidieron cambiar su comportamiento.<\/p>\n

Como recompensa, el pr\u00edncipe y la princesa entregaron recursos a Gerda (un carro, ropa abrigadora y criados). Este es un gran ejemplo de c\u00f3mo una instituci\u00f3n debe responder cuando los investigadores <\/strong>de ciberseguridad<\/strong> informan de una vulnerabilidad<\/strong>; solo esperemos que la recompensa no sea una \u00fanica ocasi\u00f3n, sino que se haya convertido en un programa<\/strong> de recompensas<\/strong> bug bounty<\/a><\/em><\/strong> (notificaci\u00f3n<\/strong> de<\/strong> bugs<\/strong><\/i>)<\/strong>.<\/p>\n

\u00a0<\/p>\n

Historia 5: la peque\u00f1a ladrona<\/h2>\n

En esta historia, aparentemente Gerda cay\u00f3 en manos de unos bandidos. En realidad, Andersen utiliza otra alegor\u00eda para explicar que, tras llegar a un callej\u00f3n sin salida en la etapa anterior de la investigaci\u00f3n<\/strong> del incidente de ciberseguridad<\/strong>, Gerda se ve forzada a contratar la ayuda de fuerzas que, pong\u00e1moslo as\u00ed, no eran del todo legales.<\/p>\n

Los cibercriminales<\/strong> ponen a Gerda en contacto con unas palomas informantes que sab\u00edan exactamente qui\u00e9n era el responsable del incidente de ciberseguridad<\/strong> de Kai, as\u00ed como con un reno que pose\u00eda las direcciones de algunos contactos \u00fatiles en la darknet<\/i><\/a><\/em><\/strong>. La ayuda no fue barata; perdi\u00f3 la mayor parte de los recursos ganados en la historia anterior.<\/p>\n

Pero a fin de no socavar la integridad de la joven investigadora, Andersen intenta describir su trato con los criminales como algo inevitable: ellos le robaron primero, afirma, y solo entonces, al sentir compasi\u00f3n de su v\u00edctima, le proporcionan informaci\u00f3n. \u00c9se no suena muy convincente. Era m\u00e1s probable que se tratase de un arreglo beneficioso para ambas partes.<\/p>\n

\u00a0<\/p>\n

Historia 6: la mujer de Laponia y la mujer de Finlandia<\/h2>\n

A continuaci\u00f3n, est\u00e1 la etapa final de recopilaci\u00f3n de la informaci\u00f3n<\/strong> necesaria para la investigaci\u00f3n<\/strong> del ciberincidente<\/strong>, gracias a los contactos en la darknet<\/i><\/em><\/strong> que proporcionaron los bandidos. El reno present\u00f3 a Gerda con cierta mujer de Laponia, que escribi\u00f3 en un bacalao seco una carta de recomendaci\u00f3n para el siguiente informante, una tal mujer de Finlandia.<\/p>\n

La finlandesa, a cambio, proporcion\u00f3 la direcci\u00f3n del \u201cjard\u00edn de la reina de las nieves\u201d; ese era claramente el nombre del servidor de comando y control<\/a><\/strong>. Hay un buen detalle aqu\u00ed: tras leer el mensaje, ella tir\u00f3 el bacalao en un taz\u00f3n de sopa. Entendi\u00f3 la importancia pr\u00e1ctica de no dejar pistas innecesarias, as\u00ed que se ci\u00f1\u00f3 cuidadosamente a las reglas de <\/strong>OPSEC<\/a><\/strong>, la firma caracter\u00edstica de un profesional de la ciberseguridad<\/strong> experimentado.<\/p>\n

\u00a0<\/p>\n

Historia 7: qu\u00e9 sucedi\u00f3 en el palacio de la reina de las nieves y qu\u00e9 trascendi\u00f3 del asunto<\/h2>\n

La s\u00e9ptima historia explica finalmente por qu\u00e9 la reina de las nieves necesitaba a Kai en primer lugar. \u00c9l estaba sentado, reacomodando los car\u00e1mbanos de hielo, intentado deletrear la palabra \u201ceternidad\u201d. Lo cual suena demencial, \u00bfno es as\u00ed? Pero para nada. Lee esta publicaci\u00f3n, la primera sobre criptominer\u00eda<\/a><\/strong>. Como lo explica, los criptomineros esencialmente trabajan reacomodando un bloque de informaci\u00f3n<\/a><\/strong> (blockchains<\/em>) para conseguir no solamente un c\u00f3digo hash<\/em><\/i><\/strong>, sino el \u201cm\u00e1s hermoso\u201d posible.<\/p>\n

Es decir, Kai intent\u00f3 acomodar los fragmentos de informaci\u00f3n<\/strong> de modo que su c\u00f3digo hash<\/em><\/i><\/strong> apareciera como la palabra \u201ceternidad.\u201d En este punto, resulta claro por qu\u00e9 en la segunda historia Andersen se centr\u00f3 en la potencia de la computadora<\/strong> de Kai. Eso es exactamente lo que la reina de las nieves quer\u00eda e infect\u00f3 a Kai con el \u00fanico prop\u00f3sito de hacer miner\u00eda<\/a> de criptomonedas<\/strong>. Tambi\u00e9n explica la evidente obsesi\u00f3n de la reina de las nieves con todas las cosas del norte y fr\u00edas, pues una granja de miner\u00eda<\/strong> de alto rendimiento requiere un potente sistema de enfriamiento<\/strong>.<\/p>\n

Gerda entonces derriti\u00f3 las capas heladas del coraz\u00f3n de Kai con sus l\u00e1grimas (es decir, ella suprimi\u00f3 el c\u00f3digo malicioso<\/strong> mediante varias soluciones de ciberseguridad<\/a><\/strong> y recuper\u00f3 el control del n\u00facleo del sistema<\/strong>). Kai entonces rompi\u00f3 en l\u00e1grimas, lo que significaba que activ\u00f3 su antivirus integrado<\/strong> (previamente bloqueado por el m\u00f3dulo infectado<\/strong> en su n\u00facleo) y elimin\u00f3 el segundo fragmento de c\u00f3digo malicioso de su ojo.<\/p>\n

El final del informe del incidente de ciberseguridad<\/strong> resulta extra\u00f1o para los est\u00e1ndares contempor\u00e1neos. En vez de proporcionar consejos de ciberseguridad para las v\u00edctimas potenciales, los indicadores de compromiso del sistema y otros detalles \u00fatiles, Andersen se explaya sobre el viaje de regreso a casa de los personajes. Quiz\u00e1s en el siglo XIX, as\u00ed era como los informes de seguridad de la informaci\u00f3n<\/strong> conclu\u00edan las cosas.<\/p>\n

Como hemos dicho antes, los escritores de cuentos de hadas son en realidad los expertos en ciberseguridad<\/strong> m\u00e1s antiguos del sector. El caso de la reina de las nieves refuerza nuestra afirmaci\u00f3n. Como qued\u00f3 descrito arriba, la f\u00e1bula anterior es una historia detallada de una investigaci\u00f3n<\/strong> sobre un incidente de ciberseguridad<\/strong> complejo. Tambi\u00e9n te recomendamos revisar nuestros an\u00e1lisis de otros cuentos de hadas populares:<\/p>\n

Caperucita roja y el lobo cibercriminal<\/a><\/p>\n

Los siete cabritos y la autenticaci\u00f3n multifactor<\/a><\/p>\n

Los tres cerditos y la ciberseguridad<\/a><\/p>\n

La campa\u00f1a APT de El gato con botas<\/a><\/p>\n

Blancanieves, la miner\u00eda de criptomonedas y los ataques dirigidos<\/a><\/p>\n

\u00a0<\/p>\n

<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

Informe de Hans Christian Andersen sobre el incidente de infecci\u00f3n de Kai y la investigaci\u00f3n de Gerda, experta en seguridad de la informaci\u00f3n<\/p>\n","protected":false},"author":2577,"featured_media":18763,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[2546,4061,3795,3016,1282,3813],"class_list":{"0":"post-18762","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-cadena-de-bloques","11":"tag-criptomineros","12":"tag-cuentos-de-hadas","13":"tag-informes","14":"tag-investigacion","15":"tag-verdad"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/snow-queen-cybersecurity\/18762\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/snow-queen-cybersecurity\/21302\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/snow-queen-cybersecurity\/16748\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/snow-queen-cybersecurity\/22307\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/snow-queen-cybersecurity\/20480\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/snow-queen-cybersecurity\/22682\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/snow-queen-cybersecurity\/21632\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/snow-queen-cybersecurity\/28405\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/snow-queen-cybersecurity\/8333\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/snow-queen-cybersecurity\/35414\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/snow-queen-cybersecurity\/14906\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/snow-queen-cybersecurity\/15199\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/snow-queen-cybersecurity\/13468\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/snow-queen-cybersecurity\/23999\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/snow-queen-cybersecurity\/28321\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/snow-queen-cybersecurity\/25422\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/snow-queen-cybersecurity\/22300\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/snow-queen-cybersecurity\/27582\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/snow-queen-cybersecurity\/27417\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/verdad\/","name":"verdad"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18762","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2577"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=18762"}],"version-history":[{"count":8,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18762\/revisions"}],"predecessor-version":[{"id":24291,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18762\/revisions\/24291"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/18763"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=18762"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=18762"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=18762"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}