La seguridad de la información ha cambiado. Lo que alguna vez fue una disciplina técnica y operativa, centrada en proteger redes y sistemas desde dentro de la sala de servidores, hoy se ha convertido en un componente estratégico para la continuidad y el crecimiento de las organizaciones que nace dentro de la sala de juntas, donde se toman las decisiones que dirigen a la organización. Pero, ¿cómo logramos esta transición? ¿Cómo nos convertimos en un socio estratégico que impulse el crecimiento y la innovación?
El camino hacia esta meta requiere un enfoque en dos aspectos clave: traducir los riesgos tecnológicos a términos de negocio, y encontrar formas de generar valor a través de la tecnología y la ciberseguridad. Todo esto, al mismo tiempo que conocemos a fondo cómo comunicarnos con los líderes ejecutivos, entendiendo sus prioridades y mostrando que la ciberseguridad no solo es una inversión necesaria, sino también una ventaja competitiva.
En este proceso, un nuevo rol ha surgido para reflejar este nuevo enfoque: el Business Information Security Officer (BISO). El BISO, en esencia, sigue siendo un CISO (Chief Information Security Officer), pero con un enfoque más marcado en esa integración con el negocio. Este nuevo título, para este mismo rol, simplemente da mayor visibilidad al hecho de que la ciberseguridad debe integrarse en el ADN del negocio, y nosotros como CISOs/BISOs debemos ser capaces de comunicar ese valor de la ciberseguridad en términos que resuenen en la Alta Dirección.
Como BISOs (o aún manteniendo nuestro título tradicional de CISOs), nos preocupamos no solo por la protección de la información, sino también porque la seguridad pueda impulsar el crecimiento, la eficiencia y la innovación. Así es como logramos convertirnos en ese verdadero socio estratégico, trabajando con las demás áreas de la empresa para identificar nuevas oportunidades y mitigar riesgos.
Podemos ser expertos en tecnología y seguridad. Podemos entender las vulnerabilidades, las amenazas y los riesgos del mundo tecnológico. Sin embargo, en la Alta Dirección, los CEOs, CFOs y demás líderes, no siempre tienen esa misma experiencia técnica, y es ahí donde entra en juego nuestra habilidad para ser ese puente traductor entre todas las partes.
Debemos ser capaces de convertir un lenguaje técnico complicado en un lenguaje entendible y que resuene en nuestros pares: el lenguaje del impacto financiero y de negocio. Por ejemplo:
No hablemos de «vulnerabilidades técnicas», hablemos de «pérdidas financieras».
En lugar de explicar las complejidades de un ataque de ransomware, hablemos del costo potencial de la interrupción del negocio, la pérdida de información sensible y el daño irreparable a la reputación.
Midamos el riesgo en términos monetarios, por ejemplo, ¿cuánto nos costaría un ciberataque? ¿Cuánto nos ahorraríamos a futuro con una inversión en ciberseguridad hoy?
Presentemos la ciberseguridad como una inversión, no como un gasto. Demostremos cómo la seguridad no solo protege a la empresa, sino que también habilita la innovación, la eficiencia y la confianza de la Alta Dirección. Al final, un líder que confía en nuestra capacidad para gestionar los riesgos y generar valor a través de la ciberseguridad es un líder que nos verá como un socio estratégico clave.
Imaginemos que nuestra labor como CISOs se asemeja a la de un padre que guía a su hijo en sus primeros pasos; queremos que la empresa crezca, que se desarrolle y que alcance su máximo potencial. Pero también queremos protegerla de los peligros del mundo.
Debemos encontrar el equilibrio entre la protección y la libertad, entre la seguridad y la innovación. A veces, esto implica permitir ciertos riesgos controlados, para conseguir la mayor ganancia, al mismo tiempo que la empresa aprende y se fortalece. Y otras veces, requiere establecer límites claros y firmes, para evitar daños irreparables.
Nuestro objetivo es crear un entorno seguro que permita a la empresa crecer y prosperar. Un entorno donde la innovación florezca sin poner en riesgo la seguridad de la información.
Para nosotros, la ciberseguridad es un habilitador de la transformación digital: la nube, el Internet de las Cosas (IoT), la Inteligencia Artificial (IA), entre otras tecnologías, son el motor de la innovación, necesitan una base segura para generar valor. Sin ciberseguridad, la transformación digital es como un castillo de naipes.
Si logramos orquestar todas estas estrategias seremos ese socio estratégico que trabaja codo a codo con las demás áreas de la empresa para ayudarles a alcanzar sus objetivos, ofreciendo soluciones de seguridad que habiliten el crecimiento y la eficiencia.
Para que nuestro mensaje tenga un impacto importante en la sala de juntas, la forma en la que lo comunicamos es fundamental. En mi experiencia, esto lo conseguimos cuando:
Conocemos muy bien nuestra audiencia. Cada líder tiene sus propias prioridades, objetivos, y sus estilos de comunicación. Al adaptar nuestro mensaje a cada uno de ellos podremos captar su atención y generar interés.
Usamos ejemplos concretos, contamos una historia, usamos casos de estudio o analogías que hagan que las ideas sean más fáciles de entender y recordar. Una historia bien contada tiene mucho más impacto que una presentación llena de datos y cifras.
Somos concisos y claros, sin tecnicismos ni detalles excesivos. Debemos ir al grano y destacar el verdadero impacto de nuestro aporte en el negocio.
Nuestro lugar en la sala de juntas no se gana solo con firewalls y antivirus, sino con una visión más estratégica, demostrando liderazgo y nuestra capacidad de convertir la ciberseguridad en un motor de crecimiento para la organización. Ya sea que nos llamemos CISOs o BISOs, nuestra misión es la misma: «hablar el idioma del negocio e impulsar la innovación de forma segura».
El 2025 se perfila como un año decisivo en la guerra contra el cibercrimen, donde la convergencia de tecnologías emergentes, como BATUTA, redefinirá el panorama de la seguridad digital hacia el futuro.
Pero, ¿cómo hemos llegado hasta aquí? La guerra entre el cibercrimen y las ciberdefensas ha sido un duelo tecnológico que comenzó en los albores de la computación, en los años 70. Desde entonces, cada avance en seguridad ha sido respondido con una nueva forma de ataque, en un ciclo interminable de innovación y contra-innovación. Por ejemplo, los virus de los 80, como Brain y Morris Worm, dieron paso a las sofisticadas amenazas persistentes avanzadas (APTs) de los 2000s. O la revolución del Internet en los 90 trajo consigo el phishing y los ataques de denegación de servicio distribuido (DDoS), que evolucionaron hasta convertirse en las campañas de ransomware que hoy amenazan infraestructuras críticas globales.
Cada nueva tecnología ha añadido nuevos elementos de batalla, tanto a la ofensiva como a la defensiva, convirtiendo este conflicto en una verdadera carrera armamentista digital, donde la innovación es tanto un escudo como una espada.
Aquí estamos… La evolución de la inteligencia artificial (IA) generativa, que ha permitido crear tanto amenazas como defensas, alcanzará un punto crítico donde las organizaciones finalmente tendrán herramientas predictivas más sofisticadas para anticipar, mitigar y neutralizar ciberataques. Sin embargo, la batalla no será sencilla, pues este también será el año en que los cibercriminales evolucionen hacia estructuras más complejas, utilizando IA avanzada y técnicas de ingeniería social hiperpersonalizada.
Existen diversas herramientas o estrategias que con su constante evolución podrán fungir como el arsenal digital del futuro contra el cibercrimen. Entre ellas, destacan las siguientes:
La inteligencia artificial se ha convertido en la primera línea de defensa contra las amenazas cibernéticas. Los sistemas de IA predictiva no solo detectan anomalías en tiempo real, sino que anticipan potenciales vectores de ataque antes de que estos se materialicen.
La computación cuántica, aunque todavía en desarrollo, promete revolucionar la criptografía tal como la conocemos. Será una necesidad estratégica, que está impulsando el desarrollo de nuevos algoritmos de seguridad resistentes a los ciberataques. El blockchain ha evolucionado más allá de las criptomonedas para convertirse en un pilar fundamental de la seguridad digital. Las cadenas de bloques privadas y los contratos inteligentes están transformando la autenticación y la gestión de identidades, creando registros inmutables de transacciones y actividades. Esta tecnología está permitiendo la creación de sistemas de verificación descentralizados que son más resistentes a los ciberataques.
La automatización de la respuesta a incidentes está redefiniendo la velocidad y eficacia con que las organizaciones pueden responder a las amenazas. A través de ciertos sistemas, no solo detectan y categorizan amenazas automáticamente, sino que pueden iniciar respuestas predefinidas en segundos, conteniendo brechas de seguridad antes de que puedan expandirse.
El “Zero Trust Architecture” es una realidad operativa, partiendo de «nunca confiar, siempre verificar», utiliza análisis comportamental y biometría contextual para verificar constantemente la legitimidad de cada interacción con los sistemas. La Inteligencia sobre Amenazas (Threat Intelligence) ha evolucionado hacia plataformas colaborativas que comparten información en tiempo real sobre amenazas emergentes. Estas redes de inteligencia colectiva, alimentadas por datos de múltiples fuentes y enriquecidas por análisis de IA, permiten a las organizaciones mantener una postura de seguridad proactiva, adaptándose a nuevas amenazas.
Las herramientas de seguridad “DevSecOps” están integrando la seguridad directamente en el ciclo de desarrollo del software, creando aplicaciones que son seguras por diseño. Los escáneres automatizados de vulnerabilidades, el análisis estático y dinámico de código, y las pruebas de penetración continuas se han convertido en componentes estándar del proceso de desarrollo, asegurando que la seguridad sea una consideración desde el primer momento.
La victoria de la ciberseguridad en esta guerra no reside en una única herramienta o estrategia, sino en la convergencia inteligente de todas estas tecnologías, donde la verdadera innovación emerge de la comunicación y colaboración entre diferentes capas de seguridad, creando un ecosistema de defensa adaptativo. Esta evolución tecnológica alcanzará su máximo potencial de la mano de una colaboración sin precedentes entre gobiernos, empresas y expertos en seguridad, quienes, impulsados por regulaciones más estrictas, establecerán estándares globales de ciberseguridad y mecanismos de respuesta coordinada al nivel del desafío, marcando así el inicio de una nueva era en la protección del espacio digital.
A muchos de nosotros nos tocó vivir la transición de una vida sin dispositivos, a una vida virtual en la que navegamos diariamente con uno o varios aparatos en la bolsa de la chamarra. Además, ahora convivimos con los que sí iniciaron una vida virtual desde temprana edad. Lo que tenemos en común es que, de una u otra forma, gran parte de nuestras interacciones se llevan a cabo en el mundo digital, en el cual hemos ido depositando nuestra confianza en una serie de proveedores de tecnología que nos aseguran cuidar nuestros datos personales e información en general.
Es muy claro: en el mundo virtual lo más valioso son nuestros datos, que en su conjunto permiten una infinidad de posibilidades a quienes los poseen. Como personas, empresas, organizaciones, países o regiones. El tema del cuidado y protección de nuestra información es prioritario. No hay nivel en el que el impacto sea menor, la afectación a una persona, a una organización o a un país puede desencadenar un efecto dominó de dimensiones imprevisibles.
Por ello, la forma en que abordamos los desafíos de ciberseguridad puede marcar la diferencia entre la vulnerabilidad y la resiliencia. Podemos optar por abordarlos de manera aislada, corriendo el riesgo de quedarnos con una visión limitada y probablemente duplicar esfuerzos. O bien, adoptar un enfoque colaborativo que promueva el intercambio constante de recursos y conocimientos, lo cual, no solo fortalece nuestra postura de ciberseguridad, sino que también nos ofrece una visión más completa de las amenazas que, al compartir, puede beneficiar a todos. ¿Cuál crees que es el enfoque más efectivo?
El año pasado, durante la Cumbre del Futuro de la Organización de las Naciones Unidas (ONU), se aprobó el Pacto para el Futuro, donde se mencionan los retos más urgentes del siglo, abarcando un amplio espectro de temas, desde la paz y la seguridad, el desarrollo sostenible, la igualdad de género y la transformación de la gobernanza global.
Uno de los aspectos más destacados de este acuerdo es el Pacto Digital Global, que sitúa la ciberseguridad y la cooperación digital en el centro de los esfuerzos multilaterales; reconociendo a la ciberseguridad como un componente esencial para la paz y la estabilidad mundial, a la vez que reitera la importancia de contrarrestar las amenazas cibernéticas en sectores cruciales, desde las finanzas globales hasta la infraestructura crítica.
Como podemos observar, a nivel global se hace un fuerte llamado a colaborar, pues las cifras del cibercrimen no son alentadoras, según el último informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), publicado en septiembre de 2024, entre julio de 2023 y junio de 2024, se ha registrado un notable incremento en la cantidad y sofisticación de los ciberataques.
Este panorama no solo se observa en Europa, por ejemplo, América Latina se ha posicionado como una de las regiones con mayor incidencia de ciberataques en el mundo, al recibir más de 1,600 intentos por segundo (BID, 2023). En este contexto, y considerando que se estima que los costes totales de los incidentes cibernéticos en los próximos años oscilen entre el 1% y el 10% del PIB mundial (FMI, 2024), las iniciativas de ciberseguridad que promueven la colaboración multilateral se han vuelto fundamentales.
La ciberseguridad no puede abordarse de manera efectiva de manera aislada; los ciberataques no reconocen fronteras, son un fenómeno global que requiere una respuesta igualmente global. Un enfoque colaborativo permite un flujo bidireccional de recursos y conocimientos, que promueve una estructura de ciberseguridad más integrada.
Un ejemplo de las herramientas que promueven la cooperación y el intercambio de información en este ámbito son los ISAC (Centros de Análisis e Intercambio de Información). En estas organizaciones sin fines de lucro, distintos sectores colaboran para compartir información sobre amenazas cibernéticas. Los ISAC funcionan mediante una red de confianza entre sus miembros, permitiendo un flujo continuo de inteligencia de amenazas y una respuesta rápida y coordinada ante incidentes.
Los ISAC ya operan en diferentes sectores, donde los diversos actores intercambian información, identifican patrones y tendencias en las amenazas, comprenden su naturaleza y adoptan medidas preventivas a tiempo, sin necesidad de vivir el ataque de primera mano.En un mundo donde los ciberdelincuentes comparten tácticas y herramientas para maximizar el impacto de sus ataques, la respuesta más efectiva es la colaboración y el intercambio de información. Unir esfuerzos entre gobiernos, empresas y la sociedad civil no solo permite compartir recursos y conocimientos, sino que también fortalece la capacidad de respuesta ante incidentes cibernéticos. Al adoptar este modelo y fomentar la cooperación entre sectores y actores, los países podrán enfrentar las amenazas de manera más efectiva, a la vez que fortalecen su resiliencia cibernética. Esta colaboración y un enfoque proactivo pueden ser decisivas para salvaguardar nuestros datos y, con ello, construir un futuro digital más seguro y confiable para todas y todos.
La ciberseguridad ha recorrido un fascinante camino de evolución a lo largo de las décadas, adaptándose a un paisaje digital que se transforma constantemente. Las mejores prácticas actuales son el resultado de años de prueba y error, un proceso de aprendizaje forjado en la batalla contra las amenazas cibernéticas. Desde la aparición de Creeper, el primer virus informático en los años 70, hasta la creación de Reaper, el primer antivirus, queda claro que la ciberseguridad nació como respuesta a un peligro latente. Inicialmente, su enfoque fue defensivo, surgió como una necesidad para combatir un universo de amenazas emergentes.
Sin embargo, el escenario digital de hoy es radicalmente distinto del que enfrentaron nuestros predecesores. Las amenazas actuales son cada vez más sofisticadas y astutas, lo que obliga a organizaciones, empresas y personas a anticiparse uno o dos pasos. Confiar únicamente en medidas defensivas es una estrategia insuficiente frente a un mundo digital en constante cambio. Incluso una postura preventiva no es suficiente sin la agilidad necesaria para adaptarse. Lo que el mundo digital exige hoy en día, es un enfoque de ciberseguridad proactivo que no solo responda a los riesgos, sino que los anticipe y mitigue con eficacia. En este nuevo paradigma, la adaptabilidad y la innovación son esenciales para salvaguardar la integridad y la seguridad en el ámbito digital.
¿Qué es la ciberseguridad proactiva?
La proactividad puede ser entendida como la capacidad de tomar el control de la situación y anticiparse a los acontecimientos. La ciberseguridad proactiva es un conjunto de prácticas y estrategias que buscan predecir, identificar y mitigar amenazas antes de que causen daños significativos a una organización o empresa. Esto incluye tanto un enfoque preventivo como uno defensivo, pero también muchas otras prácticas que permiten tomar control de nuestro entorno. Existen tres pilares importantes para una estrategia de ciberseguridad proactiva:
1. Prevención
Responder una vez que una amenaza causó daños no es suficiente. La prevención es la base de la ciberseguridad proactiva. Para ello, es importante que las empresas involucren distintas prácticas de prevención y anticipación desde su estructura. Los equipos de seguridad ofensiva o red teams son los principales encargados de este pilar de la ciberseguridad proactiva. A través de ataques simulados, se pueden identificar vulnerabilidades y debilidades en la seguridad de los sistemas para fortalecerlas antes de que se presente una amenaza. Sin embargo, la prevención también debe ser implementada en un nivel organizacional, promoviendo una cultura consciente de la ciberseguridad, con prácticas como las contraseñas seguras, actualización constante software, políticas de acceso estrictas, hasta soluciones antiphishing, entre otras.
2. Monitoreo constante
Para asegurarnos de que nuestro entorno digital se encuentra libre de amenazas, es necesario que los sistemas de la empresa sean monitoreados de manera constante. Es decir, debemos estar en búsqueda de anomalías o brechas de seguridad que pudieran ceder la entrada a algún tipo de amenaza. Esta tarea se vuelve cada vez más complicada conforme aumenta el tamaño de la organización. Sin embargo, basta una pequeña brecha o acceso no vigilado para causar daños irreparables. Por ello, existen herramientas avanzadas como Batuta que nos permiten monitorear y controlar de manera sencilla nuestra infraestructura digital.
El monitoreo constante es el punto donde muchas organizaciones fallan, ya que pierden del radar la constancia con la que las amenazas cambian. Contar con una estrategia de ciberseguridad proactiva implica tener completa visibilidad y control de toda la infraestructura digital para evitar cualquier entrada a una amenaza.
3. Capacidad de reacción
Finalmente, el tercer pilar de una estrategia de ciberseguridad proactiva es la capacidad de reacción. En caso de que sea demasiado tarde y una amenaza ya haya entrado a nuestro sistema, el impacto que esta puede generar va a depender directamente de nuestra capacidad de reaccionar y mitigar dicha amenaza. Esto puede hacer la diferencia entre daños pequeños o daños graves e irreparables. Una buena reacción va a depender de si contamos con planes de acción bien definidos y equipos especializados que estén preparados para responder ante cualquier tipo de ciberataque.
La importancia de la automatización
Integrar la automatización en un enfoque de ciberseguridad proactivo permite a las organizaciones identificar, prevenir y responder a amenazas de manera más eficiente y efectiva. Al automatizar tareas rutinarias como el monitoreo de redes y la detección de vulnerabilidades, las empresas pueden reducir el tiempo de reacción ante posibles ataques y minimizar el riesgo de errores humanos. Además, permite una recopilación y análisis de datos más rigurosos, lo que ayuda a anticipar nuevas amenazas y a fortalecer las defensas. De esta manera, no solo mejora la resiliencia, sino que también libera recursos para que los equipos de seguridad se concentren en tareas más complejas.
Por ejemplo, uno de los beneficios de plataformas como Batuta es la visibilidad y el control de endpoints. Esta se centra en proporcionar a las organizaciones herramientas y soluciones para supervisar, gestionar y proteger su infraestructura digital. Este tipo de herramientas permiten simplificar las complejidades del compromiso y la alineación de los equipos de TI y ciberseguridad. Contar con un enfoque integrado como este garantiza que las organizaciones no solo mejoren su postura de seguridad, sino que también promuevan una cultura de responsabilidad compartida en la protección de sus entornos digitales.
La ciberseguridad proactiva hoy es un elemento esencial en la estrategia de cualquier organización. Al adoptar este enfoque, las empresas pueden fortalecer su defensa antes de que se produzcan incidentes cibernéticos. Esta mentalidad proactiva permite implementar medidas de seguridad robustas, llevar a cabo evaluaciones constantes de vulnerabilidades y fomentar una cultura de conciencia sobre la ciberseguridad entre todas las personas de la organización. Además, al invertir en tecnologías avanzadas y en la capacitación continua del personal, las organizaciones no solo protegen sus activos críticos, sino que también garantizan la confianza de su clientela. En un mundo donde la innovación y el riesgo caminan de la mano, estar un paso adelante en ciberseguridad no es solo una opción; es una necesidad imperativa para el éxito a largo plazo.
Hace no mucho tiempo -cuando el desarrollo de una solución de software duraba meses o incluso años- la verificación de seguridad se realizaba al final de todo el proceso. En la actualidad, se comprobó la importancia y los múltiples beneficios de integrar las pruebas de seguridad en cada una de las etapas del desarrollo de software para disminuir riesgos y agilizar el time-to-market.
Esta práctica, conocida como DevSecOps, tiene como objetivo fomentar la colaboración entre los desarrolladores (Dev), los especialistas en seguridad (Sec) y los equipos de operaciones (Ops) para crear sistemas operativos más efectivos y seguros.
En este contexto, la automatización cumple un rol fundamental. Para poder realizar DevSecOps correctamente, es clave la ejecución de prácticas de integración e implementación continuas (CI/CD, respectivamente), una serie de pasos que – presentes en las fases de desarrollo, prueba, producción y control del ciclo de vida- ayuda a los equipos de desarrollo a crear y probar ágilmente cambios de código, facilitando la integración de nuevas funcionalidades y desarrollando código de mejor calidad, más rápido.
En pocas palabras, las empresas -al implementar DevSecOps como enfoque de desarrollo- logran garantizar la seguridad de sus productos y servicios en cada paso del camino.
Como partner certificado de Amazon Web Services, en MetaBase Q implementamos el enfoque DevSecOps en procesos de desarrollo de CI/CD. Por eso y basados en nuestra experiencia, te contamos las 5 herramientas que consideramos clave para aumentar la seguridad en entornos de nube de AWS.
1. Escaneo de imágenes de contenedores de Amazon
El escaneo de imágenes es un recurso que permite identificar vulnerabilidades de software en las imágenes de contenedor. ¿Cómo funciona? Básicamente, los repositorios se pueden configurar para escanear cada nueva imagen incorporada, garantizando que todas sean inspeccionadas.
AWS ofrece un servicio llamado Amazon Inspector que permite escanear las imágenes de contenedores almacenadas en Amazon Elastic Container Registry (ECR) en busca de amenazas. Uno de los beneficios más importantes de esta herramienta es su facilidad de uso: una vez que es activado, el repositorio queda ya configurado para la revisión continua.
En ese sentido, Amazon Inspector -ofreciendo escaneo automático de imágenes para detectar riesgos y posibles errores de configuración- ayuda a mantener un entorno seguro y confiable.
2. Pruebas de seguridad de aplicaciones estáticas
Acorde a los profesionales de la seguridad informática que trabajan en AWS, el desarrollo y las pruebas de aplicaciones siguen siendo los procesos más desafiantes para las empresas de software. En un contexto de hipercompetitividad y proliferación de ciberamenazas, los desarrolladores cada vez necesitan más apoyo de soluciones que les ayuden a crear código seguro. Ahí es donde entran en juego las pruebas de seguridad de aplicaciones estáticas (SAST).
Estas herramientas son servicios de seguridad de apps de uso frecuente que se encargan de examinar el código fuente de una aplicación. Al identificar la causa raíz de las vulnerabilidades y analizar la aplicación “desde adentro”, ayudan a corregir los fallos de seguridad subyacentes.
Además, SAST promueve la capacitación de los desarrolladores en materia de seguridad mientras trabajan, proporcionándoles recomendaciones en las líneas de código en tiempo real. Esta funcionalidad habilita códigos más robustos ante amenazas, detectando con mayor rapidez posibles vulnerabilidades y conduciendo a aplicaciones más confiables con menos necesidad de actualizaciones.
3. Análisis de la composición del software
La mayoría de las aplicaciones modernas dependen de componentes open source de terceros para funcionar. Si bien este código de fuente abierta tiene sus beneficios, también puede introducir ataques maliciosos y otros riesgos de seguridad en una aplicación.
El análisis de la composición del software (SCA) es una herramienta DevSecOps que permite evaluar el estado de estas piezas de código externo. SCA se puede utilizar para rastrear componentes y administrar licencias de software, con el fin de encontrar vulnerabilidades.
Para Amazon Web Services, el uso de SCA es imprescindible, ya que automatiza el monitoreo del uso del software de código abierto con el fin de gestionar los riesgos, la seguridad y el cumplimiento de los requisitos de las licencias.
4. Firma de imágenes de contenedores
En la actualidad, las organizaciones suelen validar el código con una firma digital para confirmar que el mismo no se ha manipulado y que proviene de un editor confiable. Esto es posible gracias a una nueva función de AWS llamada Amazon Signer, que permite firmar y verificar imágenes de contenedores en cualquier momento durante las fases de desarrollo e implementación.
El proceso es simple: se debe crear una identidad única de AWS Signer para firmar criptográficamente las imágenes del repositorio con herramientas del lado del cliente. La herramienta administra las claves, permite la rotación de los certificados, proporciona registros de auditoría y almacena las firmas junto con las imágenes.
El uso de Amazon Signer garantiza la utilización de imágenes aprobadas dentro de la organización, ayudando a los negocios a cumplir con sus requisitos de seguridad.
5. Pruebas dinámicas de seguridad de aplicaciones
En el presente, es posible detectar vulnerabilidades en una aplicación antes de que lleguen al usuario. Esta instancia de seguridad es fundamental ya que, si las amenazas no se comprueban con anticipación, puede producirse una filtración de datos, acarreando importantes pérdidas económicas y daños a la reputación del negocio.
Gracias a las pruebas dinámicas de seguridad de aplicaciones (DAST) es posible analizar la seguridad de una aplicación web a través del front-end mediante ataques simulados. Este tipo de enfoque imita ataques malintencionados al enviar solicitudes que contienen datos maliciosos o entradas de usuario para evaluar la respuesta de la aplicación.
DAST es utilizado por desarrolladores, evaluadores y analistas de seguridad para detectar y corregir ataques de forma anticipada. Si bien el error humano es inevitable, cuanto más preparada se encuentre una organización para detectar una vulnerabilidad durante el desarrollo de software, menos costoso será solucionarla.
Sé parte de la transformación con un partner certificado por AWS
En MetaBase Q estamos convencidos que es el momento ideal para implementar DevSecOps en el desarrollo de CI/CD. Este enfoque es una alternativa superadora que permite seguir el ritmo actual de los plazos ajustados de entrega y las actualizaciones constantes. Además, y sobre todas las cosas, promueve una transformación cultural que hace de la seguridad una responsabilidad compartida por todas las partes dentro de una organización ¿Te interesaría implementar DevSecOps para aumentar la seguridad de tu negocio? Contáctanos.
La ciberseguridad es un desafío global, por ello es importante observar las experiencias de aquellos países que han implementado marcos regulatorios en la materia. A continuación, se presentan ejemplos de algunos países seleccionados con base en criterios de distribución geográfica y liderazgo en este ámbito:
La ciberseguridad es un desafío global, por ello es importante observar las experiencias de aquellos países que han implementado marcos regulatorios en la materia. A continuación, se presentan ejemplos de algunos países seleccionados con base en criterios de distribución geográfica y liderazgo en este ámbito:
¿Cuáles son los criterios técnicos mínimos que recomiendan los expertos?
Una ley de ciberseguridad que carece de criterios técnicos mínimos está destinada a ser insuficiente en su lucha contra las crecientes amenazas digitales. Es fundamental que la ley se base en las mejores prácticas y conocimientos técnicos. Al incluir criterios técnicos mínimos respaldados por expertos en ciberseguridad, se establece un estándar sólido y actualizado que las organizaciones pueden seguir para protegerse de manera efectiva contra amenazas cibernéticas.
Definiciones
Una terminología técnica de ciberseguridad clara y precisa en la legislación es crucial para evitar malas interpretaciones y posibles abusos legales.
Definir «infraestructura crítica» en sentido amplio para abarcar las tecnologías y servicios emergentes.
Especificar en la definición de Infraestructura Crítica de la Información que las entidades bancarias siguen su normativa única en materia de ciberseguridad o excluir de su ámbito de aplicación los bienes y la prestación de servicios privados.
Frameworks
Establecer marcos de intercambio de información antes de implementar sistemas de intercambio y centros de respuesta a incidentes para aumentar la transparencia de los ataques a la ciberseguridad y la utilidad de los datos actuales sobre ataques.
Crear un marco nacional de ciberseguridad para la protección de infraestructuras críticas.
Establecer un marco jurídico adaptado para la gestión de riesgos, teniendo en cuenta los atributos, amenazas, vulnerabilidades y tolerancia al riesgo propios de cada organización. Capacitar a las organizaciones para priorizar las actividades críticas y asignar las inversiones estratégicamente para obtener el máximo impacto.
Mecanismos de colaboración
Promover la colaboración público-privada para la ciberseguridad mediante el establecimiento de normas, certificación, educación y una junta de revisión de la seguridad.
Los ciberdelitos afectan a la información, los sistemas informáticos y las redes, por lo que la ciberdefensa es una responsabilidad colectiva. Los mecanismos de colaboración entre el Estado y el sector privado son cruciales para evitar responsabilizar de los delitos a los proveedores de servicios de Internet, que proporcionan conectividad, pero no controlan su uso.
Utilizar el modelo de los Centros de Análisis e Intercambio de Información (ISACs por sus siglas en inglés) para mejorar la comunicación entre sectores industriales.
Recomendaciones
Garantizar que la legislación se adapta a los rápidos cambios tecnológicos en materia de ciberseguridad mediante la creación de un consejo consultivo especializado que se encargue de las actualizaciones periódicas.
Mantener actualizadas las políticas de seguridad de la información, alineadas con la normativa y realizar evaluaciones periódicas de los riesgos para abordar las vulnerabilidades.
Incluir requisitos de notificación de violaciones de propiedad intelectual.
Impartir formación obligatoria sobre ciberseguridad al personal, establecer controles de acceso y garantizar medidas de seguridad física y de la red.
Supervisar y auditar los sistemas para identificar incidentes de seguridad y mantener la continuidad de la actividad y los planes de recuperación en caso de catástrofe para la resiliencia operativa.
Salvaguardar los datos personales y sensibles, cumplir la legislación sobre privacidad y crear planes de respuesta a incidentes para una gestión eficaz de la seguridad.
Mantener un equilibrio entre la protección de datos y la privacidad es crucial. Las leyes deben salvaguardar tanto los datos como los sistemas informáticos, respetando al mismo tiempo la privacidad y la libertad de expresión de las personas. Definir claramente los límites y las condiciones de las excepciones para evitar usos indebidos.
Pueden ser necesarias excepciones para los investigadores de ciberseguridad que identifiquen vulnerabilidades del sistema para mejorar la seguridad y salvaguardar la información.
Para garantizar el cumplimiento de la normativa financiera, la ley debe excluir explícitamente a las entidades financieras de la categoría de proveedores de servicios de infraestructura digital y especificar que deben seguir una legislación específica a efectos de autenticación.
Informar de los incidentes críticos que provoquen la pérdida de confidencialidad, integridad o disponibilidad de la información y que afecten a la seguridad y resistencia de los sistemas operativos.
Regulación redundante
Evitar la regulación redundante para las entidades reguladas a nivel federal, al tiempo que se establece una norma básica de ciberseguridad.
Las entidades que proveen servicios a bancos (relacionados con sistemas informáticos, bases de datos o procesos operativos) también tienen una regulación especial en las Disposiciones de Carácter General aplicables a Instituciones de Crédito (CUB) donde: (i) se requiere incluso aviso o autorización de la Comisión Nacional Bancaria y de Valores (CNBV); (ii) se prevé que se podrá ordenar la suspensión de los servicios cuando se pueda ver afectada la estabilidad financiera, la continuidad operativa de la entidad o la protección de los intereses del público y (iii) se prevé regulación relacionada con la integridad, seguridad, confidencialidad, resguardo y confiabilidad en el manejo de la información generada con motivo de la prestación de los servicios.
Infraestructuras críticas de información
Para la protección de las Infraestructuras Críticas de Información deberán estar a cargo de aquellas entidades públicas o privadas que las gestionen, siguiendo las siguientes disposiciones de ciberseguridad:
Evaluación de riesgos: Las entidades responsables deberán realizar evaluaciones periódicas de los riesgos para la seguridad de la información, identificando las posibles vulnerabilidades y amenazas a sus infraestructuras críticas.
Implantación de controles de seguridad: Las entidades implantarán controles de seguridad adecuados y proporcionales al nivel de riesgo identificado en sus infraestructuras críticas, incluyendo mecanismos de protección de datos, control de accesos, seguridad física y medidas de prevención y detección de intrusiones.
Coordinación con autoridades reguladoras y organismos especializados: Las entidades responsables deben establecer mecanismos de coordinación y cooperación con las autoridades reguladoras y organismos especializados en ciberseguridad, para recibir asesoramiento y apoyo técnico en la protección de sus infraestructuras críticas.
Formación y concienciación: Las entidades deberán proporcionar formación y concienciación en materia de ciberseguridad a su personal para garantizar que comprenden sus responsabilidades y están mejor preparados para hacer frente a posibles ciberamenazas.
Supervisión y respuesta ante incidentes: Las entidades responsables implantarán sistemas de monitorización y respuesta ante incidentes, incluyendo la creación de equipos de respuesta ante incidentes de seguridad de la información y el desarrollo de planes de acción y recuperación ante incidentes.
Planes de continuidad y recuperación: Las entidades elaborarán y mantendrán planes de continuidad de la actividad y de recuperación en caso de catástrofe para garantizar la resistencia de sus infraestructuras críticas en caso de incidente de seguridad o evento adverso.
Cumplimiento normativo y auditorías: Las entidades responsables garantizarán el cumplimiento de los reglamentos y normas de ciberseguridad aplicables y realizarán auditorías periódicas internas y externas para evaluar la eficacia de sus medidas de protección.
Notificación de incidentes y colaboración con las autoridades: Las entidades comunicarán oportunamente a las autoridades competentes cualquier incidente de seguridad que afecte a sus infraestructuras críticas y colaborarán con ellas en la investigación y resolución de incidentes.
Estos criterios mínimos proporcionan un marco claro y práctico que guía en la implementación de medidas de seguridad adecuadas, lo que resulta en una protección más robusta de los datos, sistemas y activos digitales contra posibles ciberataques. Al garantizar que la ley de ciberseguridad contenga los criterios técnicos mínimos recomendados por expertos, se fortalece la capacidad de las organizaciones para enfrentar los desafíos del ciberespacio.
El Sector Privado y el CERC consolidan análisis a las iniciativas existentes
¿Qué debe tener una ley?
La ciberseguridad debe atenderse como una responsabilidad compartida, por lo que su marco regulatorio NO debe reducirla a una capacidad exclusiva del Estado. De ahí que se debe incluir a la academia, la sociedad civil, la industria de ciberseguridad, tanto en la generación de la ley, así como sujetos de ésta, previendo el cuidado de infraestructuras críticas, gestión de riesgos, concientización y cultura de la ciberseguridad.
Enfocarse en establecer protocolos mínimos para afrontar ataques y amenazas más que sancionar a la sociedad, para lo cual se deberán establecer obligaciones claras y concretas en la materia. El objetivo de la ley no debe ser controlar a la sociedad sino procurar lo necesario para que todos gocemos de un ciberespacio seguro.
Tomar en consideración los compromisos adoptados por México en la materia, así como atender a las mejores prácticas internacionales y sus definiciones, por lo que habrá de establecer obligaciones, estándares, requisitos, protocolos, establecimiento de certificaciones, etc.
Es necesaria una estructura institucional multidisciplinaria con los recursos necesarios y el marco regulatorio pertinente para su eficacia. Así como, el establecimiento claro y definido de la competencia de las autoridades.
Articular, de manera transversal, con otras entidades encargadas del proceso de implementación de políticas públicas sobre ciberseguridad, como lo son el IFT y el INAI.
Procurar una mayor coordinación y la homologación con otros ordenamientos existentes como: i) Ley de General de Protección de Datos Personales en Posesión de Sujetos Obligados; ii) Ley General de Protección de Datos Personales en Posesión de Sujetos Privados; iii) Disposiciones acordadas en acuerdos comerciales internacionales como: T-MEC, TIPAT, y Alianza del Pacífico; iv) Estrategia Digital Nacional y el Acuerdo de Políticas y Disposiciones para uso de TICs en la APF.
No militarizar el ciberespacio. Por lo que para cualquier intervención de este tipo siempre debe cumplirse con las condiciones y requisitos de la Constitución y la Ley de Seguridad Nacional.
Debe respetar los derechos humanos, se destacan en la materia los derechos a la privacidad, intimidad, identidad, la protección de los datos personales, la propiedad y la libertad de las personas en sus diversas vertientes. Por lo que debe evitar censurar e intervenir de forma excesiva tales derechos. Por ejemplo, se deben omitir registros innecesarios que pudieran invadir la privacidad de las personas u omitir obligaciones para los ciudadanos que pudieran inhibir la libertad de expresión.
Los delitos que contemple la ley deberán estar delimitados y descritos adecuadamente. La ley deberá establecer figuras delictivas especializadas en ciberseguridad.
Dejar de manifiesto que la Ley tiene asidero constitucional, ¿Cómo? pudiera ser pertinente que en la exposición de motivos se refiera a la facultad del Congreso de la Unión para legislar sobre tecnologías de la información y la comunicación, radiodifusión, telecomunicaciones, incluida la banda ancha e internet, contenida en la fracción XVII del artículo 73 fundamental; así como establecer entre los objetivos de la ley el garantizar el desenvolvimiento seguro en el ciberespacio que surge de dichas tecnologías, garantizando con ello el derecho a su acceso, el derecho a la información, el derecho a no ser molestado en su persona o posesiones, entre otros derechos.
Del punto anterior derivaría el que la Ley de Ciberseguridad debe ser Federal, tal como sucede con la Ley Federal de Telecomunicaciones y Radiodifusión, lo que no significa que no tenga aplicación en los Estados, sino que su aplicación es por parte de autoridades federales, por lo que las asambleas legislativas, por ejemplo, no podrán legislar respecto de ciberdelitos.
Sin embargo, de estimarse que la ciberseguridad es una materia donde existe la concurrencia, es necesario dejar perfectamente establecidas en una ley general las competencias de los diferentes órdenes de gobierno, para que de esta forma tanto Entidades Federativas como Municipios estén en posibilidad de, por un lado, legislar en la materia respetando los lineamientos de la ley y, perseguir e investigar los delitos. Pero es de destacar que algo que caracteriza a todos los proyectos de iniciativas analizados es que no contienen una correcta distribución de competencias.
Adicionalmente, es importante considerar que en el Senado se encuentran otras iniciativas en materia de ciberseguridad, destacándose principalmente las siguientes: (i) del senador Miguel Ángel Mancera (PRD), del 02 de septiembre de 2020; y (ii) de la senadora Lucia Trasviña (Morena) del 06 de abril de 2021; las cuales no han sido dictaminadas.
Habría que revisar si existe la posibilidad de que se realice un dictamen de Comisiones que considere las iniciativas por parte del Congreso.
Car Hacking: tendencia de robo de autos en la actualidad
Los riesgos de las llaves inalámbricas Vol. 1
// Resumen de resultados
Con un hardware de bajo costo y herramientas de radio definidas por software (SDR, por sus siglas en inglés) de código abierto, cibercriminales pueden comprometer los sistemas de entrada de seguridad de los vehículos explotando las debilidades de sus sistemas de llave inalámbrica.
La mayoría de los automóviles del mundo basan la protección de sus sistemas de entrada en algoritmos criptográficos de código evolutivo. Cuando la persona propietaria de un coche pulsa el botón de desbloqueo de la llave, ciberatacantes pueden interceptar las señales y guardarlas para utilizarlas en el futuro. Estas instrucciones interceptadas podrían implementarse para engañar a las personas propietarias de los coches y conseguir acceder a ellos. El riesgo de estos ataques está aumentando enormemente debido a la facilidad de acceso a las herramientas de hardware SDR y a las implementaciones de seguridad inadecuadas.
// Introducción
Ya sean los vehículos autónomos, el aumento de la conectividad o los vehículos eléctricos, la innovación tecnológica está impulsada cada vez más por el software, lo que conlleva un ciberriesgo inherente. La mayoría de la gente es consciente del gran peligro que supone el uso de Internet: un ciberataque a la red de una empresa o a dispositivos personales es posible en cualquier momento. Pero muy pocas personas saben que ciberatacantes también pueden lanzar ataques a los coches: cuantos más componentes electrónicos contengan y más conectados a la red estén, mayor será el riesgo.
La ciberseguridad es una preocupación real a la que todas las empresas fabricantes de automóviles, proveedores y personas usuarias se enfrentan a diario. Por ello, Metabase Q cuenta con un equipo dedicado a la investigación y el desarrollo, el cual realizó este análisis que se comparte a continuación.
En los últimos años los ataques contra los sistemas de acceso a los automóviles han aumentado y actualmente, ciberatacantes son capaces de robar vehículos sin tener que forzar su entrada, ya sea para llevarse el coche o robar las pertenecías dentro de él.
¿Cómo es posible? ¿Cómo puede alguien robar un vehículo sin tener la llave físicamente y sin forzar el coche? La conexión a la red hace que los coches sean vulnerables, y cuanto más digitales sean y más conectados estén, mayor será su vulnerabilidad ante un ciberataque. Para entender sus técnicas, es necesario analizar tanto los controles de acceso de los sistemas de los coches como la manera en que ciberatacantes podrían saltarse estas características de seguridad.
Para 2023, se espera que los vehículos conectados representen una cuarta parte de la movilidad a nivel mundial . Para 2025 , este tipo de automóviles representarán casi 86% del mercado mundial de la industria automotriz, por lo que el creciente número de vehículos conectados, junto con la tecnología V2X –vehículo conectado al usuario y a la ciudad– (V2X, por sus siglas en inglés), han aumentado las vulnerabilidades y los puntos de entrada que ciberatacantes pueden explotar.
Es importante comprender el panorama de las ciberamenazas. La ciberdelincuencia, incluida la relacionada con la industria automotriz, es más rentable que el narcotráfico, generando 600,000 millones de dólares anuales en comparación con 400,000 millones de dólares . Mientras la pandemia por COVID-19 ralentizaba las operaciones de un gran número de industrias, los ciberataques iban en aumento, siendo el transporte una de las cinco industrias más atacadas.
De acuerdo con un estudio de USWITHC, los ciberataques a los automóviles conectados han aumentado 99% desde 2018. En el Reino Unido, solo en 2019, 92% de los robos de coches se realizaron sin utilizar las llaves de los vehículos. En abril de 2020, dos investigadores comprometieron un Ford Focus utilizando un conector OBD-II y una computadora portátil, lo que les permitió controlar los frenos, cambiar la velocidad del coche, acceder al sistema de infoentretenimiento y más. Los vectores de ataque son la forma en que ciberatacantes obtienen acceso; un solo incidente puede incluir múltiples vectores de ataque. Upstream Security descubrió que los tres vectores de ataque más comunes son: 1) servidores, 2) sistemas de entrada sin llave, y 3) aplicaciones móviles. (Figura 1)
Figura 1. Vectores de ataque más comunes
En este blog, nos enfocaremos en el robo sin llave (a veces llamado ataque de relevo) que es una forma de robar un vehículo sin usar la llave física. Los vehículos objetivo son aquellos con sistemas de entrada y arranque sin llave, los cuales permiten a ciberatacantes explotar la tecnología para entrar en el coche y llevárselo. En 2020 se descubrieron varias vulnerabilidades en los sistemas de apertura sin llave que permitían a atacantes abrir fácilmente las puertas de los vehículos cerrados.
En marzo de 2020, investigadores descubrieron que el sistema remoto sin llave del HR-V 2017 de Honda envía la misma señal de radiofrecuencia para cada solicitud de apertura de puerta . Luego, en julio de 2020, una investigación mostró una vulnerabilidad en la etiqueta NFC del Tesla Model 3, lo que permitiría realizar un ataque de retransmisión para abrir la puerta. ¿Cómo? aprovechando la señal de una etiqueta NFC legítima asociada al vehículo.
Desafortunadamente, los ataques de apertura sin llave son llevados a cabo por algo más que investigadores y hackers de sombrero blanco. En julio de 2020, una empresa tecnológica de Bulgaria vendió por 20,000 libras esterlinas unos dispositivos parecidos a los antiguos Game Boys de Nintendo. Estos dispositivos, eran utilizados para desbloquear las puertas de los coches grabando las señales inalámbricas de las llaves y actuando como un receptor que el coche reconoce como un mando autorizado . Los ataques a distancia han superado sistemáticamente a los ataques físicos desde 2010, representando 79.6% de todos los ataques entre 2010 y 2020.
Existen dos sistemas diferentes de acceso sin llave: El sistema activo de entrada sin llave y, el sistema pasivo de entrada y arranque sin llave (PKES, por sus siglas en inglés). Por ahora, analizaremos el sistema activo de entrada sin llave (Figura 2), cómo funciona y cómo ciberatacantes se aprovechan de las debilidades de esta tecnología.
En este blog, nos centraremos en el sistema activo de entrada sin llave que implementa la tecnología de código evolutivo o rolling code. Normalmente, un sistema activo de acceso sin llave transmite una señal para indicar una orden específica: desbloquear, bloquear o abrir la cajuela. Pero ¿cómo se transmite esta señal y cómo se puede reutilizar?
Figura2: Mini Cooper – Llave inalámbrica
Por lo general, las llaves implementan técnicas de modulación de desplazamiento de frecuencia (FSK, por sus siglas en inglés), de desplazamiento de amplitud (ASK, por sus siglas en inglés) o de encendido y apagado (OOK, por sus siglas en inglés). El uso de una modulación específica dependerá de las especificaciones de hardware de la marca. Pero el factor más importante entre las señales es cómo codifican la información, el escenario común en todo el mundo de la modulación son: Manchester o bifásica. La interpretación de la onda es crucial para entender cómo viaja la información y la mejor manera de decodificarla correctamente. Será de suma importancia conocer la modulación de onda específica para obtener la instrucción correcta para después enviarla a la llave.
Figura3: Modulaciones ASK, FSK, and PSK
// ¿Qué es la tecnología rolling code?
El algoritmo criptográfico de código evolutivo o rolling code es implementado en diferentes tecnologías, como los mandos de las puertas de las cocheras y los mandos a distancia de los coches. La función principal del rolling code, también conocido como hopping code, es ofrecer una protección especial contra los ataques de repetición. Este tipo de ataque consiste en guardar una transmisión de señal válida mediante un hardware especial y retransmitirla. Añadiendo que la retransmisión puede tener lugar en un lugar diferente, pero comportarse como la señal o instrucción original.
Para protegerse de los ataques de repetición, el código evolutivo implementa diferentes características:
El generador de números pseudoaleatorios (PRNG, por sus siglas en inglés) o el generador de bits aleatorios determinados (DRBG, por sus siglas en inglés) genera números aleatorios consecutivos utilizando una semilla especial como valor inicial. Esto significa que cada vez que la persona propietaria del coche pulse el botón de desbloqueo del mando a distancia, se generará un nuevo número aleatorio mayor. Al utilizar esta característica de generación aleatoria progresiva, el código evolutivo asegura que, si ciberatacantes guardan una transmisión de señal anterior, el siguiente número generado será diferente y evitará un posible ataque de repetición utilizando esa señal previamente guardada, al menos en teoría.
Figura 4: Escenario rolling code
// Sistemas activos de entrada sin llave
Los sistemas activos de entrada sin llave se caracterizan por tener un mecanismo de control remoto activo. Esto significa que la persona debe pulsar el botón de desbloqueo de la llave para abrir el sistema de cierre de la puerta. La llave activo utiliza sólo un transmisor para establecer la comunicación. La señal de rolling code viaja en frecuencia ultra alta (UHF, por sus siglas en inglés), normalmente, a 315MHz. La distancia adecuada para comunicarse correctamente entre la llave y el coche puede variar. Dependiendo de la potencia de la batería de la llave inalámbrica puede funcionar entre 0 y 80 metros.
Una vez que el sistema del coche autentifica la señal de la llave y el coche se desbloquea, la persona propietaria debe introducir la llave física en el sistema de encendido para arrancar el vehículo.
Figura5: Detección de la instrucción de desbloqueo de la llave mediante modulación FSK a 315MHz
// Eludiendo la tecnología rolling code
En ocasiones, existen ciberatacantes que prefieren, en lugar de forzar el sistema de entrada del coche, implementar las nuevas tecnologías para entrar en el automóvil; hay quienes prefieren robar los objetos de valor que se encuentran en el coche y otros deciden robar el coche. Previamente, para robar un vehículo o su contenido, rompían el cristal de la ventanilla, pero con las nuevas tecnologías, en lugar de hacer ruido, los nuevos grupos de ciberatacantes prefieren hacerlo de forma más silenciosa.
Para eludir la tecnología de rolling code, ciberatacantes deben implementar como base un hardware y un software especiales, normalmente conocidos como Software Defined Radio (SDR, por sus siglas en inglés). Se trata de dispositivos de radio de bajo costo que controlan e interfieren la comunicación entre el coche y la llave inalámbrica.
Figura 6: PortaPack – herramienta de radio de bajo costo
Para entender el proceso de un ataque exitoso contra la tecnología rolling code, debemos entender el proceso normal para desbloquear el automóvil desde la perspectiva de la persona propietaria:
La persona pulsa el botón de desbloqueo del dispositivo de llave a distancia
El coche recibe la señal y comprueba si la instrucción está en el rango del algoritmo de código evolutivo consecutivo
Si lo está, el sistema desbloquea el coche
Figura 7: Proceso normal de desbloqueo del automóvil desde la perspectiva de la persona propietaria
En el proceso de desbloqueo, el coche interpretará la señal y tomará decisiones internamente sin comunicar nada a la llave.
Si el coche no está dentro del alcance de la llave, cuando se pulsa el botón de desbloqueo, esa instrucción de código evolutivo se descarta y no se utilizará en la siguiente interacción. Cuando la persona pulsa de nuevo el botón de desbloqueo, se genera un nuevo rolling code (el nuevo código será mayor que el anterior). El coche implementa una lista de verificación que corrobora si el código evolutivo transmitido está en un rango continuo.
Los pasos para tener éxito en este escenario de ataque pueden variar. Pero en circunstancias generales, el procedimiento sería el siguiente:
La persona propietaria del vehículo pulsa el botón de desbloqueo del control a distancia
Ciberatacantes interrumpen la comunicación entre el coche y la llave e interceptan la señal del rolling code
La persona propietaria vuelve a pulsar el botón de desbloqueo pensando que el coche no ha recibido bien la señal en el primer intento. En este momento, ciberatacantes vuelven a interferir la comunicación, interceptando simultáneamente la nueva instrucción
Con las dos nuevas señales de rolling code, ciberatacantes liberan la primera señal capturada para desbloquear el coche. La víctima cree que el coche se ha desbloqueado porque ha pulsado el botón del llavero. Pero la realidad es que ciberatacantes engañan a la persona propietaria liberando la primera señal guardada que desbloqueó el sistema del coche
En este punto, ciberatacantes tienen la última transmisión en sus sistemas SDR y podrán utilizarla para desbloquear el coche en el futuro. Incluso después de que la persona propietaria haya bloqueado el coche correctamente
Ciberatacantes pueden utilizar la última señal capturada sólo si el coche no recibe ninguna nueva señal de código evolutivo de desbloqueo desde el llavero
Figura 8: Rangos entre las ventanas de escucha, bloqueo y recepción
Figura 9: Funcionamiento normal comparado con el escenario de la señal interceptada por ciberatacantes
//Interceptando las señales y replicándolas
Ciberatacantes deben disponer de dos sistemas SDR o tecnologías de radio diferentes para lograr el ataque con código evolutivo: uno para interceptar la señal y otro para interferir la comunicación entre el coche y la llave inalámbrica.
Figura 10: Ejemplo de tecnología SDR para interceptar e interferir en la señal de la llave
Cuando el sistema inicia el proceso de interferencia, el movimiento puede ser detectado en el espectro de radiofrecuencia de cascada. El proceso de interferencia consiste en enviar ruido a una frecuencia específica del receptor del coche para evitar la comunicación adecuada con la llave. Dicha frecuencia deberá estar ligeramente por encima o por debajo de la frecuencia normal, pero será suficiente para realizar la tarea de interferencia.
Figura 11: Detección del ruido de interferencia en cascada
Mientras se produce la interferencia, la segunda antena está esperando para interceptar la señal del llavero y guardarla.
Si ampliamos la imagen, podemos observar que ambas señales viajan casi juntas, pero en frecuencias ligeramente diferentes. Ciberatacantes deben reducir las señales de la llave para evitar el ruido del bloqueador. El punto principal es obtener la instrucción de la llave sin obtener residuos de la señal del bloqueador:
Figura 13: Detección de la señal de ruido y de la señal de la llave
//Ataque de rolling code jam
Cuando ciberatacantes obtienen dos instrucciones consecutivas para desbloquear el coche, se preparan para engañar a la víctima con estas señales. Utilizan un sistema automático para enviar la primera señal capturada y guardar el segundo rolling code para utilizarlo después de que la persona propietaria se estacione y cierre el coche.
Figura 14: División de la señal de ruido y de la señal de la llave
Es importante mencionar que todo este proceso se produce de forma automática, implementando un dispositivo programado que hará todas las tareas de forma clandestina. El principal objetivo malicioso es hacer que este proceso se comporte de forma natural. Así, la persona propietaria del coche no se da cuenta de que ha sido engañada por un ataque de bloqueo al código evolutivo.
En el siguiente video se muestran los detalles sobre el hackeo a vehículos expuestos en esta investigación.
// Recomendaciones
Para tener una mejor protección contra los ataques de rolling code e interferencia, es recomendable que las empresas realicen mejores métodos de autenticación implementando diferentes frecuencias portadoras, como 4FSK o Frequency-hopping spread spectrum (FHSS, por sus siglas en inglés). El objetivo principal es transmitir señales de radio a través de muchas frecuencias diferentes que ocupan más secciones del espectro radioeléctrico. Cerrando las posibilidades de interferir la señal por diseño. Así como, hacer necesario el establecimiento de una comunicación entre ambas entidades para intercambiar el proceso de autentificación.
Añadir una combinación de hardware de baja y alta frecuencia debería mejorar drásticamente la protección contra los ataques de interferencia. Además, añadir mecanismos como el hashing o el cifrado en el comando de pulsación de la llave disminuirá drásticamente las señales de repetición o de escucha.
Desde la perspectiva de la persona propietaria, ésta debe proteger no sólo su llave física, sino también su señal. Asegúrate de que la llave funciona correctamente bloqueando y desbloqueando el coche en repetidas ocasiones para corroborar que está funcionando en un solo intento.
