Dr. Cristian Barría Huidobro - Nuevos espacios de seguridad nacional

1.8. Antivirus

Aplicación para la evaluación de riesgo y medidas de mitigación ante códigos maliciosos. Una de las características que deben tener los fabricantes de antivirus para poder enfrentar con éxito los distintos malware en el ciberespacio, es la capacidad de intercambiar información efectiva entre ellas, con el fin de detectar la aparición de nuevas amenazas (Bailey et al., 2007).

1.9. Malware

Es una abreviación de software malicioso en inglés (malicious software), que si bien en términos generales se refiere a cambios de comportamiento en el estado de un sistema, ha sido concebido para conseguir acceso a los medios tecnológicos y recursos de la red, perturbar las operaciones de computadores y recopilar información personal u organizacional sin tener el consentimiento de los administradores, generando así una amenaza para la disponibilidad de internet, la integridad de sus anfitriones y la privacidad de los usuarios (Islam, 2012). En las tres últimas décadas el concepto ha cambiado, desde aquel desarrollado para efectuar pruebas de seguridad hasta aquellos creados para sabotear infraestructuras críticas y de la información (Zagreb Consultora Limitada, 2008).

1.10. Análisis de Malware

El análisis de malware es un proceso que contribuye a la gestión de incidentes, a través del cual se trata de otorgar respuestas precisas a una serie de interrogantes entre las que podemos encontrar comúnmente las siguientes:

¿Qué? –denegación de servicios– intermitencia en la red, eliminación de datos, entre otros.

¿Cómo? –adjunto de correo– dispositivo de almacenamiento externo contaminado, sitio web malicioso, entre otros.

¿Cuándo? –durante el horario laboral– en la noche, fines de semana, entre otros.

¿Impacto? –datos expuestos– robo de datos comerciales, penalidad legal, entre otros.

Grado de diseminación –solo un equipo, departamento, red completa, entre otros.

El grado de certidumbre en las respuestas será proporcional al análisis del malware, por lo cual entre más detallado sea este, con mayor precisión se responderá a los eventos propios de la existencia de malware en la organización analizada. Para el proceso de análisis, en tanto, existen diversas técnicas, procedimientos y herramientas, las que se pueden clasificar bajo tres aspectos: análisis preliminar o triage, análisis estático y análisis dinámico (Li et al., 2009).

1.11. Triage

Este tipo de análisis se basa en una técnica utilizada en medicina, la cual permite la selección y clasificación de pacientes en escenarios complejos, tales como guerras, desastres o accidentes. En un escenario digital, este tipo de análisis busca determinar ciertas acciones ante la ejecución de malware en la organización. Si el usuario está entrenado para este tipo de situaciones, podrá evidenciar rápidamente la existencia del código malicioso por medio de una evaluación ágil del sistema; por ejemplo, a través del comportamiento errático de programas, la lentitud en los procesos normales de trabajo, los problemas de conexión y la eventual aparición de carpetas y archivos, por mencionar algunos. La respuesta ante los eventos descritos deben estar definidos en la politíca organizacional, y reflejarse en algún plan que permita activar un proceso y minimizar un eventual impacto en la organización (Ministerio de Defensa Nacional, 2016).

1.12. Análisis estático

El análisis del software malicioso sin ejecutarse se denomina estático. Por lo general, este tipo de análisis se realiza mediante la disección de los diferentes recursos del archivo binario y el estudio de cada componente. El archivo binario también se puede desagregar (ingeniería inversa), utilizando un desensamblador, es decir, el lenguaje de máquina se traduce a un código ensamblador que puede ser leído y entendido por un analista de malware, quien entonces así da sentido a las instrucciones, comprende y obtiene una imagen de lo que el programa realizaría. El analista, mediante este proceso, es capaz de generar indicadores técnicos que permiten el desarrollo de firmas simples, antecedentes y características del archivo (nombre, tamaño, tipo), sumas de comprobación md5 o hashes y reconocimiento, que ejecutan las herramientas de detección de antivirus. Por otra parte, los patrones de protección utilizados en el análisis estático incluyen la firma de la cadena, secuencia de bits, llamadas a librería sintáctica, gráfica del flujo de control y código de operación, distribución de frecuencias, entre otros (Gandotra et al., 2014)

1.13. Análisis dinámico

Se denomina de esta manera al tipo de análisis que examina el comportamiento de un código malicioso mientras está siendo ejecutado en un ambiente controlado (máquina virtual, simulador, emulador, caja de arena, entre otros) y se están registrando indicadores técnicos. Entre los indicadores se pueden mencionar nombres de dominios asociados a la conexión, direcciones IP, rutas de archivos, claves de registro, programas adicionales instalados en la red y fuera de ella. Este tipo de análisis es bastante más eficiente que el análisis estático, principalmente porque da visibilidad a la funcionalidad del malware, dependiendo de las características de este, pues en algunos casos puede estar preparado para evitar su detección en ambientes de análisis dinámico.

1.14. Infraestructura Crítica de la Información (ICI)

Un estudio de la Organización para la Cooperación y el Desarrollo Económico (ocde), correspondiente a un análisis comparativo del desarrollo de las políticas para la protección de la infraestructura crítica y de la información en Australia, Canadá, Corea del Sur, Japón, Holanda, Inglaterra y Estados Unidos indica que la ici es una infraestructura de información que, si no se encuentra disponible, puede ocasionar pérdidas de vidas y un grave impacto en la salud, seguridad o economía de sus ciudadanos. Para evitar esto, los países deben ser capaces de desarrollar una estrategia de seguridad después de haber jerarquizado la criticidad de los eventos (Zagreb Consultora Limitada, 2008).

1.15. Ciberdefensa

Se refiere al conjunto de sistemas, infraestructura, personas, medios de apoyo y procedimientos doctrinales, que permiten defender el ciberespacio (Centro Superior de Estudios de la Defensa Nacional, 2012). Estos son capaces de detectar, neutralizar, identificar, contener daños y eventualmente responder a los ciberataques, generando las condiciones para mantener o restablecer en el menor tiempo posible las capacidades de ciberdefensa, contempladas en el marco de una política de ciberseguridad, con el fin de asegurar la integridad, confidencialidad y disponibilidad de los datos, sistemas y redes de servicios de información (Ministerio de Defensa Nacional, 2016).

1.16. Ofuscación

Se define como una transformación de programas. Generalmente se utiliza en el malware para evadir la detección por parte de software antimalware (Li et al., 2009), mediante la aplicación de transformaciones en el código (fuente o binario), que cambia la apariencia del mismo a través de un procedimiento que permite mantener su funcionalidad (Balakrishnan et al., 2005).

1.17. Hacktivista / Hacktivismo

El neologismo hacktivista proviene de la unión de la palabra hacker con activismo. Por ende, las actividades de hacktivismo corresponden a las acciones políticas de resistencia y lucha por una sociedad alternativa, relacionada con la libertad de información, con las luchas por la democracia y por una sociedad abierta. Estos activistas emplean herramientas de hacking para protestar en internet, incitando a la desobediencia civil electrónica (dce), cuyo propósito es ofender y bloquear.

1.18. Ciberconflicto

Se refiere a la expresión de intereses contrapuestos, entre dos o más partes, en relación a temas, intereses o valores que se manifiestan en el ciberespacio (Ministerio de Defensa Nacional, 2016).