Descargo de responsabilidad: todo lo aquí descrito es pura imaginación y cualquier parecido con la realidad es coincidencia. El autor no se hace responsable de las consecuencias de cualquier acción realizada en base a la información proporcionada en el artículo.
Sobre la base de nuestro análisis previo de las operaciones ofensivas en el Foro de Davos, este artículo explora los vectores de ataque emergentes y las amenazas en evolución que podrían potencialmente ser aprovechadas por los actores estatales-nación. El panorama tecnológico ha cambiado significativamente, introduciendo nuevas vulnerabilidades y al mismo tiempo reforzando la importancia de medidas de seguridad integrales.
Nuevos vectores de ataque
Estafas de phishing y deepfake mejoradas por IA
El auge de modelos sofisticados de IA ha introducido nuevas posibilidades para ataques de ingeniería social. Los ciberoperadores podrían potencialmente utilizar:
Clonación de voz en tiempo real para ataques de suplantación de identidad, lo que permite a los agentes imitar la voz de personas de confianza durante las llamadas telefónicas
Contenido de vídeo deepfake generado por IA para campañas de phishing dirigidas
Modelos de lenguaje para generar mensajes contextualmente conscientes y gramaticalmente perfectos en múltiples idiomas
Modelos de análisis de comportamiento para predecir rutinas y movimientos de objetivos
Explotación de dispositivos inteligentes
La proliferación de dispositivos inteligentes y wearables presenta nuevas superficies de ataque:
Comprometiendo relojes inteligentes y rastreadores de actividad física para rastrear patrones de movimiento y extraer datos de salud
Apuntar a gafas inteligentes y dispositivos AR que puedan contener datos visuales confidenciales
Explotación de sistemas de construcción inteligentes en hoteles y salas de conferencias
Aprovechar los dispositivos IoT comprometidos para vigilancia y recopilación de datos
Ataques RF avanzados
Los ataques por radiofrecuencia han evolucionado hasta volverse más sofisticados:
Ataques de radio definidos por software (SDR) a teclados y ratones inalámbricos utilizando protocolos mejorados
Sistemas de radar pasivos para seguimiento de personal a través de paredes
Explotación de Bluetooth de largo alcance mediante antenas direccionales
Técnicas avanzadas de interferencia dirigidas a bandas de frecuencia específicas utilizadas por los servicios de seguridad
Compromisos en la cadena de suministro
Los ataques modernos a la cadena de suministro podrían tener como objetivo:
Software de gestión de conferencias utilizado para la programación y coordinación
Sistemas de proveedores de servicios y catering de terceros
Sistemas de pago digitales y terminales de punto de venta
Plataformas de gestión y reserva de hoteles
Conclusión
El panorama de amenazas para eventos de alto perfil como el Foro de Davos continúa evolucionando rápidamente. La convergencia de la IA, la computación cuántica y las tecnologías avanzadas de RF crea nuevos vectores de ataque y, al mismo tiempo, proporciona capacidades defensivas novedosas. Las organizaciones deben mantener la vigilancia y adaptar su postura de seguridad para abordar estas amenazas emergentes.
La sofisticación de los actores de los estados-nación continúa creciendo, lo que hace que sea crucial que los equipos de seguridad comprendan y se preparen para estos escenarios de ataque avanzados. A medida que avanzamos, la integración de medidas de seguridad físicas y digitales se vuelve cada vez más importante para proteger objetivos de alto valor en las principales reuniones internacionales.
Acerca del autor: este artículo es una continuación de investigaciones previas sobre estrategias de guerra de información y sus posibles aplicaciones en escenarios de alto perfil.
El camino hacia el desarrollo de software es una fascinante historia de innovación, creatividad y avance tecnológico. Empecé a aprender a programar a finales de los 80, cuando era niño, con lenguajes como Pascal y Clipper; más tarde, llegaron C y el lenguaje ensamblador. Cuando en mi instituto se introdujo una clase de informática para enseñar el lenguaje Basic, ya tenía años de experiencia.
Tuve el privilegio de presenciar y participar en esta evolución, que se puede clasificar en tres etapas distintas: la fase de desarrollo inicial, la fase de composición y la era actual del software generado por IA. Cada etapa no solo marca un salto en la forma de crear el software, sino que también conlleva su propio conjunto de implicaciones de seguridad. Vamos a explorarlas en detalle.
Etapa 1: El nacimiento del desarrollo de software
Fase de desarrollo
En los primeros tiempos de la informática, el desarrollo de software era un proceso meticuloso y manual. Los desarrolladores escribían código línea por línea en lenguajes de programación de bajo nivel como ensamblador y, más tarde, en lenguajes de alto nivel como Fortran, COBOL y C/C++. Esta era se caracterizaba por un enfoque práctico en el que el programador tenía que definir explícitamente cada función, algoritmo y estructura de datos. Todo el código se escribía desde cero.
Implicaciones de seguridad
Vulnerabilidades por errores humanos: la codificación manual era muy propensa a errores humanos, que a menudo conducían a errores y vulnerabilidades de seguridad. Errores simples como desbordamientos de búfer o validación de entrada incorrecta podían comprometer la seguridad de todo el sistema.
Falta de prácticas de seguridad estandarizadas: en los inicios del desarrollo de software, había pocos protocolos de seguridad establecidos. Los desarrolladores se centraban más en la funcionalidad que en la protección contra amenazas potenciales, lo que dejaba muchos sistemas iniciales expuestos a vulnerabilidades básicas.
Medidas de seguridad reactivas: las medidas de seguridad eran principalmente reactivas. Se aplicaban parches y correcciones después de descubrir las vulnerabilidades, lo que a menudo significaba que los sistemas quedaban vulnerables durante períodos prolongados.
Preguntas de seguridad:
¿Quién introdujo el error?
¿Cuándo se introdujo el error?
¿Cómo se detectó?
¿Qué se puede hacer para prevenirlo?
Tasa de errores: x1 – los desarrolladores introdujeron errores en el código.
Etapa 2: La era de la composición
Fase de composición
A medida que los sistemas de software se volvieron más complejos, la industria cambió hacia un enfoque compositivo. Esta fase vio el surgimiento de la programación modular, las bibliotecas, los marcos y las API. Los desarrolladores ahora podían aprovechar los componentes y servicios preexistentes para crear aplicaciones de manera más eficiente. Al componer un proyecto, el tiempo de creación disminuye.
Implicaciones de seguridad
Gestión de dependencias: la dependencia de bibliotecas y marcos de terceros introdujo nuevos desafíos de seguridad. Las vulnerabilidades en estas dependencias podían propagarse a las aplicaciones que las usaban, lo que requería una gestión de dependencias sólida y actualizaciones periódicas.
Estandarización de las prácticas de seguridad: con la maduración del desarrollo de software, comenzaron a surgir prácticas de seguridad estandarizadas. Conceptos como pautas de codificación segura, revisiones de código y pruebas de penetración se convirtieron en partes integrales del ciclo de vida del desarrollo.
Herramientas de seguridad mejoradas: la era de la composición también trajo consigo herramientas y prácticas de seguridad avanzadas, como el análisis estático y dinámico, para identificar vulnerabilidades en las primeras etapas del proceso de desarrollo.
Preguntas de seguridad:
¿De dónde provienen los errores: de los desarrolladores o de los componentes de terceros?
¿Se identifican todos los componentes de terceros?
¿Se actualizan todos los componentes de terceros?
¿Qué procesos y herramientas existen para prevenir o mitigar errores?
Tasa de errores: x2 – los errores son introducidos por los desarrolladores y los componentes de terceros.
Etapa 3: La era del software generado por IA
Software generado por IA
Estamos entrando en una era en la que la inteligencia artificial (IA) desempeña un papel importante en la creación de software. Los modelos de IA y aprendizaje automático pueden generar código, sugerir mejoras e incluso desarrollar aplicaciones completas de forma autónoma. Esta evolución está impulsada por los avances en el procesamiento del lenguaje natural (PLN) y la disponibilidad de grandes cantidades de datos de entrenamiento.
El uso de IA para generar código reduce drásticamente los plazos de desarrollo y la cantidad de desarrolladores necesarios. Se avecina una explosión de software creado por personas que no son desarrolladores y el despido de personal técnico.
Implicaciones de seguridad
Detección automatizada de vulnerabilidades: la IA puede mejorar significativamente la seguridad al automatizar la detección y la reparación de vulnerabilidades. Los modelos de aprendizaje automático pueden analizar grandes bases de código e identificar posibles fallas de seguridad mucho más rápido que los desarrolladores humanos.
Amenazas y defensas sofisticadas: a medida que la IA se vuelve más frecuente en el desarrollo de software, también se convierte en una herramienta para los atacantes. Los ataques impulsados por IA pueden adaptarse y evolucionar, lo que hace que las medidas de seguridad tradicionales sean menos efectivas. Sin embargo, la IA también se puede utilizar de manera defensiva para predecir y contrarrestar estas amenazas sofisticadas.
Preocupaciones éticas y de cumplimiento: el software generado por IA plantea preguntas sobre la responsabilidad y el cumplimiento. Es fundamental garantizar que los sistemas de IA cumplan con los estándares éticos y los requisitos regulatorios. Además, existe la necesidad de transparencia en la forma en que los modelos de IA toman decisiones para evitar introducir sesgos o vulnerabilidades involuntarias.
Preguntas de seguridad:
¿De dónde provienen los errores: desarrolladores, componentes de terceros o IA?
¿Cómo se protege el código propietario cuando se trabaja con IA? Enviar código propietario a la IA puede ser una violación de la privacidad de la empresa.
¿Quién es responsable de un error de seguridad?
¿Puede una empresa culpar a un código emitido por IA?
¿Los procesos y las herramientas abordan todos los orígenes del código: desarrolladores, componentes de terceros e IA?
Tasa de errores: x3 – en esta etapa, los desarrolladores, los componentes de terceros y el código emitido por IA pueden introducir errores.
Conclusión
La evolución del desarrollo de software desde la codificación manual hasta las soluciones generadas por IA ha transformado drásticamente la industria. Cada etapa ha introducido nuevas eficiencias y capacidades, pero también ha generado distintos desafíos de seguridad. A medida que continuamos adoptando la IA en la creación de software, es imperativo adoptar prácticas de seguridad sólidas que evolucionen junto con los avances tecnológicos. Al hacerlo, podemos aprovechar todo el potencial de la IA al mismo tiempo que nos protegemos contra las amenazas emergentes y garantizamos la integridad y la seguridad de nuestros sistemas de software.
Al reflexionar sobre mi viaje a través de estas etapas, me entusiasma el futuro del desarrollo de software y las posibilidades que trae la IA. Pero debemos permanecer atentos y proactivos para abordar los nuevos desafíos de seguridad que vienen con ella, la AppSec está evolucionando.
Descargo de responsabilidad: todo lo aquí descrito es pura imaginación y cualquier parecido con la realidad es coincidencia. El autor no se hace responsable de las consecuencias de cualquier acción realizada en base a la información proporcionada en el artículo.
El Foro de Davos organizado por el Foro Económico Mundial (FEM) es el evento económico del año que congrega a miles de personas de todo el mundo desde políticos a conocidos empresarios en el pueblo de Davos, Suiza.
En Davos se reúnen miles de personas desde personalidades políticas, negocios y todo el personal de apoyo, administrativo y seguridad. Definimos como objetivos primarios políticos (presidentes, ministros y similares) y empresarios relevantes (presidentes y consejeros delegados); y objetivos secundarios el personal de apoyo, que comprometiendo su seguridad permite la vigilancia o explotación de objetivos primarios.
Durante el Foro de Davos, la seguridad del pueblo se blinda entre policías, militares y personal de seguridad, se establecen diferentes anillos de seguridad, control de accesos, permisos especiales para los vehículos, sistemas anti-drones, etc.
Para este ejercicio asumiremos que un Estado-Nación despliega una unidad de ciber operativos y agentes de campo en Davos para realizar operaciones ofensivas como espiar, instalar implantes u otras actividades subversivas.
Esta operación esta dividida en diferentes fases: preparativos antes del foro, acciones durante el foro y acciones post foro. Las acciones post foro estarían relacionados con persistencia, mando y control de los objetivos y exfiltración de información que en este post no vamos a comentar. Por lo tanto, nos vamos a centrar en las fases de antes y durante el foro.
Preparativos antes del foro
Los preparativos anteriores a la campaña ofensiva durante Davos incluirían por lo menos los siguientes puntos:
Selección de objetivos: Previamente hemos definido entre objetivos primarios y secundarios, en este punto vamos a enfocarnos en los primarios únicamente. Los políticos y empresarios suelen llevar smartphones de alta gama, principalmente iPhone último modelo o un modelo anterior. Los ciber operativos harán uso de técnicas OSINT para buscar imágenes o videos que sirvan para identificar el modelo de smartphone. También pueden buscar documentación publica sobre la adquisición de dispositivos como por ejemplo hizo el congreso español en 2023 con la compra de iPhones 13 para todos los diputados.
Identificación de dispositivos RF: Mediante el uso de portales como Wigle y similares los ciber operativos pueden obtener nombres de puntos de acceso WIFI, dispositivos Bluetooth y torres de telefonía móvil en la zona geográfica. Esta información es realmente útil para planificar ataques RF, también conocidos como ataques de proximidad, que generalmente son desconocidos e infravalorados por las organizaciones.
Identificación y hackeo de CCTV: Utilizando portales como Shodan y similares los ciber operativos pueden buscar cámaras en Davos para comprometer su seguridad y utilizarlas para tareas de vigilancia y seguimiento. En las siguientes imágenes apreciamos unos Shodan, también conocido como Google Hacking, para buscar cámaras en Internet y en el portal web Hacked.camara tenemos cámaras hackeadas en la zona de Davos.
Desarrollo y/o compra de Exploits: Los exploits son ciberarmas que los ciber operativos van a utilizar para comprometer los dispositivos de los objetivos. Seguramente serán necesarios exploits de vulnerabilidades de día cero (vulnerabilidades no conocidas por los fabricantes y sin parches) para sistemas como Windows, MacOS, iPhone (iOS) y Android. Este tipo de exploits son realmente caros (desde cientos de miles hasta millones de euros) y hoy en día suelen ser necesarios tener varios para conseguir comprometer la seguridad de un dispositivo y poder saltarse todos los niveles de seguridad. Para hacernos una idea del coste y complejidad recomiendo la lectura sobre la Operación Triangulación, una campaña reciente contra un conocido fabricante de ciberseguridad en que se comprometieron algunos de sus smartphones iPhones utilizando varios exploits de día cero.
Desarrollo de Implantes: Una vez conseguido el acceso, es necesario desplegar implantes en los sistemas comprometidos para controlarlos y exfiltrar información. Igual que en los exploits, los ciber operativos deben tener implantes para los diferentes sistemas Windows, MacOS, iPhone (iOS) y Android. Estos implantes se pueden desarrollar o comprar en el mercado y la realidad es que muchas veces no tienen que ser nada sofisticados para conseguir buenos resultados. Un ejemplo real es el uso del spyware Pegasus para espiar a políticos en Europa.
Equipamiento: Los ciber operativos tendrán que llevar todo el equipamiento software y hardware que puedan necesitar como: ordenadores portátiles, puntos de acceso WIFI, herramientas de “Lock Picking”, antenas, drones, adaptadores WIFI y Bluetooth, hardware ofensivo (ver mi artículo al respecto para hacerse una idea), cámaras, micrófonos, y un largo etcétera.
Imagen: Dispositivos vistos en Davos en el portal Wigle
Imagen: Google Dorks
Imagen: Cámaras hackeadas en Davos
Una buena preparación es realmente crucial para que los ciberataques durante Davos resulten exitosos.
Durante el foro
Durante los días que dura el Foro de Davos, los ciber operativos pueden ejecutar una amplia gama de ciberataques para conseguir sus objetivos. A continuación, veremos posibles ataques y con ejemplos reales cuando sea posible.
Despliegue de torres telefónicas falsas para interceptar el tráfico y/o enviar exploits a los teléfonos móviles. Estos dispositivos también son conocidos como “IMSI-catcher”. Los ciber operativos podrían desplegar estos dispositivos antes del evento, pero por su seguridad operacional (OPSEC) deciden utilizar este ataque durante el evento. Un caso real fue la detección de torres falsas de telefonía alrededor de la Casa Blanca en los EE. UU.
Ingeniería social: este viejo y conocido ataque sigue funcionando, aunque se ha modernizado con el uso de correo electrónicos, SMS y mensajería instantánea. Sin ninguna duda, operativos femeninos en Davos podrían conseguir una gran cantidad de información valiosa o acceso a los dispositivos electrónicos de los objetivos que les permita instalar un implante. Caso real es el uso de espías rusos femeninos para infiltrase en OTAN.
Ataque de caída de USB (“USB Drop attack”): consiste en dejar USB tirados por el suelo o en algún lugar visible como una mesa y que contienen malware. Cuando son encontrados y alguien los inserta en un ordenador para ver que ahí dentro, explotando la curiosidad humana, y quizás devolverlo a su dueño es infectado por el malware y ahora los ciber operativos controlan el dispositivo. Un conocido y simple lenguaje de programación ofensivo es el DuckyScript, soportado por multitud de dispositivos ofensivos, y que permite crear script con payloads para Windows, MacOS, Linux, iPhone (iOS) y Android. Recomiendo el repositorio de payloads disponible para entender sus capacidades. La siguiente imagen es un conocido script para robar contraseñas en Windows en cuestión de segundos utilizando un USB Rubber Ducky, un conocido dispositivo ofensivo.
Ataques WIFI: otro conocido ataque es atacar los puntos de acceso WIFI o crear puntos WIFI malicioso. Existen una gran cantidad de dispositivos ofensivos como el popular WIFI Pineapple aunque un ordenador portátil, una tarjeta wifi y una buena antena son suficientes. Un caso real es el uso de drones equipados con dispositivos ofensivos como el WIFI Pineapple y que permite aterrizar en una azotea para lanzar ataques WIFI, como sucedió en EE.UU. a una empresa financiera. Los ciber operativos también pueden pasear por la zona de Davos con dispositivos ofensivos encubiertos que les permitan romper las redes WIFI de forma automática o capturar los “handshakes” de las conexiones WIFI, con el fin de romperlos y conseguir acceso. Todos los puntos de acceso y clientes WIFI son susceptibles de ataques.
Ataques Bluetooth: los ataques Bluetooth están en auge, aunque requieren de proximidad pueden ser devastadores ya que en algunos casos permiten el control del dispositivo víctima, y lo mejor de todo es que son infravalorados por la mayoría de las organizaciones. Existen muchos ataques disponibles pero dos ataques que los ciber operativos podrían utilizar para comprometer la seguridad de los dispositivos es BlueBorne y recientemente se ha publicado un nuevo ataque al protocolo Bluetooth afectando a Android, MacOS, iPhone (iOS) y Linux que conecta un teclado falso sin que el usuario lo apruebe. Hoy en día billones de dispositivos siguen siendo vulnerables a estos ataques.
Imagen: DuckyScript
A pesar de las altas medidas de seguridad durante el Foro de Davos, es sin duda un objetivo muy interesante para un Estado-Nación que se lo proponga con tantos políticos y empresarios concentrados en el mismo lugar.
Como hemos visto a lo largo del articulo la posibilidad de operaciones ofensivas en Davos es una realidad y se deben tomar todas las medidas de seguridad físicas y digitales necesarias.
Déjame tu comentario sobre el artículo, por favor y ¿qué temas te gustaría que profundizara más?
