Defensa

El Mando del Ciberespacio experimenta para encontrar vulnerabilidades en los móviles militares

Generó un código malicioso para atacar diferentes modelos de teléfonos de las Fuerzas Armadas, con el objetivo de detectar debilidades por el uso “poco cuidadoso”

Mando Conjunto del Ciberespacio.
photo_camera Mando Conjunto del Ciberespacio.

La ciberseguridad se ha convertido en una preocupación permanente en las instituciones públicas. Los casos que se han revelado en los últimos años sobre espionaje mediante programas como ‘Pegasus’ han renovado la alerta por la posibilidad de que el uso de tecnologías suponga un coladero de información.

En las Fuerzas Armadas la concienciación frente a esta amenaza es especialmente elevada, ya desde antes del caso ‘Pegasus’. Los militares, incluidos los altos mandos, reciben con frecuencia alertas e instrucciones, incluso hay carteles en los pasillos de sus edificios, con consignas para tener mucho cuidado con posibles intrusiones en el teléfono móvil o en el ordenador.

En este ámbito juegan un papel destacado dos organismos. El Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) entrega los teléfonos móviles corporativos que se entregan en las Fuerzas Armadas, y el Mando Conjunto del Ciberespacio (MCCE) realiza “las acciones necesarias para garantizar la supervivencia de los elementos físicos, lógicos y virtuales críticos para la Defensa y las Fuerzas Armadas”.

Este último, el Mando del Ciberespacio, diseñó un experimento para poner a prueba las vulnerabilidades que ofrecen los teléfonos móviles corporativos que usan los militares ante virus y ciberataques.

Teléfonos móviles corporativos

El proyecto de investigación lo cuenta el comandante del Cuerpo de Ingenieros Politécnicos del Ejército de Tierra Diego Muñiz Rodríguez, en el número 9 del ‘Memorial de Ingenieros Politécnicos’, del pasado mes de septiembre.

En un artículo que lleva por título “Aplicación de la metodología de Gestión de Proyectos para la mejora en la protección de la telefonía móvil corporativa”, da algunas pinceladas de un proyecto consistente en la creación de una plataforma de entrenamiento, integrada en un entorno virtual, que permita la mejora de la ciberseguridad en el campo de la telefonía móvil corporativa.

Falta de precaución por los usuarios

Este comandante del Cuerpo de Ingenieros Politécnicos parte de un fenómeno general en la administración, y que se da también en las Fuerzas Armadas.

Indica que “la tendencia habitual del personal cuando dispone de este tipo de terminales [entregados por el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones, y por tanto “seguros”, en teoría] es, al menos en un inicio tratarlo con especial precaución. Los primeros días, por supuesto, nadie instala aplicaciones, se tiene sumo cuidado con los sitios web por los que se navega y sólo se asocia al teléfono el correo corporativo”.

El problema es que “conforme van pasando los días ese uso del terminal móvil se empieza a descuidar. Paulatinamente, se pierde el miedo a instalar diferentes aplicaciones, comenzando por las más sencillas o aparentemente inofensivas, pero sin prestar atención a su firma o creador”.

Con estos descuidos, “el usuario pronto equipara el uso del terminal corporativo al particular, exponiéndolo a las mismas amenazas, sin considerar que la instalación de una aplicación (app) fraudulenta puede poner en peligro la seguridad de la información asociada, de cualquier manera, a dicho terminal móvil”.

Ante estos riesgos, “se hace evidente la necesidad de mitigar los riesgos derivados de un uso poco responsable y seguro de los terminales”, indica este comandante. Por ello, añade, nació la idea de crear y desarrollar una plataforma de entrenamiento en el entorno virtual (Cyberange), del Mando Conjunto del Ciberespacio.

En esta plataforma de entrenamiento se pueden simular diferentes versiones de móviles corporativos de las Fuerzas Armadas. Se replican sus respectivos sistemas operativos, funcionalidades y comportamientos, para así poder estudiar las vulnerabilidades asociadas al uso de esos móviles corporativos por parte de los usuarios, sin tener que utilizar teléfonos físicos.

 

“De esta manera, caracterizando y entendiendo estas vulnerabilidades, se facilita la labor de concienciación de las posibles consecuencias de un uso no seguro de estos terminales”, destaca el autor del artículo.

Móviles Android

Con esos “gemelos digitales”, sistemas replicados en una plataforma informática, se pueden llevar a cabo experimentos, ejercicios y pruebas cuyos resultados se aplican después a los aparatos físicos.

En el Cyberange, considerado como un “campo de maniobras virtual”, el Mando Conjunto del Ciberespacio dispone de varias versiones de teléfonos móviles corporativos, con sistema operativo Android, ya que “prácticamente la totalidad de los móviles corporativos disponen de un sistema operativo Android que, al igual que otros, tiene diversas vulnerabilidades. No existe un sistema operativo infalible sin brechas de seguridad”.

Repasa las seis amenazas más habituales contra teléfonos móviles:

-- Ramsomware, programas diseñados para secuestrar el contenido del terminal móvil a través de la instalación de una aplicación (app) maliciosa que exige el pago de cierta cantidad de dinero para poder recuperar el funcionamiento normal del terminal.

-- Adware, por el que se ejecutan constantemente anuncios de publicidad en segundo plano.

-- Troyanos, que habilitan un acceso remoto a otro usuario a través de lo que se conoce como una “puerta trasera”.

-- Keyloggers, que registran las distintas combinaciones de teclas que se pulsan en el terminal, para robar contraseñas de correos y de cuentas bancarias.

-- Troyanos Bancarios: imitan la aplicación de una sucursal bancaria, para lograr acceso a las credenciales de acceso al banco que emula.

-- Spyware: intenta mantenerse oculto a la par que registra información del dispositivo y sigue sus actividades en línea. Puede supervisar y copiar todo lo que se escribe, se descarga, se carga o se almacena. Algunos son capaces de activar micrófonos o cámara en segundo plano.

Fuga de información

Para este experimento, el Mando Conjunto del Ciberespacio decidió desarrollar inicialmente un virus de tipo “spyware”. En esta categoría encajaría, precisamente, ‘Pegasus’.

“Las amenazas no son pocas y se centran principalmente en la obtención clandestina de datos”, indica el comandante Muñiz. En este caso, “debido a la sensibilidad de estos datos y su potencial atractivo para los atacantes, el proyecto se focalizó en la fuga de información ocasionada por accesos no autorizados”.

Código malicioso

Para diseñar el proyecto, se tuvieron en cuenta “diferentes mensajes internos” generados en el Mando Conjunto del Ciberespacio, que exponían vulnerabilidades asociadas al uso de la telefonía móvil.

Se redactó un acta de constitución del proyecto, que contemplaba como primer paso “generar un código malicioso para el hackeo de dispositivos móviles”.

Del desarrollo del código malicioso y de la virtualización de los móviles en la plataforma Cyberange se encargaron tres expertos del Grupo de Plataformas y Simulación del Mando Conjunto Conjunto del Ciberespacio.

En segundo lugar, “una vez generado el código, este se ejecutará contra diferentes versiones de máquinas virtuales que emulen dispositivos móviles de telefonía”, en el “campo de maniobras virtual” Cyberange.

La idea era buscar vulnerabilidades en los dispositivos, “lo que permitirá encontrar aquellas debilidades asociadas al desarrollo del software y al uso poco cuidadoso de algunos usuarios”.

Cuando se encontraran las vulnerabilidades en los modelos de teléfono móvil que se entrega a determinados militares de las Fuerzas Armadas, según su responsabilidad, se trataría de “encontrar una solución, bien tecnológica o bien de procedimiento, que evite el hackeo”.

Charlas para concienciar

Un miembro del Grupo de Respuesta de la Fuerza de Operaciones en el Ciberespacio se encargó de generar una respuesta tecnológica para hacer frente al código malicioso.

Pero la solución era más compleja: junto a la “vacuna” frente al virus, se decidió apostar por alertar de los peligros de este tipo de ciberataques.

Así que se apostó por la “concienciación del personal” de las Fuerzas Armadas, “a través de charlas o seminarios en los que se mostraran las consecuencias del hackeo realizado en el Cyberange”.

Durante el desarrollo del proyecto, se tomaron medidas para evitar que este experimento tuviera efectos indeseados: que el código maliciosos generado para realizar pruebas con los móviles “se escapara” de su ámbito, por un fallo, por mala praxis o por un “acceso malintencionado” a la plataforma virtual.

La medida más contundente fue prohibir a los implicados en el proyecto trabajar con el mismo con ordenadores que se encontraran fuera de las instalaciones del Mando Conjunto del Ciberespacio, que tiene sus oficinas en el base de Retamares, en Pozuelo de Alarcón (Madrid).

Redada en Alemania
                               

Policía de Alemania detiene a un grupo ultraderechista
sospechoso de dar un golpe de Estado
Comentarios
Somos ECD
¿Buscas un medio de información libre, que no se casa con nadie?