Metodología para el análisis de incidentes de ciberseguridad o ciberataques durante las accio-

nes de ciberdefensa de las infraestructuras críticas de la defensa nacional – infoscopia –

Director de Proyecto: Julio C. Liporacea Adrián Buscagliaa Pablo Crocia
jcliporace@est.iue.edu.ar abuscaglia@est.iue.edu.ar pcroci@est.iue.edu.ar
Nicolás Díaz Paisa Darío Fernándeza Verónica Ferreyrac Ignacio Martín Gallardoab
ndiazpais@est.iue.edu.ar dfernandez@est.iue.edu.ar vferreyra@fuerzas-armadas.mil.ar igallardo@est.iue.edu.ar
Elvira Quirogaab Fernando Vera Batistaa César D. Cicerchiaa
equiroga@est.iue.edu.ar verabatista@est.iue.edu.ar cdcicerchia@est.iue.edu.ar
a. Facultad de Ingeniería del Ejército (FIE), Ejército Argentino – Universidad de la Defensa
Nacional
b. Centro de Investigación y Desarrollo de Sistemas Operacionales (CIDESO), Dirección General
de Investigación y Desarrollo (DIGID) - Ejército Argentino
c. Comando Conjunto de Ciberdefensa (CCCD), Estado Mayor Conjunto de las Fuerzas Armadas

RESUMEN Team (CSIRT) o Centro de Operaciones de Ci-

El desarrollo actual de la Ciberseguridad y la berdefensa, encargados de la protección de las
Ciberdefensa está apoyado en el empleo de ICSDN.
procedimientos reactivos de detección, mitiga- Palabras Clave: Informática Forense. Infor-
ción y remediación, que se aplican cuando el matoscopia. Ciberseguridad. Ciberdefensa.
efecto de la agresión sobre una Infraestructura
Ciberataque. Infraestructura Crítica.
Crítica del Sistema de Defensa Nacional
(ICSDN) ya ocurrió. Se ha adoptado un enfo-
que derivado de las normativas de Seguridad CONTEXTO
de la Información, como las formuladas por el La reciente Directiva de Política de Defensa
estándar internacional ISO/IEC 27000. El Nacional 1 destaca que, en la atención del
aporte original de esta línea de investigación se riesgo de “Ataques externos a objetivos estra-
basa en proponer una nueva metodología de tégicos”, el Sistema de Defensa Nacional debe
Ciberdefensa, desarrollando un abordaje focalizarse en “aquellas infraestructuras cuyo
proactivo hacia las amenazas antes que éstas funcionamiento resulte crítico para el cumpli-
comprometan la infraestructura crítica, a fin de miento de las funciones vitales del Estado Na-
sorprender al agresor mediante una defensa di- cional, su Defensa Nacional, el ejercicio de la
námica y reducir sus posibilidades de éxito. soberanía y el resguardo de la vida y la libertad
de sus habitantes.”
Las líneas de investigación de InFoscopia tie-
nen como alcance desarrollar una metodología El Ejército Argentino (EA), desde hace veinte
proactiva de análisis de eventos que ocurren años patrocina la construcción de su propio sis-
antes de que el objetivo cibernético haya sido tema de comando y control (SC2) para sus bri-
comprometido. Se enfocará en las ICSDN es- gadas. Los SC2 son de naturaleza socio – téc-
tratégicas (servicios esenciales de energía, nica y complejos en su concepción y diseño
transporte, financieros, comunicaciones e in- (Clay, 2007). Por sus características y su fina-
formática, alimentos, agua, químicos, nuclear lidad de empleo, constituyen una ICSDN
o espacial) y de capacidades militares. (Dean, 2013). Por otra parte, el EA ha propor-
cionado los recursos humanos formados como
Contribuirá al desarrollo de procedimientos
proactivos por parte de los grupos de respuesta
del tipo Computer Security Incident Response

1 Decreto 703/2018. DECTO-2018-703-APN-PTE - Di- https://www.boletinoficial.gob.ar/pdf/pdfAnexoPri-

rectiva de Política de Defensa Nacional. Aprobación. mera/5568234A01.pdf/20180731/0
Ingenieros Militares o en Sistemas de Compu- Forense (UNIF). Esta red constituye un apoyo
tación, para la creación y constitución del Co- fundamental para el Grupo de Investigación.
mando Conjunto de Ciberdefensa2.
En base a estos antecedentes, el grupo de tra-
1. INTRODUCCIÓN
bajo del proyecto InFoscopia es responsable de Las Infraestructuras Críticas del Sistema de
abordar esta línea de investigación. Para su or- Defensa Nacional (ICSDN) constituyen recur-
ganización ha recibido el aporte de conoci- sos diversos y complejos, aunque en la actua-
miento de docentes y graduados de la Especia- lidad todas tienen uno o más componentes de
lización en Criptografía y Seguridad TIC (Edwards, 2014). Desde la perspectiva
Teleinformática y de Ingeniería en Informá- del Estado, se debe considerar una infraestruc-
tica, ambas carreras de la misma unidad acadé- tura como aquel conjunto de medios técnicos,
mica. Asimismo, los docentes son investigado-
servicios e instalaciones necesarios para el
res categorizados con trayectoria en otros
desarrollo de las actividades básicas de la so-
proyectos de investigación de la FIE o docen- ciedad. En este sentido, la mayoría de esas ac-
tes con experiencia en investigación aplicada tividades proveen servicios esenciales de ca-
al desarrollo tecnológico precompetitivo de rácter estratégico a la sociedad, al gobierno y a
sistemas militares. los habitantes en su conjunto, tanto sean pres-
InFoscopia es un proyecto acreditado por el tados por organizaciones de gestión pública
Programa de Acreditación y Financiamiento como privada (Baggett & Simpkins, 2018).
de Proyectos UNDEFI, convocado mediante La interrupción o perturbación severa de su
Resolución Rectoral 154/18 de la Universidad funcionamiento, ocasionaría graves efectos so-
de la Defensa Nacional (UNDEF). El financia- bre el normal desarrollo de las actividades bá-
miento del proyecto está sustentado por parte sicas de la sociedad; por tal motivo deben ser
de la FIE, mediante la asignación de cargos y consideradas infraestructuras críticas y su de-
horas de investigación de los docentes inte- fensa, aún en tiempo de paz, es un deber fun-
grantes del grupo de trabajo, y de la UNDEF, damental del Estado. La componente TIC de
por medio de un subsidio UNDEFI que se re- cualquier ICSDN puede ser afectada desde el
nueva anualmente. Ciberespacio, con un elevado y creciente
riesgo que debe ser analizado y prevenido
Durante las actividades de investigación se in-
frente a un número importante de amenazas ci-
tercambiarán conocimientos y experiencias
con los siguientes grupos de investigación: bernéticas, cuyo comportamiento es dinámico,
Grupo de Investigación del CriptoLAB de la cambiante y de difícil predicción (Johnson,
FIE / UNDEF; Grupo de Investigación Siste- 2015).
mas Operativos e Informática Forense de la Las amenazas cibernéticas progresan en su ac-
ción ofensiva, evolucionando entre las siguien-
Facultad de Ingeniería de la Universidad
FASTA (sede Mar del Plata). tes etapas (The Mitre Corporation, 2018):
 Exploración o Reconocimiento inicial.
Por su parte, La Facultad de Ingeniería del  Adquisición intrusiva de servicios o pro-
Ejército, así como la Facultad de Ingeniería de cesos computacionales de la infraestruc-
la Universidad FASTA son miembros funda- tura / Desarrollo de herramientas acordes
dores de la Red Universitaria de Informática a la debilidad a ser explotada.

2http://www.fuerzas-armadas.mil.ar/Dependencias-
CIBDEF.aspx
 Entrega o distribución efecto de la agresión llegue a su punto culmi-
 Compromiso Inicial. nante (Colbaugh & Glass, 2011).
 Uso indebido / Escalamiento de Privile- La explotación del análisis forense digital y su
gios. capacidad de extraer muestras o pruebas de las
 Reconocimiento interno. computadoras, equipos móviles y otros dispo-
 Movimiento lateral. sitivos es fundamental para descubrir e inter-
 Establecimiento de la persistencia (conso- pretar datos electrónicos.
lidación). Un componente de soporte al desarrollo de la
 Ejecución de la Misión o cumplimientos metodología es la “línea de tiempo” que per-
mite mostrar quién hizo, qué y cuándo, de ma-
de Objetivos.
nera de poder afirmar de forma concluyente
 Exfiltración.
que la Acción A causó el Resultado B
El conocimiento tecnológico que proporciona
(Amusategui López, 2016).
la Informática Forense, la Informatoscopia y
su apoyo en las Ciencias de la Computación
2. LÍNEAS DE INVESTIGACIÓN Y
tiene su campo de aplicación en la Justicia
DESARROLLO
(Consejo General del Poder Judicial (CGPJ) et
Se identifican dos líneas principales de inves-
al., 1996). Esta capacidad se sustenta en el em-
tigación de interés para InFoscopia; a saber:
pleo de técnicas científicas y analíticas espe-
cializadas sobre la infraestructura tecnológica  Análisis de amenazas cibernéticas y de
y se desarrolla con la finalidad de identificar, tendencias de ciberagresiones a infraes-
preservar, analizar y presentar datos que sean tructuras críticas estratégicas, para mode-
válidos dentro de un proceso legal, en el marco lar el comportamiento de agresores ciber-
de un delito informático que es objeto de in- néticos que puedan afectar, especialmente,
vestigación judicial. Es decir que estas disci- la disponibilidad 3 de las infraestructuras
plinas actúan ex post, luego de ocurrido un de- críticas.
lito (Domínguez, 2013).  Métodos de análisis forense digital en me-
En la Ciberdefensa tienen prioridad la mitiga- moria, de ingeniería inversa de software y
ción, contención o respuesta inmediata para de análisis de malware, que puedan exten-
detener los efectos de una ciberagresión o ci- derse o aplicarse para estudiar procesos
berataque, manteniendo el objetivo de la reco- “vivos” en dispositivos de datos, red, se-
lección de evidencias de la vulneración de los guridad informática o soporte. Se conside-
sistemas y preservar las pruebas, pero deján- ran de interés para elaborar un conjunto de
dolo en segundo orden de prioridad Indicadores de Amenaza (Indicators of
(Intelligence and National Security Alliance Threat - IoTh), por analogía a los Indica-
(INSA), 2018). Sin embargo, los métodos y he- dores de Compromiso (Indicators of Com-
rramientas de la Informática Forense pueden promise - IoC).
resultar de utilidad para apoyar el proceso de Para este proyecto, la primera línea de investi-
gestión de incidentes de Ciberseguridad y Ci- gación resulta de interés para el modelado del
berdefensa, pero bajo otra metodología enfo- comportamiento del agresor cibernético, espe-
cada en una acción proactiva, antes que el cialmente en las etapas previas del ciberataque

3
Availability, adoptada por el estándar internacional
ISO/IEC 27000. Se refiere a la “propiedad de la infor-
mación [o de un sistema] de estar accesible y utilizable
cuando lo requiera una entidad autorizada”.
(exploración o reconocimiento inicial, adquisi-  Detectar cómo y cuándo ocurrió una vio-
ción intrusiva de servicios o procesos compu- lación de la protección de una ICSDN.
tacionales de la infraestructura, desarrollo de  Identificar los activos esenciales o siste-
herramientas ofensivas acordes a la debilidad a mas comprometidos y afectados.
ser explotada) y en momento inicial del asalto  Determinar qué atacantes tomaron o cam-
a la infraestructura, cuando empieza la entrega biaron procesos.
o distribución de una ciberarma (malware, tra-  Contener y remediar los incidentes que se
mas anómalas de datos, etc). configuren.
La segunda línea de investigación tiene interés,  Desarrollar indicadores y fuentes clave de
entre otros puntos, sobre los métodos de reco- inteligencia de amenazas.
lección de información disponibles para archi-  Buscar violaciones adicionales usando el
vos dependientes de la memoria RAM, como conocimiento de las tácticas, técnicas y
ser la RAM propiamente dicha y el archivo de procedimientos del agresor.
paginación de los sistemas operativos. Tam- Con respecto a la primera línea, se ha comen-
bién, el análisis de artefactos o piezas de soft- zado por adoptar como referencia el marco de
ware en tiempo de ejecución, los procesos trabajo MITRE's Adversarial Tactics, Techni-
desatados por el malware o software dañino y ques, and Common Knowledge (ATT&CK),
el análisis de tráfico en la red, desde y hacia el desarrollada y mantenida por la organización
activo comprometido. Se pretende analizar y estadounidense The Mitre Corporation. Se
comprender eventos en tiempo de ejecución trata de una base de conocimiento accesible a
para clasificarlos como normales o anómalos nivel mundial, sobre tácticas, técnicas y proce-
con un grado de confianza aceptable. dimientos que utilizan los agresores cibernéti-
El proyecto tiene previsto tres etapas: cos.
 Formulación metodológica para activos
bajo entornos Windows en redes Ether- Entre los primeros resultados de la segunda lí-
net proponiendo indicadores de amena- nea de investigación, por medio del empleo de
zas a la disponibilidad. Se validará con varias herramientas forenses de análisis de me-
pruebas de concepto. moria de computadoras con arquitectura Von
 Ampliación de la metodología para am- Neumann, se logró validar la técnica de obten-
bientes heterogéneos con dispositivos ción de datos residentes en memoria para el
Linux y medios de redes y seguridad par- análisis de cadenas de caracteres presentes en
ticulares de infraestructuras críticas. Se tiempo de ejecución. Como continuación de
desarrollará un prototipo experimental. este trabajo, mediante la utilización de la he-
rramienta Sysmon (de la suite Sysinternals de
 Se completará con la experimentación y
Microsoft) se pretende estudiar el comporta-
selección de parámetros definitivos de
miento de los activos bajo condiciones norma-
los indicadores de amenazas definidos.
les de operación y compararlos con los efectos
de eventos asociados a la fase previa de los ci-
3. RESULTADOS
berataques. La finalidad es obtener informa-
OBTENIDOS/ESPERADOS
ción detallada sobre las creaciones de proce-
El principal resultado esperado es desarrollar
sos, conexiones de red y cambios en el tiempo
una metodología propia de análisis de eventos
de creación de archivos. Al recopilar los even-
o incidentes aplicable a las fases iniciales de
tos que se generan, se podrá realizar el análisis
una ciberagresión o ciberataque que pudiera
en vivo de los Logs para identificar actividades
ocurrir en uno o más activos esenciales de una
anómalas y comprender cómo operan los intru-
ICSDN, con la finalidad de dar respuesta a los
siguientes propósitos:
sos y el malware en la red de una infraestruc-
tura crítica, de manera de encontrar posibles
5. BIBLIOGRAFÍA
Indicadores de Amenazas (IoTh) en un mo- Amusategui López, J. M. (22 de Dic de 2016).
mento previo al compromiso de la disponibili- Universitat Oberta de Catalunya. Obtenido
dad del activo (weaponization en el framework de
PRE-ATTACK de Mitre). http://openaccess.uoc.edu/webapps/o2/bitstr
eam/10609/60765/6/jamusateguiTFM1216
memoria.pdf
4. FORMACIÓN DE RECURSOS Baggett, R. K., & Simpkins, B. K. (2018).
HUMANOS Homeland Security and Critical
El Grupo de Investigación tiene conocimientos Infrastructure Protection, 2nd Edition.
y experiencia sobre Informática Forense, Ci- Santa Barbara, California. USA: Praeger
berseguridad, Ciberdefensa, Redes de Infor- Security International.
mación, Sistemas Operativos, Sistemas de Clay, W. (2007). Network Centric Operations:
Control, Sistemas Electrónicos, Ingeniería de Background and Oversight Issues for
Software y Programación. Congress. CRS Report for Congress.
Colbaugh, R., & Glass, K. (15 de Ago de 2011).
La estructura del equipo de trabajo está confor-
IEEE Xplore Digital Library. (P. o.
mada por dos docentes e investigadores del Informatics, Ed.)
posgrado de Especialización en Criptografía y doi:10.1109/ISI.2011.5984062
Seguridad Teleinformática, tres docentes e in-
Consejo General del Poder Judicial (CGPJ) et al. (31
vestigadores de Ingeniería en Informática. de Dic de 1996). CITA.ES. Obtenido de
Además, un tecnólogo posgraduado en la espe- http://cita.es/apedanica/INFORMAT.HTM
cialización mencionada, con dos tesis de pos-
Dean, S. E. (2013). Cyber Defense: Securing
grado aprobadas, vinculadas al proyecto; ac- Military Systems and Critical Civilian
tualmente, realiza el Doctorado en Ciencias Infrastructure from an Electronic 9/11.
Informáticas con tesis afín al proyecto. El Hampton Roads International Security
grupo se completa con dos tecnólogos especia- Quarterly.
lizados en sistemas operativos y redes de Domínguez, F. L. (2013). Introducción a la
computadoras, y un tercer tecnólogo con expe- Informática Forense. Madrid. España: Ra-
riencia en incidentes de ciberseguridad. A par- Ma.
tir de este año, se han incorporado dos alumnos Edwards, M. (2014). Critical Infraestructurre
de la carrera de Ingeniería en Informática y uno Protection. Ankara, Turquía: IOS Pres BV.
de Ingeniería Electrónica que desarrollarán te-
Intelligence and National Security Alliance (INSA).
sinas de grado vinculadas al proyecto. (31 de Ago de 2018). Intelligence and
La formación de recursos humanos es un obje- National Security Alliance. Obtenido de
https://www.insaonline.org/wp-
tivo del proyecto y está reflejado en la consti-
content/uploads/2018/08/INSA-Managing-
tución del grupo, donde se integran los conoci-
Cyber-Attack-Critical-Infrastructure.pdf
mientos de docentes muy experimentados y
jóvenes, alumnos de ingeniería, personal téc- Johnson, T. A. (2015). Cybersecurity: Protecting
Critical Infrastructures from Cyber Attack
nico y tecnólogos de tres laboratorios asocia-
and Cyber Warfare. St.Louis, Missouri.
dos al proyecto (CriptoLab y CIDESO / Ejér- USA: CRC Press.
cito; InFo-Lab / Universidad FASTA). Por
The Mitre Corporation. (22 de Nov de 2018).
último, se previeron otorgar becas de docto-
MITRE ATT&CK. Obtenido de
rado, postgrado y grado e incorporar pasantes https://attack.mitre.org/
en el marco de la Red UNIF.