1

Ciberseguridad: un desafío ante nuevas

generaciones de amenazas informáticas
Juan José Zapico
Profesor: Diego Martín Esteve
Fecha Presentación: 16/07/2013

Abstract-- El objetivo de este trabajo es señalar la
importancia que ha cobrado contar con adecuados esquemas de
seguridad en las organizaciones actuales debido a una nueva
generación de sofisticadas amenazas informáticas para las
cuales las soluciones tradicionales resultan insuficientes. Se hace
una reseña de la evolución de las ciberamenazas, se describen
las características distintivas de las amenazas actuales, se
explica cómo se realizan generalmente los ataques de este estilo,
la importancia geopolítica que pueden tener en la actualidad y
finalmente se mencionan los principales aspectos que deben
tener en cuenta las organizaciones para protegerse hoy en día.
Se concluye que resulta fundamental adoptar un mecanismo de
securización en capas (layered security) y la explotación de
fuentes masivas de información (big data security) para ser
menos vulnerables.
cibercriminales como por organizaciones asistidas por
gobiernos, con diversas motivaciones, donde se mezclan los
motivos monetarios y agendas geopolíticas. Esto crea un
escenario muy complejo de abordar por las organizaciones
para proteger sus activos de información.
En este trabajo se repasa la evolución de las amenazas a
los sistemas informáticos, se describen las características de
las amenazas actuales y se explica cómo se realizan
generalmente los ataques de este estilo, los principales puntos
de compromiso, y qué aspectos deben tener en cuenta las
empresas privadas y las organizaciones gubernamentales para
proteger su información y no ser víctimas en este nuevo
contexto delictivo y conflictivo.

Index Terms— advanced persistent threat (APT), big data III. EVOLUCIÓN DE LAS AMENAZAS INFORMÁTICAS
security, ciberamenaza, ciberataque, ciberguerra,
ciberseguridad, hacking, layered security, malware, seguridad En febrero de 1980 James P. Anderson, a pedido de un
informática. organismo del gobierno de Estados Unidos, redactó uno de los
escritos inaugurales respecto de seguridad informática, un
documento de 56 páginas titulado Computer Security Threat
I. NOMENCLATURA Monitoring and Surveillance donde plantea la importancia de
atender este tema de manera formal y organizada. Anderson
Hacker: Existen múltiples definiciones de hacker, algunas
define términos como amenaza, riesgo, vulnerabilidad, ataque
con connotaciones positivas y otras con connotaciones
y penetración, prácticamente en los mismos términos que se
negativas [1]. No forma parte del alcance de este trabajo
utilizan hoy en día.
analizar las diferencias inherentes a cada acepción del
Por ejemplo, define una amenaza informática de la
término. Por simplicidad, cuando hablemos de hacker aquí, lo
siguiente manera [5]:
haremos como sinónimo de intruso o atacante de un sistema
“Amenaza: la posibilidad de un intento deliberado y no
informático, que es la acepción que más se ha popularizado 1.
autorizado de:
Malware: Es un anglicismo que proviene de la conjunción
a) Acceder a información
de parte de las palabras “malicious software” (software
b) Manipular información
malicioso). Se denomina así a cualquier tipo de software
c) Convertir un sistema en no-confiable o inutilizable”
hostil, intrusivo o molesto [2].
A fines de los años ‘60, durante los ‘70 y hasta principios
Sandbox: En inglés significa caja de arena y es un término
de los ‘80 el antecedente del hacking era el phreaking
que se utiliza para referirse a un entorno de pruebas separado
(palabra derivada de la conjunción de phone y hacking). El
del entorno productivo, a un sistema de aislamiento de
objetivo de los phreakers era realizar llamadas telefónicas de
procesos (por ejemplo, como medida de seguridad), o a una
larga distancia de manera gratuita, mediante la manipulación
máquina virtual que emula el comportamiento de una
de los sistemas de switching telefónicos.
computadora completa [3].
Desde principios de los ‘80 hasta mediados de los ‘90 fue
Spam: Son los mensajes de correo electrónico no
el auge de los virus informáticos, que en algunos casos eran
solicitado, no deseado y de remitente desconocido, que
simplemente fastidiosos, porque no generaban otro daño que
perjudican de alguna manera al receptor [4].
mostrar mensajes al usuario bajo ciertas condiciones. Otros
virus eran dañinos y podían provocar pérdidas de datos. En
II. INTRODUCCIÓN
muchos casos la motivación de los autores de virus era

E L objetivo de este trabajo es señalar la importancia que

ha cobrado contar con adecuados esquemas de seguridad
en las organizaciones actuales debido a una nueva generación
de sofisticadas amenazas informáticas.
Se puede pensar que hoy en día estamos ante una carrera
armamentista virtual, con ciberbatallas libradas tanto por
1
Un interesante ensayo vinculado a la visión positiva del hacker es [6].
intelectual, representaba un desafío a resolver programar las
condiciones de activación, el mecanismo de propagación y
hacerlos funcionar de manera subrepticia 2.
El término virus informático se acuñó en 1984, aunque ya
2
El autor desarrolló dos virus (que no fueron liberados) a mediados de los
‘90, motivado por el desafío intelectual que representaba hacerlo. Las fuentes de
información usadas en esa época fueron principalmente [13], [14] y [15].

existían algunos virus desde hacía una década (el primer virus
fue el Creeper, que atacaba computadoras IBM 360, en 1972)
[7].
Con el auge de los virus también surgen los antivirus,
software destinado a detectar y eliminar infecciones. Para las
primeras generaciones de virus el mecanismo que se utilizaba
para detectar una infección era la búsqueda, dentro de los
archivos de programas, de patrones asociados al código de
cada virus.
Durante los ‘90, la masificación de internet y de la world
wide web provocó la aparición de una nueva generación de
hackers, y se amplió la difusión de muchas técnicas. Entre las
principales motivaciones de los hackers de esa época se
encontraba el interés por romper las protecciones que
imponían al software propietario las grandes empresas.
Con el correr del tiempo surgió una motivación económica
para el desarrollo de virus. Se empezaron a crear con el
objetivo de obtener información de las máquinas infectadas
(cuentas de usuario, números de tarjetas de crédito, números
de seguridad social, etc.) para venderla o utilizarla de manera
ilegítima para obtener dinero. A medida que esta tendencia se
acentuó, se generó un mercado negro que mueve millones de
dólares cada año.
IV. PERFIL DE LOS HACKERS MODERNOS
No todos los atacantes de un sistema informático tienen las
mismas características o poseen los mismos intereses, lo que
hace que sea necesario realizar algún tipo de clasificación
para facilitar el análisis. En el año 2002, en [8] se los dividía
en hackers, espías, terroristas, accionistas activistas
(“corporate raiders”), criminales profesionales, vándalos y
voyeurs.
En el presente el enemigo se ha transformado y
evolucionado. Ya no sólo priman la motivación intelectual, el
interés en obtener un rédito económico o por usar software
ilegalmente burlando las protecciones de las empresas
desarrolladoras.
En la actualidad resulta más práctico clasificar a los
creadores de software malicioso en tres grandes grupos,
teniendo en cuenta la motivación de sus actos [9]:
Cibercriminales: Su principal motivación es el dinero,
es decir, beneficiarse económicamente con sus actos, que
incluyen el robo de números de tarjetas de crédito (a veces en
lotes de millones), de credenciales de redes sociales populares
o cuentas de e-mail. Esa información les puede reportar un
beneficio económico de manera directa, o también pueden
monetizarla vendiendolá en un mercado negro cuyo volumen
se estima en miles de millones de dólares anuales.
Hackers financiados por estados: Representan una de
las tendencias más notables en la última década 3. Se trata de
hackers que son empleados por el gobierno de algún país (no
necesariamente el propio) para violar sistemas informáticos
comerciales o gubernamentales de otros estados, para
alcanzar objetivos políticos.
Hacktivistas: Hacktivismo4 es un neologismo usado
3
Se predice en [16] una tendencia creciente en este aspecto, a medida que
más y más países adopten estrategias y tácticas de ciberguerra.
4
Se predice en [17] que los incidentes efectivos de hacktivismo van a
disminuir debido a mejoras en las defensas ante este tipo de ataques, aunque los
mismos irán aumentando su sofisticación.
2
para denotar el uso de computadoras como medio de protesta
o de promoción de ideales políticos. La actividad de los
hacktivistas está asociada usualmente al uso de técnicas de
hacking para cambiar la información presentada en sitios web
públicos, reemplazando el sitio original con mensajes
vinculados a la causa que quieren divulgar. En otras ocasiones
su actividad se concentra en redireccionar tráfico fuera del
sitio original, o en destruir o robar datos confidenciales de los
mismos. Los dos grupos de hacktivismo más conocidos por el
público general son LulzSec [10] y Anonymous [11].
V. IMPACTO DE LAS NUEVAS TECNOLOGÍAS EN LA SEGURIDAD
INFORMÁTICA
Muchos analistas de seguridad consideran que debería
pensarse la red informática de una organización como una
gran superficie de ataque. Con ese criterio, cuánto más
amplia y geográficamente dispersa se torna, más fácil sería de
penetrar.
La afirmación precedente cobra mayor importancia en el
contexto actual, ya que hoy en día tenemos diversas
tendencias tecnológicas que hacen que la superficie de ataque
de la red se vuelva más amplia:
Las redes sociales: El concepto de social media y su
masividad ha impactado en las necesidades de los
departamentos de tecnología, que deben evaluar y mitigar
nuevos riesgos. En [12] se cita un estudio según el cual los
dispositivos móviles son usados un 50% más frecuentemente
para acceder a redes sociales que para realizar llamadas
telefónicas.
Virtualización: Actualmente casi todas las organizaciones
confían en la virtualización como un mecanismo de soporte a
aplicaciones de misión crítica en los centros de cómputo, pero
ello conlleva nuevos riesgos. Puede ser necesario el uso de
herramientas específicas para monitorear el tráfico de red de
las máquinas virtuales, pues las herramientas que ya se
poseen no tienen la característica de poder inspeccionarlo
adecuadamente. Además hay una tendencia a que las
amenazas se vuelvan virtual aware5, ya que como los
proveedores de soluciones de seguridad informática utilizan
máquinas virtuales para aplicaciones, servidores y sanboxing,
el malware ha comenzado a adaptar sus técnicas en
consecuencia.
Cloud computing: El software como servicio (SaaS,
Software as a Service), forma en la que se denomina a
aplicaciones alojadas en una infraestructura de red (“la
nube”) y que se acceden como un servicio, genera nuevas
preocupaciones para las áreas de sistemas, principalmente
cuando dicha infraestructura no pertenece a la propia
compañía, lo cual es frecuente hoy en día por un tema de
ahorro de costos.
Dispositivos móviles: Otro motivo de preocupación hoy en
día para las áreas de tecnología son los dispositivos móviles,
ya que crece día a día el malware específicamente orientado a
plataformas como iOs y Android, además del avance a nivel
mundial de ambientes laborales donde se promueve el BYOD
(Bring Your Own Device, “traiga su propio dispositivo”).
La superfice de ataque de una organización no sólo es la
5
Es decir, se dan cuenta de que están siendo ejecutadas en una máquina
virtual.

red informática, sino que se consideran otros dos aspectos que
la definen [18]: la superficie definida por el software y la
definida por el factor humano.
Fig. 1. La superficie de ataque de un sistema está constituída por
tres elementos: la superficie de ataque de la red, la superficie de
ataque del software y la superficie de ataque a los seres humanos.
La superficie de ataque del software puede reducirse
mediante testing exhaustivo que verifique la adecuada
implementación de las políticas y normas de seguridad
definidas en la organización.
La superficie de ataque relacionada con los seres humanos
es blanco de los ataques de ingeniería social que veremos más
adelante, y se ha visto incrementada debido a la masividad en
la utilización de redes sociales, incluso en ambientes
corporativos [19], por lo que resulta fundamental una
adecuada capacitación del personal para poder minimizarla.
VI. EL MALWARE MODERNO
Investigaciones recientes muestran que el malware es la
causa de casi el 70% de las pérdidas de datos que sufren las
empresas. Es por ello que en cualquier organización la
seguridad informática debe estar familiarizada con los tipos
más comunes de malware que existen en la actualidad, los
cuales describiremos a continuación [20].
Un gusano (worm) es un programa que se replica a sí
mismo sobre una red, para propagarse. Daña a la red por el
consumo de ancho de banda, pero también podría provocar
ataques laterales que puedan infectar recursos internos o
extraer datos confidenciales. A diferencia de los virus, los
gusanos no se copian a sí mismos al final de otros programas
o archivos.
Un troyano (trojan o trojan horse) aparenta ser una
aplicación de software útil para el usuario, pero tiene el
objetivo último de engañarlo para obtener acceso a su
computadora. Su propagación puede ser por intermedio de
correos electrónicos con spam, actualizaciones de
aplicaciones de social media, o disfrazado como un instalador
pirata de una aplicación o video juego muy conocidos.
Un virus de computadora es código malicioso que puede
variar en su severidad. Se copia sobre otros programas para
diseminarse de una computadora a otra, generando
infecciones en los sistemas por los que pasa. A diferencia de
los gusanos, un virus no puede propagarse sin la intervención
humana.
Spyware se llama al software que de manera encubierta
recolecta información del usuario a través de una conexión a
internet, sin que el usuario lo sepa. La mayoría de las veces
esto se hace con propósitos publicitarios, para entregar
publicidad creada específicamente a la medida de los gustos y
necesidades del usuario, pero a veces este mismo mecanismo
se usa para robar información confidencial, tal como nombres
3
de usuarios, contraseñas y números de tarjetas de crédito. El
spyware se suele instalar como un componente oculto de
programas utilitarios descargados de internet. Una vez
instalado, monitorea la actividad del usuario y envía de
manera encubierta esa información recolectada a alguien más.
Un ataque de inyección de SQL (SQL Injection) vulnera
bases de datos a través de alguna aplicación web. El atacante
envía sentencias SQL a través de los campos de un formulario
web intentando que la aplicación los pase a la base de datos
subyacente. Un ataque usando este mecanismo puede revelar
contenido tal como números de tarjetas de crédito o datos
personales que estén almacenados en la base de datos de la
aplicación.
Un buffer overflow es un ciberataque en el cual el hacker
escribe en un buffer de memoria más datos de los que este
buffer puede contener. Parte de los datos se filtran a la
memoria adyacente, provocando que la aplicación ejecute
código arbitrario con privilegios escalados o que incluso
aborte su ejecución.
Un botnet es una colección de computadoras conectadas a
internet, que han sido comprometidas y en las cuales corre
malware. A cada equipo que pertenece al botnet se lo llama
bot o zombie y al individuo que ejerce control sobre el botnet
se lo suele llamar bot herder o botmaster.
La operación y control de un botnet se hace típicamente
por intermedio de web servers (llamados command-and-
control servers, o CnC servers). Los bots pueden ser usados
para almacenar datos robados, como servidores para realizar
envío de spam o para descargar malware adicional en
computadoras ya infectadas.
El uso más frecuente de los bots, sin embargo, es para
realizar ataques de denegación de servicio (DoS, Denial of
Service). Un ataque de este tipo, como su nombre lo indica,
tiene como objetivo que un equipo deje de proveer los
servicios que estaba brindando (según el escenario puede
lograrse una degradación del servicio, la interrupción del
mismo o hasta una caída total del sistema operativo del host
atacado). Estos ataques son fáciles de realizar (existen
muchas herramientas gratuitas disponibles para realizarlos) y
pueden generar pérdidas económicas importantes por la
interrupción del servicio.
El más común de los tipos de ataques DoS es el llamado
flood6 (inundación), donde se envía información basura al
host atacado a la mayor velocidad que permite el ancho de
banda del atacante, buscando llenar el ancho de banda que
posee el equipo atacado para atender esos pedidos.
VII. ATAQUES DE INGENIERÍA SOCIAL
Los ataques de ingeniería social son muy comunes y
cuando tienen éxito usualmente dan lugar a ciberataques más
amplios y sofisticados, son el punto inicial para ataques a
mayor escala. La ingeniería social es la práctica de conseguir
información confidencial a través de la manipulación de
usuarios legítimos para conseguir que le den al atacante la
información que éste les pide.
Hay diversos tipos de ataque de ingeniería social, lo cual
6
En [28] se describe en detalle este tipo de ataque y se hace una
subclasificación de los mismos (flood, inundación de segmentos SYN, smurf,
nuke y DDoS –DoS distribuídos-).

da lugar a la siguiente taxonomía [21] [22] [23]:
 Phishing
o Spear phishing
o Whaling
o Vishing
o Smishing
 Baiting
Phishing es el intento de obtener información (e
indirectamente dinero) asumiendo la identidad de una
organización confiable en una comunicación de correo
electrónico. Se espera que el usuario haga click en algún link
en apariencia legítimo para redirigirlo a un sitio falso pero
que se percibe igual al verdadero, donde provea sus datos
reales. El phishing puede especializarse en cuatro subtipos:
spear phishing, whaling, vishing y smishing.
El spear phishing (“pesca con arpón”) es phishing que está
dirigido a una o varias personas específicas de una
organización. Usualmente los atacantes han recolectado
previamente información personal de la víctima para
maximizar las chances de éxito.
Los ataques denominados whaling (“caza de ballenas”)
están dirigidos específicamente a altos ejecutivos y otros
objetivos de alto nivel en las organizaciones víctimas.
El vishing (voice phishing) es el phishing realizado
mediante comunicaciones telefónicas en lugar de utilizar
correos electrónicos.
El smishing (SMS phishing) es el mismo concepto de
phishing pero utilizando comunicaciones basadas en SMS
(short message text), los mensajes de texto usados en
comunicaciones de telefonía celular.
La técnica de baiting (“pescar con carnada”) consiste en
dejar tirado un CD-ROM o un pen-drive en un
estacionamiento, un café o algún otro lugar público, con el
objetivo de que la potencial víctima lo encuentre y se vea
tentada de inspeccionar su contenido (para ello se suelen
etiquetar con palabras tales como “información confidencial”,
de modo de despertar la curiosidad de quien lo encuentre).
Cuando la víctima acceda a dicho medio, estará instalando
malware en su computadora.
VIII. LA NUEVA GENERACION DE ATAQUES
Los mecanismos de defensa tradicionales, basados en la
identificación de determinadas cadenas de bytes dentro del
código, están diseñados principalmente para detectar
amenazas conocidas, pero en la actualidad las mayores
amenazas son las desconocidas.
Hay una nueva generación de amenazas que tienen un
grado de sofisticación que las hace difíciles de detectar. Entre
los ciberataques más peligrosos que enfrentan las empresas
hoy en día se deben mencionar los siguientes [24]:
Los ataques de día cero (Zero-day threat) se producen
explotando una vulnerabilidad de una aplicación o sistema
operativo que no es conocida públicamente. Se llaman así
porque el ataque se lanza en el día cero (o antes) de que la
vulnerabilidad tome conocimiento público, a veces incluso
antes de que sea conocida por la empresa que vende la
aplicación. Este tipo de ataque es muy efectivo porque puede
permanecer indetectable por largos períodos de tiempo, y una
vez producido e identificado, aún pueden pasar días hasta que
4
la vulnerabilidad sea corregida o mitigada.
APTs (Advanced Persistent Threats) son ataques muy
sofisticados que describiremos en la sección siguiente.
Las amenazas polimórficas (polymorphic threat) son
ciberataques (tales como virus, troyanos, gusanos o spyware)
que tienen la característica de ser capaces de alterar su forma,
constantemente cambian. De esta manera se vuelven casi
imposibles de detectar para las soluciones de seguridad
basadas en la búsqueda de patrones conocidos en el código.
Las amenazas combinadas (blended threats) son ataques
que mezclan elementos de múltiples tipos de malware,
explotan múltiples vulnerabilidades de aplicaciones y/o
sistemas operativos, poseen múltiples medios de propagación
y múltiples vectores de ataque (distintos objetivos de ataque)
para incrementar la severidad del daño y la velocidad de
contagio. Algunos ejemplos conocidos de amenazas de este
tipo son Nimda [25], CodeRed [26] y Conficker [27].
IX. APTS
Los APTs (Advanced Persistent Threats) son las
7
ciberamenazas más sofisticadas que podemos encontrar hoy
en día. Un APT tiene como objetivo acceder a información
sensitiva, altamente confidencial, usando técnicas de
inteligencia y relevamiento secreto de información, luego de
provocar ataques o actividades de espionaje basadas en el uso
de internet.
Los APTs son muy díficiles de detectar porque utilizan
técnicas de tipo low and slow (ataques de bajo perfil y a largo
plazo), para evitar su detección.
Un APT puede variar tanto en sus mecanismos de ataque
tanto como el tipo de víctimas que puede alcanzar, pero a lo
largo del tiempo los expertos en ciberseguridad, luego de
analizar e investigar los casos conocidos, han elaborado un
modelo que explica el ciclo de vida de un APT, consistente en
cinco etapas [29] [30]:
 Etapa 1: Intrusión inicial, explotando
vulnerabilidades del sistema.
 Etapa 2: En el sistema comprometido se realiza la
instalación de algún tipo de malware.
 Etapa 3: Se establece una conexión hacia el exterior.
 Etapa 4: El atacante se propaga lateralmente.
 Etapa 5: Se extraen datos comprometidos.
Según este modelo, vemos que inicialmente se compromete
la red por intermedio de malware que puede introducirse
utilizando técnicas de ingeniería social. Una vez instalado el
malware, éste intentará hacer un mapeo de la red “desde
adentro”, para identificar otros hosts potencialmente
vulnerables y establecerá alguna conexión con su centro de
control. Luego intentará comprometer esos hosts detectados, y
permanecerá largo tiempo capturando información, tratando
de evitar ser detectado. La información recolectada se
transmitirá hacia afuera de la red, a quiénes estén
comandando la operación, usualmente sobre un canal
encriptado, a intervalos aleatorios de tiempo, y habiéndola
agrupado en pequeños lotes, para dificultar la detección
7
También se habla de ATA (Advanced Targeted Attack) para describir este
tipo de amenaza. Las diferencias entre APT y ATA suelen ser sutiles y sujetas a
debate, por lo que para simplificar el análisis, en este trabajo sólo hablaremos de
APTs.

mediante el análisis de patrones de tráfico.
X. STUXNET Y OTROS APTS
Stuxnet es el primer malware de tipo APT que se hizo
conocido públicamente, y sorprendió al mundo por su nivel de
sofisticación, al punto que ha sido descripto como un
"prototipo de misil lógico". Es un ejemplo concreto del nuevo
escenario de amenazas al que se enfrentan las organizaciones
en todo el mundo.
El análisis forense realizado sobre Stuxnet ha revelado que
está diseñado para atacar objetivos muy específicos: cierto
software del tipo PLC (Programmable Logic Control) de
Siemens [31], que desde hace años se ha estado instalando en
numerosas plantas industriales y energéticas en todo el
mundo. El análisis realizado no deja margen de duda para
afirmar que el objetivo de Stuxnet era únicamente la planta de
enriquecimiento de uranio de Natanz (Irán), específicamente
los dispositivos de centrifugado controlados por sistemas
SCADA8.
La explotación de varias vulnerabilidades de día cero, el
uso de certificados legítimos, el conocimiento requerido sobre
los sistemas de control industrial afectados y la necesidad de
disponer de acceso a ese tipo de sistemas para realizar
pruebas de calidad, hacen pensar que Stuxnet fue desarrollado
por un equipo de profesionales altamente calificados, y con
acceso a gran cantidad de recursos técnicos y financieros.
Ralph Langner es un consultor alemán en seguridad
informática que junto con su equipo realizó una tarea de
ingeniería inversa sobre el código de Stuxnet que posibilitó
entender sus mecanismos y objetivo. Realizó una presentación
sobre Stuxnet en una charla TED [32], recomendable para
personas no familiarizadas con aspectos técnicos, donde
comenta las características generales del ataque y sus
implicancias.
Para un análisis minucioso del código de este malware y
conocer los detalles de la investigación forense sobre el
mismo que llevaron a concluir que estaba dirigido a la planta
iraní de Natanz se recomienda ver el video de la presentación
”Stuxnet: A Deep Dive” que realizó Langner en la
conferencia S4x12 (SCADA Security Scientific Symposium
2012) [33], el dossier de Symantec sobre Stuxnet [34], el
artículo de Symantec sobre el proceso de infección [35] y el
detallado artículo de Wired [36].
Aunque ante la descripción uno podría pensar que Stuxnet
es un caso aislado y que es difícil que ese escenario se repita
frecuentemente, ya se han identificado varias amenazas del
mismo estilo, en algunos casos incluso más peligrosas.
Otra ciberamenaza del mismo grado de sofisticación que
Stuxnet es Duqu [37] [38] [39]. El análisis forense indica que
el código fuente está basado fuertemente en el código de
Stuxnet. Dado que el código de Stuxnet no fue hecho público,
es altamente probable que Stuxnet y Duqu hayan sido
desarrollados por el mismo grupo de gente.
Flame [40] y Red October [41] [42] son otros ejemplos de
8
“SCADA viene de las siglas de "Supervisory Control And Data
Adquisition", es decir: adquisición de datos y control de supervisión. Se trata
de una aplicación software especialmente diseñada para funcionar sobre
ordenadores en el control de producción, proporcionando comunicación con
los dispositivos de campo (controladores autónomos, autómatas
programables, etc.) y controlando el proceso de forma automática” [45]
5
ciberamenazas de características y peligrosidad similares a
Stuxnet.
XI. ALGUNOS CASOS IMPORTANTES
Las compañías que se ven expuestas a ciberataques
enfrentan grandes costos, entre los que se incluyen [43]:
 Costos asociados a investigación y a actividad
forense
 Costos de comunicación con clientes y proveedores
 Costos en las relaciones públicas
 Pérdidas debido al daño a la reputación
 Penalizaciones regulatorias
 Costos legales y reclamos civiles
Para ilustrar la problemática analizada en este trabajo, se
pueden mencionar algunos ejemplos concretos, citados en
[44] que resultan muy significativos, respecto de la
importancia de las organizaciones víctimas y de los costos
derivados del éxito de los ataques:
 Global Payments (Marzo de 2012): Esta empresa
que procesa tarjetas de crédito se vio expuesta a un
ataque en Enero de 2011, cuando un hacker extrajo
información de cerca de 7 millones de tarjetas de
crédito, con un costo de casi 85 millones de dólares
y la suspensión temporaria de Visa y Mastercard.
 Citigroup (Junio de 2011): Un ciberataque resultó en
el robo de más de 360.000 números de tarjetas de
crédito, de las cuales 3.400 fueron usadas para robar
más de 2.700.000 dólares.
 RSA Security (Marzo de 2011): Ciberatacantes
robaron datos relacionados con tokens SecurID 9,
volviéndolos inseguros.
 U. S. Environmental Protection Agency (EPA)
(Agosto de 2012): Los números de seguridad social
y direcciones de más de 5.000 empleados de este
organismo estatal quedaron expuestos luego de que
un empleado abriera un archivo dañiño adjunto en
un correo electrónico.
 Irán (Mayo 2012): El malware Flame, del que se
dice que ha sido desarrollado conjuntamente por
Estados Unidos e Israel, fue liberado para frenar el
desarrollo del programa nuclear de Irán. Ya
mencionamos también el impacto de Stuxnet sobre
el desarrollo nuclear de este país.
XII. CIBERGUERRA Y CIBERTERRORISMO
El caso de Stuxnet que mencionamos previamente,
considerado un misil informático contra la planta de
centrifugado de uranio de Natanz (Irán), destinado a
entorpecer o detener el desarrollo del programa nuclear iraní,
es un claro ejemplo de la utilización de la tecnología con fines
estratégicos militares y geopolíticos. Flame, Duqu y Red
October están en la misma línea: son ciberarmas creadas por
una nación (o con fuerte apoyo de una nación) para lograr
objetivos estratégicos respecto de otra.
Lo que podría denominarse ciberguerra, ya no es un tema
de ficción para utilizar en guiones de películas [46] o en la
9
Los token SecurID son un dispositivo que se utiliza para realizar
autenticación multi-factor de usuarios, para el acceso a recursos de red.

literatura de ficción, sino que llegó con seriedad a las
portadas de los principales periódicos (por ejemplo [47] [48]
[49] [50]) y a titular un libro [51] escrito por ex-asesor
presidencial de Estados Unidos en temas de seguridad
nacional.
En mayo de 2011 el gobierno de Estados Unidos publicó
un documento titulado “Estrategia Internacional para el
Ciberespacio” [52], en una parte del cual se hace referencia a
que hoy en día las “redes interconectadas vinculan a las
naciones más estrechamente, de modo que el ataque a las
redes de una nación puede tener impacto más allá de sus
fronteras”.10 Esto da idea de la seriedad estratégica que tiene
el tema para las naciones más poderosas del mundo.
Se afirma que Stuxnet fue desarrollado conjuntamente por
Estados Unidos e Israel, para detener el programa nuclear
iraní y de este modo evitar recurrir a la intervención militar
directa de Israel [53], precisamente como un hecho alineado
con esa estrategia de Estados Unidos para el ciberespacio.
También se especula que el gobierno de Japón está
desarrollando con la empresa Fujitsu un ciberarma capaz de
rastrear ciberataques “hacia atrás” para anular sus fuentes
[54], y debemos sumar a la lista de actores que intervienen en
el teatro de operaciones virtual que se ha transformado el
mundo con este tipo de ciberamenazas, a la Operación Ababil
y a la Unidad 61398.
Operación Ababil [55] es una serie de ciberataques
(potentes y efectivos ataques de denegación de servicio) que
comenzaron en 2012 contra instituciones financieras de
Estados Unidos, llevado a cabo por un grupo musulmán que
se autodenomina Ciberguerreros de Izz Ad-Din Al Qassam.
La Unidad 61398 perteneciente al Ejército de Liberación
Popular de la República China fue expuesta por la empresa
Mandiant en un extenso reporte [56] como la causante de
diversos ciberataques a empresas de todo el mundo, durante
varios años, destinados a infiltrar información confidencial.
Todas estas referencias dan cuenta de que la ciberguerra y
el ciberterrorismo son conceptos que ya están instalados como
hechos concretos en el panorama de seguridad internacional,
y están siendo posibilitados en gran medida por la nueva
generación de amenazas (APTs) que describimos en este
trabajo, y también por los nuevos perfiles de los hackers.
XIII. CÓMO PROTEGERSE DE LOS CIBERATAQUES
La importancia creciente de amenazas cada vez más
sofisticadas hace que sea necesario considerar con atención
las características que poseen los productos que ofrecen
soluciones en este campo, ya que al plantearse escenarios
nuevos, las herramientas deben adecuarse a los mismos.
Los mecanismos básicos de los productos de seguridad
diseñados para detectar (y en algunos casos bloquear
amenazas) poseen alguna de las siguientes características (o
todas):
 Detección basada en firmas: Se explora e
inspecciona el tráfico de red en busca de patrones
conocidos de malware.
 Blacklisting: El armado de listas negras representa
marcar determinados hosts como bloqueados o
10
“(...) interconnected networks link nations more closely, so an attack on
one nation’s networks may have impact far beyond its border.”
6
sujetos a investigación, por lo que el tráfico entrante
de los mismos será automáticamente bloqueado.
 Whitelisting: El armado de “listas blancas”
representa marcar determinados hosts como
confiables, de modo que el tráfico proveniente de los
mismos está pre-aprobado.
 Perfilado basado en el comportamiento: Se intentan
detectar anomalías respecto de una línea base de
tráfico “normal”.
Las características precedentemente enumeradas deben
estar presentes en una solución de protección, pero al evaluar
de qué manera protegerse, se deben considerar además los
siguientes aspectos:
 Evitar soluciones únicamente de detección.
 Evitar soluciones únicamente basadas en el concepto
de sandbox: El malware actual ya ha desarrollado
técnicas para detectar la presencia de un sanbox y
evitar la ejecución de un archivo infectado para no
ser detectados.
 Evitar soluciones de análisis de malware basadas en
la nube (cloud computing). La nube puede usarse
para compartir inteligencia respecto de las
amenazas, pero los archivos confidenciales nunca
deberían abandonar la infraestructura de la empresa.
 Adoptar plataformas NGTP11 integradas para la web,
e-mails e inspección de archivos. Analizarlos por
separado no es práctico para hacer diagnósticos en
la actualidad.
 Monitorear no sólo el ingreso de tráfico, sino
también el egreso. El tráfico saliente debe ser
monitoreado para determinar si podría estar
transmitiéndose información confidencial a fuentes
externas.
 Ser capaces de inspeccionar una gran variedad de
tipos de archivos. El malware puede ser embebido
en docenas de tipos de archivos diferentes.
 Debería minimizarse la tasa de falsos positivos o
falsos negativos. Un falso positivo (un archivo
bueno clasificado como malo) puede significar que
se bloquee un archivo que afecta una función
importante de negocio, evitando que llegue a destino
en tiempo y forma, generando pérdidas de tiempo y
eventualmente pérdida de ingresos. Con un falso
negativo (un archivo malo clasificado como bueno)
se tiene un escenario peor, ya que se permite que
llegue un archivo dañino a destino, sin ningún otro
análisis. Las consecuencias de ésto último no hace
falta que sean descriptas.
 Tener soporte para incluir reglas de análisis
customizadas.
 Interfaz de usuario intuitiva. Si una herramienta
posee excelentes mecanismos de detección y control
de malware pero no es cómoda y resulta difícil de
utilizar no será productiva para la organización que
quiera adoptarla.
También es recomendable que dentro de la planificación de
11
NGTP (Next-Generation Threat Protection) es la denominación con la
que se identifica a las soluciones de protección de activos informáticos orientadas
a neutralizar este nuevo tipo de amenazas que describimos.

acciones tendientes a asegurar la continuidad del negocio,
además del BCP (Business Continuity Plan) y el DRP
(Disaster Recovery Plan), se incluya específicamente un CRP
(Cyber-Incidents Response Plan), que podría ser un apéndice
del BCP. Este plan, según señala [57], está “dirigido a
proporcionar estrategias para detectar, responder y limitar
las consecuencias de los ciberincidentes maliciosos dirigidos
contra los sistemas TIC. Su ámbito se enfoca en las
respuestas de seguridad de información a incidentes que
afectan a los sistemas y redes. Estos procedimientos están
diseñados para permitir que el personal de seguridad
identifique, atenúe y se recupere de los incidentes
informáticos maliciosos, como el acceso no autorizado a un
sistema.”
Además de lo ya señalado, hay dos estrategias muy
importantes para la gestión de la seguridad en una empresa
que deberían tenerse en cuenta en la actualidad: Big Data
Security y Layered Security. Por la importancia que tienen,
describiremos cada una de ellas a continuación, en una
sección específica.
XIV. BIG DATA SECURITY
De manera general, se habla de big data para describir
colecciones de datos tan masivas y complejas que son díficiles
de manipular con la tecnología tradicional de bases de datos
relacionales. Los desafíos del concepto de big data incluyen el
almacenamiento, recuperación, indexado y visualización de
grandes conjuntos de datos. Actualmente este concepto está
entre las tendencias tecnológicas con más presencia en la
industria, en múltiples escenarios, y también ha sido
incorporado en el ámbito de la seguridad informática bajo el
nombre de Big Data Security.
Big Data Security [58] se denominan a las soluciones (ya
sean basadas en software, hardware o ambos) que capturan y
analizan fuentes de datos masivas con el objetivo de descubrir
y mitigar ciberamenazas. Entre esas fuentes masivas de datos
que se pueden procesar se tienen las siguientes:
 todo el tráfico IP que circula por la red interna (tráfico
generado por navegación en la web, correos
electrónicos y transferencias de archivos).
 registros de flujo de red de los routers y switches.
 tráfico IP entre máquinas virtuales en una plataforma
de virtualización.
 actividad en directorios de cuentas de usuarios.
 detonaciones y resultados de análisis de
comportamiento de algunos dispositivos de análisis de
malware.
Las fuentes de datos señaladas previamente son internas a
las empresas, pero también es posible alimentar una solución
de Big Data Security con información de fuentes externas,
tales como feeds sobre ciberamenazas y reputación de sitios
(por ejemplo Emerging Threats [59], Google Safe Browsing
[60], Malware Domain List [61], VirusTotal [62], etc.),
servicios de geolocalización (por ejemplo Digital Envoy [63],
Geobytes [64] o Neustar [65]) y servicios de inteligencia sobre
websites (por ejemplo, DomainTools [66] o Robtex [67]).
El CSIRT (Computer Security Incident Response Team) es
un equipo de profesionales expertos en ciberseguridad que
tiene varias responsabilidades, siendo la principal de ellas la
7
respuesta a incidentes. Ante un ataque el CSIRT intenta
responder cinco preguntas clave [68]: 1)¿quién nos hizo
esto?; 2)¿cómo lo hicieron?; 3)¿qué sistemas y datos fueron
afectados?; 4)¿estamos seguros de que el incidente terminó?;
5)¿estamos seguros de que no pasará nuevamente?
Contar con una solución de Big Data Security permite que
ante un eventual incidente, el CSIRT pueda obtener evidencia
fáctica del ataque con mucha mayor precisión y efectividad
que con la información que registran las soluciones clásicas
de registro y monitoreo.
XV. LAYERED SECURITY
Otra forma en la que las empresas pueden mitigar el
impacto de las ciberamenazas es aplicando la estrategia
denominada layered security o protección en capas.
Una estrategia de protección en capas define cinco niveles
de protección, para abordar la gestión de la seguridad de una
manera ordenada y sistemática, atendiendo a distintas
necesidades y recursos específicos para cada capa
considerada, de manera preventiva y creando un esquema
que vuelve menos atractivos para vulnerar a los datos de la
empresa, ya que un potencial hacker debe invertir mucho más
esfuerzo en atravesar todos esos niveles de protección (se dice
que se incrementa el work factor del hacker).
En [69] se define el work factor “como el esfuerzo
requerido por un intruso para comprometer una o más
medidas de seguridad, que a su vez permitirán que la red sea
exitosamente vulnerada. Una red con un alto work factor es
difícil de vulnerar, mientras que una red con un work factor
bajo puede ser comprometida con relativa facilidad”.
Los 5 niveles de este modelo son, desde el más exterior al
más interno: defensa del perímetro, defensa de la red, defensa
de los hosts, defensa de las aplicaciones, y defensa de los
datos.
Esos cinco niveles deben complementarse con políticas y
procedimientos de la compañía que estén destinados a atender
la necesidad de seguridad de la información, incluyendo
además consideraciones vinculadas a la protección física de
los activos.
Fig. 2. Esquema de las cinco capas del modelo Layered Security

En [70] se describe detalladamente el modelo layered
security y se analizan las medidas que deberían aplicarse
específicamente en cada capa.
XVI. CONCLUSIONES
En la actualidad todas las organizaciones, ya sean
empresas privadas o entes pertenecientes a algún estado, se
encuentran expuestas a un amplio espectro de amenazas y son
potenciales víctimas de un ciberataque externo 12.
Algunos tipos de ataques han logrado un nivel de
sofisticación que los hace extremadamente peligrosos, sobre
todo por la utilización de grandes recursos para su
planificación y desarrollo. Algunos cuentan con el apoyo de
gobiernos de algunos países y utilizan los recursos
tecnológicos más avanzados para perseguir objetivos
geopolíticos de interés estratégico, ya sea tanto con fines
militares como comerciales. Como lo demuestra el ejemplo de
Stuxnet, hoy en día los objetivos no sólo son sistemas
informáticos, sino que también se han vuelto objetivos de
mucho valor algunos dispositivos de tipo industrial, afectados
a procesos críticos, que son controlados por software.
Las empresas no deben ignorar la complejidad del
escenario actual, ya que ninguna está excenta de ser víctima.
Independientemente del mercado vertical 13 o la nación a la
que pertenezca la organización, puede ser un blanco directo o
podría ser un blanco indirecto. Los blancos indirectos son
aquellas organizaciones que son atacadas porque al tener
algún tipo de relación con otra empresa (ser, por ejemplo,
proveedor o cliente), constituyen una posible forma de llegar
lateralmente a comprometer un objetivo de mayor interés
estratégico: la empresa con la que se vinculan. El ejemplo que
mencionamos antes -en la sección XI- del ataque a RSA
Security, que comprometió tokens SecurID, era parte de un
ataque más amplio. Los tokens comprometidos permitieron
hacer efectivo un ataque posterior que vulneró a Lockheed
Martin [71] [72] [73], un proveedor de elementos de defensa
del gobierno de Estados Unidos.
Para mitigar los riesgos y minimizar el impacto de un
ataque, hemos visto que hay tres aspectos clave para la
protección de las organizaciones en la actualidad:
 la utilización de múltiples fuentes masivas de datos
(big data) como elemento de suma importancia para
soportar las políticas y soluciones de seguridad
informática
 la aplicación de técnicas de análisis que contemplen
las características específicas ya identificadas en los
ataques más sofisticados
 la utilización de un esquema de protección de
múltiples capas (layered security)14
Por último, resulta necesario recordar que el elemento que
en última instancia es necesario para poder llevar a cabo un
12
Según [74], en el 98% de los casos los datos son comprometidos por
agentes externos a las organizaciones, y 81% debido a algún tipo de hacking.
13
En [75] se plantea que las empresas tecnológicas son las más atacadas,
comparando su proporción con otras industrias. Por otro lado, en [76] se indica
que los sectores más atacados son la industria aeroespacial y de defensa.
14
El ejemplo del ataque a Lockheed Martin ilustra la importancia de este
esquema. La empresa al hacerse público el ataque afirmó que no se había
comprometido ningún dato crítico debido a la “seguridad robusta, multi-capa,
de los sistemas de información”.
8
ataque (y una defensa) eficaz es el factor humano, por lo que
una adecuada capacitación de los recursos humanos de la
organización en los aspectos que hemos analizado en este
trabajo es fundamental.
XVII. AGRADECIMIENTOS
El autor agradece a Luis Mariano Bibbó por recomendarle,
hace más de 10 años, la lectura de [77].
A Lydia Skamelka, Tomás José Riva, Gustavo Rossi, Fabio
Benavídez y Carlos Peña, destacados y apasionados docentes
que han signado su paso por distintos ámbitos educativos.
A Diego Esteve, tutor de este trabajo, por la precisa guía
respecto de los temas investigados.
Finalmente a Nicolás Shinyashiki, Pedro García y Daniel
Averbuch por las horas de estudio compartidas.
XVIII. REFERENCIAS
[1] AA. VV., Hacker (computer security), Wikipedia.
http://en.wikipedia.org/wiki/Hacker_(computer_security)
[2] AA. VV., Malware, Wikipedia.
http://en.wikipedia.org/wiki/Malware
[3] AA. VV., Sandbox, Wikipedia.
http://en.wikipedia.org/wiki/Sandbox_(computer_security)
[4] AA. VV., Spam, Wikipedia.
http://en.wikipedia.org/wiki/Spam_(electronic)
[5] J. P. Anderson, Computer Security Threat Monitoring and Surveillance,
James P. Anderson Co., Fort Washington (Pennsylvania), Estados Unidos,
Abril 1980.
Recuperado de: http://csrc.nist.gov/publications/history/ande80.pdf
[6] P. Himanen, La ética del hacker y el espíritu de la era de la información,
Barcelona, España: Ediciones Destino, 2002.
[7] AA. VV., Virus informático, Wikipedia.
http://es.wikipedia.org/wiki/Virus_informático
[8] J. D. Howard, P. Meunier, “Using A Common Language For Computer
Security Incident Information”, en Computer Security Handbook (4a ed.),
Seymour Bosworth & M. E. Kabay (eds.), Estados Unidos: John Wiley &
Sons, 2002, p. 3-17 (84).
[9] S. Piper, “Understanding the Enemy”, en Definitive Guide to Next-
Generation Threat Protection: Winning the War Against the New Breed
of Cyber Attacks, Annapolis (Maryland), Estados Unidos: Cyberedge
Press, Febrero 2013, pp. 12-14. Recuperado de:
http://www2.fireeye.com/definitive-guide-next-gen-threats.html
[10] AA. VV., LulzSec, Wikipedia.
http://en.wikipedia.org/wiki/LulzSec
[11] AA. VV., Anonymous (group), Wikipedia.
http://en.wikipedia.org/wiki/Anonymous_(group)
[12] "Websense 2013 Threat Report", Websense Security Labs, Websense Inc.,
San Diego (California), Estados Unidos, Abril 2013, p.14. Recuperado de:
http://www.websense.com/content/websense-2013-threat-report.aspx
[13] G. Ferreira, Virus en las Computadoras, 2a ed., México: Macrobit
Editores, 1991.
[14] AA. VV., Virus Report, vols.1-22, Buenos Aires, Argentina: MP Ediciones
(vols. 1-8) y Ediciones Ubik (vols. 9-22), 1993-1995.
[15] M. Ludwig, The Little Black Book of Computer Viruses, Tucson
(Arizona), Estados Unidos: American Eagle Publications Inc., 1991.
[16] "Websense 2013 Security Predictions", Websense Security Labs, Websense
Inc., San Diego (California), Estados Unidos, Noviembre 2012, p. 9.
Recuperado de:
http://www.websense.com/assets/white-
papers/Websense_2013_Security_Predictions_2013.pdf
[17] Ibíd., p. 10.
[18] S. Northcutt, "The Attack Surface Problem", en Security Laboratory:
Defense In Depth Series, SANS Technology Institute, Enero 7, 2011.
Recuperado de:
http://www.sans.edu/research/security-laboratory/article/did-attack-surface
[19] A. M. Amaya Calvo, "Superficie de ataque 2.0", en Artículos de la
Sociedad de la Información (Fundación Telefónica), Madrid, España,
Diciembre 1, 2010. Recuperado de:
http://sociedadinformacion.fundacion.telefonica.com/DYC/SHI/Articulos_
423-ARTICULO-TID-
Superficie_ataque/seccion=1188&idioma=es_ES&id=2010120117120

[20] S. Piper, “Defining Next-Generation Threats” en Definitive Guide to Next-
Generation Threat Protection: Winning the War Against the New Breed
of Cyber Attacks, op. cit., pp. 5-7.
[21] Ibíd., pp. 6-7.
[22] F. Maggi. “Are the Con Artists Back? A Preliminary Analysis of Modern
Phone Frauds”, en Proceedings of the International Conference on
Computer and Information Technology (CIT), Bradford, Reino Unido,
Junio 2010. Recuperado de:
http://home.deib.polimi.it/fmaggi/downloads/publications/2010_maggi_vis
hing.pdf
[23] AA. VV., SMS phishing, Wikipedia.
http://en.wikipedia.org/wiki/SMS_phishing
[24] S. Piper, “Defining Next-Generation Threats” en Definitive Guide to Next-
Generation Threat Protection: Winning the War Against the New Breed
of Cyber Attacks, op. cit., pp. 8-10.
[25] AA. VV., Nimda, Wikipedia
http://en.wikipedia.org/wiki/Nimda
[26] AA. VV., CodeRed, Wikipedia
http://en.wikipedia.org/wiki/Code_Red_(computer_worm)
[27] AA. VV., Conficker, Wikipedia
http://en.wikipedia.org/wiki/Conficker
[28] J. Areitio, Seguridad de la información: Redes, informática y sistemas
de información. Madrid, España: Paraninfo, 2008, pp. 164-171.
[29] S. Piper, “Anatomy of Advanced Cyber Attacks” en Definitive Guide to
Next-Generation Threat Protection: Winning the War Against the New
Breed of Cyber Attacks, op. cit., pp. 23-27.
[30] "Less Secure Than You Think", FireEye Inc., Milpitas (California),
Estados Unidos, Mayo 2012, p. 3. Recuperado de:
http://www2.fireeye.com/cso-less-secure-than-you-think.html
[31] “Visibility in production: SIMATIC WinCC SCADA system”, Siemens
AG, Nuremberg, Alemania. Recuperado de:
http://www.automation.siemens.com/mcms/human-machine-
interface/en/visualization-software/scada/pages/default.aspx
[32] R. Langner, "Cracking Stuxnet, a 21st-century cyber weapon"
(presentación), en TED Conference 2011, Long Beach, Estados Unidos,
Marzo 3, 2011. Recuperado de:
http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century
_cyberweapon.html
[33] R. Langner, “Stuxnet: A Deep Dive” (presentación), en SCADA Security
Scientific Symposium 2012, Miami, Estados Unidos, Enero 18, 2012.
Recuperado de:
http://www.digitalbond.com/blog/2012/01/31/langners-stuxnet-deep-dive-
s4-video/
[34] N. Falliere, L. Murchu, E. Chien, "W32.Stuxnet Dossier. Version 1.4",
Symantec Corporation, Cupertino (California), Estados Unidos, Febrero
2011. Recuperado de:
http://www.symantec.com/content/en/us/enterprise/media/security_respons
e/whitepapers/w32_stuxnet_dossier.pdf
[35] N. Falliere, “Exploring Stuxnet’s PLC Infection Process”, Symantec
Corporation, Cupertino (California), Estados Unidos, Septiembre 2012.
Recuperado de:
http://www.symantec.com/connect/blogs/exploring-stuxnet-s-plc-infection-
process
[36] K. Zetter, "How Digital Detectives Deciphered Stuxnet, the Most
Menacing Malware in History", Wired, Julio 11, 2011. Recuperado de:
http://www.wired.com/threatlevel/2011/07/how-digital-detectives-
deciphered-stuxnet/all/1
[37] "Duqu - Stuxnet 2.0", Websense Security Labs, Websense Inc., San Diego
(California), Estados Unidos, Octubre 19, 2011. Recuperado de:
http://community.websense.com/blogs/securitylabs/archive/2011/10/19/du
qu-stuxnet-2-0.aspx
[38] "W32.Duqu. The precursor to the next Stuxnet (Version 1.4)", Symantec
Corporation, Cupertino (California), Estados Unidos, Noviembre 23, 2011.
Recuperado de:
http://www.symantec.com/content/en/us/enterprise/media/security_respons
e/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf
[39] B. Bencsáth, G. Pék, L. Buttyán, M. Félegyházi. "Duqu: A Stuxnet-like
malware found in the wild (v0.93)", Laboratory of Cryptography and
System Security (CrySyS), Budapest University of Technology and
Economics, Budapest, Hungría, Octubre 14, 2011. Recuperado de:
http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf
[40] AA. VV., Flame (malware), Wikipedia
http://en.wikipedia.org/wiki/Flame_(malware)
[41] "The Hunt for Red October", Websense Security Labs, Websense Inc., San
Diego (California), Estados Unidos, Enero 21, 2013. Recuperado de:
http://community.websense.com/blogs/securitylabs/archive/2013/01/21/the
-hunt-for-red-october.aspx
[42] "Red October Diplomatic Cyber Attacks Investigation", Global Research
& Analysis Team (GReAT), Kaspersky Lab, Moscú, Rusia, Enero 14,
2013. Recuperado de:
9
http://www.securelist.com/en/analysis/204792262/Red_October_Diplomat
ic_Cyber_Attacks_Investigation
[43] S. Piper, “Defining Next-Generation Threats” en Definitive Guide to Next-
Generation Threat Protection: Winning the War Against the New Breed
of Cyber Attacks, op. cit., p. 4.
[44] Ibíd., p. 3.
[45] “Sistemas SCADA”, automatas.org (web site), Marzo 2006. Recuperado
de: http://automatas.org/redes/scadas.htm
[46] L. Wiseman (director), M. Bomback (guionista), “Live Free or Die Hard”
(película), 2007.
[47] D. Sanger, “Obama Order Sped Up Wave of Cyberattacks Against Iran”,
The New York Times, Junio 1, 2012. Recuperado de:
http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-
wave-of-cyberattacks-against-iran.html?pagewanted=all&_r=0
[48] E. Nakashima, “U.S. accelerating cyberweapon research”, The
Washington Post, Marzo 2012. Recuperado de:
http://www.washingtonpost.com/world/national-security/us-accelerating-
cyberweapon-research/2012/03/13/gIQAMRGVLS_print.html
[49] R. Cohen, “The White House Unveils New Cyber-Security Strategy”,
Forbes, Mayo 2012. Recuperado de:
http://www.forbes.com/sites/reuvencohen/2012/05/30/the-white-house-
unveils-new-cyber-security-strategy/
[50] “Cyberwar. The threat from the internet”, The Economist, Julio 3, 2010.
[51] R. Clarke, R. Knake, Cyber War: The Next Threat to National Security
and What to Do About It, Estados Unidos: HarperCollins Publishers, Abril
2010.
[52] “International Strategy for Cyberspace: Prosperity, Security, and Openness
in a Networked World”, The White House, Washington, Estados Unidos,
Mayo 2011. Recuperado de:
http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strat
egy_for_cyberspace.pdf
[53] N. Anderson, “Confirmed: US and Israel created Stuxnet, lost control of
it”, Ars Technica, Junio 1, 2012. Recuperado de:
http://arstechnica.com/tech-policy/2012/06/confirmed-us-israel-created-
stuxnet-lost-control-of-it/
[54] J. Kennedy, “Japanese government building defensive computer virus;
Skynet incoming?”, Extreme Tech, Enero 4, 2012. Recuperado:
http://www.extremetech.com/computing/111869-japanese-government-
building-defensive-computer-virus-skynet-incoming
[55] AA. VV, Operation Ababil, Wikipedia.
http://en.wikipedia.org/wiki/Operation_Ababil
[56] "APT1: Exposing One of China's Cyber Espionage Units", Mandiant
Intelligence Center, Mandiant Corporation, Alexandria (Virginia), Estados
Unidos, Febrero 2013. Recuperado de:
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
[57] J. Areitio, Seguridad de la información: Redes, informática y sistemas
de información, Madrid, España: Paraninfo, 2008, p. 262.
[58] S. Piper, “Meet Big Data Security” en Big Data Security For Dummies
(Solera Networks Special Edition), Estados Unidos: John Wiley & Sons,
2013. Recuperado de:
http://pages.soleranetworks.com/BigDataSecurityforDummies.html
[59] Emerging Threats (web site), http://www.emergingthreats.net/
[60] Google Safe Browsing (web site), https://developers.google.com/safe-
browsing/
[61] Malware Domain List (web site), http://www.malwaredomainlist.com/
[62] VirusTotal (web site), https://www.virustotal.com/en/
[63] Digital Envoy (web site), http://www.digitalenvoy.com/
[64] Geobytes (web site), http://www.geobytes.com/
[65] Neustar (web site), http://www.neustar.biz/enterprise
[66] DomainTools (web site), http://www.domaintools.com/
[67] Robtex (web site), http://www.robtex.com/
[68] S. Piper, “Use Cases for Big Data Security” en Big Data Security For
Dummies (Solera Networks Special Edition), op. cit., p. 41.
[69] M. Ashley, "Layered Network Security 2006: A best-practices approach",
StillSecure, Superior (Colorado), Estados Unidos, Enero 2006, p. 2.
[70] Ibíd., pp. 2-11.
[71] C. Drew, “Stolen Data Is Tracked to Hacking at Lockheed”, The New York
Times, Junio 3, 2011. Recuperado de:
http://www.nytimes.com/2011/06/04/technology/04security.html?_r=1&
[72] “Lockheed Martin confirms attack on its IT network”, AFP, Mayo 28,
2011. Recuperado de:
http://www.google.com/hostednews/afp/article/ALeqM5hO0TYWRsxt1C
KUUEXKd04BQwsdGQ?
docId=CNG.377fe057126251044306fe73e1e5ae83.401
[73] J. Finkle, A. Shalal-Esa, “Exclusive: Hackers breached U.S. defense
contractors”, Reuters, Edition UK, Mayo 28, 2011. Recuperado de:
http://uk.reuters.com/article/2011/05/27/us-usa-defense-hackers-
idUKTRE74Q6VY20110527
[74] “2012 Data Breach Investigations Report”, Verizon Communications Inc.,
New York, Estados Unidos, Marzo 2012. Recuperado de:
 10

http://www.verizonenterprise.com/resources/reports/rp_data-breach-
investigations-report-2012_en_xg.pdf
[75] “FireEye Advanced Threat Report – 2H 2012”, FireEye Inc., California,
Estados Unidos, Abril 2013, p. 5. Recuperado de:
http://www2.fireeye.com/rs/fireye/images/fireeye-advanced-threat-report-
2h2012.pdf
[76] “M-Trends 2013: Attack the Security Gap”, Mandiant Corporation,
Alexandria (Virginia), Estados Unidos, Marzo 2013. Recuperado de:
https://www.mandiant.com/resources/m-trends/
[77] U. Eco, Cómo se hace una tesis: técnicas y procedimientos de
investigación, estudio y escritura, L. Baranda, A. Clavería Ibáñez (trads.),
Barcelona, España: Editorial Gedisa, 1998.

XIX. BIOGRAFÍAS

Juan José Zapico nació el 18 de enero de 1972, en

Cañuelas (Argentina). Comenzó sus estudios de
informática en la Universidad Nacional de La Plata y
los completó en la Universidad de Palermo, donde fue
distinguido como el mejor promedio de la Licenciatura
en Informática de los años 2010, 2011 y 2012.
Es miembro de ACM (Association for Computing
Machinery), fue miembro del LIFIA (Laboratorio de
Investigación y Formación en Informática Avanzada)
y posee más de 15 años de experiencia en la industria
de IT, en contextos tan variados como la educación a
distancia, las empresas telefónicas, la banca y el mercado bursátil.
Sus intereses profesionales están vinculados a la adopción de medologías
ágiles para generar ambientes de trabajo sustentables y cambios en la cultura de
las organizaciones. Posee tres certificaciones de la Scrum Alliance: CSM
(Certified Scrum Master), CSD (Certified Scrum Developer) y CSPO
(Certified Scrum Product Owner).
Además de su interés por la informática, es realizador audiovisual
independiente. Su información de contacto está disponible en
http://about.me/zapico