juegos olimpicos seguridad

Carlos Martín, corresponsal de HackerCar, me pedía hace unos días una serie de recomendaciones de seguridad que deberían tomar los pobres infelices encargados de mantener a raya a los cibercriminales en las próximas Olimpiadas.

Me pilló justo de viaje, así que tuvo la paciencia de esperar a que volviera para que le pudiera enviar mi respuesta, que más o menos, iba por esta reflexión que tienes a continuación.

Como viene siendo habitual, dejo por aquí mis observaciones, y al final del mismo el enlace al reportaje que acabó publicando el medio.

Una cuestión de tiempo y volumen

La primera y más obvia es que pocas empresas u organizaciones pueden estar 100% seguros de que van a ser atacados en un lapso de tiempo muy corto: El previo y el mientras de los JJOO de este año.

Básicamente, sabemos a ciencia cierta que en los dos próximos meses va a haber numerosos ataques contra la infraestructura de Paris. Y esto es, en esencia, una ventaja y un inconveniente.

  • Ventaja porque tenemos la certeza de que va a ocurrir: En los Juegos Olímpicos de Invierno de 2018 en Pieonchang, Corea del Sur, un ataque exitoso (EN) casi consiguió que el evento tuviera que cancelarse antes de que pudiera comenzar. La red wifi, herramienta imprescindible para transmitir fotografías y las coberturas informativas, y la app oficial (en la que miles de asistentes tenían sus entradas) se cayó en el mismo instante. También se colapsó la red inalámbrica, impidiendo que los drones pudieran salir a volar y cubrir el evento. Pero tras una noche de mucha pizza y café, los responsables de la seguridad del evento consiguieron paliar los ataques DDoS y volver a la normalidad. En Tokio 2021 pasó más de lo mismo, con 450 millones de intentos de hackeo a los JJOO. Pues Paris, según el responsable de ciberseguridad, espera recibir entre ocho y doce veces esa cifra. Ahí es nada. El cómo lo van a gestionar te lo cuento a continuación.
  • Desventaja porque todos los ataques serán al mismo tiempo: Y esto no hay infraestructura que lo pueda asumir. Tenemos que partir del hecho de que al menos durante unos minutos, y quizás durante unas horas, haya bloqueos parciales o masivos de la infraestructura informática. Al menos hasta que los balanceadores de carga, y el trabajo del blue team, consiga minimizar su alcance, discriminando peticiones legítimas (asistentes y ciudadanos reales) de las fraudulentas (bots y ciberataques).

Rusia va a ser un actor clave

Otra obviedad.

Como recordaban recientemente en un reportaje en el The New York Times (ES):

Inicialmente, el ataque de 2018 en Pieonchang se le atribuyó a Corea del Norte, el vecino antagónico de Corea del Sur. Pero los expertos, incluidas agencias de Estados Unidos y el Reino Unido, concluyeron luego que el verdadero culpable —que ahora se acepta por muchos que fue Rusia— utilizó deliberadamente técnicas diseñadas para asignar la culpa a otro.

[…]

La delegación de Rusia ha sido excluida de los Juegos Olímpicos tras la invasión rusa a Ucrania en 2022, aunque a un pequeño grupo de rusos se le permitirá competir como atletas neutrales. La relación de Francia con Rusia se ha deteriorado tanto que el presidente Emmanuel Macron acusó recientemente a Moscú de intentar socavar los Juegos Olímpicos mediante una campaña de desinformación.

El Comité Olímpico Internacional también ha señalado los intentos de grupos rusos por perjudicar los juegos. En noviembre, el COI emitió una declaración inusual en la que afirmó que había sido blanco de “publicaciones de noticias falsas” difamatorias tras la aparición en YouTube de un documental que presentaba una voz en off generada por inteligencia artificial que pretendía ser la del actor Tom Cruise.

En 2019, según Microsoft, unos piratas informáticos estatales rusos atacaron las redes informáticas de al menos 16 organizaciones deportivas y antidopaje nacionales e internacionales, incluida la Agencia Mundial Antidopaje, que en ese momento estaba a punto de anunciar sanciones contra Rusia relacionados con su programa de dopaje respaldado por el Estado.

Tres años antes, Rusia había atacado a funcionarios antidopaje en los Juegos Olímpicos de Río de Janeiro. Según acusaciones formales contra varios oficiales de inteligencia militar rusos presentadas por el Departamento de Justicia de Estados Unidos, los agentes en ese incidente falsificaron las redes wifi de hoteles que usaban funcionarios antidopaje en Brasil para penetrar con éxito las redes de correo electrónico y las bases de datos de su organización.

Ciaran Martin, quien fue el primer director ejecutivo del centro nacional de ciberseguridad del Reino Unido, dijo que el comportamiento pasado de Rusia la ha convertido en “la amenaza disruptiva más obvia” en los juegos de París. Dijo que entre las áreas que podrían ser atacadas estaban la programación de eventos, transmisiones públicas y los sistemas de venta de entradas.

La parte buena de todo esto es que sabemos de antemano contra quién combatimos. Y, por tanto, es bastante probable que el departamento de ciberseguridad encargado de la gestión de los JJOO ya esté tomando medidas para limitar el alcance de los ataques de falsa bandera, y banear por defecto todo lo que huela a IP rusa.

Puede parecer una tontería, pero esto limita el alcance de los ciberataques bastante.

El riesgo de las derivadas

Sin embargo, el mayor handicap a la hora de controlar una situación tan caótica, bajo mi humilde opinión, va a ser la capacidad real que tenga la defensa de los JJOO de paliar el impacto de ataques dirigidos a los responsables y/o trabajadores, directos e indirectos, de los diferentes sistemas informáticos.

Me explico:

Ya estamos empezando a ver con cada vez más habitualidad cómo se comprometen sistemas críticos por el ataque no dirigido hacia los responsables, sino a sus familiares.

Comprometiendo, por ejemplo, los dispositivos del hijo de uno de los encargados de IT de la infraestructura de red, perfectamente se puede llegar al padre, y de ahí, a la propia infraestructura.

Pablo F. Iglesias, CEO de CyberBrainers

Con esto en mente, es bastante probable que en la estrategia de seguridad de Paris 2024 hayan limitado a su mínima exposición los perfiles detrás del control de este tipo de sistemas.

De hecho, la mayoría de contratos de IT, pese a estar financiados con fondos públicos, no se han hecho públicos, y no se harán hasta que los JJOO hayan terminado.

Y pasa lo mismo con el propio equipo humano.

Aún así, es imposible que un agente con los recursos y el compromiso necesario (como ocurre con el Kremlin) no acabe identificando qué agencias y particulares están involucrados, sea directa o indirectamente (stakeholders locales, por ejemplo), y acabemos descubriendo, a posteriori que, en efecto, parte de estos ciberataques exitosos se dieron así precisamente por haber comprometido dispositivos personales, o por alguna extorsión a responsables y/o trabajadores de dichos sistemas.

Conclusiones y seguridad de los asistentes

En resumidas cuentas, que no me gustaría estar en el papel de este equipo.

Tienen delante suya un par de meses MUY INTENSOS, en los que les va a tocar jugar al juego del gato y el ratón… siendo ellos el gato, y estando por tanto siempre unos pasos por detrás.

  • Pese a que sepan de la existencia, y hasta el nombre, del ratón.
  • Pese a que los vectores del ataque ya están identificados.

A nivel de usuario a pie de calle, las recomendaciones siguen siendo las mismas de siempre con cualquier otro evento:

  • Asumir el riesgo de asistir a unas aglomeraciones como las que va a haber en Paris: Por el riesgo terrorista innato en este tipo de eventos, y por los potenciales ciberataques locales y globales que se puedan llevar a cabo (exposición de datos debidos a fuga de información de los sistemas de entradas, por ejemplo, o algo tan simple como ataques a vulnerabilidades WiFi o Bluetooth no parcheadas en nuestros dispositivos). Por ello, es importante que desactivemos el WiFi, Bluetooth, NFC, y si me apuras también hasta los datos si vas a estar por allí (a fin de cuentas, es muy probable que no haya red 5G suficiente como para mantener acceso a Internet con una calidad mínima) y mantener los dispositivos actualizados a la última versión.
  • Evitar caer en campañas de phishing y fraudes digitales: De seguro, y más si los sistemas acaban cayendo, veremos numerosos intentos de usurpar la identidad de los sistemas oficiales de los JJOO para redirigir tráfico a páginas fraudulentas. Mucho ojo si vamos a seguir en streaming el evento, por si lo acabamos haciendo en una web no oficial… Y junto a estas medidas, aplicar el sentido común con los numerosos timos que habrá alrededor de la compraventa de entradas.
  • Aceptar que los sistemas se van a caer, y que debemos tener paciencia: Tanto si vamos a asistir presencialmente, como si lo haremos digitalmente, la paciencia será nuestra mejor aliada. Por eso, y sobre todo si se espera mucho calor, la mejor recomendación que puedo dar a los asistentes es ir bien equipados con bebida hidratante y ropa cómoda para evitar problemas de salud, y tomarse la experiencia con tranquilidad. Algo que aplica por igual a aquellos que lo seguiremos en remoto (ALT F5 al medio de comunicación que cubra el evento, y si la cosa sigue igual, irse a dar un paseíto, que la información, aunque no la veamos en directo, seguirá estando ahí).
Newsletter nuevas tecnologias seguridad

Imagínate recibir en tu correo semanalmente historias como esta

Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.