Maskirovka!!

El engaño en la doctrina militar rusa se conoce como Maskirovka o маскировка, traducido literalmente como “mascarada” o “disfraz”. La maskirovka incluye el ocultamiento, la imitación con señuelos y maniquíes, maniobras destinadas a engañar, la negación y la desinformación. En la Enciclopedia Militar Soviética de 1944 se refería a "medios para asegurar las operaciones de combate y las actividades diarias de las fuerzas; una complejidad de medidas, dirigidas a engañar al enemigo con respecto a la presencia y disposición de las fuerzas".

El engaño siempre fue clave en las mayores victorias soviéticas ante la Alemania nazi en la segunda guerra mundial, como la batalla de Stalingrado, la de Kursk o la operación Bagration. Esta última fue la mayor derrota de la historia del ejército alemán, y quizás la más desconocida. Y su éxito fue debido, en gran parte, a la Maskirovka.

En verano de 1944, el ejército alemán en Rusia estaba exhausto tras las derrotas de Stalingrado y Kursk, pero aún constituía una formidable maquinaria militar. Así, la Stavka (cuartel general soviético) diseñó una operación para rodear y destruir al grupo de ejército “centro” alemán, en la actual Bielorrusia, y acabar con más de 700.000 hombres con su material y suministros incluidos. Para ello, pusieron en marcha una gran operación de engaño y desinformación, en la que se movían tropas de forma ficticia, a la vez de trasladar varios ejércitos de noche a los diferentes puntos donde se produciría el ataque, camuflándolos en los grandes bosques de Bielorrusia, además de construir y ocultar las carreteras por las que atravesarían los densos pantanos de Pripyat. Todo se realizó con mucha anticipación, en un silencio escrupuloso de radio, sin encender ningún faro de los camiones por la noche, órdenes verbales (nunca por escrito), con convoyes diurnos vacíos a falsas zonas de concentración de tropas, etc. La operación Bagration fue un triunfo extraordinario, donde la Maskirovka tuvo un papel fundamental.

El engaño siempre ha formado parte de la doctrina militar rusa como podemos recordar en la reciente anexión de Crimea (2014) por parte de la Federación Rusa. En ella, hombres armados, con pasamontañas (“enmascarados”), sin ningún tipo de insignia ni bandera, llegaron en camiones militares de noche a la región y la ocuparon sin resistencia. Toda explicación gubernamental respondía que desconocían quiénes eran. Más tarde se reveló que se trataba de fuerzas especiales rusas - Spetsnaz (revista Time, 2014) en lo que expertos occidentales afirmaron como un “brillante uso del presidente Putin de la Maskirovka tradicional rusa”.

La guerra posterior reciente en la región de Donbass en Ucrania también se ha descrito como una campaña de Maskirovka. Al igual que en Crimea, el conflicto comenzó cuando fuerzas armadas “rebeldes”, sin insignias militares, tomaron la infraestructura gubernamental de la zona. Posteriormente se enviaron convoyes “humanitarios” a la región, con camiones militares pintados de blanco, que atrajeron la atención de los medios como un gran ejemplo (de nuevo) de Maskirovka.

¿Cuál es la lección para nuestra ciberseguridad de esta doctrina militar rusa usada de forma tan profusa en la reciente historia?

La primera creo que es evidente: todo ataque es más efectivo cuando se emplea la “Maskirovka”, el engaño o “deception”. Es mejor para el atacante sembrar la confusión, haciendo pensar al defensor que sus problemas están en otro lado diferente al de la brecha, o que incluso, no existen. Las mismas técnicas de ataque actuales indican una cierta Maskirovka: brecha menor, movimientos laterales sigilosos, escalado de privilegios, búsqueda del momento adecuado, la estafa mediante la suplantación del “jefe”, etc. También se puede emplear la Maskirovka (y se debería) en la defensa, tal como la usaron los rusos en la batalla de Kursk, construyendo unas poderosas defensas sin que los alemanes se percataran de ello, y ante las que se estrellaron cuando iniciaron su fallido ataque.

La segunda es que la ingeniería social funciona muy bien, y se usa de forma muy eficaz en las operaciones de inteligencia. Así, hay cuatro principios básicos comunes a todas las personas, que son: Todos queremos ayudar en general al prójimo, el primer movimiento es siempre de confianza hacia el otro, no nos gusta decir que no y a todos nos gusta que nos alaben. Usados de forma inteligente, se genera una falsa confianza para luego ejecutar el ataque de forma más eficaz. Estas ideas, las usaba también el hacker Kevin Mitnick, apodado por él mismo como el “fantasma de los cables”.

Y la tercera y última, es golpear en el punto débil con toda contundencia, pero por sorpresa. Ya comenté en un pasado artículo esta idea, la del eslabón débil y su papel en la caída de San Juan de Acre (1291). Y es que esta idea es básica en la Maskirovka: En Stalingrado, el ejército rojo golpea a las tropas más débiles: a los aliados italianos, húngaros y rumanos, para cercar a los alemanes en la ciudad. Otro ejemplo es en la operación Bagration mencionada al principio de este artículo, cuando las divisiones soviéticas atacan a través de los pantanos de Pripyat (Bielorrusia), poco o nada defendidos por los alemanes al considerarlos impenetrables.

El engaño forma parte de la historia de la humanidad y lo acompaña en muchos de sus grandes acontecimientos. No en vano, el Génesis arranca con una Maskirovka, con el engaño de la serpiente a Eva. Por algo será…

La fortaleza del Krak de los Caballeros y la ciberdefensa por capas: Algunas ideas

 

Después de la primera cruzada, tras la conquista de Jerusalén y el establecimiento de los reinos francos cristianos en tierra santa, la protección de estos nuevos enclaves y las rutas comerciales que atravesaban fue siempre una prioridad, y por ello se crearon y establecieron las órdenes militares religiosas, como los pobres caballeros de Cristo del templo de Salomón (Templarios) o la orden de los caballeros hospitalarios de San Juan de Jerusalén. Estos últimos, recibieron el enclave del "Krak" con su poderoso castillo en 1142, que procedieron a remodelar, convirtiéndolo en la fortaleza más inexpugnable de tierra santa, y que pasaría a conocerse como el "Krak de los Hospitalarios" primero, y más adelante como el "Krak de los Caballeros". En él, la orden estableció su sede durante más de un siglo y soportó asedios y ataques de todo tipo, incluso del propio sultán Saladino, sin ser jamás conquistada. Por ello, se ganó su fama de inexpugnable.

Figura 1: El Krak de los Caballeros hoy.

Este impresionante castillo situado en la actual Siria, que ocupaba una superficie de casi 9 hectáreas, se diseñó como cuartel fortificado, con murallas concéntricas de hasta 25 mts de espesor, y una guarnición de más 2.000 hombres y cientos de caballos, con provisiones como para resistir un cerco de años. Su diseño concéntrico con diferentes tipos de muros y torres, y su ubicación en altura, desde la que en días claros, podía divisarse el mar, hacía a esta fortaleza un modelo, que muchos monarcas europeos (Eduardo I de Inglaterra o Luis IX de Francia) quisieron copiar en sus países de origen, y T.E. Lawrence (de Arabia), la definió como el "castillo más admirable del mundo".

Figura 2: Plano del Krak de los Caballeros.

La historia cuenta, como decía, que jamás fue conquistada, y que solo al final de la presencia cristiana en estas tierras hacia la segunda mitad del siglos XIII, con una Orden Hospitalaria ya muy debilitada, el sultán de Egipto Baibars I, curioso personaje de procedencia eslava, decidió en 1271 sitiar el Krak con un numeroso ejército. Durante meses, la reducida guarnición resistió como pudo los embates de los mamelucos del Sultán. Baibars, al entender que iba a tardar meses y meses en conquistar el mítico castillo, ideó un engaño: envió una paloma mensajera al jefe de la guarnición que simulaba proceder del Gran Maestre de la orden (acuartelado en San Juan de Acre), con un permiso especial para rendirse. El engaño surtió efecto. Así, se entablaron negociaciones y finalmente, el Krak de los Caballeros, se rindió por primera vez en su larga historia.

¿Qué lecciones e ideas podemos obtener de este relato para nuestro dinámico y cambiante mundo de la ciberseguridad?

1.     La defensa por capas es idea muy poderosa: todas las capas protegen de los ataques, pero no al 100%. Al superponer diferentes tipos de defensas (el firewall perimetral, el correo electrónico seguro, el sandboxing en todas las capas, el antivirus de nueva generación, el rollback, etc.) nos aseguramos que si bien algún ataque puede escapar a alguna de ellas, es muy difícil que lo haga a todas.

2.    El punto débil. Toda defensa tiene un eslabón que la hace vulnerable. Al sumar diferentes tipos de defensa, de manera concéntrica, independiza cada una de ella y de sus debilidades. Cuando cae la muralla exterior (y lo detectamos), nos replegamos al siguiente anillo concéntrico.

3.    El engaño. Es el ataque más efectivo siempre. La guarnición de la fortaleza fue engañada por el clásico engaño del CEO: aprovechar un medio de comunicación aparentemente seguro para dar falsas instrucciones a los subalternos. Por ello, ante decisiones importantes, hay que tener un procedimiento de "doble comprobación" y evitar estas situaciones.

4.    La Autocomplacencia. No hay que fiarse nunca de nuestra aparente situación de invencibilidad. No hay castillo ni fortaleza que 1000 años dure. El Krak de los Caballeros resistió 12 asedios en 130 años. Parecía inexpugnable. Y al final, se rindió.

5.    La falta de información en tiempo real. Es vital disponer de sensores que te indiquen de forma instantánea que está sucediendo en la infraestructura, para poder tomar decisiones de forma rápida y poder aislar posibles zonas comprometidas por una intrusión con éxito.

Desde Sonicwall hace años que abogamos por el paradigma de la defensa en profundidad por capas, de forma inteligente, con sensores, para detectar y poder reaccionar en tiempo real a los ataques de todo tipo, de corte conocido y desconocido. Es la única manera de poder sobrevivir en este mundo online distribuido en el que nos hemos sumergido de pleno desde hace ya casi 1 año, y que va a ir a más en los tiempos venideros.

Los desaparecidos caballeros hospitalarios dejaron, en una de las galerías del Krak, junto a la gigantesca sala capitular, la siguiente inscripción esculpida en roca, que reza: "Ten riqueza, ten sabiduría, ten bondad, pero guárdate del orgullo que mancha todo lo que toca". Sabias palabras que aplican a nuestro mundo. Así sea.

El eslabón más débil: La caída de San Juan de Acre (1291) Lecciones de ciberseguridad

Año 1291. San Juan de Acre es el último bastión en tierra Santa de los reinos francos cristianos, tras casi doscientos años de presencia cristiana en la zona, originada en la primera cruzada. Acre es una ciudad-fortaleza imponente, con varios anillos concéntricos amurallados, torres de defensa imponentes, fosos, sólidas barbacanas, y sede de las órdenes militares más prestigiosas creadas para la protección de estos reinos: los templarios, los hospitalarios, los caballeros teutónicos, etc. Inexpugnable. O no.

Figura 1: El origen: La primera cruzada y la conquista de Jerusalen (1099)

Las órdenes militares están en conflicto continuo. Los egos, las envidias, los silos en la defensa, será una de las causas de la caída de Acre a manos del Sultán de Egipto. Éste, ha estudiado las defensas y sus puntos más débiles, y cree saber como tomar la ciudad-fortaleza. Durante meses, prepara el asalto, construyendo las más poderosas máquinas de asedio de la época, en secreto, y las traslada cientos de kilómetros hasta las puertas de la ciudad, para iniciar el asedio. Acre, además, tiene un punto débil a explotar, que además no está defendido por ninguna de estas aguerridas órdenes: La torre maldita.

Siempre ha sido el lugar por el que ha caído la ciudad, y a pesar de haber sido reconstruida por los cristianos desde el sitio por el que Ricardo Corazón de León tomó la ciudad hace ya unos años, no está tan bien defendida como el sector de los templarios o el de los hospitalarios, fuerzas de élite, muy temidas por los musulmanes por su ferocidad, disciplina y entrenamiento.

Figura 2: La Caida de Acre

Jalil, el sultán de Egipto con su imponente ejército, inicia el sitio, jugando al gato y al ratón con los defensores, y acaba descargando su ataque más virulento contra el eslabón más débil de todo el perímetro: La Torre Maldita. Entran en la ciudad, y a pesar de que los templarios aún resisten unos días en su cuartel general, la ciudad cae en manos de los mamelucos del Sultán y desaparece así el último bastión cristiano en Tierra Santa.

Es un momento terrible de la historia, del que podemos sacar una serie de lecciones para nuestro entorno de la ciberseguridad:

1.     Los Silos. Los templarios, los hospitalarios, los teutónicos, los venecianos, los pisanos, los franceses, los ingleses... Cada grupo miraba por lo suyo por su segmento asignado, no había un liderazgo claro de la defensa ni una visión unificada de todo. Eso lo sabía Jalil, y por eso sacó partido de la división y de la falta de unidad. Para una buena defensa, hay que tener información en tiempo real de lo que ocurre. Y poder gestionar las múltiples capas para detectar y parar cualquier ataque.

2.    La autocomplacencia. El ejército del Sultán se presentó antes las puertas de Acre el día 1 de abril de 1291. Los defensores no tomaron conciencia del peligro hasta que no tuvieron el ejército del sultán encima, e incluso en ese momento, siguieron discutiendo. Es muy importante conocer los riesgos y prepararse para ellos. En este tiempo, además, con el incremento exponencial de la superfície de exposición a la que estamos expuestos, es fundamental ser humildes y ponernos manos a la obra, construyendo y desplegando una defensa en profundidad, y listos para gestionar cualquier tipo de incidente, leve o grave.

3.    El eslabón débil. Siempre tendremos un eslabón débil, una "torre maldita". Y sabemos que es el endpoint, el usuario final. Por eso se han disparado los ataques de phishing, y por ello, debemos desplegar herramientas que incrementen sustancialmente su nivel de seguridad, que tengan en cuenta que todos podemos caer víctimas de un engaño, para salvaguardar las llaves de la torre: nuestros credenciales. Así, un antivirus de nueva generación, que analice el código en ejecución y lo bloquee si detecta intenciones poco claras, un análisis de las conexiones a la cuenta, para detectar robos de credenciales o "account takeovers", y siempre capas y más capas, segmentando aplicaciones, dispositivos, usuarios... Y en época de acceso remoto a nuestras redes, aplicaciones y datos, hay que limitar y gestionar mejor nuestra infraestructura.

Figura 3: Acre hoy.

Hay más lecciones, y espero poder añadir alguna idea más a este artículo. Al leer estas navidades el excelente libro de Roger Crowley sobre la caída de Acre "La torre Maldita", me di cuenta de que estas lecciones se podían aplicar claramente a nuestro increiblemente activo y cambiante mundo de la ciberseguridad, con lecciones que son universales e imperecederas. En SonicWall empezamos el año pasado predicando sobre estos conceptos y el de "Boundless Cybersecurity", ciberseguridad en un mundo sin perímetro. Y hace tiempo que hablamos de que la joya de la corona, el eslabón más débil, es el endpoint, y detrás de él, el usuario. Hoy los ataques se dirigen a él, porque son más efectivos, más virulentos, más lucrativos. Así, hay que centrarse en desplegar capas de seguridad, sin olvidar este factor, centrándose en toda la cadena, pero con especial foco en el endpoint, en el ser humano. Porque la ciberseguridad es un asunto de tecnología, de procesos y, sobre todo, de personas.