Idioma: Español
Fecha: Subida: 2024-11-05T00:00:00+01:00
Duración: 1h 27m 24s
Lugar: Mesa redonda
Visitas: 224 visitas

Ponencia 1

Descripción

Se trata de hacer streaming de las ‘II Jornadas de Desinformación y Defensa’, que se realizarán en salón de grados de la facultad de Comunicación y Documentación, los próximos 29 y 30 de octubre. Los horarios serían los siguientes:

• 29 de octubre: de 9.30 horas a 13.45 y de 16.30 a 19.45 h.
• 30 de octubre: de 10 a 13.45 h y de 16.30 h a 19.30 h.

Transcripción (generada automáticamente)

Escúcheme bien, vale. Bueno, buenos días a todos. Mi nombre es Javier Pastor Galindo, vengo de la Universidad de Murcia. Pertenezco al saber de dar, como bien mencionaba Ángel y bueno. En primer lugar, me gustaría agradecer la invitación, como verán en la presentación estado en inglés porque solemos estar en conferencias en diferentes países, diferentes continentes. Me alegra que al final también este tipo de eventos se van a la Universidad de Murcia, de donde venimos. Entonces, aunque veamos que son las transparencias en inglés, me enorgullece mucho que también podamos contar lo que hacemos en el saber de la, ante tantos estudiantes que tenemos en comunicación, como también al resto de gente que esté conectada en el streaming. Lo que vamos a contar hoy bueno antes también crea por supuesto agradecer tanto a familia como Ángel la invitación en estas jornadas que nos va a permitir un poco ver en este caso en esta ponencia. Estrategia de ciberseguridad y ciberdefensa, ciberinteligencia, aplicada a la desinformación. Normalmente en la Congreso se fundó hicimos esa inauguración el pasado lunes ya varios años trabajando ya en inteligencia artificial, en ciencia de datos en ciberseguridad, y se ve como una nueva amenaza. Los últimos años ha venido un poco afectarnos a todos, no solo en el ámbito civil, sino también en el ámbito militar. Un poco lo vamos a hacer hoy es un recorrido por los diferentes eventos recientes que había a nivel en el ciberespacio, que quizá creemos que es algo invisible, pero no, pero es algo que no existe y vengo con ejemplos concretos además muy reciente, 2013 a 2024, para que podamos ver que todo esto existe, que se utiliza para conseguir ventajas estratégica por parte de los diferentes países. Como esto es algo que tradicionalmente se abarcaba de la ciberseguridad, existen muchas herramientas, muchas estrategias que son útiles para luchar contra esto, y lo que se estaba trabajando en los últimos años y en los últimos meses es cómo aplicar todo esto para la lucha contra la desinformación. Veremos que hablo del título de desinformación, pero voy a hablar de algo más amplio, que son lapso, operaciones de influencia, que es algo un poquito más amplia en ese sentido. Por lo tanto, para contextualizar nivel de operaciones, en ciberespacio tenemos que pensar que son más que ciberataques un ciberataque. Al final es un correo electrónico que no llega posiblemente con un enlace malicioso. Posiblemente un mal Wert que nos dejara nos descargamos sin querer hagan caso de la superación del ciberespacio. Hay países que se encargan de lanzar este tipo de ataques coordinados muchas veces a diferentes objetivos con diferentes espacios temporales, diferentes lugares estamos hablando de algo bastante más avanzado y bastante más coordinado que lo que viene a ser un simple ciberataques. Vamos a recibir lo que estamos hoy aquí presentes, por eso hablo que son más, pero ciberataques. Me voy a referir en este caso a un reporte de Microsoft que se publicó en octubre, decía hace unos escasos días para ver cómo está el espacio de amenazas actualmente. Lógicamente algunos datos que voy a mencionar son exclusiva, son solo de una parte que ha podido encontrar en este caso en Microsoft, pero es una parte parcial de lo que realmente hay ciberespacio por poner algunos datos en Microsoft 78.000.000.000.000 de señales por día relacionado con ciberincidentes; eso significa que en los productos en este caso, en la referencia en milagrosos se identifican que hay comportamientos anómalos al orden de 78.000.000.000.000 al día; esto lo clasifican al final en diferentes diferentes categorías. No lo podemos destacar aquí. La actividad del cibercrimen, que tan relacionada con el aspecto más económico, robo a nivel de la parte de criptomonedas, roba los datos para tener un beneficio económico van; son web, que es algo que ha ido aumentando en los últimos años; son ellos aquellos virus que encriptan otros sistemas, y si no pagamos los perdemos. Luego está la parte de destrucción de datos que hoy en día selva el máximo valor que tenemos a nivel de sociedad. Las organizaciones en los países disrupción -hacer que esos servicios caigan esos portales web, los hospitales, las centrales nucleares, luego lo que tradicionalmente en defensa se ha llevado mucho la parte de espionaje es cómo podemos extraer inteligencia de una forma ilícita dentro del por ejemplo, Ministerio de Defensa, que están en países adversarios y por último, se identifican ya también como amenazas la operación de influencia, y particularmente la interferencia en elecciones. Todos estos elementos que aparentemente parece que son diferentes en el fondo confluyen para lo que hoy en día se conoce como operaciones en el ciberespacio. Son diferentes amenazas que de alguna forma hacen que se desestabilice un país hace que afecte a los diferentes activos que tenemos donde empresa, como la sociedad, como las diferentes personas que estamos hoy aquí presentes. Si esto lo hacemos una agrupación lo podríamos que la parte de abajo reaccionado con el robo de datos o el Ransom web cibercrimen es aquello que tradicionalmente se ha usado al final para tener un beneficio económico. Vamos a la parte más central, que está relacionada con ciber operaciones, aquellos ataques de denegación de servicio, aquellas ataques que tratan de hacer ese espionaje que decíamos, y finalmente tenemos la parte de arriba, que es las operaciones de influencia. Todo ello se puede al final definir bajo la nomenclatura de si operaciones de cíber influencia, donde tanto la parte ciber de las redes tradicionales como la parte de la desinformación de la operación de influencia que se realiza en redes sociales sobre todo confluyen y nos preguntamos, Quiénes son los encargados de hacer todo esto Bueno, pues existen diferentes grupos de amenaza, se llaman CETA actos en inglés, se identificaron en este caso miedosos más de 1.000 quinientas agrupaciones únicas, y estos son al final, agrupaciones abstracta, que se no, que son anónimas, no se entiende muy bien dónde tan se pueden? De alguna forma atribuya a determinados países muchas veces están financiados por países, otras a veces son praxis, que actúan a favor de un país en contra de un país y en función de a final del del de las diferentes, en este caso ponga empresa privada, se identifican actos estas actores con diferentes nomenclaturas. Por ejemplo, Microsoft agrupa a estos actores poniéndole nombre de fenómenos meteorológicos. Por ejemplo, si esto es esa operación de influencia, vienen de Vietnam, se le llama Ciclón? Le ponen ciclón 28, 5, 55. Esta nomenclatura se utiliza porque son anónimos. No sabemos exactamente quién hay detrás y para identificar la demanda internacional tenemos que mover en su nombre. Por ejemplo, creo extrae que es una empresa relacionada con ciberseguridad. Pues en función del país donde se identifican estas operaciones, en función de donde venga, se le ponen nombre de un animal, por ejemplo, de Rusia, aquellas operaciones de Rusia si identificamos actores, que en principio que inicialmente están en Rusia, se le llama osos, si esta enmienda se llama búfalos o en el caso de la pesca y que es otra entidad relacionada con la ciberseguridad, por eso le parece también diferentes nombres. Es decir, hay diferentes nomenclaturas. Muchas veces estamos refiriéndonos a un mismo actor, con diferentes términos. Si nos vamos, por ejemplo, a al 2024, actualmente existen insisto más de 1.500, por poner algunos ejemplos, y esto es algo que está en los reportes de inteligencia de Ciberdefensa, de Microsoft, tenemos que, por ejemplo, de Rusia, mientras solo llamaba 25, tenemos diferentes nombre de diferentes actores que están identificados por los objetivos que tienen, vale, por ejemplo, en Rusia. Estas operaciones de cíber operaciones principalmente se encargan de hacer espionaje; en el caso de China, que Microsoft lo determina con nombres de tifón se identifican principalmente al robo de datos y el espionaje; el caso de Corea del Norte, para el arroz de criptomonedas, o el robo de datos, o finalmente en Irán se identifican con nombres relacionados con tormentas de arena, y se identifican principalmente con espionaje, interferencia en las elecciones y ransomware. Como vemos, se combinan diferente activo, de ciberamenazas y también de amenaza de operaciones de influencia. Si podemos también identificar cuáles son las las los ataques que realizan, tenemos gráficos relacionados con cuáles son los objetivos principales. Existe una correlación directa entre las naciones que son atacadas y los conflictos armados que hay ahora mismo en el mundo. Siga si lo hago por zonas o las diferentes colores. Tenemos la parte de Norteamérica o América en general, donde el más atacado es Estados Unidos en el caso de Oriente Medio y África del norte principalmente Israel. En el caso de Europa actualmente es un planeta. España creemos que no somos atacado; si somos la quinta, el quinto país más atacado en este contexto europeo, luego en el caso del sur de Asia serían Taiwán, y en el caso de África, pues sería surafricana vale el fondo todo lo pase por todos los países. En una en una mayor escala, menor escala están constantemente recibiendo operaciones si se están recibiendo ciberataques, operaciones de influencia, si nos vamos particularmente a cuáles son los principales operaciones de influencia. Quiero contextualizar que al final del año 2024 más de 2.000.000 de personas se habrán votado en el mundo. Hay elecciones, las elecciones europeas; hay elecciones en Rusia, elecciones en Estados Unidos. En ese gráfico vemos diferentes elecciones que se van a dar. Lógicamente, esto es un vector de ataque, esto es un objetivo claro para la estabilidad, para estabilizar a estos países, y vamos a ver ejemplos concretos que se han dado en el año 2024, por ejemplo, en Taiwán, en enero de 2024 hubo unas elecciones, vemos ahí una foto y se identificaron diferentes ataques de influencia por parte de China en particular. En diciembre se identificaron que se crearon. Es verdad, lo voy a decir pequeños, pero sabemos que realmente no son niños, se crearon a final de noticias artificiales para de alguna forma, desestabilizar esas, esas elecciones o, por otro lado, en enero se crearon vídeos con inteligencia artificial, lo que se denomina Féix también para influir en el voto de aquellas personas que estaban en ese momento a punto de votar en igual. Por otro lado, si vemos en las elecciones de Estados Unidos, que son en noviembre, o sea, quedan escasas semanas, que es algo más complejo ya no estamos hablando de un país, sino que hay varios países que están intentando tener interferencia en las elecciones de ese país que además, en el ámbito geopolítico que al final donde nos estamos moviendo en esta presentación, Estados Unidos, ocupa una posición superimportante, por ejemplo, en China se identificó que han estado intentando influir, tanto en mayo como en julio. En este caso, si vemos la imagen de trampa, cuando hubo ese intento de asesinato, están manipuladas las sonrisas de la del personal que estaba en ese momento protegiendo al presidente una presidenta, al candidato, a la Presidencia. Lógicamente esto dejaba entrever que era algo que estaba realmente, querían dar a entender que era algo que estaba coordinado, que era favor forma parte del Gobierno que realmente era una falsa lo que había ocurrido cuando realmente está manipulada esas sonrisas. No son reales en el caso, por ejemplo, de Rusia, también tan constantemente queriendo interferir en la parte de Estados Unidos, en El País, en febrero y en abril. Por ejemplo, si vemos la parte de la derecha crearon noticias o artículos falsos donde de alguna forma tan trataban de crear discordia entre los diferentes ciudadanos para si de alguna forma o bien tener un resultado a favor de los intereses de Rusia, o, mejor dicho, crear un caos y una incertidumbre y una desconfianza general. Por último, mencionar también Irán, forma parte de todo este tejido geopolítico, y en este caso, por si utilizaron memes también lo que se denomina también la guerra. Mítica forma parte de una forma más una táctica, una técnica que se utilizan para ridiculizar de un aspecto más cómico para los diferentes actores que en este caso, como se está intentando hacer una ilustración cómica en marcha. Voy a ir un paso más allá y es cuando ya se integran diferentes tipos de operaciones no solo las de influencias sino también las las ciber puras, por ejemplo, entre octubre de 2023 entre junio y julio de 2024 en torno al conflicto de Israel por ejemplo Irán además de construir femeninos y fe ICS cuentas falsas etcétera para intentar influir en ese conflicto pues, por ejemplo, realizaron ciberataques, fines, una fibra operación contra los diferentes sistemas, en este caso sistema de agua que estaban controlados por controladores, por software que estaba creado en el territorio israelí, vale. Con lo cual, hechos un ciberataque que va directamente afectar a tecnología de Israel. Por otro lado, utilizaban el las fotos del mensaje que salía; en esas pantallas, de los sistemas que estaban jaleados, salía ha sido hackeado, y además todo el equipo, todos los sistemas contribuido por Israel, son susceptibles de ser atacada. Esto es una forma de ampliar el ataque que en redes sociales demostrar crear, generar miedo a las diferentes personas, diferentes empresas e instituciones que tienen en Israel, y además se hace una llamada. Oye todos los sistemas son posible. De ser atacados por parte de nosotros, y hay un tercer elemento que tampoco lo voy a tocar demasiado porque se llaman operaciones psicológicas, que tratan llamada de ir a un aspecto más personal, más emocional. En este caso se publicaban en redes sociales la imagen de un misil y ponía bajo el texto el régimen sionista. Ha cometido un error atacando al consulado. Vale entonces no forma también de generar miedo dentro de la sociedad israelí, por lo tanto se combinan diferentes amenazas, tanto el ámbito ciber, ciberataques puros y duros con la parte más psicología, más de influencia me gustaría también 2, 2, 2 transparencia relacionada con el uso de inteligencia artificial o PNIA, y la empresa que está que ha creado Change tiene acceso mucha vez a las conversaciones que utilizamos aquellas personas que hacen sus recetas tecnología, y también identifican en este reporte de 2024 reciente diferentes operaciones de influencia que se han llevado a cabo gracias al uso de Change. Qué uso han hecho de urgencia artificial para poder ayudar a crear este tipo de ataques de influencia? Suben interesante, por ejemplo, han sido capaces voy a. Vamos a ver si se ejemplos han sido capaces de identificar el uso de change ver en diferentes operaciones de influencia, en primer lugar con un actor de origen. En principio chino, una campaña de phising que es aquella que intentan enviar correo a nivel masivo para que alguien en su inocencia pique, y pueda descargarse un mal Huero pueden introducir unas carencias que luego van a ser utilizadas para robar, que la cuenta se veía cómo en esos chat con GMT en esas interacciones intentaban completar Escrichs, que era utilizado para la caja, que para para enviar esos correos electrónico preguntaban por vulnerabilidades que luego no iban a ser. Iban a ser explotadas. Con el marco, el que se introducían, a través de los correos electrónico, se programan esos mensajes de texto que asco a los correos, identificar cuáles son las temáticas interesantes que se van a escribir en esos correos para que aumenta la probabilidad de que en este caso en otros objetivos puedan pinchar o también se desarrollaba. Se le preguntaba Chad, GMT, que hubiese mensaje relacionada con el reclutamiento de puestos de trabajo para uso de change; vete directamente por los actores para poder de alguna forma, potenciar el efecto o el impacto que tienen sus operaciones, por ejemplo en el caso que hemos visto antes de Irán, que atacaban a los sistemas de controladores de los sistemas de agua, pues utilizaron change de cómo le instaron; por ejemplo, cuáles eran los frutos que estaban usándose, Israel en ese momento. Información. Reconectar inteligencia para cuando, a la hora de lanzar ese ataque, tener más probabilidad de poder acceder a esos sistemas. Preguntaron por el contraseñas por defecto en muchas ocasiones los sistemas. No les cambiaron las contraseñas mala práctica. Pues muchas veces se le preguntaba change, de que identificasen con eran las contraseñas por defecto que podría haber. Se preguntaba por vulnerabilidades. Si había escrito programas que intentaban lanzar este estos ataques, corregían los errores con mucha gente ofuscada en el código. Esto significa o es una técnica de ciberseguridad, pero básicamente lo que a priori es un programa lo intento integrar en una imagen intentado integrar en un PDF, salvo que se puede hacer o, por ejemplo, técnicas, identificar técnicas para escanear una red para el caso también de otro actor. Se atribuye a Israel por, por ejemplo, si para una campaña que hayan desarrollado mal web y se intentó enviar esto a diferentes actos a diferentes países, por ejemplo, directamente le preguntaba que le pedía que el programa sea un programita. Qué programas se un mal Wert para Android lo utilizaban también, para para corregir errores en el código, en código, para codificar un servidor malicioso al cual se conectan; una vez que hemos comprometido un sistema. También le pedían que tuviesen crear programas para poder analizar y descargar los datos de usuarios de Instagram, hacer traducciones de perfil en Linkedin, es decir que change, no solo lo usáis los estudiantes sino también la están utilizando los actores maliciosos maligno. Vamos a ver otros 3 ejemplos en este caso, por ejemplo, en Rusia, relacionado también con una operación de influencia donde hay ciertos usuarios que costeaban y también se creaban noticias falsas o, mejor dicho, páginas donde se ponen noticias, noticias falsas. En este caso es un actor conocido, pero se identificó que lo utilizaban para crear comentarios cortos, crear artículos largos, generar imágenes le preguntaban también a mucha gente cómo mejorar el engaño, decir cómo atraer a los usuarios a esas noticias, y también utilizaban atribuciones en diferentes lenguajes. En el caso, por ejemplo, de un acto relacionado con Estados Unidos se identificó actividad reaccionado con comentarios, utilizaban segmente para crear comentarios a nivel político; entonces lo utilizan para pedirle que hubiese comentario relacionado con determinados temas políticos, usando también el lenguaje ruso que creasen perfiles falsos, por ejemplo, con una descripción realista; un nombre realista de la forma que luego yo voy a desarrollar y lo creo general, biografías, analizar pagos o en el último caso también un actor de Irán relacionado con la influencia en las elecciones de Estados Unidos, pero también utilizaban, para crear noticias crear también diferentes inclinaciones políticas. En ciertos comentarios decir ya no solo ir a favor o en contra de una determinada posición, sino simplemente crear discordia o por ejemplo es crear con comentarios cortos o mejorar también. Vamos a hablar un poquillo más de la patria de identificación de estas operaciones, lo que quiero hacer. También esta presentación, hacer una analogía entre lo que estudiábamos en el ámbito de ciberseguridad, ciber operaciones y luego hacer una analogía con lo que podemos hacer en esas operaciones de influencia en el caso de estas operaciones. Lo importante es tener un engranaje a nivel de ciberdefensa desarrollado. Esto significa que no solo es necesario que nuestros equipos locales o las empresas se han protegido, sino que, a nivel de países de consorcios de diferentes entidades estatales, se pongan de acuerdo para hacer una defensa, una, una defensa colectiva real. Ciberseguridad básica local, lo que podamos tener nosotros en nuestros equipos tras obtener contraseña al final su mecanismo de seguridad. Vamos a tener un antivirus, podemos tener la propia esa actualización de ese sistema operativo, el del software, que vienen básicamente el 90 por 100 de los casos, a poner parche de seguridad o incluso fail Bor que todos nosotros tenemos en nuestro redundarán, en casa aunque no se va a ir cuando contratamos en Internet en casa, tuviera también con cierta protección. Eso es en el ámbito local si no vamos a un ámbito organizada organizacional, por ejemplo, la Universidad de Murcia, una empresa, una comunidad autónoma. Lo que se suele hacer es conectar todos esos sistemas, esas móviles, esos servidores, esas esos ordenadores para que todos los incidentes que tienen se lo comuniquen. Con un sistema de manejo de ciberincidentes que se llama así en inglés lo que se hace es concentrar todos esos eventos de tal forma que tenemos una visión un poco más global de nuestra organización y luego las los aspectos, aquellas organizaciones más avanzadas que suelen ser empresas, grandes o instituciones importantes. Quieren lo que tienen un centro de operaciones de ciberseguridad que es un elemento en el que ya hay personas trabajando 24 7 para poder hacer un identificación o sea una aplicación de contramedidas donde el ser humano también interviene porque había muchas ocasiones que el ciberataque, la automatización, las contramedidas están automatizadas, pero no en todos los casos es el humano quien tiene que decidir si se realiza una contra medida se realiza otra. Sin embargo, si nos vamos a un ámbito realmente ciber operaciones estamos hablando que son países que atacan múltiples países, son campañas muy sofisticadas con diferentes operaciones en danza a lo largo del tiempo. Con lo cual algo como un fallo por en local o un antivirus, en otro ordenador o un sí o según un un centro que que maneja excesiva incidentes en una empresa son parchecitos a lo que es un problema realmente internacional que afecta en un ámbito más global. Vale. Yo puedo parar un ataque relacionado pues un ataque de denegación de servicio que quiere. De alguna forma destruir servidor o para mí antivirus identifica un mal web lo paraliza. Pero la realidad es que estos ataques son mucho más amplios y afectan a la misma vez a muchos actores a lo largo del mundo. Por lo tanto, para hacer frente a las ciber operaciones necesitamos algo más y es algo más, es la ciberdefensa y en este caso la innovación en ciberdefensa; realmente para hacer frente a estas amenazas, que es algo insisto más global, con un impacto mucho más sofisticado, que en un simple ciberataque tenemos un reto, y es que tenemos que modelar esto de tal forma que todos entendamos de la misma manera las amenazas a la cual nos estamos enfrentando, ahí identifico 3 palabras clave porque necesitamos contextualización entre, sí tenemos que ser capaces de poder describir las etapas de los diferentes fases que tienen una civil, operación las evidencias relacionadas. Tenemos que tener ciertos estándares, porque tenemos que entender de una misma manera lo que está ocurriendo, entenderlo, de una manera común, de la forma que podamos aun tribu oírlo de manera coordinada y, por último, colaboración. Si yo identifico una campaña contra mi país, pero posiblemente esa ciber -operación está afectando a múltiples países tengo que comunicarlo porque yo puedo defender los intereses de mi empresa, los intereses de mis instituciones públicas, pero una cifra operación va más allá que eso entonces, todo lo que tenga que ver con inteligencia y en este caso compartición de información, es importante para ello si queremos comunicar todas estas incidentes entre diferentes países que tenemos diferentes lenguas, diferentes cultura por eso es importante tanto a los estándares como la modernización en un acuerdo común Cómo se caracteriza una civil operación pues tiene básicamente, según la Enisa, que es el Instituto de Seguridad de Europa 3, 3 fases, simplificándolo mucho. Luego veremos que realmente se complica bastante más. En primer lugar, se trata de hacer un desarrollo de los recursos que voy a utilizar en esa civil; operación, por ejemplo, creando cuentas falsas, creando servidores maliciosos que me van a ayudar en mi operación creando mal Wert; un segundo fase tan reaccionado con ya el propio acceso al sistema que yo quiero jaquean a la propia red, por ejemplo, como phising de otra forma, que yo pueda robar. Las creencias de una persona, explotan las vulnerabilidades que pueda tener, un sistema, va a poder tener acceso o incluso ataques de fuerza bruta, que no es más que probar muchas contraseñas, acta que con aquella que tú tienes configurada que muchas veces tenemos 1 2 3 4 5 6 por último una quita de contento estamos dentro de los sistemas ya el propio o el propio ataquen, sino el propio impacto que puede ser robar, datos encriptados con ransomwares o bien eliminarlos. Vale. Si nos vamos, si nos vamos a un aspecto un poco más general, porque lo anterior responde a una simplificación de un ciberataque. Si queremos caracterizar realmente una ciber -operación se suele hacer a través de la táctica técnica y procedimientos, que no son más que las diferentes fases de manera más específica, que pueden tener una activa operación. Por ejemplo, en la imagen vemos cómo percibe la operación, puede ser ganar acceso y, por tanto, del acceso a un sistema y después roban los datos que hay, eso estaría en la parte inicial de arriba. Eso sube. Se dividen en diferentes etapas que se llaman tácticas diferentes subjetivos. En este caso vemos que en primer lugar tienes que hacer un acceso inicial al sistema. En segundo lugar, tenemos que hacer ese robado de datos. Bajamos el nivel dentro de cada una de esas prácticas, de cada una de esas etapas. Realmente hay que seguir una serie de pasos a una serie de técnicas, en este caso el señalamiento lógica para implementar cada una de esas prácticas, por ejemplo, en la táctica relacionado con el acceso inicial al sistema. En primer lugar, tendría que hacer un disco; cubrimiento de los servicios que hay en la red; por ejemplo, hay un servidor web y en segundo lugar, la segunda técnica para ese acceso inicial sería identificar cuáles son los servicios y la vulnerabilidad que hay ahí a su vez. Eso lo podemos dividir cada una de esas técnicas en lo que se llaman procedimientos, que son las actividades y los pasos concretos que se utilizan en cada una de esas técnicas, por ejemplo, en el caso de descubrimiento de esos servicios, porque podría haber transaccional en particular, por ejemplo, descubrir cuáles son los sistemas que hay en remoto descubrir cuáles son, los llaman los Jocs de red o descubrir los servicios, que hay, algo más técnico, y tampoco voy a variar mucho en detalle, pero la idea que nos ve que quiero que veamos que hay que caracterizar una ciber operación en diferentes etapas, esto realmente es una simplificación. Lo que tenemos a nivel de estándar se llama mi trata vale. Se utiliza a nivel internacional, que es un una base global de diferentes tácticas técnicas y procedimientos que se han observado en incidentes reales, y esto sea categorizada a nivel estándar para identificar ante cualquier posible ciber -operación. Qué posibles prácticas y técnicas se están empleando, por ejemplo. En este caso la táctica tendríamos dentro de mi trata, que hay muchas prácticas posible siempre estaba ordenada desde el inicio de la operación hasta el final, y vemos cómo en este caso hay, pues el desarrollo de las de los recursos que se van a usar ese acceso inicial, ejecución -persistencia diferentes fases que tienen unas ciber -operación, por ejemplo, por el caso particular de un ataque de ciberespionaje que hizo en este caso bueno, puse a Bielorrusia, a diferentes países del Este, lo que hacían era identificar, en primer lugar, cuáles eran militares o políticos relacionados con la vial Lituania y Polonia. Intentaban robar las credenciales de sus correos electrónicos y luego, esos correos electrónicos comprometidos, que eran legítimos, realmente se utilizaba para distribuir mal web al resto de personal. Lógicamente, si a mí me llega un correo electrónico de una persona que es confiable con un correo electrónico institucional, voy a confiar pinchaban en ese enlace y se descargaban en ese manual queda utilizado luego para hacer ese espionaje, que no es más que leer cada una de las cosas que estás haciendo en tu sistema, o incluso descargan los propios datos que puedan tener sistemas, pues en este ejemplo concreto lo que se puede hacer es las diferentes tácticas. Identificar qué técnicas se han ido usando, por ejemplo, en el desarrollo, en el desarrollo de recursos. Pues una vez obtenidas que su uso es comprometer cuentas, bueno, pues eso es entendible a nivel internacional, esa técnica por todos los organismos relacionados con determinados países que quieren hacer frente a esta operación. De tal forma que sigan las diferentes táctica y técnicas. Yo. Soy capaz de categorizar de manera estándar cuáles son diferentes pasos que se han seguido los diferentes países por ejemplo de la OTAN de Europa o en este caso de la vía Lituania y Polonia serán capaces de entender de la misma manera como se ha llevado a tabaco como se ha llevado a cabo una determinada civil operación también me gustaría incluir de manera muy actualizada que en 2024 junto con macro sobre esta entidad que se llama 1.003 que define esta esta matriz de tácticas y técnicas han incluido además técnicas relacionadas con el uso se llama CMA que son grandes modelo del lenguaje básicamente de lo han identificado dentro de esta taxonomía, como también técnica que ya hemos visto que están siendo usada dentro de la civil. Operaciones, por ejemplo, para hacer esa generación, esa obtención de inteligencia. Para cuándo voy a hacer un ciberataque para soportar ataques de ingeniería social? Lo que hemos dicho. Cómo puedo yo hacer que mi mensaje tenga la temática que pueda ser de interés para mi objetivo, tranquilizando a GMT. Precisamente para eso ya lo hemos visto. Pues, será categorizado esa técnica de manera estándar. Junto con dudosos por ahí cuando haya un incidente, podamos de manera coordinada hablar exactamente en el mismo lenguaje, a nivel de inteligencia. Por tanto, todo esto al final quien lo categoriza o sea quién quién quién identifica esa civil operación quién le pone nombre quién dice la técnica, táctica y procedimiento que han sido usada en una determinada intrusión? Pues lo vemos aquí en este gráfico contexto. La OTAN tiene presencia en los últimos años en la parte, este de Europa valen y se identifica, y esto forma parte de las agencias a nivel gubernamental, agencia de ciberinteligencia de Inteligencia. Puede estar el Cifas que se la encargada de la inteligencia de las fuerzas, la inteligencia, perdón, la inteligencia de las Fuerzas Armadas puede establecer y pueda estar empresas grandes como macrofraude, como Google, el que tienen agencia particularmente encargada de identificar este tipo de operación en globales, y se identifica que efectivamente, en ese ataque de espionaje que vivimos hubo una, crea una manipulación de credencial, es decir, se comprometieron 80 cuentas de los países que estaban siendo han acabado y se envió más web para hacer el ciberespionaje a la vía Bolonia y Lituania a posteriori. Cuando todo eso ocurrió se hace lo que se denomina un análisis forense, que es para ver qué pasos se han seguido en esa operación. Para eso se utiliza la matriz que he mencionado anteriormente. Yo puedo reconstruir cuáles han sido los pasos de mi adversario de tal forma que yo pueda describir de una manera formal Qué cosas han ocurrido. Por ejemplo, en este caso existe la técnica, y si se identifican con un nombre, la they, 566. Ese es el perfil sin que es un correo electrónico muy sofisticado, porque es personalizado para ti; por otro lado, después se utilizaban archivo maliciosos, que es aquello que se descargaba cuando de haberse correo electrónico, y finalmente hayan entendido que se llama Valin a causas, porque se utilizaban realmente cuentas, que eran reales, decir cuentas de políticos y de militares que habían sido comprometida; y como era legítimo pues es un tipo de técnica hago uso de cuentas que son legítimas, que han sido jaleadas en estrellitas lo que vemos son ejemplos de lo que se denomina indicador de compromiso sindicalmente compromisos son evidencias particulares que se asignan a determinadas técnicas, por ejemplo en el ex -perfil, sin ese esos correos que tratan de engañar a la persona que lo están recibiendo venían, por ejemplo de dominios; un, caer de punto. Bueno, pues eso es algo que nos podamos caracterizar dentro de ciber -operación. El servicio que se utilizaban y tecnológico era ese, mete PP, tuvo en el caso de las del mar Wert, que se usaba para el ciberespionaje, se llamaba Radio estar y medio, que son los más conocidos en la comunidad o, por ejemplo, las cuentas que se comprometieron, que eran válidas, es decir, legítimas, de aquellos políticos o militares que se crearon, puedan encuentras en Jean de bloqueo o, en este caso, del Ministerio de Defensa, de Polonia, gracias a todo ha dado esta categorización. En primer lugar, nosotros podemos atribuir esto a un actor en particular, porque si estas operaciones ya se han visto a lo largo del tiempo y sé que lo han hecho un determinado actor, cuando yo veo a esa operación, creo y sufriendo, por atribuirlo exactamente actores, con el mismo patrón, pues en este caso es un acto que se llama o en ese 1.151 que, como decíamos anteriormente, estaba relacionado con Rusia para el caso también de una respuesta. Si yo sé los diferentes pasos que ha seguido mi misiva operación, la que he recibido por poner una contra medida mucho más personalizada, por ejemplo. En este caso sí sé que me han manipulado las credenciales y han podido acceder a esas cuentas. Verídicas o sea legítimas, perdón, pues una de las cosas que nos hace inmediatamente cambiar la contraseña. Otra de las cuestiones que se podían hacer es deshabilitada en las cuentas que han sido usada para hacer eso. Por lo tanto, una primera operación no es más no es más entre comillas; se puede ver como un conjunto de técnicas prácticas y procedimientos, de tal forma que si por ejemplo, identifico una nueva operación que está atacando a la infraestructura crítica de Estados Unidos y yo veo que las diferentes etapas se han seguido unas determinadas actividades y yo sé que esos patrones están relacionados con un actor en Rusia o están asociadas a un actor en China y automáticamente pueda inferir que sea, da que viene de China. Por otro lado, esto muchas veces no es posible. Muchas veces vemos si ven operaciones que hasta ahora no se habían visto. Se empiezan a identificar patrones determinados comportamientos en ESO ciberataques, y lo que sé lo que se hace en ese caso es empezar a crear grupos, no nuevos actores que, en principio, no sabemos de qué país vienen, y en ese caso, por ejemplo, en Microsoft, ese tipo de grupos, que aún no sabemos muy bien qué posible país hay detrás se llama con el nombre de tormenta vale. Entonces esos grupitos se pueden llamar esto 0 1. Estos 539. Cada 1 de sus actores están siguiendo unos determinados patrones, pero aún no sabemos a ciencia cierta. Qué país podría estar detrás. Todo esto que he comentado lo podemos usar para el aspecto de como para identificar operación de influencia. La realidad es que sí o al menos en lo que se está trabajando ahora vale. Vamos a ver la superación de influencia, lógicamente también tiene un aspecto global. Estamos hablando de que alguien crea un voto para que me atañe a mí o para cargar la Universidad de Murcia, sino que estamos hablando, insisto, entre temas geopolíticos. Yo quiero intervenir o interferir en un en unas elecciones. Quiero atacar el la reputación que tiene un determinado país, porque gracias a eso tengo que hacer gracias a la ciberdefensa, podemos hacer una aproximación similar a lo que hacemos con los ciberataques, pero con estos ataques más de desinformación, por lo tanto si exactamente la misma, la misma problemática que teníamos antes, necesitaba modelar esas operaciones de influencia, necesitábamos estándares para poder hablar en el mismo lenguaje las diferentes entidades, diferentes países y por último, tenemos que ser capaces de compartir esa inteligencia, porque de nada nos sirve que yo Javier identifique una campaña de desinformación, sino lo comunico, a la Universidad de Murcia, a España y en última instancia a diferentes países que involucre en esa operación de influencia. En este caso también tenemos 3 pasos principales, según la Enisa, que insisto, la Agencia de Ciberseguridad Europea, 3 pasos principales. En primer lugar, el desarrollo del contenido en esa operación de influencia básicamente identificar qué narrativa sobre relatos se van a potenciar. Por ejemplo, se podrían crear diferir, que son estas fotos o vídeos manipulada, con inteligencia artificial, o generar, o crea o no crear, recuperar la información que se va a usar precisamente para apoyar esa campaña de influencia. En segundo lugar, y relacionado con infraestructura, tendríamos lo relacionado con selecciona cuáles son los canales que se van a usar, que redes sociales y establecer activos que nos van a ayudar precisamente a desarrollar esa campaña de influencia, por ejemplo, crear sitio falsos, portales de noticia que realmente pueda hacer referir yo en mi mensajes sobre la legitimidad a mi discurso, el hecho de seleccionar cuál es la red social en función de los objetivos que yo tenga, si yo quiero influir en la gente joven quizá me vaya, dictó si quiero influir en la gente mayor quizá me vaya feísmo, y por otro lado podríamos son ejemplos, hay muchos más. Podríamos intentar poner de nuestro lado a los medios de comunicación tratando de atraer su atención. Por último, la patrulla de diseminación, que es el paso que realmente vemos nosotros cuando se lanzase contenido, pues se podrían desplegar Monés del Grupo de VOX automatizados. Que maximizan esos mensajes. Genera mucho contenido el frucking, inundar ese esa esa red social con mensajes a favor de mi narrativa o, finalmente incentivar la compartición de sus mensajes. Esto, como podéis imaginar también, es algo muy simplista, al igual que lo he dicho antes. Por lo tanto, se ha creado una matriz exactamente idéntica o idéntica análoga a la Mitra TAC. En ese caso, veíamos el MIT ataque, era una matriz con las diferentes tácticas y técnicas que se usan en un ataque ciber -operación. En el caso de divisas que se está este nuevo Trainguard trata de identificar cuáles son las tácticas técnicas y procedimientos que se pueden utilizar en una operación de influencia arriba. Vemos las diferentes tácticas de las diferentes etapas, que tienen una operación de influencia y tenemos, en primer lugar, planificar una estrategia; en segundo lugar, planificar los objetivos; luego analizar cuál es el objetivo, cuál es la audiencia que va a recibir esa operación de influencia en función del país al que yo vaya a atacar o en función lo que yo quiera conseguir. Voy a tener que identificar una audiencia u otra el desarrollo de narrativas Cuál es el mensaje que yo quiero dar? El efecto que yo quiero conseguir desarrollar el propio contenido relacionado con esas narrativas es establecer los activos que me van a ayudar precisamente a ello y luego una serie también de táctica. Lo importante aquí es que esto se estandarizado de tal forma que, ante una operación de influencia, podemos categorizar cada 1 de los pasos que han podido seguir, por ejemplo, en este caso, el actor que comentábamos anteriormente de ciberespionaje o en ese 1.151 que se asocia a Rusia y Bielorrusia era un actor que estaba atacando a la vía Bolonia y Lituania; siguiendo ese ejemplo, hubo un lanzamiento de una operación de influencia con narrativas antiguo. Tan vale, pues si nosotros vemos esa operación de influencia y nos vamos a esta matriz de divisaban. Nosotros podemos ir viendo cada una de las prácticas, cada una de las fases que se siguió y cada una de las técnicas que se usaron en esa en diferentes fases no voy a entrar en detalle, pero en rojo vemos marcado para este operación de influencia en particular cuáles son las prácticas, si tienen que adquirir subsano. Eso significa que España, Polonia, Estados Unidos, entienden de la misma manera un ataque. Si lo vamos a un ejemplo parecido ahí hay una errata es la operación de influencia el contexto es exactamente el mismo. Hay una presencia de la OTAN en los países del Este. En este caso hay una operación de influencia ante el ciberespionaje que está relacionado con un ataque, un ciberataque ahora es una operación de influencia en este caso narrativas anti anti anti OTAN que están particularmente lanzados en los países de la vía, Polonia y Lituania. Se hace un análisis forense que exactamente lo mismo que hacemos en ciberseguridad para este caso identificar cuál era en las diferentes etapas que se han seguido ponemos un ejemplo, la técnica perdón, la táctica no, esto es una técnica; la técnica desarrollo de narrativas de competencia, decir narrativas que van en contra de este caso de la OTAN; las estrellitas como decíamos era indicadores de compromiso, pero son ejemplos particulares relacionadas con esa. Con esa técnica, en este caso la narrativa serán anti Estados Unidos contra Estados Unidos, contra la OTAN. Otra técnica que se usó es crear o mejor dicho, no crear, utilizar webs legítimas, en este caso blocs para poder publicar allí noticias o publicaciones o post que iban a favor de esas narrativas, y por ejemplo, sabemos que se utilizaban esos 2 bloques; por último, se utilizaron. También utilizan una técnica que se llama el uso de expertos falsos; se crean cuentas que aparentemente son reales y que dan la sensación de que son expertos en el ámbito de este caso se identificaron, que habían 14 periodistas, que estaban enviando información relacionada con narrativas anti- Estados Unidos y antiguo, tan y es una de la técnica que también están contempladas en la matriz de risa, con lo cual, si nosotros vemos estos técnicas y vemos oye se hablaba anti -Estados Unidos y anti la OTAN. Ha utilizado esos 2 bloques y han utilizado hasta 14 esos 14 actores virtuales esos yo analicé el periodistas verdad podemos en primer lugar identificarlos con un actor por ejemplo si es anti Estados Unidos y anti-OTAN, y se están poniendo en blocs que están relacionados con Rusia porque quizás sea un actor ruso -bielorruso. Y si además vemos que han sido operaciones ya hemos tenido operaciones previas de influencia, que han usado esos bloqueos y han usado esas esas propias usuarios; podemos atribuir a un actor en esta operación de influencia y en segundo lugar podemos hacer una respuesta ante este operación de influencia, por ejemplo este caso, pregunte y que es aportar datos verídicos, ante una narrativa falsa o exponer a sus actores en este caso los todos los 14 cuentas falsas, exponer los con evidencia para de alguna forma quitar legitimidad dentro de las redes sociales. Hicimos también merecen un estudio que hicimos en saber editar la relacionado con estrategias que se usaron en 80 incidentes dentro de elecciones entre 2014 2024 vimos cuáles eran las estrategias que se usaban en esas operaciones de influencia. Vemos en las diferentes columnas. Son 7 estrategia que creo que identificamos en el lugar; simplemente el uso de narrativas directamente 97,5 por 100. Hacen uso de narrativas, lógicamente es el elemento central de una operación de influencia. En segundo lugar, tenemos con un 67 por 100. Se hacía uso de esa manipulación de narrativas aquí donde entraría la desinformación. Conecto lo importante que tenemos que ver. Que una operación de influencia no tiene por qué tener desinformación. Es una estrategia más, pero aquí vamos a ver que ahí se sigue desde otras estrategias que se pueden usar, por ejemplo. Contaminación de información sí; yo introdujo mucha información y muchos mensajes en una red social voy a hacer que la gente se distraiga voy a hacer que realmente los mensajes que tienen que llegar no van a llegar correctamente a los usuarios. Superávit y un 63 por 100; un 48 por 100 de lo que se hace simplemente es apoyar, narrativas que ya existen en esa red social; por ejemplo triplicando mensajes a favor; otra estrategia es la amplificación de narrativas un 42 por 100, lo que hace es realmente compartir o incentivar el hecho de que esos mensajes lleguen al máximo posible, a más usuarios, en más plataformas; luego hay una estrategia un 32,5 por 100 relacionado con ante una narrativa que ya existe. Yo lo que hago es hacer una contranarrativa, decir, creo, distorsión, lo que hago es tumbar la idea o el mensaje que se quiere dar en esa operación en favor de elaboración de influencia y, por último, lo que directamente ir a atacar a personas, usuarios o comunidades en concreto. La degradación de objetivos insisto, desinformación, es un una estrategia más, pero para influir no hace falta que haya desinformación, puedan lanzar narrativa que son verídicas, que son ambiguas. Puede amplificar una narrativa que ya hay, si yo lo amplificó en el fondo le estoy dando más bombo; por lo tanto, la operación de influencia es algo que tiene más repercusión y tiene más elaboración, que una simple fe Cómo reaccionamos. En este caso a todo esto vamos a ver primero la perspectiva de cíber operaciones y luego vamos a ver una analogía. Vamos a ver desde la perspectiva de operaciones de ciberataques tradicionales y luego cómo podríamos hacer frente a esto desde la operación de influencia para entender el asunto voy a poner el mismo ejemplo que estoy haciendo a lo largo de la presentación el actor o en ese 1.151 que se atribuye a Rusia o haberlos o a Bielorrusia lanza un determinado ciber operación contra varios países. Del este caso tenemos la vía Lituania y Polonia. Pues si vemos en esta imagen una civil operación es algo muy amplio. Puede haber diferentes tipos de ataques en diferentes tiempos a diferentes países, diferentes tipos de sistemas que son afectados y si no solo tenemos y Ciberseguridad local y organizacional. Es decir, tenemos nuestros fallos. Tenemos nuestros antivirus, eso está muy bien, pero si nosotros paralizamos un ataque, no estamos hablando, no estamos paralizando realmente la cibercooperación al completo. Vale. Entonces, por ejemplo, la vía puede tener un fallo porque identifica una TAC que el Lituania puede tener un antivirus, que identifica un mal web o el, por ejemplo, en Polonia, vaya un back up que se ha realizado con éxito. Todo esto a nivel local está muy bien de manera muy parcial que protege. Es ante esa operación pero no estamos poniendo solución a la raíz del problema, que es una operación global mucho más amplia para ello. Necesitamos una respuesta que tiene que ser coordinada entre los diferentes países y las diferentes entidades. Entonces, ante un ataque que es global, necesitamos una respuesta global. Eso significa que no solo tenemos que proteger entre todos los países y todas las instituciones compartiendo todo lo que sea necesario. Pues en este caso sí tanto Lituania como Polonia, como la vía son capaces de compartir las amenazas que están identificando en cada momento al mismo tiempo en el resto de países pueden ir incorporando en su base de datos, en su inteligencia todas esas operaciones que se van dando. Si todo esto además es en tiempo real. Genial, porque el ataque que afecta a un país automáticamente se preocupaba y se sabe que existe en el resto de países un efecto entidades. Está muy bien los países, también hay entidades que agrupan a otros países, la OTAN o también tenemos Estados Unidos, la Agencia Europea de Defensa. Todo esto es un conglomerado que hace que la ciberdefensa tenga que dar una respuesta global. Como compartimos esta información, para no quedarnos simplemente insisto en algo local, sino yo lo que quiero es generar inteligencia y compartirla para que absolutamente todo el mundo sepa la CIA ciber operaciones que hay en danza. Bueno, pues en tanto precisa que la agencia de ciberseguridad, ciberdefensa de Estados Unidos o la Enisa, tenemos plataformas donde diferentes organizaciones, instituciones públicas y empresas privadas pueden subir, reportes de inteligencia, donde se identifican cuáles han sido la operación en la civil, operaciones que han podido recibir información relacionada con los actores, las técnicas que se han usado, los indicadores de compromiso que se han identificado. Todo esto hace que la inteligencia que inicialmente estaba en un país o en una institución se comparta el resto de la comunidad. Esto es un ejemplo de lo que sería un incidente cíber en este caso era el ataque Irán y a las tecnológicas, la tecnología israelí en los sistemas de agua y lo que se hizo, pues es un reporte que se puede leer a nivel de PDF, donde hay una diferente información. En descripción del incidente podemos tener en los indicadores de compromiso en ese caso se ponen las firmas, diferentes archivos y mal Wert, que ha sido usado todo algo más técnico. La actividad del actor que han tenido, que se ha dado, por ejemplo, vemos en esa anexa tablita la técnica del, de la matriz que se ha usado en este caso ataque de fuerza bruta, el problema y para esto hay estándares males, existe el estándar NIS, vamos a ir a Río, a la 861 existe otro estándar, el ISO 27.035, que dicen cómo hay que elaborar ese tipo de informe. La importancia de los estándares, tenemos que hablar en el mismo idioma, tenemos que incluir la información necesaria para dar una respuesta común. El problema que tenemos aquí es que esto es muy lento. Yo mandé un PDF en la que lo tengan que leer, está en su mano, aunque le interprete esto no lo entiende un ordenador vale. Vamos a ver que realmente si queremos que esta inteligencia no solo vaya a nivel de PDF a una persona, sino que los ordenadores entiendan hoy, he tenido una ciber -operación. Voy a compartirla. La exhaustiva valoración que he tenido al resto de ordenadores que hay en mi sistema, voy a compartirla al resto, organizaciones quieren. Tengo que compartir que yo he recibido esta Civil operación bueno, pues, en lugar de ello compartieron PDF a un ordenador que no se va a enterar, ya lo digo, lo que le tenemos que mandar es un dando con un formato estándar, pues existe un formato que se llama, es tics que lo que hacemos ante un reporte en PDF con una determinada información de técnicas de descripción, los actores involucrada en una operación moderamos esos, dando en este caso con un estándar que se llama salvo el freaking trillones trillones esto es algo, es un lenguaje que se pueden implementar en un ordenador, de tal forma que, en lugar de que yo le pase a una persona un PDF, lo que hacemos comunicar ordenadores con este tipo de mensajes. Si yo recibo una operación, una ciberataque, construyó un objeto de un mensaje efectivo y lo mandó a otros sistemas de información; va a poder automatizar tanto la compartición de esta inteligencia como también la respuesta o la aplicación de contramedidas. Por lo tanto, si nosotros automatizamos todo esto, no hablaban de jefes a los simplemente de identificar estas amenazas y compartirlas con el resto de actores, hablamos ya de lo que se denomina la ciberinteligencia de amenazas ciber fracking cariños en este caso básicamente si nosotros se identifica bien la OTAN, Estados Unidos, la Agencia Europea de Defensa, un ataque de fuerza bruta que viene de esa dirección, IP, pues automáticamente, si tenemos sistemas de ciberinteligencia, se compartiría esas mensajes. Ese mensaje. Donde se modela esa ciber operación a todas las entidades que tuviesen conectada. Pues, en este caso, siendo la OTAN, pues esos mensajes de ciberinteligencia puedan llegar de manera automatizada a todos los todos los países que formen parte de la OTAN. Por lo tanto, si en un país de la OTAN se identifica un ataque y yo comparto los datos y las y las características que tienen dicho andan que de manera automatizada puede haber una respuesta en tiempo real o en casi tiempo real en los diferentes sistemas de todos los países, si yo si yo he recibido un ataque de denegación de servicio en Polonia a través de una derecha que viene de una dirección, dirección, IP en particular, yo quiero que en el resto de países sepan que yo he recibido una dirección IP, como le comunico yo que he recibido un ataque a la denegación de servicio, decir que rompen mi servidor a partir de 1 de una dirección IP lo comparto de esta forma a través de este mes. Este formato de datos, que es estándar. Por comentar también que a nivel lo que hemos visto antes a nivel de matriz, de ataque, de técnicas prácticas y procedimiento, era la parte de adversario, es decir, amenazas, existe una matriz análoga en cíber operaciones que se trata de identificar cuáles son las contramedidas que existen para remediar los civiles, los cibercooperaciones operaciones, las amenazas que veíamos anteriormente, que este caso se llama mi entre diferentes. Esto es importante porque no solo quiero recibir la inteligencia de una operación, sino también tengo que ser cabal de aplicar las medidas oportunas. Bueno, pues una forma estándar de representar que contra medidas, pues después utilizar es haciendo uso de esta matriz. No tenemos las prácticas en las diferentes columnas, diferentes etapas, las técnicas en las diferentes filas. Esto es interesante porque yo además de compartir las técnicas adversarial, es que se han usado decir. Como me han atacado. Yo también puedo sugerir al resto de países o al resto de instituciones cuáles son las contramedidas sí quiero que me entiendan. Necesito un estándar, porque 2 países tenemos que entender el fenómeno de las contramedidas de la misma forma, pues aquí hay una manera de ponernos de acuerdo y ponerle nombre a técnicas particulares de contramedidas, para esto muy brevemente, de que existen plataformas de inteligencia, por ejemplo en Siria, y es una plataforma donde podemos ver todo lo relacionado con el cíber, operaciones visualizaciones, podemos ver en las entidades que están siendo atacadas. Podemos ver los países que son atacados también en un mapa diferentes. Vulnerabilidades existentes, etcétera, también podemos con con esta acción inteligencia también podemos correlacionar. Eso significa que si yo pinto en un gráfico una ciber operación tenga, solo se trata del espionaje que estaba haciendo estos actores rusos a los diferentes políticos de la vía, Bielorrusia y Polonia, pero Rusia, no Lituania; Polonia. Si lo pintamos en un gráfico de con inteligencia, sería algo así. Nosotros identificamos el actor, que en este caso era insisto, la sociedad al Rusia, Bielorrusia 1.151, miramos los países a los que atacaban los sectores, los dogmas que se usaron era el videoclip y el radio e Israel estar, o los indicadores de Compromís. Sí. Yo añado, aquí: más inteligencia pueda empezar a correlacionar y a unir a partir de la accesibilidad. Por comentar lo toda esta automatización de reacción ante a ciber operaciones tenemos un proyecto de saber, de instalarse Amaiur guardián de 1 a nivel europeo, junto con tantas entidades de defensa y también de instituciones importantes a nivel europeo pues se está haciendo una plataforma, va a hacer una gestión inteligente de estos ciberincidentes y automatizarlo con inteligencia artificial Cómo reaccionamos, entonces, con la cooperación a las operaciones de influencia, podemos reaccionar de la misma forma de manera análoga con esta generación de ciberinteligencia, esta compartición, si es algo que estamos trabajando actualmente. Vamos a ver un poco la analogía. Retomamos esta imagen sí o sí el actor o en este 1.151 coordina una tacada influencia de determinados países? Es insuficiente que un país o una organización identifique que acompañada influencia tenemos que darnos cuenta todo y hace una respuesta común tenemos que hacer un modelo dado que ya hemos visto que vaya a ser concisa, más estándar. Tengo que compartir inteligencia, por ejemplo, que en la vía se se identifique una noticia falsa, que en Lituania se detecten-vos, de manera aislada, o que en Polonia se identifiquen narrativa que opinan. Oiga, pues a nivel local puede estar bien, pero si en una campaña de influencia global tiene que dar una respuesta global, tenemos que saber todo que esa campaña de influencia existe, y tenemos que hacer unas contramedidas globales. Esto sería un ejemplo de incide de inteligencia relacionada con los reportes a nivel humano de cómo podía ser una operación de influencia, como reportarla habría un nombre o un resumen, los incidentes, la narrativa que se han usado, las diferentes técnicas; se utiliza la matriz PISA que he comentado anteriormente para el caso de compartir la información. Si nosotros queremos que realmente no solo lo entiendan los usuarios a nivel de PDF, un analista o un político, sino queremos que los ordenadores automaticen una respuesta entiendan en esa plataforma de ciberinteligencia. Vamos, representa el mandato, necesitamos un estándar para realmente intercambiar esa información. Por redes tradicionales de manera equivalente a lo que hemos visto antes tenemos el formato es tics, de tal forma que nosotros podemos enviar estos datos moderados a nivel de la localización, las clínicas, que son usado las narrativas, etcétera. Por lo tanto, si nosotros identificamos en un país en una entidad, una campaña de influencia, con narrativas en contra de Macron por lo que podríamos hacer, es compartir esa incidencia a nivel de operación, de influencia con con esos mensajes a través de plataformas de ciberinteligencia. Por lo tanto, automáticamente todos esos países son sensibles o son conscientes de esa amenaza y pueden aplicar las medidas oportunas. Rápidamente. También existe una matriz a nivel de técnica prácticas y procedimientos en el ámbito defensivo. El diseño que en el fondo rojo es el que veíamos que eran técnicas, prácticas y procedimientos para realizar un ataque de influencia. En este caso existe una matriz análoga para como nos defendemos. Ante esa ataques de influencia sería un ejemplo el a forma de ciberinteligencia, en el cuerpo de visualizar de manera centralizada, por ejemplo, los posibles pasos que hubiera que hubo en un ataque, por ejemplo; o sea, una operación de influencia, desarrollo de narrativas cómo afecta cómo se desarrollaron el contenido a nivel de texto, etcétera, a nivel de correlación se puede hacer exactamente. Lo mismo. Yo identifico una operación de influencia, los incidentes, las técnicas que han sido usados o las narrativas falsas. Dentro de un gráfico por comentar también un aspecto importante que todo lo que hemos comentado anteriormente relacionado con la operación de influencia o vencido en Siria, y es la plataforma COSE, la pantalla de cohesión señalado el formato de datos es tics y diseñan que en la matriz técnicas, prácticas y procedimiento Estados Unidos y Europa se han puesto de acuerdo para usar lo que se llama Stack tecnológico que presentó ahí vale decir. Se han puesto de acuerdo Estados Unidos y Europa para que la compartición de inteligencia relacionada con la operación de influencia haga un uso de esos 3 estándares que he mencionado. Vale, por terminar comentar que estamos en un proyecto también europeo, de desinformación y operaciones de influencia que se llama UCI en este caso pionero en la lucha contra la supresión de influencia y la desinformación, y voy a comentar un poquillo sobre el que estamos actualmente trabajando. Están 22 países, o sea perdón 28 empresas y 12 países están las principales empresas relacionadas con Defensa, Indra, Hervás Leonardo como Universidad de normas que estamos la Politécnica de Madrid, la Universidad de Murcia y lo tenemos una serie de actores de empresas a nivel europeo que aportan al final su particular tecnología para la lucha contra la operación de influencia; objetivos, utilizar crear un conjunto de herramientas, potenciar la inteligencia artificial para hacer lucha sobre todo en el ámbito de la defensa, pero sabemos que al final vamos también a un aspecto dual donde se puede utilizar también en lo civil. Se llama turbo, que es una serie de herramientas que van a poder usar el Ministerio de Defensa y donde hay componentes con inteligencia artificial que automatizan todos esos procesos. También se está trabajando en la estandarización de todo lo que tiene que ver con la operación de influencia que estaba mencionando anteriormente, y esa compartición de inteligencia entre los diferentes actores como retos principales, identificar desinformación en etapas tempranas, desarrollar soluciones de ciberinteligencia, para compartir los incidentes en tiempo real. También desarrollar un elemento que se llama conciencia situacional, que saben todo momento como tal plano cognitivo de información en Europa, y todo eso insisto utilizando también inteligencia artificial que por ello en parte mi laboratorio está encargado situaciones o herramientas asociadas, pues si se quiere identificaba contenido falsos, se vayan desarrollando detectores. Identificar. El ratio de Cuentas trabaja con el lector de los patrones, técnicas, prácticas y procedimientos. También ser consciente de que la parte de ciberataques está integrado en todo esto, como he intentado transmitir en mi ponencia, o identificar también imágenes Ovidio que puedan estar alterados con inteligencia artificial, y no sé si tengo un par de minutos Sí. Claro, un par de minutitos para poner por ejemplo, que esto es de octubre de 20 o 28 de octubre, hace un par de días, Google, Microsoft, tienen plataforma de ciberinteligencia y suben constantemente Deportes. Y? En este caso, vemos que ya no tan común tener reporte de cíber operaciones o de operaciones de influencia, sino que tenemos ya aspectos más híbridos. En este caso Rusia, a nivel de espionaje y a nivel de narrativas, tratan de comprometer a los militares que están en Ucrania, con lo cual tenemos que tener al final no una visión de operaciones por un lado, y ofreciendo influencia, por otro lado que tener una visión integrada, que son lo que veíamos con el caso que hemos visto de la OTAN, de actos de Bielorrusia y Rusia, con respecto a los países del Este y la presencia de la OTAN en esos países, pues veamos que, por un lado, había elementos de ciberespionaje. Por otro lado narrativas antiguo, tan estamos ante realmente una operación, que es si de cíber influencia convergen los ámbitos donde el aspecto de la ciberseguridad pura y el aspecto de la influencia o la desinformación reporte de ese actor, vale un ejemplo descripción de ese actor. Cuáles son las técnicas que se han usado, la del mar Wert, que ha sido usado los países a lo que he atacado? Esto sería una integración de los 2 ámbitos a la izquierda. La izquierda tenemos en la operación de influencia, a la derecha tenemos el aspecto de cíber operación y ahora ya somos capaces, o la idea es ser capaces de conectar ambos mundos, en este caso la conexión a través del actor en la actual estación, no tanto operaciones en el ámbito del ciberespacio como en el aspecto más en el ámbito de la información. Por último, recalcar que todo lo anterior es una simplificación, todo es mucho más complejo. La cantidad de actores es enorme. La cantidad de países como realmente gestionar la ciberguerra es una reflexión que dejamos en el aire ante todo esto de esa visión integral. Bueno, pues también estamos en un proyecto europeo de defensa que se llama, que va a empezar brevemente se llama decir. Hay que tratamos de identificar ya estas operaciones avanzadas, que aúnan no solo el aspecto de influencia, sino también la civil, operaciones y hasta aquí ha sido todo. Muchas gracias y perdón por pasarme 5 minutillos, pues muchísimas gracias, Javier. No te presentado antes porque estando en la casa parecido me parecía que eran conocidos de sobra. Pero tenemos 150 personas conectadas online, a las que les voy a pedir. Les voy a pedir que si tienen alguna pregunta que inicien sesión y aplicando la máxima que me decía hace un momento nuestro, nuestro delegado de defensa, en capitán de navío, Gustavo Adolfo Gutiérrez de Rubalcaba , si vamos a ser muy flexibles con el tiempo de él, la pausa café está sobrevalorada, y yo me niego a perder la oportunidad de tener aquí ah, ah, bueno! Javier Pastor, doctor en Ciencias de la Comisión de la computación sin reservas en el grupo de investigación de ciberseguridad, de ciencia de datos en la Universidad de Murcia y especialista en ciberinteligencia, ciberdefensa y desinformación, como ha quedado, como ha quedado más que demostrado, me niego a perder la oportunidad de por un café a venderme por un café la oportunidad de explotar todos sus conocimientos, en lo que esperamos las preguntas tanto del público presente como de la audiencia online. Me gustaría hacer algunos, algunos comentarios. El borrado, las 3 cuartas partes de los comentarios que tenía porque había muchísimo porque era da pie a mucha. De esa muchas reflexiones. Tú tú charla. En primer lugar. Todo el ecosistema que he comentado hasta ahora al final, que es mucho más complejo de lo que aparecía en la presentación, es lo que pretendemos recoger en el libro, en el capítulo inicial del libro de desinformación y defensa del año pasado, el estudio que hicimos de todo el ecosistema, que se forma alrededor de las campañas de ciberinteligencia, de ciber, de desinformación o de cíber inteligencia, como, como esperamos denominar, es muy interesante porque hablamos de operaciones de influencia de Rusia y de Irán en las campañas electorales de Estados Unidos. Es curioso, porque tienen objetivos distintos. Cada 1 quiere que gane o no, con lo cual lo que sí consiguen desde luego es generar confusión no de alguna manera curioso, lo tendrán software por ejemplo, efectivamente, tú puedes pagar para que te devuelven tus datos, pero ellos también se los quedan, con lo cual al final estas estas, manteniendo la vulnerabilidad de que ellos siguen pudiendo utilizar tus datos. En cualquier caso, me ha parecido curioso que esté en Letonia, Lituania y Polonia, pero nuestra historia, a lo mejor, el hecho de que el Centro de Excelencia en Ciberseguridad de la OTAN esté allí y de que sufriera el ataque en 2007 Pues les ha inoculado de alguna manera, como, como decía ayer el profesor Nos inoculado sobre de ser tan vulnerables a estos a estos ataques. Ahí hay agencias, por ejemplo y resortes info, que se encargan precisamente de la identificación de este tipo de narrativas, independientemente de que de vincularlas a los ciberataques simplemente es la identificación de las narrativas, es decir, que también hay un ecosistema defensivo digamos o de protección en occidente frente a todas estos, todos estos ataques. Me gustaría recalcar aquí estamos en la facultad de comunicación la importancia de las humanidades. No sé si estarán de acuerdo en la importancia de las humanidades en todo este proceso esto no es solo tecnología, yo incluso diría que no es ni siquiera principalmente tecnología es principalmente pues psicología Sociología y Antropología filosofía comunicación con lo cual yo creo que es muy importante que estemos haciendo estas jornadas precisamente en la Facultad de comunicación; luego te quería hacer una una pregunta muy concreta que sería se ha hablado de la identificación de patrones de malo UER, por ejemplo no, y de cómo se está utilizando la inteligencia artificial para identificar estos patrones, pero, claro, eso de alguna manera también puede dar lugar a que se califique a esa inteligencia artificial de que se generen unos sesgos en la inteligencia artificial, en la identificación de esos patrones y que, por lo tanto, se pueda o bien va y pasear la identificación de la inteligencia artificial de semiautonomía automatizada e incluso de que se puedan generar el ataque de falsa bandera simulando ser o otro actor en función de lo que sabes que va a identificar ese elemento defensivo; sí de hecho, a nivel técnico, cuando nosotros usamos inteligencia artificial, sobre todo, la tradicional. Voy a dejar fuera de momento la indigencia generativa que la que está trabajando en los últimos 2 años 3 años. El principal problema que tenía la inteligencia artificial es que solo reconoce patrones para los que ha sido entrenado. Eso significa que si había actores que sabían o tenían información de que una inteligencia noticia no es capaz no ha sido entrenada con una amenaza se en particular cuando yo lance esas amenazas. Si la inteligencia artificial no he aprendido porque no ha sido entregada para ello a identificar esa eso ciberataque es lo que hacemos en base a las es exaltan la que ocurre. Una cosa superinteresante y es con la inteligencia generativa, que es lo que tiene que ver con los grandes modelos del lenguaje, los ll més change de. Estamos ante una inteligencia generativa, en la cual ya no dependemos de un entrenamiento o de una clasificación para decir esto Esto es un ataque, o esto no es un ataque a la inteligencia generativa ahora es capaz de crear nuevo conocimiento a partir de lo que ya hay. Eso significa que cuando nosotros podamos utilizar y se están metiendo en ello inteligencia generativa para identificar, por ejemplo, ciberataque. Vamos a poder ser capaces de detectar a ataques que hasta ahora nos habían sido vistos. Vamos a poder ser capaces de identificar ataques sin haber entrenado la inteligencia artificial para ello pongo el ejemplo más básico yo le digo a Change de que escriba una historia sobre equis temática. Con ello característica. La inteligencia artificial, generativa no ha sido entregada para crear esa historia, pero en base al conocimiento que tiene y en base a diferentes aspectos técnicos que ir por detrás y que no entrara en detalle es capaz de crear nuevo conocimiento. Habría luego que hacer una discusión filosófica o de si crea o no crea eso también es un ámbito también filosófico. Pero si extrapolamos ese ejemplo de que está creando, por ejemplo, un nuevo texto de la nada por todas, se podría identificar actores a ataques que no han parado, que no ha sido entrenado previamente. Estando de acuerdo, también es cierto que la inteligencia artificial generativa tiende a enrocarse en sus su, su generación de nuevo contenido, acaba simplificándolo y acaba en venido dándose con su propio contenido. De alguna manera, no. Entonces, pues a lo mejor podríamos al final, la inteligencia generativa como la implementamos los seres humanos no solo humanos, tenemos siempre seco desde que nacemos, hasta que no conteste el mundo por intentaremos reducir el riesgo siempre que creemos siempre creamos sí tenga la inteligencia artificial, pero el mundo está sesgado, los datos están sesgado, la realidad que vemos está sesgada, la inteligencia artificial más o menos mayor o menor medida siempre estará sean. Cada vez veo que tengo, tenemos online, gente que sabe muchísimo que hace preguntas mucho más inteligentes de las que las que puedo hacer. Yo no le dije que explique en qué consiste. En las operaciones saber electromagnética no soy experto en aspectos civiles electromagnéticos; sé que en el ámbito de la ciberdefensa yo estoy hablando en todo momento en el ámbito del ciberespacio que no es más que el las redes. Rutas ordenadores, servidores. También he estado hablando de la parte de operación de influencia, que es redes sociales. Fueron noticia en el ámbito electromagnéticos. Yo he hecho no lo he dicho, soy ingeniero informático, no soy ingeniero electrónico ni nada de eso; ha ido una parte relacionado con con años de defensa, con todo lo que tienen que ver con las señales a nivel de satélite; o cuando hay una guerra y despliegue del sistema electrónico donde existe también la guerra electromagnética; yo ahí no voy a aventurar a entrar, porque si entre poco y muy poco, si sigue matizar un poco mal a la pregunta, desde luego que seguro que ahí también la inteligencia artificial tiene un papel muy determinante. Pues muchas gracias. No me gustaría abrir el. Debate también a los que estáis aquí en la sala, en directo. Si hay alguna pregunta, alguna aclaración. Preferí el café. Estupendo, pues Javier, muchísimas gracias. La verdad es que interesantísima me lo tengo que estudiar con con mucha calma la presentación. Creo que todos hemos aprendido muchísimo y de nuevo expresar personal y creo que corporativamente también el orgullo y encantados que estamos de que estáis allí y de que se haya creado este este grupo. Este es verdad, a la vez. La Universidad de Murcia Navarra, mucha gracias a vosotros y vosotras por permita, no es lógicamente mencionada, que esto no es un trabajo mío ni de Javier, sino que forman parte de diferentes líneas de trabajo que queremos saber. De la grupo de más de 70 personas, y aquí entro dado un poco aglutinar, cuál es el contexto y la problemática al cual le intenta montar soluciones con proyectos con proyectos de investigación. Sí que muchas gracias y vamos al café.

Propietarios

UMtv (Universidad de Murcia)

Publicadores

Juan Miguel Aguado Terron

Comentarios

Nuevo comentario

Serie: II Jornadas de Desinformación y Defensa (+información)

Descripción

Se trata de hacer streaming de las ‘II Jornadas de Desinformación y Defensa’, que se realizarán en salón de grados de la facultad de Comunicación y Documentación, los próximos 29 y 30 de octubre. Los horarios serían los siguientes:

• 29 de octubre: de 9.30 horas a 13.45 y de 16.30 a 19.45 h.
• 30 de octubre: de 10 a 13.45 h y de 16.30 h a 19.30 h.