Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CAPEC en el mundo SCI

Fecha de publicación 18/04/2024
Autor
INCIBE (INCIBE)
Interior de una fábrica

Antes de comenzar a hablar de CAPEC (Common Attack Pattern Enumeration and Classification) hay que entender qué son los patrones de ataque (Attack Patterns). Dichos patrones se tratan de distintas cualidades o características que hace diferenciar unos ciberataques de otros, como por ejemplo que un atacante pueda acceder al dispositivo porque la víctima haya entrado en una url maliciosa que se te ha enviado en un correo, o que, al descargarte un archivo, el archivo se encuentre infectado y se descargue un virus concreto, etc. Todos estos patrones son conocidos gracias a la inversión que se hace en la investigación de los ciberataques ya que, para conocer dichos patrones, se necesita mucho tiempo y muchos datos para así asegurar que los patrones de ataque sean los correctos y el error sea mínimo.

Para conseguir dicha información, actualmente hay muchas tecnologías, una de ellas es el honeypot, una tecnología que simula un proceso o una actividad de la empresa para que el atacante realice ataques a dicha simulación y no a la que está en producción. Permitiendo investigar todos los ataques que ha sufrido el honeypot para encontrar unos patrones de ataque y mejorar la ciberseguridad de la máquina a la que se está simulando.

Otra forma de obtener nuevos patrones de ataque es monitorizar las comunicaciones y actividades que realizan los dispositivos para guardar toda la información necesaria tras sufrir un ciberataque.

CAPEC fue establecido por el U.S. Department of Homeland Security como parte del SwA (Software Assurance) que fue una iniciativa del CS&C, inicialmente se realizó en el año 2007 pero, a lo largo de los años, ha ido mejorando con la ayuda de múltiples participaciones y contribuciones hasta llegar a ser un mecanismo para identificar, coleccionar, mejorar y compartir los patrones de ciberataques con la comunidad de ciberseguridad. Por lo tanto, el CAPEC se trata de un catálogo donde se puede reflejar los ciberataques más comunes para así poder ayudar a la comunidad a comprenderlos y así poder implementar nuevas medidas que puedan evitar sufrir dichos ciberataques.

Funcionamiento CAPEC

En la página oficial de MITRE: CAPEC - Common Attack Pattern Enumeration and Classification (CAPEC™), se encuentran múltiples opciones, siendo la lista de CAPEC una de las más interesantes . En esta lista se encuentra los diferentes mecanismos de ataque, ordenados por las siguientes categorías:

Mecanismos de ataque

- Mecanismos de ataque. Fuente -

Estas categorías son muy genéricas ya que se encuentran formadas por diferentes subcategorías denominadas meta patrones de ataque que, a su vez, están formados por diferentes patrones de ciberataques de distinto tipo, como por ejemplo patrones detallados o patrones estándar. La imagen siguiente ayudará a comprender un poco lo anteriormente explicado.

Categorías de mecanismos de ataque

- Categorías de mecanismos de ataque. Fuente -

Al seleccionar en un patrón concreto, aparecerá una nueva página con una descripción concreta de ese patrón, otros patrones que se encuentren relacionados con dicho patrón, las consecuencias que puede acarrear tras sufrir este ataque y su relación con la taxonomía de MITRE ATT&CK, como se muestra en la siguiente imagen. 

Ejemplo CAPEC

- Ejemplo CAPEC. Fuente -

CAPEC en sistemas de control industrial

Debido a las nuevas actualizaciones del CAPEC y a los continuos ciberataques que sufre el sector industrial, se ha realizado una lista donde se pueden observar todos los patrones que se han detectado que se encuentran relacionados con el mundo industrial. En la siguiente imagen se observan todos los patrones detectados que se encuentran relacionados con el sector industrial.

- Patrones SCI. Fuente -

Conclusión

Por un lado, gracias a este tipo de iniciativas, el sector de la ciberseguridad está creciendo considerablemente ya que ayudan a tener un cierto nivel de inteligencia que permite anticiparte a sufrir un ciberataque o a saber cómo eliminarlo o mitigarlo cuando acontece.

Por otro lado, este tipo de actividades ponen en contacto a especialistas en el sector que tratan de compartir sus conocimientos para que la ciberseguridad tenga cada vez una madurez mayor.

Finalmente, que este tipo de iniciativas se empiecen a introducir en la ciberseguridad industrial es un gran paso adelante ya que el sector industrial es uno de los sectores donde la madurez en ciberseguridad es bastante baja y los daños que pueden ocurrir son muy altos, tanto para la sociedad y para las empresas. Este bajo nivel de madurez se debe a que hasta hace poco los dispositivos estaban conectados de forma local y el acceso a dichos dispositivos únicamente solo se podía realizar de una forma física, por lo que la ciberseguridad no era algo tan crítico, sin embargo, en la actualidad, esto ha cambiado.