Infraestructura crítica en riesgo, cuando los ciberataques se convierten en un arma de guerra
Marc Asturias pfiszman@fortinet.com | Viernes 07 febrero, 2020
Los sucesos de las últimas semanas han puesto al mundo en alerta sobre nuevas formas de ataques que pueden afectar a la estabilidad política internacional. Hemos estado leyendo sobre la posibilidad de ataques ciberterroristas a gran escala, de hacktivismo, robo cibernético para obtener fondos a ser utilizados para terrorismo y actos contra infraestructura crítica.
Los ciberdelincuentes tienen muchos incentivos distintos detrás de sus acciones. La noción común es que la mayoría de los hackers y criminales buscan ganancias monetarias. Sin embargo, crear inestabilidad en un país en particular puede ser la principal motivación por parte de estados nacionales adversarios, ciberterroristas o grupos de hackers que buscan una ventaja estratégica, militar, de terror, económica, política, o un cambio social.
Los ataques dirigidos a la infraestructura crítica de un país han tenido éxito en el pasado, incluida la interrupción de la red eléctrica de Ucrania en dos ocasiones distintas entre 2015 y 2016. Más recientemente, el gobierno de los EE. UU. advirtió a las plantas de energía nuclear de una mayor amenaza de ataques cibernéticos en sus instalaciones. Las infraestructuras críticas de América Latina también enfrentan amenazas y riesgos similares.
La infraestructura crítica son aquellos sistemas y activos, ya sean físicos o virtuales, tan vitales para un país que la incapacidad o destrucción de dichos sistemas y activos tendría un impacto debilitante en la seguridad, la económica nacional, la salud pública o cualquier combinación de estos asuntos clave. Como infraestructuras críticas se consideran desde redes de agua, energía y sistemas hidroeléctricos, sistemas de transporte y comunicaciones, sistemas gubernamentales y militares, sistemas de salud, hasta servicios financieros y servicios de emergencia. Si se ven comprometidos por un ciberataque, cada uno de los activos de estos sectores podría interrumpirse bruscamente o se podría evitar que funcione de forma segura y confiable. Un cambio tan dramático causaría un impacto debilitante sobre la estabilidad económica de un país y el bienestar público. Las vulnerabilidades dependen de la infraestructura particular bajo ataque y de los vectores de amenaza presentes.
De igual modo, no todos los atacantes son iguales. Conocer a quiénes nos enfrentamos, es una forma de estar mejor preparados. Aquí algunas definiciones:
- Hacktivistas: Son grupos motivados por la indignación política, social o moral, que representan ideas con las que no estamos colectivamente de acuerdo. En general utilización de forma no-violenta herramientas digitales ilegales, persiguiendo sus fines ideológicos. El uso de botnets para tomar control de millones de dispositivos en el mundo es una de las herramientas más utilizadas. Estos dispositivos esperarán luego las instrucciones del servidor de Comando y Control (C&C) para ejecutar ataques de denegación de servicio a objetivos políticos, destrozan sitios web para dar visibilidad a las ideas de estos grupos y publican datos personales de sus objetivos por hacerles un daño político reclamando las fugas para sus fines.
- Cibercrimen organizado: La mayoría de las veces, estos ciberdelincuentes participan en ataques masivos impulsados por las ganancias. Por lo general, buscan información de identificación personal como números de seguridad social, registros médicos, tarjetas de crédito e información bancaria, y extorsión. Estos criminales comenten estafas de phishing, ingeniería social, compromiso de correo electrónico comercial, botnets, ataques de contraseña, kits de explotación, malware, y ransomware.
- Ciberterroristas: Su objetivo es intimidar y sembrar el terror, causando trastornos, caos y daños. Los ciberterroristas son grupos que pueden estar o no bien financiados, pero operan con destreza para atacar a sus objetivos de alto perfil. Son capaces de interrumpir sitios y servicios de Internet, infiltrarse en sistemas para robar datos confidenciales y exponerlos públicamente, robar entidades financieras en busca de fondos para sus actividades, y posiblemente causar daños graves o muertes. Corromper información e infraestructura crítica con el objetivo de desestabilizar o destruir es un objetivo común de los ciberterroristas.
- Cibersoldados: Son grupos nacionales o externos auspiciados por gobiernos que suelen estar bien financiados y a menudo construyen ataques sofisticados y dirigidos. Normalmente están motivados por agendas políticas, económicas, técnicas y militares. Sus misiones incluyen espionaje, divulgación de información confidencial y extorsión, utilizando también armas cibernéticas específicas para interrumpir, dañar o destruir infraestructura crítica. Estos actúan en interés nacional y militar del gobierno de su país y tienen los recursos no solo para utilizar cualquier método de explotación que exista, sino también para desarrollar nuevas amenazas. Sus métodos bien conocidos son aprovechar vulnerabilidades sin parches en sistemas operativos y aplicaciones, utilizando ataques no conocidos, los llamados de "día cero", ataques de contraseña por email como “spear phishing”, ingeniería social, compromiso directo, exfiltración de datos, troyanos de acceso remoto y malware destructivo.
- Ciberamenaza interna: Los atacantes internos suelen ser empleados descontentos o exempleados que buscan venganza o algún tipo de ganancia financiera. A veces colaboran con otros actores de amenazas a cambio de dinero. Estos suelen exfiltrar datos y usan indebidamente sus privilegios.
- Otros: Algunos atacantes son simplemente oportunistas o aficionados impulsados por el deseo de notoriedad, pero a veces también son investigadores de seguridad / piratas informáticos profesionales que buscan obtener beneficios al encontrar y exponer fallas y vulnerabilidades cibernéticos en sistemas y dispositivos de red. También un error interno del usuario o error humano puede resultar en brechas en las configuraciones que pueden reducir los recursos críticos.
Abordando los riesgos de un ciberataque a la infraestructura crítica
Las responsabilidades a través de los intereses públicos y privados están cambiando hacia una responsabilidad compartida de seguridad entre los gobiernos, los proveedores de tecnología y los propietarios/operadores de infraestructuras críticas.
El cumplimiento de estas responsabilidades son claves para el éxito de una nación en la protección de su infraestructura critica, pero esto depende de un plan de acción eficaz que tenga en cuenta el enfoque, la cultura y las nuevas ideas es la clave para la consecución. La historia ha demostrado que las iniciativas lideradas por el sector privado pueden movilizarse más rápidamente a través de alianzas público-privadas y marcos de colaboración que promueven la gobernanza, los roles y las responsabilidades, los estándares, el intercambio de inteligencia de amenazas y mejores prácticas.
Al reconocer estas amenazas, abordarlas de manera colectiva y comprender la necesidad de soluciones integrales, se puede desarrollar un enfoque de ciberseguridad unificado para proteger a las infraestructuras criticas a las cuales todos dependemos. Mediante alianzas publico-privadas y colaboración, los expertos en seguridad combinan estrategias avanzadas de segmentación, visibilidad, análisis y respuesta, las cuales pueden garantizar la seguridad y confiabilidad de nuestra infraestructura crítica para continuar brindando los servicios esenciales a la ciudadania en los que todos confiamos.
Por Marc Asturias, vicepresidente de Marketing, Comunicaciones, Relaciones Publicas & Asuntos Gubernamentales de Fortinet