Los ataques a infraestructuras críticas son un objetivo preferido para los ciberdelincuentes. He aquí por qué y qué se está haciendo para protegerlos.
¿Qué es la infraestructura crítica y por qué se ataca?
La infraestructura crítica son los activos, sistemas y redes físicos y digitales que son vitales para la seguridad nacional, la economía, la salud pública o la seguridad. Puede ser de propiedad estatal o privada.
Según Etay Maor, director sénior de estrategia de seguridad de Cato Networks«Es interesante notar que la infraestructura crítica no necesariamente tiene que ser plantas de energía o electricidad. El sistema monetario de una nación o incluso un sistema monetario global puede y debe ser considerado una infraestructura crítica también».
Estas cualidades hacen que la infraestructura crítica sea un objetivo preferido para los ataques cibernéticos. Si se interrumpe la infraestructura crítica, el impacto es significativo. En algunos casos, estos ciberataques a infraestructuras críticas se han convertido en otro medio de guerra moderno. Pero a diferencia de la guerra clásica, en estos conflictos los civiles y las empresas están en primera línea y se convierten en objetivos.
Solo un puñado de ejemplos destacados recientes incluyen ataques contra la red eléctrica de Ucrania en 2015, la intrusión en la red comercial de la planta nuclear de Kansas en 2018 y el intento de Corea del Norte de piratear la red SWIFT para robar más de mil millones de dólares. Sin mencionar el infame ataque al Oleoducto Colonial, que se ha convertido en el símbolo de los ataques a infraestructuras críticas.
Sin embargo, el objetivo de los ataques podría variar. Si bien algunos son de hecho una forma de prepararse para futuros conflictos al probar capacidades y defensas, otros pueden estar motivados por ganancias financieras, un intento de robar datos, obtener acceso o control remoto o interrumpir y destruir servicios.
Etay Maor agregó: «No son solo los estados nacionales los que atacan. También podrían ser los ciberdelincuentes que buscan obtener una ganancia monetaria o los hacktivistas».
Cómo se ataca la infraestructura crítica
Hay algunos tipos de ataques utilizados en la infraestructura crítica. Los principales son DDOS, ransomware (a través de spear phishing), explotación de vulnerabilidades y ataques a la cadena de suministro. Etay Maor comentó: «Algunas de estas técnicas son más difíciles de detener porque están dirigidas a humanos y no a tecnologías».
Bajo la lupa: Ataques a la cadena de suministro
Los ataques a la cadena de suministro son una forma clave de atacar la infraestructura crítica. Al igual que los bombardeos en la Segunda Guerra Mundial tenían como objetivo las fábricas que proporcionaban suministros a las fuerzas armadas, los ataques cibernéticos a la cadena de suministro tienen como objetivo a los proveedores de infraestructura crítica de la nación.
Etay Maor recuerda: «Estaba en la seguridad de RSA cuando fueron pirateados. Recuerdo dónde estaba sentado y qué estaba haciendo cuando me di cuenta de que había un ataque. Internet se cortó y todos los servicios comenzaron a cerrarse».
RSA no fue pirateado en un intento de obtener acceso a su propia red, sino como una forma de violar agencias gubernamentales y militares, contratistas de defensa, bancos y corporaciones de todo el mundo que guardaban sus claves secretas con RSA.
Cómo proteger la infraestructura crítica
Uno de los conceptos erróneos de la ciberseguridad es que cuantos más productos de seguridad se emplean, mejor es la seguridad. Pero la seguridad en capas que se compone de demasiados productos podría ser contraproducente.
Según Etay Maor, «Terminamos agregando tantos productos y procesos de seguridad a nuestros sistemas en los últimos cinco o seis años. Lo que hicimos fue agregar más grasa, no músculo». ¿El resultado de las docenas de productos de seguridad integrados? Fricción, especialmente cuando se trata de correlacionar información de ellos.
Gartner tiende a estar de acuerdo: «transformación digital y la adopción de modelos de implementación móviles, en la nube y perimetrales cambian fundamentalmente los patrones de tráfico de la red, lo que hace que los modelos de red y seguridad existentes queden obsoletos».
El papel de CISA
La gravedad potencial de los ataques a la infraestructura crítica ha llevado a las naciones a establecer una organización de defensa cibernética para defender sus activos críticos y prepararse para los conflictos.
CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) es el asesor de riesgos de EE. UU. Brindan apoyo y asistencia estratégica a los sectores de infraestructura crítica, con un enfoque en la protección de la red federal. Al asociarse con socios del sector privado y la academia, pueden brindar protección cibernética proactiva.
Algunas de las áreas clave en las que CISA se enfoca son la coordinación y comunicación de información sobre incidentes cibernéticos y la respuesta para brindar apoyo, asegurar el punto-gov dominio, ayudando a proteger el punto-com dominio para ayudar al sector privado, ayudando a asegurar la infraestructura crítica y pintando una imagen operativa común para el ciberespacio.
Uno de los programas que CISA está liderando es el Programa de Asesores de Ciberseguridad. El programa brinda educación y capacitación para la concientización sobre seguridad cibernética. Los asesores pueden ayudar a las organizaciones evaluando el riesgo cibernético de la infraestructura crítica, fomentando las mejores prácticas y estrategias de mitigación de riesgos, iniciando, desarrollando capacidades y apoyando a las comunidades cibernéticas y grupos de trabajo, creando conciencia, recopilando los requisitos de las partes interesadas y brindando apoyo de incidentes y lecciones aprendidas.
Creación de resiliencia en ciberseguridad
La resiliencia de la ciberseguridad es clave para prevención de ataques a infraestructuras críticas. Tal resiliencia surge de las acciones que toman las organizaciones. Esto incluye actividades como responder a incidentes adversos y obtener visibilidad de la red, por ejemplo, saber qué puertos y servicios deberían estar funcionando y si están configurados correctamente.
Hay muchos conceptos erróneos con respecto a la capacidad de desarrollar resiliencia cibernética. Aquí hay algunos y cómo se disputan:
- Afirmación: la resiliencia requiere un gran presupuesto.
- Realidad: Las organizaciones no necesitan un gran presupuesto, necesitan ajustar las soluciones que tienen.
- Afirmación: existe una solución mágica de ciberseguridad.
- Realidad: El enfoque de la organización debe ser poner en orden los métodos y prácticas «101», como visibilidad de la red y formación de los empleados.
- Reclamo: No seremos objetivo.
- Realidad: Ninguna organización es demasiado pequeña.
- Afirmación: Hay demasiado trabajo por hacer.
- Realidad: No obstante, es importante investigar las soluciones en función de sus propias prioridades.
- Reclamo: No es nuestra responsabilidad.
- Realidad: Todos son responsables
- Afirmar: El gobierno nos salvará.
- Hecho: La capacidad del gobierno para tener éxito se basa en las alianzas con el sector privado y la participación activa de ese sector para protegerse.
Para comenzar a desarrollar su propia resiliencia, responda estas tres preguntas:
1. ¿Qué sé del adversario?
Por ejemplo, quiénes son los atacantes, cómo operan, etc.
2. ¿Qué sabe el adversario de mí?
En otras palabras, ¿qué parte de mi red está expuesta?
3. ¿Qué sé de mí mismo?
La respuesta a esta pregunta proporciona información sobre cómo se ve la red y dónde es vulnerable. En otras palabras, esta pregunta se trata de ganar visibilidad en su propia red.
Para obtener más información sobre cómo opera CISA y cómo prevenir ataques a la cadena de suministro en infraestructura crítica, el La serie de clases magistrales de seguridad cibernética de Cato Networks está disponible para su visualización.