Infraestructuras críticas son foco de ciberataques en 2022

Los delincuentes son conscientes de que las infraestructuras críticas son fundamentales para el funcionamiento normal de la sociedad, y por lo tanto, de su gran atractivo en el mercado de la Dark Web.

Check Point Software señala cuatro elementos clave para una estrategia de ciberseguridad de extremo a extremo.

En mayo de 2021, Colonial Pipeline, el sistema de oleoductos más grande para productos refinados de petróleo en los Estados Unidos, sufrió un ciberataque dañino.

La brecha de seguridad, utilizando como punto de entrada una contraseña VPN vulnerable, causó que la compañía detenga sus operaciones durante varios días, lo que resultó en escasez de petróleo en la costa este.

Colonial Pipeline – Ataques a Infraesructuras críticas

Anatomía del Ataque

El ataque a la empresa de transporte de combustible Colonial Pipeline en mayo de 2021 fue realizado por un grupo de ciberdelincuentes conocidos como DarkSide.

Este grupo utiliza técnicas de ransomware para cifrar los datos de las empresas y exigir un rescate a cambio de la clave de descifrado.

En el ataque a Colonial Pipeline, los ciberdelincuentes utilizaron una técnica conocida como “phishing” para acceder a las cuentas de correo electrónico de los empleados de la empresa y enviar mensajes falsos que parecían legítimos.

Al hacer clic en un enlace o descargar un archivo adjunto, los empleados instalaron malware en sus computadoras, que luego fue utilizado para acceder a los sistemas de la empresa y cifrar los datos.

Una vez que los ciberdelincuentes han cifrado los datos, exigen un rescate a cambio de la clave de descifrado. En el caso de Colonial Pipeline, los ciberdelincuentes exigieron un rescate de 75 mil dólares en criptomoneda.

Es importante tener medidas de seguridad adecuadas, como contraseñas seguras y protección contra el phishing, para evitar ser víctima de ataques de ransomware.

Check Point , un proveedor líder de soluciones de ciberseguridad a nivel mundial, asegura que este es solo uno de los muchos ejemplos de lo devastador que puede ser un ataque a una infraestructura crítica.

El gobierno del Reino Unido afirma que existen hasta trece sectores que están bajo el término general de “infraestructura crítica”, incluidos los productos químicos, la energía nuclear civil.

También las comunicaciones, la defensa, los servicios de emergencia, la energía, las finanzas, los alimentos, el gobierno, la salud, el espacio, el transporte y el agua.

Todos ellos, que proporcionan servicios esenciales para el funcionamiento diario de la sociedad, son colmenas de datos sensibles y confidenciales.

Con los que los actores de amenazas pueden lucrarse fácilmente en la Dark Web, impulsando aún más la ciberdelincuencia y la interrupción de estos servicios.

Desafortunadamente, el potencial de interrupción generalizada no pasó desapercibido para los ciberdelincuentes.

Ciberataques a Infraestructuras críticas

De hecho, la Agencia de Ciberseguridad e Infraestructura instó al Reino Unido a actuar rápidamente, advirtiendo que su gobierno podría ser víctima de un ciberataque al estilo del 9/11.

Este año también se vió cómo las autoridades de ciberseguridad en Australia, Canadá, Nueva Zelanda, Estados Unidos y el Reino Unido apostaron por los defensores de infraestructuras críticas para prepararse ante la gran escalada de ciberataques surgidos a raíz de la guerra entre Rusia y Ucrania.

Este aumento del riesgo ya se ha producido en todo el mundo, con varios organismos nacionales y públicos en el punto de mira.

Desde los gobiernos de Cuba y Perú hasta las compañías de agua como South Staffordshire Water, así como el mayor operador de trenes de Dinamarca, y el Servicio de Salud Público de EE. UU., que se vio afectado por un ataque a la cadena de suministro.

Con el aumento de las tensiones políticas en todo el mundo, el potencial de otro ataque a las infraestructuras críticas no solo es preocupante, sino muy probable.

Desde Check Point Software hemos echado un vistazo a cómo se ve el panorama actual de amenazas y cómo las empresas, así como las agencias gubernamentales, pueden protegerse mejor.

¿Por qué las industrias críticas están más en riesgo?

Este enfoque en la infraestructura crítica es intencional.

Los ciberdelincuentes son plenamente conscientes del impacto que cualquier interrupción tiene en los servicios vitales, no solo financieramente sino también en la confianza pública.

Por ejemplo, en los servicios públicos, no se puede esperar que las personas se queden sin electricidad o agua, lo que significa que es más probable que las empresas paguen en caso de un secuestro por ransomware.

Los hackers también son muy observadores y atacarán durante los períodos de disturbios, por ejemplo, utilizando la crisis energética en curso como punto de entrada para el phishing o los ataques de intermediarios.

¿Qué es un ataque de phishing?

Un ataque de phishing es un tipo de fraude cibernético en el que el atacante intenta obtener información confidencial, como contraseñas, números de tarjetas de crédito o información bancaria, mediante la manipulación o el engaño de las personas.

Los ataques de phishing suelen realizarse a través de correo electrónico o mensajes de texto, y pueden parecer legítimos al usar logotipos y diseños similares a los de empresas o instituciones conocidas.

Sin embargo, en realidad son intentos de obtener información confidencial de forma ilegal.

Los atacantes de phishing pueden utilizar diversas técnicas para engañar a las personas, como hacerles creer que han recibido un correo electrónico de una empresa legítima o que necesitan actualizar su información personal en un sitio web.

A menudo, los ataques de phishing incluyen enlaces a sitios web falsos que parecen legítimos y piden al usuario que proporcione información confidencial.

Es importante tener cuidado al hacer clic en enlaces o proporcionar información personal en línea, y siempre verificar la veracidad de la fuente antes de hacerlo.

¿Qué es un ataque de intermediario?

Un ataque de intermediario es una técnica utilizada por los atacantes para obtener acceso a la información confidencial de un usuario o para realizar acciones en su nombre.

Los ataques de intermediario se basan en la vulnerabilidad de las comunicaciones de un usuario a través de una red.

Los atacantes pueden utilizar una variedad de técnicas para realizar un ataque de intermediario, como el uso de troyanos, phishing, ingeniería social y otros tipos de malware.

Para llevar a cabo un ataque de intermediario, el atacante primero debe conseguir acceso a la red de un usuario, ya sea a través de una conexión inalámbrica no segura o a través de un enrutador comprometido.

Una vez que el atacante tiene acceso a la red, puede monitorizar y controlar todas las comunicaciones que pasan a través de ella.

Esto le permite ver toda la información que el usuario envía y recibe, como contraseñas, mensajes de correo electrónico y otra información confidencial.

El atacante también puede utilizar un ataque de intermediario para enviar mensajes y realizar acciones en nombre del usuario, lo que puede tener consecuencias graves.

Por ejemplo, el atacante podría enviar correos electrónicos falsos desde la cuenta del usuario, acceder a su cuenta bancaria en línea o incluso realizar compras en su nombre.

Es importante protegerse contra los ataques de intermediario utilizando medidas de seguridad adecuadas, como utilizar contraseñas seguras y no compartir información confidencial a través de redes inseguras.

También es recomendable utilizar software de seguridad y mantenerlo actualizado para protegerse contra el malware y otros tipos de ataques.

Otro factor de riesgo común entre las organizaciones de infraestructura crítica es que todas tienen un alto nivel de tecnología heredada interconectada.

Esto podría incluir dispositivos antiguos, que pueden no usarse todos los días pero que aún están activos; o una máquina crítica para los procesos comerciales, pero que solo puede operar con software antiguo que no se puede parchear.

Gran parte de este legado, aunque reside en las redes administradas, no se encuentra dentro de la propiedad de los equipos digitales y de seguridad.

iOT un punto de entrada para ataques a infraestructuras críticas

¿Es el aumento de la conectividad el problema?

Este problema creció con la llegada de dispositivos IoT, que son increíblemente complejos de administrar y rara vez se construyen teniendo en cuenta la seguridad.

A medida que las empresas recopilan más datos y amplían sus infraestructuras de red, más atractivas se vuelven para los ciberatacantes.

Si bien el aumento de la conectividad amplía la superficie de ataque y dificulta su administración, existen tecnologías que ayudan a proteger los dispositivos IoT contra nuevas amenazas y hacen que este período de transición sea más fluido.

“Es importante tener un enfoque confiando que la seguridad puede acompañar y proteger el camino del progreso tecnológico en lugar de considerarlo un impedimento.

Si nos fijamos en la industria del transporte, cuando subimos a un avión, no tenemos idea si un piloto tiene el control o si solo está en piloto automático.

Pero todavía nos vamos de vacaciones y viajamos con confianza.” apunta Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica,

“Es posible construir el mismo nivel de confianza cuando se trata de avances en automóviles sin conductor, a pesar de su mayor conectividad y dependencia de TI.

Para llegar allí, los fabricantes deben incorporar seguridad desde las fases iniciales.

Si se diseña teniendo en cuenta la seguridad, es menos probable que los sistemas tengan vulnerabilidades que pueda explotar un atacante y en el caso de encontrarse alguna, se demore muchísimo menos en remediarlas.”

Este es un mensaje transferible que debe sustentar cada nueva decisión, en todos los sectores, pero especialmente en la infraestructura crítica.

Asegurando nuestro futuro

Muchas organizaciones cuentan con una buena gestión de riesgos, pero carecen de una estrategia de ciberseguridad de extremo a extremo que lo cubra todo, desde el compromiso de los empleados y la seguridad ‘trae tu propio dispositivo’ (BYOD).

Hasta la administración de firewalls y la protección antimalware.

Perder cualquier elemento puede crear vulnerabilidades con consecuencias perjudiciales. ¿Cuál es la conclusión de esto?

Check Point Software señala 4 elementos clave:

La comunicación es clave:

‘Solo eres tan fuerte como tu eslabón más débil’. Es crucial que haya un diálogo abierto dentro de una empresa, desde la sala de juntas hasta el departamento de TI.

Cualquier dispositivo que tenga acceso a la red de la empresa puede permitir que los hackers obtengan acceso si no se administra adecuadamente.

El problema se multiplica por el cambio al trabajo en casa y el trabajo híbrido, por lo que las organizaciones deberían hablar con los empleados y educarlos sobre cómo mantenerse seguros.

Visibilidad y segmentación:

Es imposible asegurar con éxito una red sin comprender los activos que contiene.

Hacer un inventario completo, incluidos los activos en la nube y los almacenes de datos, expondrá cualquier debilidad, como posibles actualizaciones de seguridad sin parches o dispositivos que tienen firmware obsoleto.

Una vez que haya mapeado la red, se pueden implementar estrategias como la segmentación, que crea barreras internas virtuales que impiden que los ciberatacantes se muevan lateralmente y creen daños generalizados.

La importancia del CISO:

El papel del director de seguridad de la información (CISO en inglés) es asegurarse de que la directiva tenga una mayor comprensión de los riesgos que enfrenta una empresa.

Su trabajo es influir y dejar estos puntos claros en un lenguaje fácilmente entendible para todos los cargos, así como explicar las consecuencias comerciales de una seguridad débil.

Existe una falta general de comunicación entre los CISO y el negocio, y eso debe cambiar para asegurar mejor nuestros servicios críticos.

¿Cómo mejorar los canales de comunicación?

La comunicación efectiva entre el CISO (Chief Information Security Officer) y el negocio es clave para garantizar la seguridad de la información y proteger los activos digitales de la empresa. Algunas formas de mejorar la comunicación incluyen:

Establecer canales de comunicación abiertos: Asegúrate de que el CISO tenga acceso a todas las personas clave del negocio y que pueda comunicarse con ellas de manera regular y directa.
Hacer que la seguridad sea una prioridad del negocio: Asegúrate de que la seguridad sea una parte integral de la cultura empresarial y que se promueva en todas las áreas de la empresa.
Explicar la importancia de la seguridad de la información: Asegúrate de que todos en el negocio comprendan la importancia de la seguridad de la información y cómo puede afectar negativamente a la empresa si no se protege adecuadamente.
Fomentar la colaboración: Trabaja para promover la colaboración entre el CISO y el resto del negocio para que puedan trabajar juntos para resolver problemas y tomar decisiones importantes.
Proporcionar formación y recursos: Asegúrate de que el CISO y el resto del negocio tengan acceso a la formación y los recursos necesarios para comprender y proteger la seguridad de la información.

Necesidad de una autoridad general:

Está claro que las empresas de todos los sectores necesitan elevar sus programas de ciberseguridad, pero no pueden hacerlo solos.

Es necesario un organismo regulador unificado que pueda ayudar a estos sectores a implementar prácticas estándar para reducir las disparidades en el gasto en ciberseguridad.

La infraestructura crítica es un faro brillante que atrae a los ciberdelincuentes de todas partes del mundo.

El nivel de amenaza sigue creciendo, y las consecuencias sólo se vuelven más graves.

Es por eso que Check Point Software resalta lo fundamental que es tomar medidas de manera inmediata.

¿Cómo se estructura un plan de Ciberseguridad?

Un plan de ciberseguridad es un conjunto de medidas y acciones destinadas a proteger a una organización de posibles amenazas en el ciberespacio. Para realizar un plan de ciberseguridad, es necesario seguir los siguientes pasos:

Identificar los activos de la organización: Es importante conocer qué es lo que se desea proteger, ya sea información, sistemas o redes.

Evaluar los riesgos: Una vez identificados los activos, es necesario evaluar qué tipo de amenazas pueden afectarlos y cómo podrían hacerlo.

Establecer medidas de protección: A partir de la evaluación de riesgos, se deben establecer las medidas de protección necesarias para mitigar los riesgos identificados. Estas medidas pueden incluir políticas de seguridad, medidas técnicas (como firewalls o encriptación de datos) y medidas de gestión (como la formación de personal o la implementación de procesos de gestión de incidentes).

Diseñar un plan de respuesta a incidentes: Es importante tener un plan de respuesta a incidentes de seguridad para saber cómo actuar en caso de una amenaza o un ataque.

Evaluar y actualizar el plan de forma regular: Es necesario revisar y actualizar el plan de ciberseguridad de forma regular para asegurar que sigue siendo efectivo y adaptado a las necesidades de la organización.

En resumen, realizar un plan de ciberseguridad requiere un análisis cuidadoso de los activos de la organización y de los riesgos a los que están expuestos, así como la implementación de medidas de protección y un plan de respuesta a incidentes. También es importante evaluar y actualizar el plan de forma regular para mantener la protección adecuada.

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

Lea más de ciberseguridad

Ciberamenazas: predicciones para los próximos 12 meses

Ciberseguridad 2023: perspectivas del editor

Godfather: el troyano bancario que cierra las amenazas 2022

Kaspersky: crecen de más de 230% los virus de criptominería

Navegador Web: ¿aislarlo comienza a ser tendencia 2023?

Infraestructuras críticas, Infraestructuras críticas, Infraestructuras críticas, Infraestructuras críticas, Infraestructuras críticas, Infraestructuras críticas, Infraestructuras críticas, Infraestructuras críticas, Infraestructuras críticas, Infraestructuras críticas,