Los ciberataques relacionados con el ransomware a la infraestructura crítica han aumentado de manera sorprendente en los últimos años, siendo la pandemia de COVID-19 un actor clave que detonó “una nueva generación de infraestructura crítica” en objetivos estratégicos para la ciberdelincuencia y esencial en el crecimiento gradual de este tipo de amenazas.
El 27% de los incidentes de malware notificado en 2020 fue atribuido al ransomware, el cual de acuerdo con la consultora Gartner tiene un impacto mayor en una organización que una filtración de datos. Asimismo, pronósticos de Cybersecurity Venture, apuntan que cada 11 segundos una empresa será víctima de un ataque de ransomware a nivel mundial en 2021.
De acuerdo con estimaciones de Oswaldo Palacios, director de Ventas para México y América Latina de Guardicore, los ciberataques hacia la infraestructura crítica en 2020 se incrementaron en un 50%, mientras que para 2021 se espera un aumento del 80%. “Los ataques de ransomware seguirán ocurriendo cada vez con mayor frecuencia, ya que los ciberdelincuentes han encontrado un nicho muy lucrativo con este tipo de malware”, advirtió.
En el pasado, los ciberataques a la infraestructura crítica estaban dirigidos principalmente a los sectores de energía nuclear, red eléctrica, petróleo y la defensa, sin embargo tras la pandemia los tres sectores más afectados por el ransomware han sido entidades gubernamentales, el sector educativo y el sanitario, según un informe del año pasado de Cybersecurity in Application, Research, and Education (CARE) Lab.
El estudio El impacto de la ciberseguridad en la “infraestructura crítica” de la nueva normalidad realizado por Deloitte Consulting mencionó que a medida que el COVID-19 reestructura dramáticamente la sociedad global en la nueva normalidad, muchas organizaciones que nunca se consideraron parte de la discusión de infraestructura crítica ahora se clasifican como tales. Entonces cuando las empresas de repente se vuelven críticas para el bienestar nacional, cambian las implicaciones para los ataques cibernéticos.
Por ejemplo, un fabricante de metal en Minnesota, EE. UU., proporciona un componente pequeño y de precisión que se utiliza para ventiladores mecánicos. En tiempos normales, esta compañía de 40 personas sería un pequeño miembro de la cadena de suministro de fabricación, pero en tiempos de pandemia, la compañía, y muchas similares, ahora no sólo son parte de la infraestructura crítica de los EE. UU., sino que también son probables objetivos para ciberdelincuentes ya que se convierten en jugadores esenciales en la carrera para mejorar una emergencia de salud pública.
Oswaldo Palacios resaltó que los riesgos que se corren por un ataque a la infraestructura crítica de una empresa en el menor de los casos podría ser solo el robo de información, sin embargo los impactos pueden ser mayores, los cuales van desde la incapacidad parcial o total de las operaciones dejando consecuencias monetarias, y si es una compañía como el oleoducto Colonial Pipeline, las pérdidas se cuentan en millones de dólares y afectación a miles de personas. Más grave aún seria un ataque a infraestructura hospitalaria, el cual ya ocurrió en Alemania y en 2020 falleció una persona debido a un ataque de ransomware por primera vez en la historia.
¿Cómo hacer frente al ransomware?
A decir de Oswaldo Palacios, iniciativas como la orden ejecutiva firmada por el Presidente Joe Biden, con la que se imponen de nuevos y estrictos estándares para las empresas que suministren software al Gobierno federal, sí podrían evitar ataques de ransomware a la infraestructura crítica. “La creación de un manual de estrategias acerca de cómo responder ante este tipo de situaciones, modernizar la infraestructura de operación y seguridad, además de doble factor de autenticación entre otras medidas, deben ser consideradas”, indicó el directivo.
El estudio de Deloitte mencionó que los Sistemas de Control Industrial (ICS) enfrentan riesgos variables según la organización; sin embargo, varios siguen siendo comunes entre ellos y deben considerarse aún más a medida que las empresas se adaptan a la vida durante y después de COVID-19. Estos incluyen la conexión cada vez más estrecha entre la Tecnología de la Información (TI) y la Tecnología Operativa (OT), los modelos remotos de la fuerza laboral, el uso de terceros para administrar y mantener sistemas, y el aumento de dispositivos móviles. Estos problemas introducen la posibilidad de que se introduzcan amenazas en la red de TI, que luego puede propagarse a la red OT.
En ese sentido, las empresas de infraestructura crítica, tanto nuevas como tradicionales, deben reevaluar su riesgo cibernético así como revisar y desarrollar sus capacidades de monitoreo, respuesta e informes de incidentes cibernéticos. Hacer esto de manera efectiva les permitirá limitar el impacto de los ciberataques y permanecer seguros.
“La primera línea de defensa es el conocimiento. No puedes proteger lo que no puedes ver y por lo tanto estas expuesto, los encargados de ciberseguridad deben contar con soluciones que les faciliten la visibilidad en sus centros de datos, teniendo un conocimiento exacto de quién se comunica con quién en todo momento y tomar decisiones en consecuencia, dichas herramientas deben apoyar el Zero Trust y Threat Hunting”, dijo Oswaldo Palacios.
Asimismo, Amit Serper, investigador de Seguridad de Guardicore, comentó que ataques de ransomware de “doble extorsión”, como el perpetuado a la Lotería Nacional, han sido “la nueva normalidad” durante más de un año. Las organizaciones deben garantizar de hacer lo mejor que pueden para minimizar los riesgos, incluida la segmentación y el monitoreo adecuado de la red para asegurarse de que los activos y servidores críticos solo se comuniquen con aquello con lo que deben comunicarse. Además, reiteró que las organizaciones no deben pagar el rescate, ya que esto solo perpetúa el problema.
Por último, Oswaldo Palacios destacó que microsegmentar debe ser considerado un pilar en cualquier estrategia de ciberseguridad, “debemos contar con herramientas que nos permitan tener una completa visibilidad de cómo se comunican las aplicaciones a nivel proceso y todos los activos del centro de datos, así será posible tomar decisiones sobre las dependencias y trazabilidad de las comunicaciones para evitar que los ataques se propaguen en la red”.