Guardicore alertó sobre el crecimiento de los ataques de estado-nación hacia la infraestructura crítica de las entidades de gobierno y un aumento importante de ransomware hacia este mismo sector. Esto ha sido propiciado por actores de estado-nación y atacantes criminales que se han vuelto extremadamente hábiles en el uso de técnicas y de actores sustitutos en su guerra cibernética para evitar una atribución clara a su estado de origen.
Dave Klein, director Senior de Ciberseguridad de Guardicore, precisó que en el pasado muchos de los ataques de estado-nación fueron por inteligencia, influencia, desinformación, propaganda, espionaje industrial y político, y para acosar a los enemigos políticos de un estado-nación. El gran cambio en este 2020 es un importante aumento de los ataques hacia la infraestructura crítica de los gobiernos.
La pandemia por COVID-19 no ha detenido las amenazas de estos grupos delincuenciales. De abril a julio de este año los suministros de agua de Israel fueron amenazados tres veces por un actor de estado-nación que se sospechó fue Irán pirateando los controles industriales de procesamiento de agua israelíes, en un intento de alterar la inyección de productos químicos de tratamiento a niveles inseguros. Otro caso no menos relevante, los iraníes informaron de un ciberataque supuestamente iniciado por Israel que interrumpió el tráfico portuario en el Puerto de Shahid Rajaee.
Dave Klein informó que también se ha presentado un aumento generalizado de los ataques de ransomware en entidades gubernamentales, atención médica y hospitales.
De acuerdo con un estudio de Deloitte Center for Government Insight, en marzo de este año se descubrió que más de 163 ataques de ransomware estaban dirigidos a gobiernos estatales y locales, con al menos $1.8 millones de dólares pagados a los ciberdelincuentes detrás de los ataques y decenas de millones de dólares en costos de recuperación.
“Parece que los atacantes de ransomware se dirigen específicamente a las entidades del gobierno locales porque son más fáciles de penetrar, a menudo pagan el rescate y tienen menos posibilidades de atraer una gran actividad policial como respuesta”, opinó el directivo, y agregó: “a medida que el mundo se ha vuelto más experto en descubrir jugadores de estado-nación, estos han adquirido más experiencia en esconderse, a través de diversas técnicas y actuando mediante capas/actores proxy, evitando trampas e incluso manipulando datos, kits de herramientas y técnicas para despistar a los analistas forenses imitando a otros estados-nación o actores criminales”, precisó.
Según el estudio de Verizon Data Breach de 2019, los ataques estado-nación aumentaron de un 12% a un 23% del 2017 al 2018. Además del aumento en los ataques a hacia la infraestructura crítica y de ransomware, Dave Klein enfatizó que el ataque estado – nación que quedará grabado en 2020 será el informado por EE. UU., Canadá y Reino Unido sobre los intentos de actores estatales rusos y chinos de robar, manipular y obstaculizar el desarrollo de la vacuna COVID-19.
Para los próximos meses, el directivo mostró su preocupación hacia los ataques continuos hacia la banca y a la infraestructura crítica en el sector de servicios públicos en México; alertó estar atentos a los actores criminales estatales rusos y norcoreanos. Por otro lado, previó más ataques de ransomware, donde se presentarán situaciones similares al caso Petróleos Mexicanos.
Con respecto a las predicciones para los Estados Unidos, Dave Klein informó que si bien surgirán todo tipo de amenazas, habrá que poner atención en las elecciones nacionales de noviembre, teniendo como antecedente la influencia de Rusia en las elecciones de 2016; las amenazas de los estados-nación de Rusia, China e Irán seguirán en ascenso.
Medidas de seguridad contra los ataques estado-nación
Con la finalidad de prevenir cualquier ataque proveniente de los actores estado-nación, Guardicore sugirió las siguientes seis medidas de seguridad a tomar en cuenta:
1) Contar con un plan de respuesta a incidentes, escrito y ensayado: Éste debe incluir personal no técnico como líderes empresariales, la junta ejecutiva e incluso usuarios finales.
2) Utilizar privilegios mínimos. Esto evita que tanto el ransomware como los actores estatales se apropien fácilmente de su (s) dispositivo (s) y aumenten los privilegios para meterse en los almacenes de identidades y moverse lateralmente.
3) Usar contraseñas seguras y autenticación de dos factores. La mayoría de las infracciones más importantes comienzan con una disciplina deficiente de contraseñas y una falta de autenticación de dos factores.
4) Mejor certificación, aplicación de parches y pruebas de vulnerabilidad: esto es esencial. Muchos ataques ocurren a través de vulnerabilidades de software que han sido parchadas durante mucho tiempo, pero donde las organizaciones no han podido actualizar su software.
5) Realizar un análisis y una evaluación precisos de la infraestructura crítica. Existen soluciones que logran una mejor visibilidad en todas las plataformas de manera agnóstica, en lugar de tener que ejecutar múltiples sistemas.
6) Tener una segmentación definida por software moderno es la forma más fácil de reducir el radio de explosión de un ataque. sin realizar cambios en la dirección IP o VLAN, ya que permite aislar aplicaciones críticas; incluso puede actuar como un parche virtual para los sistemas operativos heredados al final de su vida útil que no se pueden proteger de manera efectiva de otra manera, pero que aún son necesarios.
Por último, Dave Klein expresó: “tanto el sector privado como los gobiernos nacionales deben estar más atentos y mejor preparados para defenderse. Más allá de desarrollar mejores defensas integrales, también deben pensar en estos ataques desde una perspectiva diplomática. Si los países se tomaran los ataques cibernéticos tan en serio como un acto de terrorismo, entonces quizás el temor a represalias, ya sea por medios legales, militares o financieros, sería suficiente para desalentar los ataques desde un principio”.