El aumento de los ciberataques a infraestructuras críticas es un hecho. En mayo de 2021, Colonial Pipeline, el sistema de oleoductos más grande para productos refinados de petróleo en los Estados Unidos, sufrió un ciberataque dañino. La violación, como resultado de una contraseña VPN vulnerable, causó que la compañía cerrara sus operaciones durante varios días, lo que resultó en escasez de petróleo en la costa este.
Check Point® Software Technologies Ltd. proveedor de soluciones de ciberseguridad a nivel mundial, asegura que este es solo uno de los muchos ejemplos de lo devastador que pueden ser los ciberataques a infraestructuras críticas.
El gobierno del Reino Unido afirma que existen hasta trece sectores que están bajo el término general de «infraestructura crítica«, incluidos los productos químicos, la energía nuclear civil, las comunicaciones, la defensa, los servicios de emergencia, la energía, las finanzas, los alimentos, el gobierno, la salud, el espacio, el transporte y el agua. Todos ellos, son colmenas de datos sensibles y confidenciales con los que los actores de amenazas pueden lucrarse fácilmente en la Dark Web, impulsando aún más la ciberdelincuencia y la interrupción de estos servicios.
Desafortunadamente, el potencial de interrupción generalizada no ha pasado desapercibido para los ciberdelincuentes. De hecho, la Agencia de Seguridad de Ciberseguridad e Infraestructura ha instado al Reino Unido a actuar rápidamente, advirtiendo que su gobierno podría ser víctima de un ciberataque al estilo del 9/11. Este año también se ha visto cómo las autoridades de ciberseguridad en Australia, Canadá, Nueva Zelanda, Estados Unidos y el Reino Unido apostaron por los defensores de infraestructuras críticas para prepararse ante la gran escalada de ciberataques surgidos a raíz de la guerra entre Rusia y Ucrania.
¿Por qué las infraestructuras críticas tienen mayor riesgo de sufrir un ciberataque?
Este enfoque en la infraestructura crítica es intencional. Los ciberdelincuentes son conscientes del impacto que cualquier interrupción tiene en los servicios vitales, no solo financieramente sino también en la confianza pública y, además, atacarán durante los períodos de disturbios, por ejemplo, utilizando la crisis energética en curso como punto de entrada para el phishing o los ataques de intermediarios.
Otro factor de riesgo común entre las organizaciones de infraestructura crítica es que todas tienen un alto nivel de tecnología heredada interconectada. Esto podría incluir dispositivos antiguos, que pueden no usarse todos los días pero que aún están activos; o una máquina crítica para los procesos comerciales, pero que solo puede operar con software antiguo que no se puede parchear. Gran parte de este legado, aunque reside en las redes administradas, no se encuentra dentro de la propiedad de los equipos digitales y de seguridad.
¿Es el aumento de la conectividad el problema?
Este problema ha crecido con la llegada de dispositivos IoT, que son increíblemente complejos de administrar y rara vez se construyen teniendo en cuenta la seguridad. A medida que las empresas recopilan más datos y amplían sus infraestructuras de red, más atractivas se vuelven para los ciberatacantes.
Si bien el aumento de la conectividad amplía la superficie de ataque y dificulta su administración, existen tecnologías que ayudan a proteger los dispositivos IoT contra nuevas amenazas y hacen que este período de transición sea más fluido.
“Es importante que no nos interpongamos en el camino del progreso tecnológico. Si nos fijamos en la industria del transporte, cuando subimos a un avión, no tenemos idea de si un piloto tiene el control o si solo está en piloto automático. Pero todavía nos vamos de vacaciones y viajamos con confianza.” apunta Eusebio Nieva, director técnico de Check Point Software para España y Portugal, «Es posible construir el mismo nivel de confianza cuando se trata de avances en automóviles sin conductor, a pesar de su mayor conectividad y dependencia de TI. Para llegar allí, los fabricantes deben incorporar seguridad en estos productos. Si diseñamos teniendo en cuenta la seguridad, es menos probable que se violen.”
Asegurar las infraestructuras críticas
Muchas organizaciones cuentan con una buena gestión de riesgos, pero carecen de una estrategia de ciberseguridad que lo cubra todo. Check Point Software señala cuatro elementos clave:
- La comunicación: es crucial que haya un diálogo abierto dentro de una empresa, ya que cualquier dispositivo que tenga acceso a la red de la empresa puede permitir que los piratas informáticos obtengan acceso si no se administra adecuadamente. El problema se multiplica por el cambio al trabajo en casa y el trabajo híbrido, por lo que las organizaciones deberían hablar con los empleados y educarlos sobre cómo mantenerse seguros.
- Visibilidad y segmentación: es necesario hacer un inventario completo, incluidos los activos en la nube y los almacenes de datos, expondrá cualquier debilidad, como posibles actualizaciones de seguridad sin parches o dispositivos que tienen firmware obsoleto. Una vez que haya mapeado la red, se pueden implementar estrategias como la segmentación, que crea barreras internas virtuales que impiden que los ciberatacantes se muevan lateralmente y creen daños generalizados.
- Los CISO deben hacer su parte: el papel de un CISO es asegurarse de que la directiva tenga una mayor comprensión de los riesgos que enfrenta una empresa. Su trabajo es influir y dejar estos puntos claros en un lenguaje fácilmente entendible para todos los cargos, así como explicar las consecuencias comerciales de una seguridad débil. Existe una falta general de comunicación entre los CISO y el negocio, y eso debe cambiar para asegurar mejor nuestros servicios críticos.
- Necesidad de una autoridad general: está claro que las empresas de todos los sectores necesitan elevar sus programas de ciberseguridad, pero no pueden hacerlo solos. Es necesario un organismo regulador unificado que pueda ayudar a estos sectores a implementar prácticas estándar para reducir las disparidades en el gasto en ciberseguridad.
Las infraestructuras críticas es un faro brillante para los ciberataques. El nivel de amenaza sigue creciendo, y las consecuencias sólo se vuelven más graves. Check Point Software resalta lo fundamental que es tomar medidas de manera inmediata, pasando la prevención a estar en el centro de cada paso que estas compañías tomen para protegerse mejor.
