Las infraestructuras críticas se convierten en un blanco principal de ciberataques

54% de las empresas globales encuestadas por IDC se vieron afectadas por el ransomware en 2021.

Sólo el 48% de esas empresas contaba con políticas de respaldo y recuperación de datos.

Los ciberataques a la infraestructura crítica se están convirtiendo en una preocupación creciente para los gobiernos y las empresas en América Latina, con ciberdelincuentes que interrumpen el suministro de la energía eléctrica, los servicios de agua y otras instalaciones que pueden causar estragos en todo el país.

Uno de los principales medios de ataque es el ransomware, que puede paralizar rápidamente una organización. Después de asegurarse el acceso a un activo se expande la influencia en la red, los adversarios cifran los datos que consideran valiosos con base en su investigación y se exige un pago en criptomonedas a cambio de restaurar el acceso a los archivos críticos.

Según el estudio «Future Enterprise Resiliency & Spending Survey» de 2021 de la consultora de TI líder IDC, el 54% de las empresas encuestadas a nivel mundial, había sufrido ataques de ransomware en los que se había bloqueado el acceso a los datos y sistemas. Mientras tanto, según el Centro de Denuncias de Delitos en Internet (IC3) del FBI de EE.UU., se registraron 2.084 denuncias por ransomware y 16,8 millones de dólares perdidos como resultado.

Los avances que ha logrado América Latina en los últimos años para cerrar la brecha digital a través de las redes de telecomunicaciones es un arma de doble filo. Las redes operativas para infraestructuras críticas no fueron diseñadas para estar conectadas a Internet y carecen en gran medida de protección de ciberseguridad. La pandemia del COVID-19 aceleró la transformación digital de muchas industrias, empujando a más personas a trabajar a distancia y exponiendo más puntos de entrada para los cibercriminales. También, está en el horizonte el 5G, cuyas rápidas velocidades y baja latencia, prometen revolucionar muchas industrias, desde la minería hasta la agricultura, pero que también abrirá muchas nuevas formas de hackear una red.

Tanto en 2021 como en 2022 se produjeron ciberataques de gran repercusión en infraestructuras críticas. En mayo de 2021, el oleoducto Colonial Pipeline de Estados Unidos fue víctima de un ataque de ransomware, que obligó a la empresa a interrumpir el suministro de gasolina durante varios días y provocó graves trastornos a los consumidores y a las aerolíneas de la costa este de Estados Unidos, lo que hizo que el presidente Biden declarara estado de emergencia.

A principios de 2022 el grupo ciberdelincuente Lapsus$ ha impactado a compañías prominentes de tecnología, comprometiendo datos más sofisticados como el caso del código fuente de nuevos productos de software.

En América Latina, en abril y mayo de este año, las instituciones gubernamentales de Costa Rica y Perú fueron atacadas por el grupo ruso Conti. En Costa Rica, siete organismos públicos fueron objeto de ataques, causando pérdidas valuadas en 10 millones de dólares en importaciones y exportaciones y obligando al presidente a declarar un estado de emergencia nacional. En Perú, Conti anunció en la Dark Web que había hackeado la agencia de inteligencia peruana y copiado información sensible, así como infraestructuras críticas como las redes de agua y energía eléctrica.

Entrar por la puerta trasera

Como suele ocurrir, los métodos de ingeniería social más sencillos son los más eficaces. De acuerdo con IDC, el ransomware, el malware y el phishing encabezan la lista de las principales amenazas para las empresas de todo el mundo, en las que se engaña a los usuarios para que hagan clic en un enlace o proporcionen información sensible.

«Los empleados suelen ser responsables indirectos de un ataque al no seguir las políticas de seguridad de la empresa, por inexperiencia, exceso de confianza o desconocimiento», señala José Daniel Cáceres, Analista Senior de Servidores y Almacenamiento y Mercados Emergentes de IDC América Latina. «A menudo abren un correo electrónico o un enlace, exponiendo la red de la empresa a agentes maliciosos y amenazas que eventualmente pueden atacar toda una red de información».

Algunas empresas suelen pagar la fianza de ransomware para evitar el daño financiero de la suspensión de las operaciones y el daño a la reputación por tener sus sistemas vulnerados.

Según el estudio de IDC, solo el 48% de los encuestados tenía políticas de respaldo de seguridad y recuperación de desastres. Un 32% de las empresas no pagó el rescate y pudo recuperar los datos/archivos a partir de una copia de seguridad, mientras que el 25% pagó el rescate y pudo desencriptar sus datos de esa manera. Un 36% de las empresas encuestadas dijo haber pagado entre 10.000 y 50.000 dólares y un 4% pagó entre 500.000 y 1 millón de dólares.

Pero también hay amenazas más sofisticadas en el horizonte, como la vulnerabilidad de ejecución remota de código Log4j, que se considera una de las mayores ciberamenazas globales en todo el mundo y que podría tener a los equipos de TI trabajando durante años para defenderse de ella. Escrito en el lenguaje de programación Java, que se utiliza en millones de ordenadores de todo el mundo, el fallo Log4J puede instalar muy fácilmente software malicioso, robar contraseñas de accesos y extraer datos de los sistemas comprometidos.

¿Cuán preparado está Chile y qué pueden hacer las empresas para protegerse?

En términos de ciberseguridad, Chile ha hecho algunos avances en los últimos años. El país cuenta con el CSIRT, un organismo que informa al sector público y privado sobre las ciberamenazas y que depende del Ministerio del Interior. En junio de este año entró en vigor una nueva Ley de Ciberdelincuencia, que actualiza la legislación de acuerdo con el Convenio de Ciberdelincuencia de Budapest, del que Chile es signatario, y también hay otros proyectos de ley en el Congreso, incluido uno para proteger las infraestructuras críticas.

El informe de julio de 2022 del CSIRT mostró que el número de informes sobre violaciones de la ciberseguridad disminuyó en un 7% con respecto al año anterior. Sin embargo, según el informe “IDC Latin America Cybersecurity Report 2022”, las estrictas restricciones a la hora de informar sobre este tipo de incidentes en las empresas chilenas probablemente enmascaran una realidad más preocupante.

«El 71,2% de las empresas en Chile tienen políticas restrictivas para reportar incidentes de ciberseguridad, o permiten sólo la comunicación interna, lo que es un desafío para tener una medición confiable», menciona Emanuel Figueroa, Analista Senior del Mercado de Seguridad de IDC América Latina.

Según Figueroa, los ciberdelincuentes siempre van por el negocio central de la empresa, que puede ir desde servidores físicos o virtuales hasta redes operativas como los sistemas industriales SCADA.

«La infraestructura principal es la que causa la mayor interrupción del negocio, lo que permite a los atacantes capturar mayores sumas de dinero y negociar recompensas basados en el impacto que probablemente tendrán estas brechas», comenta Figueroa.

En América Latina, el sector financiero, las telecomunicaciones y el comercio minorista son los que más han invertido hasta la fecha en el aumento de la ciberseguridad, mientras que el transporte, las empresas de servicios públicos y el sector público son los que menos han invertido, de acuerdo con el analista.

IDC recomienda una serie de pasos a seguir para preparar mejor a las organizaciones contra los ciberataques.

• Adoptar soluciones que permitan la visibilidad de los activos críticos, simplifiquen las tareas de identificación de amenazas y aumenten la capacidad de detectar y responder a los incidentes de seguridad.

• Introducir debates sobre políticas de ciberseguridad y protección de datos en la alta dirección.

• Crear un equipo que tenga los conocimientos técnicos y la visión general de la estrategia empresarial para vincular las políticas de ciberseguridad con el riesgo empresarial, y establecer procesos para desarrollar la ciber resistencia corporativa.

Los profesionales de la seguridad llevan mucho tiempo aconsejando a las empresas de servicios públicos que separen las redes de tecnología de la información (TI) y las operativas (OT) para conseguir la máxima seguridad, e incluso han sugerido que se eliminen por completo los sistemas OT de Internet. Pero mantener los entornos OT aislados ya no es una opción viable, dadas las ventajas operativas de tenerlos conectados.

Cada vez se adoptan más soluciones de transferencia de datos unidireccionales, que permiten que los datos viajen fuera de una red segura, al tiempo que bloquean la entrada de todo el tráfico del exterior. Las redes también pueden segmentarse, y los datos de las instalaciones OT se envían a plataformas seguras de gestión de eventos e información de seguridad (SIEM) basadas en la nube, donde los operadores de infraestructuras críticas pueden identificar y remediar amenazas que de otro modo podrían haber pasado desapercibidas.

Lo cierto es que la transformación digital de las industrias ha llegado para quedarse y las organizaciones tendrán que aprender a convivir con las ciberamenazas. Aquellas que apliquen políticas internas y eduquen a sus empleados con mayor rapidez tendrán la mejor oportunidad de minimizar esas amenazas.