Como explicamos recientemente en otro artículo, las organizaciones de todo el mundo deben mantenerse alerta ante la posibilidad de que se extiendan los ciberataques a medida que avanza el conflicto en Ucrania. Además, el hecho de que algunos gobiernos y empresas declaren su apoyo activamente a favor de Ucrania o Rusia o tomen medidas que puedan afectarlos, puede llegar a convertirlos en objeto de posibles ataques cibernéticos. En este contexto, y teniendo presente lo que han sido otros ataques dirigidos a infraestructuras críticas, los gobiernos deberían revisar los sistemas de defensa de los sectores críticos, ya que las consecuencias de un ciberataque a infraestructuras esenciales para la población puede tener consecuencias importantes.

Si bien el ingreso de las tropas rusas a territorio ucraniano comenzó el 24 de febrero, unos días antes se registró una ola de ciberataques apuntando a infraestructuras críticas, y pocas horas después del ingreso de las fuerzas rusas, una ola de ataques de DDoS dejó fuera de servicio varios sitios web de entidades gubernamentales y bancos de Ucrania.

Lectura relacionada:  Qué es un ataque DDoS y cuáles son sus consecuencias

¿Qué es la infraestructura critica de un país?

Se define como infraestructura critica de un país a los sistemas, tanto digitales como físicos, que brindan servicios esenciales para la sociedad y que en caso de ser afectados por un ciberataque podrían tener un impacto grave que afecte a la seguridad, economía, política, energía, salud, comunicaciones o transporte, entre otros.

El sector de la salud, por ejemplo, ha sido un blanco de ataque recurrente en los últimos años. Cuando durante la pandemia se atacaron hospitales u organismos de este sector, —como fue el ataque del ransomware Conti al sistema de salud público de Irlanda, entre otros tantos ataques a la salud—, muchas de estas organizaciones vieron socavada la posibilidad de brindar la debida atención a sus pacientes y se necesitaron semanas o meses en algunos casos para que su infraestructura tecnológica vuelva a operar en su totalidad. De hecho, según una encuesta realizada por el Instituto Ponemon, más del 35% de los participantes dijo ser testigo de un aumento de las complicaciones de los procedimientos médicos como consecuencia de un ataque de ransomware y más del 70% dijo que las demoras en los resultados de pruebas y en los procedimientos médicos derivó en complicaciones para pacientes que necesitaban esta información.

La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) clasifica a los sistemas críticos de un país en 16 sectores de vital importancia.

Infraestructuras críticas de un país según CISA

Una infraestructura critica es aquella que: “su incapacitación o destrucción tendría un efecto debilitante en la seguridad, la económica nacional, la salud pública, o cualquier combinación de estos. “

Que una infraestructura crítica sea afectada por un ciberataque puede repercutir de forma directa en una sociedad y también en otras infraestructuras críticas. Si, por ejemplo, la infraestructura del sector abastecimiento de agua y saneamiento de una población es atacada, esto puede generar la falta de un recurso vital como es el agua y que va más allá del consumo personal de agua de la población. Por otra parte, se ha demostrado que los sistemas críticos son altamente vulnerables debido a que están conectados digitalmente para que sea más sencillo para los operadores controlar cualquier sistema critico (bancos, energía, trasporte, etc.).

Otro aspecto que hace vulnerables a las infraestructuras críticas es que en su mayoría están interconectados con otras; es decir, que si una infraestructura es afectada por una amenaza es probable que la misma pueda propagarse hacia otras. Si bien todos los países cuentan con infraestructuras críticas, la cantidad y segmentos de este tipo de infraestructuras puede variar según el nivel de desarrollo de cada nación, y esto es directamente proporcional a la cantidad de amenazas que podría sufrir.

La experiencia de Ucrania con los ataques a infraestructuras críticas

La situación actual de Ucrania lleva a muchas organizaciones y países a mantenerse alertas ante el riesgo de un aumento de los ciberataques a otros países y pone en evidencia la problemática de la seguridad de entornos gubernamentales y su infraestructura critica. Ucrania, independientemente de los últimos ataques y de la situación de conflicto que se vive hoy, es un país que tiene cierta experiencia lidiando con ataques a sectores críticos, ya que durante los últimos años ha sido uno de los principales focos para este tipo de ataques.

En 2015, por ejemplo, un ataque del troyano BlackEnergy a una planta de energía eléctrica provocó cortes en el suministro que afectaron a la mitad de los hogares en la región Ivano-Frankivsk. Un año después, investigadores de ESET descubrieron Industroyer, un malware modular y personalizable que fue considerado la mayor amenaza para los sistemas de control industrial desde Stuxnet. Para sorpresa de muchos, Industroyer no solo afectaba la infraestructura critica de las redes de distribución de energía al poder apagar o encender a voluntad los interruptores de una subestación eléctrica, sino que podía ser utilizado para atacar cualquier infraestructura crítica.

Pero es importante recordar también que en un país no solo existen las infraestructuras críticas industriales, sino que también se encuentran aquellas arraigadas a la producción de servicios digitales que son vitales para la población del país (infraestructuras criticas digitales).

Por ejemplo, con el inicio de los ataques de Rusia a Ucrania, en los primeros días de marzo investigadores de ESET descubrieron una nueva amenaza denominada HermeticWizard, la cual tenía como objetivo borrar toda la información de cientos de equipos de entidades ucranianas.

El conflicto geopolítico marca un hito en cuanto a la revisión de la infraestructura critica de los países en materia de la ciberseguridad. Estados Unidos, por ejemplo, rápidamente comenzó a tomar medidas para fortalecer la seguridad de la infraestructura critica de su país, mientras que otros países como Noruega lanzaron recientemente una convocatoria internacional en busca de investigadores para trabajar en la seguridad y resiliencia de infraestructuras críticas.

Ataques a infraestructuras críticas en el pasado

Recordar algunos incidentes que tuvieron lugar en el pasado reciente nos permiten tomar dimensión del impacto que podría un ciberataque a sectores críticos. Además del ya mencionado ataque de BlackEnergy en 2015, que afectó a una planta de energía eléctrica de Ucrania,  un año después, el 17 de diciembre de 2016, otro ciberataque dejó sin luz durante una hora a unas 2.9 millones de personas. Tampoco debemos olvidar el ransomware NotPetya en el año 2017, que afectó a la infraestructura critica de Banco Central de Ucrania y que luego se expandió a otros países.

Más acá en el tiempo, en plena pandemia y auge del ransomware, la compañía de oleoducto norteamericana, Colonial Pipeline, responsable del suministro combustible a gran parte de la población, era víctima de un ataque del ransomware DarkSide que forzaba la interrupción de sus sistemas y el corte de suministro. Esto provocó largas filas en las estaciones de servicio y sembró el pánico ante la posibilidad de no tener combustible. Incluso provocó un aumento del precio del combustible en las zonas afectada.

Además de los ataques a sectores como el de la salud, el energético o el de servicios financieros, los cibercriminales no temen en hasta incluso afectar los sistemas críticos de agua y saneamiento. En febrero de 2021, si bien se puedo frenar un intento de lo que podría haber sido un episodio muy trágico, atacantes accedieron a los sistemas de una planta de tratamiento de agua en una ciudad de Florida, en Estados Unidos, y modificaron los niveles químicos de hidróxido de sodio. Si no pasó a mayores y se detectó a tiempo, el incidente generó preocupación. Al parecer, los cibercriminales lograron acceso a través del software de gestión remota Team Viewer.

La lista de ataques que se registraron en los últimos años apuntando a sectores críticos de un país es larga. Lo importante es comprender el impacto que pueden tener y más en un contexto como el actual de tensión geopolítica.

¿Cómo se producen los ciberataques a infraestructuras críticas y qué amenazas informáticas pueden utilizarse?

Existen una gran diversidad de infraestructuras críticas en un país. No es lo mismo hablar de un sistema critico financiero que de un sistema critico que accione sobre un sistema industrial (plantas químicas, sectores energéticos, entre otros).

Sin embargo, lo que sí podemos mencionar a rasgos generales son los tipos de amenazas informáticas utilizadas para afectar estos sistemas críticos.

A rasgos generales las podemos dividir en:

  • APT
  • Worms (gusanos)
  • Botnets
  • Ataques de DDoS
  • Troyanos
  • Exploits Zero Day
  • Phishing

Muchas de estas amenazas se utilizaron en conjunto para realizar ataques a gran escala. Tal caso fue el de Stuxnet, una amenaza que explotó una vulnerabilidad zero day para permitir la ejecución de código malicioso alojado dentro de dispositivos USB con el objetivo de afectar los sistemas de control industrial de una instalación nuclear en Irán.

Si bien no llego a tener implicancias mayores por errores del propio malware, ya que solamente logró ralentizar el proceso de enriquecimiento de uranio en Natanz, Stunex fue una gran combinación de amenazas. Además, es importante aclarar que fue el primer malware diseñado para afectar Sistemas de Control Industrial (ICS, por sus siglas en inglés) y abrió camino a otras amenazas, como fue Industroyer.

A todo esto debemos sumar que según un relevamiento reciente la cantidad de vulnerabilidad sobre los ICS en los sectores de infraestructura critica aumentó un 110% en los últimos años.

Framework para Infraestructuras criticas según NIST

En 2018 el NIST público un framework de trabajo estratégico para mejorar la ciberseguridad de las infraestructuras críticas de los Estados Unidos, específicamente denominado CSF (NIST Cybersecurity Framewok). De manera resumida, este marco posee los siguientes objetivos:

  • Describir el estado de la ciberseguridad y resultados deseados
  • Marco que sea comprensible para todos
  • Abarca tanto la prevención como la respuesta a un incidente.

Si bien no profundizaremos en el framework de CSF, el mismo está estructurado sobre la base de otros tres framework: marco básico (Framework Core),  niveles de implementación del marco (Framework Implementation Tiers) y,  por último, por perfiles del marco (Framework Profiles).

Marco CSF de NIST

Consejos para proteger infraestructura critica

Lamentablemente, no todos los países cuentan con planes de ciberseguridad para respaldar sus infraestructuras críticas. Por eso es importante que las empresas, así como los gobiernos, empiecen a implementar soluciones y planes que disminuyan los riesgos de sus infraestructuras críticas.

Para ello, compartimos una serie de consejos para minimizar los riesgos de sectores críticos:

  • Implementar no solo soluciones de Threat Intelligence, sino que además implementar soluciones más proactivas, como Threat Hunting, para evitar caer en ataques que todavía no han sido detectados.
  • Diseñar planes de respuesta ante incidentes, que sean claros y objetivos.
  • Implementar el modelo Zero Trust y seguridad en capas
  • Elaborar planes de capacitación dirigidos a los empleados en materia de seguridad de la información.

Para más información acerca de cómo las organizaciones deberían  prepararse, compartimos el artículo del Security Evangelist de ESET, Tony Anscombe, titulado “Ahora es el momento de verificar los procesos y las operaciones de ciberseguridad”.