Doxa 1378

Lo que sugieren los ataques cibernéticos en curso de Rusia en Ucrania sobre el futuro de la guerra cibernética.

Y cómo las organizaciones de todo el mundo pueden prepararse.

Por Stuart Madnick

Ciberseguridad y privacidad digital

Harvard Business Review

#doxa #ciberseguridad #digital #Rusia #organización #Ucrania #conflicto #empresa #software #malware #software #antivirus #gestión #tecnología

Resumen. Durante años, Ucrania ha sido un campo de pruebas ruso para las armas cibernéticas. A medida que las empresas y los países observan cómo se desarrolla el último capítulo de la guerra rusa en Ucrania, deben prestar atención al frente en línea del conflicto y pensar en cómo prepararse si (y más probablemente cuando) se extienda más allá de las fronteras de Ucrania. Si bien es casi imposible que las empresas se preparen para algunos ataques, como los que afectan a la infraestructura, hay pasos que deben tomar de manera rutinaria: asegúrese de que el software esté actualizado y con parches, verifique que tenga una actualización efectiva y actualizada. actualice el malware y el software antivirus, y asegúrese de que todos los datos importantes estén respaldados en una ubicación segura.

Entre 1946 y 1958, el atolón de Bikini, en el Océano Pacífico Norte, se utilizó como campo de pruebas para 23 nuevos dispositivos nucleares que detonaron en varios puntos, encima o debajo de él. El objetivo de las pruebas era principalmente comprender (y, en muchos casos, mostrar) cómo funcionaban realmente estas nuevas armas y de lo que eran capaces. La era de las pruebas nucleares ahora puede haber terminado, pero la era de la guerra cibernética apenas comienza. Y para Rusia, la guerra con Ucrania probablemente haya servido como un campo de pruebas en vivo para su próxima generación de armas cibernéticas.

Los países y las empresas que observan el desarrollo de este último capítulo deben recordar esto: el frente de la guerra en línea puede, y ha saltado, fronteras.

A diferencia de los ataques convencionales, los ciberataques pueden ser difíciles de atribuir con precisión. Existe una negación plausible porque, en muchos casos, los ataques cibernéticos pueden lanzarse desde un host involuntario. Por ejemplo, el control parcial de la computadora de su hogar podría tomarse sin que usted lo sepa y usarse para iniciar una cadena de ataques. Uno de esos eventos ocurrió en 2013 cuando los refrigeradores inteligentes se convirtieron en parte de una botnet y se usaron para atacar negocios. En 2016, se incautaron y utilizaron miles de cámaras de seguridad domésticas para interrumpir las operaciones de Twitter, Amazon, Spotify, Netflix y muchos otros.

Pero hay pruebas sólidas que vinculan a los piratas informáticos rusos con una serie de ataques en Ucrania. Volviendo a 2015, después de la invasión rusa de la península de Crimea, presuntos piratas informáticos rusos lograron dejar sin energía eléctrica a unos 230.000 clientes en el oeste de Ucrania. Los atacantes repitieron el truco al año siguiente, ampliando la lista de objetivos para incluir agencias gubernamentales y el sistema bancario. En las horas previas a la invasión de las tropas rusas, Ucrania fue atacada por un malware nunca antes visto diseñado para borrar datos, un ataque que, según el gobierno ucraniano, estaba “en un nivel completamente diferente” de los ataques anteriores.

Es fácil entender por qué Ucrania es un objetivo atractivo para probar las capacidades de la guerra cibernética. El país tiene una infraestructura similar a la que se encuentra en Europa Occidental y América del Norte. Pero a diferencia de los Estados Unidos, el Reino Unido y la Unión Europea (UE), Ucrania tiene recursos más limitados para contraatacar (aunque tanto los EE. UU. como la UE han brindado apoyo para reforzar sus defensas cibernéticas). Y aunque Rusia es el sospechoso obvio, ciertamente es posible que otros países, como Irán, Corea del Norte o China, también hayan estado probando su propio armamento cibernético en Ucrania.

El punto más importante aquí es que hay pocas posibilidades de que los ataques cibernéticos se limiten a Ucrania. Los gobiernos y las corporaciones deben prestar mucha atención a lo que sucede allí, porque la guerra cibernética puede, y lo ha hecho, expandirse rápidamente a través de las fronteras.

¿Cómo sería una ciberguerra mundial real?

Dado que EE. UU. y la UE se han unido para apoyar a Ucrania, el alcance de una guerra cibernética podría ser amplio. Las escaramuzas cibernéticas a gran escala pueden volverse globales debido a un efecto indirecto. Hay un precedente de cómo se vería un derrame. En 2017, un presunto ataque ruso con una pieza de malware denominada "NotPetya" interrumpió los aeropuertos, los ferrocarriles y los bancos de Ucrania. Pero NotPetya no se quedó en Ucrania. Se propagó rápidamente por todo el mundo, infectando, y durante un período de tiempo cerró en gran medida, una amplia gama de empresas multinacionales, incluida la empresa de transporte global Maersk, el gigante farmacéutico Merck, la filial europea de FedEx, TNT Express, y otras.

En mi investigación con colegas e investigaciones realizadas por otros, hemos observado que la mayoría de los ataques cibernéticos no han sido tan devastadores como podrían haber sido. Puede deberse a que el atacante no era completamente consciente de cuánto daño podría haber causado, pero lo más probable es que solo se tratara de "pruebas" de las armas cibernéticas. Como ha demostrado nuestra investigación, no solo es posible hacer que sistemas como las redes eléctricas se apaguen, sino también hacer que exploten o se autodestruyan, daños que podrían tardar semanas o más en repararse. Hasta ahora ha habido pocos ataques de este tipo, pero en algunos casos se han destruido acerías y gasoductos. Probablemente el caso más conocido fue el ciberataque Stuxnet que se cree quedestruyó unas 1.000 centrifugadoras en una instalación de enriquecimiento de uranio iraní.

Entonces, ¿cómo sería una ciberguerra mundial real? Dada la interdependencia de los sectores de infraestructura crítica, como la electricidad y las comunicaciones, un ataque agresivo probablemente derribaría muchos sectores al mismo tiempo, magnificando el impacto. Además, en un ataque “sin restricciones” en el que se infligió el máximo daño, el objetivo principal sería producir también daño físico duradero.

Los dos tipos de ciberataques

A menudo noto dos impactos diferentes de los ataques cibernéticos: directos e indirectos.

Ataques indirectos : por indirectos, quiero decir que ni usted ni su computadora son atacados individualmente. El objetivo sería la red eléctrica, las cadenas de suministro, los sistemas bancarios, el tratamiento del agua, las comunicaciones y el transporte. No hay mucho que puedas hacer personalmente para defender estos sistemas. Pero, ¿qué tan bien y por cuánto tiempo se puede pasar sin electricidad, comida, agua y dinero en efectivo?

Ataques directos : Por directo, me refiero a un ataque dirigido a ti. En la guerra, la población civil, ya sea de forma deliberada o accidental, también puede ser objeto de ataques para debilitar el deseo de continuar la guerra. En la guerra cibernética, los métodos técnicos son bastante similares, pero las consecuencias pueden ser más personales. Por ejemplo, qué pasa si todos los datos de su computadora son robados o borrados, especialmente si esas son las únicas copias de fotos o documentos.

Entonces, ¿qué puedes hacer para protegerte?

Ciberataque indirecto : es posible que usted personalmente no tenga forma de proteger la infraestructura crítica de la nación. Pero, al influir colectivamente en el gobierno, el sector privado puede estar motivado para mejorar su protección, preparación y, quizás aún más importante, mejorar su resiliencia frente a tales violaciones.

Es posible que muchos no se den cuenta de que muchos tipos de ataques cibernéticos no requieren ser informados. Como resultado, el gobierno y otras empresas similares no tienen idea de que se están produciendo ataques cibernéticos, tanto intentos como reales. Por ejemplo, las empresas de oleoductos no estaban obligadas a informar de los ataques cibernéticos hasta después de la publicidad del ataque al oleoducto Colonial. Creo que los "chicos malos" comparten información mucho mejor que sus objetivos, quienes pueden tener interés en guardar silencio sobre un ataque. Eso debe cambiar si queremos estar mejor informados y preparados.

Con respecto a la resiliencia de nuestra infraestructura, a menudo no nos damos cuenta de lo mal preparados que estamos hasta que es demasiado tarde. Un ciberataque grave puede tener un impacto similar al de un desastre natural, destruyendo la infraestructura esencial y creando crisis en cascada. Podría, por ejemplo, parecerse a la helada invernal de 2021 en Texas que causó interrupciones masivas, pérdida de electricidad y más de 200 muertes. Y podría haber sido mucho peor. El Texas Tribune informó que "la red eléctrica de Texas estaba a 'segundos y minutos' de una falla catastrófica que podría haber dejado a los tejanos en la oscuridad durante meses".

También están los daños colaterales. En el caso del congelamiento de Texas, según informó el Consejo de Seguros de Texas, una asociación comercial sin fines de lucro, “la cantidad de reclamos debido a tuberías congeladas y reventadas será diferente a cualquier evento que haya experimentado el estado”. Incluso la presión del agua en algunas ciudades se redujo significativamente debido al agua que fluía de estas tuberías rotas. Muchas estaciones generadoras de electricidad tuvieron que detenerse temporalmente debido a desequilibrios de carga, pero luego no pudieron reiniciar. Eso se debió a que muchas de las “unidades de energía de último recurso”, básicamente los motores de arranque de las plantas, no funcionaron, probablemente porque no habían sido probadas. Eso es como descubrir que las baterías de sus linternas están agotadas solo después de que se ha ido la energía eléctrica.

Las empresas deben presionar para obtener garantías de que nuestra infraestructura puede recuperarse rápidamente después de un ciberataque antes del ciberataque, y hacer que auditores independientes verifiquen esas garantías.

Ataque cibernético directo : la mayoría de las cosas clave que puede hacer para prevenir, o al menos minimizar, el daño directo a usted y su computadora se incluyen en la categoría " Ciberhigiene 101 ". Esto incluye medidas simples, como tener una contraseña segura y no hacer clic en enlaces sospechosos, precauciones que, lamentablemente, muchos de nosotros pasamos por alto. Pero ahora sabemos que hay formas de ingresar a su computadora, como Solarwind s, Log4j y Pegasus, sin que usted haga nada y que no requieren su contraseña. Estas se denominan “ vulnerabilidades de clic cero”.

Como tal, prepararse para un ataque cibernético significa hacer todo lo posible para minimizar el daño potencial si el atacante ingresa. Esto incluye:

• Asegurarse de que su software esté actualizado en toda su organización y de que se hayan parcheado las vulnerabilidades conocidas en versiones anteriores.
• Contar con un software antivirus y de detección de malware eficaz; y recuerde, es posible que el malware ya esté inactivo en su computadora, esperando órdenes.
• Hacer copias de seguridad frecuentes de sus datos importantes, como documentos que solo se almacenan en un lugar, en caso de que se destruyan.

También vale la pena tomar medidas en su organización para minimizar el riesgo y prepararse para responder si (o cuando) suceda lo peor. Esto incluye:

• Buscar posibles vulnerabilidades en su cadena de suministro cibernético y presionar a los proveedores de software de terceros para que prioricen la ciberseguridad.
•  Probar su plan de respuesta a incidentes, incluida la ejecución de escenarios y ejercicios de simulación, para asegurarse de que el plan sea sólido y que todos sepan lo que se supone que deben hacer en una crisis.

Hubo un tiempo, en las décadas de 1960 y 1970, cuando el mundo temía una guerra nuclear global. Afortunadamente, sobrevivimos a ese período. Con suerte, también evitaremos una guerra cibernética mundial devastadora. Pero no hay garantía y con las tensiones geopolíticas aumentando a niveles altos, no es prudente confiar solo en la buena suerte. Cada uno de nosotros debe hacer todo lo posible para aumentar las posibilidades de ser un sobreviviente.

Reconocimiento: Esta investigación fue financiada, en parte, por fondos de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS).

Stuart Madnick es profesor John Norris Maguire (1960) de Tecnologías de la Información en la Escuela de Administración Sloan del MIT, Profesor de Sistemas de Ingeniería en la Escuela de Ingeniería del MIT y Director de Ciberseguridad en el MIT Sloan (CAMS): el Consorcio Interdisciplinario para Mejorar los Infraestructura Ciberseguridad. Ha estado activo en el campo de la ciberseguridad desde que fue coautor del libro Computer Security en 1979.