Todavía no está claro si se agregará un conflicto cibernético real a la guerra análoga de Ucrania, si tal conflicto se puede definir con precisión. En cualquier caso, el conflicto armado actual supone un riesgo para la seguridad informática de las empresas, aunque queda por ver cómo evolucionará la situación de riesgo posterior.
Para protegerse de manera efectiva, las empresas deben, por un lado, vigilar los peligros actuales y, por otro lado, seguir los estándares de seguridad aún más estrictamente. El potencial de riesgo propio de la empresa se mide por la proximidad geográfica, comercial o incluso digital de una organización a Ucrania.
Construye una defensa antes de que los ataques se vuelvan concretos.
Actualmente ha habido menos incidentes de seguridad relacionados con la guerra de lo que se temía. La mayoría de estos fueron ataques de denegación de servicio (DDoS). Hasta el momento, los expertos no han recibido informes confirmados de ataques a vulnerabilidades en los sistemas de control industrial (ICS). Tales acciones paralizaron el suministro eléctrico de Ucrania en 2015 y 2016. El sitio web de Curated Intelligence ofrece una descripción general constantemente actualizada de lo que está sucediendo. Por supuesto, no se puede prever cómo se desarrollará la situación. Pero debido a que la guerra ha regresado a Europa, las empresas, las agencias gubernamentales y los operadores de KRITIS deben prepararse para la llegada de una ciberguerra.
Cuanto más conectado con Ucrania, más en riesgo
Es obvio que el riesgo para la seguridad informática de un ataque aumenta con la proximidad física o digital a Ucrania. Las víctimas potenciales se pueden dividir en tres clases de riesgo.
Clase de riesgo 1
Empresas e instituciones con sede en Ucrania: debe estar preparado para que los atacantes intenten interrumpir completamente los procesos. Las actividades pasadas así lo demuestran. Al mismo tiempo, se apunta a la disponibilidad de servicios y sistemas de TI. Los ataques DDoS y la eliminación de datos son de temer, al igual que el tiempo de inactividad en la infraestructura de la red. Los delincuentes, denominados "intermediarios de acceso inicial", que continuamente buscan vulnerabilidades para revenderlas y brindan credenciales de acceso a redes y sistemas antes de los ataques, ahora tienen la oportunidad de vender sus hallazgos al mejor postor. El arsenal de armas de los atacantes incluye herramientas cibernéticas diseñadas para causar daños irreparables.
Estos incluyen, por ejemplo, el malware CrashOverride o NotPetya o el borrador de datos HermeticWiper de la familia de malware KillDisk. Con HermeticWiper, los autores pueden apuntar a sus víctimas o propagar ataques a través de un espacio de direcciones IP para causar el mayor daño posible. Muchos ciberdelincuentes de APT podrían realizar un ataque de este tipo, como Gamaredon, UNC1151 (Ghostwriter), APT29, APT28, Sandworm o Turla. Es conocida la intención del Grupo Conti de actuar contra objetivos en Ucrania. Sin embargo, las intervenciones de grupos pro-ucranianos como Anonymous y GhostSec también pueden poner en peligro las infraestructuras de TI.
Clase de riesgo 2
Empresas e instituciones conectadas a Ucrania: Hasta ahora, los ataques cibernéticos se han limitado a Ucrania. Pero se puede suponer que los países vecinos y las organizaciones conectadas con Ucrania también se verán afectados. Cualquiera que esté conectado a organizaciones en el país a través de VPN o a través de la cadena de suministro debe poner en alerta a su equipo de seguridad de TI y prepararse para la defensa. Al mismo tiempo, los responsables también deben evaluar el tipo de trabajo en red y, por lo tanto, el riesgo específico.
Clase de riesgo 3
Empresas e instituciones en países que apoyan a Ucrania: Esto incluye a todos los estados miembros de la OTAN y la UE. Aquí existe el riesgo de actos de venganza por parte de grupos estatales o mercenarios digitales. La posibilidad de que ya se haya implementado un malware similar a un limpiaparabrisas es alta, aunque todavía no hay evidencia. Los responsables tienen el deber de evaluar la resiliencia de los sistemas de seguridad y los planes de defensa ahora, antes de que ocurra un ataque real.
Defensas contra atacantes
Jörg von der Heydt, director regional de DACH en Bitdefender (Imagen: Bitdefender).
La situación de seguridad sigue sin estar clara, pero las empresas pueden prepararse para los riesgos potenciales. Las soluciones y servicios de seguridad de TI como Endpoint Detection and Response (EDR) o Managed Detection and Response (MDR) ayudan y son indispensables. Pero también hay deberes específicos que hacer para optimizar la seguridad de TI. El siguiente consejo se aplica a todas las organizaciones en las clases de riesgo recién definidas:
- Parchar las vulnerabilidades que se sabe que ya han sido explotadas por grupos APT respaldados por el gobierno tiene la máxima prioridad. Puede encontrar una lista de vulnerabilidades relevantes y conocidas aquí.
- La ubicación segura de las copias de seguridad y la prueba de los procesos, así como la restauración completa probada de una recuperación ante desastres están en la agenda en vista del peligro que representan los limpiaparabrisas. Las empresas que corren un riesgo particular deben apagar todas las computadoras y servidores que no sean críticos para el sistema de TI a fin de limitar los efectos de un ataque.
- La infraestructura, la red y la conectividad de las TI de la empresa con socios externos deben monitorearse constantemente. Esta es la única forma de identificar ataques potenciales en una etapa temprana e implementar planes de defensa.
- Actualmente, las campañas de phishing relacionadas con Ucrania están en auge. Los ciberdelincuentes se aprovechan de la voluntad de ayudar en público con un repertorio de estafas cada vez mejores que también pueden tener efectos relevantes para la seguridad: los datos de acceso capturados son luego el boleto de entrada a los sistemas y procesos. Todo empleado debe ser consciente de este peligro.
- Las medidas estándar de seguridad de TI son pilares importantes para la defensa. Esto incluye la autenticación multifactor para todos los accesos remotos, privilegiados o administrativos a la red, la actualización de software, la desactivación de puertos y protocolos necesarios para el negocio, así como la verificación y evaluación de los servicios en la nube utilizados.
Los atacantes cibernéticos castigarán a aquellos que lleguen demasiado tarde para defenderse. Sin embargo, aún no está claro si esto ocurrirá en el contexto del conflicto en curso. Las opiniones de los expertos sobre el alcance de un ciberataque también difieren. Algunos expertos argumentan, de manera no inverosímil, que una vez que ha estallado la guerra, es más fácil bombardear o apoderarse de una fábrica que cerrar sus servidores. Después de todo, los ataques a las instalaciones de producción y suministro deben estar preparados para que realmente tengan un efecto. Los ataques DDoS o las campañas de desinformación que contribuyen a la incertidumbre son más atractivos porque son más eficientes. Los países de la UE y la OTAN sin duda serían un objetivo para los ataques subliminales, que ya son familiares en tiempos de paz. Sin embargo, subestimar el peligro significa no estar preparado para lo que a veces puede ser un gran riesgo.
Más en Bitdefender.com
Acerca de Bitdefender Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de