Blog de WatchGuard

Se busca: recompensa de hasta 10 millones de dólares por hackers de infraestructuras críticas

El gobierno de Estados Unidos se ha propuesto hacer frente a la ciberdelincuencia, y en especial a la que tiene como objetivo las infraestructuras críticas. Así, el Departamento de Estado del país ha anunciado la entrega de una recompensa de hasta 10 millones de dólares a cualquier persona que ofrezca información válida sobre un posible ciberataque a este tipo de infraestructuras y que sea respaldado por gobiernos extranjeros. La medida ha sido adoptada gracias al empeño de las autoridades por poner coto a este tipo de ciberataques, pero sobre todo, al trabajo de concienciación en la importancia de proteger los endpoints como objetivo final.

El citado departamento recompensará con esa cantidad a todo aquel que provea de “información que lleve a la identificación o participación de cualquier persona que actuando bajo la dirección o el control de un gobierno extranjero, participe en ciberataques contra infraestructuras críticas”. Para ello, las autoridades han creado un canal de comunicación basado en la red cifrada Tor, en el que se pueda reportar la mencionada información de forma totalmente anónima. Esta iniciativa, además del anonimato y una comunicación cifrada y segura, prevé asimismo el pago de recompensas en criptomonedas

El grave impacto de los ciberataques a infraestructuras críticas

Un ciberataque sobre infraestructuras críticas presenta unas consecuencias mucho más graves y afecta a un número mucho mayor de usuarios que los padecidos por organizaciones y particulares. Los ciberatacantes, tras acceder a una infraestructura de estas características, tienen acceso a servicios clave de un país (como el sanitario, defensa, por poner solo algunos ejemplos), y en consecuencia, el impacto afecta a un número masivo de ciudadanos. Las estadísticas muestran, además, que este tipo de ciberataques está en alza: el Centro Nacional de Inteligencia español alertó ya en 2018 sobre un incremento del 43,65 % de ciberataques con respecto al año anterior. Por otro lado, el informe U.S. Healthcare Cybersecurity Market 2020 elaborado por Frost Radar, destacó que cerca del 90 % de los sistemas sanitarios de Estados Unidos había sido víctima de un ciberataque en los últimos tres años.

Un buen ejemplo del impacto que produce un ciberataque a una infraestructura crítica lo encontramos en el que ha sido considerado como el mayor que ha sufrido la industria petrolera en Estados Unidos: el padecido por el oleoducto Colonial. En él, los hackers del grupo Darkside lograron introducir en los sistemas un ransomware con el que se bloquearon hasta 100 GB de datos. Esta acción tuvo consecuencias directas en la ciudadanía, ya que la compañía tuvo que interrumpir el suministro de combustible hasta restaurar los sistemas e incluso el Aeropuerto Internacional de Charlotte-Douglas en Carolina del Norte vio afectada su actividad.

Otro tanto de lo mismo lo vivió el Servicio de Salud Pública de Irlanda (HSE, por sus siglas en inglés), que se vio forzado a cancelar masivamente citas con pacientes y tuvieron que interrumpirse los servicios de radiología y oncología temporalmente. En este caso también, el colapso fue provocado por un ciberataque de ransomware que fue considerado como el de mayor dimensiones sufrido en Irlanda, según confirmarían posteriormente las autoridades del país.

Consecuencias, si cabe, más graves, podrían haber tenido lugar de no haberse frustrado el ciberataque a la planta de depuración de agua de la ciudad de Oldsmar, en el estado de Florida. Esta planta surte de agua potable a la ciudad y padeció un ciberataque que, de haber prosperado, podría haber envenenado a sus miles de habitantes. En este caso, un operario de la compañía detectó un movimiento extraño del ratón que atribuyó al software de gestión remota TeamViewer; sin embargo, las alertas saltaron cuando este movimiento del puntero pretendió elevar la dosis de sosa cáustica —empleada para regular el PH del agua— a niveles altamente perjudiciales para el consumo humano. Este empleado de la planta de Oldsmar frustró el ciberataque y la firma desinstaló TeamViewer, el software que se sospecha fue empleado para la ejecución del mismo.

Blindar el endpoint, determinante para proteger infraestructuras críticas

En el caso del ciberataque sobre la planta de agua de Oldsmar, fue la combinación del azar y del buen hacer de un operario la que frustró el desastre, pero las organizaciones deben asegurarse la correcta protección de infraestructuras críticas. Ser proactivo ante un eventual ciberataque de estas características resulta fundamental y, en este sentido, es determinante la adopción de la estrategia Zero-Trust, que parte de una premisa fundamental: no se puede confiar en nada.  Bajo ella, el sistema identifica a todos los usuarios y dispositivos para saber siempre quién se conecta a la red y con qué lo hace; proporcionar un acceso seguro (limitándolo a usuarios, dispositivos y aplicaciones específicas) y monitoreo continuo de la red y todos los endpoints mediante aprendizaje automático y detección basada en el comportamiento.

Para ello, la mejor solución reside en que los MSP garanticen la estricta protección de los endpoints con soluciones avanzadas como Watchguard EPDR que permite:

  • Supervisar de manera constante los endpoints y  ejecuta de forma proactiva cualquier proceso desconocido, siendo automáticamente neutralizado.
  • Aprovechar las bondades de la inteligencia artificial (IA) en el servicio de aplicaciones de confianza cero (Zero Trust), mediante el cual se clasifican los procesos como confiables o malware antes de que lleguen a ejecutarse.
  • Clasificación automática del 99,98 % de los procesos, mientras que los expertos en ciberseguridad de Watchguard categorizan manualmente el porcentaje restante.

Esta sistemática permite detectar la totalidad de los binarios evitando falsos positivos y negativos y anticiparse a los adversarios con las capacidades preventivas ampliadas de WatchGuard EPDR y  Zero Trust Application Service acelerando la búsqueda, investigación y contención de ciberatacantes que buscan alterar la operativa de infraestructuras críticas.