Los profesionales de la ciberseguridad han discutido durante mucho tiempo la noción de que los conflictos futuros ya no se librarán solo en un campo de batalla físico, sino también en el espacio digital. Aunque los conflictos recientes muestran que el campo de batalla físico no irá a ninguna parte pronto, también estamos viendo más ataques cibernéticos respaldados por el estado que nunca. Por lo tanto, es vital que las empresas, las personas y los gobiernos se aseguren de estar preparados para un ataque. En el campo de batalla digital, no solo se ataca a los soldados: todos están en la línea de fuego.
En términos generales, un acto de ciberguerra es cualquier actividad maliciosa en línea respaldada por un estado que tenga como objetivo redes extranjeras. Sin embargo, como ocurre con la mayoría de los fenómenos geopolíticos, los ejemplos de guerra cibernética del mundo real son mucho más complejos. En el turbio mundo del cibercrimen respaldado por el estado, no siempre son las agencias de inteligencia gubernamentales las que realizan los ataques directamente. En cambio, es mucho más común ver ataques de organizaciones cibercriminales organizadas que tienen vínculos con un estado-nación. Estas organizaciones se conocen como grupos de amenazas persistentes avanzadas (APT). El infame APT-28, también conocido como Fancy Bear, que pirateó el Comité Nacional Demócrata en 2016 es un gran ejemplo de este tipo de espionaje.
Los lazos débiles entre los grupos APT y las agencias de inteligencia estatales hacen que las líneas entre el espionaje internacional y el ciberdelito más tradicional sean borrosas. Esto dificulta definir si un ataque en particular es un “acto de guerra cibernética”. Como tal, los analistas de seguridad a menudo solo pueden formular hipótesis sobre si un ataque estuvo respaldado por porcentajes y grados de certeza. Esto, en cierto modo, es la tapadera perfecta para las agencias estatales maliciosas que desean atacar e interrumpir la infraestructura crítica mientras reducen el potencial de generar una crisis geopolítica o un conflicto armado.
Si el enemigo está dentro del alcance, tú también
Independientemente de si un ciberataque está directamente relacionado con una agencia estatal extranjera, los ataques a infraestructura crítica puede tener consecuencias devastadoras. La infraestructura crítica no solo se refiere a la infraestructura operada y de propiedad estatal, como las redes eléctricas y las organizaciones gubernamentales; Los bancos, las grandes corporaciones y los ISP caen bajo el paraguas de objetivos de infraestructura crítica.
Por ejemplo, un esquema específico de "hackear, bombear y volcar", donde se comprometen múltiples carteras comerciales personales en línea para manipular los precios de las acciones, podría ser realizado por un grupo respaldado por el estado para dañar los ahorros y los fondos de jubilación en otra nación, con consecuencias potencialmente catastróficas para la economía.
A medida que los gobiernos y las organizaciones privadas continúen adoptando redes de TI inteligentes y conectadas, los riesgos y las posibles consecuencias seguirán aumentando. Investigación reciente por la Universidad de Michigan encontró importantes fallas de seguridad en los sistemas de semáforos locales. Desde un único punto de acceso, el equipo de investigación pudo tomar el control de más de 100 señales de tráfico. Aunque la falla en este sistema se corrigió posteriormente, esto resalta la importancia de sistemas de seguridad incorporados robustos y actualizados para proteger la infraestructura de los ataques cibernéticos.
Defender ahora o ser conquistado más tarde
Con redes más grandes y más complejas, la posibilidad de que se puedan explotar las vulnerabilidades aumenta exponencialmente. Si las organizaciones quieren tener alguna oportunidad contra un ataque sofisticado respaldado por el estado, cada punto final en la red debe ser monitoreado y protegido continuamente.
Algunos ya han aprendido esta lección de la manera difícil. En 2017, al gigante estadounidense de alimentos Mondelez se le negó un pago de seguro de $ 100 millones después de sufrir un ataque cibernético ATP ruso porque el el ataque fue considerado como “un acto de guerra” y no está cubierto por la póliza de seguro de ciberseguridad de la empresa. (El conglomerado y Zurich Insurance recientemente resolvieron su disputa en términos no revelados).
La seguridad de los endpoints nunca ha sido tan crítica como hoy. El uso de dispositivos móviles personales como herramienta de trabajo se ha generalizado en casi todas las industrias. Sorprendentemente, este aumento en la política de traer sus propios dispositivos ha sido impulsado en parte por la falsa suposición de que los dispositivos móviles son inherentemente más seguros que las computadoras de escritorio.
Sin embargo, varios gobiernos y grupos ATP con capacidades cibernéticas bien establecidas se han adaptado y explotó el panorama de amenazas móviles durante más de 10 años con tasas de detección peligrosamente bajas. Los ataques a las redes móviles gubernamentales y civiles tienen el potencial de acabar con una gran parte de la fuerza laboral, frenando la productividad e interrumpiendo todo, desde la toma de decisiones del gobierno hasta la economía.
En el panorama de amenazas actual, los ataques cibernéticos no son solo un riesgo potencial, sino que son de esperar. Afortunadamente, la solución para minimizar el daño es relativamente sencilla: no confíe en nadie y asegure todo.
Es posible que los administradores de seguridad y TI no puedan prevenir un ataque cibernético o una guerra cibernética; sin embargo, pueden defenderse contra los peores resultados. Si un dispositivo está conectado a la infraestructura, ya sea física o virtualmente, es una puerta trasera potencial para que los actores de amenazas accedan a los datos e interrumpan las operaciones. Por lo tanto, si las organizaciones quieren evitar quedar atrapadas en el fuego cruzado de la guerra cibernética, la seguridad de los endpoints debe ser la primera prioridad en todas las operaciones, desde dispositivos móviles hasta computadoras de escritorio.
