Cuando el código mata: El auge de los ciberataques cinéticos
¿Has visto la reciente serie de Netflix "Zero Day", protagonizada por Robert De Niro? (Solo he llegado al cuarto episodio, así que no spoilers, por favor.)
En caso de que no lo hayas hecho, la trama se centra en un ciberataque masivo que afecta básicamente a todos los sistemas informatizados en los EE. UU. Todo se apaga durante un minuto, luego todo se restaura. Pero el resultado es que mueren miles de personas, ya que los aviones y trenes se estrellan, las plantas industriales explotan, y así sucesivamente.
La destrucción y pérdida de vidas en el mundo real coloca este ataque imaginado en la categoría de ciberataques cinéticos. Y aunque la naturaleza específica del ataque ficticio, que pasa por alto simultáneamente cada estrategia de seguridad y afecta a todo tipo de sistema operativo, desde teléfonos móviles hasta sistemas de control industrial, lo hace extremadamente improbable, la realidad es que los ciberataques cinéticos están en aumento.
Y a pesar de que han pasado quince años desde el primer ciberataque cinético, los expertos advierten que los sistemas industriales e infraestructurales críticos siguen estando insuficientemente protegidos contra tales ataques.
Ataques cinéticos en el mundo real
Stuxnet
En 2010, tuvo lugar el primer caso conocido de un ciberataque cinético cuando los profesionales de seguridad identificaron un malware llamado Stuxnet. Se acepta generalmente que el malware fue desarrollado por las fuerzas gubernamentales de Israel y Estados Unidos. Fue desplegado contra elementos del programa de desarrollo de armas nucleares de Irán, explotando varias vulnerabilidades de Windows previamente desconocidas.
Stuxnet fue diseñado específicamente para destruir las centrifugadoras que Irán utilizaba para enriquecer uranio. Al alterar la programación de tipos específicos de controladores lógicos programables (PLCs), hizo que las centrifugadoras giraran de manera irregular, lo que finalmente provocó que se destruyeran a sí mismas. Se estima que el ataque retrasó el programa de armas de Irán al menos dos años.
Quizás lo más importante, el descubrimiento de Stuxnet anunció al mundo que la infraestructura crítica podría ser dañada o destruida usando nada más que código malicioso.
Colonial Pipeline
En 2021, Colonial Pipeline fue golpeado por un ataque de ransomware que llevó a la empresa a cerrar sus operaciones de oleoducto y gasoducto. Los sistemas de control industrial (ICS) que gestionaban los oleoductos no estaban segmentados de los sistemas de datos de la empresa, dejando abierta la posibilidad de una falla catastrófica si el ransomware migraba de uno a otro.
En última instancia, no hubo daños ni destrucción de los sistemas físicos, sin embargo, el cierre tuvo un efecto fuerte e inmediato en los precios y la disponibilidad de energía y se cree que puso a EE. UU. en riesgo estratégico.
Ataque a la planta de tratamiento de agua de Florida
También en 2021, un ciberdelincuente pudo acceder a la planta de tratamiento de agua de Oldsmar, Florida, utilizando una plataforma de software de acceso remoto protegida por contraseña y que llevaba mucho tiempo inactiva. El atacante ajustó los controles para añadir 100 veces la cantidad normal de hidróxido de sodio, también conocido como sosa cáustica, al agua.
Afortunadamente, un operador que estaba en línea se dio cuenta del ataque en progreso y reinició el control antes de que se pudiera causar ningún daño. Es aterrador preguntarse qué podría haber pasado si el ataque hubiera ocurrido por la noche, cuando no hubiera operadores legítimos en línea.
Asegurar sistemas vulnerables
Hay muchos más ejemplos de ciberataques cinéticos en los últimos años. Y no hay razón para esperar que no continúen proliferando.
Los sistemas ciberfísicos (CPS), sistemas informatizados que están conectados a internet así como a sistemas físicos y mecánicos, están por todas partes. Desde los sistemas ICS e infraestructuras críticas hasta los dispositivos IoT comunes, como frigoríficos y marcapasos, nos beneficiamos enormemente de esta tecnología.
Pero, aunque tanto el gobierno como la industria han aceptado cada vez más la necesidad de una seguridad robusta para proteger los datos y redes tradicionales, muchos de los sistemas CPS más vulnerables, incluida la infraestructura crítica que podría causar daños masivos e incluso la muerte si fueran atacados, continúan estando inadecuadamente protegidos.
¿Qué deben hacer los administradores de estos sistemas para protegerlos mejor contra ataques?
Uno de los primeros y más importantes pasos es implementar una segmentación robusta de los sistemas CPS para evitar que los atacantes utilicen las redes de datos para penetrarlos y comprometerlos. Si es posible, deben estar aislados, es decir, completamente separados físicamente de internet y de otras redes y sistemas.
Otro paso importante es implementar controles de acceso muy estrictos, como los sistemas de confianza cero, utilizando principios de privilegio mínimo para garantizar que solo aquellos que tengan una necesidad absoluta de acceder a los sistemas CPS tengan la autoridad para hacerlo.
Invierte en sistemas de seguridad avanzados, incluidos firewalls de red y de aplicaciones, al menos al mismo nivel que invierten en soluciones de seguridad para sus redes y sistemas tradicionales centrados en los datos.
Realice auditorías de seguridad frecuentes para garantizar que todo el software esté actualizado y que todas las vulnerabilidades conocidas se corrijan rápidamente. Además, asegúrese de que cualquier ruta de acceso temporal otorgada a contratistas o técnicos externos se elimine tan pronto como ya no sea necesaria.
Las apuestas siempre han sido altas cuando se trata de ciberseguridad. Pero a medida que aumenta la frecuencia y la gravedad de los ciberataques cinéticos, esas apuestas crecen inconmensurablemente.
Suscríbase al blog de Barracuda.
Regístrese para recibir Threat Spotlight, comentarios de la industria y más.
