Tecnología

Empresas de energía, las más vulnerables ante ciberataques en Ucrania

La situación geopolítica que está viviendo el mundo tiene un antecedente en la ciberseguridad, donde las vulneraciones pueden continuar como parte del conflicto.

vie 25 febrero 2022 05:00 AM

ciberataques ucrania — Organizaciones y especialistas advierten aumentos en ciberataques. (Gwengoat/Getty Images/iStockphoto)

Eréndira Reyes

@eresinaeresina

En diciembre de 2015 Ucrania fue víctima del primer corte de energía conocido en el mundo debido a un ciberataque, dejando a miles de ciudades ucranianas sin energía durante más de seis horas (incluyendo hospitales, fábricas y otros elementos clave de la infraestructura crítica). Aunque la atribución es increíblemente difícil en el ciberespacio, los expertos han señalado a Rusia y a organizaciones cibercriminales patrocinadas por este país como responsables de este ataque.

"A medida que las tensiones continúan escalando en Ucrania y se avecina una posible crisis humanitaria, la Agencia de Seguridad de Infraestructuras y Ciberseguridad de los Estados Unidos (CISA) ha advertido a las organizaciones que levanten sus escudos en previsión de ciberataques perjudiciales y de ciberrepresalias por las sanciones económicas en el escenario mundial", dijo a Expansión Marcus Fowler, SVP Compromisos Estratégicos y Amenazas en Darktrace.

En enero de este año, numerosos sitios de internet del gobierno de Ucrania fueron blanco de un ciberataque, y aunque las autoridades aseguraron que no se produjeron daños importantes, se trató de un incidente que se produjo en medio de fuertes tensiones entre Kiev y Moscú.

"Como resultado de un ataque masivo, los sitios del ministerio de Relaciones Exteriores y un cierto número de otras agencias gubernamentales están temporalmente fuera de servicio", indicó un portavoz de la diplomacia ucraniana. Ante esto, y la situación actual que vive Ucrania, las empresas de ciberseguridad no sólo señalan las áreas que podrán verse más afectadas en el país de Europa Central, sino también los flancos que podrían encontrar en países como México o Estados Unidos.

“La Agencia Estadounidense de Ciberseguridad e Infraestructura ya ha publicado advertencias sobre ataques en varias áreas, incluyendo ataques rusos patrocinados por el Estado contra contratistas de defensa autorizados. Podemos esperar ver ataques más frecuentes contra el sector financiero de Estados Unidos, el Departamento del Tesoro, el Departamento de Estado y muchos otros, enfocados en acciones en torno a las sanciones”, indicó a Expansión, Tony Cole, director de Tecnología de Attivo Networks.

Sembrando el caos

Cole afirma que Rusia conoce muy bien el alcance de los grupos cibercriminales, por lo que ahora se espera que se motive nuevamente su actividad delictiva y los especialistas advierten sobre un posible reclutamiento o reactivación de grupos. El 14 de enero, el servicio de seguridad nacional de Rusia (FSB, por sus siglas en ruso) arrestó a 14 miembros del grupo de hackers REvil, a pedido del gobierno de los Estados Unidos, pero ahora esta organización podría funcionar al gobierno ruso.

De acuerdo con las autoridades rusas, la operación donde cayeron los miembros de REvil fue un trabajo en el que se registraron 25 direcciones, y en el que confiscaron 5.6 millones de dólares junto a más de 600,000 dólares en criptomonedas, además de 20 automóviles de lujo.

“El terreno anteriormente ganado al obligar al gobierno ruso a acabar con los grupos criminales de ransomware enfocados en afectar a las empresas estadounidenses probablemente se evaporará y es posible que esos mismos grupos sean alentados a aumentar su actividad ilícita”, apunta Cole.

Ahora los especialistas temen que puedan volver a activarse este tipo de grupos.

“Debemos acelerar el trabajo hacia un Centro de Competencia en Ciberseguridad en Bucarest, Rumania. Darle muchos más recursos y convertirlo en un verdadero centro de agencias nacionales de ciberseguridad”, apunta el Consejo Europeo de Digitalización, conformado por once asociaciones TIC que alertan que, sobre todo en Ucrania, el secuestro de fuentes de energía podría dejar a la población incomunicada, sin luz y más vulnerable.

De acuerdo con Reuters, los apagones de energía se han centrado en Kharkiv, la segunda ciudad más grande de Ucrania, mientras que el proyecto de detección y análisis de interrupciones de Internet (IODA) de Georgia Tech informó interrupciones parciales que comenzaron justo antes de la medianoche del 23 de febrero y continuaron hasta la mañana del 24 de febrero.

Las interrupciones están afectando al proveedor de servicios de Internet Triolan, que da servicio a varias ciudades y otras áreas de Ucrania, incluido Kharkiv.

¿Qué pasa con las empresas mexicanas?

Cole señala que las empresas en infraestructura crítica, y en general las organizaciones de México, deben tomar los siguientes pasos de inmediato.

· Asegurarse de que la autenticación multifactor se implemente y sea obligatoria para cada usuario.

· Aumentar los esfuerzos en torno a las actividades de ciber higiene para mantener actualizadas todas las aplicaciones y sistemas operativos, incluyendo exposición de credenciales almacenadas en los usuarios.

· Supervisar y administrar cuidadosamente los sistemas de servicios de identidad como Directorio Activo e implementar la detección de ataques dentro de él, sin descuidar el tema de diagnóstico continuo para reducir la superficie de ataque.

· Identificar anomalías en torno a la explotación de credenciales, uso sospechoso de cuentas privilegiadas, que al igual que las de Directorio Activo son tácticas consistentes en los grupos de ransomware.

· Asegurarse de que se realicen con frecuencia las copias de seguridad, se mantengan fuera del sitio y se conserven en un estado prístino.

· Mantener actualizado su plan de respuesta a incidentes (IR) y practicarlo con todo el personal clave. Agregar un contrato de IR externo si se carece de experiencia.

· Interactuar y conocer a su equipo legal local antes de cualquier incidente importante.