Por Marc Asturias, vicepresidente de Mercadeo y Gobierno en Fortinet
Los ciberataques son cada vez más sofisticados y ponen en riesgo infraestructuras esenciales con efectos potencialmente dramáticos. Las organizaciones y los gobiernos deben cuidar los aspectos vinculados a la ciberseguridad de punta a punta en sus redes y estructuras, con visibilidad centralizada, manejo simplificado y automatización.
Los ciberataques a infraestructuras críticas tienen fines diversos: razones político-sociales, fines de lucro, motivos geopolíticos o de ciberespionaje de nación a nación. La historia reciente ha demostrado que los principales objetivos de los cibercriminales y hacktivistas están relacionados con la energía, la electricidad se considera más vulnerable; luego el petróleo y el gas; el transporte; los servicios públicos; las telecomunicaciones; y el sector de manufactura crítica. Además, amenazas como el ransomware afectan a la salud pública y tienen a las cadenas de suministro médico como objetivo. Y las fuerzas de trabajo remotas también son una oportunidad para estas amenazas.
El concepto de infraestructura crítica incluye los activos, sistemas, instalaciones, redes y otros elementos de los que depende un país para mantener la seguridad nacional, la vitalidad económica, la salud pública y la seguridad. Existen numerosos sectores considerados como de infraestructura crítica, que tienen algún tipo de dependencia de Internet para su operación, gestión y automatización.
Pues bien: estos sistemas están en riesgo ya que se han convertido en objetivos principales de los ciberdelincuentes. ¿Por qué razón? Porque son percibidos (correcta o incorrectamente) como un blanco fácil, ofrecen visibilidad para que los atacantes ganen reputación, son objetivos de rescate, crean distracciones y son blancos potenciales de guerra cibernética o de ataques contra los países.
En la actualidad los ataques son automatizados y muy veloces. Los ciberdelincuentes ya no son personas solitarias haciendo hackeos por diversión, sino grandes “empresas” o grupos respaldados por naciones que tienen mucha tecnología y respaldo económico, y lanzan sofisticados ataques con inteligencia artificial para encontrar vulnerabilidades. Ya no hay opción, la ciberseguridad también debe contar con herramientas de automatización que incluyan inteligencia artificial, aprendizaje automático y self-healing networks (sistemas que se autoprotegen).
El aislamiento de las infraestructuras críticas, esto es apartarlas de las redes y las conexiones, no soluciona el problema porque, por ejemplo, la cadena de suministro del software de esa infraestructura tiene que pasar de todos modos por redes que pueden ser comprometidas mediante ataques al suministro de las actualizaciones de software, por caso.
Entre las vulnerabilidades comúnmente explotadas por los ciberdelincuentes figuran los sensores industriales de todo tipo, firewall antiguos y sistemas de seguridad mal configurados, enlaces a bases de datos, acceso telefónico o conexiones de administración de red secundaria y VPNs, por mencionar solo algunos. Por otra parte, los sistemas de control industrial (ICS, por sus siglas en inglés) son difíciles de proteger, entre otras cosas porque existen muchos sistemas antiguos que aún funcionan, pero que no tienen en cuenta la seguridad.
La superficie de ataque se amplía, es necesario un cambio de mentalidad
En el contexto actual los actores cibernéticos maliciosos están ajustando sus tácticas, la innovación digital también está generando un mayor riesgo. El agregado de miles de millones de "bordes" amplió aún más la superficie potencial de ataque digital. Hoy el perímetro de las redes está en todas partes y en adición, la transición a la Nube está creando nuevas vulnerabilidades. Además, Internet de las Cosas (IoT) expandió los puntos de acceso y está permitiendo a los atacantes encontrar sistemas y servicios abiertos a través de cámaras, ruteadores y servidores, entre otros dispositivos.
Muchos tomadores de decisiones de compañías y de gobiernos creen que, si están en la nube, están protegidos automáticamente. Lo cual no es cierto. La realidad es que tiene que haber ciberseguridad de punta a punta: desde el dispositivo del empleado (que debe contar con protección de endpoint) y la VPN a través de la cual se conecta a la red para proteger la comunicación, hasta la instancia de la nube y toda la infraestructura híbrida. Además, las organizaciones deben tener visibilidad centralizada de todo lo que está accediendo y pasando por su red, fácil manejo y automatización.
Lo que hace falta, en definitiva, es un cambio de mentalidad: la implementación de un esquema de ciberseguridad de extremo a extremo debe ser lo primero que hay que garantizar; luego, la infraestructura de TI que se utilice, podrá variar.
Una encuesta reciente indica que lamentablemente las organizaciones se están moviendo en la dirección equivocada en términos de resultados. Nueve de cada diez compañías experimentaron al menos una intrusión en el sistema OT (tecnología operativa) en 2020, un 19% más que en 2019. Y la proporción de organizaciones que sufrieron tres o más intrusiones aumentó del 47% al 65% durante ese mismo período.
Estas intrusiones a menudo afectaron la eficiencia operativa, los ingresos e incluso la seguridad física. El informe indicó que en esta agudización del problema pueden influir varios factores: los sistemas OT se están interconectando cada vez más con los sistemas de TI e Internet; las redes empresariales se están volviendo más complejas, lo que dificulta la protección integral. Y los ciberdelincuentes están utilizando tácticas cada vez más sofisticadas. No obstante, la investigación también muestra que un porcentaje significativo de organizaciones no desplegó algunos elementos de seguridad básica en sus entornos de OT.
En conclusión, una plataforma de ciberseguridad de extremo a extremo es la mejor manera de proteger una infraestructura crítica aún aislada porque ofrece una gran visibilidad centralizada y un mejor manejo. El despliegue de este esquema de seguridad informática no debiera ser un plan futuro para las organizaciones y gobiernos, sino una prioridad inmediata.