This post is also available in: Português Español
La empresa no tenía ningún plan de acción de emergencias en el caso de alguna invasión en sus sistemas, lo que les facilitó el trabajo a los criminales.
Incluso, (y especialmente) las empresas y órganos públicos con diversos recursos de seguridad digital, deben estar atentos a los riesgos y brechas que puedan conducir a invasiones. Así, al contar con alguna clase de plan de acción, en caso de eventuales problemas en esta área, tienen más oportunidades de solucionar los contratiempos con mayor velocidad y eficacia.
Por otro lado, cuando los hackers invaden entidades que cuentan con poca o ninguna preparación, los daños pueden ser catastróficos. Y es difícil imaginar que esto sucedería en un gasoducto en Estados Unidos, un organismo esencial para la infraestructura del país en conjunto (dentro de una nación que es referencia en el área de tecnología). Sim embargo, ocurrió así.
El Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) reveló que uno de los gasoductos norteamericanos fue objeto de un ransomware, que llegó a través de un correo electrónico aparentemente auténtico. Pero, se trataba de un spear-phishing, un ataque donde un correo electrónico simula ser proveniente de una fuente confiable, pero que direcciona al destinatario ingenuo a un sitio web falso, repleto de malwares. Resultado: toda la unidad (cuyo nombre y localización exacta no fueron revelados) tuvo que ser paralizada por dos días.
Preocupante falta de preparación
Una alerta emitida por la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), vinculada al DHS, decía que los ejercicios de respuesta a emergencias fallaron al no proporcionar a los empleados la información y la experiencia necesarias para la toma de decisiones al lidiar con ataques cibernéticos.
En este caso en específico, el gasoducto no había implementado un sector sólido entre las redes de infraestructura de Tecnología de la Información (TI) con las redes de Tecnología Operacional (OT), permitiendo que el invasor infectara a ambas. Y, además, no había previsto ningún tipo de riesgo cibernético en su plan de respuesta a emergencias, concentrándose apenas en las amenazas a la seguridad física, como posibles accidentes con trabajadores o averías de maquinarias y equipos.
En menos de un año, diversas compañías de los Estados Unidos fueran invadidas por hackers. En junio, algunas ciudades de Florida fueron víctimas de ataques a sus sistemas por ransomwares, siendo que en octubre sucedió lo mismo en 3 hospitales de Alabama, los cuales solo pudieron atender a los pacientes más graves durante la invasión. Al comienzo de este año, el inconveniente sucedió en una unidad de la marina norteamericana, donde un trabajador clicó en un link de un correo electrónico falso que permitió la entrada del virus.
En cuanto a la víctima de turno, la CISA determinó adicionar un plan de riesgos cibernéticos, entre las estrategias de respuestas a incidentes, incluyendo la creación de failover en sistemas de control y el entrenamiento específico de los empleados. Entre los controles de seguridad física, recomendó la sectorización de la red, autenticación multifactorial, backups regulares de datos, políticas de acceso con menos privilegios, filtros anti-phishing, antivirus, lista de permisos, filtro de tráfico y la aplicación de patches regulares, situaciones que una empresa vinculada a la infraestructura de la mayor economía del mundo debería tener desde hace mucho tiempo.
This post is also available in: Português Español