Impacto en industrias de TI durante el conflicto en Europa del Este, ¿Guerra Digital?

CISA publica una serie de recomendaciones dirigidas a organizaciones y CISOS para protegerse en medio de la crisis Rusia-Ucrania.

Si bien no existen amenazas cibernéticas específicas para Latinoamérica en este momento, el ataque no provocado de Rusia contra Ucrania, que ha implicado ataques cibernéticos contra el gobierno ucraniano y organizaciones de infraestructura crítica, puede afectar a organizaciones tanto dentro como fuera de la región, particularmente a raíz de las sanciones impuestas por los Estados Unidos. Todas las organizaciones, grandes y pequeñas, deben estar preparadas para responder a la actividad cibernética disruptiva.

Se ha culpado a Rusia de una serie de ataques cibernéticos contra el gobierno y el sistema bancario de Ucrania en las últimas semanas.

A medida que Rusia intensifica sus presuntos ciberataques contra Ucrania junto con una invasión militar , los gobiernos de occidente temen que la situación se extienda a otros países y se convierta en una ciberguerra total.

El jueves 24 de febrero, se identificó un malware que tiene como objetivo borrar datos de los sistemas a los que se dirige. Un día antes, los sitios web de varios departamentos gubernamentales y bancos de Ucrania quedaron desconectados por un ataque de denegación de servicio distribuido (DDoS), saturando un sitio web con tráfico hasta que colapsa.

Estos ataques se producen después de que un ataque separado, durante la última semana de febrero, afectara cuatro sitios web del gobierno ucraniano, que funcionarios estadounidenses y británicos atribuyeron al GRU, la agencia de inteligencia militar rusa. Además, según informes, los residentes de Ucrania también recibieron mensajes de texto falsos que decían que los cajeros automáticos en el país no funcionaban, lo que, encaja perfectamente en campañas de FAKE NEWS.

Por su parte, Rusia dice que “nunca ha realizado y no realiza ninguna operación ‘maliciosa’ en el ciberespacio”.

La avalancha de ataques ha generado temores de un conflicto digital más amplio, con los gobiernos occidentales preparándose para las presuntas ciberamenazas de Rusia y considerando cómo responder.

Desde Darktrace, líder mundial en CyberAI, se ha dicho que los ataques hasta ahora se han centrado en gran medida en apoyar la invasión física de Ucrania por parte de Rusia. “Es la tierra física y el territorio lo que Rusia parece buscar en lugar del apalancamiento económico, para lo cual una campaña cibernética primero puede ser más efectiva”, dijo a CNBC.

Investigadores dijeron que un tipo de malware detectado en Ucrania también afectó a los contratistas del gobierno ucraniano en Letonia y Lituania, lo que sugiere un posible ” derrame ” de las tácticas de esta “guerra cibernética” en otros países. Varios países de la Unión Europea, incluidos Lituania, Croacia y Polonia, están ofreciendo apoyo a Ucrania con el lanzamiento de un equipo de respuesta rápida cibernética.

Finalmente, se ha sugerido el país Ruso podría lanzar ciberataques de represalia en respuesta a las sanciones occidentales anunciadas a principios de marzo.

¿Qué está pasando?

La forma más probable en que se presencie el efecto de cualquier ataque cibernético sea a través de la guerra de información: videos manipulados, noticias falsas y fotografías que pretenden confundir o engañar a las personas en el ciberespacio. Se presume que el principal objetivo de desinformación es justificar la crisis en Europa del este ante sus respectivos ciudadanos y el mundo. Pero sus tácticas también podrían extenderse hacia el oeste creando sitios web falsos, campañas falsas de crowdfunding, hasta enlaces con archivos maliciosos.

¿Qué pasa después?

Rusia ha sido acusada durante mucho tiempo por gobiernos e investigadores de seguridad cibernética de perpetrar ataques cibernéticos y campañas de desinformación en un esfuerzo por perturbar las economías y “socavar la democracia”.

Ahora, los expertos dicen que durante este conflicto se podrían lanzar formas más sofisticadas de ataques cibernéticos, dirigidos a Ucrania y posiblemente también a otros países.

Por ejemplo, en 2017, un malware conocido como NotPetya infectó computadoras en todo el mundo. Inicialmente se dirigió a organizaciones ucranianas, pero pronto se extendió a nivel mundial y afectó a grandes corporaciones como Maersk , WPP y Merck . Los ataques fueron atribuidos a Sandworm, la unidad de piratería de GRU (Inteligencia Rusa), y causaron más de $10.000 millones en daños totales.

Si realmente enfocan este tipo de actividad contra Occidente, eso podría tener consecuencias económicas muy reales.

¿Cómo Protegerse?

escudos arriba

La Agencia de Defensa Cibernética de EEUU, CISA, compartió la campaña SHIELDS UP (Escudos Arriba), para ayudar a las organizaciones a prepararse, responder y mitigar el impacto de los ataques cibernéticos. El objetivo es usar información para brindar asistencia y como advertencia para evitar que otras organizaciones y entidades sean víctimas de un ataque.

Guía de Shields Up para todas las organizaciones

Guía de Shields Up para todas las organizaciones:

CISA recomienda que todas las organizaciones, independientemente de su tamaño, adopten una postura más estricta en lo que respecta a la seguridad cibernética y la protección de sus activos más críticos. Las acciones recomendadas incluyen:

Reducir la probabilidad de una intrusión cibernética dañina

  • Valide que todo acceso remoto a la red de la organización y acceso privilegiado o administrativo requiera autenticación multifactor.
  • Asegúrese de que el software esté actualizado, dando prioridad a las actualizaciones que aborden las vulnerabilidades explotadas conocidas.
  • Confirme que el personal de TI de la organización ha deshabilitado todos los puertos y protocolos que no son esenciales para fines comerciales.
  • Si la organización utiliza servicios en la nube, asegúrese de que el personal de TI haya revisado e implementado controles estrictos.

Tome medidas para detectar rápidamente una posible intrusión

  • Asegúrese de que el personal de ciberseguridad/TI se concentre en identificar y evaluar rápidamente cualquier comportamiento de red inesperado o inusual. Habilite el registro para investigar mejor los problemas o eventos.
  • Confirme que toda la red de la organización esté protegida por software antivirus/antimalware y que las firmas en estas herramientas estén actualizadas.
  • Si trabaja con organizaciones ucranianas, tenga mucho cuidado de monitorear, inspeccionar y aislar el tráfico de esas organizaciones; revise de cerca los controles de acceso para ese tráfico.

Asegúrese de que la organización esté preparada para responder si ocurre una intrusión

  • Designe un equipo de respuesta a crisis con los principales puntos de contacto para un supuesto incidente de seguridad cibernética y roles/responsabilidades dentro de la organización, incluida la tecnología, las comunicaciones, la continuidad legal y comercial.
  • Asegurar la disponibilidad del personal clave; identificar los medios para proporcionar apoyo de emergencia para responder a un incidente.
  • Realice un ejercicio de simulación para asegurarse de que todos los participantes entiendan sus roles durante un incidente.

Maximizar la resiliencia de la organización ante un ciberincidente destructivo

  • Pruebe los procedimientos de respaldo para garantizar que los datos críticos se puedan restaurar rápidamente si la organización se ve afectada por ransomware o un ataque cibernético destructivo; asegúrese de que las copias de seguridad estén aisladas de las conexiones de red.
  • Si utiliza sistemas de control industrial o tecnología operativa, realice una prueba de controles manuales para garantizar que las funciones críticas permanezcan operativas si la red de la organización no está disponible o no es de confianza.

CISA también recomienda a las organizaciones que visiten StopRansomware.gov , una página web centralizada para todo el gobierno que proporciona recursos y alertas de ransomware.

Recomendaciones para líderes corporativos y directores ejecutivos

Guía de Shields Up para líderes corporativos:

Los líderes corporativos tienen un papel importante que desempeñar para garantizar que su organización adopte una postura de seguridad reforzada. 

  • Empoderar a los directores de seguridad de la información (CISO): en casi todas las organizaciones, las mejoras de seguridad se sopesan frente a los costos y los riesgos operativos para el negocio. En este entorno de mayor amenaza, la alta dirección debe empoderar a los CISO incluyéndolos en el proceso de toma de decisiones sobre el riesgo para la empresa y garantizar que toda la organización comprenda que las inversiones en seguridad son una prioridad máxima en el plazo inmediato.  
  • Umbrales de informes más bajos: cada organización debe tener umbrales documentados para informar posibles incidentes cibernéticos a la alta dirección y al gobierno de los EE. UU. En este entorno de amenazas intensificadas, estos umbrales deberían ser significativamente más bajos de lo normal. La alta gerencia debe establecer la expectativa de que cualquier indicación de actividad cibernética maliciosa, incluso si está bloqueada por controles de seguridad, debe informarse, como se indica en el sitio web de Shields-Up, a CISA o al FBI. Reducir los umbrales garantizará que podamos identificar inmediatamente un problema y ayudar a protegernos contra más ataques o víctimas.  
  • Participe en una prueba de planes de respuesta: los planes de respuesta a incidentes cibernéticos deben incluir no solo a sus equipos de seguridad y TI, sino también a los líderes empresariales sénior y a los miembros de la junta. Si aún no lo ha hecho, la alta dirección debe participar en un ejercicio de simulación para asegurarse de familiarizarse con la forma en que su organización gestionará un incidente cibernético importante, no solo para su empresa sino también para las empresas dentro de su cadena de suministro.  
  • Centrarse en la continuidad: al reconocer los recursos finitos, las inversiones en seguridad y resiliencia deben centrarse en aquellos sistemas que respaldan las funciones comerciales críticas. La alta gerencia debe asegurarse de que dichos sistemas hayan sido identificados y que se hayan realizado pruebas de continuidad para garantizar que las funciones comerciales críticas puedan permanecer disponibles después de una intrusión cibernética.  
  • Planifique para lo peor: si bien el gobierno de los EE. UU. no tiene información creíble sobre amenazas específicas para el territorio nacional de los EE. UU., las organizaciones deben planificar para el peor de los casos. La alta gerencia debe asegurarse de que se puedan tomar las medidas necesarias para proteger los activos más críticos de su organización en caso de una intrusión, incluida la desconexión de partes de la red de alto impacto si es necesario.  

Pasos que los estadounidenses pueden tomar para protegerse

Guía de Shields Up para el día a día:

  • Implemente la autenticación multifactor en sus cuentas . Una contraseña no es suficiente para mantenerte seguro en línea. Al implementar una segunda capa de identificación, como un mensaje de texto o correo electrónico de confirmación, un código de una aplicación de autenticación, una huella digital o Face ID, le está dando a su banco, proveedor de correo electrónico o cualquier otro sitio que está iniciando sesión en la confianza de que realmente es usted. La autenticación multifactor puede hacer que sea un 99 % menos probable que te pirateen. Por lo tanto, habilite la autenticación multifactor en su correo electrónico, redes sociales, compras en línea, cuentas de servicios financieros. ¡Y no olvide sus servicios de entretenimiento de juegos y transmisión!   
  • Actualice su software. De hecho, activa las actualizaciones automáticas . Los malos actores explotarán las fallas en el sistema. Actualice el sistema operativo de sus teléfonos móviles, tabletas y portátiles. Y actualice sus aplicaciones, especialmente los navegadores web, también en todos sus dispositivos. Aproveche las actualizaciones automáticas para todos los dispositivos, aplicaciones y sistemas operativos. 
  • Piense antes de hacer clic . Más del 90% de los ciberataques exitosos comienzan con un correo electrónico de phishing. Un esquema de phishing es cuando un enlace o página web parece legítimo, pero es un truco diseñado por malos actores para que revele sus contraseñas, número de seguro social, números de tarjetas de crédito u otra información confidencial. Una vez que tienen esa información, pueden usarla en sitios legítimos. Y pueden intentar que ejecute software malicioso, también conocido como malware. Si es un enlace que no reconoce, confíe en su instinto y piense antes de hacer clic. 
  • Utilice contraseñas seguras e, idealmente, un administrador de contraseñas para generar y almacenar contraseñas únicas. Nuestro mundo es cada vez más digital y cada vez más interconectado. Entonces, si bien debemos protegernos a nosotros mismos, nos tomará a todos proteger realmente los sistemas en los que todos confiamos.