¿Qué pasaría si nos quedáramos sin electricidad? Los alimentos y los medicamentos esenciales ya no se podrían enfriar, las máquinas que mantienen la vida de los pacientes en los hospitales dejarían de funcionar, las luces se apagarían y las calles se hundirían en el caos. Un escenario que parece inimaginable. Los ciberdelincuentes se centran cada vez más en las instalaciones vulnerables que constituyen la base del bien común: las infraestructuras críticas.

El presidente de BSI, Arne Schönbohm, también ve a los operadores de las centrales hidroeléctricas nacionales o, por ejemplo, a la industria farmacéutica cada vez más en el centro de los ataques cibernéticos profesionalizados. ¿Por qué? La manipulación de los procedimientos operativos en estos sectores económicos podría poner en riesgo a la población. Las medidas de protección de TI interna deben tener una alta prioridad.

A continuación, echamos un vistazo a las infraestructuras críticas y damos una visión de las enormes consecuencias que un ataque cibernético puede tener en estas organizaciones tan sensibles.

 

Una cuestión crítica

 

Las infraestructuras críticas incluyen organizaciones o instituciones que desempeñan un papel importante para la comunidad. Proporcionan servicios o productos de los que dependen tanto los consumidores como las empresas. Estos incluyen instalaciones en los sectores de energía, TI y telecomunicaciones, salud, agua, alimentación, transporte, finanzas y seguros, gobierno y administración, medios de comunicación y cultura.

Las infraestructuras críticas se consideran especialmente sensibles en lo que respecta a su infraestructura de TI, por lo que el gobierno quiere protegerlas, especialmente con la ley de seguridad de TI que entró en vigor en julio de 2015. Por lo tanto, los operadores deben informar de los fallos de sus sistemas informáticos y permitir que se comprueben periódicamente. La mencionada sensibilidad de los sistemas se deriva del hecho de que la mayoría de ellos ya se desarrollaron en un pasado lejano. Queda claro que los aspectos de seguridad de TI no se tuvieron en cuenta desde el principio, pero si se tuvieron, inicialmente, los aspectos de seguridad física, como la construcción de sistemas de vallado de gran complejidad y el suministro de personal de seguridad.

Otra causa fue la separación de los sistemas informáticos del acceso a Internet. Sin embargo, la digitalización no sólo ha pasado desapercibida, sino que ha dado lugar a cambios considerables en los últimos años. En las empresas industriales modernas, por ejemplo, muchas máquinas, dispositivos y empleados están ahora conectados a Internet. Además de las muchas ventajas que esto trae consigo, también hay desventajas que no son insignificantes: Por lo tanto, las infraestructuras críticas son aún más vulnerables para los ciberataques.

 

¡…y estaba todo a oscuras!

 

El alcance de un ataque cibernético a infraestructuras críticas queda demostrado por un ataque sin precedentes a la red eléctrica de Ucrania en 2015: los hackers paralizaron todo el suministro de energía. Los hogares permanecieron a oscuras durante horas, los hospitales tuvieron que acceder a generadores de energía de emergencia. El ataque del hacker fue supuestamente llevado a cabo por actores estatales que sabotearon el suministro de energía del país con la ayuda del malware Industroyer. En 2017, una central eléctrica saudí fue víctima de piratas informáticos. El objetivo del ataque era presumiblemente destruir la planta.

El ataque fue descubierto por casualidad. De esta manera, se pudieron prevenir cosas peores. Según los medios de comunicación, el ataque se produjo a través de un sistema de seguridad que se utiliza en todo el mundo en centrales eléctricas de gas y petróleo, así como en centrales nucleares, también en Alemania. El código Triton utilizado en el ataque fue publicado en Internet poco después. Esto creó la base para nuevos ataques de hackers experimentados. Según sus propias declaraciones, los investigadores de seguridad pudieron localizar otro ataque con el código Triton en abril de 2019. Sin embargo, sigue sin estar claro cuándo tuvo lugar el ataque y qué sistema estaba en el punto de mira. Los investigadores llegaron a la conclusión de que los atacantes querían sentar las bases para el daño físico. Esto sugeriría también que se estaban dirigiendo a otros operadores de infraestructuras críticas. Por este motivo, los investigadores han hecho públicos los detalles del malware detectado para ayudar a los responsables de TI a detectarlo y prevenirlo.

Los acontecimientos del pasado son preocupantes. Una buena señal, sin embargo, es la creciente conciencia de la seguridad de TI dentro de las infraestructuras críticas. El control de desastres, por ejemplo, ya ha elogiado la creciente seguridad informática.

 

El peor caso: ataque cibernético al operador de infraestructuras críticas

Sin embargo, esto no significa que el tema esté fuera de debate. Durante mucho tiempo su objetivo fue el de sensibilizar a la gente sobre el establecimiento de medidas de seguridad. ¿Y si este fuera el caso? Partimos del peor de los escenarios: Un ataque cibernético apaga la electricidad en España. Según Arne Schönbohm de BSI, la red y el suministro de energía es un objetivo atractivo para paralizar a todo un país. De acuerdo con esto, en caso de un corte de energía cada vez mayor se producirían grandes cuellos de botella en el suministro. Esto también suscita preocupación en el campo del control de desastres. Echemos un vistazo más en detalle a un pequeño escenario de ataque:

 

Un ataque de un Ransomware se ejecuta en los siguientes pasos:

  1. Reconocimiento
  2. Armonización
  3. Entrega
  4. Explotación
  5. Instalación
  6. Mando y control
  7. Acciones sobre el objetivo

 

Reconocimiento: Identificación del objetivo

Existen básicamente dos tipos de ataques: ataques dirigidos y ataques masivos. La cadena de ataque se trata principalmente en ataques dirigidos. Primero se elige el objetivo. Aquí se recoge toda la información posible para averiguar cómo se crea la empresa y dónde hay lagunas que podrían utilizarse para la intrusión. La atención se centra normalmente en un determinado empleado que comparte mucha información sobre sí mismo: Detalles de contacto, títulos de trabajo, planes de vacaciones y más. Una vez que se ha encontrado la vulnerabilidad correcta, se da el siguiente paso.

Armonización: preparación del ataque

El atacante selecciona una herramienta adecuada dependiendo del objetivo deseado y del procedimiento planeado – si es posible, por supuesto, debe ser pérfido. A menudo una encriptación trojan es la mejor solución, que se mantiene cubierta al principio y recoge más información. Muchos de estos códigos están disponibles gratuitamente en Darknet (red oscura).

Entrega: primeros pasos para ejecutar el ataque

En esta fase, el delincuente tiene que elegir un canal de distribución. El delincuente puede optar por utilizar un CD-ROM, una memoria USB o el clásico correo electrónico. Los más populares son los correos electrónicos de phishing que se vinculan a un sitio web malicioso o que contienen un documento infectado que se supone que el destinatario debe abrir. La ventaja del método de phishing nos lleva directamente al siguiente paso.

Explotación: Detección de vulnerabilidades de seguridad

La falta de conciencia por parte de los empleados es un vector popular de inspiración. Palabra clave «ingeniería social»: el phishing, el fraude del ceo o la caza de ballenas se utilizan para explotar la incertidumbre y la ignorancia de los empleados para entrar en el sistema. Pero las superficies de ataque abiertas también pueden estar en la tecnología, como los agujeros de seguridad sin parchear en los programas utilizados en toda la empresa.

Instalación: implementación de una puerta trasera

Lógicamente, no aparecerá ninguna ventana emergente una vez que se haya instalado el malware. La instalación se ejecuta de forma oculta y sin el conocimiento del usuario. El malware anida y espera su gran momento.

Mando y Control: Control remoto del sistema de destino

Para mantener el control del malware, se puede utilizar el protocolo de escritorio remoto. El control remoto es esencial para alcanzar el objetivo real. Ahora incluso es posible utilizar la inteligencia artificial para que el malware pueda realizar acciones de autoaprendizaje, como recargar otro malware o espiar datos personales.

Acciones sobre el objetivo: Logro del propósito

El gran momento ha llegado y el atacante puede hacer su acción concreta después de la infiltración completa del sistema. En nuestro caso, la fuente de alimentación está desconectada. Pueden pasar varios años hasta que el malware se ejecute o se detecte.

De la cadena de ataque se desprende claramente que la prevención y la defensa contra ataques cibernéticos sofisticados sólo es posible con herramientas especiales y una fuerte y regular sensibilización a los empleados. Estos incluyen servicios que pueden detectar malware pérfido y complicado, como amenazas persistentes avanzadas con motores de análisis especiales, congelación y sandboxing. El hecho es que los ataques cibernéticos seguirán aumentando y que deben adoptarse medidas de protección en una fase temprana.

En resumen, los ciberataques a infraestructuras críticas pueden suponer una amenaza para la seguridad nacional. Un ataque a la red de energía o al suministro de agua puede tener consecuencias que no sólo podrían resultar en pérdidas económicas, sino que también podrían cambiar completamente la vida tal y como la conocemos.