¿Qué tienen en común ámbitos tan diferentes como el transporte, el suministro de agua, energía, sanidad, seguridad, banca e infraestructuras de servicios financieros o las redes y sistemas de información, por citar algunos? La respuesta es sencilla: todos se enmarcan dentro de los sectores esenciales o críticos que son fundamentales para el bienestar social y económico de los ciudadanos o para el eficaz funcionamiento de las instituciones del Estado y las administraciones públicas.
Precisamente por su carácter estratégico deben ser especialmente protegidos de posibles incidentes de seguridad física y, por supuesto, desde el ámbito de la ciberseguridad. Es este último el que más preocupa, pues según indica el CNPIC, los ciberataques a los sectores estratégicos han ido aumentando −y se espera que la tendencia siga al alza− tanto en número como en nivel de sofisticación. De acuerdo con los datos de este organismo, se pasó de 17 ataques detectados en 2013 a un total de 6.954 en 2018. Y solo en 2019 se gestionaron 8.086 incidentes de distinta peligrosidad e impacto, de los cuales 818 se produjeron en operadores de titularidad privada y 7.268 en operadores de titularidad pública.
Vivimos en un entorno dominado por la hiperconectividad, la automatización y otros avances tecnológicos, y los servicios esenciales también están inmersos en esta corriente de digitalización. Esto provoca que los sistemas modernos ya no sean herméticos, pues la integración con redes Internet los exponen a las mismas vulnerabilidades que cualquier otro sistema de TI.
Algo que tiene muchas ventajas, pero también inconvenientes. Los ciberdelincuentes lo saben y han encontrado en ellos las «joyas de la corona» para sus fines: a mayor superficie de ataque, mayores probabilidades de éxito de sus campañas maliciosas. Una muestra de ello es el incremento del número de incidentes antes mencionado, situación que pone de relieve la necesidad de reforzar la resiliencia en estas infraestructuras críticas, por encima incluso de la confidencialidad de los datos.
Y llegó la pandemia
Con la llegada de la COVID-19 se ha marcado un punto de inflexión en todos los sentidos y en todos los sectores. En los estratégicos también. Pensemos en el sanitario, por ejemplo.
La pandemia ha incrementado los desafíos de ciberseguridad, y al igual que el virus no distingue de fronteras, los ciberdelincuentes tampoco
Estos no han tenido escrúpulos en utilizarla como señuelo para lanzar ataques a entornos hospitalarios y centros de salud, laboratorios farmacéuticos, etc. Hicieron que su situación fuera aún más crítica y pusieron a los equipos de seguridad TI en jaque, teniendo estos que lidiar con los riesgos de seguridad asociados a los datos confidenciales de los pacientes y a los ataques de malware, entre otras muchas cosas.
Despreocupado por su condición social y su excelente posición en la comunidad, el ámbito sanitario ha descuidado durante años la seguridad de sus sistemas. Nos encontramos ahora con una industria tecnológicamente muy avanzada, pero con un abandono en seguridad preocupante. Antes de la pandemia ya se conocían casos de ataques a hospitales, pero ahora se ha puesto de relieve, más si cabe, esta delicada situación. De hecho, hemos sido testigos de cómo hospitales de todo el mundo han visto afectados sus servicios tras ser víctimas de un ciberataque. Las consecuencias han sido terribles, llegando incluso a provocar víctimas mortales, como en el caso del Hospital Universitario Uniklinik de Dusseldorf (Alemania).
De poco ha servido el llamamiento a la acción promovido por CyberPeace Institute en el que se solicitaban medidas conjuntas a los gobiernos para combatir los ciberataques contra los centros de salud y los entornos sanitarios a raíz de que se dispararan los incidentes contra instalaciones médicas de la República Checa, Francia, España, Tailandia, Estados Unidos, la Organización Mundial de la Salud y otras autoridades sanitarias durante los meses más complicados de la pandemia. La realidad es que los ataques se siguen produciendo.
Estos incidentes van desde operaciones de ransomware destinadas a paralizar las redes de atención primaria hasta campañas de desinformación destinadas a socavar y perturbar elementos más amplios de la respuesta a la pandemia, incluidos los servicios de ensayo e investigación de vacunas. En el caso concreto de las organizaciones del ámbito sanitario, las víctimas no solo se exponen a las pérdidas económicas derivadas del ciberataque, sino también a una pérdida de documentación extremadamente delicada (historiales médicos, citaciones, datos de asegurados, etc.), así como a un perjuicio de su imagen y reputación.
Estos ataques ponen de manifiesto la dificultad de gestionar una de las tipologías más delicadas de ciberataques: las dirigidas hacia infraestructuras críticas o servicios esenciales. En estos casos, más allá de la mayor o menor complejidad técnica del ciberataque, lo más complicado de gestionar son las consecuencias que tiene que afrontar la organización infectada al no poder proporcionar sus servicios con normalidad.
¿Cómo evitar estos ataques?
Evitar ataques cada vez más elaborados no es una tarea sencilla. Aquí, la capacidad de las organizaciones de reaccionar de forma rápida ante las amenazas y de responder adecuadamente es clave.
De hecho, implica que un conjunto de acciones, recursos y políticas de seguridad sean diseñadas específicamente para salvaguardar la seguridad de dispositivos, datos y personas. Una recomendación básica y crucial es contar con tecnologías de ciberseguridad que tengan funcionalidades de protección avanzada, así como que dispongan también de la capacidad de detectar, dar visibilidad y remediar las posibles amenazas.
Pero el punto en común de la mayoría de estos ataques es algo tan sencillo de explicar como complicado de conseguir efectivamente: la falta de control sobre lo que ocurre en los sistemas de todos los equipos, donde la telemetría recogida de estos activos es fundamental para conseguir la anticipación en la detección o mejora del entorno en términos de seguridad.
Protección de ‘endpoint’
Amenazas avanzadas, ataques dirigidos, comportamientos anómalos, etc., de una forma u otra, acaban llegando al endpoint. Esto pone de manifiesto la importancia de la seguridad de base de estos dispositivos, que debe ser más sólida, especialmente ante la realidad del teletrabajo que ha impuesto la pandemia, y que ha llegado para quedarse.
Así pues, es importante robustecer la seguridad del endpoint, tanto a través de las funcionalidades nativas de los sistemas operativos en sí como mediante la adopción de enfoques tipo Zero Trust. Otro factor que ayuda a esta mayor protección del endpoint es la adopción de la autenticación multifactor (MFA) o ZTNA.
La ciberseguridad de los sistemas críticos debe estar bajo la supervisión de mecanismos de inspección y coordinación permanente
Por otro lado, la estrategia de defensa de cualquier organización, ya sea considerada como crítica o no, debe contemplar herramientas dotadas de capacidades muy robustas de EDR, funciones de monitorización de los endpoints, telemetría enriquecida con inteligencia de amenazas y analítica de datos a gran escala que doten al entorno de la suficiente visibilidad a los equipos de seguridad para lograr identificar lo más rápidamente un problema de seguridad y responder ante él. O bien que les permita anticiparse a comportamientos anómalos y poder actuar sobre ellos antes de que sea completado el ataque y, por supuesto, mejorar la práctica de seguridad actual, aprovechando dicha capacidad de visibilidad. Esta capacidad de visibilidad dentro del ciclo de gestión de seguridad será más potente, en función del tiempo que la telemetría recogida por el EDR esté disponible para los equipos de seguridad.
La tecnología EPDR extiende la detección y respuesta del EDR con capacidades de plataforma de protección del endpoint necesarias para impedir que las amenazas lleguen a este y reducir la superficie de ataque. En ambos casos se debe acompañar de un servicio gestionado Zero Trust, que permite determinar de forma automática y en tiempo real la naturaleza de los procesos y binarios, clasificándolos como maliciosos o confiables y que, en base a ello, autoriza o bloquea su ejecución. De este modo, es posible hacer frente a malware de cualquier tipo, ya sea conocido o desconocido, incluido el ransomware.
En definitiva, conviene no olvidar que un ciberataque a una infraestructura crítica, ya se trate de un hospital o cualquier otro, no solo afecta a la propia entidad en cuestión, a su imagen y a sus resultados económicos, sino que, en última instancia, también afecta a sus usuarios, con el impacto social que eso puede generar. Es por ello que la ciberseguridad de los sistemas críticos debe estar bajo la supervisión de mecanismos de inspección y coordinación permanente.
