Los gobiernos de todo el mundo están preocupados por los crecientes riesgos de ataques cibernéticos contra su infraestructura crítica. En abril, las agencias de ciberseguridad de los países que integran la alianza de los “Cinco Ojos” advirtieron sobre un posible aumento de tales ataques “como respuesta a los costos económicos sin precedentes impuestos a Rusia” tras la invasión a Ucrania.
En el comunicado señalan que “algunos grupos cibercriminales recientemente han manifestado de manera pública su apoyo al gobierno ruso” y han amenazado con llevar adelante ciberataques “en represalia por las ofensivas cibernéticas dirigidas tanto al gobierno ruso como al pueblo ruso”.
Según Andy Garth, Government Affairs Lead de ESET, esta actividad es “un problema global que involucra actores estatales dispuestos a proporcionar refugios seguros en los que los grupos criminales puedan operar con impunidad”.
“En el caso del conflicto de Ucrania, algunos grupos criminales se están dedicando al ciberespionaje supuestamente a instancias de sus anfitriones rusos. De hecho, también es prudente prepararse para mayores incidentes, como cibersabotaje o interrupciones de servicios, ya que los ciberataques se agregan a la caja de herramientas de represalias, provocando que el riesgo de sufrir un ataque aumente”, dice Garth. También existe un mayor riesgo de sufrir consecuencias no deseadas a medida que los grupos que vigilan la situación deciden entrar en la disputa en ambos lados.
Un nuevo enfoque para la resiliencia cibernética
Antes de la invasión, los gobiernos de todo el mundo ya estaban considerando estrategias de ciberseguridad para contrarrestar las crecientes amenazas cibernéticas de actores estatales y grupos criminales. Pero los nuevos riesgos que perciben los gobiernos desde que se desató este conflicto están despertando la urgencia de construir una resiliencia cibernética.
El 15 de marzo, el presidente de los Estados Unidos, Joe Biden, firmó la Ley de Fortalecimiento de la Ciberseguridad Americana de 2022, que requiere que las empresas que se ocupan de la infraestructura crítica reporten ataques cibernéticos sustanciales a la Agencia de Ciberseguridad e Infraestructura (CISA) dentro de las 72 horas y todos los pagos de ransomware en un día. Más que una simple ley de divulgación, el nuevo reglamento tiene la intención de cambiar la percepción de un ciberataque de una empresa privada a una amenaza pública. Esta legislación es parte de una tendencia, ya que tras el ataque al Oleoducto Colonial Pipeline en mayo de 2021, cuando el presidente Biden anunció medidas en el ámbito de la ciberseguridad y pidió un enfoque de todo el gobierno para luchar contra las amenazas cibernéticas.
Entre otras cosas, se estableció un aumento en el presupuesto de la CISA para el próximo año, que pasará a contar con $2.5 mil millones en ciberseguridad, lo que significa un aumento de $486 millones en comparación con 2021. Además, el proyecto de ley de infraestructura de Biden asigna $2.000 millones de dólares a la ciberseguridad, de los cuales $1.000 millones se destinan a mejorar la ciberseguridad y la resiliencia de las infraestructuras críticas.
Paralelamente, la Unión Europea ha seguido un camino similar con varias nuevas directivas y reglamentos y financiación adicional destinados especialmente a mejorar la resiliencia cibernética de la UE y el rol de las instituciones, así como facilitar una mayor cooperación entre los organismos de los Estados miembros. A nivel operativo, en respuesta a la invasión de Rusia, la UE desplegó por primera vez el Equipo de Respuesta Cibernética Rápida para ayudar a Ucrania a mitigar las ciberamenazas.
La Directiva NIS2 propuesta por la UE tiene como objetivo reforzar los requisitos de seguridad, abordar la seguridad de las cadenas de suministro y mejorar las obligaciones de reporte. La NIS2 también amplía considerablemente el alcance de las entidades críticas que entran dentro de los requisitos obligatorios de alto nivel de seguridad. Sectores como la salud, investigación y desarrollo, manufactura, el espacio o la “infraestructura digital”, incluidos los servicios de computación en la nube o las redes públicas de comunicación electrónica, requerirán ahora políticas de resiliencia cibernética más sólidas. De manera similar, la Comisión Europea propone una nueva legislación para centrarse en el sector financiero con la Digital Operational Resilience Act (DORA) y los dispositivos IoT con la Cyber Resilience Act, que se presentará después del verano.
La necesidad de compartir información y de una cooperación más estrecha en la detección de amenazas es también el objetivo subyacente de la propuesta EU Joint Cyber Unit, cuyo objetivo es proteger la infraestructura crítica de la UE contra los ciberataques. Aunque su función y estructura exactas aún se están decidiendo, se espera que tenga un carácter operativo que garantice un mejor intercambio de inteligencia de amenazas informáticas entre los Estados miembros, la Comisión Europea, ENISA, CERT-EU y el sector privado.
La Comisión también propuso nuevas regulaciones para fortalecer el CERT-EU, convirtiendo la estructura en el “Centro de Ciberseguridad”, con el objetivo de fortalecer las posturas de seguridad de las instituciones de la UE.
Garth señala que estos esfuerzos son un “reconocimiento dentro de los gobiernos (y las instituciones de la UE) de la magnitud del desafío que supone la protección de los activos digitales de los estados nacionales contra las crecientes y cambiantes amenazas cibernéticas”. Asimismo, destaca la necesidad de tener un “enfoque que involucre a toda la sociedad y la vinculación del sector privado”, “ningún gobierno puede hacer frente a estas amenazas por sí solo”, citando la estrategia cibernética nacional de Reino Unido para 2022, donde este tipo de colaboración se puede ver en áreas como la educación, la creación de resiliencia, las pruebas y la respuesta a incidentes.
Pero, ¿a qué riesgos se enfrentan los gobiernos?
Los gobiernos tienen una característica única: almacenan todos los datos relativos a su actividad, así como los datos de los ciudadanos. Por lo tanto, son un objetivo muy atractivo. Esta amenaza común a los estados ha llevado a las Naciones Unidas a acordar áreas “prohibidas” donde no se deben realizar operaciones cibernéticas, como los sistemas de salud. La realidad ha separado de esto, con una continua competencia cibernética entre las principales potencias e ignorando los acuerdos (no vinculantes) a nivel de la ONU.
Estas competencia se desarrollan en la denominada “zona gris” donde los estados pueden comprometerse entre sí bajo la premisa de negación plausible y el juego constante del gato y el ratón en la esfera del ciberespionaje, incluyendo el robo de información y los ataques a la infraestructura crítica, a veces causando trastornos en el mundo real a países enteros. Casos recientes como el uso del spyware Pegasus demuestran que el espionaje es una práctica viva, incluso entre estados amigos. Como dice Garth, “el espionaje ha existido por mucho tiempo, y probablemente muchos profesionales de la inteligencia coinciden en que se trata de una actividad que puede proporcionar inteligencia útil con un riesgo modesto, siempre y cuando no sea atrapado.”
Del mismo modo, los ataques de ransomware dirigidos son una preocupación creciente, no solo porque buscan obtener pagos cada vez más grandes, sino porque constantemente están buscando maximizar el valor de los datos robados en mercados clandestinos bien establecidos.
Los ataques contra las cadenas de suministro pueden poner en peligro no solo a los organismos gubernamentales o a una institución específica, sino a sectores críticos de la economía de una país. El impacto generalizado de ataques como el que afectó a Kaseya hace que sea más difícil para los gobiernos reaccionar, creando consecuencias verdaderamente perturbadoras tanto para las empresas como para los ciudadanos. Pero mientras que algunos estados se contentan con arriesgarse a interrupciones y daños indiscriminados, otros lanzan ataques dirigidos a unidades industriales y sistemas específicos con el objetivo de destruir partes de la infraestructura crítica de una nación.
Conseguir que todos trabajen juntos es el verdadero desafío
Los gobiernos no tienen una tarea sencilla: mantener sistemas heredados; abordar la escasez de profesionales debidamente capacitados; crear conciencia cibernética en el lugar de trabajo; gestionar una superficie de ataque en expansión; integrar nuevas tecnologías y enfrentar ataques sofisticados. La preparación lleva tiempo y por eso es necesario la adopción de un enfoque como el que propone el modelo zero trust, entendiendo que los ataques se producirán y deben mitigarse cuando no puedan evitarse.
Esto hace difícil que se aplique la típica infraestructura multicapa para las dependencias gubernamentales. A pesar de su tamaño, a menudo es más fácil proteger los sistemas de autoridades centralizadas, pero lidiar con el inmenso número de oficinas locales y descentralizadas convierte esto en una misión casi imposible. A pesar del incremento gradual de la financiación, hay una escasez de profesionales de la ciberseguridad, lo que hace mucho más difícil la labor de la defensa contra la evolución de las amenazas.
Los ciudadanos son cada vez más conscientes de las amenazas informáticas, a menudo debido a los informes de alto perfil en los medios de comunicación. Mantener el foco en los problemas, financiar programas que generen conciencia —preferentemente dirigidos a quienes menos conocimiento tienen de tecnología y a los más vulnerables— es vital para el éxito. Aun así, el error humano sigue siendo el principal punto de entrada para los ciberdelincuentes, por lo cual es esencial aprovechar los avances del machine learning y la inteligencia artificial, típicamente desplegados en productos y servicios como EDR e inteligencia de amenazas en tiempo real.
Un problema en común requiere una acción conjunta
Ante la creciente amenaza que representan los ciberataques es necesario que existan sinergias entre el sector público y privado. La crisis en Ucrania y el trabajo realizado anteriormente para proteger la infraestructura crítica de Ucrania son un ejemplo de las cosas importante que se pueden lograr.
En paralelo, Garth sugiere involucrar de forma dinámica a organizaciones como la ONU, la OCDE y grupos como el G7 y el G20, para que “la comunidad internacional ponga el foco en la actividad cibernética estatal, advirtiendo y tomando medidas, donde sean necesarias, contra aquellos que ignoren normas establecidas y rastreando y deteniendo a grupos criminales y su capacidad para monetizar sus actividades criminales… pero también trabajando juntos para mejorar la resiliencia cibernética a lo largo del mundo, incluyendo a los países en desarrollo”.