Los ciberataques han evolucionado de ser eventos raros y sorprendentes a convertirse en amenazas regulares y preocupantes. Hace dos décadas un evento de este tipo era algo muy raro, especialmente porque las empresas aún no confiaban en estar conectadas. Sin embargo, a principios de la década de 2010 la ciberdelincuencia se comienza a volver algo preocupante. Tanto es así que bajo el mandato de Barak Obama se crea el marco de ciberseguridad del NIST. La idea era crear un método de trabajo que fuese adaptable a cualquier empresa, con independencia de su tamaño, entorno o sector.
Aún así, los grandes ataques han continuado existiendo y cada uno nos ha traído lecciones valiosas que hemos aprendido. Vamos a hacer un repaso a algunas de estas acciones y cuáles han sido estas enseñanzas.
Stuxnet (2010)
Puede parecer irónico que el gobierno de Estados Unidos fuese el primero preocupado por el incremento de ciberataques ya que este mismo fue el que realizó el primero en hacer uso de este tipo de acciones contra otro gobierno. Stuxnet inauguró una nueva forma de guerra y metió la ciberseguridad dentro del campo de batalla. Sí que es cierto que con anterioridad se utilizaron ataques DDoS contra sistemas gubernamentales, pero esta vez es mucho más serio, por primera vez la idea es la del sabotaje directo contra infraestructuras industriales de otro país, en este caso contra Irán y sus centrifugadoras de uranio de la planta de Natanz, lo que retrasó años el programa nuclear iraní.
El ataque fue increíblemente sofisticado y explotaron múltiples vulnerabilidades de los sistemas. Stuxnet tenía forma de gusano y utilizaba varias formas de propagación. La primera era infectar memorias USB para poder acceder a sistemas que no estaban conectados a internet. Aunque el modo en que el USB llegó a la planta de Natanz es incierto y digno de una novela de espionaje, lo que importa aquí es el impacto posterior.
Una vez infectado un sistema, el gusano se propagó por sistemas windows, buscando un software específico del fabricante Siemens (Step7). Una vez encontrado, manipulaba el código para hacer que las centrifugadoras comenzasen a trabajar de manera anómala modificando la velocidad de las centrifugadoras y que estas trabajasen fuera de los límites de seguridad hasta provocar un fallo mecánico. Stuxnet estuvo mucho tiempo trabajando en silencio ya que simulaba un comportamiento normal de los sistemas mientras continuaba su infección. Se calcula que dañó aproximadamente 1000 centrifugadoras antes de ser detectado y detenido.
Este ataque dejó varias lecciones. La primera y más importante fue que las ciberoperaciones pueden tener una consecuencia física en el mundo real, lo que provocó que otros gobiernos se interesasen en este tipo de ataques. Además, demostró que las infraestructuras críticas de un país, como los sistemas de agua o de producción eléctrica, pueden ser vulnerables a este tipo de ataques. Stuxnet subrayó la necesidad de proteger estos sistemas para evitar sabotajes. Hoy en día sigue siendo un caso de estudio tanto por su complejidad como por las implicaciones geopolíticas que conllevó.
Target (2013)
Target es una de las cadenas de supermercados más grande de Estados Unidos y fue una de las primeras víctimas de un gran robo de datos del que se extrajeron los datos de 40 millones de tarjetas de crédito y la información personal de 70 millones de clientes. Este incidente inauguró, además, una nueva forma de actuación, el ataque indirecto, ya que la operación comenzó con la infiltración de los sistemas usando a un proveedor externo de la cadena de supermercados, una pequeña empresa que se encargaba del mantenimiento de los sistemas de climatización de las tiendas. La consecuencia fue la pérdida de millones de dólares para la cadena de supermercados debido a la escasa fiabilidad que quedó en los clientes.
Las compañías comenzaron a entender que la seguridad no depende solo de ellos, sino que es una cadena en la que todos tienen que participar. Además, y aunque Target tenía un buen sistema de detección de incidentes, tardaron 3 semanas en dar una respuesta adecuada, lo que marcó la necesidad de que los equipos tienen que estar bien entrenados y capacitados. También quedó reforzada la necesidad de mantener una segmentación en las redes, manteniendo bien separados los sistemas entre tiendas, sistemas centrales y conexión con proveedores. Por último, la comunicación durante y después del ataque no fue la más adecuada y recibieron grandes críticas. Otras entidades aprendieron esta lección y comenzaron a preparar sus documentos de gestión de crisis.
A partir de este ataque, las grandes empresas, que ya tenían sistemas de protección, decidieron aumentar sus presupuestos. Ya sabéis, toda protección nunca es suficiente.
Yahoo (2013-2014)
Sí, dos ataques en dos años consecutivos. Solo que Yahoo no lo hizo público hasta 2016, algo que hoy día no solo se considera mala praxis, sino que según determinadas legislaciones es ilegal. Lo cierto es que, a diferencia de otros ataques, este fue muy sencillo. Una campaña de phishing que llevó al robo de contraseñas de un empleado que les dio acceso a la base de datos de los usuarios. Sí, en los dos casos fue el mismo error. Y es que hay gente que no aprende. Aunque del segundo ataque se culpó al gobierno ruso, no hay ninguna prueba sobre eso. El resultado de los dos ataques fue el robo de datos de 3.500 millones de cuentas (3.500.000.000 por ponerlo en números. La mitad de la población mundial).
Estos ataques llevaron a Yahoo a perder una gran cantidad de dinero y prestigio algo que, por otro lado, aprovecharon sus competidores.
Aquí las lecciones aprendidas fueron sencillas, pero importantes: enseña a tus empleados a no picar en campañas de phishing, prepárate a responder rápido y, sobre todo, si has sido víctima de un ataque, comunica de forma adecuada.
Estos tres ataques han marcado cuales deben de ser las formas correctas de prevenir un ciberataque, pero si este ocurre, la manera de proceder para su erradicación y, sobre todo, de comunicar. A medida que el panorama de la ciberseguridad sigue cambiando, es importante que tanto grandes como pequeñas empresas adopten una mentalidad proactiva, ajustando sus estrategias para estar un paso por delante en la protección de sus datos y sistemas. La ciberseguridad no es solo una cuestión técnica, sino que es una responsabilidad compartida en la que todos debemos participar.
Deja una respuesta