Select Page
El #1 de las infraestructuras críticas: las centrales eléctricas

El #1 de las infraestructuras críticas: las centrales eléctricas

Las infraestructuras críticas (aquellas que proveen servicios a la sociedad que, de ser interrumpidos, causarían graves daños a la población) vienen siendo blanco de ciber-ataques desde hace muchos años. El equipamiento industrial involucrado en la prestación de este tipo de servicios, se controla con sistemas informáticos interconectados muy antiguos que hacen que sean susceptibles de ser alcanzados por malware.
Cuando el sistema de control más popular, el SCADA, nació allá por los ’60, era absolutamente impensado que alguien pudiese conectarse a él remotamente desde la otra mitad del mundo y abrir de la exclusa de una represa, o la válvula de un circuito de provisión de gas, o el interceptor de un transformador de alta tensión que provee energía eléctrica a toda una ciudad.
Sin embargo, con el paso del tiempo, al abuelo SCADA, a sus derivados y a los sistemas que controla, se le fueron agregando componentes de IT cada vez más complejos y con cada vez más conexión a la red: sensores, interfaces gráficas, nodos de red, dispositivos IoT, etc.
Esto hizo que fuera blanco cada vez más fácilmente de pruebas de concepto y ciber-ataques cada vez más sofisticados, más frecuentes y más peligrosos. El caso que cambió radicalmente la visión sobre este tipo de ataques fue el descubrimiento en el año 2010 del gusano Stuxnet cuyo efecto fue el considerable retraso en el programa de desarrollo nuclear de Irán. Es entonces cuando se dispara la carrera de medidas y contramedidas tratando por un lado de atacar estos sistemas (los unos) y por otro de defenderlos (los otros).
Si bien los sistemas SCADA controlan casi el 90% de los procesos industriales automatizados del planeta, el foco de los atacantes desde hace aproximadamente un año son las centrales eléctricas.
Cada vez más son probadas y atacadas con mayor virulencia, sofisticación y frecuencia. Una gran parte de esos ataques son exploratorios, es decir que se realizan con el propósito de probar tanto las herramientas propias, como las capacidades de defensa de las centrales. La sofisticación se incrementa exponencialmente a tal punto que existen grupos como “Dragonfly“, cuyo propósito específico es atacar centrales eléctricas.
Estas amenazas han hecho que los países más desarrollados hayan tomado en serio las medidas de protección que eviten un desastre en el caso de un ciber-ataque masivo a este tipo de instalaciones.
El gobierno de Estados Unidos, por ejemplo, envió recientemente una orden ejecutiva por la cual se obliga a las redes del estado y de las infraestructuras críticas a utilizar el Marco de Ciber-seguridad del NIST (National Institute of Standards and Technology’s Cybersecurity Framework) que, si bien existe desde hace varios años, hasta el momento de la orden ejecutiva, su aplicación era voluntaria.
Uno de los resultados de esta escalada hizo que por ejemplo, algunas organizaciones que se dedican a la generación y distribución de energía eléctrica para millones de usuarios en Estados Unidos, cambiaran sus estrategias de ciberdefensa de reactivas a proactivas. Esto lo hicieron instalando miles de sensores en diferentes niveles de la arquitectura, recolectando datos de todos ellos y explotando esa Big Data de modo de prever posibles ataques a partir de comportamientos anómalos antes de que ocurran, y estar preparados para defenderse.
Y otra vez, como en varias de las notas anteriores, nos toca preguntarnos: ¿y por casa? ¿Cómo está la situación? Nuestras empresas generadoras y distribuidoras de energía eléctrica, ¿están adoptando las medidas necesarias para prevenir ataques de estas características? ¿Estamos siquiera en la etapa de estrategia reactiva, o todavía ni siquiera empezamos?
Las herramientas, tanto metodológicas, como normativas y técnicas están disponibles. Sólo falta tomar conciencia y darse cuenta de la situación en la que estamos junto con el resto del mundo, y empezar a trabajar.
 
Nota por Carlos Benitez

 

Otra vez los Juegos

Otra vez los Juegos

 
Existe una extraña tendencia histórica, que muestra que cada vez que se produce un evento deportivo mundial de gran magnitud, las redes, las aplicaciones, los sitios relacionados con el evento, son blancos de ciber-ataques.
Hace años que sucede esto y en algunos casos hasta ha tenido consecuencias positivas. Antes del mundial de fútbol Brasil 2014, se sabía de amenazas a la organización del evento sobre la posibilidad de interrupciones en sus sistemas. Dos años más tarde, lo mismo sucedía con los juegosolímpicos de Rio 2016.
Como consecuencia de estas amenazas, Brasil se preparó tan fuertemente para defenderse que hasta casi significó la creación misma del área de Ciberdefensa, el ComDCiber que hoy está activo, funciona plenamente y sigue invirtiendo en cada vez más en medidas de ciber-protección a nivel nacional.
Esto ocurre desde hace años juego tras juego, por lo que los Juegos Olímpicos de Invierno que se llevan a cabo en este momento en PyeongChang, Corea del Sur tampoco son ajenos. Y esta vez las contramedidas parecen no haber sido suficientes. Durante el mismo momento en que se producía la ceremonia inaugural el pasado 9 de febrero, un grupo hasta ahora no identificado (aunque hay fuentes que aseveran que fueron hackers rusos), bloqueó el acceso a Internet y algunas transmisiones, hizo aterrizar los drones con las cámaras, bajó el sitio web oficial e impidió que los espectadores imprimieran sus reservas. El ataque fue denominado “Olympic Destroyer” y el malware involucrado tenía por objetivo destruir los recursos compartidos de red a los que se tuviera acceso desde el equipo infectado. El malware, al parecer, estaba diseñado para producir el mayor daño en el menor tiempo posible.
Si bien este ataque se produjo el 9 de febrero, comenzó en realidad tiempo antes. En diciembre del año pasado, los miembros de la organización de los Juegos fueron blanco de phishing, cuyo objetivo fue el de obtener información interna de los sistemas asociados a los Juegos para hacer mucho más eficiente el ataque final. Lo interesante de este ataque, fue que esta vez se utilizó un método novedoso en la que se envía adjunto al email falso, un documento de Word que contiene un script malicioso. Lo que realmente llama la atención por su novedad, es que el código malicioso se esconde dentro de los pixels de imágenes adjuntas lo que lo hace indetectable a los antivirus. Es por esto que probablemente muchos de estos ataques hayan sido exitosos y logrando la interrupción de servicios del primer día del evento. Es obvio que fallaron los antivirus por no estar preparados para este tipo de ataques, pero falló algo más; la concientización, los usuarios que a pesar de todos los cursos, charlas y avisos que suponemos tuvieron, abrieron un adjunto de un email falso.
Pero, ¿por qué atacar a los Juegos? Existen varias teorías al respecto así como análisis más serios y profundos que indican que el momento de un evento de estas características posee gran atractivo para convertirlo en blanco de ciber-ataques. A pesar de la organización, la realidad es que, como indica el informe de Berkeley, en estos eventos la ciber-superficie de ataque es infinita. Es imposible mitigar el riesgo de todos los dispositivos interconectados, el volumen, la variedad, la heterogeneidad; la distribución geográfica es tal que los hace incontrolables. Sistemas de puntuación, dispositivos que miden el estado de salud de los competidores, control de entradas, dispositivos de transmisión de los medios de prensa, medios de transporte, sin contar con los sistemas de control propios de los estadios y los dispositivos personales de cada participante, organizador o visitante; todo esto conectado de una forma u otra a la misma red.
Por otra parte, la cantidad de tecnología involucrada en estos eventos no sólo es inmensa, sino que además es crucial para el desarrollo del evento que no podrían realizarse sin ésta. Esto lo vuelve un verdadero desafío para los organizadores que tratan de extremar las medidas de ciber-protección, así como para los atacantes que ven terreno propicio para introducirse en los sistemas del próximo evento y demostrar que las medidas de protección no alcanzan.
Veremos qué pasa en el mundial de Rusia. Y Buenos Aires, ¿cuán preparada está para los Juegos Olímpicos de la Juventud de Octubre, ¿quién ganará la partida?
 
Nota por Carlos Benitez
 
¿Qué nos espera a nosotros?

¿Qué nos espera a nosotros?

 
En nuestra nota de la semana pasada, comentamos que había una buena y una mala noticia respecto a los ciber-incidentes de 2017. En ese caso, comentábamos que la mala noticia era que los esfuerzos que hacen las empresas hoy en día para ciber-protegerse son insuficientes. Esto se basó en varias encuestas y trabajos publicados. Y las encuestas y trabajos que refuerzan este resultado siguen.
Uno de ellos es el informe publicado por una importante aseguradora internacional, que afirma que el 75% de las empresas en Reino Unido, Estados Unidos, y Alemania no posee el conocimiento para defender sus empresas de ciber-ataques. El relevamiento fue realizado en un universo de más de 3000 entrevistados de empresas ubicadas en los mencionados países. El informe cita que solamente el 11% de las empresas se auto clasificaron como “expertas” en todos los aspectos de ciber-seguridad, mientras que el 16% se consideró experta en estrategia o en ejecución, pero no en ambos rubros.
En esta época, en las que las ciber-amenazas están cada vez más presentes y se materializan con cada vez peores efectos; en esta época en las que no sólo los jóvenes técnicos que operan los datacenters o que conforman los equipos de ciber-seguridad, sino aún el personal directivo pertenecen a la generación de “millenials” y además “hackers” (cuya filosofía es la de eat-sleep-patch-repeat)… es muy difícil creer que tantas empresas no cuenten con las mínimas medidas de seguridad para enfrentar estas amenazas. Pero es lo que realmente ocurre.
Será por eso que en particular la Unión Europea está desde hace 4 años trabajando denodadamente en una dura y completísima legislación que obligue a empresas y organismos públicos pertenecientes a la UE a adoptar un conjunto de medidas de seguridad necesarias para proteger los datos personales de sus ciudadanos. La norma, que se pondrá en vigencia el 25 de mayo de este año, se denomina EU GDPR (Reglamentación General de Protección de Datos de la Unión Europea) y fue desarrollada “con el objetivo de unificar y normalizar las leyes de protección de datos en toda la Unión, proteger y habilitar la privacidad de todos los ciudadanos de la UE y rediseñar la forma en que las organizaciones tratan la privacidad de los datos“.
Con esta nueva reglamentación, se pretende obligar a empresas y organizaciones a adoptar las medidas de seguridad que las mismas no han adoptado hasta el momento de forma voluntaria. Se espera que de esta forma, los niveles de ciber-seguridad en toda la Unión se incrementen considerablemente y que las pérdidas por ciber-ataques disminuyan en consecuencia.
En la otra mitad del hemisferio norte, también están preocupados por las consecuencias técnicas y legales que tendrá esta ley para sus negocios cuando intenten recolectar datos personales de potenciales clientes del otro lado del océano.
Ok, pero estamos hablando de países del primer mundo, ¿qué es lo que queda para nosotros pobres mortales de este lado alejado del planeta? ¿Estamos tan expuestos como ellos?
La respuesta a esta pregunta es: “¡SÍ!”. Internet es una sola, y todos estamos conectados. ¿Vamos a tomar en algún momento como ellos la decisión proactiva de considerar en serio la ciber-seguridad y dotar a nuestras organizaciones de las medidas mínimas necesarias para no sufrir daños irreparables en caso de un ciber-desastre?

Sólo el tiempo lo dirá, pero lo que es cierto es que estamos cada vez más conectados, cada vez más vulnerables, cada vez más expuestos pero además, cada vez menos protegidos.

Tal vez; puede ser que esta iniciativa de la UE nos toque de costado. Tal vez, gracias al ruido que seguramente provocará la GDPR en Europa y en las empresas que funcionan en estos lares pero con origen allí, generen una moda que muchos otros quieran copiar. Ojalá. Todos vamos a estar mucho más ciber-seguros si eso ocurre.
Nota por Carlos Benitez

 

 
2017: El peor año en ciber-incidentes

2017: El peor año en ciber-incidentes

  Después de tanto tiempo viendo cómo evoluciona la tecnología en ciber-seguridad (en ambos bandos) deberíamos estar acostumbrándonos a leer este título todos los principios de año, simplemente cambiando el número inicial. Varias son las empresas y organizaciones que efectúan sus propias estadísticas respecto a cómo evolucionan los ciber-incidentes en el mundo. Cada una con su propia metodología y su propia fuente de datos. Sin embargo, todas coinciden en una conclusión para preocuparse: en el 2017, el número de ciber-incidentes se duplicó respecto al año anterior. Particularmente un reporte de la OTA (Online Trust Alliance) indica que el año pasado se produjeron 159.700 ciber-incidentes que afectaron de diferentes formas a 7 mil millones de registros de datos sensibles sólo en los primeros 9 meses del año. En algunos casos, los incidentes correspondieron a robo o exposición de datos sensibles, cuyo costo promedio para los afectados ascendió a más de U$S 3 millones. Por otra parte, en los casos en los que los registros se vieron afectados por la acción de ransomware, el impacto financiero fue de U$S 5 mil millones durante el año. Otra de las fuentes, indica que en Gran Bretaña, la FCA (Financial Conduct Authority) publicó que en el 2017, la cantidad de ciber-incidentes reportados se incrementó en un 80% respecto al año anterior. Los sectores más afectados fueron el de salud, manufactura, transportes y agencias gubernamentales. También fue el año de los ataques a dispositivos IoT (Internet de la Cosas). Se destaca un caso en el que mediante los sistemas de control de la pecera de un casino en Estados Unidos, se atacaron las redes de dicho casino, robando gran cantidad de datos. Sin embargo, lo más interesante de esta situación es que si bien la tecnología crece a pasos agigantados, hay dos conclusiones de estos informes que llaman a la reflexión. La primera es que la gran mayoría de las infecciones, ataques o incidentes, se producen a través de correo electrónico malicioso abierto inadecuadamente por usuarios desprevenidos. Es decir, aún hoy, el vector de ataque más potente y más usado es el viejo correo electrónico. La segunda corresponde a la OTA e indica que el 93% de los ciber-incidentes, es decir ciber-ataques que tuvieron éxito, se podrían haber prevenido. Según esto hay una mala y una buena noticia. La mala es que todavía son insuficientes los esfuerzos que realizan tanto empresas, gobiernos y los usuarios comunes para protegerse de estas amenazas. Pero la buena noticia es que existen herramientas, normativas, tecnológicas y metodológicas que permitirían evitar el 93% de los ciber-incidentes actuales. 2017 fue terrible; WannaCry, Petya y sus derivados, Mirai, NiceHash, Equifax, Shadow Brokers y la lista sigue…. y seguramente 2018 será aún peor. Sólo dos días después del comienzo del año ya asomaron dos vulnerabilidades graves relacionadas ya no con el software, sino con los procesadores: Meltdown y Spectre. Las empresas a nivel mundial ponen muchos esfuerzos en utilizar la tecnología para generar más y mejores negocios, pero todavía el mundo no es plenamente consciente de los riesgos a los que se ven expuestos dichos negocios y lo fácil que pueden perderse o dañarse severamente debido a ser blanco de ciber-ataques.  
Nota por Carlos Benitez