A día de hoy el cibercrimen afecta a todo tipo de negocios. Este año, hemos visto casos de ciberataques perpetrados contra ayuntamientos, productoras de aluminio, llegando incluso a empresas tan sobradamente conocidas como Amazon. Todos estos incidentes tienen consecuencias graves para las víctimas, desde daños reputacionales e interrupciones en la cadena productiva, llegando a paralizar el negocio y acarreando grandes pérdidas económicas.
Y no cabe duda de que hay un sector especialmente vulnerable: las infraestructuras críticas. Un ciberataque que afectara el suministro de agua de un país, o que interrumpiera el servicio de un hospital, podría llegar a causar pérdidas humanas.
XENOTIME: una amenaza a los Sistemas de Control Industriales
El año pasado nos planteamos la pregunta de qué pasaría si un ataque interrumpe el suministro eléctrico de un país. Ahora, esta situación podría llegar a ser una realidad.
XENOTIME es un APT (Advanced Persistent Threat) que tiene supuestos enlaces con Rusia. Es notoria por haber llevado a cabo un ataque contra los sistemas de control industrial (ICS) de una compañía petrolífera en Oriente Próximo con un malware que consiguió interferir con el sistema de seguridad instrumentado (SIS) en la empresa. A día de hoy, sigue siendo de los pocos malware que ha podido impactar en los ICS de manera física.
Después de este evento, XENOTIME empezó a atacar a empresas fuera de Oriente Próximo e incluso consiguió comprometer a varios proveedores de ICS, potencialmente habilitando un ataque de cadena de suministro.
Ahora, investigadores de una empresa de ciberseguridad industrial han visto como XENOTIME ha empezado a explorar las redes de compañías eléctricas en Estados Unidos y en Asia-Pacífico, buscando información y enumerando los recursos de red asociados con estas empresas.
Según explican los investigadores, estos comportamientos podrían indicar que el grupo está preparando otro ciberataque, o al menos que tiene intención de infiltrar en los ICS de estas compañías eléctricas. Estas actividades coinciden con la primera fase de la ICS Cyber Kill Chain, incluidos incidentes de intento de autenticación con credenciales o posibles intentos de relleno de credenciales.
Un cambio de táctica
Este cambio de objetivo es poco habitual entre los APT que atacan a los ICS. Hay que tener en cuenta que estos ataques son complejos y suponen una inversión en tiempo y dinero, por lo que los grupos suelen centrarse en un sector en una sola región geográfica, como por ejemplo las compañías petrolíferas en Oriente Próximo. El hecho de que XENOTIME esté invirtiendo dinero en diversificar sus actividades y su dispersión geográfica puede estar marcando una línea de actuación futura en la que las APT tengan mayor alcance.
Las infraestructuras críticas son vulnerables
En 2018, las vulnerabilidades en las infraestructuras críticas aumentaron un 14% comparado con el año anterior, y ya se predijo que en 2019 el número de avisos de vulnerabilidad seguiría creciendo. Y de hecho, en los últimos dos años, el 90% de infraestructuras críticas han sido víctima de al menos un ciberataque.
El Departamento de Energía de Estados Unidos es consciente de lo vulnerable que puede ser su sistema. Por esto, en 2016 llevó a cabo “Liberty Eclipse”, un simulacro de un ciberataque que causó apagones en ocho estados. El Departamento quería poner a prueba las respuestas ante este tipo de incidente y entablar debates sobre las preparaciones para ciberincidentes.
Cómo frenar ciberataques a infraestructuras críticas
Este tipo de simulacro es muy buena manera de entender cómo reaccionaría una compañía de este tipo ante ciberataque de esta magnitud . Para asegurarse de que están protegidas, estas empresas deben seguir una serie de recomendaciones.
1.- Análisis de puntos débiles. Para conocer a fondo sus sistemas, es importante que las organizaciones lleven a cabo un análisis. De este modo, será posible detectar cualquier vulnerabilidad o punto flaco. Además de proteger estos puntos, los responsables de ciberseguridad deben darles especial importancia en sus planes de seguridad, e incluso considerar la posibilidad de aislarlos si suponen un riesgo importante.
2.- Reacción automática. Cuando aparece una ciberamenaza, el tiempo es un elemento clave. Aunque impedir que un ciberataque llegue al sistema es lo más importante, también es esencial tener protocolos de actuación y respuestas automáticas para solucionar el problema en el caso de inevitabilidad.
3.- Monitorización constante. La mejor manera de evitar que cualquier amenaza afecte a nuestros sistemas, es saber exactamente lo que ocurre en ellos en todo momento. Panda Adaptive Defense monitoriza en tiempo real todos los procesos que se están ejecutando en un sistema. Detecta cualquier actividad inusual e impide que los procesos desconocidos se lleven a cabo. De este modo, evita el peligro antes de que llegue a producirse.
Un ciberataque a la infraestructura de un país puede tener efectos devastadores. Por eso, hemos preparado un whitepaper sobre la ciberseguridad de estas infraestructuras. Con este whitepaper, puedes conocer todas las amenazas a las infraestructuras críticas, y cómo evitarlas.