Los equipos de seguridad de TI de toda Europa deben estar alerta ante la posibilidad de que los ataques cibernéticos que se originen en Rusia apunten a sus sistemas en las próximas semanas, pero no es momento de entrar en pánico, sino que se debe emplear una respuesta racional y sensata.
Esa es la evaluación de los profesionales y analistas de la comunidad cibernética al responder a la escalada en curso de las tensiones entre EE. UU. y Rusia por Ucrania, y al riesgo muy real de que estalle una guerra a tiros en Europa del Este. Cualquier incidente de este tipo inevitablemente atraería a los aliados de la OTAN, incluido el Reino Unido.
Se produce después de que el Departamento de Seguridad Nacional de los EE. UU. (DHS, por sus siglas en inglés) advirtiera a las agencias de aplicación de la ley en los EE. UU. sobre la posibilidad de ataques cibernéticos destructivos que emanan de los actores de amenazas persistentes avanzadas (APT, por sus siglas en inglés) respaldados por Rusia.
El boletín se envió a los organismos encargados de hacer cumplir la ley en los EE. UU. el domingo 23 de enero y se filtró de inmediato a la estación de noticias de televisión ABC.
En el boletín, el DHS evaluó que Rusia “consideraría iniciar un ataque cibernético contra la Patria”. [the US]” en caso de que perciba que una respuesta de EE. UU. o la OTAN a una invasión en toda regla de Ucrania amenaza su seguridad nacional.
Dijo que Rusia tenía una gama de herramientas cibernéticas ofensivas a su disposición, con impactos que iban desde ataques de denegación de servicio distribuido (DDoS) hasta ataques cibernéticos destructivos dirigidos a infraestructura nacional crítica (CNI). Citó ataques anteriores contra objetivos ucranianos como evidencia.
Mandiant evaluó a principios de enero la gama de posibles ataques y la capacidad de Rusia para realizarlos.
El DHS dijo que el umbral de Rusia para realizar tales ataques era muy alto y que no había observado previamente que Moscú atacara directamente a la CNI. Tenga en cuenta que los recientes incidentes de alto perfil dirigidos a empresas como Colonial Pipeline fueron realizados por bandas de ransomware motivadas financieramente, en lugar de actores respaldados por el estado, aunque las líneas entre los dos son con frecuencia borrosas.
Abundancia de precaución
Ken Westin, director de estrategia de seguridad de Cybereason, dijo que el riesgo de un ciberataque ruso en este momento probablemente era bajo, pero que si una agencia como el DHS estaba al tanto de una amenaza y no notificaba a las personas, enfrentaría una reacción violenta. algo suceda, de ahí la necesidad de una gran cantidad de precaución.
Sin embargo, dijo Westin, la incertidumbre en torno a las intenciones y capacidades de los equipos cibernéticos ofensivos de Rusia estaba creando una situación estresante para todos.
“Hoy, ni las organizaciones ni los ciudadanos privados deben entrar en pánico debido al boletín del DHS, pero deben permanecer atentos, identificar qué activos pueden ser atacados, establecer planes para la continuidad del negocio y la resiliencia cibernética, y prestar atención a las noticias y a la inteligencia de amenazas si la situación empeora. en los próximos días”, dijo.
Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs, dijo que dado que Rusia alberga bandas de delincuentes cibernéticos avanzados, como REvil, sería un grave error suponer que el estado en sí mismo no tiene capacidades igualmente avanzadas.
“Un ataque de magnitud significativa, incluido un ataque deliberado a la infraestructura crítica de EE. UU., casi con seguridad tendría consecuencias geopolíticas más amplias”, dijo. “Con este nuevo boletín, el DHS está trabajando sobre la base de que estar advertido es estar preparado, y la preparación es clave.
“En este mundo acelerado de ataques cibernéticos constantes y exploits de día cero, siempre es mejor errar por el lado de la precaución. Es mejor asumir que usted es un objetivo y tener planes estratégicos para igualar las capacidades de los adversarios. La resiliencia tiene mucho que ver con la planificación y el ejercicio de capacidades para garantizar que todos los riesgos potenciales se mitiguen, por adelantado, de la mejor manera posible”.
Tom Garrubba, vicepresidente de Shared Assessments, dijo que todas las organizaciones, independientemente de la industria, deberían operar en un mayor estado de alerta a medida que chocan el mundo geopolítico y el entorno de amenazas cibernéticas.
“Se espera la diligencia adecuada, y con suerte se exige, para garantizar que se empleen todas las herramientas y técnicas de defensa cibernética para proteger sus activos de datos más preciados”, dijo. “La inteligencia, el monitoreo y el diálogo continuos con socios y proveedores críticos deben ser continuos para garantizar que ‘todo esté listo’ en caso de que se necesite recuperación o que haya apoyo adicional disponible en caso de que ocurra algo”.
Westin de Cybereason agregó: “Mi preocupación con Rusia hoy es que tienen listo un arsenal de exploits de día cero, así como acceso inicial a algunos objetivos. Sin embargo, cualquier día cero que puedan poseer se ‘gastará’ en la ejecución inicial, por lo que existe el riesgo de que Rusia los despliegue y exponga sus capacidades.
“Estados Unidos y sus aliados también tienen capacidades cibernéticas ofensivas, y las empresas pueden quedar atrapadas en el fuego cruzado y ser un daño colateral. Un objetivo clave puede ser no solo la infraestructura crítica, sino también nuestros sistemas financieros y de salud o las redes eléctricas para intentar desencadenar el pánico”.
Nuevas reglas
Si bien se ha hablado de la guerra cibernética durante años, y muchos veteranos en el juego de la seguridad están de acuerdo en que Occidente ha estado en una guerra cibernética de bajo nivel con Rusia desde hace algún tiempo, la escalada de la crisis de Ucrania en un conflicto abierto (una guerra cinética ) acompañado de ciberataques a esta escala sería una primicia mundial.
“La industria de la seguridad cibernética se ha acostumbrado a lanzar la idea de adversarios del ‘estado-nación’, pero creo que todavía tenemos que ver ataques cibernéticos utilizados en conjunto con una campaña militar completa”, dijo el vicepresidente de estrategia de Tripwire, Tim. Erlín.
“La advertencia del DHS establece la expectativa de que algo ha cambiado en el perfil de amenazas y que las organizaciones deben estar preparadas para un cambio en los tipos de ataques que ven”.
Erlin agregó: “Es completamente válido que las organizaciones se pregunten qué se supone que deben hacer de manera diferente cuando se enfrentan a este tipo de alerta. La seguridad cibernética ya exige una defensa constante, y una alerta como esta no elimina mágicamente los obstáculos que impiden que las organizaciones implementen controles de seguridad sólidos. Para la mayoría de las empresas, una alerta del DHS simplemente no genera presupuesto ni agrega personas a su personal”.
Roger Grimes, un evangelista de defensa en KnowBe4, dijo que pensaba que era “bastante natural” que los ataques cibernéticos acompañaran a las batallas cinéticas, pero que el posible objetivo de entidades distintas del gobierno y los contratistas y proveedores vinculados al gobierno probablemente era nuevo. “Rusia ha cambiado enormemente esa ecuación durante el último año”, dijo. “Los ataques a los estados-nación están ocurriendo por decenas de miles y están ocurriendo contra organizaciones sin afiliación gubernamental directa. Aparentemente, todo el mundo es un objetivo justo en estos días”.
Grimes teorizó que la situación actual marcó un momento fundamental de cambio en el mundo de los ataques respaldados por estados nacionales y la guerra cibernética, que sugirió que pueden ser permanentes, al menos sin algún tipo de acuerdo al estilo de la Convención de Ginebra para controlar dicha actividad.
“En este momento, es hacer lo que quieras con casi impunidad, con bajo riesgo”, dijo. “Estamos en un momento especialmente peligroso y arriesgado porque nadie sabe cuál será la respuesta si un lado o el otro se pasa de la raya.
“Por ejemplo, si un lado ataca unilateralmente a otro lado en el ciberespacio, ¿eso significa que se permite o justifica una respuesta cinética? ¿Un lado reacciona de forma exagerada? Creo que todos estaremos menos estresados cuando se descubran las nuevas reglas de la guerra cibernética”.