¿Qué pueden aprender los equipos de seguridad de un año de guerra cibernética?

Días, semanas, incluso meses antes de que los ejércitos de Rusia cruzaran la frontera con Ucrania el 24 de febrero de 2022, los expertos en seguridad advirtieron sobre una guerra cibernética inminente como nunca antes se había visto en el mundo.

Las conversaciones sobre ataques destructivos contra objetivos críticos en Occidente que podrían llevar a la OTAN al conflicto aumentaron cuando, antes de la invasión, se lanzaron volúmenes cada vez mayores de ataques cibernéticos contra objetivos en Ucrania para sentar las bases para el ataque de Rusia. Esto culminó con el descubrimiento de múltiples borradores de datos: malwares que se ven y actúan como casilleros de ransomware, pero destruyen los datos en lugar de cifrarlos.

Con el beneficio de la retrospectiva, es fácil ver cómo tantos fueron arrastrados. Los actores de amenazas con sede en Rusia se han convertido en la bestia negra de la comunidad de seguridad cibernética, y no sin razón, ya que son muy activos, muy sofisticados y muy peligrosos.

La historia geopolítica reciente también sienta un precedente, plagado de ataques cibernéticos vinculados al estado ruso en Ucrania, algunos de los cuales, como NotPetya, se extendieron para tener impactos globales.

Jamie Collier, asesor senior de inteligencia de amenazas en Mandiant de Google Cloud, mira hacia atrás. “Al comienzo del conflicto, definitivamente había mucha preocupación por el desbordamiento”, dice. “Se habló del estilo de, ¿vamos a ver otro NotPetya, o vamos a eliminar malwares con todo tipo de características de propagación que se propagan sin control, [and] preocupación por la infraestructura crítica, no solo en Ucrania sino en toda Europa”.

Pero al final, la guerra cibernética, aunque extensa, no se materializó de la forma que muchos habían imaginado. El colega de Collier, Paul Tumelty, quien es líder de consultoría regional de Mandiant para el Reino Unido e Irlanda, y líder de práctica para el gobierno de EMEA, dice: “La amenaza abrumadora ha estado dentro de Ucrania, contra los intereses de Ucrania.

“[But] ha habido alguna evidencia de espionaje en curso contra objetivos rusos fuera de Ucrania, pero relacionados con Ucrania”, agrega. “Hemos realizado una serie de casos de respuesta a incidentes con gobiernos en Europa, donde es evidente que el grupo que rastreamos como APT29 [Cozy Bear] continúa realizando actividades de espionaje cibernético contra los gobiernos europeos y los órganos de toma de decisiones, en gran parte para rastrear los procesos de toma de decisiones en torno a cosas como sanciones y maniobras diplomáticas”.

El fracaso de los ataques una lección importante

En los nueve años transcurridos desde la anexión ilegal de Crimea por parte de Rusia y los últimos 12 meses de conflicto abierto, las fuerzas armadas de Ucrania se han convertido en sinónimo de valentía y heroísmo, y sus ciberdefensores también se han mantenido firmes.

Lindy Cameron, directora ejecutiva del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, dice que el fracaso de los ataques cibernéticos rusos en Ucrania para lograr los impactos previstos contiene una lección importante, aunque advierte contra la autocomplacencia en este sentido.

Hablando en una conferencia de Chatham House en el otoño de 2022, Cameron dijo que la fortaleza establecida de las defensas cibernéticas de Ucrania se construyó a lo largo de los años, y el apoyo que Kyiv ha recibido de gobiernos amigos y socios del sector privado habían impedido que la desinformación y los ataques cibernéticos rusos lograran su objetivo. efecto de desestabilizar aún más a Ucrania.

Más contenido para leer:  Empresas del Reino Unido listas para implementar 5G de forma independiente

“Ambos esfuerzos han fracasado en gran medida, gracias a los esfuerzos de la experiencia digital ucraniana y occidental dentro de los gobiernos y el sector privado”, dijo en ese momento. “En muchos sentidos, la lección más importante que se puede sacar de la invasión no se trata de los ataques rusos, que han sido muy significativos y, en muchos casos, muy sofisticados, sino de la falta de éxito de Rusia. Por mucho que lo intentaron, los ciberataques rusos simplemente no han tenido el impacto deseado.

“Rusia ha hecho que Ucrania esté en forma durante los últimos 10 años al atacarlos constantemente”, agregó Cameron. “No hemos visto el ‘armageddon cibernético’. Lo que hemos visto es un conflicto muy significativo en el ciberespacio, probablemente la campaña cibernética más intensa y sostenida que se haya registrado”.

Claramente, el Armagedón cibernético no sucedió en el Reino Unido o Ucrania, pero Ziv Dines, director de tecnología de Armis, está ansioso por abordar la idea de que todo ha sido pacífico y tranquilo fuera de la zona de guerra. De hecho, dice, los volúmenes generales de actividad maliciosa que emanan de Rusia están por las nubes.

“Hemos visto un aumento del 15% en ataques cibernéticos y actividad maliciosa en las redes que monitoreamos”, dice Dines. “No es 500% o 1,000%, pero ha habido un aumento, entonces estamos tratando de romper esa percepción de que no pasa nada. No, las cosas están sucediendo y están afectando a las redes de todo el mundo”.

Transformación digital bloqueada

El liderazgo organizacional no está ciego ante este crecimiento de la actividad maliciosa. Un informe reciente compilado por Armis reveló que más del 50 % de las organizaciones del Reino Unido creen que la amenaza de la guerra cibernética en realidad está obstaculizando sus programas de transformación digital. Dines dice que esto puede tener algo que ver con la creciente comprensión de que nadie es inmune a un posible derrame.

“Los operadores de infraestructura crítica siempre tenían miedo, y cualquiera que trabaja con ejércitos o militares o lo que sea, pero cuando observas empresas al azar, no tenían miedo”, dice. “Eso cambió en el último año. Ahora tienen miedo. Han visto la devastación. Han visto lo que puede pasar con esos ataques, y ahora tienen miedo. Eso impacta su proyecto”.

El efecto final de esto, dice Dines, es que los clientes que comenzaron un proyecto de transformación digital a gran escala hace dos a cinco años ahora se están dando cuenta de que necesitan hacer una pausa y reevaluar los riesgos a los que los expone la guerra en Ucrania antes de continuar, por lo que

¿Tendencia a reaccionar de forma exagerada?

Esto plantea preguntas sobre quién está realmente en riesgo de ser arrastrado a la guerra cibernética. Collier dice: “Si usted es una gran organización multinacional, digamos un banco que va a tener alguna interacción con los regímenes de sanciones, existe la preocupación de que Rusia pueda atacarlo. Esas preocupaciones eran razonables, no eran inválidas”.

Sin embargo, ha visto una tendencia en algunas organizaciones a reaccionar de forma exagerada, o incluso a corregir en exceso la amenaza rusa, y aunque es importante prestar atención a eso y dedicarle recursos, es posible que algunas hayan dejado pasar la pelota en otros temas que quizás eran más relevante para su organización.

Más contenido para leer:  Citrix se une a Tibco en la cartera de TI empresarial de Vista

“El ransomware sigue siendo la principal amenaza para la gran mayoría en toda Europa”, dice Collier. “También hemos visto que países como China y otros estados permanecen activos, por lo que centrarse en Rusia para la mayoría es una estrategia arriesgada dadas todas las demás amenazas que existen”.

Dines argumenta que algunos líderes de seguridad pueden haber sido un poco ingenuos en el pasado, en el sentido de que, debido a que tal vez no estaban operando en una posición vertical que fuera de mucho interés para los objetivos de espionaje de Rusia, pensaron que a los rusos no les importaban, y por eso estaban a salvo. “Ya nadie está a salvo, por lo tanto, parte de mi mentalidad tiene que ser, ‘está bien, ¿qué debo hacer o cambiar en mi trabajo diario por eso?’”, dice.

Él compara la situación actual con cómo el proceso de volar cambió drásticamente, particularmente en los EE. UU., después de los ataques terroristas del 11 de septiembre de 2001.

“Creamos nuevas industrias y nuevas preocupaciones de seguridad y pasamos horas en el aeropuerto y cambiamos por completo nuestra forma de pensar”, dice Dines. “El hecho de que no puedas llevar un desodorante en un avión porque contiene más de 100 ml de líquido habría sido absurdo hace 25 años y, sin embargo, es tan común y obvio ahora. El mismo efecto a largo plazo está ocurriendo en cibernética”.

Lecciones aprendidas

Y como siempre, la vieja máxima de que aquellas organizaciones que han prestado atención a los fundamentos de la seguridad cibernética resistirán un ataque mejor que aquellas que han comprado el servicio más costoso se cumple hasta cierto punto aquí.

“Aquellos que se enfocan en los fundamentos tienden a ser los que están mejor preparados para el éxito a largo plazo”, dice Collier.

“Lo que hemos visto es que gran parte de la actividad rusa a lo largo del tiempo ha reutilizado la infraestructura y el malware. Tenemos que recordar que estos grupos de amenazas rusos, si bien cuentan con buenos recursos, también son personas con recursos finitos, y eso significa que con el tiempo nos hemos vuelto cada vez más poderosos para hacer algo al respecto, porque mucho de esto se reduce. para bloquear lo básico y tener una buena higiene de seguridad”.

Tumelty informa que muchas organizaciones han mejorado de manera demostrable su postura general de seguridad cibernética como resultado de los ejercicios de continuidad comercial que realizaron durante la pandemia de Covid-19.

“Mucho de lo que escuché del nivel de la junta es que aprendieron mucho de Covid-19 en términos de trabajo remoto, en términos de planificación, y aunque puede que no esté documentado formalmente, adoptaron procesos y metodologías similares para adaptarse a la La crisis de Ucrania, y luego todo siguió como siempre, una vez que superaron el impacto inicial de la invasión”, dice.

Pero esto no quiere decir que haya otras debilidades que todavía se están pasando por alto. En muchos incidentes relacionados con la guerra cibernética a los que Mandiant ha respondido, dice Tumelty, ha encontrado hardware heredado sin parches o no inventariado plagado de vulnerabilidades y, en algunos casos, software pirateado sembrado por actores rusos con anticipación, que ha sido mezclado con malware. Recomienda prestar más atención a la gestión de activos, cerrar las aplicaciones heredadas y tomar medidas para minimizar la superficie de ataque.

Más contenido para leer:  La fragmentación de la red global es una fuente de riesgo creciente

Escudos arriba

Los jefes de seguridad de la información y los equipos de seguridad de las organizaciones que pueden estar más expuestas a una intrusión rusa también deberían prestar atención a la nueva inteligencia de amenazas a medida que surja, porque un efecto adicional del conflicto ha sido causar un cambio significativo en la naturaleza de el ecosistema ciberdelincuente ruso motivado financieramente, como señaló Immanuel Chavoya, especialista en detección y respuesta de amenazas en SonicWall.

Esta tendencia quizás se ejemplifique mejor con el colapso del cártel de ransomware Conti en medio de supuestas luchas internas. “Algunos grupos se han dividido por lealtades políticas y geopolíticas, mientras que otros han perdido operadores destacados, lo que afecta la forma en que pensamos sobre estos grupos y nuestra comprensión tradicional de sus capacidades”, dice. “Además, hemos visto una tendencia hacia la especialización en el ecosistema de ransomware, lo que dificulta la atribución definitiva. Esto destaca la importancia de monitorear y analizar continuamente el panorama de amenazas en evolución para mitigar los riesgos de manera efectiva”.

Y la investigadora de seguridad de Trustwave, Jeannette Dickens-Hale, dice que sería un error subestimar las capacidades ciberofensivas de Rusia.

“Si bien Ucrania ha sido el patio de recreo cibernético de Rusia para probar varios tipos de ataques a lo largo de los años, uno no debe asumir que la ofensiva cibernética actual y la guerra física contra Ucrania son indicativos de alguna debilidad por parte de Rusia”, dice. “Rusia también está aprendiendo mucho de esta incursión y puede salir del otro lado con habilidades nuevas y perfeccionadas para implementar en el mundo real.

“Como sabemos, los delitos generalmente se anteponen a las leyes que los rigen”, dice Dickens-Hale. “Los actores de amenazas innovan y las fuerzas del orden tienen que redactar y promulgar leyes que imparten justicia por el delito o los delitos cibernéticos cometidos.

“La guerra híbrida (ataques cibernéticos y cinéticos que se libran simultáneamente) es nueva en el campo de la guerra. Sin embargo, el Manual de Tallin identifica reglas específicas que rigen las reglas cibernéticas de compromiso. Como todos los tipos de guerra, nadie sabe en qué medida se cumplen estas reglas o en qué medida evolucionarán esas reglas”.

El desarrollo de la informática moderna le debe mucho a la guerra. De hecho, existe una línea directa entre el desarrollo de los primeros mainframes como ENIAC, que se diseñó durante la Segunda Guerra Mundial para ayudar al Ejército de EE. UU. a calcular las trayectorias de los proyectiles de artillería, y un teléfono inteligente.

Incluso si la paz vuelve a Ucrania a corto plazo, en ausencia de un colapso total de las fuerzas rusas o algún tipo de cambio de régimen en Moscú, el final de la guerra cinética no causará la amenaza cibernética planteada por los actores de amenazas rusos, respaldados por el estado o de lo contrario, disminuir.

Es una certeza virtual que los servicios de inteligencia de Rusia están utilizando el conflicto para desarrollar y refinar nuevas tácticas, técnicas y procedimientos, y como hemos visto tantas veces antes, es probable que estos ataques se filtren en el mundo ciberdelincuente.

El 14 de febrero de 2022, a medida que aumentaban las tensiones en Ucrania, Jen Easterly, de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., emitió su ahora famoso aviso “Shields Up”. Ahora no es el momento de dejarlos.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales