Expertos HC

Cyber Polygon 2021: ¿qué puede aprender el mundo del motor?

El mundo del motor puede preocuparse tanto por los ejercicios como por las alusiones a una “ciberpandemia” en el evento Cyber Polygon de 2021… Hablamos con Josep Albors, de ESET España, sobre las repercusiones en la automoción de que semejantes escenarios se hicieran realidad.

Postes infraestructura red eléctrica

A nadie se le escapa que nuestra economía es cada vez más dependiente de la conexión a la Red. Para muestra, el ciberataque a Colonial Pipeline, que puso en jaque el suministro de gasolina a cinco estados de la Costa Este de EE.UU… hasta que la empresa pagó un rescate de cinco millones de dólares en bitcoins.

Los líderes de la economía mundial, inquietos

El 9 de julio tuvo lugar el ejercicio técnico del evento Cyber Polygon. Organizado por el Foro Económico Mundial (WEF, por sus siglas en inglés), Cyber Polygon es el mayor evento de entrenamiento en ciberseguridad para equipos de las grandes organizaciones: multinacionales, agencias gubernamentales… Pero además, este año, el WEF ha debatido acerca de la posibilidad un ataque a la cadena de suministro de bienes básicos a nivel mundial: en otras palabras, un peligro para la cadena de aprovisionamiento. Para detener la expansión de un virus capaz de suponer un riesgo como éste, se tendría que forzar la desconexión de Internet de millones de dispositivos en todo el mundo, con las consiguientes pérdidas en la actividad económica y social.

Según el Foro Económico Mundial, “la única forma de detener la propagación exponencial de un ciberataque similar a la amenaza del COVID es desconectar los millones de dispositivos vulnerables unos de otros y de Internet”; el problema es que “un sólo día sin Internet costaría a nuestras economías más de 50.000 millones de dólares, y eso sin tener todavía en cuenta los daños económicos y sociales si estos dispositivos estuvieran conectados a servicios esenciales, como los transportes o la sanidad”.

¿En qué consistió el ejercicio técnico?

En el ejercicio, el Equipo Rojo perpetra el ciberataque, mientras que el Equipo Azul tiene que tratar de proteger los diferentes segmentos de la infraestructura. La simulación comprende dos escenarios: en el primero, el sistema atacado se dedica a confeccionar, probar y entrenar aplicaciones, gestionando todo el ciclo de vida de los sistemas críticos para el negocio de una organización. Un hacker anónimo obtiene acceso a esa infraestructura corporativa y, aunque no llegan a los servidores, logran robar grandes cantidades de información sobre la aplicación que se está desarrollando, como el código fuente y la información sobre los trabajos en marcha.

El grupo quiere los datos que dicha aplicación ha procesado sobre sus usuarios. Buscan generar puertas traseras en ella para, finalmente, atacarla en el entorno de producción y hacerse con los datos deseados. Los participantes tuvieron que contener el ataque a la mayor brevedad, garantizar la seguridad de la cadena de suministro, y minimizar la cantidad de información comprometida; todo ello mientras la mantenían disponible y en funcionamiento.

En el escenario de respuesta, el equipo azul tiene que proteger el ecosistema de un gran grupo de empresas. De repente, el usuario de una de ellas informa de archivos sospechosos en un directorio. Se identifica el vector de compromiso, y se descubre que la infraestructura ha sido comprometida con la actualización de una aplicación por un proveedor de software. Un servidor subsidiario, que se comunica con la red del cliente a través de una VPN, se ve afectado. Cada organización participante ha presentado su propio equipo, con un número ilimitado de miembros; para llevar a cabo el ejercicio, a estos se les proporciona el acceso a una infraestructura en la nube.

Las amenazas para la automoción

Ahora bien, ¿qué consecuencias tendrían escenarios como éstos, si el ciberataque se produjera contra un ecosistema de compañías de la industria de la automoción? Para aclarar estas y otras muchas dudas, consultamos a Josep Albors, responsable de Investigación y Concienciación de ESET. Como riesgo básico, Albors señala el “robo de información, planos, diseño… de cara a futuro. Por desgracia, muchas veces, pueden cifrar toda esa información y así extorsionar a la víctima para solicitar un rescate”.

En todo este proceso, cifrar la información robada es el último paso. “Incluso puede haber una triple o cuádruple extorsión; por ejemplo, haciendo llamadas a los clientes y usuarios de la empresa afectada para que ellos también fuercen el pago del rescate. Les pueden amenazar con que, si no lo hacen, se publicarán sus datos… o incluso hacer una denegación de servicio a la web de la empresa atacada, para que no sea accesible”, comenta Albors.

De modo que, fundamentalmente, ¿estamos hablando de ataques mediante “ransomware”? “Muchas veces hay confusión con el ataque “ransmoware”, aclara Albors, “porque se cree que implica también el robo de información, y no es exactamente así. El “ransomware” solamente la cifra”. Lo que ocurre es que es habitual combinar “varias amenazas para, primero, acceder (aprovechando, por ejemplo, una puerta trasera); después, hacer un reconocimiento de la red en la que se ha introducido el atacante; de esta manera, identificar las máquinas más interesantes por la información que almacenan o porque son controladoras de dominio, y a partir de ahí gestionar todos los nodos de esa red”.

¿Nos jugamos el ‘pellejo’ con las infraestructuras?

¿Y en cuanto a la “ciberpandemia” con la que se especuló en los debates del evento? ¿Qué sucedería, por ejemplo, con la seguridad vial en semejante situación? Albors aclara que todo depende de los objetivos de los atacantes: “Piensa que la mayoría de ataques buscan un objetivo económico, pero tanta disrupción no les interesa”, aclara. Así, aunque recuerda el ejemplo de Colonial Pipeline, un ataque de esa envergadura “llama mucho la atención; hace que las fuerzas de seguridad o los mecanismos de cada país presten atención a esos delincuentes, e incluso pueden llegar a ir a por ellos con técnicas que no se habían planteado”. En otras palabras, los ciberdelincuentes “buscan un equilibrio entre a quién pueden atacar, qué pueden obtener y cuáles serán las represalias”.

En el caso concreto de la seguridad vial, Albors comenta el ejemplo de la gestión de los semáforos en una ciudad… “Tenemos casos de violaciones de alarmas, o incluso de pruebas de concepto con las que se podía modificar el funcionamiento de semáforos. Por suerte, no hemos visto casos reales”. Pero también las posibles consecuencias de un ataque en los registros de la Dirección de Tráfico: “El historial de multas de un conductor, sus puntos del carnet, el modelo de coche de un usuario concreto o incluso dónde reside; todo esto puede ser información muy útil para según qué objetivos”.

Pero, si pensamos en una “ciberpandemia”, generalmente la asociaremos con un interés geopolítico. “Por suerte, a pesar de lo que vemos mucho en las noticias, esos ataques son los que menos se producen”. No obstante, una disrupción como esa “también podría suponer un serio problema de aprovisionamiento de ciertos materiales o suministros críticos que pueden retrasarse porque no llegan a su destino”.

¿Cuánto depende tu coche de la Red?

¿Y qué hay de esa posibilidad, también debatida, de tener que desconectar de Internet todos nuestros dispositivos? ¿Qué supondría para el uso cotidiano de nuestro vehículo? Albors reconoce que, en su coche de menos de un año, le afectaría “entre poco y nada”. Los problemas se limitarían a servicios “no críticos”: los mensajes dictados, las conexiones con otros dispositivos… y, en general, los servicios externos. “Claro, estamos hablando de un coche de 2021. Cómo será dentro de algunos años no lo sabemos”, puntualiza; “pero a un conductor que se compre ahora mismo un coche con conexión a Internet, para ir de un sitio a otro no le afectaría; como mucho, al navegador, la información del tiempo y algunas aplicaciones del fabricante”.

Entonces, ¿dónde podría suponer un riesgo a medio plazo? “En las actualizaciones online. Esas actualizaciones pueden corregir fallos, problemas que se hayan detectado… o proporcionarte nuevas características. Si la interrupción es puntual, de poco tiempo, no afectaría para nada; A medio plazo, sí puede suponer un pequeño problema, porque esas actualizaciones se tendrían que hacer de forma manual en el taller… y normalmente no te las hacen, porque ocupas un sitio y un tiempo que ellos pueden dedicar a otras cosas”.

Lo que haría Albors para protegernos

Preguntado por las medidas que el propio Albors propondría para combatir ataques como los simulados en Cyber Polygon, puntualiza que “depende mucho de los sectores”, pero señala algunas ideas básicas. La primera de ellas es “la identificación de los usuarios, desde dónde se conectan y con qué finalidad; mejorar el máximo de factores posibles de los sistemas de autenticación, y segmentar las redes. No se trata de que cada red sea más independiente, sino de limitar el acceso desde una red poco crítica a otra que sí lo sea. Por ejemplo, el departamento de administración, ¿para qué quiere acceder a una red determinada?”.

Y, por supuesto, “tener un equipo de gente con el software adecuado, para monitorizar todos los eventos en esa red. Porque esto no es simplemente detectar un virus; para entonces, puede que sea demasiado tarde. La detección se tiene que producir cuando alguien está intentando acceder, o utilizar herramientas del sistema de forma maliciosa para escalar privilegios, para saltar de un ordenador a otro mediante contraseñas capturadas… Eso es lo que realmente se tendría que hacer”. Para Albors, son “medidas básicas; pero que, muchas veces, no se aplican”.

‘Presidente’ Albors

Pongámonos ahora en el lugar de los gobernantes. La primera medida de Albors sería “proporcionar toda la información necesaria para que los involucrados sean conscientes de lo que está pasando”. Es un defensor de la colaboración público-privada, porque muchas empresas privadas “pueden ser suministradores cruciales para empresas públicas”. Unas y otras organizaciones deben implantar auditorías constantes para protegerse mutuamente. Albors da especial importancia a la formación: potenciar el talento que hay, porque muchas veces el problema es que no se cuida como se debe”. En definitiva, generar un modelo “que no sólo fomente el interés de la gente por la ciberseguridad, sino que también reconozca sus esfuerzos”.

Lamentablemente, en el año 2020, las organizaciones del sector del transporte sólo representaron el 1% de las participantes en el ejercicio Cyber Polygon. “Yo creo que cualquier sector debe involucrarse en serio”, sostiene Albors; “entender la ciberseguridad como algo básico para tu continuidad. No es un gasto, es una inversión que puede a evitar que tu empresa llegue a quebrar y salirse del negocio”.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.