La cambiante necesidad de ciberseguridad proactiva
El desarrollo de la crisis en Ucrania ha puesto de manifiesto nuevas facetas de los conflictos entre Estados nación que tienen repercusiones mucho más allá de la región geográfica inmediata. Como empresa global, sentimos una enorme empatía por todos los que han sido perjudicados, desplazados o afectados negativamente por los ataques en curso, incluyendo a muchos de nuestra extensa familia de F5. Sin pasar por alto los aspectos más reales y humanos del conflicto entre Rusia y Ucrania, los clientes también nos han pedido que les orientemos sobre los tipos de ciberataques que podrían presenciar en los próximos días, a la luz de los recientes acontecimientos. Por lo tanto, el artículo que sigue pretende responder a esas preguntas de forma directa, respetuosa y práctica.
El papel de los ciberataques en los conflictos entre Estados nación ha dado lugar a nuevas preocupaciones en materia de ciberseguridad a una escala diferente de la que muchas organizaciones han tratado tradicionalmente, lo que pone de manifiesto la importancia de defenderse de los ataques sofisticados mediante una estrategia de ciberseguridad proactiva.
Con la evolución de Internet, las operaciones empresariales globales han cambiado enormemente. La transformación digital está ocurriendo a una escala exponencial, estimulando los avances tecnológicos y la sofisticación de los ciberataques en igual medida. Paralelamente, las organizaciones de hoy en día siguen enfrentándose a los atacantes tradicionales que tienen una motivación económica, pero también a los Estados nación y a los delincuentes motivados que tienen objetivos más amplios. Por supuesto, con el aumento de la sofisticación de los ciberataques, las protecciones correspondientes también deben evolucionar regularmente. En la economía actual, es mucho más probable encontrarse con actores nacionales que están desarrollando exploits para vulnerabilidades conocidas (y desconocidas).
En la práctica, esto lleva a que los actores de los Estados nación desarrollen exploits que atacan la infraestructura de Internet (y los servicios críticos) de otras naciones de forma continua. Aunque los escenarios más inmediatos que nos vienen a la mente son los conflictos geopolíticos entre Estados nación, muchos de los mismos principios deben aplicarse ahora de forma generalizada a las prácticas tradicionales de seguridad de las empresas, especialmente porque los Estados nación suelen atacar a una combinación de recursos de Internet del gobierno y del sector privado como medio de desestabilización. En consecuencia, los ciberataques dirigidos suponen una importante amenaza tanto para la integridad de las naciones como para aquellos que intentan llevar a cabo cualquier esfuerzo comercial relacionado con (o dentro de) una geografía dirigida. Esto ha llevado a que la ciberseguridad proactiva y continua sea una necesidad creciente para todo tipo de organizaciones.
Ciberataques dirigidos
En términos generales, los adversarios de los Estados nación lanzan ciberataques dirigidos para mermar gravemente la infraestructura de los Estados nación e interrumpir la funcionalidad de sus sistemas de Internet, lo que a su vez puede afectar a la infraestructura financiera y militar. La figura 1 muestra un ejemplo de ataque dirigido (en este caso, phishing) en acción.
Figura 1: Ataque de phishing dirigido en acción
Los ciberataques dirigidos se ejecutan utilizando código malicioso diseñado para realizar operaciones furtivas. Algunos ejemplos de código malicioso son los exploits (que se aprovechan de las vulnerabilidades), los rootkits (que manipulan el núcleo y el modo de usuario para realizar operaciones no autorizadas), los kits de herramientas de administración remota (que gestionan los sistemas comprometidos), los wipers (que destruyen los registros de arranque maestro del sistema), el ransomware (que cifra los datos sensibles y pide un rescate) y muchos otros. Aunque generalmente se denominan ciberataques, se pueden considerar «armas digitales».
Ataques de Estados nación contra infraestructuras: aumento de las armas digitales
Los adversarios llevan a cabo una gran variedad de ataques durante los conflictos entre Estados nación, con amenazas digitales junto a las de naturaleza física tradicional. Hoy en día, los Estados nación son expertos en llevar a cabo múltiples conjuntos de ciberataques, con ejemplos destacados que se analizan a continuación:
- El lanzamiento de ataques de denegación de servicio distribuido (DoS) desde varias geolocalizaciones en Internet para derribar infraestructuras críticas y portales de comunicación es una estrategia operativa bien pensada durante los conflictos entre naciones. Por ejemplo, los adversarios pueden estar decididos a afectar a los sitios web centrados en el ejército y que se usan para gestionar los asuntos internos con el fin de interrumpir las comunicaciones oficiales. Los portales web de las instituciones financieras también suelen ser el objetivo para afectar a las operaciones bancarias y financieras.
- Desencadenar ataques de destrucción de datos mediante la distribución de código malicioso avanzado a través de ataques «drive-by-download» (impulsados mediante la descarga). El código malicioso se aloja en los portales web comprometidos o se adjunta a los correos electrónicos de phishing (de naturaleza selectiva) y, mediante ingeniería social, se obliga a los usuarios objetivo a interactuar con el portal web o el correo electrónico de phishing para instalar el código malicioso en los sistemas objetivo. Una vez instalado el código malicioso, tiene la capacidad de eliminar los sistemas completos borrando los datos e inutilizando el sistema.
- El robo de la propiedad intelectual (PI) durante un conflicto temporal es también uno de los principales objetivos de los adversarios del Estado-nación. El razonamiento suele ser el siguiente: si la infraestructura de un Estado-nación ya está comprometida, puede haber una oportunidad para robar la PI que podría ser utilizada para diferentes propósitos más adelante.
En relación con esto, aquí ofrecemos un rápido desglose de los notables ciberataques que probablemente se utilicen como «armas digitales» en los conflictos entre naciones:
| Tipo de ciberataque | Nombre de código malicioso («Arma digital») |
Características |
|---|---|---|
| Denegación de servicio distribuido (DDoS) | Botnet desconocido | Denegación de servicio: afecta a la disponibilidad de infraestructuras críticas como los portales web de instituciones financieras, militares, etc. |
| Distribución de malware | Whisper Gate | Destrucción de datos y «bricking» del sistema: corrompe el Master Boot Record (MBR) de los sistemas comprometidos y cifra los archivos sensibles |
| Distribución de malware | Hermetic Wiper | Destrucción de datos y «bricking» del sistema: corrompe y borra archivos sensibles en los sistemas comprometidos |
Tabla 1: Código malicioso susceptible de ser utilizado en los ciberataques lanzados durante los conflictos entre Estados nación
Utilizando las armas digitales enumeradas anteriormente, los Estados nación pueden lanzar un tremendo conjunto de ataques para afectar gravemente a las infraestructuras propiedad de gobiernos y organizaciones. Esto suele formar parte de una estrategia más amplia para trastornar la capacidad del Estado-nación de comunicarse libremente, y para perturbar los sistemas financieros y militares eludiendo la integridad, la disponibilidad y la confidencialidad de los sistemas activos de la infraestructura.
Una vez más, aunque esto puede parecer más relevante para los Estados nación en conflicto, existe un riesgo más amplio cuando las herramientas y los exploits utilizados en estos ataques se abren paso en el panorama de las amenazas más amplias. (Un ejemplo histórico de esto es el fallo NotPetya de 2017).
Proteger la infraestructura crítica
La ciberseguridad proactiva se ha convertido en el enfoque necesario predominante. Mientras que los gobiernos son generalmente responsables de garantizar que las infraestructuras críticas (incluidos los portales web militares, los sitios web de las instituciones financieras, incluida la infraestructura SCADA) deben estar supervisadas y protegidas contra los ciberataques, las líneas entre la seguridad del sector público y privado se han vuelto mucho más matizadas. En términos generales, la seguridad de la infraestructura de red y de las aplicaciones desplegadas es fundamental para eludir los ataques a la red, como los de DDoS y los códigos maliciosos distribuidos a través de la conexión, para preservar la integridad de los recursos de la infraestructura sin afectar a la disponibilidad. Y, lo que es más importante, también es necesario proteger las aplicaciones críticas contra los ataques HTTP. Lo más importante es garantizar que la comunicación a través de Internet se mantenga sin interrupciones. Para ello, las organizaciones deben asegurarse de que su infraestructura está dotada de mecanismos de seguridad para combatir los ciberataques.
Los primeros pasos para lograr una ciberseguridad proactiva
El ritmo acelerado de la transformación digital ha dado lugar a la adopción de aplicaciones modernas por parte de gobiernos y organizaciones para lograr la eficiencia operativa. Sin embargo, estas aplicaciones requieren protección contra los ciberataques avanzados, que pueden ser de naturaleza selectiva o de base amplia. En tiempos de conflicto entre Estados nación se hace aún más relevante asegurar que las aplicaciones críticas puedan seguir estando disponibles. Los gobiernos, y todas las organizaciones, deben permanecer vigilantes teniendo en cuenta los siguientes puntos clave:
- Las aplicaciones web y las API son omnipresentes en el panorama digital actual. Protegerlas contra abusos y ataques es fundamental para mantener una postura de seguridad positiva. Servicios y soluciones como Web App and API Protection (WAAP) no solo ofrecen protección contra los ataques basados en la web, sino que incluyen funciones de seguridad nativas.
- La explotación y el abuso no son los únicos medios de ataque. Los ataques de denegación de servicio pueden impedir el acceso a los activos críticos. Una estrategia de ciberseguridad proactiva debe incluir también la capacidad de eludir los ataques de DoS basados en aplicaciones para garantizar que las aplicaciones críticas sigan estando disponibles.
- Ser proactivo también requiere la capacidad de identificar las señales de un posible ataque. La mayoría de las organizaciones carecen de la capacidad de detectar los ataques de forma anticipada debido a la visibilidad incompleta de todas las aplicaciones, infraestructuras y entornos. La salud de los activos digitales está determinada por las señales digitales y es un componente fundamental para la ciberseguridad proactiva. Una estrategia de observabilidad que permita la detección temprana de posibles ataques ofrece la capacidad de responder rápidamente y neutralizar un ataque.
La construcción de una postura de ciberseguridad sólida y robusta debe incluir la disponibilidad, es decir, que sea posible seguir utilizando las aplicaciones críticas si están bajo ataque. Lograr la seguridad con resiliencia y disponibilidad sin interrupciones son los puntos de referencia de la ciberseguridad proactiva, entendiendo que las amenazas (y las mitigaciones) nunca dejarán de evolucionar.