En una reciente competencia de piratería ética Pwn2Own de 2022, dos investigadores de seguridad violaron ICONICS Genesis64, un software diseñado para que los operadores usen máquinas industriales, en solo segundos. En contraste, les tomó tres semanas hackear un iPhone allá por 2012.
Teniendo en cuenta que las principales empresas e industrias multimillonarias poseen estas aplicaciones, muchos se sorprenden al saber que es mucho más fácil de atacar que la mayoría de los teléfonos inteligentes modernos.
Entonces, ¿por qué nuestra infraestructura crítica está en peligro? ¿Y por qué la actualización lleva demasiado tiempo?
Una breve historia de la orientación a la infraestructura crítica
En el pasado, los ciberdelincuentes solían atacar a usuarios individuales o empresas privadas en general. Y si bien estos ataques fueron motivo de preocupación y generaron millones de dólares en daños, por lo general no les reportaron mucho a los atacantes.
Sin embargo, desarrollos recientes como los ataques de ransomware Colonial Pipeline y JBS Foods mostraron que los sistemas críticos para el orden público y la seguridad tienen más probabilidades de ser rentables. Además, además de la ganancia monetaria, los ataques cibernéticos a la infraestructura crítica también pueden tener motivaciones políticas o militares.
Por ejemplo, horas antes de que Rusia invadiera Ucrania en 2022, hubo varios ataques a la infraestructura cibernética ucraniana. Estos fueron diseñados para destruir o dificultar las comunicaciones entre las unidades gubernamentales. Otro ejemplo es el gusano informático Stuxnet, que se implementó intencionalmente para atacar una planta de enriquecimiento de uranio en Irán.
¿Quién piratea la infraestructura clave?
Varios grupos se han adjudicado la responsabilidad de los recientes ciberataques de ransomware . Estos incluyen DarkSide (Colonial Pipeline), Conti/Wizard Spider (Ejecutivo de Salud y Seguridad del Reino Unido) y Egregor. La mayoría de estos grupos están formados por personas privadas que en su mayoría buscan ganancias.
Los otros tipos de piratas informáticos más peligrosos son los patrocinados por los estados-nación. Estos operadores apuntan a la infraestructura crítica de otras naciones para que su país de origen pueda obtener una ventaja en el escenario mundial. Incluso pueden usar sus habilidades para atacar empresas privadas que consideren una amenaza a su soberanía, como el presunto ataque de Corea del Norte a Sony en 2014.
Por qué la infraestructura es fácil de atacar
Sin que la mayoría de nosotros lo sepamos, muchos sistemas industriales están terriblemente desactualizados. Si bien la mayoría de las computadoras de consumo ahora ejecutan Windows 10 o Windows 11, encontrará sistemas en diferentes fábricas en diversas industrias que aún ejecutan Windows 7 o, peor aún, Windows XP. Esto significa que sus sistemas operativos son muy vulnerables, con varias lagunas de seguridad conocidas que no se pueden reparar.
Y aunque muchos de estos sistemas tienen espacios de aire , lo que significa que no están físicamente conectados a Internet, un empleado descuidado que conecta una computadora infectada o una unidad USB a la red puede desactivar el sistema.
El desafío con la actualización de sistemas
Desafortunadamente, actualizar todos estos sistemas no es tan fácil como descargar actualizaciones de Microsoft y reiniciar las computadoras. En primer lugar, como su nombre indica, se trata de infraestructuras críticas. Eso significa que no pueden desconectarse en absoluto. Considere esto: ¿qué pasaría si todos los semáforos en la ciudad de Nueva York se apagaran durante una hora debido a una actualización? Eso será un caos total.
Otro problema al que deben enfrentarse los sistemas críticos es que, por lo general, son sistemas operativos especializados o integrados . Eso significa que ninguna actualización única funcionará para una franja completa de la industria. Por ejemplo, diferentes plantas de energía nuclear construidas por diferentes empresas utilizarán diferentes sistemas de hardware. Por lo tanto, una actualización de hardware en una planta no funcionará en otra.
Además, la protección con espacios de aire de estos sistemas es tanto una bendición como una maldición. Si bien protege el sistema de ataques externos, lo que garantiza que debe estar conectado físicamente al sistema para acceder a él, también significa que sus proveedores no pueden enviar actualizaciones fácilmente. Entonces, si un proveedor de hardware crea un nuevo firmware para una fábrica con seis ubicaciones diferentes en todo el país, sus empleados deben viajar físicamente allí e instalar la actualización manualmente.
Otra cosa con la que las empresas deben lidiar es el equipo especializado. Por ejemplo, supongamos que es una empresa de fabricación de alimentos y compró un sistema de cadena de suministro que se ejecuta en Windows XP en 2009. Desafortunadamente, la empresa que proporcionó su sistema cerró. No tiene el presupuesto para obtener un nuevo software de gestión de la cadena de suministro y tampoco tiene el tiempo para volver a capacitar a su personal. Así es como las empresas terminan con computadoras que ejecutan Windows XP hasta bien entrada la década de 2020.
¿Cómo se ven afectados los consumidores por esto?
Como consumidor, podría pensar que este no es su problema. Después de todo, piensas que estás bien mientras puedas llegar a donde vas y tu vida no se vea interrumpida. Desafortunadamente, esto no puede estar más lejos de la verdad.
Considere el ataque al Oleoducto Colonial. Aunque el daño fue limitado, el pánico que siguió provocó largas filas de gasolina en varias estaciones. CNBC informó que las aerolíneas en el Aeropuerto Internacional Hartsfield-Jackson de Atlanta, que Colonial Pipeline suministró directamente, tuvieron que transportar combustible adicional desde otros aeropuertos para complementar el suministro local o hacer paradas adicionales para vuelos de larga distancia para reabastecerse.
Si bien el incidente no causó demoras en el sistema, habría causado un problema importante si no se hubiera resuelto en una semana.
Otro ejemplo es el ciberataque a la red eléctrica de Ucrania en 2015. Este incidente dejó a oscuras a la mitad de la región de Ivano-Frankivsk durante seis horas. Y si bien estos podrían causar inconvenientes y pérdidas monetarias durante tiempos normales, estos ataques podrían tener consecuencias más graves cuando se ejecutan antes de una invasión.
¿Qué podemos hacer?
A menos que esté trabajando en estas industrias específicas como un alto ejecutivo, la mayoría de las personas comunes no pueden hacer mucho para solucionar este problema. Puede dar a conocer su voz comunicándose con sus representantes en el Congreso y el Senado en sus oficinas, pero eso es todo.
Pero si es miembro de la junta o ejecutivo de C-suite en cualquiera de estas industrias, ya es hora de que revise los sistemas de ciberseguridad de su empresa. Si bien actualizar su infraestructura y maquinaria puede ser costoso, un ataque a sus sistemas más vulnerables sería mucho más costoso.
Cuando actualiza su hardware, no solo parchea las vulnerabilidades potenciales en su sistema, sino que también tiene la oportunidad de tener una operación más eficiente.
Debemos proteger nuestra infraestructura crítica
La brecha de ICONICS Genesis64 muestra que no basta con reaccionar ante cada ciberataque a nuestra infraestructura; en cambio, debemos ser proactivos para detectar vulnerabilidades y corregirlas. Si permitimos que los ciberdelincuentes y otros actores tengan rienda suelta sobre nuestras industrias y servicios públicos, el daño que causen podría ser mucho mayor que el costo que tenemos que pagar para mantener nuestros sistemas seguros.
