Gobiernos en el punto de mira de los ciberatacantes [Artículo de opinión] - Seguridad Mania.com - España y América Latina

Publicamos un artículo de opinión realizado por Derek Manky, Global Security Strategist y experto en cibercrimen de Fortinet, en donde hace referencia a la situación actual de los gobiernos con respecto a los ciberataques y realiza una reseña de lo sucedido y lo que se espera para el futuro.

El temor por parte de los gobiernos a que sus infraestructuras críticas fueran paralizadas por un ataque se hizo realidad el pasado diciembre, cuando una amenaza persistente avanzada (APT) alcanzó al gobierno de Ucrania, siendo el primer ciber-ataque capaz de cortar el suministro eléctrico de un país. Valiéndose del malware BlackEnergy, los hackers manipularon de forma remota los interruptores de suministro eléctrico a 225.000 usuarios y colapsaron su servicio de call center para impedir que los verdaderos clientes pudieran llamar .

Situación en los últimos años

En los últimos años, los grandes ciberataques a corporaciones han copado titulares en la prensa, si bien hace apenas unos meses que un número significativo de instituciones gubernamentales han sido objetivo de los hacktivistas.

Solo en 2015, los gobiernos de EE.UU., Holanda, Irlanda y Turquía fueron víctimas de ataques DDoS dirigidos a provocar el caos e interrumpir operaciones. En enero, ciudadanos tailandeses, molestos por una sentencia judicial del gobierno, mostraron su descontento lanzando un ataque malicioso contra 300 sitios web gubernamentales. En el mismo mes, hackers afiliados a Anonymous lanzaron ataques similares contra los gobiernos de Arabia Saudí y Nigeria. 

En el sector público han aumentado los ataques que aprovechan las vulnerabilidades de las aplicaciones web y las brechas de los ataques DDoS. La consultora experta en riesgos globales, Control Risks, señala en su informe anual, Riskmap Report for 2016  que un tercio de los ciberataques tienen como objetivo al sector gubernamental.  

Los ataques DDoS se han convertido en una verdadera arma de destrucción para chantajistas y terroristas digitales. Este tipo de ataques se presenta en distintas formas: algunos tienen como objetivo destruir el sistema mientras que otros los inundan con peticiones  maliciosas que tratan de agotar sus recursos (ancho de banda, capacidad de proceso, espacio en disco, etc.). Cada vez más, los ataques a la capa 7 de aplicación utilizan mecanismos más sofisticados para inutilizar la red y los servicios gubernamentales. En lugar de saturar la red con tráfico o sesiones, estos ataques evitan los mecanismos tradicionales  de detección y se dirigen a servicios y aplicaciones específicos para agotar los recursos a nivel de aplicación. 

La escalada de ataques mantiene un ritmo ascendente. Hace una década, ataques de 50 Gbps se producían solo una o dos veces al año. Actualmente, este tipo de ataques suceden con una frecuencia semanal. En diciembre de 2015, la BBC sufrió un ataque DDoS de 602 Gbps, el mayor de la historia . Los analistas de Quadrant Knowledge Solutions estiman que el mercado global de mitigación de ataques DDoS crecerá de forma significativa en los próximos 5 años con una tasa compuesta anual de 27,6% y alcanzará los 2.000 millones de dólares en 2020 .

Las APTs pueden presentarse en forma de malware, que puede ser usado para aprovechar un exploit de los sistemas como en el caso del ataque a la red eléctrica ucraniana. Las APTs también pueden proceder de los sistemas de distribución (ej. phishing).  Los hackers crean emails spear-phishing con adjuntos dañinos o que lanzan exploits tipo zero-day, que exponen la vulnerabilidad en el software para permitir a un atacante ejecutar código no deseado o hacerse con el control del ordenador infectado.  Una vez que la amenaza se adentra en la organización, los datos pueden exfiltrarse fácilmente.  Las claves, archivos, bases de datos, cuentas de correo y otros datos sensibles pueden verse expuestos. Incluso después de que se haya completado el robo, el atacante puede mantenerse dentro de la red y observar los activos de los datos.  

En Asia, los ataques APT se están acelerando a medida que aumentan las tensiones entre regiones y las disputas territoriales entre China, India y países de Sudeste asiático. Un grupo conocido como APT 30 ha utilizado en los últimos años un malware con el objetivo de conseguir datos sensibles de sus objetivos, entre los que se encuentran redes gubernamentales clasificadas. 

Algunos de los ciberataques se componen de emails escritos en la lengua nativa del receptor y contienen documentos que aparentemente son legítimos pero que esconden malware. Los atacantes crean sus propios algoritmos tipo gusano, que se copian ellos mismos a elementos de hardware como a dispositivos USB y discos duros. Una vez que estos componentes entran en contacto con otros sistemas, el ataque se expande .

¿Cómo protegernos frente a ataques DDoS y APTs?

Una estrategia multi capa es una de las mejores defensas frente a estas amenazas. 

Una defensa efectiva se suele basar en la creación de un marco de protección cohesionado y extensible. Este framework es crítico ya que incorpora las actuales capacidades de seguridad, tecnologías emergentes y un mecanismo de aprendizaje que pone en marcha la inteligencia de seguridad a partir de las últimas amenazas detectadas. Otras medidas contemplan la evaluación del entorno de red y la concepción de un plan de respuesta. Es importante asegurar cualquier potencial cuello de botella, monitorizar la red, y no solo buscar grandes ataques. 

En vez de buscar la eliminación completa de todo el tráfico DDoS, nuestra estrategia debería ir dirigida a mantener los servicios – espacialmente los críticos – con la mínima disrupción posible. El plan completo debe contemplar el backup y la recuperación, supervisión adicional, y distintas maneras de restablecer el servicio con la mayor rapidez y eficiencia posible.

Una estrategia multicapa para la protección DDoS también implica soluciones dedicadas instaladas en el Datacenter y diseñadas para proteger y mitigar las amenazas desde todos los ángulos de la red. 

Para mitigar los riesgos APT, los gobiernos deben desarrollar funcionalidades de seguridad clave para detener las potenciales aplicaciones maliciosas y el malware, y evitar que la información sensible salga de la red.  Una de las maneras de conseguirlo es diseñar una segmentación básica de la red, lo que ayudaría a evitar la propagación de una APT dentro de la misma. 

Los administradores de TI deben recordar que no es necesario que todos los empleados tengan acceso a determinados recursos que puedan contener datos sensibles. Cuanto más limitemos el acceso, más posibilidades de mitigar ataques. Poniendo en marcha un sistema de autenticación de doble factor para los usuarios remotos, o para aquellos que requieren acceso a información sensible, se dificultará al atacante el uso fraudulento de credenciales robadas o perdidas. 

Trabajar con un proveedor de seguridad reconocido también es esencial. El partner puede proporcionar información actualizada e inteligencia al personal de TI así como definir un proceso de escalado cuando se detecta un incidente. Las agencias gubernamentales deberían aliarse, de forma proactiva, a organizaciones y proveedores de soluciones de ciberseguridad para compartir información de amenazas, de tal manera que, la compañía tenga una visión más completa del escenario global de amenazas y pueda responder mejor ante los ataques.

Por último, mientras que se desarrolla un plan integral y una evaluación completa, es crucial concienciar a los empleados públicos en ciberamenazas. Los empleados con acceso a información sensible tienen que ser formados sobre cómo actuar con los datos. Por ejemplo, limitar el uso de dispositivos USB a casos justificados es una buena opción para proteger la red. 

Ya se trate de APTs, gusanos, DDoS, botnets, o ataques entrantes y salientes, las amenazas son cada vez más sofisticadas e intrusivas. Los gobiernos necesitan plantearse bien su política de seguridad y adoptar una estrategia multi capa para minimizar los riesgos a los que deben enfrentarse.