La protección de las infraestructuras críticas frente a los ciberataques

Los ciberataques pueden causar daños de distintos tipos en cualquier sector, eso ya lo sabemos. Sin embargo, los ataques a las infraestructuras públicas — como los sistemas críticos de transporte y los servicios públicos — pueden provocar trastornos muy graves en la vida cotidiana y poner en peligro la seguridad pública.

Unos cuantos ataques muy notorios, como el ataque de ransomware al oleoducto Colonial en mayo de 2021, han hecho que la opinión pública tenga muy presente el problema de los ciberataques, en especial los habitantes de la costa este de los Estados Unidos, que durante un tiempo sufrieron escasez y aumentos de precios de los combustibles. Tras el ataque, el oleoducto Colonial tomó medidas proactivas y desconectó algunos sistemas — incluidos 8850 kilómetros de canalizaciones del oleoducto — para hacer frente a la amenaza.

El aumento de los ataques a las infraestructuras públicas es un indicio de que para algunos ciberdelincuentes se han acabado las contemplaciones. Es decir, que el objetivo que persiguen con un ataque de ransomware ya no es solo ganar dinero, sino simplemente causar estragos, perturbar los servicios y generar pánico. Cualquier sentido moral que en el pasado se haya atribuido a los autores de esta amenaza parece haber desaparecido en los últimos dos años.

Otro caso que demuestra esta evolución es el ataque a la planta potabilizadora de la pequeña localidad estadounidense de Oldsmar, Florida, en abril de 2021. Durante el periodo de tiempo en que no se detectó la vulneración de la seguridad, los atacantes manipularon el sistema para aumentar la cantidad de hidróxido de sodio presente en el agua potable. Por suerte, el ataque pudo solucionarse antes de que esta sustancia llegara a un nivel que supusiera una amenaza para la salud, pero quedó demostrado que la capacidad de los ciberatacantes para poner en peligro vidas humanas es muy real.

Las organizaciones encargadas de las infraestructuras públicas pueden reforzar sus defensas frente a los ataques si comprenden cuáles son los puntos de entrada de estos ataques, abordan los problemas inherentes a este sector y aplican unas nuevas prácticas para protegerse del panorama de amenazas actual.

Abordar los desafíos que plantea el sistema de identidad en las organizaciones responsables de las infraestructuras públicas

Las organizaciones que se encargan de las infraestructuras públicas se enfrentan a unos retos muy concretos a la hora de proteger sus sistemas de identidad. Muchas de estas empresas gestionan infraestructuras que son vitales para la vida cotidiana, por ello, a algunos estados y otros actores malintencionados les interesa desarrollar armas informáticas dirigidas específicamente contra los servicios públicos, como pone de relieve un estudio del Instituto Siemens/Ponemon sobre empresas de servicios públicos globales. El estudio también destaca varios factores que, según los operadores de los servicios públicos, socavan sus esfuerzos por mejorar su posición de seguridad:

• La falta de conocimientos técnicos necesarios para identificar las amenazas.
• La escasa coordinación entre los equipos de la TI operativa y los de seguridad para reconocer las amenazas que se originan en los sistemas de identidad y en otros sistemas informáticos.
• Unas prácticas de seguridad obsoletas, que incluyen una comprensión limitada del panorama de amenazas actual y unas buenas prácticas de funcionamiento basadas en el riesgo.
• La falta de inversión en formación y personal.
• Un plan de actuación inadecuado en caso de ciberataque y una respuesta lenta a los incidentes anteriores.
• El despliegue de equipos digitales y en red, lo que proporciona nuevos objetivos a los ciberdelincuentes y hace que los ataques tengan unas consecuencias mucho mayores. 

Los obstáculos son enormes, pero implementando un enfoque sistemático para cerrar las brechas de seguridad del sistema de identidad, las organizaciones encargadas de las infraestructuras públicas pueden mejorar de manera significativa su posición de seguridad — una meta muy loable, teniendo en cuenta que estos sistemas se están convirtiendo claramente en el objetivo preferido de los ciberdelincuentes.

Cerrar los puntos de entrada del ataque en el sistema de identidad

Comprender cómo entran los atacantes es el primer paso esencial para establecer una defensa efectiva. Tanto en el ataque al oleoducto Colonial como en el de la planta potabilizadora de Oldsmar, el objetivo de los autores del ataque fue Active Directory, que es el servicio de autenticación principal usado por el 90% de las empresas de todo el mundo. AD es una vía de ataque habitual para los ciberdelincuentes, debido a su tamaño, su complejidad y la tendencia a los desajustes en su configuración, sobre todo en las organizaciones grandes con implementaciones de AD de 20 años de antigüedad.

El ataque al oleoducto Colonial fue obra del grupo DarkSide, una de las múltiples organizaciones de ransomware como servicio (RaaS) que han puesto en común sus conocimientos en materia de ciberdelitos para realizar ataques en nombre de otros clientes. Estos grupos actúan de manera sistemática para acceder a la infraestructura de una organización a través de los puntos débiles de seguridad de AD:

• Primero utilizan herramientas de penetración para acceder al sistema y luego inician su labor de reconocimiento.
• A continuación, pueden pasarse días o semanas (e incluso meses, en el caso del ataque a SolarWinds) buscando vulnerabilidades y tratando de acceder a las cuentas de los usuarios con privilegios.
• Y en cuanto controlan los activos que buscaban, completan su misión — ya sea envenenar un suministro de agua potable, cifrar datos sensibles para exigir a cambio el pago de un rescate u otras acciones malintencionadas —.

DarkSide afirma que actúa respetando unos principios (por ejemplo, no ataca hospitales ni escuelas), pero la realidad es que el grupo solo tiene objetivos lucrativos y que ha demostrado tener una paciencia impresionante, ya que en ocasiones merodea dentro de los sistemas durante meses para localizar los activos más valiosos. 

Identificar y resolver de manera sistemática las vulnerabilidades de Active Directory es un paso esencial para protegerse de los ciberataques. Incluso los grupos altamente especializados, como las organizaciones de ransomware como servicio, prefieren seguir el camino fácil (cuando funciona) que tener que diseñar nuevas tácticas. Y, aunque el trabajo puede parecer largo y aburrido, es posible implementar unas buenas medidas de seguridad para AD fijando bien los objetivos y dedicando el tiempo y el esfuerzo necesarios.

Proteger a las organizaciones antes, durante y después de un ataque

El primer paso para defenderse de los ataques dirigidos contra el sistema de identidad es identificar y resolver las vulnerabilidades que constituyen el objetivo principal de los ciberatacantes. Las configuraciones que suponen un riesgo pueden acumularse con el paso del tiempo, sobre todo en el caso de las organizaciones consolidadas con sistemas tradicionales de Active Directory, lo que genera brechas de seguridad fácilmente aprovechables por los ciberdelincuentes.

Por ejemplo, algunos de los errores de configuración más habituales y de mayor riesgo de Active Directory están relacionados con los procesos de autenticación. Supongamos que una organización utiliza una aplicación que no está directamente integrada en AD, pero que dicha aplicación tiene que consultarle a AD cuáles son los usuarios activos. La manera más sencilla de facilitar este proceso es permitir el acceso anónimo a Active Directory. Sin embargo, si este ajuste se permite sin ningún control de mitigación, el perfil de riesgo de la organización aumenta sensiblemente. Este es solo uno de los muchos ejemplos de políticas de contraseñas poco estrictas que pueden abrir la puerta a los ciberatacantes.

Otorgar un exceso de permisos es otra práctica que al principio permite ahorrar tiempo o solucionar una necesidad considerada urgente de acceso a aplicaciones y servicios críticos para la empresa, pero que acaba generando unos puntos débiles de seguridad muy peligrosos. En demasiadas ocasiones, una vez concedido el acceso privilegiado, el caso se cierra y el acceso nunca se vuelve a revisar. Y con el tiempo, el número de permisos excesivos no para de crecer. No es nada raro que los entornos de AD tengan innecesariamente un gran número de administradores de dominio. Las cuentas de servicio con un exceso de permisos también suponen un riesgo elevado, porque sus contraseñas no suelen caducar y muchas de ellas son poco seguras.

Para identificar y resolver estos riesgos de seguridad, las organizaciones deben dedicar tiempo y recursos a evaluar los ajustes que suponen un peligro para la seguridad de AD. El análisis periódico de AD proporciona información sobre su posición de seguridad y reduce el riesgo de que no se detecten los cambios no autorizados o los errores de configuración.

Además de cerrar las brechas de seguridad de AD, las organizaciones encargadas de las infraestructuras públicas pueden implementar soluciones que supervisen continuamente el entorno en busca de cambios malintencionados. La capacidad para detectar a atacantes que se mueven de forma lateral a través de la red puede limitar significativamente el alcance de los daños. Por ejemplo, las vías de ataque pueden cerrarse antes de que los actores malintencionados desplieguen el malware. Y el establecimiento de un sistema de corrección automatizado puede ayudar a cortar un ataque en un momento en el que cada minuto que pasa es de vital importancia. Los ciberataques pueden infectar globalmente sistemas conectados en cuestión de minutos, por ello, la capacidad de revertir automáticamente los cambios malintencionados ayuda a contener sus efectos.

Si se produce un ciberataque, uno de los elementos clave para restablecer un servicio público es la capacidad de que Active Directory se recupere rápidamente y vuelva a un estado que se sabe que era seguro. Como cualquier administrador de TI puede confirmar, la reconstrucción de un bosque de AD es un proceso largo y laborioso, propenso a los errores. Y la reconstrucción de un bosque de AD cuando hay una situación de tensión debido a un ataque en curso es una auténtica pesadilla. Todas las organizaciones tienen que disponer de un plan totalmente probado y documentado para recuperar AD — el sistema que autentica y da acceso a todos los demás sistemas — en caso de que se produzca un ciberataque.

Garantizar que los servicios públicos están a salvo de los ciberataques

Las organizaciones encargadas de las infraestructuras públicas están en el punto de mira de los atacantes, pero pueden mejorar sus defensas incluso ante los ataques más avanzados. Si evalúan la postura de seguridad de su entorno de Active Directory, establecen un sistema de supervisión para detectar los cambios malintencionados y ponen en práctica un plan de recuperación de AD totalmente probado, estas organizaciones estarán en mejores condiciones de combatir los ataques y de seguir prestando unos servicios públicos que son vitales.

Nuno Antunes Ferreira, director para España y Portugal, Semperis