lolloj - Fotolia
Expertos sopesan el riesgo de ciberataques iraníes contra EE. UU.
Expertos en ciberseguridad evalúan los riesgos de posibles ataques cibernéticos entre naciones desde Irán luego de una advertencia del DHS y mayores tensiones entre el país y los EE. UU.
El Departamento de Seguridad Nacional (DHS, por las siglas en inglés de Department of Homeland Security) advirtió sobre potenciales ataques cibernéticos iraníes contra los EE. UU., y los expertos en seguridad evaluaron los riesgos que enfrentan las empresas.
En el boletín, publicado el sábado como parte del Sistema Nacional de Asesoramiento contra el Terrorismo, el DHS dijo que no había indicios de que los ataques de Irán fueran inminentes, pero señaló que el país y sus aliados «han demostrado la intención y la capacidad de realizar operaciones en los Estados Unidos». El boletín se publicó a raíz de la intensificación del conflicto militar con Irán.
«Irán mantiene un robusto programa cibernético y puede ejecutar ataques cibernéticos contra Estados Unidos. Irán es capaz, como mínimo, de realizar ataques con efectos disruptivos temporales contra infraestructura crítica en los Estados Unidos», escribió el DHS en el boletín. «Esté preparado para interrupciones cibernéticas, correos electrónicos sospechosos y retrasos en la red. Implemente prácticas básicas de higiene cibernética, como realizar copias de seguridad de datos y emplear la autenticación multifactor [MFA]».
En general, los expertos coincidieron en que existe una amenaza legítima de ataques cibernéticos iraníes contra entidades estadounidenses y muchos agregaron que si bien Irán tiene capacidades cibernéticas ofensivas, no se sabe que tengan capacidades en el nivel de Estados Unidos, China o Rusia.
Rick Holland, CISO y vicepresidente de estrategia en Digital Shadows en San Francisco, dijo que Irán ha demostrado la capacidad de causar daños con ataques cibernéticos.
«Las capacidades cibernéticas ofensivas iraníes han crecido significativamente desde los días de Stuxnet, que fue un catalizador para que el régimen iraní madurara sus capacidades», dijo Holland a SearchSecurity. «Si bien Irán no es tan maduro como Estados Unidos, Rusia o China, son capaces de causar daños. El malware destructivo o limpiador como el que Irán utilizó contra Saudi Aramco podría causar un daño significativo a sus objetivos».
Robert M. Lee, CEO y fundador de Dragos, dijo que Irán: «Ha estado aumentando constantemente sus capacidades y es agresivo y está dispuesto a ser lo más destructivo posible».
«Es poco probable que veamos problemas o escenarios generalizados como la interrupción de la energía eléctrica, pero es muy posible que veamos respuestas oportunistas a cualquier daño que crean que pueden infligir», dijo Lee a SearchSecurity. «Irán ha demostrado anteriormente ser oportunista en su objetivo de infraestructura con ataques de denegación de servicio contra bancos, así como tratando de obtener acceso a sistemas de control industrial en compañías eléctricas y de agua. Si bien es importante pensar dónde serían los objetivos estratégicos para ellos, es igual de relevante que puedan buscar a aquellos que son más inseguros para poder tener un efecto en lugar de un efecto mayor en un objetivo más difícil».
Alto valor de interrupción
Si bien el DHS no tenía claro a qué organizaciones Irán podría apuntar con las operaciones cibernéticas, algunos expertos tendieron a estar de acuerdo con Lee en que la infraestructura y los objetivos financieros serían más probables.
Jake Williams, fundador y presidente de Rendition Infosec en Augusta, Georgia, clasificó a Irán como «con capacidades moderadamente sofisticadas».
«No están a la par con Rusia o China, pero tampoco son niños codificando. Irán probablemente apuntará a la base industrial de defensa y a las instituciones financieras; básicamente, objetivos que tienen un alto valor de interrupción», dijo Williams a SearchSecurity. «Para una empresa, lo que hay que tener en cuenta son los DDoS y los primeros indicadores de compromiso para las organizaciones de base industrial de defensa. Por supuesto, Irán podría apuntar a otras verticales, pero consideramos que estos son los objetivos iniciales más probables».
Tom Kellermann, estratega jefe de seguridad cibernética de VMware Carbon Black, señaló que: «Los grupos patrocinados por Irán están constantemente investigando objetivos potenciales para detectar debilidades en su recolección de inteligencia».
«Cuando se les provoca, estos grupos también han demostrado con éxito ataques cibernéticos de represalia. Basado en un precedente histórico, Irán toma represalias con ataques destructivos contra organizaciones percibidas como amenazantes (por ejemplo, Sands Corporation), o atacan a las empresas para lograr un impacto económico: grandes empresas estadounidenses de servicios financieros (Operación Ababil) y Saudi Aramco son dos buenos ejemplos», dijo Kellermann a SearchSecurity por correo electrónico. «Creemos que los objetivos más probables de los ataques cibernéticos siguen siendo el gobierno de los Estados Unidos, los contratistas y las empresas asociadas involucradas en los intereses regionales de los Estados Unidos».
Sin embargo, Chris Morales, jefe de análisis de seguridad del vendedor de detección de amenazas Vectra en San José, California, dijo que «todos podrían estar en riesgo» de un ataque cibernético iraní.
«Si bien ciertas industrias fueron atacadas en el pasado por interrupciones o por robo de datos, no hay ninguna limitación sobre quién podría ser el blanco de un ataque asimétrico que involucra interrupción, dirección errónea y confusión», dijo Morales a SearchSecurity. «Anteriormente, los actores iraníes patrocinados por el estado robaron solo información básica, pero en los últimos años han estado construyendo campañas de espionaje a largo plazo. El riesgo aquí es que, en muchos casos, los actores iraníes persistan dentro de las redes y se convierta en un caso de identificar su presencia y quitarlos».
Holland dijo que el riesgo de ser blanco de Irán sería bajo para la mayoría de las organizaciones, pero las empresas deberían realizar modelos de amenazas preguntando:
- ¿Cómo se cruzan los intereses iraníes con su negocio?
- ¿Cómo se ha relacionado el enfoque/victimología iraní histórico con su empresa?
- ¿Cómo se compara la amenaza iraní contra su cadena de suministro?
Proteger su organización
Los expertos coincidieron en que ocuparse de lo básico es probablemente el mejor enfoque para defenderse contra posibles ataques cibernéticos iraníes.
El Dr. Chase Cunningham, analista principal al servicio de los profesionales de seguridad y riesgos de Forrester Research, sugirió que las empresas: «Arreglen las cosas fáciles: implementen MFA en todas partes; refuercen la defensa DDoS y aseguren que la seguridad del correo electrónico esté en su lugar. Aparte de eso, prepárense para el impacto y mantengan la conciencia de la situación».
Holland dijo que las empresas «no deberían tener que tomar medidas extraordinarias».
«Parche los sistemas operativos y las aplicaciones. Deshabilite las macros de Microsoft Office. Implemente la lista blanca de aplicaciones. Restrinja los privilegios de administrador. Deshabilite el protocolo de escritorio remoto externo», dijo Holland. «Habilite la autenticación multifactor para aplicaciones externas y usuarios privilegiados. Supervise los registros de dominios maliciosos relacionados con su organización».
Kellermann sugirió que las organizaciones «se tomen el tiempo para comprender las herramientas, tácticas y técnicas históricas de los grupos patrocinados por Irán».
«Estos grupos generalmente logran acceso inicial no autorizado a través de la reutilización de contraseñas, phishing y/o shells web», dijo Kellermann. «Ahora es un buen momento para revisar y mejorar los controles de seguridad para cada categoría de amenaza, así como la visibilidad de la actividad posterior al compromiso, como el uso de herramientas nativas de Windows».
Lee dijo que el mejor enfoque es que los profesionales de la seguridad cibernética «tengan un mayor sentido de conciencia y utilicen las inversiones que han hecho en las personas, los procesos y la tecnología».
«Para las empresas que aún no han realizado inversiones adecuadas en la ciberseguridad de sus negocios, no hay mucho que se pueda hacer rápidamente en situaciones como esta», dijo Lee. «Las empresas necesitan prepararse antes de estos momentos, y estos momentos y cualquier angustia que se sienta debe servir como una oportunidad para analizar internamente y determinar cuáles serían sus planes, especialmente para la respuesta a incidentes y la recuperación ante desastres».