La ciberseguridad de IoT en la era del ransomware

Si bien las copias de seguridad meticulosas y regulares del sistema y de los datos son cruciales para la recuperación, el daño de un ataque de ransomware puede ir mucho más allá de una operación de restauración.

El año pasado, Brasil ocupó la cuarta posición en el ránking de ataques de ransomware, de acuerdo con el Informe de amenazas cibernéticas de SonicWall 2022, subiendo cinco puestos desde el 2020, cuando recibió 3.800.000 ataques que lo ubicaron en noveno lugar. Esto revela el altísimo grado de vulnerabilidad del país ante este tipo de intentos de invasión.

Por su parte, Check Point publicó nuevos datos sobre las tendencias de los ciberataques en los últimos meses en los que se demuestra que la media global semanal de organizaciones afectadas por ransomware alcanza ya a 1 de cada 40. Esto supone un aumento del 59 % interanual (1 de cada 64 empresas en el segundo trimestre de 2021) a nivel global.

Para el caso de América Latina, la región experimentó el mayor aumento de ataques, con 1 de cada 23 organizaciones impactadas semanalmente, un aumento del 43 % interanual, en comparación con 1 de cada 33 en el segundo trimestre de 2021. Le sigue la región de Asia, que experimentó un aumento del 33 % año contra año, alcanzando 1 de cada 17 empresas impactadas semanalmente.

Estos ataques a más de 500 empresas en todo el mundo podrían ser resultado de únicamente ocho grupos de ransomware, según afirma una encuesta reciente de Kaspersky. No solo eso, sino que los ataques siguieron un método idéntico, mostrando una "estandarización" del ransomware como servicio (RaaS). En este tipo de ataque, los grupos maliciosos no realizan sus ataques directamente, sino que ofrecen el software malicioso a un tercero que contrata sus servicios.

En este escenario, parece que apuntar a la infraestructura crítica señala una nueva normalidad. Con el nivel de contramedidas de riesgo y la capacitación de concientización requerida en las instituciones públicas y privadas, desde la junta directiva hasta los empleados, la perspectiva de controlar rápidamente la situación parece sombría por una variedad de razones. Se deben anticipar más ataques, tanto desde el exterior, como desde dentro de las organizaciones en los próximos meses y años.

“Las amenazas internas (empleados maliciosos/descontentos) son reales sin controles de acceso basados en roles, separación dinámica de funciones y ceremonias de autorización de varias personas para la supervisión. Los desafíos para los operadores de redes y seguridad son empinados. La criptografía es el talón de Aquiles de la ciberseguridad, y los creadores de malware saben cómo convertir los métodos de cifrado en armas”, afirma Srinivas Kumar, vicepresidente de soluciones IoT en DigiCert.

Si bien las copias de seguridad meticulosas y regulares del sistema y de los datos son cruciales para la recuperación, el daño de un ataque de ransomware puede ir mucho más allá de una operación de restauración. La integridad de los dispositivos afectados requerirá un análisis forense extenso y costoso a escala en entornos de tecnología de operaciones.

Ataques a la cadena de suministro

De acuerdo con DigiCert, la detección, la prevención y el análisis forense forman una industria multimillonaria en la actualidad, pero los fabricantes de dispositivos todavía perciben el endurecimiento de los dispositivos y la protección de la cadena de suministro como un centro de costos, y no existe una regulación que motive la innovación. “La protección cibernética debe comenzar en la fábrica y persistir en el campo durante todo el ciclo de vida operativo del dispositivo. Los ciberataques tienen como objetivo los datos, no los usuarios”, señala la empresa. 

Las brechas ocurren porque los directores de seguridad de la información o CISO (Chief Information Security Officer, por sus siglas en inglés) están dispuestos a correr riesgos con listas de verificación obsoletas y controles centrados en la entrada para la defensa de múltiples capas en los que los atacantes están bien versados. Los atacantes poseen la voluntad y los recursos para evadir la detección, persistir, propagarse lateralmente y tomar el control de los sistemas.

Para DigiCert está muy claro que la inteligencia de amenazas de día cero es inadecuada y lograr el objetivo de una arquitectura de confianza cero, más allá de los eslóganes, requiere inversión y compromiso. “Si realmente está protegiendo sus dispositivos, ¿qué está tratando de detectar en su red? Si lleva un impermeable, ¿por qué necesita un paraguas? No puede solucionar un problema en el dispositivo con un parche en la red”, añade Kumar. 

Los fabricantes de dispositivos y su deber

La conexión de dispositivos desprotegidos agrava el problema. DigiCert señala que la industria casera del cibercrimen ha evolucionado a lo largo de los años hasta convertirse en una guerra cibernética estratégica por parte de actores del estado-nación y un sindicato del crimen cibernético que ha dominado el arte de capturar rehenes cibernéticos para obtener rescates y ganancias a gran escala.

Los kits para desarrolladores de software y las mesas de ayuda en la web oscura están empoderando a los operativos en todo el mundo, sin seguimiento y localización o acciones punitivas como disuasión. “Este es un llamado a la acción para que los fabricantes de dispositivos y los proveedores de servicios de seguridad administrados sean los primeros en responder y proteger el ciberespacio”, dice la empresa.

Kumar indica que, aunque la transformación digital ha sido una palabra de moda durante varios años, los CISO y los arquitectos de seguridad de productos han sido, lamentablemente, ineficaces a la hora de defender la causa de la transformación de dispositivos que iniciará el paso a la transformación digital. El ejecutivo refiere que, si bien los proveedores de conjuntos de chips de silicio han intensificado las innovaciones de seguridad, la cadena de confianza no ha logrado expandir de manera efectiva la pila a la plataforma del dispositivo, las aplicaciones de línea de negocios y el ecosistema de la cadena de suministro de servicios cibervulnerables.

“Proteger el tejido cibernético de las puertas de enlace de borde definidas por software y la pluralidad de dispositivos brownfield y greenfield conectados requerirá un esfuerzo colaborativo y entusiasta con asociaciones estratégicas entre innovadores y líderes de pensamiento en la industria de dispositivos”, finaliza el vicepresidente de soluciones IoT en DigiCert.

DigiCert explica que, en términos simples, el ransomware es un ataque bajo y lento que funciona como un veneno de acción rápida una vez ejecutado. Los ciberdelincuentes han dominado las técnicas para diseñar malware avanzado, entregar la carga útil de veneno” evadiendo el perímetro de la red y los métodos de detección y prevención de puntos finales. Los ciberdelincuentes saben explotar la psicología del usuario y la falta de controles de protección en tecnología de la información, internet de las cosas (IoT) y dispositivos IoT industriales.

Entre los objetivos que los hackers siempre tienen en la mira están:

  • Contraseñas descifradas de un contratista o empleado crédulo;
  • Servidores oscuros e inseguros en la red con cuentas de servicio o de usuario de dominio desprotegidas;
  • Acceso remoto a través de VPN a través de la red o el sistema de un proveedor de la cadena de suministro comprometido;
  • Capacidades de firewall inadecuadas para bloquear comandos cifrados y balizas de control (mensajes de marcación inofensivos).

[Recuadro]

Investigue más sobre Gestión de la seguridad