Por qué la colaboración público-privada es vital para proteger las infraestructuras críticas de las ciberamenazas

Los ciberataques a la cadena de suministro han proliferado en los últimos meses, afectando a un gran número de organismos gubernamentales, fuerzas de seguridad, empresas y universidades de Estados Unidos y Europa.

Un ejemplo destacado de este tipo de ciberataques fue la explotación de una vulnerabilidad de día cero en el software de transferencia de archivos MOVEit, muy utilizado por las organizaciones para intercambiar datos, a fines de mayo.

Este ciberataque fue liderado por el grupo cibercriminal de habla rusa Clop o Cl0p, conocido por campañas de ransomware-as-a-service a gran escala. El grupo de piratas informáticos, operativo desde febrero de 2019, tiene como objetivo más de 3000 organizaciones con sede en Estados Unidos y 8000 organizaciones en todo el mundo.

A pesar de la detención de algunos miembros del grupo en Ucrania en 2021, coordinada por Interpol, este ciberataque demuestró que los afiliados al grupo siguen operativos y son peligrosos.

El 7 de junio, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) publicó un aviso conjunto sobre ciberseguridad con la Oficina Federal de Investigación (FBI), y anunció que estaba prestando apoyo a varias agencias federales que habían sufrido ataques.

El Departamento de Energía y la Administración Nacional de Seguridad Nuclear fueron algunos de los organismos estadounidenses afectados. Otras víctimas del sector público son el fondo público de pensiones de California, la Universidad de California en Los Ángeles, el Departamento de Educación de Minnesota, el sistema de escuelas públicas de Nueva York, el regulador de comunicaciones británico Ofcom y el gobierno de la provincia canadiense de Nueva Escocia, mientras que entre las empresas afectadas figuran Siemens Energy, Schneider Electric, Shell, BBC y British Airways.

El grupo de hackers publica los nombres de las víctimas en su página web oscura, junto con instrucciones sobre cómo proceder en las negociaciones de extorsión, y amenaza con publicar los datos robados si no se paga el rescate.

A lo largo de los años, Clop ha exigido rescates de cientos de miles, a veces millones de dólares. Sin embargo, el grupo de hackers ha afirmado supuestamente dirigirse únicamente a empresas privadas asegura y que borrará cualquier dato de gobiernos o fuerzas de seguridad.

En Europa, la agencia de control del tráfico aéreo Eurocontrol fue atacada por el grupo de piratas informáticos Killnet el pasado mes de abril. Los ciberdelincuentes lanzaron un ataque de denegación de servicio distribuido (DDoS), que causó interrupciones en el sitio web pero afortunadamente no tuvo impacto en la aviación europea.

Killnet es un grupo de piratas informáticos pro-Moscú famoso por sus ataques de denegación de servicio. El grupo también reivindicó el ciberataque contra los servicios públicos de Lituania el 26 de junio, en respuesta a la decisión del gobierno de bloquear el tránsito de ciertas mercancías al enclave ruso de Kaliningrado.

Asimismo, a finales de junio, los sitios web del Ayuntamiento de Luxemburgo y del Banco Europeo de Inversiones (BEI) sufrieron un ciberataque DDoS que los dejó fuera de servicio durante varias horas.

Killnet y otros dos grupos de ciberdelincuentes habían advertido previamente de próximos ataques contra el sistema bancario europeo en canales de Telegram. Sin embargo, la única secuela cibernética fue la interrupción temporal del sitio web del BEI.

Las agencias gubernamentales suizas y las oficinas cantonales también fueron blanco de una serie de ataques en mayo y junio. El 12 de junio, el sitio web del gobierno federal suizo fue derribado por un ataque DDoS, lanzado por el grupo de hackers NoName, supuestamente en represalia por la adopción por Suiza de las sanciones de la UE contra Rusia.

Del mismo modo, una semana antes del discurso parlamentario del presidente ucraniano Volodymyr Zelenskyy, el sitio web del Parlamento suizo sufrió un ataque DDoS, revendicado por el mismo grupo de piratas informáticos NoName en los canales de Telegram.

El sector público suizo también se vio afectado por un ataque a la cadena de suministro a mediados de mayo. Un proveedor de software del gobierno suizo fue víctima de un ataque de ransomware atribuido al grupo de hackers Play.

La brecha afectó a la Oficina Federal de Policía del país, a la Oficina Federal de Aduanas y Protección de Fronteras, así como a los Ferrocarriles Federales Suizos y a algunas autoridades cantonales. El Centro Nacional Suizo de Ciberseguridad ha confirmado que los datos robados incluyen datos operativos de diversas autoridades y organizaciones suizas.

En respuesta, el Consejo Federal ha formado un equipo de crisis para gestionar la investigación del ransomware y revisar los contratos actuales con los proveedores de servicios informáticos de la administración federal, con el fin de aumentar la ciberseguridad.

Este último incidente que ha afectado a Suiza, junto con el ataque del ransomware MOVEit, pone de relieve los riesgos de ciberseguridad asociados a terceros y las posibles implicaciones para el sector público.

La ciberdelincuencia es transnacional por naturaleza, y los vínculos de los ciberdelincuentes con las entidades gubernamentales son a menudo nebulosos. Sin embargo, las tensiones geopolíticas tras la guerra de Rusia contra Ucrania han aumentado los riesgos para las infraestructuras críticas y su cadena de suministro.

La Unión Europea (UE) y la Organización del Tratado del Atlántico Norte (OTAN) han intensificado su cooperación con la puesta en marcha del Grupo Operativo UE-OTAN sobre resiliencia de las infraestructuras críticas, centrado en la energía, el transporte, las infraestructuras digitales y el espacio.

La nueva estrategia nacional de ciberseguridad de Estados Unidos también hace hincapié en la necesidad de proteger las infraestructuras críticas y de desarticular y desmantelar a los actores de las amenazas mediante la integración de las actividades federales de desarticulación y la mejora de la colaboración operativa entre los sectores público y privado.

Algunos ejemplos incluyen la operación policial internacional Cookie Monster en abril de 2023, que llevó al desmantelamiento del mayor foro ilícito de ciberdelincuencia conocido como Genesis Market; la desarticulación del FBI contra el grupo de ransomware Hive hecha pública en enero de 2023, y más recientemente el desmantelamiento por los Cinco Ojos de la red de malware y robo de datos Snake, utilizada en campañas de espionaje por el Servicio Federal de Seguridad de Rusia en mayo de 2023.

En un ecosistema tecnológico cada vez más complejo e interconectado, las infraestructuras críticas están expuestas a diversas amenazas cibernéticas. Para mitigar los riesgos sistémicos y avanzar en la resiliencia cibernética en sectores críticos como la aviación, la industria manufacturera, el petróleo y el gas y la electricidad, el Centro de Ciberseguridad del Foro Económico Mundial está movilizando a una comunidad de múltiples partes interesadas entre las empresas, los gobiernos, la sociedad civil y el mundo académico.

Como resultado de estas iniciativas intersectoriales centradas en la industria, el Foro Económico Mundial ha establecido un plan para evaluar el riesgo cibernético en la industria del petróleo y el gas.

Además, en 2021, a petición de la Dirección de Energía de la Comisión Europea, la iniciativa sobre ciberresiliencia en la electricidad presentó 15 recomendaciones sobre las directivas de ciberseguridad de la UE NIS 2.0 (Seguridad de las Redes y de la Información) y CER (Resiliencia de las Entidades Críticas).

Además de los esfuerzos para reforzar la ciberresiliencia en infraestructuras críticas, el Foro Económico Mundial también lidera la Asociación contra la Ciberdelincuencia. Desde 2020, la iniciativa reúne a fuerzas de seguridad, organizaciones internacionales, empresas de ciberseguridad, proveedores de servicios y organizaciones sin ánimo de lucro para desarticular la ciberdelincuencia.

En un esfuerzo por hacer frente a los crecientes niveles de ciberdelincuencia, en la Reunión Anual 2023 celebrada en Davos en enero, el Centro de Ciberseguridad lanzó el Atlas de la Ciberdelincuencia, con el apoyo de Fortinet, Microsoft, PayPal y Santander.

Esta nueva iniciativa hará un mapeo del panorama de las amenazas y creará un repositorio de ciberdelincuencia basado en datos públicos e información compartida voluntariamente, para ayudar a las agencias de investigación y organismos policiales a combatir la ciberdelincuencia con mayor eficacia.