Entre los últimos ciberataques a nivel global encontramos el de ransomware relacionado con Colonial Pipeline. Finalmente, el FBI pudo rescatar 2,3 millones de dólares (63,7 bitcoins). Este tipo de sucesos deparan algunos augurios que radican en la fortuna que han podido tener los grupos cibercriminales frente a toda esta temática de eventos.
Ciberataques a infraestructuras críticas
Y en razón a la causa de estas situaciones, EEUU está viviendo la ejecución de tareas sistemáticas contra los diferentes sectores relacionados con los suministros. Entre ellos, tecnológico (SolarWinds), energético (Colonial Pipeline) y, el más reciente, alimentario (JBS).
No es coincidencia que los ciberataques relacionados con las fuentes de suministro puedan generar un cierto grado de impacto. Más aún cuando se han venido coordinando con antelación y premeditación. Y esto sucede al momento de analizar las diferentes amenazas avanzadas persistentes (APT, por sus siglas en inglés) que pueden afectar o impactar a las infraestructuras críticas.
Mecanismos y autores de los ciberataques
Los esquemas de oportunidad, de interacción con los sistemas afectados, son algunos de los mecanismos que posee este tipo de ataques silenciosos. En ellos se vinculan elementos de envenenamiento de sistemas, los cuales tienen atributos para generar un alto ruido en la organización.
La utilización de malware embebido en troyanos, como Sunburst, Teardrop o NativeZone, diseñados para atacar a cadenas de suministro, reflejan la experiencia en poder contener elementos que pueden afectar a sistemas por medio de campañas dirigidas desde grupos y actores criminales. Entre ellos, Nobelium, recientemente considerado por el centro de inteligencia de amenazas de Microsoft como uno de los responsables del ataque a SolarWinds.
El hilo conductor de estos ciberataques todavía continúa vigente. El ataque a Colonial Pipeline tiene que ver con elementos de ransomware orientados mediante una APT que ya persistía en el sistema informático. Tras este conocimiento, el FBI decidió tomar cartas en el asunto y declarar la emergencia nacional cibernética ante el impacto generado a la infraestructura energética estadounidense. Y se conoció que el autor detrás de este ataque era DarkSide. Hasta la fecha, EEUU no había vivido este tipo de colapsos.
Ante este panorama, bastantes situaciones bordean las decisiones de EEUU frente a Rusia. El pasado mes de abril, el Departamento del Tesoro prohibió a las instituciones financieras participar en el mercado primario de bonos –denominados rublos–. Y también los préstamos a algunas empresas rusas proveedoras de tecnología a servicios de inteligencia.
Por si fuera poco, en el actual contexto de ciberataques aparece REvil/Sodinokibi, autor de ciberataques a Apple, Jack Daniels, Travelex y, en Latinoamérica, el Banco de Chile y Telecom (Argentina).
La importancia de los equipos CERT/CSIRT
Por todo lo expuesto, los equipos de respuesta a emergencias informáticas o computacionales (CERT o CSIRT, por sus siglas en inglés) son más importantes que nunca. Dentro de ellos se deben crear sinergias de discusión sobre los planes, las políticas y los lineamientos de mitigación a cadenas de suministro para poder elaborar documentos de retrospectiva y orientados realmente a la contención de las APT.
Del mismo modo, es preciso evitar el juicio a priori de mitigación inmediata, ya que estos movimientos estratégicos también pueden ser orientados a diferentes regiones de Latinoamérica.