Nota del editor: Este artículo es parte de una serie que analiza los ciberataques relacionados con la guerra entre Rusia y Ucrania. Los otros artículos son una mirada histórica a lo largo de 15 años del comportamiento de los ciberataques rusos durante tiempos de conflicto, consejos sobre cómo proteger a su organización de posibles ataques y una cronología actualizada de las amenazas cibernéticas relacionadas con la invasión de Rusia a Ucrania.
La advertencia presidencial
El lunes 21 de marzo, la Casa Blanca emitió una advertencia de que la inteligencia de EE. UU. ha estado detectando una mayor actividad de atacantes respaldados por el estado ruso que intentan comprometer la infraestructura occidental.
El presidente Biden tuiteó: “Anteriormente advertí sobre la posibilidad de que Rusia pudiera realizar actividades cibernéticas maliciosas contra los EE. UU. Hoy, estoy reiterando esas advertencias basadas en inteligencia de que el gobierno ruso está explorando opciones para posibles ataques cibernéticos”.
Además de una declaración de la Casa Blanca que proporcionó comentarios del presidente, la Casa Blanca también publicó una “HOJA DE DATOS” con consejos para organizaciones, especialmente operadores de infraestructura crítica.
Muchos investigadores y expertos en ciber-seguridad se han preocupado por una calma antes de la tormenta en el ciberespacio relacionada con la guerra entre Rusia y Ucrania, así que analicemos esto y tratemos de asegurarnos de que entendemos el mensaje que envía la Casa Blanca.
Las indicaciones de la hoja de datos
Los consejos de la hoja de datos son acertados. Les dice a las organizaciones que hagan exactamente lo que los expertos e investigadores han estado predicando desde hace algún tiempo. Lo que es especialmente bienvenido es que la declaración no solo enumera las tecnologías y políticas de seguridad más importantes para una defensa eficaz, sino que también incluye cosas que las “empresas de tecnología y software” deben hacer para tener una base segura sobre la cual se construyan las aplicaciones.
La declaración política
Sin embargo, la declaración del presidente no es tan precisa. Estados Unidos tiene inteligencia sobre la actividad rusa, pero parece no estar dispuesto a compartir demasiado con el público.
La asesora de ciberseguridad de la Casa Blanca, Ann Neuberger, participó en una conferencia de prensa el lunes por la tarde respondiendo preguntas de la prensa.
Neuberger reiteró que no había una amenaza específica, pero también reconoció que el FBI y la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) habían realizado sesiones informativas clasificadas con alrededor de 100 organizaciones que pensaban que podrían estar en mayor riesgo. En general, la implicación fue que la inteligencia de EE. UU. ha observado una gran cantidad de actividades de reconocimiento de actores rusos conocidos, que indican que pueden estar buscando acceso a redes estadounidenses.
La nueva fase del ciber-conflicto
El avance terrestre se ha estancado ya que los ucranianos se mantienen firmes y Rusia parece estar sufriendo grandes pérdidas por cada pequeño logro. Las sanciones están comenzando a doler y, como resultado, es posible que veamos a Rusia y grupos afines tratando de causar represalias contra quienes creen han impuesto este costo a su economía.
Cuando digo grupos afines, me refiero a todos. El problema aquí es qué, además del Ejército de TI ucraniano y Anonymous, que apoyan a Ucrania, también tenemos patriotas rusos y grupos criminales como Conti que pueden lanzarse al ruedo. Esto enturbia las aguas y hace que la “niebla de la ciber-guerra” sea aún peor de lo que ya ha sido.
Protección pobre
Lo peor de todo es estado de las defensas en organizaciones privadas no reguladas en general. Todos los días en Sophos recibimos llamadas de emergencia para ayudar a empresas atacadas que solo han protegido algunos de sus activos, mantienen pocos o ningún registro, llevan meses, si no años, desactualizados en parchear sus sistemas y tienen acceso remoto abierto a Internet con autenticación de un solo factor.
La buena noticia es que la CISA ha estado trabajando con operadores privados de infraestructura crítica para mejorar la situación, pero es un viaje largo y lento. Los más grandes parecen estar en condiciones aceptables, pero la seguridad estatal y municipal es tan mala o peor que la de las empresas del sector privado.
Existe un riesgo significativo si las cosas se intensifican y todos debemos hacer nuestra parte. La Casa Blanca no hace este tipo de declaraciones todos los días, por lo que claramente estamos en tiempos extraordinarios. El momento de mejorar nuestra postura de ciber-seguridad fue ayer, pero eso no significa que sea demasiado tarde o que no debamos intentarlo.
Acciones urgentes
Evalúe su organización con la lista de la hoja de datos y vea si tiene todas esas áreas cubiertas. Si no está seguro de por dónde empezar, trabaje con sus proveedores de seguridad para que le ayuden a priorizar los cambios más significativos que puede realizar de manera oportuna para que sea más fuerte mañana de lo que es hoy. Si cree que está en alto riesgo sería un momento adecuado para obtener servicios gestionados de respuesta a incidentes para ayudarlo a lidiar con un ataque activo.
El mejor momento para prepararse para un incidente es ahora. No es común que el presidente de EE. UU. esté lo suficientemente preocupado por un riesgo de ciber-seguridad como para mencionarlo personalmente. Al final, no importa si sus adversarios son espías rusos, delincuentes de ransomware o vigilantes bienintencionados, el consejo es el mismo, es el momento de levantar los escudos.