La advertencia del presidente
El lunes 21 de marzo, la Casa Blanca advirtió que los servicios de inteligencia de Estados Unidos han detectado un aumento de la actividad de los atacantes rusos respaldados por el Estado con la intención de comprometer la infraestructura occidental.
El presidente Biden tuiteó: “He advertido anteriormente sobre la posibilidad de que Rusia pueda llevar a cabo actividades cibernéticas maliciosas contra los EEUU. Hoy, reitero esas advertencias basadas en información de que el Gobierno ruso está explorando opciones para posibles ciberataques”.
Además de la declaración de la Casa Blanca, en la que se recogen los comentarios del Presidente, la Casa Blanca también publicó una “hoja informativa” con consejos para las organizaciones, especialmente para los operadores de infraestructuras críticas.
Muchos investigadores de seguridad y expertos en ciberseguridad han estado preocupados por la calma que precede a la tormenta en el ciberespacio relacionada con la guerra entre Rusia y Ucrania, así que vamos analizar esto y tratar de estar seguros de que entendemos el mensaje que envía la Casa Blanca.
La hoja informativa
El consejo de la hoja informativa es acertado. Indica a las organizaciones que hagan lo que los expertos e investigadores han estado predicando desde hace tiempo. Lo que se agradece especialmente es que la declaración no sólo enumera las tecnologías y políticas de seguridad más importantes para una defensa eficaz, sino que incluye cosas que las “empresas de tecnología y software” deben hacer para tener una base segura sobre la que construir sus aplicaciones.
La declaración política
La declaración del Presidente, sin embargo, se parece más a la lectura de las hojas de té. Estados Unidos dispone de información de inteligencia sobre la actividad rusa, pero no parece dispuesto a compartirla con el público.
La asesora de ciberseguridad de la Casa Blanca, Ann Neuberger, participó en una rueda de prensa el lunes por la tarde respondiendo a las preguntas de la prensa.
Neuberger reiteró que no había ninguna amenaza específica, pero también reconoció que el FBI y la CISA (Agencia de Ciberseguridad y Seguridad de las Infraestructuras) habían celebrado reuniones informativas clasificadas con unas 100 organizaciones que consideraban que podían estar en mayor riesgo. En general, la idea fue que la inteligencia estadounidense cree que ha observado una gran cantidad de exploración y escaneo de activos rusos conocidos que indican que pueden estar buscando acceso a más redes estadounidenses.
Por desgracia, es probable que esto indique una “próxima fase” en esta guerra.
La siguiente fase del ciberconflicto
El avance por tierra está estancado, ya que los ucranianos mantienen su terreno y Rusia parece estar sufriendo grandes pérdidas por cada pequeño avance. Las sanciones están empezando a doler y como resultado podemos ver a Rusia y a los grupos afiliados tratar de causar dolor de represalia contra aquellos que ellos creen que han impuesto este coste a su economía.
Cuando digo grupos afiliados, me refiero a todos y sus conocidos. El problema aquí es que, además del Ejército Ucraniano de TI y de Anonymous, que propugnan el apoyo a Ucrania, también tenemos a los patriotas rusos y a los grupos criminales como Conti que pueden entrar en juego. Esto enturbia las aguas haciendo que la “niebla de la ciberguerra” sea aún peor de lo que ya ha sido.
Mal protegidos
Peor es el pésimo estado de las defensas de seguridad en las organizaciones privadas no reguladas en general. Todos los días asistimos a empresas que sólo han protegido algunos de sus activos, que guardan pocos registros, si es que los guardan, que llevan meses, si no años, de retraso en la aplicación de parches a sus sistemas y que tienen acceso remoto abierto a Internet con autenticación de un solo factor.
La buena noticia es que CISA ha estado trabajando con infraestructuras críticas operadas por el sector privado para mejorar la situación, pero es un camino largo y lento. Las más grandes y críticas parecen estar en forma satisfactoria, pero la seguridad estatal y municipal es tan mala o peor que la de las empresas del sector privado.
Existe un riesgo importante si la situación se agrava y todos debemos poner de nuestra parte. La Casa Blanca no hace este tipo de declaraciones todos los días, por lo que es evidente que estamos en tiempos extraordinarios. El momento de mejorar nuestro juego fue ayer, pero eso no significa que sea demasiado tarde o que no debamos esforzarnos.
Medidas urgentes
Evalúa tu organización comparándola con la lista de la hoja informativa y asegúrate de tener todas estas áreas cubiertas. Si no estás seguro de por dónde empezar, trabaja con tus proveedores de seguridad para que te ayuden a priorizar los cambios más significativos que pueden realizar de forma oportuna para asegurarse de que mañana serás más fuerte que hoy. Si crees que corres un riesgo alto, ahora sería un momento adecuado para contratar servicios que te ayuden a hacer frente a un incidente, si es que aún no tienes estos servicios en tu plan de respuesta a incidentes.
El mejor momento para prepararse para un incidente es ahora. Es raro que el Presidente de los Estados Unidos se preocupe lo suficiente por un riesgo de seguridad como para mencionar personalmente algo en lo que participas. Al final, no importa si tu adversario es un espía ruso, un delincuente de ransomware o un justiciero de bien, el consejo es el mismo al final. Es la hora de protegerse.