¿Podemos quedarnos sin electricidad o agua? Así son los ciberataques contra infraestructuras críticas
Tabla de contenidos
Los ciberataques contra infraestructuras críticas se han convertido en una de las grandes amenazas actuales por sus graves consecuencias económicas y sociales
En la navidad de 2015, miles de ucranianos se quedaron sin luz. Un grupo de amenazas persistentes avanzadas (APT), vinculado al estado ruso empleó el malware BlackEnergy para atacar a tres compañías eléctricas y provocar apagones en las regiones occidentales del país. Casi 10 años después de este incidente, los ciberataques contra infraestructuras críticas se han convertido en una amenaza de gran envergadura para las democracias occidentales y las compañías que operan en sectores como el eléctrico o el suministro de agua.
Por ejemplo, en los últimos meses, un ciberataque dejó sin agua a una región de Irlanda durante dos días y en otro incidente de seguridad los actores hostiles lograron comprometer el sistema de control industrial (ICS) de una estación de agua en Pennsylvania (Estados Unidos). Ambos ciberataques contra infraestructuras críticas fueron obra de Cyber Av3ngers, un grupo de ciberdelincuentes financiado por Irán, que argumenta haber atacado a una decena de estaciones de tratamiento de agua israelíes, aunque no existe constancia de que pudieran afectar a ningún sistema.
A ello debemos sumar que Sandworm, una unidad de ciberdelincuencia asociada a la inteligencia rusa, ha causado múltiples apagones eléctricos en Ucrania desde el inicio de la invasión rusa.
Estos casos recientes evidencian que los ciberataques contra infraestructuras críticas son empleados para menoscabar el funcionamiento de los estados occidentales por parte de naciones como Irán, Rusia, Corea del Norte o China; y como arma dentro de conflictos bélicos (Rusia-Ucrania; Israel-Hamás).
Por eso, las autoridades públicas de Estados Unidos, Reino Unido y la Unión Europea han alertado a las compañías energéticas y de tratamiento y suministro de agua sobre la necesidad de que dispongan de servicios de ciberseguridad avanzados para mejorar su resiliencia frente a ciberataques contra infraestructuras críticas.
ICS y dispositivos IIoT: Elementos críticos de la ciberseguridad de las empresas
Los sistemas de control industrial han supuesto una revolución para las industrias de todo el mundo, porque les permiten incrementar su productividad y rentabilidad y controlar todos los procesos industriales. A ello debemos sumar la robotización y la expansión de los dispositivos inteligentes en las compañías que desarrollan actividades industriales, así como la incorporación de dispositivos IoT como contadores de luz o agua inteligentes.
Así como las ventajas económicas y productivas de los ICS son evidentes, también resulta fácil constatar que el aumento de la infraestructura tecnológica de las compañías conlleva un incremento de su ciberexposición.
Mediante ICS las empresas que producen y/o distribuyen electricidad pueden regular el suministro de energía y las suministradoras de agua pueden regular la presión, gestionar las reservas, monitorizar el estado del agua o controlar su distribución.
Por eso, los ciberataques contra infraestructuras críticas buscan menoscabar el funcionamiento de los sistemas ICS, manipularlo e, incluso, interrumpirlo. Sin contar con que algunos ataques pueden tener como objetivo robar propiedad industrial y conseguir información confidencial sobre el funcionamiento de un ICS.
La importancia de incrementar las medidas de seguridad que protegen a los ICS se ha traducido en que el framework MITRE ATT&CK, un estándar global a la hora de comprender las tácticas, técnicas y procedimientos (TTPs) de los actores maliciosos, dispone de una matriz específica para los sistemas ICS, y en marcos regulatorios para industrias como la Cyber Resilience Act o la directiva NIS2 en Europa.
La cadena de suministro en el ojo del huracán
Como resulta evidente, muchas compañías que emplean ICS no los desarrollan, sino que se tratan de sistemas propiedad de compañías especializadas en el desarrollo de este tipo de tecnología avanzada.
Por ejemplo, en el incidente de seguridad que afectó a una compañía de aguas de Pennsylvania, el grupo delictivo iraní tenía como objetivo un controlador lógico programable (PLC) que empleaba la compañía pero que había sido desarrollado por la compañía israelí Unitronics. De tal forma que el ataque no buscaba, solo, dañar a una compañía y a los ciudadanos de una zona de Estados Unidos, sino también la reputación de una notable empresa israelí en un contexto de enfrentamiento entre Irán e Israel.
La cadena de suministro de software también ha sido esencial en uno de los últimos ciberataques contra empresas de sectores críticos. A mediados de abril de 2024, la Cybersecurity & Infraestructure Security Agency (CISA), anunció que estaba trabajando en la respuesta a un incidente de seguridad que afectó a Sisense, una compañía que provee servicios de analítica de datos a empresas que operan infraestructuras críticas.
Asimismo, el año pasado se hizo público que un grupo criminal norcoreano puso en marcha un ataque de cadena de suministro alterando un software legítimo (X_Trader) para convertirlo en un troyano e infectar con él a diversas empresas, incluidas dos compañías energéticas de Estados Unidos y Europa.
Y los últimos ataques de cadena de suministro a Snowflake o Ciclogreen no hacen sino agravar esta tendencia.
Ataques de ransomware contra compañías energéticas y de aguas
Más allá de los ciberataques contra infraestructuras críticas, las empresas de generación y distribución de energía y las compañías que gestionan tanto el agua potable como las aguas residuales tienen que hacer frente a una de las grandes amenazas de esta era: los ataques de ransomware.
A comienzos de año, la compañía británica de aguas, Southern Water, sufrió una brecha de datos como consecuencia de un ataque de ransomware.
Mediante este incidente sufrido por una compañía con 5 millones de clientes, el grupo de ransomware Black Basta afirma haber sustraído 750 gigas de documentos que incluyen datos personales e información corporativa confidencial.
Los datos sustraídos pueden comercializarse en la Dark Web o emplearse para lanzar futuros ataques contra los clientes de la compañía, pero también contra sus profesionales de cara a lograr acceder a sistemas que controlan infraestructuras críticas. De ahí que los ataques de ransomware puedan suponer un gran riesgo para las empresas que desarrollan sus actividades en sectores extremadamente sensibles.
Las consecuencias de los ciberataques contra infraestructuras críticas
En función del nivel de gravedad, los sistemas afectados y la duración de los incidentes, los ciberataques contra infraestructuras críticas pueden afectar de diversa manera tanto a las compañías energéticas y de agua, como a las empresas que desarrollan software y dispositivos industriales. Y, en última instancia, a las empresas, ciudadanos y administraciones públicas que dependen del suministro de electricidad y agua para poder trabajar y vivir.
Daños económicos y reputacionales para las compañías
Ante el creciente temor a que los ciberataques contra infraestructuras críticas se expandan, Moody’s, una de las agencias crediticias más importantes del mundo, ha alertado de las consecuencias que pueden tener estos incidentes para la solvencia de las compañías de suministro de agua.
Los ciberataques contra infraestructuras críticas pueden generar pérdidas económicas incalculables para las empresas en caso de que sus servicios se vean interrumpidos. Además, los daños reputacionales pueden resultar irreparables y mermar la posición de una compañía en el mercado.
Si los ciberataques no solo paralizan las actividades de las empresas, sino que destruyen infraestructuras esenciales, pueden llegar a provocar la desaparición de organizaciones.
Amenazar la continuidad de negocio de todo el tejido productivo
Precisamente, los ciberataques contra infraestructuras críticas amenazan de forma directa la continuidad de negocio de las empresas.
Si para cualquier compañía es esencial proteger la continuidad de negocio es esencial, para las empresas energéticas o que se dedican al tratamiento y suministro de agua es aún más importante. ¿Por qué? Si la distribución de energía o agua se ve afectada, la continuidad de negocio de sus clientes estará en peligro. Hoy en día, prácticamente ninguna empresa puede funcionar sin electricidad y el agua es esencial para sectores como el alimentario.
Impacto negativo en la salud y la integridad de las personas
En los peores escenarios, los ciberataques contra infraestructuras críticas pueden dañar directamente la salud y el bienestar de las personas:
- Trabajadores de las compañías que sufren lesiones por el funcionamiento incorrecto de los equipamientos tecnológicos atacados.
- Pacientes de hospitales y centros médicos que dejan de estar operativos como consecuencia de apagones eléctricos.
- Ciudadanos que consumen agua contaminada como consecuencia de un ataque.
Estas son solo tres casuísticas que nos permiten observar lo dañinos que pueden resultar los ciberataques contra infraestructuras críticas como la red eléctrica o la red de aguas.
La directiva NIS2: Mejorar la resiliencia de los sectores críticos
Señalábamos antes que las instituciones públicas han alertado a las compañías sobre los riesgos de los ciberataques contra infraestructuras críticas, pero en la Unión Europea se ha ido un paso más allá.
Tanto la directiva NIS, como su actualización, la directiva NIS2 establecen una serie de requisitos en materia de ciberseguridad a las empresas de sectores críticos. Entre dichos sectores se encuentran:
- El suministro de agua.
- La energía.
- Los proveedores de servicios digitales.
- Las aguas residuales.
La directiva NIS2, aprobada a principios de 2023, deberá ser transpuesta al ordenamiento interno de los estados miembros durante este año para comenzar a surtir efecto en 2025, incluyendo el régimen sancionador de los incumplimientos.
La normativa establece que las empresas que operan en estos sectores deben optimizar la gestión de riesgos de ciberseguridad, lo que incluye medidas concretas como:
- Proteger la continuidad de negocio.
- Fortalecer la seguridad de la cadena de suministro.
- Realizar auditorías de seguridad y pentesting.
- Notificar de los incidentes a las autoridades en menos de 24 horas.
Las compañías que incumplan estas obligaciones se enfrentarán a sanciones administrativas que pueden llegar a los 10 millones de euros o al 2% del volumen de negocio mundial de la empresa infractora, si bien deben ser los estados los que configuren el modelo sancionador partiendo de estas referencias.
Actores hostiles sustentados por estados
Más allá de la gravedad de las consecuencias de los ciberataques contra infraestructuras críticas debemos tener en cuenta otro elemento de vital importancia: los grupos delictivos detrás de esta clase de amenazas.
Como hemos podido ver a lo largo de los ejemplos que hemos listado en este artículo, los actores hostiles que llevan a cabo los ciberataques contra infraestructuras críticas son grupos que:
- Lanzan ataques dirigidos contra compañías, sistemas e infraestructuras concretas.
- Disponen de los recursos y los conocimientos para desarrollar amenazas persistentes avanzadas gracias a que cuentan con el apoyo de estados.
- Sus objetivos no son puramente económicos, sino que en muchos casos su misión es geoestratégica y buscan dañar a las empresas, las instituciones y la ciudadanía de los estados que tienen en su punto de mira: los países europeos, Estados Unidos, Reino Unido, Israel, Canadá, Australia…
- Sus tácticas, técnicas y procedimientos son muy sofisticados, lo que dificulta la prevención, detección y respuesta.
Cómo protegerse frente a los ciberataques contra infraestructuras críticas
Para combatir a estos actores hostiles, las compañías energéticas y de agua, así como las empresas que desarrollan software y dispositivos industriales pueden:
- Desarrollar de forma segura software y dispositivos desde el diseño y a lo largo de su ciclo de vida. Para lo que resulta esencial realizar auditorías de código fuente, listar los componentes de software, analizar las librerías y evaluar de manera constante el software para detectar vulnerabilidades y mitigarlas.
- Realizar un seguimiento continuo de la cadena de suministro en aras de identificar eventuales vulnerabilidades que puedan ser explotadas contra infraestructuras críticas, así como monitorizar los incidentes y brechas de seguridad vinculados a estas organizaciones. En este sentido juegan un papel clave los servicios de Threat Intelligence.
- Servicios de Threat Hunting y Red Team para mejorar la resiliencia frente a las APT detectando las TTPs de los grupos delictivos para anticiparse a ellos y diseñar escenarios de Red Team específicos que permitan medir la capacidad de resistir ante amenazas persistentes avanzadas y proteger el funcionamiento de los sistemas ICS que controlan el suministro eléctrico o de agua. Estos servicios son esenciales para mejorar las capacidades defensivas de las compañías.
- Servicio de respuesta a incidentes proactivo para responder a los ataques, expulsar a los actores maliciosos en el menor tiempo posible, salvaguardar la continuidad de negocio y proteger las infraestructuras críticas.
Resistir ante APT
En definitiva, la red eléctrica, el suministro de agua potable y la gestión de las aguas residuales son infraestructuras críticas para el funcionamiento de cualquier país. Sin ellos, el tejido productivo se paraliza y el bienestar de las personas se ve afectado de forma notable.
Por eso, los ciberataques contra las infraestructuras críticas se han convertido en una amenaza de primera magnitud. Más aún en los últimos meses, como consecuencia de la invasión rusa de Ucrania y la creciente tensión en Oriente Próximo tras el estallido del conflicto entre Israel y Hamás.
Para prevenir esta clase de incidentes de seguridad y, en caso de que se produzca, evitar que afecten al suministro eléctrico y de agua, las compañías deben diseñar estrategias de ciberseguridad sólidas que les permiten resistir frente a las amenazas persistentes avanzadas.