El reto de la ciberseguridad logística

por El Vigía

“Nadie está libre de un ciberataque” es una sentencia que da vértigo a las empresas de transporte y logística que han digitalizado sus sistemas operativos. Una sentencia que se cumplió durante el masivo ciberataque que se produjo del 12 al 16 de mayo, que infectó 360.000 equipos en 180 países, según el Instituto Nacional de Ciberseguridad (Incibe), y que afectó a grandes compañías del sector como la multinacional de mensajería Fedex, la compañía de trenes alemana Deutsche Bahn y la rusaRZhD, una de las compañías ferroviarias más grandes del mundo. El Incibe sólo confirma un millar de infecciones en España –entre ellas, las de diez operadores estratégicos nacionales–, y además se niega a desvelar, por motivos de confidencialidad, qué porcentaje corresponde a empresas de transporte, logística e infraestructuras. Un silencio que dificulta el análisis y la prevención, y que hemos querido romper consultando con cuatro expertos en la materia.
LAS EMPRESAS DE TRANSPORTE, OBJETIVO DE CIBERCRIMINALIDAD Y CIBERTERRORISMO
Julio Hernández, responsable técnico de Llerandi Riesgos y Seguros.
5-Llerandi_Julio_Hernández
El ciberataque no nos ha sorprendido en absoluto. Estos ataques están a la orden del día. En Llerandi comenzamos en el año 2008 a advertir a nuestros clientes a este respecto. En los últimos años, los ataques están aumentando y España se sitúa en los puestos de cabeza, a nivel mundial, de ataques recibidos. Es cierto que este ataque ha tenido una enorme relevancia en los medios de comunicación porque ha afectado a grandes empresas y hospitales. Según Incibe, España ocupa el puesto 16 del ranking de países atacados por el WannaCry, con un total de 1.200 infecciones. A nivel mundial, según fuentes del Instituto Nacional de Ciberseguridad (Incibe), se cree que este virus informático ha atacado a 230.000 equipos de un total de 179 países. WannaCry es un ‘ransomware’, cuya consecuencia inmediata es la solicitud de un rescate para la desencriptación. Según el Centro de Respuesta a Incidentes de Seguridad e Industria (Certsi), se han identificado tres variantes del virus. “Nadie está libre de un ciberataque”, son palabras de un responsable del departamento de delitos informáticos de la Guardia Civil con quien hablamos recientemente. Los delincuentes encuentran en las empresas más grandes más capacidad de pago de rescates, más posibles puertas de entrada y más relevancia para sus delitos.
Las empresas de transporte y de logística no son especialmente vulnerables, puesto que se preocupan por su protección, pero sí se encuentran dentro de las denominadas infraestructuras críticas, según el Centro Nacional para la Protección de Infraestructuras Críticas (Cnpic), por lo que son un objetivo de la cibercriminalidad y el ciberterrorismo. Digamos que son más apetecibles para los delincuentes. Por otra parte, nos consta que las empresas de transporte y logística han invertido mucho en seguridad en los últimos años.
RZD EP20-037 Moscow / ??? ??20-037 ??????????? ??????, ??????
Evitar un ataque es prácticamente imposible, como suele decir un especialista asegurador, “sólo existen dos tipos de empresas: las que han sido atacadas y las que serán atacadas”. Pero no hay que tirar la toalla, es una guerra y hay que estar preparados para combatir. Hay que continuar invirtiendo, mejorando la concienciación y, por supuesto, revisando de forma continua los protocolos de actuación en caso de ataque.
Las empresas atacadas deberían haberse protegido siguiendo los consejos del Certsi, que incluyen actualizar los equipos con los últimos parches de seguridad publicados por el fabricante; no abrir ficheros adjuntos o enlaces de correos electronicos no fiables, ni contestar a este tipo de correos; tener precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos; disponer de herramientas de protección adecuadas, tales como antivirus o antimalware y cortafuegos; y realizar copias de seguridad periódicas de nuestra información, principalmente la más sensible o importante de nuestros dispositivos.
Además, nosotros añadimos a estas recomendaciones –como algo fundamental– la contratación de un seguro con el que se pueda cubrir la mayor parte de los riesgos que se puedan suscitar antes, durante y después de recibir un ataque, como son la primera respuesta al incidente –no tendría por qué ser un ataque, podría suscitarse simplemente con una sospecha–, los servicios legales (LOPD), los servicios de informática forense, la recuperación de los datos si fuera posible, las obligaciones en materia de protección de datos (LOPD), las responsabilidades por uso y tratamiento de información, la extorsión cibernética, la interrupción en redes y la pérdida de beneficios.
El seguro de ciberriesgos es imprescindible hoy en día. Es una ayuda fundamental para dar respuesta a un ataque, y para contener y recuperar las pérdidas que este produzca.
Las aseguradoras que dan cobertura a estos riesgos están en una posición única para ayudar a las empresas a hacer frente a estos riesgos. Tanto es así, que el Boletín Diario de Seguros, editado por Inese, acaba de publicar la previsión de que el mercado de ciberseguros se multiplicará por más de diez en el año 2022. Ahora bien, las compañías de seguros adquieren experiencia día a día y este es un riesgo relativamente nuevo. El mayor peligro para las aseguradoras es la acumulación de riesgos cibernéticos. Por ello, para evitar este problema se acude al reaseguro.
A las 48 horas del ataque, los ciberdelincuentes sólo habían conseguido unos 8.000 dólares, pero resulta demoledora la cifra que se apuntaba en el Boletín Diario de Seguros respecto a los daños que producen a las empresas este tipo de siniestros: “Las empresas españolas pierden 1,3 millones de euros de media al año como consecuencia de los ciberataques”. El ataque del WannaCry no ha resultado beneficioso para los delincuentes, pero sí muy costoso para los atacados.
EL ATAQUE DE WANNACRY COMO PUNTO DE INFLEXIÓN
Ángel Vallejo, responsable de relaciones institucionales de Thiber
5-Thiber_Angel_Vallejo
El último ciberataque masivo estaba construido sobre una vulnerabilidad de Windows que se conocía hace ya unos meses y para la que Microsoft ya había lanzado un parche en marzo. Esto significa que los afectados que no actualizaron su sistema debían ser conscientes del riesgo que corrían. La dinámica del ataque no es compleja, tratándose inicialmente de una infección a través de emails que contenían un enlace de descarga del ‘dropper’. En otras palabras, se envía un adjunto que contiene una conexión para descargar el ‘malware’, que, una vez en el sistema, encripta determinada información del disco duro o del servidor del usuario. Hecho esto, el siguiente paso es informar al usuario de la situación de captura y exigirle el pago de una cantidad de bitcoins a cambio de liberar los archivos comprometidos.
Lo más sorprendente ha sido constatar que algunas grandes corporaciones no habían actualizado sus sistemas a pesar de que Microsoft había lanzado el remedio a la vulnerabilidad hacía meses. Esto es, por desgracia, bastante usual y el ataque de WannaCry debería servir como punto de inflexión en esta cuestión.
Muchas de las grandes empresas afectadas –sino la gran mayoría– utilizan sistemas prácticamente idénticos sobre software estándar, de modo que la misma vulnerabilidad que afecta al sistema de una de ellas, sin duda, afectará al del resto. Esto es conocido por los ciberdelincuentes y aprovechado para alcanzar masa crítica de ataque sin necesidad de preparar distintos tipos de agresión. Además, en determinadas compañías la actualización permanente de sistemas no es tan sencilla operativamente como puede serlo para un usuario individual, debido a que, en ocasiones, la implementación de parches puede suponer la necesidad de otros ajustes asociados o también la generación de un cierto período de inactividad en alguna parte del sistema.
Las empresas de transporte y de logística no son especialmente vulnerables, pero es cierto que las compañías que basan su operativa diaria en órdenes generadas por el software operativo para manejar cantidades ingentes de información –miles de envíos, con miles de identificaciones de carga y/o pasajeros con software de almacenamiento, de estiba, carga y descarga en puertos o aeropuertos intermedios– pueden ver gravemente afectado su funcionamiento a través de incidentes menores con el software.
6-2SEM290517
En general, el gasto en sistemas digitales es razonable, pero no es así en el diseño de las características de seguridad. A ello hay que unir una insuficiente gestión de la implementación y ejecución de los protocolos. Por mucho que se tenga el mejor equipo, si no se observan estrictamente los protocolos de seguridad, al final el fallo se produce. Un sistema actualizado manejado por quien no tiene la formación adecuada deja de ser seguro. Es crucial la formación continua en seguridad dentro de las organizaciones, de manera que los eslabones débiles de la cadena se reduzcan al máximo.
Está claro que para estar protegidas las empresas deben mantener el software actualizado. En el caso del WannaCry, los ciberdelincuentes explotaron una vulnerabilidad muy conocida, para la que el fabricante de Windows había lanzado gratuitamente un parche de seguridad que muchas compañías y usuarios individuales instalaron. También deben extremar las medidas de seguridad de orden social, es decir, formar continuamente a los usuarios internos del sistema para evitar que posibiliten la entrada de ‘malware’ –no abrir emails de procedencia desconocida o sospechosa o reportarlos sin abrir los adjuntos al departamento de seguridad–. Además, deben lanzar ‘backups’ periódicos que permitan tener acceso a la información en el estado en que ésta se encontraba minutos u horas antes de ser encriptada.
No considero que sea imprescindible contratar un seguro de ciberriesgos en el mismo sentido que no es imprescindible contratar un seguro de incendios o un seguro de hogar. Por supuesto que no es imprescindible, pero parece una medida prudente y lógica, habida cuenta de que el riesgo de daños cibernéticos es actual y grave.
Nosotros no concebimos hoy en día el desarrollo de una actividad empresarial o profesional sin la contratación de un seguro de responsabilidad civil, ni tampoco sin un seguro contra ciberriesgos. Dado que la seguridad total es imposible, tiene todo el sentido transferir una parte del ese riesgo cibernético a una aseguradora. Por fortuna, en España existen brokers y aseguradoras con muy buen conocimiento de la materia de ciberriesgos que pueden aconsejar y contratar un seguro adecuado a cada situación.
Por lo que sabemos hasta ahora, el ciberataque masivo del pasado 12 de mayo ha tenido más impacto mediático que económico, entre otras cosas porque las cantidades exigidas como rescate a los perjudicados no han sido lo altas que cabría esperar en función de los niveles de negocio de algunas de las empresas atacadas. Es posible que algunos casos no hayan salido a la luz y hayan supuesto cantidades más elevadas, pero la información de que disponemos apunta a que no se han alcanzado, ni de lejos, las cifras de otros ataques específicamente dirigidos, por ejemplo, a compañías del sector financiero.
UN CIBERATAQUE MASIVO, SIN SENTIDO Y SIN CLARAS INTENCIONES ECONÓMICAS
Gonzalo Asensio, director de IT Security del centro tecnológico Eurecat
6-Eurecat_Gonzalo_Asensio
El ciberataque del viernes 12 de mayo es una prueba más de que el proceso de digitalización que estamos viviendo no está siendo acompañado de la suficiente ciberseguridad. Todos los días se producen ataques a usuarios, empresas e instituciones y, prueba de ello, son los numerosos estudios que hablan de grandes pérdidas económicas en materia de ciberataques. Lo que me ha sorprendido de este ciberataque es que el malware se haya propagado tan rápido en tan diversas empresas e instituciones. Sin duda, este punto es revelador, ya que no se ha podido bloquear desde los primeros sucesos y “transmitir” esa vacuna al resto de actores expuestos. Por otro lado, es un ataque “con un toque sin sentido”. Quiero decir, si un ciberdelincuente quiere ganar dinero con el rescate no programa un malware para que se propague rápido, ya que esto genera excesiva alerta y hace que, por tanto, no reciba el beneficio económico que inicialmente pretendía.
La industria 4.0 introduce la digitalización y esto está cambiando el paradigma precedente. Hoy en día, se empiezan a conectar cada vez más dispositivos y máquinas con operativas críticas a internet y suelen ser activos apoyados bajo viejos sistemas operativos o entornos donde es difícil poner medidas de seguridad –como los parches de seguridad que publicó en marzo Microsoft y que protegían a las máquinas frente al ransomware WannaCry–.
Las empresas de transporte y logística están apoyando su negocio sobre sistemas cada vez más tecnológicos y digitales. Esto lleva intrínsecamente una mayor exposición al riesgo deciberataques. Pasar de un mundo industrial a un mundo digital es un salto importante y no sólo hay que tener en cuenta que los sistemas funcionen de manera correcta, sino que se deben diseñar para que sean seguros.
FedEx Reports Sharp Decline In Quarterly Profits
Por lo general, siempre falta presupuesto para los temas de ciberseguridad. Cuando no pasa nada es muy difícil de justificar esta inversión –ya que no se ve, ni se toca esa mejora–, pero cuando ocurre, como hemos podido ver hace nada y en otros muchos casos, las consecuencias son muy negativas. Al mismo tiempo, si se planifica una inversión adecuada a cada negocio en materia de ciberseguridad, ésta debe ir acompañada de una creación de protocolos y procesos específicos, desde la concienciación y formación, pasando por una correcta respuesta ante incidentes.
Las empresas deben seguir sus procesos de seguridad, entre los que se encuentra el parcheado de sus activos. La clave aquí está en la efectividad del proceso, si es lo suficientemente bueno o no. Aún así, debemos remarcar que, en este caso, ha sido una brecha por una vulnerabilidad conocida, pero también dentro de este mundo hay vulnerabilidades “0day” –como llamamos nosotros a las vulnerabilidades que no se conocen, que no son públicas– y, por tanto, no puedes protegerte de ellas de manera eficaz.
Personalmente no soy partidario de un seguro de ciberseguridad, ya que también es clave tener en cuenta cómo cuantificas el daño reputacional y cómo te repones de ello. No es cuestión de cubrir con dinero para que puedas respirar; es cuestión de invertir de manera adecuada para minimizar los riesgos.
Desde el punto de vista económico, si vemos los datos de los pagos que se han realizado para recuperar los ficheros, es un importe mínimo para la infección que han provocado y, como he dicho antes, no creo que su intención haya sido económica; tienen que existir otras razones.
LA CONFIANZA COMO BASE DE LA CIBERDELINCUENCIA
Jesús Bosque, analista de datos de Softonic
6-Jesus_tribuna_color
Nuestra evaluación del ciberataque es muy grave. Cito las palabras de la Europol, que lo definió como “de un nivel sin precedentes”. No sólo nos ha sorprendido la magnitud –muy elevada, porque llegó a afectar a 200.000 usuarios de 150 países diferentes–, sino también la velocidad con la que se extendió, pues hablamos de horas.
Las empresas de un tamaño elevado tienen cientos e incluso miles de ordenadores y todos ellos están bajo entornos corporativos. Esto significa que no son ordenadores como los de cualquier usuario y que, además, suelen tener lo que llamamos “software propietario”, es decir, diseñado específicamente para la empresa. En este sentido, las actualizaciones de seguridad son estudiadas para implementarlas en el momento preciso para que todo funcione con normalidad. Dependiendo del tamaño de la empresa, esto conlleva un tiempo que difiere según la empresa y su tamaño.
Ante un ataque de esta magnitud, cualquier empresa es vulnerable. No existe un sector que sea más o menos vulnerable que otro. La diferencia principal es la prevención y la reacción de los departamentos técnicos responsables de cada empresa, así como las directrices establecidas frente a este tipo de amenazas por la dirección de la empresa.
La seguridad en las empresas siempre es la máxima prioridad y estoy seguro de que todas y cada una de las empresas invierten en seguridad digital y tienen protocolos muy avanzados para combatir estas amenazas. Es cierto que WannaCry se extendió a gran velocidad y afectó a un gran número de usuarios, pero también tenemos que darnos cuenta de que el ataque se paró en cuestión de horas y que, en un periodo de tiempo muy corto, las grandes empresas ya habían controlado todos los focos de la infección.
6-3SEM290517
La primera gran medida es la concienciación y la prevención. Este tipo de amenazas suelen basar sus ataques en la confianza: un usuario cualquiera de la empresa puede abrir un archivo que cree que es de un amigo o de un servicio de confianza. Simplemente fijándose en la dirección de correo o en la URL de la empresa que lo envía, ya se puede prevenir un gran número de ataques. Evidentemente, no todos, y para ello es necesario tener nuestro sistema operativo actualizado con las últimas actualizaciones de seguridad y un buen software de seguridad actualizado, que permitirá parar la práctica totalidad de los ataques.
Ya existen compañías de seguros que están ofertando seguros de ciberriesgos. Teniendo en cuenta que se ha convertido en el tercer tipo de delito a nivel mundial, yo diría que es una medida muy a tener en cuenta tanto por particulares como por empresas medianas y pequeñas que no pueden tener un soporte directo de un experto en ciberseguridad en plantilla.
Es difícil valorar a nivel económico qué pueden obtener los ciberdelincuentes, pero lo que es seguro es que es mayor de lo que podamos imaginar. Estudios recientes apuntan a que los ciberataques cuestan ya a las empresas unos 450.000 millones de dólares a nivel mundial. Por supuesto, estos grupos sí tienen una gran repercusión mediática, algo que también buscan. 

Artículos relacionados

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies