Los consejos de ciberseguridad ante la guerra en Ucrania: “Ningún servicio o sistema tecnológico está libre de riesgos”

“Ningún servicio o sistema tecnológico está completamente libre de riesgos”. Es la advertencia del Centro de Seguridad Cibernética Nacional de Reino Unido que, al igual que el resto de las entidades homólogas en todos los países, ha lanzado a las empresas e instituciones para que refuercen sus defensas en Internet ante la guerra en Ucrania. Según Manuel Ricardo Torres, profesor de la Universidad Pablo de Olavide y uno de los 15 asesores internacionales de Europol en el Consejo Asesor sobre Terrorismo y Propaganda (ECTC por sus siglas en inglés), “Rusia ha puesto de manifiesto que está dispuesta a utilizar todos los recursos que tiene a su disposición”. Y la guerra informática es uno de ellos, en especial, como respuesta a las sanciones económicas que sucedan a los ataques. Uno de los entornos amenazados es el universo de Windows 365, según la alerta AA22-047A enviada por la Agencia de Ciberseguridad e Infraestructuras (CISA) de Estados Unidos.

La entidad estadounidense señala como objetivos principales a empresas contratistas de Defensa. “Estos actores [atacantes respaldados por el Estado ruso] aprovechan las contraseñas simples, los sistemas sin parches y los empleados desprevenidos para obtener acceso inicial antes de atacar a las redes empresariales y en la nube [servidores remotos conectados a internet]”. Según reconoce la misma entidad, las dianas prioritarias para estas incursiones son los “entornos, ampliamente utilizados, de Microsoft 365, que son vulnerados para acceder a información sensible y no clasificada, así como a la tecnología”. Este conjunto de programas es el más usado por particulares y empresas para las aplicaciones de trabajo y comunicación (Office).

Udi Mokadi, uno de los mayores expertos en seguridad en Israel, comparte esta previsión sobre la vulnerabilidad de las entidades asociadas a una aún mayor: “El mundo está cambiando de forma dramática. Ya no vale proteger a una sola organización, sino que también es necesario el control de los proveedores. Un atacante busca el camino más corto, más rápido y más indefenso. Son profesionales, no van en pijama. La seguridad es una necesidad y hay que ir por delante, pasar a la ofensiva. El coste de un error es realmente alto”.

“La información adquirida”, según la alerta estadounidense, “proporciona información significativa sobre los plazos de desarrollo y despliegue de las plataformas de armas de los Estados Unidos, las especificaciones de los vehículos y los planes para la infraestructura de comunicaciones y la tecnología de la información”.

Ucrania ha sido el laboratorio de pruebas de la capacidad de ciberataques de Rusia y es lógico que en estos días asistamos a la puesta en marcha de este tipo de capacidades

Manuel Ricardo Torres, asesor del Consejo Asesor sobre Terrorismo y Propaganda de Europol

La alerta de las agencias de seguridad se ampara en “el patrón histórico de ataques cibernéticos contra Ucrania con consecuencias internacionales”, según el centro de seguridad británico. El asesor de Europol coincide: “Rusia, de la misma manera ha movilizado una cantidad enorme de fuerza militar convencional, va a utilizar también esa dimensión civil que, de hecho, ya venía empleando hasta ahora en Ucrania desde 2014 hasta ahora. Ha sido el laboratorio de pruebas de la capacidad de ciberataques y es lógico que en estos días asistamos a la puesta en marcha de este tipo de capacidades”.

El riesgo, según Manuel Ricardo Torres, es doble. El primero, por contagio. “Aunque parezca que un ataque es quirúrgico, claramente orientado a un objetivo, la realidad es que siempre está el riesgo de desbordamiento, que al final se pierda el control de los vectores y se termine afectando a otro objetivo que no está relacionado con el ataque”. “El segundo riesgo”, según explica este asesor internacional, “es que Rusia, como respuesta al conjunto de sanciones de carácter económico que va a poner en marcha Europa y Estados Unidos y que afectan directamente a su ámbito empresarial, puede tener la tentación de ejercer algún tipo de represalia contra el ámbito económico y empresarial de esos mismos países”.

El riesgo es generalizado. “Absolutamente”, responde el asesor de Europol. Y explica: “Aunque un ataque esté orientado a una empresa específica, al final se extiende por todo el mundo. No creo que haya ahora mismo ni en Europa ni en EEUU ningún ámbito que se considere fuera de peligro”.

“Viajes imposibles” y otros signos de un intento de ataque

Algunas de las evidencias de un ataque, según la CISA estadounidense, son: intentos frecuentes de autenticación fallidos, accesos de diferentes nombres de usuarios o desde diferentes direcciones de IP (representación numérica del punto de internet donde está conectado un dispositivo), el uso de la misma IP para varias cuentas, “viajes imposibles” (detectables cuando un usuario inicia una sesión desde direcciones que evidencian una distancia geográfica significativa en poco tiempo), restablecimientos anómalos de contraseñas, intentos de control del dominio o actividades de cuentas que estaban inactivas o con uso esporádico.

El problema, según advierte Torres, es que “conseguir ahora un nivel de robustez y de preparación suficiente no se improvisa”. “Muchas empresas e instituciones”, añade, “se encontrarán con la dura realidad de que, si no han hecho los deberes años atrás, ahora es muy difícil adoptar medidas de urgencia”.

Y concluye: “El parcheado de todas las vulnerabilidades de una red y generar un protocolo de cómo organizarse ante una eventualidad que haga caer un servicio es algo que algunos se han tomado muy en serio desde hace tiempo. Quien no lo haya hecho a tiempo no va a poder hacerlo. Es igual que la debilidad militar convencional: aunque ahora un país tenga toda la determinación de resolver ese problema, no podrá hacerlo hasta dentro de muchos años. Esto también pasa en el ámbito civil. Esperar a que estalle una crisis para empezar a tomar medidas y dedicar los recursos necesarios hace que estas lleguen tarde”.

Chester Wisniewski, investigador principal de Sophos, una empresa especializada en ciberseguridad de última generación, coincide con el análisis del asesor de Europol: “Pueden producirse daños colaterales y repercusiones tanto para las personas como para las organizaciones fuera del escenario principal”.

Wisniewski recomienda “prestar atención a los consejos de Estados Unidos y de otros Gobiernos”. “Deben estar en alerta máxima, tomar medidas para proteger su red y sus sistemas y, dado que la seguridad física es primordial, considerar medidas para asegurar, cerrar o eliminar sus sistemas y redes físicas en Ucrania”.

Y concluye el investigador: “Al final, no importa si te ataca un Estado, un partidario ruso o el estereotipado adolescente desde algún sótano: debes tener los sistemas de seguridad actualizados, configurados por capas para anticiparte a los fallos y monitorizados cuidadosamente para reconocer las señales de un ataque en curso.”

Puedes escribirnos a rlimon@elpais.es, seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter y apuntarte aquí para recibir nuestra newsletter semanal