Los ciberatacantes utilizan repetidamente correos electrónicos maliciosos para infiltrarse en infraestructuras nacionales críticas. Hasta el 80% de las empresas de CNI experimentaron una violación de seguridad relacionada con el correo electrónico en el último año, según un nuevo informe del proveedor de soluciones de seguridad OPSWAT.
Poner en peligro a CNI, como los servicios públicos, el transporte, las telecomunicaciones y ahora los centros de datos, puede provocar una interrupción generalizada, convirtiéndolo en un objetivo principal para los ciberataques. Un informe reciente de Malwarebytes encontró que la industria de servicios es la más afectada por el ransomware y representa casi una cuarta parte de los ataques globales.
El informe OPSWAT, que encuestó a 250 líderes de seguridad y TI de organizaciones CNI globales, reveló que los ataques basados en correo electrónico están demostrando que valen la pena para los atacantes. Por cada 1.000 empleados, las organizaciones de CNI experimentaron:
- 5,7 incidentes de phishing exitosos por año.
- 5.6 compromisos de cuenta.
- 4.4 incidentes de fuga de datos.
Pero, a pesar del importante número de ataques basados en correo electrónico dirigidos a su sector, el 50,4% y el 52,8% de los encuestados siguen asumiendo que los mensajes de correo electrónico y los archivos adjuntos, respectivamente, son benignos por defecto.
Por qué los actores de amenazas se dirigen al correo electrónico
El correo electrónico proporciona una manera fácil para que los atacantes implementen intentos de phishing, enlaces maliciosos y archivos adjuntos dañinos que brindan acceso a un sistema de destino. Más del 80% de las organizaciones CNI esperan que los niveles de amenaza de todos los tipos de ataques de correo electrónico aumenten o se mantengan iguales durante los próximos 12 meses, siendo los ataques de phishing, exfiltración de datos y malware de día cero los más probables.
Los autores del informe dijeron que dado que la tecnología operativa y los sistemas de TI están “cada vez más vinculados”, es primordial que se dé prioridad a la seguridad del correo electrónico.
Escribieron: “Todavía hay muchas menos redes OT sin aire, y las actividades de transformación digital de la última década han dado como resultado que las redes OT estén conectadas a Internet. Lo que esto significa es que un ciberataque exitoso por correo electrónico puede extenderse a la red OT de la organización para causar daños e iniciar nuevos ataques desde el interior de la red OT.
“Dado que se espera que el nivel de amenaza planteado por los ataques de correo electrónico aumente en los próximos 12 meses, las organizaciones de infraestructura crítica que intentan fortalecer su postura de seguridad del correo electrónico deben adoptar un enfoque dramático que enfatice la prevención y la exclusión de las amenazas transmitidas por el correo electrónico”.
El Reino Unido considera que los centros de datos CNI ayudarán a reforzar su seguridad
La semana pasada, el gobierno del Reino Unido anunció que los centros de datos se considerarán CNI a partir de ahora, la primera designación nueva desde 2015. Esto se hizo para ayudar a impulsar la seguridad del país a medida que se vuelven cada vez más importantes para el buen funcionamiento de los servicios esenciales, como lo demuestra Interrupción de CrowdStrike en julio.
VER: Cómo los piratas informáticos se infiltran en la infraestructura crítica
Los centros de datos del Reino Unido recibirán ahora un mayor apoyo gubernamental para recuperarse y anticipar incidentes críticos. Un equipo dedicado de altos funcionarios gubernamentales coordinará el acceso a agencias de seguridad como el Centro Nacional de Seguridad Cibernética y los servicios de emergencia cuando sea necesario. La designación también podría funcionar para disuadir a los ciberdelincuentes.
Por el contrario, las organizaciones CNI en el Reino Unido se enfrentan a un mayor escrutinio regulatorio. Por ejemplo, el Reglamento de Redes y Sistemas de Información se aplica a los operadores de servicios esenciales dentro de los sectores CNI, y los proveedores de telecomunicaciones deben cumplir la Ley de Seguridad de las Telecomunicaciones.
Es probable que los centros de datos sean monitoreados más de cerca para verificar el cumplimiento de la legislación existente y futura, que puede incluir requisitos de medidas de seguridad física, auditorías, planes de contingencia, informes de riesgos y software de seguridad.
Desafortunadamente, las empresas de CNI no destacan en el cumplimiento, lo que influye en la alta frecuencia de los ciberataques basados en correo electrónico. El informe de OPSWAT mostró que el 65% de los líderes del CNI dicen que su organización no cumple con los estándares regulatorios. Este porcentaje cae al 28% si se consideran únicamente los encuestados de EMEA.
Las organizaciones del CNI son cada vez más el objetivo de los ciberatacantes
El último Threat Pulse de NCC Group encontró que el 34% de los ataques de ransomware en julio se dirigieron a CNI, lo que representa un aumento del 2% con respecto a junio. Los malos actores que se vuelven menos cautelosos ante las repercusiones de las fuerzas del orden podrían ser un factor contribuyente.
Según los expertos de WithSecure, tras las acciones tomadas contra el grupo DarkSide después de que interrumpiera las operaciones de la empresa Colonial Pipeline, hubo “un esfuerzo concertado por parte de los colectivos de ransomware para evitar sanciones”.
“Los colectivos de ransomware intentarían caer por debajo de una línea percibida que creían que requeriría la acción de una autoridad competente, y muchos grupos declaraban públicamente que no atacarían los hospitales”, escribieron los investigadores en el informe Ransomware Landscape.
Sin embargo, la gran cantidad de ataques contra el CNI desde 2023 sugiere que ahora “no tienen reservas a la hora de atacar a cualquier organización occidental”, ya que la acción policial resultante “puede ser percibida por los delincuentes como inevitable”, independientemente del objetivo elegido.
VER: Autoridades cibernéticas del Reino Unido, EE. UU. y Canadá advierten sobre ataques hacktivistas prorrusos a sistemas de tecnología operativa
La tecnología heredada proporciona un fácil acceso
En su Revisión Anual de 2023, el NCSC declaró que es “muy probable” que la amenaza cibernética al CNI del Reino Unido aumente en 2023, en parte debido a su dependencia de tecnología heredada.
Las organizaciones que manejan infraestructura crítica son bien conocidas por albergar dispositivos heredados, ya que es difícil y costoso reemplazar la tecnología mientras se mantienen las operaciones normales. La evidencia de Thales presentada para un informe del gobierno del Reino Unido sobre la amenaza del ransomware a la seguridad nacional decía: “No es raro dentro del sector CNI encontrar [ageing] sistemas con una larga vida operativa que no se actualizan, monitorean o evalúan de manera rutinaria”.
Otra evidencia de NCC Group encontró que “es mucho más probable que los sistemas OT incluyan componentes que tienen entre 20 y 30 años y/o utilicen software más antiguo que es menos seguro y ya no es compatible”.
Un informe de Microsoft de mayo corrobora esto, describiendo sus medidas de seguridad como “a menudo inexistentes”, lo que hace que “los ataques OT no sólo sean atractivos para los atacantes sino también relativamente fáciles de ejecutar”. Los investigadores de seguridad de Redmond también destacan que el número de ataques al agua y otros sistemas clave de infraestructura crítica ha ido aumentando desde finales de 2023.