Si existiese una unidad de cuidados intensivos para infraestructuras, estaría a rebosar de víctimas de ciberataques. Algunas de las presas de ataques de ransomware de 2021 han sido el sistema de oleoductos Colonial Pipeline, la empresa de procesado cárnico JBS y la Autoridad Metropolitana del Transporte (MTA) de la ciudad de Nueva York, a las que los ciberdelincuentes instalaron software encubierto para secuestrar sus sistemas informáticos y exigirles rescates exorbitados.
Pero el ransomware no es la única arma en el arsenal cada vez más amplio de los ciberataques a infraestructuras críticas, lanzados por hackers maliciosos contra los sistemas en red de estructuras físicas. Hay un tipo de ataque más preocupante que el motivado por el beneficio económico: el que busca ocasionar daños.
En febrero de 2021, sin ir más lejos, unos hackers penetraron en los sistemas de una planta potabilizadora de Oldsmar, Florida, en un intento por envenenar el suministro local de agua. Concretamente, lo que hicieron fue sabotear el software que controla los aditivos químicos y utilizarlo para incrementar la cantidad de soda cáustica —el ingrediente principal de los limpiadores líquidos de desagües— a un nivel 100 veces el habitual. Si bien se detectó el ataque y se corrigió la modificación antes de que llegase a contaminarse el suministro de agua, las consecuencias podrían haber sido desastrosas.
“Estoy convencido de que nuestro siguiente Pearl Harbor o 11-S será cibernético”, declaró el senador Angus King en su testimonio durante una audiencia celebrada en junio en el senado estadounidense para abordar las vulnerabilidades de las infraestructuras en materia de ciberseguridad.
Las brechas de ciberseguridad pueden pasar inadvertidas, de modo que a menudo no se registran, y esto a su vez hace que sea difícil evaluar las verdaderas dimensiones del problema. Aun así, no pinta bien. La empresa de ciberseguridad Deep Instinct afirma que se dan “cientos de millones” de intentos de ciberataques cada día. La empresa declaró en un estudio reciente que solo en 2020 hubo un aumento del 358 % en malware general y un 435 % en ransomware.
“El problema no se limita al ingente volumen de ataques —advierte Guy Caspi, director general de Deep Instinct—. Nuestro estudio muestra que también ha aumentado la sofisticación de los ataques, con unas tácticas avanzadas de evasión que los hace mucho más difíciles de detectar”.
En cuestión de ciberataques a infraestructuras críticas, la mejor manera de contrarrestar esa sofisticación en aumento es una mayor innovación. Así lo indica Si Katara, cofundador y presidente de HeadLight, un proveedor de tecnología de inspección de infraestructuras basada en fotografías.
Según Katara, “Las amenazas que se están dando hoy en el mundo están creciendo de forma exponencial. Para encontrar el antídoto, tenemos que poner la seguridad en marcha de una forma que le siga el ritmo (y esperemos pueda adelantarse) a la evolución de esas amenazas. Si no aceleramos la innovación en materia de seguridad, estaremos poniéndonos en peligro a nosotros mismos”.
Dado que la ciberseguridad es un problema digital, este necesita soluciones digitales. Pero la tecnología no es capaz por sí sola de reprimir a los ciberdelincuentes que tienen infraestructuras en el punto de mira. Lo que hace falta, según los expertos, es un enfoque de 360 grados en materia de innovación que dé pie a una unión entre nuevas herramientas, personas, procesos y perspectivas.