En julio de este año 2018, una firma de seguridad descubrió que un grupo de cíber criminales había robado la información de un casino hackeando uno de sus acuarios. El termostato de ese acuario, conectado a internet, tenía un nivel bajo de seguridad. Los hackers aprovecharon esa vulnerabilidad para hacer pie en la red del casino.
Una vez allí, pudieron acceder a la base de datos que se llevaron, otra vez usando ese termostato.
Internet de las cosas (IoT) va creciendo. Las empresas la están integrando en todas las áreas de la operación. La duda es si en el apuro por adoptar la transformación digital no se estarán olvidando de consultar con el responsable de seguridad informática, o CISO, para incorporar otra sigla anglosajona.
Como IoT conecta el mundo físico con el mundo cíber, la huella digital de las empresas se expande exponencialmente ofreciendo cada vez más vulnerabilidades a los atacantes listos para aprovecharlas.
Por su mismo diseño, los dispositivos IoT tienen poca memoria. Por la exigencia de movilidad, de duración de batería y de economía de precios, los sensores terminan siendo delgados pero indefensos. Además, el software IoT no permite parches automáticos, lo que va en contra de uno de los principales preceptos de la cíberseguridad: emparchar inmediatamente. Como si eso fuera poco, los dispositivos suelen venir con contraseñas previamente cargadas que no se pueden cambiar. Otra vulnerabilidad.
Todo esto, sumado a la multitud de dispositivos de IoT que corren una enorme cantidad de plataformas de software, complican la tarea del CISO y deberían preocupar al CEO. Un ataque realizado a través de IoT podría ser catastrófico. Muchas grandes organizaciones hacen controles de seguridad regularmente pero la escala del peligro que se acerca requiere dos medidas adicionales: automatizar e institucionalizar.
Herramientas antihackeos
La primera asegura controles rutinarios y rápidos en los miles de diminutos sensores IoT. La segunda ayuda al CISO a desarrollar herramientas para hackeos cada vez más sofisticados.
Automatización. La seguridad automática tiene varias formas. Las plataformas automatizadas controlan los VPN y detectan intromisiones en curso para detenerlas. Con inteligencia artificial, las plataformas automatizadas pueden detectar actividad anormal.
Además, la autenticación verifica cualquier dispositivo conectado a la red en un nivel más sofisticado que el de usuario y contraseña. Usa un certificado digital que impide que un termostato hable con un hacker.
Institucionalización. La automatización no alcanza. Con IoT habría que hacer el mismo due diligence que se le hace a cualquier infraestructura de TI. Para asegurarse de que los avances tecnológicos no introduzcan fallas de seguridad, los CISO deberían participar en la compra, diseño o implementación de todas las transformaciones tecnológicas, inclusive en IoT. Esto exige un cambio paradigmático en el rol del responsable de seguridad informática; no se le debería aislar en un silo dentro la organización; habría que involucrarlo en todos los aspectos de una institución, desde la capacitación de los empleados hasta la selección de vendedores.
El ataque más devastador
En 2017, un grupo de hackers rusos ligados al Kremlin diseminaron un malware que inutilizó a varias compañías multinacionales y causó más de US$ 10.000 millones en daños. La historia sobre qué y cómo pasó nunca conocida hasta ahora, la investigó Andy Greenberg entrevistando a las víctimas para la revista Wired.
Copenhague, Dinamarca. 27 de junio 2017
En la mesa de ayuda de A.P. Møller-Maersk, el conglomerado naviero más grande del mundo con sede en Copenhague los empleados se mostraban unos a otros las pantallas de sus laptops. En todas se leía el mismo mensaje: “Reparando el sistema de archivos en C. No apagar la máquina”. Al jefe del equipo, Henrik Jensem, que estaba en otra oficina preparando una actualización de software para los 80.000 empleados, se le reinició la máquina… y nunca más pudo seguir trabajando.
Media hora después todos comenzaban a vislumbrar la escala de la crisis. Corrían por todos lados desconectando equipos de la red de Maersk antes de que el malware pudiera infectarlos. En pocos minutos más comprobaron que toda la red estaba inutilizada. No tenían computadoras ni servidores ni routers ni teléfonos de línea.
La gigantesca empresa marítima, responsable de 76 puertos en todo el mundo y 800 barcos, muchos de ellos contenedores, quedó paralizada.
Kiev, Ucrania.
En un barrio industrial del conurbano de la capital se encuentran las oficinas ocupadas por el Linkos Group, una empresa familiar ucraniana. La sala de los servidores está en el tercer piso, donde hay una pila de computadoras conectadas por cables y con etiquetas escritas a mano. Todos los días los servidores activan actualizaciones de rutina; antivirus, parches de seguridad y nuevas características en un software de contabilidad llamado M.E.Doc. Es el programa utilizado en ese país por todos los que hacen contabilidad o cualquier otro tipo de negocio.
Pero en un momento de 2017 esas máquinas sirvieron de punto de partida para el cíberataque más devastador desde la invención de Internet. Un ataque que comenzó, al menos, como el asalto de una nación sobre otra.
Cuatro años y medio llevaba Ucrania en una guerra no declarada con Rusia. Y en ese conflicto el país que fuera parte de la Unión de Repúblicas Socialistas Soviéticas se convirtió en laboratorio de pruebas para las tácticas rusas de una cíber guerra. En 2015 y 2016 un grupo de agentes conocidos como Sandworm atacaron docenas de empresas y organizaciones gubernamentales ucranianas. Penetraron las redes de sus víctimas destruyendo terabytes de datos.
27 de junio 2017
Pero la grand finale de aquellos ataques de Sandworm llegó en la primavera de 2017. Sin que se enterara nadie de Linkos Group, los hackers militares rusos interceptaron los servidores de actualización de la compañía para poder entrar, por una puerta trasera, a miles de computadoras de todo el país y del mundo que tuvieran instalado el M.E.Doc. Y así, en junio de 2017, los saboteadores usaron esa puerta para lanzar un malware llamado NotPetya, el cíberataque más violento de los conocidos. Se propagaba automáticamente, rápidamente e indiscriminadamente.
NotPetya se aprovechó de dos herramientas de hackeo. Una, de penetración –EternalBlue– había sido creada por la National Security Agency de Estados Unidos (para actuar ellos mismos como hackers). EternalBlue aprovecha una vulnerabilidad en un protocolo de Windows y permite a los hackers manejar remotamente su propio código en cualquier máquina que no tenga parches de actualización. Al momento del ataque Microsoft se encontraba solucionando esa vulnerabilidad.
Los arquitectos de NotPetya combinaron ese esqueleto digital con una invención anterior conocida como Mimikatz, creada en 2011 por un investigador en seguridad, el francés Benjamin Delpy para demostrar que Windows dejaba las contraseñas de los usuarios dando vueltas por la memoria de sus computadoras. Una vez que los hackers lograban entrar a una computadora, Mimikatz podría extraer esas contraseñas de la memoria RAM y usarlas para hackear otras máquinas con las mismas credenciales. Esas dos herramientas eran una combinación mortal.
El objetivo de esa bomba era Ucrania, pero el radio de la explosión fue el mundo entero. O sea, daño colateral. El lanzamiento de NotPetya fue un acto de guerra –de cíber guerra– una que resultó más explosiva incluso de lo que se habían propuesto sus creadores.
Pocas horas después de su primera aparición, el gusano corrió por toda Ucrania y de allí a incontables máquinas en el mundo, Maersk incluida.
El resultado fue más de US$ 10.000 millones en daños, según una evaluación de la Casa Blanca en Washington.
Pero la historia de NotPetya no es el caso Maersk, ni el caso Ucrania, dice Greenberg. Es la historia del arma de guerra de una nación lanzada en un medio donde las fronteras nacionales ya no tienen significado y donde el daño colateral viaja con una lógica cruel e inesperada; donde un ataque destinado a Ucrania golpea a Maersk, y un ataque a Maersk golpea en todas partes al mismo tiempo.
El costo de NotPetya
Una lista de los daños aproximados que informaron algunas de las mayores víctimas del virus.
US$ 870.000.000
Merck, compañía farmacéutica
US$ 400.000.000
Fedex, compañía de transporte
US$ 384.000.000
Saint-Gobain, empresa francesa de construcción
US$ 300.000.000
Maersk, compañía naviera danesa
US$ 188.000.000
Mondelez, compañía holding de Nabisco y Cadbury
US$ 129.000.000
Reckitt Benckiser, fabricante británica, dueña de condones Lysol y Durex
US$ 10.000 millones
Daños totales por NotPetya, según estimaciones del Gobierno estadounidense.
