En junio de 2010, un ciberataque denominado Stuxnet y atribuido a organismos gubernamentales de EEUU e Israel, consiguió que una planta nuclear de Irán se paralizase por completo mediante la destrucción del sistema informático de las centrifugadoras que separaban el uranio enriquecido. La ofensiva, que consiguió retrasar los planes nucleares iraníes, confirmó una certeza y planteó una pregunta.

La certeza confirmada es que los ciberdelincuentes ya no tienen por qué ser grupos aislados que buscan notoriedad o un lucro económico, sino que pueden pertenecer a gobiernos nacionales. Por eso, Stuxnet constituye el primer gran ataque de una era de la ciberguerra con los estados como participantes de manera directa o indirecta y cuya actividad, además, se ha incrementado en los últimos meses. Pero la pregunta es: ¿Cómo pudieron los ciberatacantes llevarlo a cabo con éxito?

Esta pregunta se ha respondido nueve años después. Tal y como revela Yahoo News, ambos gobiernos tuvieron ayuda. Concretamente la de la agencia de inteligencia holandesa AIVD y el topo que consiguió tirar abajo el sistema. La AIVD reclutó a un hombre que se hizo con un trabajo de mecánico en la planta de Natanz y, durante un tiempo, estuvo recopilando información sobre el funcionamiento interno de las centrifugadoras. Una vez analizadas, se le suministró un pendrive que debía introducir en un equipo de la central, dando inicio a la ya conocida como ‘Operación Juegos Olímpicos’.

Cuando el pendrive entró en contacto con el primer dispositivo desplegó Stuxnet, un gusano que aprovechó hasta cuatro vulnerabilidades zero day de Windows para infectar los sistemas de las centrifugadoras. Cuando Stuxnet tomó el control, ejecutó las órdenes para que dichas centrifugadoras se autodestruyesen. Tampoco sirvió que los expertos de Natanz pulsasen el apagado de emergencia: también había sido espiado y convenientemente anulado.

El control de medios extraíbles, esencial_

Al margen de las evidentes malas intenciones de los ciberdelincuentes, de la existencia de un ‘insider’ y de las vulnerabilidades ‘zero day’, hay un factor esencial en el triunfo de este tipo de ciberataques: el control de los medios extraíbles. Porque sin el pendrive, Stuxnet no habría podido llegar a ninguna infraestructura de la forma en que lo hizo. En este sentido, el control de medios extraíbles debe contar con una serie de protocolos de seguridad:

1.- Control de acceso. La progresiva redistribución de muchos trabajos conectados ha hecho que las organizaciones cada vez tengan menos control sobre los dispositivos que se encuentran fuera de su perímetro de seguridad. Cualquier compañía que tenga en su poder infraestructuras críticas debe poder limitar qué dispositivos pueden entrar a su sistema y cuáles no. Un ejemplo de ello es Comply to Connect (C2C), un sistema del Pentágono para securirzar los Endpoints que incluye la identificación, validación y monitorización continua de toda clase de dispositivos y aparatos que se puedan adherir a su red.

2.- Control de equipos. Si los dispositivos externos no pueden ser monitorizados, deberán serlo los internos. Esto es, cualquier compañía debe apostar por un enfoque Zero Trust y bloquear, desde sus equipos, la conexión de un dispositivo externo que no haya pasado más de una autenticación o un control exhaustivo.

¿Cómo evitar ataques como el de Stuxnet?_

Para evitar ciberataques a través de un medio extraíble, las organizaciones también deben ser conscientes de que, en un entorno donde las actividades avanzadas de ciberguerra van a tener cada vez más protagonismo, su ciberseguridad no puede basarse exclusivamente en los riesgos ya conocidos. Deben mantenerse alerta, descubrir nuevas vulnerabilidades y amenazas antes que otros y protegerse de todos ellos. Por otro lado, también deberán recurrir a automatismos para detectar los comportamientos anómalos antes de que sus acciones lleguen demasiado lejos.

Los algoritmos de IA y Deep Learning de Cytomic, además de clasificar continuamente las aplicaciones en base a sus nuevos comportamientos, busca cualquier tipo de actividad sospechosa mediante la aplicación de análisis de datos a escala en la nube. Sin olvidar que, a esta automatización, se le suma el servicio de Hunting para llegar incluso donde nuestra IA no puede hacerlo, suponiendo una capa adicional de vigilancia y análisis para complementar los sistemas de seguridad existentes y ofreciendo al cliente de Cytomic una dualidad de soluciones que convierte a la red corporativa en infranqueable. Además, las soluciones avanzadas de protección del endpoint, incluyen en su línea base capacidades de visibilidad centralizada de la salud de las protecciones aplicadas, descubrimiento de endpoint no protegidos en el parque e instalación inmediata desde la consola, así como visibilidad sobre las aplicaciones y versiones instaladas, entre otras, para reducir la superficie de ataque.

Se trata, en definitiva, de contar con una visibilidad completa de todos los procesos activos para controlar todo lo que ocurre en tu entorno y poder reducir así la superficie de ataque. Porque quizá no siempre se pueda evitar con éxito que un topo introduzca un USB con malware en un equipo, pero lo que sí se puede evitar es que dicho malware acabe afectando de manera determinante al funcionamiento de los sistemas de la compañía.