El año pasado, abordamos un ciberataque que está considerado como el gran hito de la ciberguerra: Stuxnet inauguró una nueva era, no solo por la repercusión que tuvo entre los países implicados sino también por la propia sofisticación del ataque al lograr dañar una infraestructura crítica como fue la planta nuclear de Natanz en Irán. Sin embargo, la avanzada tecnología del malware hubiera resultado inútil y el ataque no habría podido llevarse a cabo sin una intervención humana dentro de la organización: según Yahoo News, EEUU e Israel se sirvieron de la agencia de inteligencia holandesa AIVD, que reclutó a un hombre que se hizo con un trabajo de mecánico en la planta de Natanz: después utilizó un pendrive con el malware para infiltrase en los sistemas. Es decir: utilizaron a un insider.

“Gigafactoría” en peligro_

Este tipo de incidentes no son tan excepcionales como parece. Un ejemplo de ello muy llamativo ocurrió el pasado mes de agosto en la “gigafactoría” en Nevada de la compañía Tesla, la compañía líder en la fabricación en vehículos eléctricos dirigida por Elon Musk.  El Departamento de Justicia de EEUU informó que un ciudadano ruso de 27 años llamado Egor Igorevich Kriuchkov intentó sobornar a un empleado de la fábrica con un millón de dólares.

Su objetivo era que introdujera un malware en los sistemas de Tesla para robar información confidencial como propiedad industrial. Con ello, los ciberatacantes pedirían después un rescate a la compañía, por lo que podría considerarse una campaña de ransomware.  Además, durante todo proceso, un ataque de Denegación de Servicio (DdoS) serviría de distracción para los responsables de ciberseguridad

De acuerdo con el Departamento de Justicia y el FBI, Kruichkov viajó a Sparks (Nevada) donde la fábrica de Tesla está ubicada y alquiló una habitación de hotel. Allí se reunió con el empleado de Tesla en cuestión para ofrecerle la suma de dinero en efectivo y en bitcoin a cambio de introducir el malware. Lo que no sabía es que tras su primer contacto, el empleado ya había avisado a las autoridades sin levantar sospechas. Por tanto, en la reunión ya actuó como informante del FBI y mediante un micrófono oculto grabó toda su conversación con Kriuchkov, lo que incluyó las declaraciones que demostraban el intento de soborno.

Enfoque integral de seguridad_

Este ejemplo de intento de ciberataque mediante insiders no ha sido el único caso este año: en febrero, la policía del Reino Unido alertó de que grupos de ciberatacantes profesionales se están infiltrando entre los servicios de limpieza como “agentes durmientes”, dispuestos a infiltrarse en los sistemas o introducir malware cuando reciban órdenes del grupo al

que pertenecen. En cualquier caso, bajo este contexto de múltiples amenazas que pueden provenir del interior, las organizaciones deben tener en cuenta tres premisas:

  • Enfoque integral de la Seguridad física y la ciberseguridad: tal y como señalamos anteriormente en el post de Zero Trust ante las amenazas en la cadena de suministro, la seguridad en sentido amplio incluye siempre al ámbito físico. Esto cobra aún más importancia con la amenaza de los insiders u otro personal de servicio subcontratado (limpieza, mantenimiento, etc) que pueda poner en peligro los sistemas de la organización. Por este motivo, conviene que las organizaciones que tengan datos sensibles o acceso a control de infraestructuras críticas establezcan protocolos con roles y permisos con distintos niveles de seguridad dentro de los espacios físicos (por ejemplo, con tarjetas de acceso personales o biometría) y un registro detallado de todas las personas que pueden acceder a ellos.
  • Control de todos los dispositivos y medios extraíbles: aunque no es la única vía de entrada (el ciberatacante podría autoenviarse un archivo malicioso por correo electrónico y ejecutarlo dentro de la organización para dar paso al malware), los dispositivos extraíbles como los pendrive continúan siendo un vector de ataque común para los insiders. En este sentido, las organizaciones deberían poder limitar y controlar al detalle qué dispositivos pueden tener acceso y cuáles no. El modelo Comply To Connect (CTC) utilizado por el Pentágono requiere la validación previa de todos los dispositivos antes de conectarse al sistema y es un buen ejemplo de ello.
  • Proactividad para anticiparse a los adversarios externos e internos: frente a ciberatacantes que tienen tantos recursos y utilizan técnicas de infiltración física tan sofisticadas, las organizaciones deben poder anticiparse a los adversarios, con analítica y visibilidad en tiempo real. Cytomic Orion ayuda a las organizaciones a cambiar su postura de seguridad de reactiva a proactiva y reducir así el tiempo de investigación y remediación de los incidentes. Además, el servicio de Threat Hunting incluido por defecto en todas las soluciones para el endpoint de Cytomic detecta atacantes que utilicen técnicas ‘Living off the Land’ en cualquiera de sus fases. Esto incluye comportamientos anómalos que puedan haber generado los propios miembros de la organización o de personas que tienen un acceso eventual a los sistemas. De esta manera, las organizaciones pueden estar protegidas frente a los ciberataques más avanzados como los de malware sin fichero, sin importar si su procedencia es externa o interna.