Cuando compras a través de enlaces de afiliados en nuestra web, es posible que obtengamos una comisión sin coste adicional para ti. Aprende 
Durante el Día de Acción de Gracias en EE.UU. en 2023, dos ciberataques desviaron ambulancias por hospitales de distintos estados y afectaron al sistema de suministro de agua de una ciudad a 18 millas al noroeste de Pittsburgh (Pensilvania).
El ataque al sistema de suministro de agua de Aliquippa, Pensilvania, atrajo inmediatamente la atención del Departamento de Seguridad Nacional, ya que un grupo alineado con Irán -Cyber Av3ngers-, vinculado a al menos diez incidentes cibernéticos de sistemas de suministro de agua en Israel, reivindicó su autoría.
Según la CBS, el equipo informático de un edificio de la autoridad del agua situado en un bosque a las afueras de Aliquippa se apagó de repente.
Detenido en su función de controlar la presión del agua, apareció un mensaje en una de las pantallas.
Matthew Mottes, presidente de la autoridad del agua, dijo a la CBS que el mensaje decía: ?…Nuestro sistema había sido pirateado por la autoridad legal por los ‘Cyber Av3ngers’. Abajo Israel?.
El mensaje a?adía: ?Todo equipo “Made in Israel” es objetivo legal de los Cyber Av3ngers?.
Por otra parte, aún se desconoce quiénes están detrás del ransomware que obligó a hospitales de Nueva Jersey, Nuevo México y Oklahoma a desviar ambulancias. Sin embargo, con sólo un par de días de diferencia y atacando sistemas clave durante las vacaciones, está claro que ambos atacantes buscaban causar el mayor da?o posible.
La CNN informó de que un hospital de 263 camas de Albuquerque (Nuevo México) no podía aceptar ambulancias, junto con un hospital de 365 camas de Montclair (Nueva Jersey) y varios hospitales del este de Texas que tratan a miles de pacientes al a?o.
Una enfermera declaró a la CNN que el personal tuvo que ?imprimir toda la información de los pacientes que pudimos? mientras las redes empezaban a apagarse.
Aunque los informes de ciberseguridad revelan que los grupos de ciberdelincuentes atacan cada vez más tanto al sector sanitario como a los sectores de infraestructuras críticas, a menudo con apoyo estatal, estos dos ataques son una muestra aterradora de la facilidad con que pueden producirse ataques generalizados contra civiles.
Revelan una escalada en los sistemas digitales estadounidenses con un peligroso potencial para afectar significativamente a la población.
Techopedia habló con Nicole Sundin, CPO de Axio, para obtener información sobre el sector de la seguridad del agua, y con Richard Caralli, Asesor Principal de Ciberseguridad de Axio, para desentra?ar las profundas conexiones internacionales del ataque al agua de Pittsburgh. Además, recibimos varios comentarios de destacados expertos mientras elaborábamos este informe.
Lo que sigue es lo que hemos aprendido sobre los recientes ataques y por qué los expertos dicen que hay que centrarse en la seguridad OT-IT (Tecnología Operativa).
El sector sanitario estadounidense en el punto de mira
En su reciente Informe Global de Inteligencia sobre Amenazas 2023, BlackBerry informó de más de 179.000 incidentes contra el sector sanitario en todo el mundo. Blackberry a?ade que millones de pacientes de 20 estados de EE.UU. se han visto afectados por interrupciones sanitarias en 2023, y que los datos sensibles de los pacientes se han convertido en un precio lucrativo para las bandas de ransomware.
?El problema radica en la complejidad de estos entornos?, declaró Sundin a Techopedia.
Sundin explicó que la naturaleza distribuida de los sistemas hospitalarios es uno de los principales retos.
“Vemos a clientes que realizan evaluaciones de riesgos para más de 150 sistemas hospitalarios, todos ellos con distintos niveles de riesgo. Elaborar un plan completo para abordar el riesgo en un entorno distribuido es muy complicado y requiere mucha colaboración de numerosas partes interesadas.”
Además, la complejidad de los sistemas sanitarios, que combinan TI, OT e Internet de las Cosas (IoT), presenta numerosos vectores de ataque difíciles de bloquear.
Elevar los estándares de la seguridad sanitaria
Sundin advirtió que el sector sanitario debe dar prioridad no sólo al cumplimiento de las normas, sino también a la ciberseguridad.
“El cumplimiento de HIPPA o HITRUST no significa automáticamente que se estén abordando los riesgos. El clásico dicho de que cumplimiento no equivale a seguridad es cierto en este caso. Los sistemas hospitalarios no sólo tienen que cumplir la normativa, sino adoptar un enfoque de resiliencia ante los riesgos para proteger sus sistemas hospitalarios.”
Sundin destacó la necesidad de crear un programa basado en el riesgo, comprendiendo qué riesgos se corren de forma holística en todas las operaciones y abordando después cada uno de ellos. Una vez evaluados exhaustivamente los riesgos, pueden desplegarse controles como la segmentación de la red, la gestión de accesos privilegiados (PAM) y otros mecanismos de mínimos privilegios para crear capas de seguridad.
?Sin embargo, la identificación de prácticas de seguridad estándar debe empezar por comprender tus riesgos y construir una estrategia en torno a la forma de abordarlos?, a?adió Sundin.
Las líneas difusas entre los mundos virtual-IT y real-OT
Los expertos coinciden en que la clave para asegurar las sofisticadas y descentralizadas operaciones críticas como las que proporcionan las organizaciones sanitarias reside en la modernización de los Sistemas de Mando de Incidentes Hospitalarios (HICS), que existen bajo el paraguas de los Sistemas de Mando de Incidentes (ICS).
Tradicionalmente, un HICS se dise?a para que los hospitales hagan frente a sucesos como cortes de energía, inundaciones, incendios y catástrofes naturales.
Esbozan directrices, por ejemplo, para proporcionar una fuente de energía de reserva, suministro continuo de agua y comunicaciones continuas incluso ante emergencias inesperadas. Sin embargo, muchos proveedores aún no han actualizado sus HICS para hacer frente a la amenaza moderna de los ciberataques, lo que incluye alinear la tecnología operativa (OT) con los sistemas de tecnología de la información (IT).
En una declaración enviada a Techopedia, Bryson Bort, Faculty de IANS Research y CEO y Fundador de SCYTHE, afirmó que la integración y la creciente convergencia de OT e IT será una tendencia crucial para la ciberseguridad en 2024.
“Esta convergencia va más allá de las operaciones industriales y empresariales y se extiende a nuestra vida cotidiana. A menudo no nos damos cuenta de que interactuamos con componentes OT en el lugar de trabajo, desde la electricidad y el agua hasta los ascensores y las cámaras de seguridad.”
En el caso de los proveedores sanitarios, la OT engloba hardware y software como sistemas de imagen médica, equipos de laboratorio, bombas de infusión y ventiladores, sistemas de gestión de edificios (BMS), y redes y seguridad de datos, entre otros.
El problema es que estas tecnologías vitales están tan integradas en los sistemas de TI conectados a Internet, que cuando se produce una brecha en la TI, la OT se ve comprometida. A menudo, los hospitales tienen que interrumpir sus operaciones.
Por tanto, un simple error humano, como que un trabajador del hospital haga clic en un enlace de phishing en su teléfono, puede perturbar potencialmente todo un sistema sanitario multiestatal.
?La frontera entre TI y OT es cada vez menos nítida a medida que los aspectos invisibles del Internet de las Cosas (IoT) se mezclan en nuestros entornos. Lo que está claro es que la superficie de posibles amenazas a la ciberseguridad está aumentando. A medida que estos dominios siguen fusionándose, los esfuerzos de colaboración para asegurar esta creciente superficie de ataque son fundamentales?, dijo Bort.
El ataque del agua de Aliquippa: Seguridad para la ciberguerra internacional
Del mismo modo, en el núcleo del ataque al sistema de aguas de Aliquippa, Pensilvania, se encuentran la seguridad OT y la IT.
Mark Toussaint, Sr. Product Manager y experto en tecnología operativa (OT) de OPSWAT, declaró a Techopedia por correo electrónico que mitigar los riesgos de ciberseguridad en los sistemas ICS puede suponer un reto para algunas organizaciones.
“Especialmente en los sistemas de agua y aguas residuales, ya que suelen ser municipios más peque?os con recursos limitados. Este sector tampoco está regulado por requisitos de ciberseguridad de obligado cumplimiento, lo que lo hace más vulnerable.”
Cómo las Pasarelas de Seguridad Unidireccionales (USG) pueden reforzar el agua
Aunque el primer paso para cualquier sector es alinear los entornos informáticos con las buenas prácticas e identificar los vectores de amenaza para implantar soluciones que reduzcan la probabilidad de ataques impactantes, muchos no reconocen las tecnologías adecuadas que hay que implantar.
Toussaint aseguró que las pasarelas de seguridad unidireccionales (USG) podrían reforzar el sector del agua y proporcionar continuidad a servicios críticos como el agua, incluso durante un incidente de seguridad.
?Esta medida preventiva (USG) impide que las amenazas se propaguen a segmentos críticos de la red, permitiendo que las operaciones continúen sin verse comprometidas?.
Las USG se utilizan habitualmente en sistemas de control industrial (ICS), redes sanitarias y redes gubernamentales. Estas tecnologías crean una barrera física entre una red de baja seguridad (LSN) y una red de alta seguridad (HSN), impidiendo que los datos fluyan de la HSN a la LSN.
?Las organizaciones pueden mejorar su pila tecnológica de seguridad incorporando pasarelas de seguridad unidireccionales?, dijo Toussaint.
“Aunque se utilizan tradicionalmente en organismos gubernamentales, estas pasarelas y diodos de datos se adoptan cada vez más en industrias como la del petróleo y el gas y la manufacturera. Garantizan la comunicación unidireccional y el intercambio de datos, no sólo previniendo posibles amenazas internas y minimizando la fuga de datos, sino también asegurando que no pase información enrutable entre redes con distintos niveles de seguridad.”
Toussaint a?adió que, dado que sectores de infraestructuras críticas como el agua y las aguas residuales están cada vez más en el punto de mira de los actores de amenaza de los estados-nación que pretenden causar trastornos, las organizaciones deben adelantarse a los acontecimientos.
El conflicto entre Israel y Hamás se extiende por el ciberespacio
Aunque no es el primer ciberataque internacional vinculado al conflicto entre Israel y Hamás, el ataque al agua de Aliquippa es sin duda una de las se?ales de alarma más evidentes desde que se intensificó el conflicto en Oriente Próximo.
Los expertos coinciden en que, a medida que siga desarrollándose el conflicto entre Israel y Hamás, incidentes cibernéticos internacionales similares serán noticia. Richard Caralli, Asesor Senior de Ciberseguridad de Axio, habló con Techopedia sobre este asunto.
“Es poco probable que la ciudad de Aliquippa (o cualquier municipio peque?o) sea objetivo específico por su ubicación o área de servicio. Sin embargo, se ha informado de que la empresa de servicios públicos de Aliquippa utiliza un sistema de control industrial (ICS) suministrado por Unitronics, con sede en Israel, que ha sido objetivo de un supuesto grupo hacktivista con sede en Irán conocido como Cyber Av3ngers?.
Caralli explicó que muchos de los componentes de un ICS están conectados directamente a Internet, lo que los hace más vulnerables a los ataques. Caralli a?adió que se han identificado y publicado vulnerabilidades en componentes ICS de Unitronics, lo que puede fomentar aún más los intentos de explotación.
?Los usuarios de este tipo de tecnologías -suministradas por Unitronics u otros proveedores- deben estar alerta ante cualquier indicio de intrusión, ya que los hacktivistas suelen aprovechar cuando la atención se centra en acontecimientos de gran repercusión (como conflictos físicos) para llevar a cabo campa?as de ciberataque?, advirtió Caralli.
Caralli calificó de peligroso al grupo vinculado a Irán que atacó al grupo de Aliquippa.
“Cualquier grupo activista que tenga acceso suficiente a conocimientos técnicos y medios para ejecutar un ciberataque es peligroso, si se le da la oportunidad. Claramente, los servicios que son críticos para la vida, la seguridad y la salud -como los sistemas de agua, los servicios hospitalarios o las redes eléctricas- son objetivos principales de los ciberatacantes debido al potencial de da?os generalizados y al impacto social.”
Según Caralli, aunque es probable que las bandas cibernéticas vinculadas no sean más peligrosas que otros grupos patrocinados por el Estado-nación, es probable que los recientes conflictos de Oriente Próximo animen a estos grupos a realizar campa?as simultáneamente. Al mismo tiempo, la atención se centra en las batallas terrestres.
OT-IT en el sector del agua
El problema de sectores como el de los peque?os proveedores de agua es que muchos siguen operando con sistemas heredados que no son compatibles con las normas modernas de ciberseguridad, como impedir el uso de credenciales administrativas predeterminadas o la autenticación multifactor.
Estas operaciones también dependen a menudo de proveedores externos que utilizan sistemas informáticos en línea para operar y mantener las tecnologías operativas, lo que hace que los sistemas que deberían estar conectados a Internet estén protegidos contra el aire.
Los sistemas OT que funcionan en un entorno de red ?cerrado? (es decir, no expuestos a Internet) son, por dise?o, potencialmente más seguros porque sólo se puede acceder a ellos desde dentro de la red de la organización, explicó Caralli.
“Las tecnologías operativas controlan los procesos que nos proporcionan electricidad, gas natural, agua y productos manufacturados. La creciente automatización y digitalización han revolucionado estos procesos, al igual que el uso de Internet. Por desgracia, el avance tecnológico hace que estos sistemas sean más vulnerables a los ataques y requiere programas y controles de ciberseguridad más sofisticados para mejorar su resistencia.”
Lo esencial
La guerra entre Ucrania y Rusia demostró que la guerra sobre el terreno traspasará muchas fronteras en el ciberespacio. Naturalmente, los gobiernos de todo el mundo y de Estados Unidos ya se están preparando para una escalada de incidentes cibernéticos provocados por el aumento de las tensiones en Oriente Próximo.
Caralli afirmó que ya existen pruebas de cómo este nuevo conflicto afecta a la ciberseguridad, a pesar de la continua guerra cibernética.
?El reciente repunte de los ataques a sistemas hospitalarios, los ataques a sistemas educativos y los recientes ataques a sistemas de agua indican que los estados nación y los activistas están interesados en crear un impacto social y un caos que pueda tener efectos colaterales aguas abajo?.
A medida que las fuerzas del orden y los poderes públicos federales y estatales de Estados Unidos se involucren, se espera que las infraestructuras y los servicios críticos, como el agua y la sanidad, se encuentren entre los objetivos principales.
Los expertos coinciden en que las prioridades de la ciberseguridad 2024 deben incluir evaluaciones exhaustivas y prácticas de los riesgos, evaluaciones proactivas de las exposiciones y acciones mediante estrategias de SCI, y el escrutinio del uso de Internet cuando permite la tecnología operativa. La seguridad y la integridad de las operaciones OT-IT parecen ser los retos más importantes.
