Guerra en Ucrania: ¿Cuáles son las consecuencias para las empresas?

La incertidumbre que rodea al conflicto armado en Ucrania también plantea numerosas preguntas: ¿Cómo pueden las empresas protegerse de quedar atrapadas entre los frentes y convertirse en un objetivo? Solo hay una cosa que es cierta: actualmente hay más preguntas que respuestas.

La información descrita aquí representa el estado actual en el momento de la publicación. En caso de que haya algún cambio, estos se agregarán posteriormente y se marcarán en consecuencia.

En general, hay mucho movimiento sobre el tema de Ucrania, y las advertencias no han sido muy específicas hasta ahora. El BSI habla de una «situación de amenaza abstractamente aumentada». La impresión general se reduce a «En realidad, todos tampoco sabemos nada con certeza, pero tenemos que tener cuidado». Parece que nadie sabe realmente qué hacer en esta situación como propietario de un negocio. Sin embargo, si echamos un vistazo a lo que está sucediendo en el área de crisis, obtenemos una imagen diferente. Las autoridades, los bancos y los medios de comunicación parecen ser los principales objetivos en este momento. Otros ataques en Ucrania están dirigidos contra el suministro de agua y electricidad. En Alemania, el Funke Mediengruppe ya ha sufrido ataques DDoS.

Los ciudadanos, las empresas y las asociaciones industriales exigen -con razón- información sobre la situación, pero eso es exactamente lo que está en el terreno en este momento. Y la información que existe no siempre proviene de fuentes confiables o deja mucho espacio para la interpretación.

Sin embargo, la pregunta sigue siendo: ¿Qué pueden y deben hacer las empresas ahora? A continuación se presentan algunas respuestas a las preguntas más apremiantes.

1. ¿Qué peligros hay en primer lugar?

La Oficina Federal Alemana de Seguridad de la Información (BSI) ya ha proporcionado la respuesta a esto. La versión corta es: En la actualidad, el nivel de amenaza es elevado, pero hasta ahora no ha habido actividades concretas en un frente amplio. Esta respuesta ha dejado a muchos aún más perplejos, y también hay críticas a la reticencia del BSI (Fuente en alemán). Sin embargo, esto no cambia la situación por el momento.

2. ¿Qué escenarios de ataque son realistas?

Los escenarios descritos con mayor frecuencia desde el área de crisis son los ataques DDoS diseñados para sobrecargar específicamente ciertos sistemas. Los objetivos principales aquí son las infraestructuras críticas, que incluyen la radiodifusión y los medios de comunicación, así como las agencias gubernamentales y los bancos. Sin embargo, esto no significa que otros sectores empresariales no estén en riesgo: las empresas individuales pueden convertirse en víctimas accidentales si una herramienta de ataque se sale de control o si simplemente destruir datos es el objetivo. Los llamados limpiaparabrisas, que no tienen otra función que eliminar la mayor cantidad de datos posible, a menudo se han utilizado para este propósito. Sin embargo, estos limpiaparabrisas también pueden disfrazarse de otros programas maliciosos, como el ransomware.

3. ¿Quiénes son los atacantes?

Esta pregunta es más difícil de responder. Esto se debe a que no hay frentes claramente definidos. En los últimos días, numerosos voluntarios «guerrilleros en línea» de todas partes del mundo han comenzado a involucrarse en la acción y quieren hacer una contribución para apoyar a Ucrania o Rusia. Estos solo están muy poco organizados, y sus actividades están bastante descoordinadas. El nivel de experiencia también es muy diferente. Por lo tanto, en la actualidad es casi imposible hacer declaraciones claras sobre el origen de los ataques. El hecho de que incluso dentro de los grupos de ciberdelincuencia establecidos no siempre haya unanimidad con respecto a las acciones del gobierno ruso hace el resto.
En general, también debe tenerse en cuenta que no todas las acciones por parte de estos hacktivistas pueden evaluarse como significativas, porque no logran un efecto medible o afectan a las partes que no están involucradas en el conflicto.

4. ¿A qué debo prestar especial atención?

Para poder atacar los sistemas con éxito, los atacantes generalmente los escanean en busca de vulnerabilidades de antemano. Esto se hace con la ayuda de programas de escaneo especializados que buscan puertos de red abiertos, por ejemplo. Los sistemas que están expuestos a Internet se convierten así en al menos objetivos potenciales. El aumento de la actividad de escaneo puede incluso sobrecargar los sistemas. Además, ahora es más importante que nunca comprobar si todos los sistemas están actualizados. Incluso una vulnerabilidad de seguridad supuestamente antigua para la que ya existen parches pero no se han instalado puede convertirse rápidamente en el talón de Aquiles de una empresa.

5. ¿Cómo puedo reducir mi superficie de ataque?

Las medidas para mejorar la seguridad que se han recomendado encarecidamente una y otra vez durante años siguen aplicándose. Los sistemas que están expuestos a Internet ofrecen una superficie de ataque potencial. Por lo tanto, se debe considerar cuidadosamente si un sistema en particular generalmente necesita ser accesible desde Internet. Si no hay una razón válida por la que necesite ser accesible desde Internet, entonces no debe exponerse de esta manera. Además, se aplican las precauciones habituales para los empleados al tratar con correos y archivos adjuntos. Aquí, la fuerza laboral puede convertirse en un componente crítico de la estrategia de seguridad. Aquellos que capacitan a los empleados en consecuencia tienen una ventaja aquí.
Los ataques a aplicaciones críticas para el negocio han demostrado que la velocidad con la que se instalan los parches por sí solos puede marcar la diferencia crucial entre un ataque prevenido y un incidente de seguridad en toda regla. Incluso una solución de protección instalada solo puede ser tan buena como se le permita. Por ejemplo, cualquiera que desactive deliberadamente componentes proactivos individuales se está privando de la oportunidad de detectar y prevenir ataques a tiempo sin ninguna necesidad.

6. ¿Qué puedo hacer si mi red está bajo ataque?

Lo más importante en este caso es implementar el plan de emergencia. Si aún no existe tal plan, ya es hora de desarrollar uno ahora. Incluso la información más simple es valiosa en una emergencia: por ejemplo, quiénes son las personas de contacto internas o los proveedores de servicios externos a los que los empleados pueden recurrir, junto con los detalles de contacto. Los proveedores especializados pueden proporcionar apoyo en este sentido. Los planes de emergencia existentes también deben incluir un plan de contingencia que permita la operación continua, incluso si la respuesta a incidentes externos no está disponible con poca antelación y la empresa se queda sola por el momento.

Lo crucial en este momento es no entrar en pánico. Hacer las cosas solo por el hecho de «hacer algo y tomar medidas» no sirve para nada. En un vacío de información, siempre existe el riesgo de que la información incompleta o incorrecta cobre vida propia. El conocimiento a medias y las propias convicciones o creencias se combinan rápidamente en algo que puede empeorar la situación en estas circunstancias. Cualquiera que quiera cambiar de proveedor de seguridad debido a los acontecimientos actuales, por razones éticas o de otro tipo, en el contexto del conflicto de Ucrania, no puede ser disuadido de hacerlo, pero un cambio no debe tener lugar a expensas de la seguridad y, sobre todo, no de manera desordenada.

Apuntes sobre la dimensión informática en la guerra: el caso Rusia-Ucrania

Actualización: Sobre las recomendaciones del BSI

marzo 17, 2022

Después de que la Oficina Federal Alemana de Seguridad de la Información (BSI) advirtiera contra el uso de algunos productos de la competencia, echar un vistazo cuidadoso a la propia solución de seguridad se ha vuelto una vez más urgente. Lo notable del anuncio del BSI es que se desvía fundamentalmente de todo lo que se ha comunicado en el pasado sobre temas similares. En muchos casos, los gerentes y ejecutivos de TI toman el anuncio de BSI como una oportunidad para desinstalar inmediatamente los productos de la competencia, incluso si un reemplazo aún no está listo. Desde un punto de vista puramente técnico, este tipo de reemplazo de «cabeza sobre talones» tiene un sentido limitado, incluso si es políticamente comprensible. Dicho esto, el objetivo principal de los gerentes de TI siempre debe ser proteger los activos corporativos. Por lo tanto, solo se recomienda un cambio si una alternativa está lista para funcionar y se garantiza una transición perfecta. Ir sin protección nunca es una buena idea, incluso si es solo por un día o dos. Ese es un día o dos en el que los atacantes potenciales tienen un tiro claro. Y como se describió anteriormente, nunca está claro de qué dirección vendrá tal ataque, incluso si no estuviéramos en la situación geopolítica que todos enfrentamos en este momento. Por lo tanto, este es un riesgo que cualquier empresa dispuesta a cambiar debe sopesar con mucho cuidado.

Enlace: La guerra en Ucrania y sus efectos colaterales para la seguridad de TI | G DATOS (gdatasoftware.com) Blog de GDATA Tim Berghoff