Ciberataques a laboratorios y ciberguerra, nuevas amenazas mundiales con Javier Tobal

Javier Tobal es informático, perito judicial informático y auditor de seguridad. Ha sido miembro del Observatorio Europeo de Ciberseguridad y Privacidad y desde abril de 2018 es CISO en FINTONIC. Además, Tobal asesora a varios proyectos europeos del campo de la ciberseguridad como Cyberwiser.eu, plataforma que permite la formación y el entrenamiento en ciberseguridad en un entorno controlado.

La directora del CNI Paz Esteban alertaba recientemente de “una campaña especialmente virulenta, no sólo en España, contra laboratorios que trabajan en la búsqueda de una vacuna para la covid-19”. ¿Cuán delicada es la situación actualmente a nivel mundial y de qué tipo de ataques estamos hablando?

Los intentos de ataques a todo tipo de sistemas son cada vez más frecuentes y sofisticados. Cualquier actividad que adquiera relevancia, como en este caso los laboratorios, atraen el interés de malhechores que están continuamente buscando nuevas víctimas.

Los principales ataques que sufren los laboratorios se pueden clasificar en varias categorías: ataques contra la propiedad intelectual, que son los más sofisticados y se reservan para acceder a tratamientos susceptibles de obtener patentes. Exfiltración de datos confidenciales o privados, sean financieros, de empleados, clientes o, en los casos más graves y sensibles, datos de pacientes que participan en ensayos clínicos.

 En 2019, la empresa estadounidense AMCA (American Medical Collection Agency) sufrió el robo de información perteneciente a 21 millones de pacientes de diferentes centros médicos que habían contratado sus servicios. La base de datos contenía datos personales (nombre, fecha de nacimiento, dirección postal, etc.) y se podía comprar a través de Internet. 

Otro tipo de ataque es el ransomware que consiste en acceder a los sistemas de una organización y cifrar información imprescindible para su funcionamiento. El objetivo último de la acción es obtener un rescate (ransom, en Inglés) por la clave que permita a la organización recuperar los datos y reanudar la actividad.

En 2019, el hospital “Park DuValle” de Kentucky (Estados Unidos) pagó un rescate de 70.000 euros (6 bitcoins) para recuperar los datos de 20.000 pacientes cifrados por un ataque de este tipo. Durante dos meses, el hospital funcionó sin información de los pacientes (historiales, citas, etc.). 

¿Facilita el teletrabajo y la falta de protocolos de seguridad en los hogares los ciberataques a instituciones y organismos?

Evidentemente la adopción masiva del teletrabajo tiene un gran impacto en la seguridad global de las organizaciones, especialmente en el caso de empleados cuya actividad era presencial anteriormente y han tenido que adaptarse al nuevo modelo de teletrabajo de forma precipitada.

En general, el entorno doméstico conlleva el uso de redes cuya configuración de seguridad no es siempre óptima (muchas veces, usando conexiones inalámbricas, configuraciones por defecto genéricas del operador, etc.). También es habitual la presencia de personas cercanas (por ejemplo, familiares) que tienen acceso a los dispositivos de los empleados. Por último, el entorno doméstico facilita que los equipos de uso profesional se destinen a otros usos diferentes con más riesgos: acceso a contenido peligroso, instalación de aplicaciones no corporativas, etc.

¿Están laboratorios y universidades suficientemente protegidos y preparados frente a este tipo de ataques?

En general, la mayoría de las organizaciones tienen actualmente un nivel de seguridad adecuado a una evaluación de riesgos previamente realizado.

La principal dificultad estriba en desarrollar un mecanismo de evaluación continua que dé respuesta a la propia evolución de las amenazas y actualice los mecanismos de seguridad. Hay que tener en cuenta que los riesgos cada vez son más numerosos porque el número de dispositivos, datos y aplicaciones a proteger también es mayor. Igualmente, cada vez es mayor el número de potenciales atacantes.

Por todo esto, hay que actualizar de forma continua las medidas de protección y aumentar progresivamente las inversiones en ciberseguridad.

En su estudio Ciberamenazas y Tendencias Edición 2020, el Centro Criptológico Nacional habla de ciberespionaje, extorsión, destrucción de información o incluso operaciones de influencia hacia la opinión pública como motivadores de estos ataques. Según su experiencia, ¿quiénes llevan a cabo estos ataques y con qué objetivo?

Por una parte, los ataques actuales son cada vez más sofisticados, especializados en un tipo de objetivo o sector y con herramientas más potentes y mayor capacidad de ataque. Esta sofisticación conlleva que los atacantes se organicen en equipos especializados cuyos miembros desempeñan roles diferentes y aportan conocimientos técnicos específicos.

Por otra parte, los ataques exitosos obtienen muchas veces grandes rendimientos económicos para sus autores.

En resumen, en muchos casos se trata de organizaciones criminales internacionales con grandes recursos financieros, tecnológicos y humanos que diseñan ataques complejos y de gran impacto con el principal objetivo de obtener la mayor rentabilidad económica y minimizar el riesgo penal.

El mismo estudio señala también que “durante 2019 se constató un incremento notabilísimo de ataques mediante ransomware a hospitales y otras infraestructuras y servicios sanitarios”. ¿Es necesaria una estrategia nacional de ciberseguridad para los entornos sanitarios? ¿Qué nos jugamos en ello?

Como cualquier sistema complejo, los hospitales presentan muchas oportunidades para ser atacados: tecnologías heterogéneas, multitud de elementos conectados a varias redes de comunicación, personal con perfiles muy variados, etc.

 Los hospitales forman parte de la red de infraestructuras críticas y tienen una protección especial dentro del Esquema Nacional de Seguridad.

Evidentemente, deben disponer de sistemas digitales que los hagan más eficientes e, incluso, abiertos. Desde aplicaciones móviles para los usuarios que permitan gestionar sus citas e información sanitaria, hasta sistemas de telemedicina que permitan a los clínicos atender a los pacientes sin que éstos se desplacen o historiales médicos digitalizados que puedan ser consultados en línea y compartidos de forma segura con otros profesionales.

La seguridad de los sistemas digitales en un entorno tan sensible como el hospitalario debe cubrir muchos aspectos: disponibilidad del servicio, integridad y confidencialidad de los datos manejados, autenticación e identificación segura de los diferentes usuarios del sistema, trazabilidad de las operaciones, etc.

Esta seguridad debe extenderse tanto en sentido horizontal a todas las organizaciones que forman la red de servicios sanitarios (hospitales, consultas médicas, laboratorios, centros de investigación, unidades de emergencias sanitarias, etc.) como verticalmente a todos los elementos que forman la cadena de suministro del servicio sanitario (incluyendo proveedores de material, proveedores de servicios, externos e internos, recursos humanos, logística, etc.).

En la carrera para combatir la Covid19 Europa está considerando diferentes propuestas de monitorización automática de proximidad de personas, como el Pan-European Privacy-Preserving Proximity Tracing, basadas en redes de telefonía, terminales móviles, bluetooth y criptografía. ¿Podrían éstas ser también objetos de ataques?

En realidad, Europa es uno de los mercados más preocupados por la privacidad, tanto desde el punto de vista de los ciudadanos europeos como de las autoridades de la Unión Europea.

La monitorización de contactos próximos usando tecnologías móviles, como la aplicación española Radar-COVID, está basada en protocolos que respetan especialmente la seguridad. El protocolo DP-3T (Rastreo de proximidad descentralizado para preservar la privacidad) es un desarrollo público europeo y es usado por muchos de estos sistemas, entre ellos la mencionada aplicación española Radar-COVID.

Todos los sistemas son susceptibles de ser atacados pero en este caso, tras varios meses de pruebas y de uso masivo, ninguna de las aplicaciones basadas en el protocolo DP-3T ha sufrido ningún incidente de seguridad reseñable. Además de España, otros países han implementado el mismo protocolo (por ejemplo, Suiza).

¿Qué medidas podemos tomar a nivel personal para mitigar los riesgos?

Lo primero es poner en valor la información digital que manejamos a diario. Una vez que seamos conscientes del valor de estos datos, podremos valorar la protección que requieren, tanto por el valor que esa información tiene para nosotros como el perjuicio que nos supone su pérdida o uso indebido.

Luego, debemos incluir en nuestra práctica diaria algunos hábitos seguros muy básicos. Estos hábitos deberían incluir, inevitablemente, los siguientes puntos:

– proteger nuestra identidad digital: usar contraseñas seguras y revisar cualquier alarma que indique un uso indebido.

– manejar de forma segura nuestros datos en función de su importancia: mantener copia de seguridad de los datos más críticos, controlar la difusión pública de datos privados o confidenciales, borrar nuestros datos de los dispositivos y los servicios cuando ya no sean necesarios.

– cultivar un cierto “escepticismo digital”: desconfiar de ofertas no solicitadas de fuentes desconocidas, ignorar mensajes cuya procedencia y veracidad no pueda ser verificada y, por último, evitar la sobreexposición de información privada en redes públicas.

¿Diría que nos encontramos en una ciber-guerra fría?

Todos los estados asumen el ciberespacio como un campo más de batalla o, como definió la cumbre de la OTAN de 2016 (Varsovia), “un nuevo dominio de operaciones militares, junto a los de tierra, mar y aire”.

Sin embargo, no se puede hablar de “Guerra fría cibernética” porque no hay una declaración pública de bloques y de alineamiento de los diferentes estados con los mismos.

Aunque oficialmente todos los estados se declaran neutrales y amigos de los demás estados legítimos, el ciberespacio presenta su propia escalada armamentística: todas las naciones están desarrollando sus capacidades para operar militarmente en el ciberespacio bien como único escenario de operaciones específicas o como soporte a operaciones desarrolladas en los dominios tradicionales. Estas capacidades incluyen tecnología, personal, procedimientos, información de otros actores, etc.

La ciberguerra tiene características especiales en comparación con las operaciones militares tradicionales:

– las acciones son difíciles de atribuir (anonimato, falsa bandera).

– la demostración de las capacidades ofensivas pone en riesgo su efectividad en el futuro, por lo que es difícil valorar las capacidades reales de los estados.

– las armas cibernéticas pierden su potencial una vez utilizadas por primera vez.

– el proceso de designación de objetivos (targeting) puede convertirse en un ataque efectivo sin alerta previa.

– las compañías privadas (tecnológicas, operadores de comunicaciones, etc.) controlan el 90% de las infraestructuras que forman el campo de batalla del ciberespacio.

Por todo ello, aunque hay constancia de acciones de ciberguerra ocurridas en los últimos años, en ningún caso ha habido una declaración previa, ni confirmación posterior, ni atribución oficial a ningún estado.

Si no estamos ya en una ciberguerra, estamos sin duda en un proceso de desarrollo y aprovisionamiento de armas cibernéticas por parte de todos los estados del planeta.