Ciberseguridad y emergencias
En todo el mundo, las organizaciones de protección civil bien gestionadas cuentan con planes de contingencia para hacer frente a situaciones de emergencia, crean y revisan protocolos, realizan simulacros y coordinan equipos de respuesta inmediata por si acaso lo llegan a necesitar en alguna ocasión.
Hoy, con las infraestructuras físicas y cibernética cada vez más conectadas, los efectos de los desastres pueden perdurar más allá del daño inicial. Los organismos públicos necesitan contar también con planes de ciberseguridad para emergencias naturales como terremotos, incendios o inundaciones. Más allá del daño a las infraestructuras físicas, el caos controlado de una emergencia se puede incrementar con la posibilidad de una exposición accidental de datos sensibles y/o de los recursos que controlan los sistemas de control industrial.
Es bastante improbable que los empleados tengan en la cabeza la conveniencia de dar la máxima prioridad a la seguridad de las comunicaciones, y eso que suele ser en estas situaciones cuando los rivales, o los enemigos, pueden pensar en probar las defensas de ciberseguridad existentes. Estos ataques pueden venir de la mano del crimen organizado o de algún otro gobierno, de actividades terroristas o de hackers más o menos chapuceros.
Y aunque no suele ser normal que los ciberataques se aprovechen de situaciones originadas por desastres naturales, sí que se ha visto el tipo de efectos que estos ataques podrían llegar a tener. Así, en abril de 2013 tuvo lugar un incidente en el que algunos hackers comprometieron la cuenta de Twitter de la agencia de prensa Associated Press. Enviaron un mensaje en el que se decía que unas explosiones en la Casa Blanca habían herido al presidente Obama. Inmediatamente, el índice Dow Jones Average se desplomó más de 100 puntos antes de recuperarse con rapidez.
Y no es el único caso conocido. En 2010, después del terremoto de Chile, un buscador de Internet que había sido manipulado, hizo que páginas falsas que incluían malware, se situaran al comienzo de los resultados de búsqueda. En 2014, durante la crisis racial en la localidad de Ferguson Missouri (EE.UU), un ataque DDOS se lanzó contra el correo y la Web del departamento de policía de la ciudad.
Pequeños errores aparentemente inocentes, pueden potencialmente ayudar a crear el caos. Durante los incendios del verano pasado en el norte de California, una persona incluyó una información incorrecta en la página de Facebook del condado de Napa. Durante un breve lapso de tiempo, el público visitante recibió el mensaje de ir en una dirección equivocada para escapar del fuego. Y hoy, cuando la tecnología gobierna el mundo, aquellos que la controlan pueden tener poder sobre instituciones y gobiernos.
Afortunadamente, hay toda una serie de pasos que organizaciones y entidades de protección pueden tomar antes de una emergencia física para prepararse ante posibles ataques:
• Contar con unos objetivos de seguridad. Las herramientas de análisis de seguridad permiten a los responsables de TI contar con una visibilidad completa de todo el tráfico en la red. Estas herramientas pueden ayudar a determinar si algo pasa, qué sistemas y datos se vieron afectados y si el ataque ha sido detenido.
• Definir la seguridad “para la nube” y “en la nube”. En una situación de emergencia, los edificios pueden verse afectados por inundaciones o daños de otro tipo, y las carreteras o medios de transporte pueden verse afectados volviéndose impracticables, por lo que contar con servicios cloud puede ser una alternativa adecuada para que los trabajadores puedan contar con ellos desde sus domicilios, sin necesidad de tener que desplazarse. La tecnología cloud permite a los equipos de emergencia tener acceso a la información desde los dispositivos móviles, y también ayuda a las autoridades a desplegar rápidamente los centros de operaciones de emergencia. Las instituciones también necesitarán contar con protección en las mismas aplicaciones cloud. Para impedir la existencia del “shadow cloud”, los responsables de TI deben controlar el acceso y el uso aceptable. Las tecnologías CASB (Cloud Access Security Brokerage) pueden limitar a los trabajadores la creación de cuentas en servicios tales como Box o DropBox, por ejemplo. Y lo más importante, la información en aplicaciones cloud puede ser encriptada y tokenizada.
• Establecer políticas para accesos de emergencia por web y gestión de ancho de banda. Priorizar el acceso a la red se convierte en algo crítico en una emergencia. El ancho de banda puede ser mínimo y se hace necesario restringir el acceso web únicamente a las páginas y a los recursos más críticos. Es necesario definir una política de acceso web más restrictiva antes de una emergencia y ponerla en funcionamiento cuando sea necesario. Y hay que hacer lo mismo con la gestión del ancho de banda. Hay que estar preparado para priorizar aplicaciones, tales como la VoIP, y contar con caché para la información crítica, como las comunicaciones oficiales y vídeos que puedan ser vistos desde un caché local.
• Proteger las páginas web públicas y las redes sociales. Durante y después de una catástrofe, los ciudadanos van a estar buscando información. Será crítico proteger los recursos de información públicos de los organismos y entidades involucradas. Los firewall pueden proteger frente a los ataques más comunes, controlar las entradas y salidas y los accesos al mismo tiempo que detectan comportamientos no usuales en el tráfico. Facebook y Twitter son recursos de comunicación críticos, pero también pueden utilizarse para presentar información maliciosa. Por ello es conveniente desplegar elementos de seguridad para las cuentas en redes sociales de las entidades involucradas tales como la autenticación de doble factor y códigos de verificación.
• Proteger la infraestructura de TI frente a los hackers después de una emergencia física, asegurará que recursos tanto públicos como privados, no serán víctimas del ciber expolio, y que la ciudadanía no se verá todavía aún más perjudicada.
Miguel Ángel Martos
Director general Blue Coat sur de Europa
Miguel Ángel Martos