Los desastres naturales son interés de la ciberseguridad. (Imagene creada con IA)
En el accionar de la ciberseguridad existen cuestiones que trascienden su definición tradicional y se ubican en el corazón de la gestión integral de riesgos. Una pregunta esencial en esta cuerda, pudiera referirse a si un huracán o ciclón tropical ser considerado un incidente de ciberseguridad.
La respuesta, aunque cuajada de matices, es categórica: sí. Los huracanes, por su acción destructiva, aunque no se ubican entre los primeros a tomar en consideración en las normas, si constituyen un aspecto a considerar entre los incidentes de ciberseguridad.
En el artículo 7 de la resolución 105/2021 del MINCOM Cuba se expone que: “Se considera un incidente de Ciberseguridad cualquier evento que se produzca de forma accidental o intencional, que afecte o ponga en peligro las tecnologías de la información y la comunicación o los procesos que con ellas se realizan”.
Para ampliar la comprensión del tema se puede considerar también como la definición que expone un incidente como un evento o serie de eventos que comprometen la confidencialidad, la integridad y la disponibilidad de un sistema informático, los datos que se procesan en el o los servicios que se ofrecen.
Entonces podría afirmarse que la ocurrencia de un ciclón tropical es una amenaza que al materializarse hace zozobrar estos pilares de la ciberseguridad y por tal motivo las acciones para enfrentarlo deben estar contenidas en los planes de contingencias.
No es ocioso recordar que la confidencialidad radica en el hecho de que la información no está disponible o divulgada para individuos, entidades o procesos no autorizados. La integridad determina que la información no ha sido alterada o destruida de manera no autorizada, mientras la disponibilidad expresa que la información y los sistemas son accesibles y utilizables cuando se requieren.
Por ello, tanto un corte de energía prolongado, una inundación en un centro de datos o la destrucción física de un servidor, son a partir de esta definición, incidentes que comprometen gravemente la disponibilidad y potencialmente la integridad de los sistemas y la información y estos problemas están normalmente asociados a un huracán.
Por ello un huracán, en sí mismo, es un desastre natural o una amenaza física que puede ser catalogada como un evento que desencadena múltiples incidentes de ciberseguridad si se asumen los siguientes argumentos:
Puede existir un compromiso masivo de la disponibilidad, porque el huracán provoca, daños a la infraestructura eléctrica y de comunicaciones que generan interrupciones prolongadas. Esto no es un simple «apagón», va más allá cuando afecta a sistemas críticos, pero además deja inoperantes los servicios de las organizaciones.
Son conocidos múltiples casos de colapso de torres eléctricas y de comunicación, las centrales eléctricas quedan fuera de servicio, también los sistemas de pago electrónico, entre muchos otros. La funcionalidad de la sociedad digital se ve paralizada.
Se puede producir una degradación de los controles de seguridad física y lógica.
Por ejemplo, los controles perimetrales (cercas, guardias, puertas blindadas) que resquebrajan el acceso físico no autorizado, que hacen posible robo y extracción de medios y los ambientales, relacionados con la climatización que al fallar provocan un aumento de la temperatura y la humedad, lo que impacta por el daño físico en los servidores y dispositivos de red, que compromete la integridad de los datos almacenados.
También los efectos de un huracán hacen posible la explotación maliciosa aprovechando la confusión y la vulnerabilidad que se materializa. Este es el argumento es sutil y peligroso. Los actores de amenazas cibernéticas son oportunistas. Un desastre natural crea una tormenta perfecta para ataques de Phishing e ingeniería social, aparecen estafas usando las vías digitales por las limitaciones para constatar información de fuentes oficiales. En fin los ciberdelincuentes se aprovechan de la situación y envían correos electrónicos falsos que simulan ser de instituciones de ayuda, solicitando credenciales para acceder a «ayudas económicas» o con enlaces maliciosos que prometen diversas cuestiones. El estado de ansiedad de la población aumenta la efectividad de estos ataques.
Esto propicia que se exploten sistemas remotos poco seguros que se activan automáticamente ante la imposibilidad de ser atendidos por el personal técnico, que los convierte en puertas de entrada para atacantes. Se atacan también las cadenas de suministro y logística de ayuda humanitaria y reparación de infraestructuras que se vuelven críticos. En estos casos un ataque de denegación de servicio (DDoS) o un ransomware que impacte estos sistemas en medio de la recuperación podría tener un impacto devastador, ralentizando la ayuda y multiplicando el daño del desastre natural.
Por ello, ante la pérdida de integridad por un daño físico no puede conducir a una recuperación apresurada. Esta es la razón de la existencia de protocolos de actuación sustentados en la evaluación de riesgos.
La destrucción física de equipos puede conducir a la pérdida irreversible de datos (compromiso de integridad), de ahí la importancia de las copias de seguridad y su restauración a partir de protocolos y la verificación adecuada para desarrollar la actividad. Así se evita usar backups comprometidos o que se trabaje sobre infraestructuras afectadas que produzcan pérdida de tiempo y eficiencia.
Muchas personas podrían preguntarse sobre que papel desempeñan en estos casos si no tienen funciones técnicas en un sistema informático. La respuesta es sencilla, debe recordarse que si el factor humano carece de preparación y de un modo de actuación desde la prevención, la batalla está pérdida de antemano. Es vital mantener vigilancia sobre la confidencialidad de las credenciales de usuarios, informar sobre afectaciones con celeridad y por vías seguras, mantener una posición crítica ante la información que llega por las redes, atendiendo solo canales oficiales y sobre todo colaborar en la vigilancia y el restablecimiento de las operaciones a partir de las indicaciones de la dirección de la organización.
La ciberseguridad tendrá siempre un papel muy importante en la protección de los sistemas informáticos desde la prevención y la resiliencia.
La ciberseguridad garantiza la operacionalidad de las organizaciones desde la resiliencia. Las acciones que se desarrollan para prevenir los incidentes y en especial el efecto de los desastres naturales. La capacidad de resistencia de una organización para resistir y recuperarse de un huracán (su resiliencia) depende directamente de que sus sistemas de información sigan funcionando o puedan restaurarse rápidamente, para ello es necesario un plan de contingencia contra desastres naturales que se base en garantizar eficiencia a partir de un análisis de riesgos que entre en los detalles a tomar en consideración en este tipo de sistema de eventos que se desencadenan con un ciclón tropical.
El mecanismo parte de un sistema que se sustente en la alerta temprana, la coordinación de la respuesta y la comunicación pública, lo que se vincula con la Defensa Civil, como vía para proteger desde los activos digitales críticos. Mientras mayor sea el impacto de la afectación durante la aproximación o el paso de un huracán, mayores serán las consecuencias y las posibilidades de mitigar los efectos o transferirlos a mecanismos de seguro.
Por ende, es esencial el desarrollo de acciones protocololizadas de antemano y a desarrollar antes, durante y después del huracán. Solo así se garantiza la continuidad de operaciones en el más breve plazo posible.
Las acciones previas (antes) que tienen que ver con la preparación y la prevención pueden resumirse en acciones tales como:
1. Copias de seguridad robustos y desconectados, para ello es vital la realización de un backup completo y verificado de todos los sistemas críticos y configuraciones. Estas copias de seguridad deben estar almacenadas en formato físico en ubicaciones geográficamente separadas, a prueba de agua y fuego.
2. Plan de recuperación de desastres y continuidad de operaciones que se basa en la documentación de procedimientos detallados para recuperar sistemas. Este plan incluye roles, responsabilidades y cadenas de mando.
3. Endurecimiento de sistemas de protección y actualización que aseguren que todos los sistemas tienen los últimos parches de seguridad y configuraciones robustas para minimizar vectores de ataque. Es importante revisar las conexiones remotas, VPN y hacer enfasis en la autenticación multifactor. En este acápite son muy importantes los simulacros y las acciones de preparación y concientización del todo el personal, en especial para enfrentar el phishing que tiene una tendencia al alza en situaciones de esta índole.
Durante el evento meteorológico se debe mantener entre las acciones:
1. La máxima vigilancia no solo del huracán, sino también de los intentos de intrusión, de phishing y de explotación de las situaciones que pueda provocar este incidente.
2. Es esencial que se mantenga un orden en la ejecución del plan que tiene como punto de partida la desconexión física de los equipos críticos para evitar el impacto de picos de voltaje o de carencias de suministro eléctrico que puedan afectar la protección eléctrica del sistema.
3. Mantener comunicaciones seguras, utilizando solo los canales de comunicación preestablecidos para este tipo de situaciones.
Al declararse la fase recuperativa, luego de que las condiciones de peligro han cesado se procede a desarrollar las acciones entre las que destacan:
1. Evaluación de daños que prioriza, evaluar inicialmente los sistemas críticos,
2. Verificación de la integridad de las copias de seguridad antes de proceder a su restauración, lo que debe hacerse desde medios seguros y verificados y previamente el sistema debe ser sometido a un escaneo de vulnerabilidades y de códigos maliciosos.
3. Realización del análisis postincidente que garantiza el aprendizaje de lo que sucediera, también conocido como «lecciones aprendidas» que permite mejorar nuestra respuesta a futuro.
Si bien un ciclón tropical no es un hacker, constituye un evento que perturba por sus efectos tan diversos las condiciones operativas y técnicas en los sistemas informáticos y por ende es una materialización de incidentes de ciberseguridad graves y de amplio espectro. Esa afirmación no es una frase hecha para conminar a mantener una posición de prevención, al igual que las personas toman medidas en sus hogares para anticipar y mitigar los efectos de este tipo de desastre, es una necesidad estratégica hacerla en los sistemas informáticos. Esto obliga a las organizaciones a integrar la gestión de riesgos físicos y cibernéticos en un marco de resiliencia, donde la protección de los activos digitales es tan crucial como la protección de los activos físicos y el personal para la supervivencia y rápida recuperación de la entidad.
El ideal está, en que se interiorice que la labor de la ciberseguridad es tarea de todos y no solo del personal técnico que asegura el funcionamiento de las TIC, porque la actuación de quien protege las credenciales, del que denuncia una intrusión o enfrenta un intento de phishing, contribuirán a mantener a salvo el sistema informático o mitigar los efectos de un huracán sobre el.