La principal agencia de seguridad cibernética del gobierno federal está instando a los administradores de redes informáticas de las redes de infraestructura crítica estadounidenses a reforzar de inmediato la seguridad contra los ataques electrónicos tras los presuntos ataques cibernéticos rusos contra Ucrania.
La declaración del martes de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtió que se necesita una mayor seguridad con urgencia luego de los «recientes incidentes cibernéticos maliciosos en Ucrania».
“Toda organización en los Estados Unidos está en riesgo de amenazas cibernéticas que pueden interrumpir los servicios esenciales y potencialmente resultar en impactos en la seguridad pública”, decía el aviso.
La advertencia se produce contra los crecientes temores occidentales de una invasión militar rusa de Ucrania, ya que más de 100.000 soldados rusos, junto con tanques y vehículos blindados, se encuentran desplegados cerca de la frontera.
Las conversaciones destinadas a calmar las tensiones también han fallado a medida que los funcionarios rusos intensifican las demandas de seguridad para bloquear la membresía de Ucrania en la OTAN y retirar las fuerzas y el armamento de la OTAN en los estados miembros a lo largo de la frontera occidental de Rusia.
La CISA, parte del Departamento de Seguridad Nacional, dijo que los indicadores recientes de las operaciones cibernéticas rusas incluyen la desfiguración de los sitios web del gobierno ucraniano y la colocación de malware destructivo en las redes informáticas ucranianas.
Se insta a todos los administradores de redes estadounidenses, incluidos los que están a cargo de infraestructuras críticas como la red de energía eléctrica, los sistemas financieros y el sistema de comunicaciones, a que actúen ahora. Los analistas de defensa creen que cualquier incursión militar rusa en Ucrania irá acompañada de una guerra de información militar y ataques cibernéticos diseñados para interrumpir o confundir los sistemas de información militar del enemigo.
CISA publicó una lista de verificación de acciones que todas las organizaciones deben tomar de inmediato para reducir la probabilidad de intrusiones cibernéticas dañinas.
El viernes, decenas de redes informáticas del gobierno ucraniano sufrieron un ataque cibernético que incluía una amenaza a los ucranianos de “tener miedo y esperar lo peor”. Los piratas informáticos también dijeron que se habían robado datos personales del gobierno.
El portavoz del Ministerio de Relaciones Exteriores de Ucrania, Oleg Nikolenko, dijo que Rusia estaba detrás de los ataques. Los investigadores que investigaron las intrusiones encontraron indicadores de que “los grupos de piratas informáticos asociados con los servicios secretos rusos pueden estar detrás del ciberataque masivo de hoy en los sitios web del gobierno”, dijo Nikolenko a los periodistas en Kiev.
Hasta 70 sitios web fueron objeto de los ataques cibernéticos y la mayoría de los sitios web han mitigado los problemas.
«¡Ucranio! Todos sus datos personales han sido subidos a la red pública. Todos los datos en la computadora se destruyen, es imposible restaurarlos”, decía el mensaje de los piratas informáticos en ucraniano, ruso y polaco. “Toda la información sobre ti se ha hecho pública, ten miedo y espera lo peor. Esto es para ti, para tu pasado, presente y futuro”.
El aviso de CISA también se refirió a una advertencia de Microsoft dos días después de los ataques cibernéticos ucranianos que alertaron a los operadores de computadoras que se había detectado un malware destructivo dirigido a la organización ucraniana. El Microsoft Threat Intelligence Center (MSTIC) identificó el malware que apareció por primera vez el 13 de enero.
“Microsoft está al tanto de los eventos geopolíticos en curso en Ucrania y [the] región circundante y alienta a las organizaciones a usar la información de esta publicación para protegerse de manera proactiva de cualquier actividad maliciosa”, dijo la compañía en una publicación de blog.
El malware detectado por Microsoft está diseñado para aparecer como ransomware, pero no contiene un mecanismo de recuperación de rescate utilizado en ataques criminales de ransomware diseñados para extorsionar a las empresas víctimas cuyos datos han sido encriptados. En cambio, el malware “tiene la intención de ser destructivo y está diseñado para hacer que los dispositivos específicos queden inoperables en lugar de obtener un rescate”, dijo Microsoft.
Docenas de sistemas ucranianos tenían el malware plantado tanto en sistemas gubernamentales como comerciales y más podrían infectarse, dijo la compañía.
“Recomendamos encarecidamente a todas las organizaciones que realicen de inmediato una investigación exhaustiva e implementen defensas utilizando la información proporcionada en esta publicación”, dijo Microsoft, y señaló que la actividad parecía ser de un “actor del estado-nación”.
La lista de verificación de seguridad de CISA exige monitorear todos los accesos remotos a las redes y asegurarse de que el software incluya los parches de seguridad más recientes. Todos los puertos y protocolos que no sean esenciales para el acceso remoto deben desactivarse y, si se utilizan servicios en la nube, deben implementarse controles de seguridad estrictos.
“Si trabaja con organizaciones ucranianas, tenga especial cuidado de monitorear, inspeccionar y aislar el tráfico de esas organizaciones; revisar de cerca los controles de acceso para ese tráfico”, afirmó CISA.
Para las empresas que utilizan sistemas de control industrial o tecnología operativa, los administradores deben realizar pruebas para asegurarse de que las funciones críticas puedan llevarse a cabo si las redes informáticas están desactivadas.
“Además, aunque los incidentes cibernéticos recientes no se han atribuido a actores específicos, CISA insta al personal de ciberseguridad/TI de cada organización a revisar [the publication] Comprender y mitigar las amenazas cibernéticas patrocinadas por el estado ruso a la infraestructura crítica de los EE. UU.”, decía el aviso.